Auftragsverarbeitung im kirchlichen Datenschutz – Prüfung externer Dienstleister

Die Datenschutz-Grundverordnung (DSGVO) bringt hinsichtlich der Auftragsverarbeitung (vormals „Auftragsdatenverarbeitung“) erhebliche Änderungen mit sich, die sich auch in den neuen Datenschutzbestimmungen der katholischen und der evangelischen Kirche in Deutschland (KDG und DSG-EKD 2018) niedergeschlagen haben. Wir geben einen Überblick über die wichtigsten Neuerungen und erörtern insbesondere die weiterhin bestehende Verpflichtung zur Prüfung des Auftragsverarbeiters (Auftragnehmers) durch den Verantwortlichen (Auftraggeber).

Jeder Rechtsträger, der personenbezogene Daten im Auftrag eines Verantwortlichen und auf dessen Weisung hin verarbeitet, gilt als Auftragsverarbeiter. Dementsprechend können auch Tochter-, Mutter- oder Geschwisterunternehmen als Auftragsverarbeiter fungieren. Auftragsverarbeitung kann zum Beispiel sein:
›› die Auslagerung der Lohn- und Gehaltsabrechnung,
›› der Versand von Newslettern,
›› die Datenerfassung und/oder Datenkonvertierung (z. B. Digitalisierung),
›› Cloud Computing,
›› die Backup-Auslagerung und Archivierung.

Obwohl in der Praxis viel zu oft unbeachtet geblieben oder fehlerhaft umgesetzt, bestand bereits nach alter Rechtslage gemäß § 11 Abs. 2 Bundesdatenschutzgesetz (BDSG a. F.) eine Kontrollpflicht des Auftragsverarbeiters. Demnach hatte eine Überprüfung der technischen und organisatorischen Maßnahmen (TOM) durch den Verantwortlichen vor der Aufnahme und sodann regelmäßig im Rahmen der Datenverarbeitung zu erfolgen. Dies war entsprechend zu dokumentieren. Das gleiche galt nach § 8 Abs. 2 KDO und § 11 Abs. 3 DSG-EKD a. F. auch für den kirchlichen Datenschutz. Wie schon nach alter Rechtslage muss der Verantwortliche auch künftig dafür Sorge tragen, dass der Auftragsverarbeiter die getroffenen TOM zum Schutz der entsprechenden personenbezogenen Daten einhält, und sich davon auch in regelmäßigen Abständen überzeugen. Neuerdings kann der Auftragsverarbeiter jedoch, sofern es im Rahmen der Auftragsverarbeitung zu Verstößen gegen den Datenschutz kommt und dies seine Ursache in einer mangelhaften Auswahl oder Umsetzung seiner TOM hat,anders als nach bisheriger Rechtslage selbst zum Verantwortlichenwerden. Damit wird er unmittelbarer Adressat für etwaige Sanktionen seitens der Aufsichtsbehörden und potentielle Schadensersatzbegehren von Betroffenen.

Die einzelnen TOM waren bislang nach § 9 BDSG a. F., § 9 DSG-EKD a. F. bzw. § 6 KDO festzulegen. In einer entsprechenden Anlage zu den vorgenannten Regelungen waren die umzusetzenden Kontrollen festen Kategorien (Zugangskontrolle, Zutrittskontrolle etc.) zugeordnet. DieseKategorien bleiben auch unter der neuen Rechtslage begrifflich erhalten, allerdings müssen sich nun die Kriterien zur Festlegung der geeigneten TOM am Stand der Technik, den Implementierungskosten, der Art, dem Umfang und den Zwecken der Verarbeitung sowie an der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen orientieren (§ 26 Abs. 1 KDG, § 27 Abs. 1 DSG-EKD 2018).

Die TOM umfassen unter anderem
›› die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
›› die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeitund Belastbarkeit der Systeme und Dienste im Zusammenhangmit der Verarbeitung auf Dauer sicherzustellen,
›› die Fähigkeit, die Verfügbarkeit der personenbezogenenDaten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, und
›› ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Im Hinblick auf den oben genannten Stand der Technik hat sich der europäische Verordnungsgeber für einen dynamischen Technikbegriff entschieden. Maßgeblich ist demnach diejenige Technik, die sich bereits am Markt bewährt hat und von Fachkräften als fortschrittlich anerkannt ist. Aus diesem Grunde werden sich künftig die IT-Fachkräfte häufiger als zuvor fortzubilden haben.Der Auftragsverarbeiter hat dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der Anforderungen an die Auftragsverarbeitung nach § 29 Abs. 4 KDG bzw. § 30 Abs. 3 DSG-EKD 2018 nachzuweisen und eine Überprüfung zu ermöglichen. Außerdem können sich Auftragsverarbeiter durch geeignete Zertifizierungen mittels akkreditierter Zulassungsstellen bzw. einer Aufsichtsbehörde zertifizieren lassen, um den Nachweis über die Einhaltung der Verpflichtungen zu erbringen. Es ist grundsätzlich nicht erforderlich, dass sich der Verantwortliche beim Auftragsverarbeiter unmittelbar vor Ort selbst von der Einhaltung der TOM überzeugt. Diesbezüglich enthalten die Vorschriften keine konkreten Vorgaben. Insoweit leiten sich Art und Umfang der Prüfungshandlungen stets von der Sensitivität der personenbezogenen Daten, dem jeweiligen Stand der Technik sowie dem ermittelten Risiko der Informationen ab. So können zum Beispiel auch Checklisten oder eine Auditierung von Dritten der Überprüfung der Einhaltung der TOM dienen.

Praxis-Hinweis
Der Auftragsverarbeiter unterliegt nach dem kirchlichen Datenschutz der Pflicht zur Dokumentation sämtlicher technischer und organisatorischer Maßnahmen, um im Bedarfsfall Rechenschaft darüber ablegen zu können, dass die von ihm vorgenommene Verarbeitung datenschutzkonform erfolgt. Teil dessen ist die regelmäßige Prüfung im Hinblick auf die Einhaltung der technischen und organisatorischen Maßnahmen. Gerne unterstützen wir Sie bei der Formulierung von entsprechenden Vereinbarungen und bei der Implementierung eines geeigneten Verfahrens innerhalb der betrieblichen Organisation zur Kontrolle Ihrer auf Dritte ausgelagerten Dienstleistungen. Hierdurch gewährleisten Sie eine datenschutzkonforme Verarbeitung und reduzieren potentielle Haftungsrisiken maßgeblich.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Münster
RA
Alexander Gottwald, EMBA, externer Datenschutzbeauftragter (GDDcert. EU)
+49 (0)251 48261-173
 

Solidaris Rechtsanwaltsgesellschaft mbH

Gottwald

Alexander Gottwald, geboren 1983

  • Studium der Rechtswissenschaft in Frankfurt am Main und Münster
  • seit 2016 Rechtsanwalt
  • 2016 EMBA – Executive Master of Business Management, Betriebswirtschaftliches Masterprogramm der Westfälischen Wilhelms-Universität Münster
  • seit 2016 bei der Solidaris
  • 2017 – Ausbildung zum zertifizierten Datenschutzbeauftragten bei der Gesellschaft
    für Datenschutz und Datensicherheit (GDDcert. EU)

Aktivitäten

  • Lehrauftrag an der Hochschule FOM in Münster u.a. in dem Bachelor-Studiengang Wirtschafts-Informatik

Schwerpunkte

  • Gesellschafts-, Vereins- und Stiftungsrecht 
  • Steuer- und Gemeinnützigkeitsrecht 
  • Individual- und Kollektivarbeitsrecht 
  • Allg. Zivilrecht und Vertragsrecht 
  • IT-Recht und Datenschutz
  • Externer Datenschutzbeauftragter

Veröffentlichungen in der Fachpresse
2019

  • Erstmalig hohes Bußgeld: Health&Care Management, 2/2019, S.56.
  • Die Tücken der E-Mail-Verschlüsselung: BRAK Magazin, 1/2019, S. 6.
  • Datenschutz - ein Perspektivwechsel: PflegeManagement, 4-5/2019, S. 14-15.
  • Datenschutz im MVZ: Health & Care Management, 12/2019, S. 60


Veröffentlichungen in der Fachpresse
2018

  • Kirchen beschließen Novellierung des Datenschutzes: Health&Care Management Newsletter, 1/2018
  • Datenschutz erhält mehr Gewicht: neue caritas, 2/2018, S. 24.
  • Richtlinie kurzfristig umsetzen: Wohlfahrt intern, 6/2018, S. 39.

Veröffentlichungen in der Fachpresse
2017

  • Neue Regeln für Befristungen: Sozialwirtschaft, 6/2017, S. 30-31.
  • Freifunk für alle: Sozialwirtschaft, 9-10/2017, S. 36-37.
Köln
CISA/CISO
Oliver Schikora
+49 (0)2203 8997-228
 
Prokurist der Solidaris Revisions-GmbH WPG STB, Köln, Leiter Geschäftsfeld IT-Beratung/Geschäftsbereich Unternehmensberatung

Solidaris Revisions-GmbH
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

Schikora

Bei Solidaris seit 2004

Qualifikationen

  • Certified Information Systems Auditor (CISA)
  • Chief Information Security Officer (CISO) ISO/IEC 27001/BSI-ITGrundschutz
  • IT-Auditor IDW
  • IT-Security Beauftragter (TÜV)
  • Dipl.-Betriebswirt (FH), Fachhochschule Koblenz

Schwerpunkte

  • Systemprüfungen im Rahmen von Jahresabschlussprüfungen, IT-Revision sowie datenanalytische Prüfungen
  • Langjährige Verantwortung als Prüfungsleiter für Jahresabschlussprüfungen und prüfungsnahe Beratungsleistungen bei gemeinnützigen Organisationen
  • Erfahrung in der Prüfung und Optimierung IT-gestützter Geschäftsprozesse
  • Begleitung von Software-MigrationenErfahrung im Auf- und Ausbau informationstechnischer Sicherheitssysteme (z. B. ISMS n. DIN ISO 27001)
  • Referent bei verschiedenen internen und externen Fortbildungsveranstaltungen im Bereich der IT-Revision
  • Autorentätigkeit
  • Leitung des KompetenzTeam Prüfungsnahe IT-Anwendungen der Solidaris

Mitgliedschaften

  • ISACA International/German Chapter
  • Deutsches Institut für Interne Revision e. V. (DIIR)

Veröffentlichungen in der Fachpresse
2020

  • Datenschutz und Informationssicherheit in der Altenhilfe: So schützen Sie sich und die Daten der von Ihnen betreuten Menschen: Pflege Management, 2-3/2020, S. 10.

Veröffentlichungen in der Fachpresse
2019

  • Prüfung jetzt!: Health&Care Management, 4/2019, S. 60-61.
  • IT-Sicherheit 2019: Best Practice und typische Fallstricke im Krankenhaus: Wümek, 5/2019,
    S. 126-127.
  • Wie sichern Sie Ihre Kronjuwelen? Der Umgang mit Informationswerten im digitalen Zeitalter: PflegeManagemet, 10/11/2019, S. 11.