Mit Beschluss der Vollversammlung des Verbandes der Diözesen Deutschlands wurde am 19. November 2018 die Durchführungsverordnung zum Gesetz über den kirchlichen Datenschutz (KDG-DVO) erlassen. Sie löst am 1. März 2019 die Durchführungsverordnung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) ab und konkretisiert das Gesetz über den kirchlichen Datenschutz (KDG).
Die 28 Paragraphen* der KDG-DVO sind in sechs Kapitel gegliedert und befassen sich unter anderem mit den Verarbeitungstätigkeiten (§ 1), dem Datengeheimnis (§§ 2 bis 3), den technischen und organisatorischen Maßnahmen (TOM, §§ 4 bis 14), den Maßnahmen des Verantwortlichen und des Mitarbeiters (§§ 15 bis 17) sowie den besonderen Gefahrenlagen (§§ 18 bis 26) wie z. B. der Übermittlung von Daten per Fax und E-Mail. Dabei wurden Struktur, Begrifflichkeiten und Formulierung der bislang gültigen KDO-DVO teilweise sinngemäß übernommen. Dies betrifft insbesondere die Vorgaben über die je nach Gefährdung des Betroffenen zu erfolgende Einordnung der personenbezogenen Daten in die Datenschutzklassen I bis III sowie die nach Ansicht der Verordnungsgeber erforderlichen Maßnahmen zum Schutz der Daten.
Erfahrungsgemäß bestehen bei den Verantwortlichen im Hinblick auf das Pflichtenprogramm bei der Umsetzung der Datenschutzreform bzw. der erforderlichen TOM die größten Unklarheiten. Um Missverständnisse zu vermeiden, empfehlen wir daher, sich nicht ausschließlich an den „Maßnahmen des Verantwortlichen“ in § 15 und § 16 und den „besonderen Gefahrenlagen“ zu orientieren, sondern diese als besonders wichtige TOM im Sinne und in Ergänzung der TOM der §§ 4 bis 14 zu verstehen, die selbst bereits notwendige Maßnahmen des Verantwortlichen normieren. Während § 15 lediglich die Feststellung des Schutzbedarfs und die Einordnung in Datenschutzklassen, die Aufklärung der Mitarbeiter über die Risiken der Nutzung von IT-Systemen sowie die Erstellung und Umsetzung eines Datenschutzkonzepts sowie die Kontrolle des Auftragnehmers als Maßnahmen normiert, behandelt § 16 ausschließlich das Thema Datensicherung.
Für einen ersten Überblick darüber, welche TOM der Verantwortliche genau ergreifen muss, halten wir es für sinnvoll, sich an den in § 6 Abs. 2 genannten Kontrollbegriffen zu orientieren, die die sogenannten „10 Gebote des Datenschutzes“ umfassen:
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Transportkontrolle
- Speicherkontrolle
- Weitergabekontrolle
- Eingabekontrolle
- Auftragskontrolle
- Verfügbarkeitskontrolle
- Trennungsgebot
Diese Kontrollbegriffe – deren detaillierte Erörterung hier zu weit führen würde – dienen dazu, Maßnahmen zu definieren, um die Sicherheit von personenbezogenen Daten zu gewährleisten. So bedeutet zum Beispiel etwa „Zutrittskontrolle“, dass Maßnahmen zu ergreifen sind, die Unbefugten den Zutritt zu IT-Systemen verwehren. Die „Transportkontrolle“ ist so zu verstehen, dass im Rahmen der Weitergabe von Daten überprüft und sichergestellt werden muss, dass Daten sicher (verschlüsselt) übertragen werden.
Insbesondere im Rahmen der externen Kommunikation von Daten geschehen erfahrungsgemäß die häufigsten Datenschutzverletzungen. Daher gehen aus unserer Sicht die Vorgaben des § 24 zur Regelung der (unverschlüsselten) Übermittlung personenbezogener Daten per Fax nicht weit genug. Denn in technischer Hinsicht werden bei der digitalen Fax-Kommunikation per Voice over IP (VoIP) eingescannte Dokumente elektronisch ausgetauscht und sind somit – sofern sie personenbezogene Daten enthalten – zu verschlüsseln, um die Transportkontrolle zu gewährleisten. Die Verschlüsselung von VoIP-Faxen ist in der herrschenden Praxis allerdings nicht der Regelfall, sondern die Ausnahme. Daher empfehlen wir, Optionen zur Verschlüsselung zu prüfen. Analoge Faxe sind hingegen aus Sicht der weltlichen Aufsichtsbehörden nicht zu verschlüsseln. Hier soll es genügen, dass analoge Faxe (noch) eine separateLeitung nutzen. Dies setzt jedoch voraus, dass der Empfänger ebenfalls ein analoges Fax nutzt, da andernfalls das Fax auf dem Weg vom analogen Fax-Versender zum digitalen Fax-Empfänger in eine E-Mail umgewandelt wird. Beim analogen Versand eines Fax gilt es daher zunächst zu prüfen, ob der Empfänger ebenfalls noch „analog unterwegs“ ist.
Ähnliches gilt für die Regelung zur verschlüsselten E-Mail-Kommunikation gemäß § 25. Eigentlich sollen Daten der Datenschutzklasse I nicht zu verschlüsseln sein. In die Datenschutzklasse I fallen personenbezogene Daten, deren missbräuchliche Verarbeitung keine besonders schwerwiegende Beeinträchtigung des Betroffenen erwarten lässt. Hierzu gehören insbesondere Namens- und Adressangaben ohne Sperrvermerke sowie Berufs-, Branchen- oder Geschäftsbezeichnungen. Jedoch sieht die Datenschutzklasse I auch vor, dass öffentlich nicht verfügbare Daten nur weitergegeben werden dürfen, wenn sie durch geeignete Schutzmaßnahmen geschützt sind. Daher ist § 25 nach unserer Auffassung so zu lesen, dass nicht öffentlich verfügbare Daten der Datenschutzklasse I sehr wohl zu verschlüsseln sind. Praktisch kann die Verschlüsselung entweder durch einen gesellschaftlich akzeptierten Verschlüsselungsstandard (dessen Definition und Verbreitung sich aber noch Jahre hinziehen können), eine automatische Transportverschlüsselung oder eine manuelle Verschlüsselung der Daten – z. B. als ZIP-Datei im Anhang der E-Mail – geschehen.
Zu begrüßen ist die in der KDG-DVO getroffene Festlegung der „regelmäßigen Prüfzyklen“. War nach dem KDG noch ungewiss, in welchen genauen Abständen eine regelmäßige Kontrolle der TOM, des Verzeichnisses der Verarbeitungstätigkeiten und der Auftragsverarbeiter zu erfolgen hat, wird dies nun allgemein auf zwei Jahre festgelegt. Ob diese Frist auch für das Datenschutz-Managementsystem gilt, lässt die KDG-DVO offen. Wünschenswert wäre an dieser Stelle noch eine Vorgabe für die Zeitabstände von Schulungen gewesen.
Die KDG-DVO führt überdies den Begriff des „Mindeststandards“ ein, so dass von einer Aufsichtsbehörde herausgege-bene Muster, z. B. für das Verzeichnis der Verarbeitungstätigkeiten (§ 1 Abs. 3) oder die Verpflichtungserklärung (§ 3 Abs. 3), den Mindeststandard darstellen, der ohne weitere Prüfung gesetzeskonform verwendet werden kann.Die Vorgaben im Hinblick auf die Einhaltung des Datengeheimnisses (§ 5 KDG) werden durch die §§ 2 und 3 sinnvoll konkretisiert. So sind die Mitarbeiter (einschließlich ehrenamtlich tätiger Personen) über die maßgeblichen Datenschutzgesetze und mögliche rechtliche Folgen eines Verstoßes gegen das KDG und andere für ihre Tätigkeit geltenden Datenschutzvorschriften – auch im Falle einer Aufnahme einer neuen Tätigkeit – zu belehren. Die erfolgte Belehrung haben die Mitarbeiter im Rahmen einer Verpflichtungserklärung nach § 3 zu bestätigen.
Im Rahmen der Vorgaben für die Nutzung von privaten IT-Systemen zu dienstlichen Zwecken, das sogenannte Bring-your-own-Device (BYOD), ist unter anderem die Nutzung eines Mobile-Device-Managements, also der Möglichkeit, das Gerät aus der Ferne zu kontrollieren, ebenso wie der Nachweis der Löschung gegenüber dem Arbeitgeber im Falle des Verkaufs künftig verpflichtend. Aus unserer Sicht wäre noch zu ergänzen, dass das Gerät nicht in Hände Drit-ter gelangen darf und stets dem Stand der Technik entsprechende, angemessene Zugangsbeschränkungen einzusetzen sind (z.B. durch Vorgaben zu PIN und/oder Passwort).
Praxis-Hinweis
Die KDG-DVO enthält eine Vielzahl von sinnvollen Ergänzungen und Erläuterungen des KDG. Diverse Einzelfragen wie etwa zum Ablauf einer Datenschutzfolgenabschätzung oder zum Inhalt eines Daten-schutzkonzepts bleiben jedoch weiterhin ungeklärt. Dies dürfte dem Umstand geschuldet sein, dass die praxisnahe Aufbereitung der Datenschutzmaterie nach wie vor in den Kinderschuhen steckt und der Verordnungsgeber daher nicht zu viel vorgeben wollte. Vielmehr hängen diverse Einzelfragen einerseits von bestimmten gesellschaftlichen Entwicklungen – Stichwort Verschlüsselungsstandard – und andererseits von der künftigen Rechtspraxis der Aufsichtsbehörden bzw. der Rechtsprechung des europäischen Gerichtshofs ab. Hier gilt es, sich regelmäßig über den Stand der Entwicklungen zu informieren.
