Strengerer Datenschutz für kirchliche Einrichtungen

Das KDG soll Ende November 2017 beschlossen werden und ab Mai 2018 die europäische Datenschutz-Grundverordnung auf der Ebene der katholischen Kirche umsetzen und damit die Anordnung über den kirchlichen Datenschutz (KDO) ablösen.

Eine der wesentlichen Neuerungen ist die Einführung der sogenannten Rechenschaftspflicht: Künftig sind datenschutzrelevante Maßnahmen und Prozesse umfassend zu kontrollieren und zu dokumentieren, um die Einhaltung des Datenschutzes – anders als nach der bisherigen Rechtslage – gegenüber der Aufsichtsbehörde im Bedarfsfalle konkret nachweisen zu können. Faktisch findet auf diese Weise eine Beweislastumkehr statt, wodurch den bislang als zahnlos zu bezeichnenden kirchlichen Aufsichtsbehörden erstmals empfindliche finanzielle Sanktionsmöglichkeiten zur Durchsetzung des Datenschutzes an die Hand gegeben werden. Die Rechenschaftspflicht erfordert somit die Schaffung eines effektiven Datenschutz-managementsystems (DSMS) innerhalb der Organisation. Entsprechend normiert § 29 Abs. 4 lit. c) KDG in Verbindung mit § 26 Abs. 1 lit. d) KDG ein Verfahren zur regelmäßigen Überprüfung, Bewertung, Evaluierung und Dokumentation der Wirksamkeit von getroffenen organisatorischen und technischen Maßnahmen im Hinblick auf den Datenschutz.

Gleiches gilt im Fall der Einschaltung von Dienstleistern im Rahmen der Auftragsdatenverarbeitung (künftig: „Auftragsverarbeitung“). Auch Dienstleister müssen die Einführung und Wirksamkeit eines DSMS nachweisen können und sich regelmäßig durch den Auftraggeber auditieren lassen. Die bestehenden Verträge sind zu prüfen und gegebenenfalls an die neuen Vorgaben des § 29 KDG anzupassen. So dürfen neuerdings Daten nur innerhalb der Europäischen Union verarbeitet werden, wodurch insbesondere sogenannte „Cloud-Lösungen“ auf den Prüfstand zu stellen sind, da die Server zahlreicher Cloud-Dienstleister sich nicht in Europa befinden. Darüber hinaus ist sicherzustellen, dass auch die Mitarbeiter des Dienstleisters auf das bislang lediglich für die Sphäre des Auftraggebers geltende Datengeheimnis verpflichtet werden.

Künftig wird die Vorabkontrolle nach § 3 Abs. 5 KDO entfallen und durch die risikoorientierte Datenschutz-Folgenabschätzung (DSFA) nach § 35 KDG ersetzt. Diese ist vom Verantwortlichen durchzuführen, wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei der Verarbeitung von Gesundheitsdaten ist in jedem Fall eine DSFA durchzuführen. Betroffene sind künftig umfangreicher über ihre Rechte zu informieren. So ist der Betroffene etwa auf sein Widerspruchsrecht hinzuweisen und kann nach § 19 KDG – so-fern keine anderweitige Rechtsgrundlage greift – die Löschung seiner Daten und sogar die Übermittlung an einen anderen Verantwortlichen verlangen.

Fazit

Die hier und in Ausgabe 3/2017 der Solidaris-Information thematisierten Änderungen im Bereich des (kirchlichen) Datenschutzes stellen lediglich einen kleinen Teil des umfangreichen Katalogs von neuen Vorgaben dar. Angesichts des erheblichen Anpassungsbedarfs und der sehr kurzen Umsetzungsphase bis Mai 2018 sollte bereits jetzt ein wirksames DSMS innerhalb der Organisation implementiert und insbesondere ein (externer) Datenschutzbeauftragter bestellt werden. Zudem sind sämtliche Verträge mit Dienstleistern, Einwilligungs- und Datenschutzerklärungen sowie Betriebs- und Dienstvereinbarungen zu überarbeiten, die internen Prozesse auf ihre Relevanz für den Datenschutz zu prüfen und die Mitarbeiter im Umgang mit den neuen Regelungen zu schulen. Nur auf diese Weise lassen sich künftig empfindliche Bußgelder vermeiden.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Münster
RA
Alexander Gottwald, EMBA, Datenschutzbeauftragter (GDDcert. EU)
+49 (0)251 48261-173
 
Solidaris Rechtsanwaltsgesellschaft mbH
Alexander Gottwald, geboren 1983
  • Studium der Rechtswissenschaft in Frankfurt am Main und Münster
  • seit 2016 Rechtsanwalt
  • 2016 EMBA – Executive Master of Business Management, Betriebswirtschaftliches Masterprogramm der Westfälischen Wilhelms-Universität Münster
  • seit 2016 bei der Solidaris
Schwerpunkte
  • Gesellschafts-, Vereins- und Stiftungsrecht 
  • Steuer- und Gemeinnützigkeitsrecht 
  • Individual- und Kollektivarbeitsrecht 
  • Allg. Zivilrecht und Vertragsrecht 
  • IT-Recht und Datenschutz