Neue Datenschutzregeln für Kirchliche Stellen ab dem 24.05.2018

Die Datenschutz-Grundverordnung ist in den vergangenen Monaten für viele Unternehmen DAS zentrale Thema. Mit etwas weniger Öffentlichkeitswirkung hat die Synode der evangelischen Kirche am 15. November 2017 die Novellierung des evangelischen Datenschutzrechts beschlossen. Seit diesem Datum steht fest, welche veränderten Anforderungen auf kirchliche Stellen zukommen. Das neue Gesetz orientiert sich an den neuen Regelungen der DS-GVO. So werden in weiten Teilen Definitionen, Grundsätze, Rechtsgrundlagen, Einwilligungen, Betroffenenrechte, Pflichten der verantwortlichen Stelle und für Auftragsverarbeiter von der DS-GVO übernommen. Im Folgenden sind die wichtigsten Änderungen zusammengefasst:

Wesentliche Änderungen und Handlungsbedarfe

 

1. Betroffenenrechte (§ 16-25 DSG-EKD)

 

Analog der DS-GVO müssen kirchliche Stellen umfassender als bisher betroffene Personen über den Umgang mit ihren Daten aufklären. Zum Zeitpunkt der ersten Datenerhebung ist über

  •     den Namen und die Kontaktdaten der verantwortlichen Stelle,
  •     die Kontaktdaten des Datenschutzbeauftragten,
  •     die Zwecke der Datenverarbeitung und die Rechtsgrundlagen,
  •     die Empfänger, die Daten erhalten,
  •     die Dauer zur Aufbewahrung von Daten bzw. die Löschung von Daten,
  •     die Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie ein Widerspruchsrecht,
  •      ein Beschwerderecht bei der Aufsichtsbehörde,
  •      Zweckänderungen

aufzuklären. Dies betrifft eine Vielzahl von Sachverhalten, z.B. gilt dies für Besucher auf der Internetseite einer kirchlichen Stelle, bei der Aufnahme eines Klienten, bei Eingang einer Bewerbung, bei Beginn des Arbeitsverhältnisses, beim Erstkontakt mit einem Dienstleister. Die Herausforderung besteht darin, dies im Arbeitsalltag in den geschäftlichen Abläufen zu verankern. Dies kann z.B. über Informationsblätter, über Anhänge in E-Mails, als Information auf der Internetseite, als Link in der E-Mail-Signatur etc. umgesetzt werden.

2. Verpflichtung aufs Datengeheimnis (§ 26 DSG-EKD)

 

Zumindest für neue Mitarbeiter sind Verpflichtungsformulare auf das Datengeheimnis zu aktualisieren, da sich die Rechtsgrundlage auf § 26 DSG-EKD geändert hat.

3. Technische und organisatorische Maßnahmen (toM), IT-Sicherheit (§ 27 DSG-EKD)

 

Der Aufbau der toM ändert sich. Die bisherigen Kontrollarten weichen den von der IT-Sicherheit bekannten Zielen der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Systemen. Zusätzlich erhalten Pseudonymisierung, Anonymisierung und Verschlüsselung sowie Mechanismen zur Überprüfung und Bewertung der getroffenen Maßnahmen mehr Gewicht. Das bedeutet für Einrichtungen, dass die Dokumentation der getroffenen Schutzmaßnahmen sowie die Dokumentationen der im Einsatz befindlichen Softwareprogramme zu aktualisieren sind. Außerdem müssen sich kirchliche Stellen in Anlehnung an die bereits zu Beginn des Jahres in Kraft getretene IT-Sicherheits-Verordnung auch um funktionierende IT-Sicherheit kümmern.

4. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (§ 28 DSG-EKD)

 

Kirchliche Stellen müssen wann immer möglich datenschutzfreundliche Voreinstellungen wählen, z.B. Berechtigungen in Softwareprogrammen restriktiv vergeben. Die genauen Auswirkungen gilt es zu beobachten, vermutlich sind hier vor allem Anbieter von Softwareprogrammen in der Pflicht, Anpassungen an ihren Produkten vorzunehmen.

5. Auftragsverarbeitung statt Auftragsdatenverarbeitung (§ 30 DSG-EKD)

 

Der Name ändert sich von Auftragsdatenverarbeitung auf Auftragsverarbeitung, die Inhalte orientieren sich jedoch an den bisherigen Regelungen. Somit dürften die größten Änderungen vor allem die Anlage mit den technischen und organisatorischen Maßnahmen betreffen. Hilfreich ist außerdem die Regelung nach Abs. 5, der Einrichtungen erlaubt, bei Unterauftragnehmern, die der DS-GVO unterliegen, auch Regelungen nach der DS-GVO abzuschließen, sofern sich der Unterauftragnehmer der Kontrolle der kirchlichen Aufsichtsbehörde unterwirft.

6. Verfahrensverzeichnis (§ 31 DSG-EKD)

 

Durch die angepassten Grundsätze der Datenverarbeitung und Rechtsgrundlagen sowie der Einwilligung, sind die datenverarbeitenden Prozesse zu überprüfen. Sofern vorhanden, ist das Verfahrensverzeichnis auf die neuen Anforderungen anzupassen. Sofern noch nicht vorhanden, so sollten die Arbeiten schnellstmöglich begonnen werden, da erfahrungsgemäß eine Erstdokumentation je nach Größe der Einrichtung mehrere Monate dauern kann. Die Pflicht zur Erstellung eines Verarbeitungsverzeichnisses gilt explizit ab einer Größe von 250 Mitarbeitern. Kleinere Einrichtungen müssen nur die Verfahren mit besonders schützenswerten Daten (z.B. Gesundheit) dokumentieren. Bei weniger als 250 Mitarbeiten empfiehlt sich dennoch die Erstellung, da mit dem Verfahrensverzeichnis eine Vielzahl von Dokumentationsanforderungen erfüllt werden können.

7. Meldung Datenschutzverstößen an die Aufsichtsbehörde bzw. den Betroffenen (§ 43-33 DSG-EKD)

 

Schwerwiegende Datenschutzverstöße müssen zukünftig der Aufsichtsbehörde gemeldet werden. Die Regelung sieht eine „unverzügliche“ Meldung vor, die nach bisheriger Betrachtungsweise als so schnell als möglich ohne schuldhaftes Verzögern, jedoch maximal nach 14 Tagen zu interpretieren war. Kirchliche Stellen müssen neue Meldewege bei Datenschutzverstößen definieren und die Mitarbeiter schulen, damit ein Verstoß nicht liegenbleibt und die Meldung die verantwortlichen Personen erreicht.

Auch die betroffenen Personen müssen über schwerwiegende Verstöße informiert werden, sofern keine Schutzmaßnahmen getroffen wurden, die die Risiken nachhaltig reduzieren oder der Kreis der Betroffenen so groß ist, dass der Aufwand zur Information unverhältnismäßig ist. In diesem Fall hat eine öffentliche Bekanntmachung zu erfolgen.

8. Bestellung von Datenschutzbeauftragten (§ 36-38 DSG-EKD)

 

Wie bisher ist ein Datenschutzbeauftragter zu bestellen, wenn mehr als 10 Personen ständig personenbezogenen Daten verarbeiten. Neu ist, dass dieser auch bei der Aufsichtsbehörde zu melden ist. Wie das genau zu erfolgen hat, ist noch unklar.

9. Geldbußen steigen (§45 DSG-EKD)

 

Neu sind Bußgelder, die bei Datenschutzverstößen bis zu 500.000 € betragen können. Damit wird die Bedeutung des Datenschutzes für kirchliche Stellen steigen. Die Aufsichtsbehörden haben explizit den Auftrag, dass Bußgelder „wirksam, verhältnismäßig und abschreckend“ sein sollen.

10. Videoüberwachung (§ 52 DSG-EKD)

 

Die Videoüberwachung ist zukünftig nur noch für die Ausübung des Hausrechts oder zum Schutz von Personen und Sachen zulässig. Bislang war eine Speicherung von bis zu 7 Tagen erlaubt, diese spezifische Vorgabe gibt es nicht mehr. Nun hat eine unverzügliche Löschung der Aufnahmen zu erfolgen, wenn diese nicht mehr zur Zweckerreichung erforderlich sind. Wir verstehen das so, dass die Regelung sich an der deutlich restriktiveren Praxis im nicht-öffentlichen Bereich orientiert und eine Speicherung nur noch zwischen 48 und 72 Stunden möglich ist. Sofern Videoüberwachung im Einsatz ist, ist diese nun explizit zu prüfen.

11. Übergangsregelungen (§55 DSG-EKD)

 

Die neuen Regelungen treten bereits zum 24. Mai 2018 in Kraft, daher ist Handeln angesagt, um die Umstellungen fristgerecht sicherzustellen. Verfahrensverzeichnisse für die Videoüberwachung müssen ebenfalls bis zu diesem Datum aktualisiert werden. Für folgende Sachverhalte gelten abweichende Vorgaben:

  • 06.2019: Aktualisierung des Verfahrensverzeichnisses
  • 31.12.2019: Anpassungen der Vereinbarungen zur Auftragsdatenverarbeitung

 

Sollten Sie Fragen dazu haben oder unsere Hilfe bei der Umsetzung benötigen, stehen wir Ihnen gerne zur Verfügung!!

 

Autor: Julian Häcker, im März 2018

 

 

Tags: