Kirchliche Stellen, das heißt die Diözesen, Kirchengemeinden, Kirchenstiftungen und Gemeindeverbände benennen einen betrieblichen Datenschutzbeauftragten.
In den meisten Erzbistümern und Bistümern wird im jeweiligen Generalvikariat eine zentrale Lösung angeboten. Mit dieser zentralen Lösung wird den angeschlossenen Stellen, je nach Ausgestaltung, die Möglichkeit gegeben, sich der dort eingerichteten Stelle (Betrieblicher Datenschutzbeauftragter) anzuschließen. Ob diese Möglichkeit für Ihre Einrichtung besteht, können Sie bei Ihrem Generalvikariat erfragen.
Der Deutsche Caritasverband, die Diözesan-Caritasverbände, ihre Untergliederungen und ihre Fachverbände, sowie die kirchlichen Körperschaften, Stiftungen etc. benennen einen betrieblichen Datenschutzbeauftragten, wenn mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind oder die Kerntätigkeit in der Verarbeitung personenbezogener Daten besteht. Außerdem besteht die Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten oder von Daten über strafrechtlich relevantes Verhalten besteht.

Die Datenschutzaufsicht wacht gemäß § 44 Abs. 1 KDG über die Einhaltung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz. Für die Erzdiözesen Köln und Paderborn und die Diözesen Aachen, Essen und Münster (ohne das Offizialat Vechta) ist Herr Steffen Pau als Diözesandatenschutzbeauftragter bestellt und Leiter des Katholischen Datenschutzzentrums mit Sitz in Dortmund. Während der betriebliche Datenschutzbeauftragte auf die Einhaltung datenschutzrechtlicher Vorschriften als „interne“ Funktion der Einrichtung hinwirkt und sich in Zweifelsfällen an die Datenschutzaufsicht wenden kann, ist die Datenschutzaufsicht für die Einrichtung eine externe Stelle, die beratend tätig wird, die aber im Rahmen von Beschwerden oder Prüfungen auch ihre Aufsichtsfunktion ausfüllt.

In unserer Infothek gibt es noch weitere Informationen zum neuen Datenschutzrecht.

Link zur Infothek des KDSZ

Die mögliche Haftung des betrieblichen Datenschutzbeauftragten unterscheidet sich grundsätzlich danach, ob es sich um einen internen Mitarbeiter oder um einen externen Datenschutzbeauftragten handelt. Insgesamt wirkt der betriebliche Datenschutzbeauftragte gewissenhaft auf die Einhaltung des Datenschutzes hin und hat darin seine Grundaufgabe zu erfüllen.

Informationen zur Haftung finden Sie in der Infothek bei den Beschlüssen der Konferenz der Diözesandatenschutzbeauftragten.

Link zur Infothek des KDSZ

In § 5 KDG ist weiterhin vorgesehen, dass Personen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, bei Aufnahme ihrer Tätigkeit auf das Datengeheimnis und die Einhaltung der einschlägigen Datenschutzregelungen schriftlich zu verpflichten sind. In der Infothek des KDSZ findet sich ein Muster zu dieser Verpflichtungserklärung.

Link zur Infothek des KDSZ

Nach § 31 KDG ist das Anfertigen und Führen eines Verzeichnisses von Verarbeitungstätigkeiten vorgesehen, bisher gab es eine ähnliche Verpflichtung durch das Führen eines Verfahrensverzeichnisses nach KDO. Die bisherigen Dokumentationspflichten des Verantwortlichen und des Auftragsverarbeiters werden durch die neue Regelung des KDG ergänzt.

Der nachstehende Link führt Sie in die Infothek des KDSZ, dort finden Sie ein Muster zur Anfertigung eines Verzeichnisses von Verarbeitungstätigkeiten nach § 31 KDG.

Infothek des KDSZ

In § 33 KDG ist festgelegt, dass der Verantwortliche unverzüglich (innerhalb von 72 Stunden ab Kenntnis) die Verletzung des Schutzes personenbezogener Daten der Datenschutzaufsicht anzeigt, wenn diese Verletzung eine Gefahr für die Rechte und Freiheiten natürlicher Personen darstellt.

Erfolgt die Meldung erst nach Ablauf von 72 Stunden, ist eine Begründung für die Verzögerung der Meldung hinzuzufügen.

Stellt der Verantwortliche fest, dass es innerhalb der Einrichtung einen Vorfall gab, welcher die Verletzung des Schutzes personenbezogener Daten zur Folge hat, muss dieser eine Abwägung vornehmen, ob es sich um eine Gefahr für die Rechte und Freiheiten natürlicher Personen handelt. Kommt der Verantwortliche zu dem Ergebnis, dass eine solche Gefahr besteht, muss er die Meldung an die Datenschutzaufsicht binnen 72 Stunden nachdem die Verletzung des Schutzes personenbezogener Daten bekannt wurde, absetzen. Auch für diese Meldung stellt das Katholische Datenschutzzentrum ein Online-Formular zur Verfügung.

Link zur Meldeplattform des KDSZ

Zusätzlich ist die betroffene Person unverzüglich zu informieren, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.

Auch vor Inkrafttreten des KDG gab es bereits eigene Regelungen zum Datenschutz in der Katholischen Kirche. Diese „Anordnung über den kirchlichen Datenschutz“ (KDO) musste jedoch an die ab dem 25.Mai 2018 anzuwendende Datenschutzgrundverordnung (DS-GVO) angepasst werden. Das bedeutet, dass sich die kirchlichen Regelungen an dem Schutzniveau der Datenschutzgrundverordnung orientieren müssen und mit diesen Regelungen in Einklang gebracht werden müssen. Dieses Erfordernis findet sich in Art. 91 Abs. 1 DS-GVO. Damit greift die Verordnung der EU die Selbstverwaltungsgarantie der Religionsgemeinschaften aus Art. 140 GG in Verbindung mit Art. 137 Abs. 3 WRV auf und schützt diese Garantie im Bereich des Datenschutzes europarechtlich. Davon haben die katholische wie auch die evangelische Kirche Gebrauch gemacht und jeweils eigene datenschutzrechtliche Bestimmungen in Kraft gesetzt. Durch die Regelungen der DS-GVO und damit auch des KDG wird das Recht auf informationelle Selbstbestimmung jedes Einzelnen gestärkt und geschützt. Wenn es kein eigenes kirchliches Gesetz geben würde, müssten sich die kirchlichen Einrichtungen an die Datenschutzgrundverordnung halten.
Sofern die neuen Regelungen im Einzelfall zu Veränderungen interner Prozesse führen, wären diese Anpassungen auch nach der DS-GVO notwendig und sind keine kirchenspezifische Besonderheit.

Um ein größere Transparenz bei der Verarbeitung von personenbezogenen Daten zu erreichen, stehen der betroffenen Person umfangreiche Informationsrechte zu.

Mit dem Inkrafttreten des KDG wurden die Rechte der Personen gestärkt, deren Daten in irgendeiner Form verarbeitet, das heißt zum Beispiel erhoben, genutzt und/oder gespeichert werden. Eine betroffene Person hat daher bestimmte Auskunftsrechte und es entstehen diverse Informationspflichten, die von der datenverarbeitenden Stelle, dem „Verantwortlichen“ im Sinne des Gesetzes, zu erfüllen sind. Fragt zum Beispiel ein Jugendlicher an, welcher ein Angebot der Jugendhilfe in der Vergangenheit in Anspruch genommen hat, welche Daten über ihn vorliegen (in Betracht kommen z.B. schriftlich aufgenommene personenbezogene Daten oder auch digitale Dateien wie Fotos), kann er dieses Auskunftsverlangen auf das ihm zustehende Auskunftsrecht aus § 17 KDG stützen. Der Verantwortliche ist danach in der Pflicht diese Auskunft unentgeltlich zu erteilen.

Zudem bestehen diverse andere Rechte der betroffenen Person. Zu nennen sind dabei das Recht auf Berichtigung unrichtiger personenbezogener Daten aus § 18 KDG, das Recht auf Löschung aus § 19 KDG, das Recht auf Einschränkung der Verarbeitung aus § 20 KDG, das Recht auf Datenübertragbarkeit aus § 22 und das Widerspruchsrecht aus § 23 KDG.

Nach § 36 Abs. 2 lit. b und c KDG ist für die dort genannten Stellen nur ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn die Kerntätigkeit entweder in der Verarbeitung personenbezogener Daten besteht (lit. b), sodass ein besonderes Schutzniveau bestehen muss oder, wenn besondere Kategorien personenbezogener Daten verarbeitet werden (lit. c).

Es ist also danach abzugrenzen, ob es sich bei der Verarbeitung personenbezogener Daten um eine Haupttätigkeit oder Nebentätigkeit des Verantwortlichen handelt. Dabei ist vor allem auf Art, Umfang und Zweck der Verarbeitung zu achten.

Die Aufgaben des betrieblichen Datenschutzbeauftragten finden sich in § 38 KDG. Er wirkt auf die Einhaltung datenschutzrechtlicher Vorschriften hin. Um diese Aufgabe wahrnehmen zu können, ist er über die automatisierte Verarbeitung personenbezogener Daten rechtzeitig zu informieren.

Der betriebliche Datenschutzbeauftragte kennt idealerweise die Einrichtung, die Prozesse, die eingesetzten Anwendungen und die handelnden Personen vor Ort. Er berät außerdem den Verantwortlichen zum Beispiel in Fragen der Organisation, der technischen Absicherung oder notwendiger vertraglicher Regelungen jeweils soweit personenbezogene Daten betroffen sind. Auch schult er die Mitarbeiter. Weiterhin ist er Anlaufstelle in allen datenschutzrechtlichen Fragestellungen vor Ort.

Das KDG gilt gemäß § 3 KDG für die Verarbeitung personenbezogener Daten durch die verfasste Kirche (wie z.B. die (Erz-)Diözesen und die Kirchengemeinden), die Diözesan-Caritasverbände und ihre Untergliederungen ohne Rücksicht auf ihre Rechtsform und die kirchlichen Körperschaften, Anstalten, Werke, Einrichtungen und sonstigen kirchlichen Rechtsträger ohne Rücksicht auf ihre Rechtsform.

Das Katholische Datenschutzzentrum stellt ein Online-Formular zur Verfügung, welches durch die meldende Stelle ausgefüllt werden kann. Dies erleichtert und beschleunigt den Meldevorgang.

Das Formular finden Sie unter:

Link zur Meldeplattform des KDSZ

Die von der betroffenen Person angefragten Informationen sind durch den Verantwortlichen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang der Anfrage zur Verfügung zu stellen. Falls es zu einer zeitlichen sowie quantitativen Häufung von Anfragen kommt, kann diese Frist in Ausnahmefällen um weitere zwei Monate verlängert werden. Darüber ist die betroffene Person in jedem Fall innerhalb der Monatsfrist zu unterrichten. Wenn der Antrag elektronisch gestellt wurde, ist die anfragende Person auch auf elektronischem Wege zu unterrichten, es sei denn, sie gibt etwas Anderes an. Unabhängig von dem Weg der Beantwortung, muss sichergestellt sein, dass die notwendigen Schutzmaßnahmen ergriffen werden, um diese vor dem Zugriff Dritter zu schützen.

Der Zeitaufwand, den ein betrieblicher Datenschutzbeauftragter für seine Tätigkeit als solcher aufbringen muss, lässt sich nicht generell festlegen. Vielmehr hängt dies zum Beispiel von der Größe der Einrichtung ab, in welchem Maße Daten verarbeitet werden und ob ihm noch weitere Mitarbeiter zugeordnet sind. Demnach muss die verantwortliche Stelle selbst überblicken, wieviel Zeit der betriebliche Datenschutzbeauftragte für die Wahrnehmung seiner Aufgaben benötigt.

Als betrieblicher Datenschutzbeauftragter darf nur benannt werden, wer die erforderliche Fachkunde und Zuverlässigkeit (§ 36 Abs. 6 KDG) besitzt, die zur Ausführung der Tätigkeit erforderlich ist. Das heißt in Bezug auf die Fachkunde, dass der Verantwortliche sicherstellt, dass der betriebliche Datenschutzbeauftragte entsprechende Schulungen und Weiterbildungen besucht, sodass er in datenschutzrechtlichen Fragestellungen beratend tätig werden kann.

Detaillierte Informationen finden Sie unter:

Link zur Info über Mindestinhalte Fachkunde eines betrieblichen Datenschutzbeauftragten