Das neue KDG - Übersicht und Arbeitshilfen - Steffen Pau 26. April 2018 - Übersicht und Arbeitshilfen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
26. April 2018 Das neue KDG - Übersicht und Arbeitshilfen Steffen Pau
Für eine klare Linie. Unsere Themen // Datenschutzrecht der Kirche // Schlaglichter des neuen KDGs // Datenschutzaufsicht der Katholischen Kirche // Der betriebliche Datenschutzbeauftragte
Für eine klare Linie.
Datenschutzrecht der Kirche
// Die Kirche hat die Möglichkeit, Ihre Angelegenheiten im Rahmen der für alle geltenden
Gesetze selbst zu regeln (Art. 140 GG i.V.m. Art. 137 WRV).
Art. 140 GG:
Die Bestimmungen der Artikel 136, 137, 138, 139 und 141 der deutschen
Verfassung vom 11. August 1919 sind Bestandteil dieses Grundgesetzes.
Art. 137 Abs. 3 WRV
Jede Religionsgesellschaft ordnet und verwaltet ihre Angelegenheiten selbständig
innerhalb der Schranken des für alle geltenden Gesetzes. Sie verleiht ihre Ämter
ohne Mitwirkung des Staates oder der bürgerlichen Gemeinde.
Für eine klare Linie.
Datenschutzrecht der Kirche
// Art. 91 DSGVO
Artikel 91
Bestehende Datenschutzvorschriften von Kirchen und religiösen
Vereinigungen oder Gemeinschaften
(1) Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in
einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung
umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung
an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser
Verordnung in Einklang gebracht werden.
(2) Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß
Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht
durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann,
sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt.
Für eine klare Linie.
Datenschutzrecht der Kirche
// Die Katholische Kirche hat die bisher geltende „Anordnung über den kirchlichen
Datenschutz“ mit der DSGVO „in Einklang“ gebracht und das „Gesetz über den
kirchlichen Datenschutz“ (KDG) erlassen.
// Der Musterentwurf des Verbandes der Diözesen Deutschlands wurde in jeder
(Erz)Diözese als eigenes Gesetz vom (Erz)Bischof erlassen und im Gesetzblatt
veröffentlicht.
// Die Evangelische Kirche Deutschlands hat ihr Datenschutzgesetz ebenfalls mit der
DSGVO „in Einklang“ gebracht und das „Kirchengesetz über den Datenschutz der
Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD)“
beschlossen.Für eine klare Linie.
Datenschutzrecht der Kirche
// Für einige Bereiche gibt es auch noch spezialrechtliche Regelungen (z.B. Schul-
KDO, PatDSO, Ausführungsrichtlinien zur KDO für den pfarramtlichen Bereich).
// Ausführungsbestimmungen zum Gesetz sind in der KDO-DVO enthalten (gilt bis zur
Neufassung weiter, soweit sie dem KDG nicht widerspricht, längstens aber bis zum
30.06.2019, vgl. § 57 Abs. 5 KDG).
// Verträge zur Auftragsverarbeitung sind bis zum 31.12.2019 an die neue Rechtslage
anzupassen (§ 57 Abs. 3 KDG).
// Verzeichnis der Verarbeitungstätigkeiten muss spätestens bis 30.06.2019 vorliegen
(§ 57 Abs. 4 KDG).Für eine klare Linie. Unsere Themen // Datenschutzrecht der Kirche // Schlaglichter des neuen KDGs // Datenschutzaufsicht der Katholischen Kirche // Der betriebliche Datenschutzbeauftragte
Für eine klare Linie.
Schlaglichter des neuen KDGs
// Anwendungsbereich des KDG
§ 3 Organisatorischer Anwendungsbereich
(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch folgende kirchliche Stellen:
a) die Diözese, die Kirchengemeinden, die Kirchenstiftungen und die Kirchengemeindeverbände,
b) den Deutschen Caritasverband, die Diözesan-Caritasverbände, ihre Untergliederungen und ihre
Fachverbände ohne Rücksicht auf ihre Rechtsform,
c) die kirchlichen Körperschaften, Stiftungen, Anstalten, Werke, Einrichtungen und die sonstigen
kirchlichen Rechtsträger ohne Rücksicht auf ihre Rechtsform.
(2) Dieses Gesetz findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im
Rahmen der Tätigkeiten eines Verantwortlichen oder eines Auftragsverarbeiters erfolgt, unabhängig
davon, wo die Verarbeitung stattfindet, wenn diese im Rahmen oder im Auftrag einer kirchlichen Stelle
erfolgt.
Ø Das kirchliche Recht ist auf alle kirchlichen Einrichtungen – unabhängig von ihrer Rechtsform –
anzuwenden, die der bischöflichen Gesetzgebungsgewalt unterliegen.Für eine klare Linie.
Schlaglichter des neuen KDGs
// Begriffsbestimmungen (§ 4 KDG)
„besondere Kategorien personenbezogener Daten“ (§ 4 Nr. 2 KDG)
… personenbezogene Daten, aus denen die rassische und ethnische
Herkunft, politische Meinungen, religiöse oder weltanschauliche
Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
sowie genetische Daten, biometrische Daten zur eindeutigen
Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten
zum Sexualleben oder der sexuellen Orientierung einer natürlichen
Person. Die Zugehörigkeit zu einer Kirche oder Religionsgemein-
schaft ist keine besondere Kategorie personenbezogener Daten.Für eine klare Linie.
Schlaglichter des neuen KDGs
// Verpflichtung auf das Datengeheimnis (§ 5 KDG)
§ KDG hat Verpflichtungserfordernis übernommen.
// Gesetzliche Verarbeitungsermächtigungen (§§ 6 ff. KDG)
§ Grundnorm (§ 6 KDG) aus der DSGVO übernommen (Art. 5 DSGVO).
§ Aus dem bisher geltenden Recht wurden die §§ 9 und 10 KDG für die
Offenlegung gegenüber kirchlichen und nicht-kirchlichen Stellen
übernommen.Für eine klare Linie.
Schlaglichter des neuen KDGs
// Einwilligung Minderjähriger (§ 8 Abs. 8 KDG)
§ KDG legt die Altersgrenze auf 16 Jahre fest (vorher nur mit Einwilligung
Personensorgeberechtigte).
§ Ausnahme für kostenfreie Beratungsangebote kirchlicher Stellen, bei denen
eine Einwilligung nur bis zum 13. Lebensjahr notwendig ist.
// Zertifizierungen und Verhaltensregeln (Art. 40 ff. DSGVO)
§ Im KDG nicht als eigene Aufgabe geregelt.
§ Verhaltensregeln oder Zertifizierungen nach DSGVO können aber anerkannt
werden (vgl. § 29 Abs. 6 KDG für Auftragsverarbeitungen).Für eine klare Linie.
Schlaglichter des neuen KDGs
// Verarbeitung personenbezogener Daten im Auftrag (§ 29 KDG)
§ Da die Auftragsverarbeiter der Kirche nicht unbedingt aus dem kirchlichen
Bereich kommen, sind einige spezielle Regelungen für Auftragsver-
arbeiter nicht oder nicht wie in der DSGVO übernommen worden.
§ Verarbeitung nur im Geltungsbereich der DSGVO (§ 29 Abs. 11 KDG).
§ Wartungsverträge weiter als Auftragsverarbeitung zu qualifizieren, wenn
Zugriff auf personenbezogene Daten im Rahmen des Auftrags nicht
ausgeschlossen werden kann (§ 29 Abs. 12 KDG).Für eine klare Linie.
Schlaglichter des neuen KDGs
// Datenschutz-Folgenabschätzung (§ 35 KDG)
§ Beteiligung der Datenschutzaufsicht möglich (§ 35 Abs. 3 KDG).
// Videoüberwachung (§ 52 KDG)
§ Regelung aus dem bisherigen Recht übernommen.Für eine klare Linie. Unsere Themen // Datenschutzrecht der Kirche // Schlaglichter des neuen KDGs // Datenschutzaufsicht der Katholischen Kirche // Der betriebliche Datenschutzbeauftragte
Für eine klare Linie.
DiözesandatenschutzbeauftragteFür eine klare Linie.
Datenschutzaufsicht der Katholischen Kirche
// Art. 91 DSGVO
Artikel 91
Bestehende Datenschutzvorschriften von Kirchen und religiösen
Vereinigungen oder Gemeinschaften
(1) Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in
einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung
umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung
an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser
Verordnung in Einklang gebracht werden.
(2) Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß
Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht
durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann,
sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt.Für eine klare Linie.
Datenschutzaufsicht der Katholischen Kirche
// Organisation der Aufsicht
§ Organisatorische und sachliche Unabhängigkeit der Aufsicht (§ 43 Abs. 1
KDG).
§ Hauptamtliche Wahrnehmung (§ 43 Abs. 2 Satz 1 KDG).
§ Eigener jährlicher Haushalt (§ 43 Abs. 4 Satz 2 KDG).
// Austausch mit anderen Aufsichten (§ 46 KDG)
§ Konferenz der Diözesandatenschutzbeauftragten in der Katholischen Kirche
Deutschlands.
§ Regelmäßige Abstimmung mit dem BfD EKD und den Landesbeauftragten.
§ Eingebunden in innerstaatliches Kohärenzverfahren (§ 18 Abs. 1 Satz 4
BDSG neu).Für eine klare Linie.
Datenschutzaufsicht der Katholischen Kirche
// Gerichtliche Rechtsbehelfe (§ 49 KDG)
§ Rechtsschutzmöglichkeiten in datenschutzrechtlichen Fragen werden
eingerichtet.
// Geldbußen (§ 51 KDG)
§ Rahmen für Geldbußen bis 500.000 Euro.
§ Abwägung des Einzelfalls gemäß § 51 Abs. 3 KDG.
// Meldungen an die Datenschutzaufsicht
§ Online-Meldung der Kontaktdaten des betr. Datenschutzbeauftragten gemäß
§ 36 Abs. 4 Satz 2 KDG geplant.
§ Meldung von „Datenpannen“ gemäß § 33 KDG soll ebenfalls online möglich
sein.Für eine klare Linie. Datenschutzaufsicht der Katholischen Kirche Informationen mit ToDo´s bis zum Inkrafttreten des KDG
Für eine klare Linie. Datenschutzaufsicht der Katholischen Kirche Diözesandatenschutzbeauftragten bereiten gerade diverse Muster und Vorlagen vor, die jetzt kurzfristig zur Verfügung gestellt werden.
Für eine klare Linie. Datenschutzaufsicht der Katholischen Kirche Ablauf von Prüfungen // Kontaktaufnahme mit der Einrichtung // Terminvereinbarung und Absprache zur Prüfung (Teilnehmer) // Prüftermin vor Ort // Bericht mit Maßnahmenplan // evtl. Feststellung von Beanstandungen // Rückmeldungen innerhalb der Fristen
Für eine klare Linie. Datenschutzaufsicht der Katholischen Kirche Typische Diskussionspunkte bei Prüfungen: // betrieblicher Datenschutzbeauftragter // Verarbeitungsverzeichnisse // Auftragsverarbeitung // Verpflichtungserklärung // Einwilligungen // Mitarbeiterschulungen // Vorabkontrolle // Entsorgung und Löschung von Daten und Akten // Umsetzung der technischen und organisatorischen Maßnahmen // Videoüberwachung // Veröffentlichungen im Internet
Für eine klare Linie. Unsere Themen // Datenschutzrecht der Kirche // Schlaglichter des neuen KDGs // Datenschutzaufsicht der Katholischen Kirche // Der betriebliche Datenschutzbeauftragte
Für eine klare Linie.
Der betriebliche Datenschutzbeauftragte
§ 36
Benennung von betrieblichen Datenschutzbeauftragten
(1) Kirchliche Stellen im Sinne des § 3 Absatz 1 lit. a) benennen
schriftlich einen betrieblichen Datenschutzbeauftragten.
(2) …
(Erz-)Diözesen, Kirchengemeinden,
Kirchenstiftungen, Kirchengemeinde-
verbändeFür eine klare Linie.
Der betriebliche Datenschutzbeauftragte
§ 36
Benennung von betrieblichen Datenschutzbeauftragten
(2) Kirchliche Stellen im Sinne des § 3 Absatz 1 lit. b) und c) benennen schriftlich einen betrieblichen
Datenschutzbeauftragten, wenn
a) sich bei ihnen in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener
Daten beschäftigen,
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbei-
tungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche
regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung
besonderer Kategorien personenbezogener Daten oder von personenbezogenen Daten über strafrecht-
liche Verurteilungen und Straftaten gemäß § 12 besteht.
Deutscher Caritasverband, Diözesan- Kirchliche Körperschaften, Stiftungen,
Caritasverbände, ihre Untergliederungen Anstalten, Werke, Einrichtungen und
und ihre Fachverbände ohne Rücksicht sonstige kirchliche Rechtsträger ohne
auf ihre Rechtsform Rücksicht auf ihre Rechtsform.Für eine klare Linie.
Der betriebliche Datenschutzbeauftragte
// Bestellung eines betrieblichen Datenschutzbeauftragten für mehrere Stellen möglich (§ 36
Abs. 3 KDG). Interne oder externe Bestellung möglich (§ 36 Abs. 5 KDG).
// “Rahmenbedingungen“ (fachliche Unabhängigkeit, „hinwirken“ auf die Einhaltung des
Datenschutzes, Unterstellung unter die Leitung, Kündigungsschutz) bleiben gleich (§ 37
KDG).
// Fachkunde und Zuverlässigkeit sind Bestellungsvoraussetzungen (§ 36 Abs. 6 KDG).
// Leiter der Einrichtung und Leiter IT ausgeschlossen (§ 36 Abs. 7 Satz 1 KDG).
// Bei „Teilzeit“-Datenschutzbeauftragten dürfen andere Aufgaben nicht so umfangreich sein,
dass er seinen Pflichten als Datenschutzbeauftragter nicht umgehend nachkommen kann
(§ 36 Abs. 7 Satz 2 KDG).Vielen Dank
für Ihre Aufmerksamkeit!
Katholisches Datenschutzzentrum (KdöR)
Brackeler Hellweg 144
44309 Dortmund
Tel. 0231 / 13 89 85 – 0
E-Mail: info@kdsz.de
www.katholisches-datenschutzzentrum.deSie können auch lesen
