“Wie die staat­li­chen Auf­sichts­be­hör­den, weist auch die Kon­fe­renz der Diö­ze­san­da­ten­schutz­be­auf­trag­ten der Katho­li­schen Kir­che Deutsch­land dar­auf hin, dass die nun vor­lie­gen­de Lis­te kei­nes­falls abschlie­ßend zu ver­ste­hen ist.” – Mat­thi­as Herkert

Die Kon­fe­renz der Diö­ze­san­da­ten­schutz­be­auf­trag­ten der Katho­li­schen Kir­che Deutsch­land hat auf Ihrer Sit­zung vom 26.07.2018 in Frank­furt eine Posi­tiv­lis­te von Ver­ar­bei­tungs­vor­gän­gen ver­ab­schie­det, für die i.S.d. § 35 des Geset­zes über den Kirch­li­chen Daten­schutz (KDG) eine Datenschutz-Folgenabschätzung (DSFA) erfor­der­lich ist.
Ver­gleich­bar mit Art. 35 Abs. 4 der Datenschutz-Grundverordnung  (DSGVO),  der die Auf­sichts­be­hör­den auf­for­dert, eine Lis­te der Ver­ar­bei­tungs­vor­gän­ge zu erstel­len und zu ver­öf­fent­li­chen, für die eine Datenschutz-Folgenabschätzung durch­zu­füh­ren ist (Posi­tiv­lis­te), soll auch die Daten­schutz­auf­sicht gemäß § 35 Abs. 5 KDG für den Anwen­dungs­be­reich des KDG eine ent­spre­chen­de Lis­te von Ver­ar­bei­tungs­tä­tig­kei­ten erstel­len, bei denen aus Sicht der Diö­ze­san­da­ten­schutz­be­auf­trag­ten immer eine DSFA durch­zu­füh­ren ist.

Die Über­sicht der Diö­ze­san­da­ten­schutz­be­auf­trag­ten ori­en­tiert sich erkenn­bar an den Lis­ten der staat­li­chen Auf­sichts­be­hör­den (DSFA Lis­te der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der (Daten­schutz­kon­fe­renz) vom 10.07.2018) und greift erwar­tungs­ge­mäß die Kri­te­ri­en zur Ein­ord­nung von Ver­ar­bei­tungs­vor­gän­gen des Working Paper (WP) 248 vom 4. April 2017 der Artikel-29-Gruppe (Vor­gän­ger des Euro­päi­schen Daten­schutz­aus­schus­ses als Zusam­men­schluss aller natio­na­len Datenschutz-Aufsichtsbehörden in der Euro­päi­schen Uni­on) auf.
Wie die staat­li­chen Auf­sichts­be­hör­den, weist auch die Kon­fe­renz der Diö­ze­san­da­ten­schutz­be­auf­trag­ten der Katho­li­schen Kir­che Deutsch­land dar­auf hin, dass die nun vor­lie­gen­de Lis­te kei­nes­falls abschlie­ßend zu ver­ste­hen ist. Wird  eine Ver­ar­bei­tungs­tä­tig­keit in der vor­lie­gen­den Lis­te nicht auf­ge­führt, so kön­ne hier­aus kei­nes­falls der Schluss gezo­gen wer­den, dass kei­ne DSFA durch­zu­füh­ren wäre.

Um die Lis­te für die Pra­xis trans­pa­ren­ter und ver­ständ­li­cher zu machen, wer­den die Beschrei­bung der Ver­ar­bei­tungs­tä­tig­kei­ten und die Benen­nung der typi­schen Ein­satz­fel­der um durch­aus pra­xis­na­he Anwen­dungs­fäl­le aus dem kirch­li­chen Anwen­dungs­be­reich des KDG ergänzt. Bei­spie­le wie etwa die Über­mitt­lung von Bewoh­ner­da­ten durch eine Ein­rich­tung an einen Apo­the­ken­dienst zur Medi­ka­men­ten­ver­sor­gung oder die Daten­er­fas­sung von Stand­or­ten, Fahr­stre­cken und Ver­weil­zei­ten zur Rou­ten­op­ti­mie­rung durch einen ambu­lan­ten Dienst grei­fen die täg­li­che Pra­xis vie­ler Ein­rich­tun­gen auf und decken nicht sel­ten Hand­lungs­be­dar­fe auf.

Abschlie­ßend wei­sen die Diö­ze­san­da­ten­schutz­be­auf­trag­ten dar­auf hin, dass bei der Aus­füh­rung von Ver­ar­bei­tungs­vor­gän­gen, die  in § 35 Abs. 4 KDG oder der nun vor­lie­gen­den Posi­tiv­lis­te auf­ge­führt sind, ohne vor­he­ri­ge Durch­füh­rung einer DSFA, die zustän­di­ge Daten­schutz­auf­sicht wegen Ver­sto­ßes gegen § 35 Abs. 1 KDG von ihren Abhil­fe­be­fug­nis­sen gemäß § 47 KDG ein­schließ­lich der Ver­hän­gung von Geld­bu­ßen gemäß § 51 KDG Gebrauch machen könne.