“Nach Beschluss der Diö­ze­san­da­ten­schutz­be­auf­trag­ten der Katho­li­schen Kir­che dür­fen Ver­ant­wort­li­che nicht ver­su­chen, sich nicht aus­rei­chen­de tech­ni­sche und orga­ni­sa­to­ri­sche Daten­schutz­maß­nah­men durch Ein­wil­li­gun­gen der Betrof­fe­nen legi­ti­mie­ren zu las­sen.” – Mat­thi­as Herkert

Risi­ken digi­ta­ler Kommunikation

Dass jede digi­ta­le Kom­mu­ni­ka­ti­on über öffent­li­che Netz­wer­ke, wie z.B. das Inter­net, Risi­ken birgt, ist unbe­strit­ten. Auch die Gefahr, dass Daten auf dem Weg vom Sen­der zum Emp­fän­ger kor­rum­piert wer­den kön­nen (z.B. über man-in-the-middle attacks), über­rascht nicht. Den bekann­ten Risi­ken ste­hen in der Pra­xis die zum Teil nicht uner­heb­li­chen Kos­ten der IT-Sicherheit und Know-How-Anforderungen gegen­über, die längst nicht mehr in jeder IT-Abteilung vor­ge­hal­ten wer­den können.

Gerin­ges IT-Sicherheitsniveau als Ver­ein­ba­rung zwi­schen den Parteien

Vor die­sem Hin­ter­grund liegt es nahe, dass in der Pra­xis der Wunsch bestehen mag, tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zur Gewähr­leis­tung eines ange­mes­se­nen Schutz­ni­veaus, die das (datenschutz-)rechtlich vor­ge­ge­be­ne Niveau unter­schrei­ten oder auf ein­zel­ne Aspek­te der Daten­si­cher­heit gänz­lich zu ver­zich­ten, ver­trag­lich zu ver­ein­ba­ren oder mit­tels Ein­wil­li­gung abzufragen.

Beschlüs­se der Kon­fe­renz der Diözesandatenschutzbeauftragten

An die­ser Stel­le hat sich die Kon­fe­renz der Diö­ze­san­da­ten­schutz­be­auf­trag­ten der Katho­li­schen Kir­che Deutsch­land mit ihrem Beschluss zur »Mög­lich­keit der Ein­wil­li­gung in schlech­te­re tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men« vom 19. Sep­tem­ber 2019 nun klar posi­tio­niert (HIER geht es zur PDF-Datei des Beschlus­ses auf der Sei­te des Katho­li­schen Daten­schutz­zen­trums in Frankfurt).

Gesetz­lich nor­mier­tes IT-Sicherheitsniveau ist zwin­gen­der Natur

Die in § 26 KDG nor­mier­te Ver­pflich­tung des Ver­ant­wort­li­chen, geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zur Gewähr­leis­tung eines ange­mes­se­nen Schutz­ni­veaus zu tref­fen, sei nach Auf­fas­sung der Diö­ze­san­da­ten­schutz­be­auf­trag­ten zwin­gen­der Natur und ste­he mit­hin nicht zur Dis­po­si­ti­on der an der Daten­ver­ar­bei­tung Beteiligten.

Ins­be­son­de­re dür­fe der Ver­ant­wort­li­che nicht durch ein Ein­wil­li­gungs­er­su­chen den Ver­such unter­neh­men, sich nicht aus­rei­chend geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men durch den Betrof­fe­nen legi­ti­mie­ren zu lassen.

Schlüs­sig begrün­den die Diö­ze­san­da­ten­schutz­be­auf­trag­ten ihre Auf­fas­sung damit, dass die in die­sem Kon­text teil­wei­se ein­ge­for­der­ten Ein­wil­li­gun­gen im Grun­de nicht als eigent­li­che Rechts­grund­la­ge für die Ver­ar­bei­tung die­nen sol­len, son­dern für eine an sich schon gerecht­fer­tig­te Ver­ar­bei­tung ledig­lich eine nega­ti­ve Abwei­chung von tech­ni­schen oder orga­ni­sa­to­ri­schen Schutz­maß­nah­men legi­ti­miert wer­den sollen.

Fazit

Die in § 26 KDG getrof­fe­nen Rege­lun­gen zu tech­ni­schen und orga­ni­sa­to­ri­schen Daten­schutz­maß­neh­men wie auch deren Kon­kre­ti­sie­rung in Kapi­tel 3 der Durch­füh­rungs­ver­ord­nung zum Gesetz über den Kirch­li­chen Daten­schutz (KDG-DVO) defi­nie­ren unter Berück­sich­ti­gung des jewei­li­gen Stands der Tech­nik ein gesetz­li­ches Min­dest­maß an Daten­si­cher­heit. Es erscheint gera­de mit Blick dar­auf, dass zwi­schen der betrof­fe­nen Per­son und dem Ver­ant­wort­li­chen in vie­len Fäl­len ein kla­res Ungleich­ge­wicht besteht, schlüs­sig und rich­tig, dass die­ses Min­dest­maß für bei­de Par­tei­en ver­bind­lich sein soll. Nur so ist ein wirk­sa­mer Grad an Daten­si­cher­heit tat­säch­lich zu erreichen.