Die Verschlüsselung von E‑Mailinhalten oder E‑Mail-Anhängen scheint noch immer technisch aufwendig und die Kenntnisse kryptografischer Verfahren sind in vielen IT-Abteilungen noch nicht umfangreich vorhanden. Da erscheint es naheliegend, mit dem Empfänger der Korrespondenz einen Verzicht auf die sperrige Datensicherheit zu vereinbaren. Dieser Idee hat die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland für den Geltungsberiech des KDG nun eine Absage erteilt.
“Nach Beschluss der Diözesandatenschutzbeauftragten der Katholischen Kirche dürfen Verantwortliche nicht versuchen, sich nicht ausreichende technische und organisatorische Datenschutzmaßnahmen durch Einwilligungen der Betroffenen legitimieren zu lassen.” – Matthias Herkert
Risiken digitaler Kommunikation
Dass jede digitale Kommunikation über öffentliche Netzwerke, wie z.B. das Internet, Risiken birgt, ist unbestritten. Auch die Gefahr, dass Daten auf dem Weg vom Sender zum Empfänger korrumpiert werden können (z.B. über man-in-the-middle attacks), überrascht nicht. Den bekannten Risiken stehen in der Praxis die zum Teil nicht unerheblichen Kosten der IT-Sicherheit und Know-How-Anforderungen gegenüber, die längst nicht mehr in jeder IT-Abteilung vorgehalten werden können.
Geringes IT-Sicherheitsniveau als Vereinbarung zwischen den Parteien
Vor diesem Hintergrund liegt es nahe, dass in der Praxis der Wunsch bestehen mag, technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus, die das (datenschutz-)rechtlich vorgegebene Niveau unterschreiten oder auf einzelne Aspekte der Datensicherheit gänzlich zu verzichten, vertraglich zu vereinbaren oder mittels Einwilligung abzufragen.
Beschlüsse der Konferenz der Diözesandatenschutzbeauftragten
An dieser Stelle hat sich die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland mit ihrem Beschluss zur »Möglichkeit der Einwilligung in schlechtere technische und organisatorische Maßnahmen« vom 19. September 2019 nun klar positioniert (HIER geht es zur PDF-Datei des Beschlusses auf der Seite des Katholischen Datenschutzzentrums in Frankfurt).
Gesetzlich normiertes IT-Sicherheitsniveau ist zwingender Natur
Die in § 26 KDG normierte Verpflichtung des Verantwortlichen, geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus zu treffen, sei nach Auffassung der Diözesandatenschutzbeauftragten zwingender Natur und stehe mithin nicht zur Disposition der an der Datenverarbeitung Beteiligten.
Insbesondere dürfe der Verantwortliche nicht durch ein Einwilligungsersuchen den Versuch unternehmen, sich nicht ausreichend geeignete technische und organisatorische Maßnahmen durch den Betroffenen legitimieren zu lassen.
Schlüssig begründen die Diözesandatenschutzbeauftragten ihre Auffassung damit, dass die in diesem Kontext teilweise eingeforderten Einwilligungen im Grunde nicht als eigentliche Rechtsgrundlage für die Verarbeitung dienen sollen, sondern für eine an sich schon gerechtfertigte Verarbeitung lediglich eine negative Abweichung von technischen oder organisatorischen Schutzmaßnahmen legitimiert werden sollen.
Fazit
Die in § 26 KDG getroffenen Regelungen zu technischen und organisatorischen Datenschutzmaßnehmen wie auch deren Konkretisierung in Kapitel 3 der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) definieren unter Berücksichtigung des jeweiligen Stands der Technik ein gesetzliches Mindestmaß an Datensicherheit. Es erscheint gerade mit Blick darauf, dass zwischen der betroffenen Person und dem Verantwortlichen in vielen Fällen ein klares Ungleichgewicht besteht, schlüssig und richtig, dass dieses Mindestmaß für beide Parteien verbindlich sein soll. Nur so ist ein wirksamer Grad an Datensicherheit tatsächlich zu erreichen.
Artikel zum selben Thema:
Löschkonzept nach DSGVO: Warum Daten wegkönnen, ja sogar müssen!
Einleitung: Digitale „Aufheberitis“ in Unternehmen Wir alle kennen diesen einen Kollegen, der E‑Mails aus dem Jahr 2005 aufbewahrt, “weil […]
Das Berechtigte Interesse – Worauf bei der Heranziehung als Rechtsgrundlage für die Datenverarbeitung zu achten ist
Möchte man personenbezogene Daten verarbeiten, kommt man nicht umhin, sich mit der dafür erforderlichen Rechtsgrundlage zu beschäftigen. Gerne wird […]
Neues Jahr – neue Themen…
Ein neues Jahr bringt auch eine neue Datenschutz-Agenda mit sich – Zeit um sich diejenigen Themen anzusehen, die das […]