Nach Inkraft­tre­ten des Geset­zes über den Kirch­li­chen Daten­schutz (KDG) am 24. Mai 2018 tritt am 01. März 2019 die inzwi­schen von einer Exper­ten­kom­mis­si­on des Ver­ban­des der Diö­ze­sen Deutsch­lands (VDD) aus­ge­ar­bei­te­te Durch­füh­rungs­ver­ord­nung zum Gesetz über den Kirch­li­chen Daten­schutz (KDG-DVO) in Kraft*. „Mit im Gepäck“ hat die neue Durch­füh­rungs­ver­ord­nung eine Emp­feh­lung zur Erwei­te­rung des Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten um zusätz­li­che Angaben.

Gera­de in klei­ne­ren kirch­li­chen und sozia­len Ein­rich­tun­gen, in denen das IT-Know-How zur Beschrei­bung der Ver­ar­bei­tung häu­fig nicht in der Ein­rich­tung sel­ber son­dern bei einem exter­nen IT-Betreuer vor­han­den ist, wird die Erfas­sung durch die Tren­nung der Ver­ant­wor­tun­gen meist deut­lich ver­ein­facht.” – Mat­thi­as Herkert

Mit Bezug auf § 1 Abs. 3 KDG-DVO, wonach Mus­ter der Kon­fe­renz der Diö­ze­san­da­ten­schutz­be­auf­trag­ten (DDSB) grund­sätz­lich nur den gefor­der­ten Min­dest­stan­dard dar­stel­len, wird nun auch in der Durch­füh­rungs­ver­ord­nung zum KDG noch­mals deut­lich, dass die in § 31 KDG genann­ten Inhal­te des Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten (VvT) zwar den gesetz­li­chen, kei­nes­falls aber den abschlie­ßend „sinn­vol­len“ Umfang bei der Erfas­sung von Ver­ar­bei­tun­gen darstellen.

In die­sem Kon­text scheint ins­be­son­de­re die Erfas­sung IT-technischer Details der Ver­ar­bei­tun­gen durch­aus sinn­voll. Der Fokus soll­te dabei bereits bei der Gestal­tung der Fra­gen auf einer Beur­tei­lung der IT-Sicherheitsaspekte ent­lang den gesetz­li­chen For­de­run­gen aus § 26 KDG (ver­gleich­bar mit der Sicher­heit der Ver­ar­bei­tung in Art. 32 DSGVO liegen.

Wäh­rend in vie­len im Inter­net ver­füg­ba­ren Erfas­sungs­vor­schlä­gen und For­mu­lie­rungs­hil­fen eine the­ma­ti­sche Ver­mi­schung der gesetz­li­chen Anfor­de­run­gen an das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten und den IT-Sicherheitsthemen vor­ge­schla­gen wird, erscheint uns in der Pra­xis eine kla­re Tren­nung der The­men in einen (gesetz­li­chen) Teil der Erfas­sung der Ver­ar­bei­tung, einen (tech­ni­schen) Teil zur IT-Sicherheit und einen (juris­ti­schen) Teil zur daten­schutz­recht­li­chen Beur­tei­lung ziel­füh­ren­der. Gera­de in klei­ne­ren kirch­li­chen und sozia­len Ein­rich­tun­gen, in denen das IT-Know-How zur Beschrei­bung der Ver­ar­bei­tung häu­fig nicht in der Ein­rich­tung sel­ber son­dern bei einem exter­nen IT-Betreuer vor­han­den ist, wird die Erfas­sung durch die Tren­nung der Ver­ant­wor­tun­gen meist deut­lich vereinfacht.

Unge­ach­tet des tat­säch­li­chen Umfangs der Erfas­sung, soll­te das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten in den Ein­rich­tun­gen so geführt wer­den, dass bei einer Auf­for­de­rung zur Offen­le­gung durch die Daten­schutz­auf­sicht (§ 31 Abs. 3 Alt. 2 KDG) eine Begren­zung der Infor­ma­tio­nen auf die gesetz­li­chen Umfän­ge ohne wei­te­res mög­lich ist.

Ob dane­ben die Emp­feh­lung des katho­li­schen Daten­schutz­zen­trums, das Ver­zeich­nis nicht als „büro­kra­ti­sche Pflicht, son­dern als hilf­rei­ches Nach­schla­ge­werk auch für eine inner­be­trieb­li­che Ver­wen­dung“ zu ver­ste­hen in der Pra­xis in dem zu wün­schen­den Umfang gefolgt wird, bleibt abzuwarten.

Die Über­gangs­frist zur Umstel­lung bereits unter der Anord­nung über den kirch­li­chen Daten­schutz (KDO) erstell­ter Ver­fah­rens­ver­zeich­nis­se läuft gemäß § 1 Abs. 4 KDG-DVO, § 57 Abs. 4 KDG jeden­falls am 30. Juni 2019 ab, genau­so wie die Frist für die Erfas­sung von Ver­ar­bei­tungs­tä­tig­kei­ten, die bereits zum  Zeit­punkt des Inkraft­tre­tens der Durch­füh­rungs­ver­ord­nung durch­ge­führt wur­den und für die noch kein Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten erstellt wur­de (§ 1 Abs. 2 KDG-DVO).

Autor: Mat­thi­as Her­kert, Lei­ter Fach­be­reich Con­sul­ting und exter­ner Datenschutzbeauftragter

Hier­zu unse­rem Bei­trag über die neue KDG-DVO

Artikel zum selben Thema:

AI-Act – ein Überblick

20. Juni 2024|

Der sog. Arti­fi­ci­al Intel­li­gence Act (AI-Act, KI-Gesetz) wur­de am 13. März 2024 vom Euro­päi­schen Par­la­ment beschlos­sen und am 21. […]

Die Zulässigkeit digitaler Entgeltabrechnungen

22. Mai 2024|

Die Zuläs­sig­keit digi­ta­ler Ent­gelt­ab­rech­nun­gen Es ist mitt­ler­wei­le üblich, dass wir Rech­nun­gen und Doku­men­te digi­tal erhal­ten. Zu den­ken sind an […]

eAU: Neuerungen für Arbeitgeber

2. Mai 2024|

eAU: Neue­run­gen für Arbeit­ge­ber Seit dem 01.01.2023 gilt für Arbeit­ge­ber die Pflicht, die Arbeits­un­fä­hig­keits­be­schei­ni­gung (AU) ihrer Beschäf­tig­ten digi­tal abzurufen. […]

Autor des Artikels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter