Nach Inkraft­tre­ten des Geset­zes über den Kirch­li­chen Daten­schutz (KDG) am 24. Mai 2018 tritt am 01. März 2019 die inzwi­schen von einer Exper­ten­kom­mis­si­on des Ver­ban­des der Diö­ze­sen Deutsch­lands (VDD) aus­ge­ar­bei­te­te Durch­füh­rungs­ver­ord­nung zum Gesetz über den Kirch­li­chen Daten­schutz (KDG-DVO) in Kraft*. „Mit im Gepäck“ hat die neue Durch­füh­rungs­ver­ord­nung eine Emp­feh­lung zur Erwei­te­rung des Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten um zusätz­li­che Anga­ben.

Gera­de in klei­ne­ren kirch­li­chen und sozia­len Ein­rich­tun­gen, in denen das IT-Know-How zur Beschrei­bung der Ver­ar­bei­tung häu­fig nicht in der Ein­rich­tung sel­ber son­dern bei einem exter­nen IT-Betreuer vor­han­den ist, wird die Erfas­sung durch die Tren­nung der Ver­ant­wor­tun­gen meist deut­lich ver­ein­facht.” – Mat­thi­as Her­kert

Mit Bezug auf § 1 Abs. 3 KDG-DVO, wonach Mus­ter der Kon­fe­renz der Diö­ze­san­da­ten­schutz­be­auf­trag­ten (DDSB) grund­sätz­lich nur den gefor­der­ten Min­dest­stan­dard dar­stel­len, wird nun auch in der Durch­füh­rungs­ver­ord­nung zum KDG noch­mals deut­lich, dass die in § 31 KDG genann­ten Inhal­te des Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten (VvT) zwar den gesetz­li­chen, kei­nes­falls aber den abschlie­ßend „sinn­vol­len“ Umfang bei der Erfas­sung von Ver­ar­bei­tun­gen dar­stel­len.

In die­sem Kon­text scheint ins­be­son­de­re die Erfas­sung IT-technischer Details der Ver­ar­bei­tun­gen durch­aus sinn­voll. Der Fokus soll­te dabei bereits bei der Gestal­tung der Fra­gen auf einer Beur­tei­lung der IT-Sicherheitsaspekte ent­lang den gesetz­li­chen For­de­run­gen aus § 26 KDG (ver­gleich­bar mit der Sicher­heit der Ver­ar­bei­tung in Art. 32 DSGVO lie­gen.

Wäh­rend in vie­len im Inter­net ver­füg­ba­ren Erfas­sungs­vor­schlä­gen und For­mu­lie­rungs­hil­fen eine the­ma­ti­sche Ver­mi­schung der gesetz­li­chen Anfor­de­run­gen an das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten und den IT-Sicherheitsthemen vor­ge­schla­gen wird, erscheint uns in der Pra­xis eine kla­re Tren­nung der The­men in einen (gesetz­li­chen) Teil der Erfas­sung der Ver­ar­bei­tung, einen (tech­ni­schen) Teil zur IT-Sicherheit und einen (juris­ti­schen) Teil zur daten­schutz­recht­li­chen Beur­tei­lung ziel­füh­ren­der. Gera­de in klei­ne­ren kirch­li­chen und sozia­len Ein­rich­tun­gen, in denen das IT-Know-How zur Beschrei­bung der Ver­ar­bei­tung häu­fig nicht in der Ein­rich­tung sel­ber son­dern bei einem exter­nen IT-Betreuer vor­han­den ist, wird die Erfas­sung durch die Tren­nung der Ver­ant­wor­tun­gen meist deut­lich ver­ein­facht.

Unge­ach­tet des tat­säch­li­chen Umfangs der Erfas­sung, soll­te das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten in den Ein­rich­tun­gen so geführt wer­den, dass bei einer Auf­for­de­rung zur Offen­le­gung durch die Daten­schutz­auf­sicht (§ 31 Abs. 3 Alt. 2 KDG) eine Begren­zung der Infor­ma­tio­nen auf die gesetz­li­chen Umfän­ge ohne wei­te­res mög­lich ist.

Ob dane­ben die Emp­feh­lung des katho­li­schen Daten­schutz­zen­trums, das Ver­zeich­nis nicht als „büro­kra­ti­sche Pflicht, son­dern als hilf­rei­ches Nach­schla­ge­werk auch für eine inner­be­trieb­li­che Ver­wen­dung“ zu ver­ste­hen in der Pra­xis in dem zu wün­schen­den Umfang gefolgt wird, bleibt abzu­war­ten.

Die Über­gangs­frist zur Umstel­lung bereits unter der Anord­nung über den kirch­li­chen Daten­schutz (KDO) erstell­ter Ver­fah­rens­ver­zeich­nis­se läuft gemäß § 1 Abs. 4 KDG-DVO, § 57 Abs. 4 KDG jeden­falls am 30. Juni 2019 ab, genau­so wie die Frist für die Erfas­sung von Ver­ar­bei­tungs­tä­tig­kei­ten, die bereits zum  Zeit­punkt des Inkraft­tre­tens der Durch­füh­rungs­ver­ord­nung durch­ge­führt wur­den und für die noch kein Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten erstellt wur­de (§ 1 Abs. 2 KDG-DVO).

Autor: Mat­thi­as Her­kert, Lei­ter Fach­be­reich Con­sul­ting und exter­ner Daten­schutz­be­auf­trag­ter

Hier­zu unse­rem Bei­trag über die neue KDG-DVO

Artikel zum selben Thema:

Schrems II: Orientierungshilfe des LfDI BW und 101 Beschwerden

26. August 2020|

Der Lan­des­da­ten­schutz­be­auf­trag­te Baden-Württemberg hat eine Ori­en­tie­rungs­hil­fe zum inter­na­tio­na­len Daten­trans­fer ver­öf­fent­licht. Ent­hal­ten sind Hin­wei­se und eine Emp­feh­lung für das wei­te­re […]

Autor des Arti­kels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter
MEHR ZUM AUTOR