“Gera­de in klei­ne­ren kirch­li­chen und sozia­len Ein­rich­tun­gen, in denen das IT-Know-How zur Beschrei­bung der Ver­ar­bei­tung häu­fig nicht in der Ein­rich­tung sel­ber son­dern bei einem exter­nen IT-Betreuer vor­han­den ist, wird die Erfas­sung durch die Tren­nung der Ver­ant­wor­tun­gen meist deut­lich ver­ein­facht.” – Mat­thi­as Herkert

Mit Bezug auf § 1 Abs. 3 KDG-DVO, wonach Mus­ter der Kon­fe­renz der Diö­ze­san­da­ten­schutz­be­auf­trag­ten (DDSB) grund­sätz­lich nur den gefor­der­ten Min­dest­stan­dard dar­stel­len, wird nun auch in der Durch­füh­rungs­ver­ord­nung zum KDG noch­mals deut­lich, dass die in § 31 KDG genann­ten Inhal­te des Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten (VvT) zwar den gesetz­li­chen, kei­nes­falls aber den abschlie­ßend „sinn­vol­len“ Umfang bei der Erfas­sung von Ver­ar­bei­tun­gen darstellen.

In die­sem Kon­text scheint ins­be­son­de­re die Erfas­sung IT-technischer Details der Ver­ar­bei­tun­gen durch­aus sinn­voll. Der Fokus soll­te dabei bereits bei der Gestal­tung der Fra­gen auf einer Beur­tei­lung der IT-Sicherheitsaspekte ent­lang den gesetz­li­chen For­de­run­gen aus § 26 KDG (ver­gleich­bar mit der Sicher­heit der Ver­ar­bei­tung in Art. 32 DSGVO liegen.

Wäh­rend in vie­len im Inter­net ver­füg­ba­ren Erfas­sungs­vor­schlä­gen und For­mu­lie­rungs­hil­fen eine the­ma­ti­sche Ver­mi­schung der gesetz­li­chen Anfor­de­run­gen an das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten und den IT-Sicherheitsthemen vor­ge­schla­gen wird, erscheint uns in der Pra­xis eine kla­re Tren­nung der The­men in einen (gesetz­li­chen) Teil der Erfas­sung der Ver­ar­bei­tung, einen (tech­ni­schen) Teil zur IT-Sicherheit und einen (juris­ti­schen) Teil zur daten­schutz­recht­li­chen Beur­tei­lung ziel­füh­ren­der. Gera­de in klei­ne­ren kirch­li­chen und sozia­len Ein­rich­tun­gen, in denen das IT-Know-How zur Beschrei­bung der Ver­ar­bei­tung häu­fig nicht in der Ein­rich­tung sel­ber son­dern bei einem exter­nen IT-Betreuer vor­han­den ist, wird die Erfas­sung durch die Tren­nung der Ver­ant­wor­tun­gen meist deut­lich vereinfacht.

Unge­ach­tet des tat­säch­li­chen Umfangs der Erfas­sung, soll­te das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten in den Ein­rich­tun­gen so geführt wer­den, dass bei einer Auf­for­de­rung zur Offen­le­gung durch die Daten­schutz­auf­sicht (§ 31 Abs. 3 Alt. 2 KDG) eine Begren­zung der Infor­ma­tio­nen auf die gesetz­li­chen Umfän­ge ohne wei­te­res mög­lich ist.

Ob dane­ben die Emp­feh­lung des katho­li­schen Daten­schutz­zen­trums, das Ver­zeich­nis nicht als „büro­kra­ti­sche Pflicht, son­dern als hilf­rei­ches Nach­schla­ge­werk auch für eine inner­be­trieb­li­che Ver­wen­dung“ zu ver­ste­hen in der Pra­xis in dem zu wün­schen­den Umfang gefolgt wird, bleibt abzuwarten.

Die Über­gangs­frist zur Umstel­lung bereits unter der Anord­nung über den kirch­li­chen Daten­schutz (KDO) erstell­ter Ver­fah­rens­ver­zeich­nis­se läuft gemäß § 1 Abs. 4 KDG-DVO, § 57 Abs. 4 KDG jeden­falls am 30. Juni 2019 ab, genau­so wie die Frist für die Erfas­sung von Ver­ar­bei­tungs­tä­tig­kei­ten, die bereits zum  Zeit­punkt des Inkraft­tre­tens der Durch­füh­rungs­ver­ord­nung durch­ge­führt wur­den und für die noch kein Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten erstellt wur­de (§ 1 Abs. 2 KDG-DVO).

Autor: Mat­thi­as Her­kert, Lei­ter Fach­be­reich Con­sul­ting und exter­ner Datenschutzbeauftragter

Hier­zu unse­rem Bei­trag über die neue KDG-DVO