“Wesent­li­che Basis der Kon­zept­ent­wick­lung ist hier­bei (wei­ter­hin) eine vor des­sen Erstel­lung durch­zu­füh­ren­de Ana­ly­se der Daten­ver­ar­bei­tung.” – Mat­thi­as Herkert

Mit der Durch­füh­rungs­ver­ord­nung trifft der Gene­ral­vi­kar in den jewei­li­gen (Erz-)Bistümern gemäß § 56 KDG die für die Durch­füh­rung des Geset­zes über den Kirch­li­chen Daten­schutz (KDG) erfor­der­li­chen Kon­kre­ti­sie­run­gen und Rege­lun­gen. Die Durch­füh­rungs­ver­ord­nung tritt gemäß § 28 Abs. 1 KDG-DVO zum 01.03.2019 in Kraft und ist nach § 27 KDG-DVO spä­tes­tens bis zum 31.12.2019 umzusetzen.

Neben den inhalt­li­chen (Mindest-)Vorgaben zum Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten (Kapi­tel 1 der KDG-DVO) und der Ver­pflich­tung der Beschäf­tig­ten auf das Daten­ge­heim­nis (Kapi­tel 2 der KDG-DVO) erfüllt der Beschluss der Voll­ver­samm­lung des Ver­ban­des der Diö­ze­sen Deutsch­lands ins­be­son­de­re die gesetz­li­chen For­de­run­gen des § 56 lit. b KDG zur Fest­le­gung und Aus­ge­stal­tung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men gemäß § 26 KDG, die weit­ge­hend den For­de­run­gen des Art. 32 DSGVO (Sicher­heit der Ver­ar­bei­tung) entsprechen.

Der direk­te Bezug auf den IT-Grundschutzkatalog des Bun­des­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) und den Schutz­stan­dard der ISO 27001 als Ori­en­tie­rungs­maß­stab für die zu tref­fen­den Schutz­maß­nah­men bei der Ver­ar­bei­tung von Daten in Rechen­zen­tren (§ 8 KDG-DVO), wie auch die Vor­ga­ben zu Schutzbedarf- und Risi­ko­ana­ly­sen in den §§ 9 bis 14 KDG-DVO (Abschnitt 2 in Kapi­tel 3) sind sicher­lich auch für Gestal­tun­gen im Daten­schutz außer­halb des Anwen­dungs­be­rei­ches der KDG richtungsweisend.

Wie bereits aus der bis­he­ri­gen Durch­füh­rungs­ver­ord­nung des KDG bekannt, for­dert auch die KDG-DVO vom Ver­ant­wort­li­chen die Erstel­lung und Umset­zung eines Daten­schutz­kon­zep­tes im Sin­ne eines Kon­zept zur daten­schutz­recht­li­chen Aus­ge­stal­tung der IT-Systeme (§ 15 Abs. 4 KDG-DVO).

Wesent­li­che Basis der Kon­zept­ent­wick­lung ist hier­bei (wei­ter­hin) eine vor des­sen Erstel­lung durch­zu­füh­ren­de Ana­ly­se der Daten­ver­ar­bei­tung. Ver­gleich­bar unter ande­rem mit dem IT-Grundschutzkatalog des BSI ist hier­bei der Schutz­be­darf der per­so­nen­be­zo­ge­nen Daten durch eine Risi­ko­ana­ly­se zu ermit­teln (§ 9 Abs. 1 KDG-DVO), die zu einer Zuord­nung der Daten in eine von drei Daten­schutz­klas­sen führt (§ 9 Abs. Abs. 3 KDG-DVO). Die jewei­li­ge Zuord­nung erfor­dert in der Fol­ge die Ein­hal­tung des der Daten­schutz­klas­se zuge­ord­ne­ten Schutz­ni­veaus (§ 10 Abs. 1 KDG-DVO). Durch die in den §§ 11 bis 13 KDG-DVO für die jewei­li­gen Schutz­ni­veaus beschrie­be­nen Min­dest­stan­dards wird den Ver­ant­wort­li­chen aus der Durch­füh­rungs­ver­ord­nung bereits ein durch­aus pra­xis­na­her und anwend­ba­rer „Maß­nah­men­ka­ta­log“ vorgegeben.
Die Vor­ga­be von drei Daten­schutz­klas­sen (I bis III) berück­sich­tigt dabei die auch im Bereich der IT-Sicherheit ver­tre­te­ne Auf­fas­sung, dass bei stär­ke­rer Dif­fe­ren­zie­rung in der Pra­xis Pro­ble­me bei der ein­deu­ti­gen Zuord­nung von Schutz­maß­nah­men zu den Schutz­ni­veaus zu erwar­ten wären, wäh­rend bei weni­ger Daten­schutz­klas­sen häu­fig Anfor­de­run­gen zu erfüllt sein, die erheb­lich über dem tat­säch­li­chen Schutz­be­darf des betrof­fe­nen Datums lägen.

Im Ergeb­nis liegt mit der Durch­füh­rungs­ver­ord­nung zum Gesetz über den Kirch­li­chen Daten­schutz eine gelun­ge­ne Wei­ter­ent­wick­lung der bis­he­ri­gen Durch­füh­rungs­ver­ord­nung der Anord­nung über den Kirch­li­chen Daten­schutz vor, die ins­be­son­de­re im Bereich der IT-Sicherheitskonzepte und bei der Anpas­sung und „Moder­ni­sie­rung“ der in der Pra­xis zum Teil etwas „ange­staub­ten“ tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Daten­si­cher­heit Anpas­sungs­be­darf erfor­dern wird.