“Auch die in § 50 KDG neu defi­nier­te Haf­tung des Auf­trags­ver­ar­bei­ters bei Ver­stö­ßen soll­te, wenn auch wohl abwei­chend von den Rege­lun­gen des Arti­kel 82 DSGVO, in den Neu­fas­sun­gen beach­tet und ange­passt wer­den.” – Mat­thi­as Herkert

Pflicht zur Prü­fung und Anpas­sung der Altverträge

Sehr deut­lich wei­sen die Ver­ant­wort­li­chen des Refe­rats Daten­schutz der Erz­diö­ze­se Frei­burg in Ihrer Mit­tei­lung dar­auf hin, dass die Über­prü­fung der bestehen­den (Alt-)Verträge durch den jewei­li­gen betrieb­li­chen Daten­schutz­be­auf­trag­ten (bDSB) erfol­gen sol­le und die­ser den Ver­ant­wort­li­chen in den Ein­rich­tun­gen auch für mög­li­che Rück­fra­gen zur Ver­fü­gung stün­de (HIER geht es zur Mit­tei­lung der Erzdiözese).

Mit der inzwi­schen gewohnt pragmatisch-realistischen Ein­schät­zung der Situa­ti­on in vie­len Ein­rich­tun­gen und Diens­ten endet die Mit­tei­lung der Erz­diö­ze­se Frei­burg mit der Auf­for­de­rung, in Fäl­len, in denen bis­lang noch kein AV-Vertag geschlos­sen sei, die Dienst­leis­ter zum Abschluss eines AV-Vertrages auffordern.

Ände­rungs­be­darf soll­te nicht unter­schätzt werden

Dabei soll­te der not­wen­di­ge Änderungs- und Anpas­sungs­be­darf der Alt­ver­trä­ge nicht unter­schätzt wer­den. So hat sich im Über­gang von der KDO auf das KDG kei­nes­falls nur die Ter­mi­no­lo­gie von »Auf­trags­da­ten­ver­ar­bei­tung« auf »Auf­trags­ver­ar­bei­tung« geändert.

So ist etwa neben ande­ren The­men über § 31 Abs. 2 KDG seit dem 24. Mai 2019 (mit­hin bereits einen Tag län­ger als über die DSGVO) jeder Auf­trags­ver­ar­bei­ter durch den Ver­ant­wort­li­chen ver­trag­lich zu ver­pflich­ten, ein Ver­zeich­nis zu allen Kate­go­rien der im Auf­trag des Ver­ant­wort­li­chen durch­ge­führ­ten Tätig­kei­ten der Ver­ar­bei­tung (»Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten«) zu führen.

Wäh­rend unter der KDO die Aus­wahl des Auf­trags­ver­ar­bei­ters »sorg­fäl­tig« und »unter beson­de­rer Berück­sich­ti­gung der Eig­nung der von ihm getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men« erfol­gen muss­te (§ 8 abs. 2 S. 1 KDO), for­dert § 29 Abs. 1 KDG nun deut­lich wei­ter­rei­chend vom Auf­trags­ver­ar­bei­ter hin­rei­chen­de Garan­tien dafür, dass geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men so durch­ge­führt wer­den, dass die Ver­ar­bei­tung im Ein­klang mit den Anfor­de­run­gen des KDG erfolgt und der Schutz der Rech­te der betrof­fe­nen Per­son gewähr­leis­tet ist. Auch hier soll­te, spä­tes­tens mit Blick auf die Nach­weis­pflich­ten, eine Klar­stel­lung in allen Ver­trä­gen erfolgen.

Ein wich­ti­ges The­ma bei der Neu­fas­sung der Ver­trä­ge ist zudem die Prü­fung, ob das bis­lang zwi­schen den Ver­trags­par­tei­en ver­ein­bar­te Sicher­heits­kon­zept auch den (neu­en) Anfor­de­run­gen des § 26 KDG ent­spricht. Anders als unter der DSGVO begeg­net einem im Daten­schutz­recht der katho­li­schen Kir­che zwar noch immer der Ter­mi­nus der »tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men«, die Anfor­de­run­gen an die Sicher­heit der Ver­ar­bei­tung sind indes genau­so umfang­reich wie im Euro­päi­schen Datenschutzkontext.

Wäh­rend der Ver­trag zwi­schen dem Auf­trags­ver­ar­bei­ter und dem Ver­ant­wort­li­chen unter der KDO schrift­lich zu ver­fas­sen war (§ 8 Abs. 2 S. 2 KDO) ist gemäß  § 29 Abs. 9 S.1 KDG nun auch eine Abfas­sung des Ver­trags in einem »elek­tro­ni­sche For­mat« zuläs­sig. Hier­bei bleibt offen, ob mit elek­tro­ni­schem For­mat tat­säch­lich die elek­tro­ni­sche Form im Sin­ne des § 126a BGB gemeint sein soll.

Auch die in § 50 KDG neu defi­nier­te Haf­tung des Auf­trags­ver­ar­bei­ters bei Ver­stö­ßen soll­te, wenn auch wohl abwei­chend von den Rege­lun­gen des Arti­kel 82 DSGVO, in den Neu­fas­sun­gen beach­tet und ange­passt werden.

Neue Muster-AV-Verträge für die Erz­diö­ze­se und für die Kirchengemeinden

Zur Erleich­te­rung der Anpas­sun­gen stellt die Erz­diö­ze­se Frei­burg auf ihrer Home­page im Bereich Daten­schutz unter dem Regis­ter Mus­ter und Arbeits­hil­fe in die­sem Kon­text ein aktua­li­sier­tes Mus­ter eines Ver­trags zur Auf­trags­da­ten­ver­ar­bei­tung für die Erz­diö­ze­se als auch für Kir­chen­ge­mein­den zur Ver­fü­gung (HIER geht es zu den Mus­tern der Erz­diö­ze­se Freiburg).

Die AVV-Muster sind in der vor­lie­gen­den Ver­si­on 1 bereits sehr umfas­send, soll­ten jedoch vor der Anwen­dung in den Ein­rich­tun­gen und Diens­ten durch den betrieb­li­chen Daten­schutz­be­auf­trag­ten, gege­be­nen­falls unter­stützt durch exter­ne oder mög­li­cher­wei­se inter­ne Rechts­be­ra­ter, über­prüft und ange­passt wer­den. Wäh­rend die Rege­lun­gen bei der Durch­füh­rung von Fern­zu­grif­fen zur Prü­fung  oder War­tung auto­ma­ti­sier­ter Ver­fah­ren oder von Daten­ver­ar­bei­tungs­an­la­gen umfang­reich sind, bie­ten sich bei den Rege­lun­gen zur Sicher­heit der Ver­ar­bei­tung und zur Beauf­tra­gung von Unter­auf­trag­neh­mern in der Pra­xis Ergän­zun­gen oder Klar­stel­lun­gen an, die eine spä­te­re »Hand­ha­bung« der Zusam­men­ar­beit erleich­tern können.

Fazit

Obwohl der Hand­lungs­be­darf und die Fris­ten allen betrieb­li­chen Daten­schutz­be­auf­trag­ten in den kirch­li­chen Ein­rich­tun­gen, den Cari­tas­ver­bän­den und den Gemein­den spä­tes­tens seit Gül­tig­keit des Geset­zes über den Kirch­li­chen Daten­schutz bekannt waren, dürf­te der Hin­weis des Refe­rats Daten­schutz der Erz­diö­ze­se Frei­burg wohl längst nicht bei allen Ver­ant­wort­li­chen über­flüs­sig sein.

In die­sen Fäl­len ist nun ein zügi­ges Han­deln not­wen­dig. Denn auch wenn bis zum Ablauf der Über­gangs­frist noch bei­na­he vier Mona­te ver­blei­ben, soll­te der Auf­wand für die Anpas­sung der Ver­trä­ge, deren Frei­ga­be inner­halb der Ein­rich­tun­gen, aber auch für die Ver­hand­lung und Abstim­mung mit den Auf­trags­ver­ar­bei­tern nicht unter­schätzt werden.