Während die Beauftragung externer, nicht-kirchlicher Auftragnehmer durch kirchliche Stellen wie etwa Diözesan-Caritasverbände, Kindergärten unter kirchlicher Trägerschaft und ambulante oder stationäre kirchliche Pflegedienste in der Praxis alltäglich ist, fällt die Erfüllung der formalen datenschutzrechtlichen Anforderungen an Auftragsverarbeitungen in diesen Fällen nicht immer leicht
“Die Einbeziehung des für die meisten nicht-kirchlichen Auftragsverarbeiter unbekannten KDG stößt vielfach auf Unsicherheiten, vielfach auch auf die fehlende Bereitschaft, sich mit dem Datenschutzrecht des Auftraggebers zumindest überblicksartig zu beschäftigten.” – Matthias Herkert
Die Europäische Datenschutzgrundverordnung erlaubt es den Kirchen in Artikel 91 DSGVO eigene Datenschutzregeln zu verwenden, sofern diese mit der DSGVO in Einklang stehen. In der katholischen Kirche sind diese Vorgaben im Gesetz über den Kirchlichen Datenschutz (KDG) geregelt. Und auch wenn ein erheblicher Teil der Regelungen des KDG und der DSGVO strukturell und inhaltlich übereinstimmen, stellt das »Nebeneinander der Datenschutzgesetze« die betrieblichen Datenschutzbeauftragten und Entscheider in kirchliche Stellen doch immer wieder vor Herausforderungen.
Kirchliche Auftraggeber und nicht-kirchliche Auftragsverarbeitung
Deutlich wird dieses Spannungsfeld insbesondere dann, wenn kirchliche Stellen nicht-kirchliche Auftragnehmer mit der Verarbeitung personenbezogener Daten (»Auftragsverarbeitung« i.S.d. § 4 Nr. 10 KDG) beauftragen. Da die Parteien keine freie Rechtswahl haben, sich also die Datenschutzrechtsordnung, die zwischen ihnen zur Anwendung kommen soll, nicht einfach »heraussuchen« können, ist viel Sorgfalt bei der Gestaltung erforderlich. Zwar können die Parteien durch die vertragliche Vereinbarung der Gültigkeit des KDG schuldrechtliche Ansprüche des Auftraggebers gegen den Auftragnehmer begründen, datenschutzrechtlich unterliegt der Auftragsverarbeiter jedoch weiterhin der DSGVO, während der kirchliche Rechtsträger dem KDG unterliegt.
Der Lösungsansatz der Konferenz der Diözesandatenschutzbeauftragten
Bereits in ihrer Sitzung vom 17. und 18.04.2018 hat die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland beschlossen, dass bei Abschluss von Verträgen kirchlicher Stellen mit externen Unternehmen eine Bezugnahme auf das KDG in den Vertragstext aufgenommen werden soll (HIER zum Beschluss auf der Homepage des Katholischen Datenschutzzentrums in Frankfurt/Main).
Diese Forderung wurde durch den Beschluss der Konferenz der Diözesandatenschutzbeauftragten vom 04. April 2019 nochmals konkretisiert und — erheblich — erleichtert (HIER zum Beschluss auf der Homepage des Katholischen Datenschutzzentrums in Frankfurt/Main).
Drei Wege führen zum Ziel
So müsse, je nach Gegenstand der Verarbeitung, die kirchliche Stelle bei der Hinzuziehung von externen, nicht-kirchlichen Auftragnehmern ihre Pflichten nach dem KDG vertraglich absichern beziehungsweise auch auf die andere Stelle übertragen. Soweit möglich solle dies regelmäßig durch die vertragliche Bezugnahme auf das KDG erfolgen.
In Fällen, in denen der Vertrag des Auftragsverarbeiter ausreichende Regelungen zum Datenschutz enthalte, diese jedoch auf die entsprechenden Normen der DSGVO verweisen — was wohl in einer Vielzahl der in der Praxis anzutreffenden DSGVO-konformen Verträgen der Fall sein wird — solle zumindest ein »pauschaler Verweis« auf das Kirchliche Datenschutzgesetz in den Vertrag aufgenommen werden.
Nur wenn auch dieser Verweis nicht möglich sei (zu denken ist etwa an Verträge mit Cloud-Anbietern und großen Rechenzentren) solle es genügen, in einem Begleitschreiben zum Vertrag auf das kirchliche Datenschutzrecht hinzuweisen. Nicht ausdrücklich erwähnt, schlüssig jedoch aus der Nachweispflicht des § 7 Abs. 2 KDG ableitbar ist, dass eine Kopie dieser Korrespondenz mit dem Vertrag zu den Akten zu nehmen ist.
Fazit
Die Zusammenarbeit zwischen kirchlichen Rechtsträgern und nicht-kirchlichen Stellen kann im Datenschutz für beide Seiten herausfordernd sein. Die Einbeziehung des für die meisten Auftragsverarbeiter unbekannten KDG stößt auf Unsicherheiten, vielfach auch auf die fehlende Bereitschaft, sich mit dem Datenschutzrecht des Auftraggebers zumindest überblicksartig zu beschäftigten. Große, möglicherweise global agierende Unternehmen werden zudem schlicht nicht in der Lage sein, individuelle Vertragsklauseln in ihre Standard-AV-Verträge aufzunehmen. Die von der Konferenz der Diözesandatenschutzbeauftragten vorgeschlagenen Wege bieten in diesem Kontext sehr praxisnahe Lösungen, wie kirchliche Auftraggeber in diesem Spannungsfeld rechtskonform handeln können.
Das der Auftraggeber auch in diesen Fällen nicht von seiner gesetzlichen Pflicht entbunden ist, den Auftragsverarbeiter sorgfältig auszuwählen, die entsprechende Auswahl hinreichend zu dokumentieren und die vertraglichen Regelungen zum Datenschutz und der Datensicherheit gewissenhaft zu prüfen oder zu gestalten, muss hierbei kaum erwähnt werden.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]