Wäh­rend die Beauf­tra­gung exter­ner, nicht-kirchlicher Auf­trag­neh­mer durch kirch­li­che Stel­len wie etwa Diözesan-Caritasverbände, Kin­der­gär­ten unter kirch­li­cher Trä­ger­schaft und ambu­lan­te oder sta­tio­nä­re kirch­li­che Pfle­ge­diens­te in der Pra­xis all­täg­lich ist, fällt die Erfül­lung der for­ma­len daten­schutz­recht­li­chen Anfor­de­run­gen an Auf­trags­ver­ar­bei­tun­gen in die­sen Fäl­len nicht immer leicht

Die Ein­be­zie­hung des für die meis­ten nicht-kirchlichen Auf­trags­ver­ar­bei­ter unbe­kann­ten KDG stößt viel­fach auf Unsi­cher­hei­ten, viel­fach auch auf die feh­len­de Bereit­schaft, sich mit dem Daten­schutz­recht des Auf­trag­ge­bers zumin­dest über­blicks­ar­tig zu beschäf­tig­ten.” – Mat­thi­as Herkert

Die Euro­päi­sche Daten­schutz­grund­ver­ord­nung erlaubt es den Kir­chen in Arti­kel 91 DSGVO eige­ne Daten­schutz­re­geln zu ver­wen­den, sofern die­se mit der DSGVO in Ein­klang ste­hen. In der katho­li­schen Kir­che sind die­se Vor­ga­ben im Gesetz über den Kirch­li­chen Daten­schutz (KDG) gere­gelt. Und auch wenn ein erheb­li­cher Teil der Rege­lun­gen des KDG und der DSGVO struk­tu­rell und inhalt­lich über­ein­stim­men, stellt das »Neben­ein­an­der der Daten­schutz­ge­set­ze« die betrieb­li­chen Daten­schutz­be­auf­trag­ten und Ent­schei­der in kirch­li­che Stel­len doch immer wie­der vor Herausforderungen.

Kirch­li­che Auf­trag­ge­ber und nicht-kirchliche Auftragsverarbeitung 

Deut­lich wird die­ses Span­nungs­feld ins­be­son­de­re dann, wenn kirch­li­che Stel­len nicht-kirchliche Auf­trag­neh­mer mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten (»Auf­trags­ver­ar­bei­tung« i.S.d. § 4 Nr. 10 KDG) beauf­tra­gen. Da die Par­tei­en kei­ne freie Rechts­wahl haben, sich also die Daten­schutz­rechts­ord­nung, die zwi­schen ihnen zur Anwen­dung kom­men soll, nicht ein­fach »her­aus­su­chen« kön­nen, ist viel Sorg­falt bei der Gestal­tung erfor­der­lich. Zwar kön­nen die Par­tei­en durch die ver­trag­li­che Ver­ein­ba­rung der Gül­tig­keit des KDG schuld­recht­li­che Ansprü­che des Auf­trag­ge­bers gegen den Auf­trag­neh­mer begrün­den, daten­schutz­recht­lich unter­liegt der Auf­trags­ver­ar­bei­ter jedoch wei­ter­hin der DSGVO, wäh­rend der kirch­li­che Rechts­trä­ger dem KDG unterliegt.

Der Lösungs­an­satz der Kon­fe­renz der Diözesandatenschutzbeauftragten

Bereits in ihrer Sit­zung vom 17. und 18.04.2018 hat die Kon­fe­renz der Diö­ze­san­da­ten­schutz­be­auf­trag­ten der Katho­li­schen Kir­che Deutsch­land beschlos­sen, dass bei Abschluss von Ver­trä­gen kirch­li­cher Stel­len mit exter­nen Unter­neh­men eine Bezug­nah­me auf das KDG in den Ver­trags­text auf­ge­nom­men wer­den soll (HIER zum Beschluss auf der Home­page des Katho­li­schen Daten­schutz­zen­trums in Frankfurt/Main).

Die­se For­de­rung wur­de durch den Beschluss der Kon­fe­renz der Diö­ze­san­da­ten­schutz­be­auf­trag­ten vom 04. April 2019 noch­mals kon­kre­ti­siert und — erheb­lich — erleich­tert (HIER zum Beschluss auf der Home­page des Katho­li­schen Daten­schutz­zen­trums in Frankfurt/Main).

Drei Wege füh­ren zum Ziel

So müs­se, je nach Gegen­stand der Ver­ar­bei­tung, die kirch­li­che Stel­le bei der Hin­zu­zie­hung von exter­nen, nicht-kirchlichen Auf­trag­neh­mern ihre Pflich­ten nach dem KDG ver­trag­lich absi­chern bezie­hungs­wei­se auch auf die ande­re Stel­le über­tra­gen. Soweit mög­lich sol­le dies regel­mä­ßig durch die ver­trag­li­che Bezug­nah­me auf das KDG erfolgen.

In Fäl­len, in denen der Ver­trag des Auf­trags­ver­ar­bei­ter aus­rei­chen­de Rege­lun­gen zum Daten­schutz ent­hal­te, die­se jedoch auf die ent­spre­chen­den Nor­men der DSGVO ver­wei­sen — was wohl in einer Viel­zahl der in der Pra­xis anzu­tref­fen­den DSGVO-konformen Ver­trä­gen der Fall sein wird — sol­le zumin­dest ein »pau­scha­ler Ver­weis« auf das Kirch­li­che Daten­schutz­ge­setz in den Ver­trag auf­ge­nom­men werden.

Nur wenn auch die­ser Ver­weis nicht mög­lich sei (zu den­ken ist etwa an Ver­trä­ge mit Cloud-Anbietern und gro­ßen Rechen­zen­tren) sol­le es genü­gen, in einem Begleit­schrei­ben zum Ver­trag auf das kirch­li­che Daten­schutz­recht hin­zu­wei­sen. Nicht aus­drück­lich erwähnt, schlüs­sig jedoch aus der Nach­weis­pflicht des § 7 Abs. 2 KDG ableit­bar ist, dass eine Kopie die­ser Kor­re­spon­denz mit dem Ver­trag zu den Akten zu neh­men ist.

Fazit

Die Zusam­men­ar­beit zwi­schen kirch­li­chen Rechts­trä­gern und nicht-kirchlichen Stel­len kann im Daten­schutz für bei­de Sei­ten her­aus­for­dernd sein. Die Ein­be­zie­hung des für die meis­ten Auf­trags­ver­ar­bei­ter unbe­kann­ten KDG stößt auf Unsi­cher­hei­ten, viel­fach auch auf die feh­len­de Bereit­schaft, sich mit dem Daten­schutz­recht des Auf­trag­ge­bers zumin­dest über­blicks­ar­tig zu beschäf­tig­ten. Gro­ße, mög­li­cher­wei­se glo­bal agie­ren­de Unter­neh­men wer­den zudem schlicht nicht in der Lage sein, indi­vi­du­el­le Ver­trags­klau­seln in ihre Standard-AV-Verträge auf­zu­neh­men. Die von der Kon­fe­renz der Diö­ze­san­da­ten­schutz­be­auf­trag­ten vor­ge­schla­ge­nen Wege bie­ten in die­sem Kon­text sehr pra­xis­na­he Lösun­gen, wie kirch­li­che Auf­trag­ge­ber in die­sem Span­nungs­feld rechts­kon­form han­deln können.

Das der Auf­trag­ge­ber auch in die­sen Fäl­len nicht von sei­ner gesetz­li­chen Pflicht ent­bun­den ist, den Auf­trags­ver­ar­bei­ter sorg­fäl­tig aus­zu­wäh­len, die ent­spre­chen­de Aus­wahl hin­rei­chend zu doku­men­tie­ren und die ver­trag­li­chen Rege­lun­gen zum Daten­schutz und der Daten­si­cher­heit gewis­sen­haft zu prü­fen oder zu gestal­ten, muss hier­bei kaum erwähnt werden.

Was Sie noch interessieren könnte:

Autor des Artikels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter