Datenschutz in der Kirche: Konferenz der Diözesandatenschutzbeauftragten empfiehlt zusätzliche Angaben im Verzeichnis von Verarbeitungstätigkeiten

Nach Inkrafttreten des Gesetzes über den Kirchlichen Datenschutz (KDG) am 24. Mai 2018 tritt am 01. März 2019 die inzwischen von einer Expertenkommission des Verbandes der Diözesen Deutschlands (VDD) ausgearbeitete Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) in Kraft*. „Mit im Gepäck“ hat die neue Durchführungsverordnung eine Empfehlung zur Erweiterung des Verzeichnisses von Verarbeitungstätigkeiten um zusätzliche Angaben.

Mit Bezug auf § 1 Abs. 3 KDG-DVO, wonach Muster der Konferenz der Diözesandatenschutzbeauftragten (DDSB) grundsätzlich nur den geforderten Mindeststandard darstellen, wird nun auch in der Durchführungsverordnung zum KDG nochmals deutlich, dass die in § 31 KDG genannten Inhalte des Verzeichnisses von Verarbeitungstätigkeiten (VvT) zwar den gesetzlichen, keinesfalls aber den abschließend „sinnvollen“ Umfang bei der Erfassung von Verarbeitungen darstellen.

In diesem Kontext scheint insbesondere die Erfassung IT-technischer Details der Verarbeitungen durchaus sinnvoll. Der Fokus sollte dabei bereits bei der Gestaltung der Fragen auf einer Beurteilung der IT-Sicherheitsaspekte entlang den gesetzlichen Forderungen aus § 26 KDG (vergleichbar mit der Sicherheit der Verarbeitung in Art. 32 DSGVO liegen.

Während in vielen im Internet verfügbaren Erfassungsvorschlägen und Formulierungshilfen eine thematische Vermischung der gesetzlichen Anforderungen an das Verzeichnis von Verarbeitungstätigkeiten und den IT-Sicherheitsthemen vorgeschlagen wird, erscheint uns in der Praxis eine klare Trennung der Themen in einen (gesetzlichen) Teil der Erfassung der Verarbeitung, einen (technischen) Teil zur IT-Sicherheit und einen (juristischen) Teil zur datenschutzrechtlichen Beurteilung zielführender. Gerade in kleineren kirchlichen und sozialen Einrichtungen, in denen das IT-Know-How zur Beschreibung der Verarbeitung häufig nicht in der Einrichtung selber sondern bei einem externen IT-Betreuer vorhanden ist, wird die Erfassung durch die Trennung der Verantwortungen meist deutlich vereinfacht.

Ungeachtet des tatsächlichen Umfangs der Erfassung, sollte das Verzeichnis von Verarbeitungstätigkeiten in den Einrichtungen so geführt werden, dass bei einer Aufforderung zur Offenlegung durch die Datenschutzaufsicht (§ 31 Abs. 3 Alt. 2 KDG) eine Begrenzung der Informationen auf die gesetzlichen Umfänge ohne weiteres möglich ist.

Ob daneben die Empfehlung des katholischen Datenschutzzentrums, das Verzeichnis nicht als „bürokratische Pflicht, sondern als hilfreiches Nachschlagewerk auch für eine innerbetriebliche Verwendung“ zu verstehen in der Praxis in dem zu wünschenden Umfang gefolgt wird, bleibt abzuwarten.

Die Übergangsfrist zur Umstellung bereits unter der Anordnung über den kirchlichen Datenschutz (KDO) erstellter Verfahrensverzeichnisse läuft gemäß § 1 Abs. 4 KDG-DVO, § 57 Abs. 4 KDG jedenfalls am 30. Juni 2019 ab, genauso wie die Frist für die Erfassung von Verarbeitungstätigkeiten, die bereits zum  Zeitpunkt des Inkrafttretens der Durchführungsverordnung durchgeführt wurden und für die noch kein Verzeichnis von Verarbeitungstätigkeiten erstellt wurde (§ 1 Abs. 2 KDG-DVO).

Autor: Matthias Herkert, Leiter Fachbereich Consulting und externer Datenschutzbeauftragter

Hierzu unserem Beitrag über die neue KDG-DVO