Das neue KDG Übersicht und Arbeitshilfen

Transkript

1 26. April 2018 Das neue KDG Übersicht und Arbeitshilfen Steffen Pau

2 Unsere Themen // Datenschutzrecht der Kirche // Schlaglichter des neuen KDGs // Datenschutzaufsicht der Katholischen Kirche // Der betriebliche Datenschutzbeauftragte

3 Datenschutzrecht der Kirche // Die Kirche hat die Möglichkeit, Ihre Angelegenheiten im Rahmen der für alle geltenden Gesetze selbst zu regeln (Art. 140 GG i.v.m. Art. 137 WRV). Art. 140 GG: Die Bestimmungen der Artikel 136, 137, 138, 139 und 141 der deutschen Verfassung vom 11. August 1919 sind Bestandteil dieses Grundgesetzes. Art. 137 Abs. 3 WRV Jede Religionsgesellschaft ordnet und verwaltet ihre Angelegenheiten selbständig innerhalb der Schranken des für alle geltenden Gesetzes. Sie verleiht ihre Ämter ohne Mitwirkung des Staates oder der bürgerlichen Gemeinde.

4 Datenschutzrecht der Kirche // Art. 91 DSGVO Artikel 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften (1) Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden. (2) Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt.

5 Datenschutzrecht der Kirche // Die Katholische Kirche hat die bisher geltende Anordnung über den kirchlichen Datenschutz mit der DSGVO in Einklang gebracht und das Gesetz über den kirchlichen Datenschutz (KDG) erlassen. // Der Musterentwurf des Verbandes der Diözesen Deutschlands wurde in jeder (Erz)Diözese als eigenes Gesetz vom (Erz)Bischof erlassen und im Gesetzblatt veröffentlicht. // Die Evangelische Kirche Deutschlands hat ihr Datenschutzgesetz ebenfalls mit der DSGVO in Einklang gebracht und das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz DSG-EKD) beschlossen.

6 Datenschutzrecht der Kirche // Für einige Bereiche gibt es auch noch spezialrechtliche Regelungen (z.b. Schul- KDO, PatDSO, Ausführungsrichtlinien zur KDO für den pfarramtlichen Bereich). // Ausführungsbestimmungen zum Gesetz sind in der KDO-DVO enthalten (gilt bis zur Neufassung weiter, soweit sie dem KDG nicht widerspricht, längstens aber bis zum , vgl. 57 Abs. 5 KDG). // Verträge zur Auftragsverarbeitung sind bis zum an die neue Rechtslage anzupassen ( 57 Abs. 3 KDG). // Verzeichnis der Verarbeitungstätigkeiten muss spätestens bis vorliegen ( 57 Abs. 4 KDG).

7 Unsere Themen // Datenschutzrecht der Kirche // Schlaglichter des neuen KDGs // Datenschutzaufsicht der Katholischen Kirche // Der betriebliche Datenschutzbeauftragte

8 Schlaglichter des neuen KDGs // Anwendungsbereich des KDG 3 Organisatorischer Anwendungsbereich (1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch folgende kirchliche Stellen: a) die Diözese, die Kirchengemeinden, die Kirchenstiftungen und die Kirchengemeindeverbände, b) den Deutschen Caritasverband, die Diözesan-Caritasverbände, ihre Untergliederungen und ihre Fachverbände ohne Rücksicht auf ihre Rechtsform, c) die kirchlichen Körperschaften, Stiftungen, Anstalten, Werke, Einrichtungen und die sonstigen kirchlichen Rechtsträger ohne Rücksicht auf ihre Rechtsform. (2) Dieses Gesetz findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten eines Verantwortlichen oder eines Auftragsverarbeiters erfolgt, unabhängig davon, wo die Verarbeitung stattfindet, wenn diese im Rahmen oder im Auftrag einer kirchlichen Stelle erfolgt. Ø Das kirchliche Recht ist auf alle kirchlichen Einrichtungen unabhängig von ihrer Rechtsform anzuwenden, die der bischöflichen Gesetzgebungsgewalt unterliegen.

9 Schlaglichter des neuen KDGs // Begriffsbestimmungen ( 4 KDG) besondere Kategorien personenbezogener Daten ( 4 Nr. 2 KDG) personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Die Zugehörigkeit zu einer Kirche oder Religionsgemeinschaft ist keine besondere Kategorie personenbezogener Daten.

10 Schlaglichter des neuen KDGs // Verpflichtung auf das Datengeheimnis ( 5 KDG) KDG hat Verpflichtungserfordernis übernommen. // Gesetzliche Verarbeitungsermächtigungen ( 6 ff. KDG) Grundnorm ( 6 KDG) aus der DSGVO übernommen (Art. 5 DSGVO). Aus dem bisher geltenden Recht wurden die 9 und 10 KDG für die Offenlegung gegenüber kirchlichen und nicht-kirchlichen Stellen übernommen.

11 Schlaglichter des neuen KDGs // Einwilligung Minderjähriger ( 8 Abs. 8 KDG) KDG legt die Altersgrenze auf 16 Jahre fest (vorher nur mit Einwilligung Personensorgeberechtigte). Ausnahme für kostenfreie Beratungsangebote kirchlicher Stellen, bei denen eine Einwilligung nur bis zum 13. Lebensjahr notwendig ist. // Zertifizierungen und Verhaltensregeln (Art. 40 ff. DSGVO) Im KDG nicht als eigene Aufgabe geregelt. Verhaltensregeln oder Zertifizierungen nach DSGVO können aber anerkannt werden (vgl. 29 Abs. 6 KDG für Auftragsverarbeitungen).

12 Schlaglichter des neuen KDGs // Verarbeitung personenbezogener Daten im Auftrag ( 29 KDG) Da die Auftragsverarbeiter der Kirche nicht unbedingt aus dem kirchlichen Bereich kommen, sind einige spezielle Regelungen für Auftragsverarbeiter nicht oder nicht wie in der DSGVO übernommen worden. Verarbeitung nur im Geltungsbereich der DSGVO ( 29 Abs. 11 KDG). Wartungsverträge weiter als Auftragsverarbeitung zu qualifizieren, wenn Zugriff auf personenbezogene Daten im Rahmen des Auftrags nicht ausgeschlossen werden kann ( 29 Abs. 12 KDG).

13 Schlaglichter des neuen KDGs // Datenschutz-Folgenabschätzung ( 35 KDG) Beteiligung der Datenschutzaufsicht möglich ( 35 Abs. 3 KDG). // Videoüberwachung ( 52 KDG) Regelung aus dem bisherigen Recht übernommen.

14 Unsere Themen // Datenschutzrecht der Kirche // Schlaglichter des neuen KDGs // Datenschutzaufsicht der Katholischen Kirche // Der betriebliche Datenschutzbeauftragte

15 Diözesandatenschutzbeauftragte

16 Datenschutzaufsicht der Katholischen Kirche // Art. 91 DSGVO Artikel 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften (1) Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden. (2) Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt.

17 Datenschutzaufsicht der Katholischen Kirche // Organisation der Aufsicht Organisatorische und sachliche Unabhängigkeit der Aufsicht ( 43 Abs. 1 KDG). Hauptamtliche Wahrnehmung ( 43 Abs. 2 Satz 1 KDG). Eigener jährlicher Haushalt ( 43 Abs. 4 Satz 2 KDG). // Austausch mit anderen Aufsichten ( 46 KDG) Konferenz der Diözesandatenschutzbeauftragten in der Katholischen Kirche Deutschlands. Regelmäßige Abstimmung mit dem BfD EKD und den Landesbeauftragten. Eingebunden in innerstaatliches Kohärenzverfahren ( 18 Abs. 1 Satz 4 BDSG neu).

18 Datenschutzaufsicht der Katholischen Kirche // Gerichtliche Rechtsbehelfe ( 49 KDG) Rechtsschutzmöglichkeiten in datenschutzrechtlichen Fragen werden eingerichtet. // Geldbußen ( 51 KDG) Rahmen für Geldbußen bis Euro. Abwägung des Einzelfalls gemäß 51 Abs. 3 KDG. // Meldungen an die Datenschutzaufsicht Online-Meldung der Kontaktdaten des betr. Datenschutzbeauftragten gemäß 36 Abs. 4 Satz 2 KDG geplant. Meldung von Datenpannen gemäß 33 KDG soll ebenfalls online möglich sein.

19 Datenschutzaufsicht der Katholischen Kirche Informationen mit ToDo s bis zum Inkrafttreten des KDG

20 Datenschutzaufsicht der Katholischen Kirche Diözesandatenschutzbeauftragten bereiten gerade diverse Muster und Vorlagen vor, die jetzt kurzfristig zur Verfügung gestellt werden.

21 Datenschutzaufsicht der Katholischen Kirche Ablauf von Prüfungen // Kontaktaufnahme mit der Einrichtung // Terminvereinbarung und Absprache zur Prüfung (Teilnehmer) // Prüftermin vor Ort // Bericht mit Maßnahmenplan // evtl. Feststellung von Beanstandungen // Rückmeldungen innerhalb der Fristen

22 Datenschutzaufsicht der Katholischen Kirche Typische Diskussionspunkte bei Prüfungen: // betrieblicher Datenschutzbeauftragter // Verarbeitungsverzeichnisse // Auftragsverarbeitung // Verpflichtungserklärung // Einwilligungen // Mitarbeiterschulungen // Vorabkontrolle // Entsorgung und Löschung von Daten und Akten // Umsetzung der technischen und organisatorischen Maßnahmen // Videoüberwachung // Veröffentlichungen im Internet

23 Unsere Themen // Datenschutzrecht der Kirche // Schlaglichter des neuen KDGs // Datenschutzaufsicht der Katholischen Kirche // Der betriebliche Datenschutzbeauftragte

24 Der betriebliche Datenschutzbeauftragte 36 Benennung von betrieblichen Datenschutzbeauftragten (1) Kirchliche Stellen im Sinne des 3 Absatz 1 lit. a) benennen (2) schriftlich einen betrieblichen Datenschutzbeauftragten. (Erz-)Diözesen, Kirchengemeinden, Kirchenstiftungen, Kirchengemeindeverbände

25 Der betriebliche Datenschutzbeauftragte 36 Benennung von betrieblichen Datenschutzbeauftragten (2) Kirchliche Stellen im Sinne des 3 Absatz 1 lit. b) und c) benennen schriftlich einen betrieblichen Datenschutzbeauftragten, wenn a) sich bei ihnen in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen, b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß 12 besteht. Deutscher Caritasverband, Diözesan- Caritasverbände, ihre Untergliederungen und ihre Fachverbände ohne Rücksicht auf ihre Rechtsform Kirchliche Körperschaften, Stiftungen, Anstalten, Werke, Einrichtungen und sonstige kirchliche Rechtsträger ohne Rücksicht auf ihre Rechtsform.

26 Der betriebliche Datenschutzbeauftragte // Bestellung eines betrieblichen Datenschutzbeauftragten für mehrere Stellen möglich ( 36 Abs. 3 KDG). Interne oder externe Bestellung möglich ( 36 Abs. 5 KDG). // Rahmenbedingungen (fachliche Unabhängigkeit, hinwirken auf die Einhaltung des Datenschutzes, Unterstellung unter die Leitung, Kündigungsschutz) bleiben gleich ( 37 KDG). // Fachkunde und Zuverlässigkeit sind Bestellungsvoraussetzungen ( 36 Abs. 6 KDG). // Leiter der Einrichtung und Leiter IT ausgeschlossen ( 36 Abs. 7 Satz 1 KDG). // Bei Teilzeit -Datenschutzbeauftragten dürfen andere Aufgaben nicht so umfangreich sein, dass er seinen Pflichten als Datenschutzbeauftragter nicht umgehend nachkommen kann ( 36 Abs. 7 Satz 2 KDG).

27 Vielen Dank für Ihre Aufmerksamkeit! Katholisches Datenschutzzentrum (KdöR) Brackeler Hellweg Dortmund Tel / info@kdsz.de