Infotage DiAG-MAV A Thema Datenschutz

Transkript

1 Infotage DiAG-MAV A Thema Datenschutz in Freiburg in Mannheim Urs Hagedorn Rechtsreferent

2 Gliederung Datenschutz Wieso, Weshalb, Warum - nochmals kurz erläutert Neuheiten Von der KDO zum KDG Relevante Neuerungen des KDG im Einzelnen mit Hinweisen zur MAV Arbeit Einzelfall: Verpflichtungserklärung Ankündigung: MAV-Beteiligung zum E-Learning 2

3 Datenschutz Grundsatz Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten darf die Persönlichkeitsrechte (Art. 2 GG) nicht verletzen. Problem BVerfG spricht von informationeller Selbstbestimmung (1 BvR 209/83). Durch die zunehmende Digitalisierung der (Arbeits-)Welt wird die Speicherung, Verbreitung, Verarbeitung von personenbezogenen Daten immer einfacher und alltäglicher (kein Vergessen). Lösung: Neue Regelungen! 3

4 Früher KDO, Neu KDG und der Weg dorthin DS-GVO (Europäische Datenschutzgrundverordnung) wurde nach mehrjährigen Verhandlungen zwischen Europäischer Kommission, Europäischem Rat und Europäischem Parlament von der Europäischen Union im Frühjahr 2016 verabschiedet. Geltung seit dem 25. Mai 2018 (Art. 99 Abs. 2 DSGVO). Die DS-GVO gilt als europäische Verordnung unmittelbar in sämtlichen Mitgliedstaaten der EU. Sie bedarf keiner Umsetzung in nationales Recht Künftig gelten EU-weit einheitliche Datenschutzstandards. Die DS-GVO erlaubt in Teilen konkretisierende Rechtsakte der Mitgliedstaaten. Daher gibt es auch ein neues BDSG (Bundesdatenschutzgesetz). 4

5 Früher KDO, Neu KDG und der Weg dorthin Die DSGVO gilt nicht für die Katholische und die Evangelische Kirche. Denn: Art. 91 DSGVO (Wortlaut): (1)Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedsstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden. (2)Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt. 5

6 Früher KDO, Neu KDG und der Weg dorthin Bislang galt in der Katholischen Kirche die KDO (Anordnung über den kirchlichen Datenschutz) mit 23. KDO musste mit der DSGVO in Einklang gebracht werden. mit 58 Die Vollversammlung des VDD (Verband deutscher Diözesen) hat am Herbst 2017 das KDG (Kirchliches Datenschutzgesetz) einstimmig beschlossen. Mittlerweile ist das KDG in allen (Erz-)Diözesen in Kraft gesetzt und veröffentlicht worden. Das KDG selbst soll bis zum evaluiert werden. 6

7 Neuheiten - Überblick grundsätzliche Beibehaltung des bisherigen Geltungs- und Anwendungsbereichs ( 2 und 3 KDG) starke Orientierung an der DS-GVO, um den Einklang zu gewährleisten Anpassung an die Begrifflichkeiten der DS-GVO ( 4 KDG) * Offenlegung pbdaten gegenüber kirchlichen, öffentlichen und nichtöffentlichen Stellen ( 9 ff. KDG) stärkere Betonung der Verantwortung des Verantwortlichen (DG) oder des Auftragsverarbeiters (Dienstleister) weitergehende Informationspflichten des Verantwortlichen ( 14 ff. KDG) * Rechte betroffener Personen ( 17 ff. KDG) (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung) technische und organisatorische Maßnahmen, sog. TOM s ( 26 ff. KDG) Ziel: möglichste hoher technischer Standard für Anonymisierung, Sicherheit der pbdaten Verarbeitung personenbezogener Daten im Auftrag ( 29 KDG) Vertrag mit Auftragsverarbeiter (Dienstleister), um rechtliche Klarheit zu schaffen 7

8 Neuheiten - Überblick Verzeichnis von Verarbeitungstätigkeiten ( 31 KDG) * Meldung an die Datenschutzaufsicht ( 33 KDG) * Betriebliche Datenschutzbeauftragte ( 36 KDG) * Datenschutzaufsicht ( 42 ff. KDG) * Beschwerde, gerichtliche Rechtsbehelfe ( 48 f. KDG, KDSGO) * Geldbußen ( 51 KDG) * Videoüberwachung ( 52 KDG) (präzisere Regelung) Beschäftigtendatenschutz ( 53 KDG) Siehe Newsletter von Christine Burger unter A - Z auf 8

9 Neuheiten - 4 KDG - Begriffe BDSG alt/kdo DSGVO/KDG Betroffener betroffene Person, 4 Nr. 1 KDG Verantwortliche Stelle Verantwortlicher, 4 Nr. 9 KDG Auftragsdatenverarbeitung Erheben/verarbeiten/nutzen Verfahrensverzeichnis Auftragsverarbeitung, 4 Nr.10 KDG verarbeiten/offen legen, 4 Nr.3 KDG Verzeichnis von Verarbeitungstätigkeiten, 31 KDG 9

10 Neuheiten - 14 ff. KDG - Informationspflichten Verantwortung des Verantwortlichen (DG) geeignete Maßnahmen, um der betroffenen Person innerhalb einer angemessenen Frist Informationen zu übermitteln in präziser, transparenter, verständlicher, leicht zugänglicher Form klare und einfache Sprache ggf. mit standardisierten Bildsymbolen (z.zt. in Entwicklung bei der EU) schriftliche oder andere Form, ggf. auch elektronisch keine Informationspflicht, wenn die betroffene Person bereits über die Information verfügt oder die Informationserteilung einen unverhältnismäßigen Aufwand erfordern würde und das Interesse der Person als gering anzusehen ist oder wegen besonderer Umstände eine Geheimhaltung erforderlich ist. 10

11 Neuheiten - 31 KDG Verzeichnis von Verarbeitungstätigkeiten Verantwortung des Verantwortlichen (DG) Führen eines Verzeichnisses von Verarbeitungstätigkeiten Inhalt: 31 Abs. 1 KDG vertragliche Verpflichtung des Auftragsverarbeiters zum Führen eines Verzeichnisses mit dem Inhalt gemäß 31 Abs. 2 KDG schriftliche oder elektronische Führung, 31 Abs. 3 KDG Zurverfügungstellung Pflicht bei > 250 Beschäftigten betrieblichen Datenschutzbeauftragten auf Anfrage der Datenschutzaufsicht Informationsanspruch der MAV, 27 Abs. 1 MAVO Pflicht auch bei < 250 Beschäftigten, wenn Gefährdung der Rechte und Freiheiten betroffener Personen oder wenn Verarbeitung nicht nur gelegentlich erfolgt oder Verarbeitung von Daten nach 11, 12 KDG erfolgt (Besondere Kategorie oder pbdaten über strafrechtl. Verurteilungen) Bsp. personalführende Dienststellen (VST, ESA 11

12 Diözesandatenschutzbeauftragte / Datenschutzaufsicht Quelle: Katholisches Datenschutzzentrum Frankfurt, 12

13 Diözesandatenschutzbeauftragte / Datenschutzaufsicht Datenschutzstelle Frankfurt nimmt die Datenschutzaufsicht wahr (kircheneigene Datenschutzaufsichten, gem. Art. 91 Abs. 2 DSGVO) sind von den Diözesanverwaltungen örtlich und rechtlich getrennt. sind organisatorisch und sachlich unabhängig. verfügen über einen eigenen jährlichen Haushalt. erhalten eine angemessene Sach- und Personalausstattung für die Erfüllung ihrer Aufgaben. wählen das notwendige Personal selbst aus. Ihre Mitarbeiter unterstehen ihrer Dienst- und Fachaufsicht. 13

14 Diözesandatenschutzbeauftragte / Datenschutzaufsicht Die Aufgaben und Befugnisse der Datenschutzaufsichten sind in 42 ff. KDG geregelt. Schwerpunkt ist die Überwachung der Einhaltung der Vorschriften des KDG sowie weiterer datenschutzrechtlicher Vorschriften. Jeder (Betroffene, kirchliche Einrichtungen, einzelne Beschäftigte, die MAV) kann sich mit Anliegen an die Datenschutzaufsicht wenden (Benachteiligungsverbot 48 Abs. 3 KDG). Die Datenschutzaufsichten können Prüfungen kirchlicher Einrichtung bezüglich der Einhaltung des Datenschutzes vornehmen durch ausschließlich rein schriftliche Sachverhaltsermittlung und -bewertung durch Sachverhaltserhebung vor Ort in der Einrichtung Prüfung anlassbezogen/anlasslos 14

15 Neuheiten - 36 KDG - Betriebliche Datenschutzbeauftragte Kirchliche Stellen haben unter den in 36 KDG genannten Voraussetzungen die Pflicht, einen betrieblichen Datenschutzbeauftragten zu benennen. (insbesondere, wenn mindestens 10 Personen mit der Verarbeitung personenbezogener Daten befasst sind) Mehrere kirchliche Stellen können einen gemeinsamen betrieblichen Datenschutzbeauftragten benennen. Das Erzbistum Freiburg baut gerade das System aus. In der HA 6 (Hauptabteilung) wurde das Referat Datenschutz eingerichtet Es werden 5 Betriebliche Datenschutzbeauftragte (BDSB) tätig sein, 1 Leiter, 1 BDSB für Ordinariat und Bistumseinrichtungen und 3 BDSB für die Belange in den KG, SE Die GKG (Gesamtkirchengemeinden Freiburg, Karlsruhe, Mannheim) müssen eigene BDSB benennen 15

16 Neuheiten - 36 KDG - Betriebliche Datenschutzbeauftragte Aufgaben Der BDSB ( KDG) wirkt auf die Einhaltung des Datenschutzes beim Verantwortlichen hin überwacht EDV-Anlagen und -programme berät den Verantwortlichen berät auf Anfrage bei Datenschutz-Folgenabschätzung schult die Beschäftigten Die MAV unterliegt bei ihrem Umgang mit ihr zur Verfügung gestellten Daten (Bsp. MAVO-Beteiligung bei Einstellung oder Kündigung) nicht der Kontrolle der Datenschutzbeauftragten (BAG Entscheidung 1 ABR 21/97). 16

17 Neuheiten - Rechtsbehelf Betroffene Personen haben das Recht auf Beschwerde bei der Datenschutzaufsicht, wenn sie der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen Datenschutzvorschriften verstößt, 48 KDG. Gilt auch für MAV über 26 Abs. 3 Nr. 2 MAVO (Anregungen und Beschwerden) 17

18 Neuheiten - Kirchliche Datenschutzgerichte Eigene kirchliche Gerichtsbarkeit - aufgrund von KDSGO (kirchliche Datenschutzgerichtsordnung) Erste Instanz Interdiözesanes Datenschutzgericht Errichtet von allen Diözesanbischöfen per Dekret Sitz in Köln Zweite Instanz Datenschutzgericht der Deutschen Bischofskonferenz Errichtet durch die Deutsche Bischofskonferenz per Beschluss Sitz in Bonn 18

19 Neuheiten - Kirchliche Datenschutzgerichte Verfahren vor den Kirchlichen Datenschutzgerichten Kirchliche Datenschutzgerichtsordnung (KDSGO) Kirchlichen Gerichte in Datenschutzangelegenheiten sind zuständig für die Überprüfung von Entscheidungen der Datenschutzaufsichten der Katholischen Kirche in Deutschland sowie für gerichtliche Rechtsbehelfe der betroffenen Person gegen den Verantwortlichen oder den kirchlichen Auftragsverarbeiter. Das Interdiözesane Datenschutzgericht prüft auf Antrag die vorangegangene Entscheidung der Datenschutzaufsicht über das Vorliegen einer Datenschutzverletzung sowie gerichtliche Rechtsbehelfe gegen den Verantwortlichen oder den kirchlichen Auftragsverarbeiter. Gegen die Entscheidung des Interdiözesanen Datenschutzgerichts steht den Beteiligten das Recht auf Beschwerde beim Datenschutzgericht der Deutschen Bischofskonferenz zu. 19

20 Neuheiten - 51 KDG - Geldbußen Die Datenschutzaufsicht kann eine Geldbuße verhängen, wenn ein Verantwortlicher oder ein Auftragsverarbeiter vorsätzlich oder grob fahrlässig gegen Bestimmungen des KDG verstößt. Die Geldbuße soll in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Die Umstände des Einzelfalls sind zu berücksichtigen. Zu berücksichtigende Kriterien sind in 51 Abs. 3 KDG festgelegt. maximal EUR Gegen kirchliche Stellen (Diözese, KG, Kirchenstiftungen, SE), soweit sie im weltlichen Rechtskreis öffentlich-rechtlich verfasst sind, werden keine Geldbußen verhängt; dies gilt nicht, soweit sie als Unternehmen am Wettbewerb teilnehmen! 20

21 Einzelfall Verpflichtungserklärung Verpflichtungserklärung auf das Datengeheimnis und zur Einhaltung der datenschutzrechtlichen Anforderungen des Gesetzes über den kirchlichen Datenschutz haben viele erhalten. Rechtsgrundlage 5 KDG: Den bei der Verarbeitung personenbezogenen Daten tätigen Personen ist untersagt, diese unbefugt zu verarbeiten (Datengeheimnis). Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis und die Einhaltung der einschlägigen Datenschutzregelungen schriftlich zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. Datengeheimnis gem. 5 ist keine Neuerung des KDG, nur ein Update durch die z.t. oben beschriebenen Sanktionsmöglichkeiten Haftung bleibt beim Verantwortlichen (DG) Schadensersatz lediglich möglich für grobe Fahrlässigkeit, Vorsatz Geldbuße - im verfasst kirchlichen Bereich ausgeschlossen, 51 Abs. 6 KDG 21

22 Ankündigung MAV Beteiligung E-Learning Vom HA 6 Referat Datenschutz ist angedacht ein Schulungsprogramm auf E-Learning Basis zum Thema Datenschutz zu starten. In der ersten Phase sollen 2000 MA geschult werden (zunächst Bistumsangestellte, ab Anfang 2019 auch die MA in den SE, GKG). Dazu ist die Beteiligung der MAVen notwendig. Mindestens Anhörung gem. 29 Abs. 1 Nr. 6 MAVO, wahrscheinlich 36 Abs. 1 Nr. 9 MAVO 22

23 Vielen Dank für die Aufmerksamkeit Diese Präsentation erscheint in den kommenden Tagen auf unserer Homepage 23

24 Info I - Dienstvereinbarung BEM Das Kirchliche Arbeitsgericht (KAG) Freiburg hat mit Urteil vom 27. Februar 2018 Az. M04/2017 festgestellt Dass Dienstvereinbarungen zur Ausgestaltung des betrieblichen Eingliederungsmanagements (BEM) geschlossen werden dürfen Hintergrund: Jahrelanger Rechtsstreit zwischen den Sonder-MAVen (Past.Ref, Gem.Ref. und Reli.Lehrer) um eine Vereinbarung zum BEM Die Dienstvereinbarung ist nun in der Zielgerade, einige Details werden immer noch final diskutiert 24

25 Info II - Schiedsstelle sachgrundlose Befristung Zum hat die KODA beschlossen sachgrundlose Befristungen grundsätzlich auszuschließen. Nur noch 3 Ausnahmefälle, 35 Abs. 3 AVO (Neu): Wenn Befristungsdauer einen Sachgrund (z.b. Elternzeitvertretung) übersteigt Zur Erprobung für maximal 1 Jahr, bei saisonalen Schwankungen hinsichtlich Arbeitsanforderungen (Bsp. Bildungshaus) Wenn aus kirchlichen Haushaltsmitteln vergütet wird, die ausdrücklich für die befristete Beschäftigung bestimmt sind (Bsp. Zusätzliche Arbeitskräfte für Projekte zum Papstbesuch) UND In anderen (ähnlichen) Fällen muss die Schiedsstelle für sachgrundlose Befristungen zustimmen. Schiedsstelle mit zwei Juristen (Ordi und Geschäftsstelle) besetzt, müssen einstimmiges (positives) Votum für die sachgrundlose Befristung abgeben. 25

26 Info II - Schiedsstelle sachgrundlose Befristung Bisher (seit ) gab es 6 Anfragen für sachgrundlos befristete Arbeitsverhältnisse. Entscheidung der Schiedsstelle: 3 Positiv 2 Negativ 1 hat sich vor der Entscheidung erledigt Bei allen Anfragen war das Votum der Schiedsstelle einstimmig. 26

27 Vielen Dank für die Aufmerksamkeit Diese Präsentation erscheint in den kommenden Tagen auf unserer Homepage 27