KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG K

Ähnliche Dokumente
Betriebliche Organisation des Datenschutzes

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Die neue Grundverordnung des europäischen Datenschutzes

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

BvD. Management-Summary. Überblick in 10 Schritten

Wer schreibt, der bleibt Dokumentationspflichten in der neuen Datenschutz-Grundverordnung RA Jens Nebel, LL.M.

Freigabeantrag / Verfahrensbeschreibung nach Art. 26 Abs. 3 S.1 BayDSG

DATENSCHUTZ & NETZ UND INFORMATIONSSICHERHEIT in der EU

Quo vadis, Datenschutz?

Auftragsdatenverarbeitung

Modul 3, 13. Oktober DSGVO Geltungsbereich, Bearbeitungsgrundsätze, Informationspflichten. David Rosenthal

Datenschutz BO Nr. A PfReg. F 1.1g

Datenschutz in Schulen

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vorschlag der Bundesregierung

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern?

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

Datenschutzreform in der EU und der Schweiz: Neuer Fokus Datensicherheit (Schutzmassnahmen und «Data Breach Response»)

Gründe für ein Verfahrensverzeichnis

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

Grundlagen des Datenschutzes

Einverständniserklärung zur Verarbeitung personenbezogener Daten für die Härtefallkommission des Landes Schleswig-Holstein

Verfahrensverzeichnis

EU-US Privacy Shield Ein neuer sicherer Hafen für die Datenübermittlung in die USA?

Bayerisches Landesamt für Datenschutzaufsicht

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) für (ehrenamtliche) Mitarbeiter des Nordrhein-Westfälischer Ruder-Verband e.v.

Datenschutzgestaltung durch Technik Eine Kurzeinführung

Datenschutz-Grundverordnung

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Datenschutzvereinbarung

Mobile Apps für die Gesundheitsbranche und Datenschutz

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Rechtliche Aspekte der Arbeitsstättenverordnung - Verantwortung beim Neubau und im Bestand

Datenschutz und IT-Sicherheit an der UniBi

Ansätze zur Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung

Winfried Rau Tankstellen Consulting

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Richtlinie zur Verwendung und Übermittlung personenbezogener Daten an der Hochschule Emden/Leer

Datenschutz in der ambulanten Pflege

Auftragsdatenverarbeitung für den Auftraggeber: Rechte und Pflichten

EU-DatenschutzGrundverordnung. in der Praxis

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz

DIE EU-DATENSCHUTZ- GRUNDVERORDNUNG

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Kommunikation mit elektronischen Medien innerhalb eines Kollegiums

Meldepflicht nach 4d BDSG

Datenschutz im Verein

Datenschutz in der Marktund Sozialforschung

Checkliste: Liegt ein Fall des 42a BDSG vor?

Auszüge aus dem Aktiengesetz:

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

22. Dezember 2014 Genehmigt am vom Aufsichtsrat der eni spa, in seiner Eigenschaft als Prüfungsausschuss gemäß SOA-Richtlinien.

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n)

I. ALLGEMEINE BESTIMMUNGEN. Art. 1 Nutzungspflicht. Art. 2 Gegenstand. Art. 3 Zugriffsberechtigung. Art. 4 Legitimationsmerkmale. Vom Regl.

Gesetz zur Änderung des Bremischen Datenschutzgesetzes

Die Kombination von Medizinprodukten. SystemCheck

Die geänderten Anforderungen an die Gefährdungsbeurteilung nach der Änderung der BetrSichV

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Anlage zur Auftragsdatenverarbeitung

zur Änderung des Gesetzes über den Datenschutz (Anpassung an das internationale Recht, insbesondere an die Abkommen von Schengen und Dublin)

Cookie Cookie Name Zweck Ablaufzeitpunkt

Personalakte Elektronische (Digitale) Personalakte

Vertragsanlage zur Auftragsdatenverarbeitung

Berlin, 7. Dezember Inhaltsverzeichnis

Rechtsverordnung zur Durchführung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (Datenschutzverordnung DSVO)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

vom 26. Februar 1991 (Stand 1. August 2013)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Änderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter

AGB Newsletter. (Stand: )

DE 098/2008. IT- Sicherheitsleitlinie

Verfahren zur Umsetzung der Triebfahrzeugführerscheinverordnung (TfV) - Anerkennung von Ärzten und Psychologen -

Gemeinde Dällikon REGLEMENT ZUR VIDEOÜBERWACHUNG. vom 5. Februar 2013

Secorvo. Partner und Unterstützer

Antrag auf Eintragung in das Immobiliardarlehensvermittlerregister gemäß 11 a GewO

AMTLICHE BEKANNTMACHUNG

RICHTLINIEN. gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16 Absatz 2,

DIGITALE PRIVATSPHAERE

Datenverarbeitung im Auftrag

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Workshop 5: Zukunft des betrieblichen Datenschutzes

Datenschutz Hilfe oder Hemmnis beim Kinderschutz

Quelle: Kirchliches Amtsblatt 2005 / Stück 10

Datenschutz muss nicht trocken sein

17 HmbDSG - Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland

Gewinnabführungsvertrag

Gesetzestext (Vorschlag für die Verankerung eines Artikels in der Bundesverfassung)

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

1 Gewinnspiel. 2 Teilnehmer

Verpflichtung Mitarbeiter externer Firmen

Transkript:

KDG KDG KDG KD KDG KDG KDG KDG KDG KDG KDG DG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KD KDG KDG KDG KDG KDG KDG KDG G KDG KDG KDG KDG KDG KDG KDG DG KDG KDG KDG KDG KDG KDG KD KDG KDG KDG KDG KDG KDG KDG K KDG-Praxishilfe 5 G KDG KDG KDG KDG KDG KDG KDG Verzeichnis der Verarbeitungstätigkeiten DG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG K nach dem neuen Gesetz über den kirchlichen Datenschutz (KDG) KDG KDG KDG KDG KDG KDG KDG G KDG KDG KDG KDG KDG KDG KDG Stand 11/2017 KDG KDG KDG KDG KDG KDG KDG KD KDG KDG KDG KDG KDG KDG KDG K G KDG KDG KDG KDG KDG KDG KDG

Inhalt Praxishilfe 5 Verzeichnis der Verarbeitungstätigkeiten nach dem kirchlichen Datenschutzgesetz (KDG) Seite 1. Zweck des Verzeichnisses... 3 2. Änderungen im Vergleich zu älteren Vorschriften... 4 3. Betroffene Einrichtungen... 5 4. Rechtsfolgen bei Nichtbeachtung der Vorschrift... 6 5. Form des Verzeichnisses... 6 6. Inhalt des Verzeichnisses... 7 7. Fazit... 9 8. Gesetzestext von 31 und 26 KDG (VDD Beschlussfassung)... 10 Herausgegeben von der So erreichen Sie uns: Katholisches Datenschutzzentrum (KdöR) Brackeler Hellweg 144 44309 Dortmund Tel. 0231 / 13 89 85 0 Fax 0231 / 13 89 85 22 E-Mail: info@kdsz.de www.katholisches-datenschutzzentrum.de Autor dieser Praxishilfe: Der Diözesandatenschutzbeauftragte für die norddeutschen (Erz-)Bistümer Diese Praxishilfe der der Katholischen Kirche Deutschlands dient als erste Orientierung, wie nach Auffassung der Diözesandatenschutzbeauftragten das neue Gesetz über den kirchlichen Datenschutz (KDG) im praktischen Vollzug angewendet werden sollte. Sie kann noch keine verbindliche Auslegung bieten, sondern stellt die gegenwärtige Interpretation der neuen Vorschriften durch die Diözesandatenschutzbeauftragten dar. Revision 2.0 / 08.12.2017

Das Verzeichnis der Verarbeitungstätigkeiten nach dem Kirchlichen Datenschutzgesetz (KDG) 1. Zweck des Verzeichnisses Die Vorschrift des 31 KDG folgt dem Art. 30 DS-GVO. Zur Begründung dieser Regelung wird im Erwägungsgrund 82 der Zweck des Verzeichnisses angegeben: (82) Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können. Das KDG hat sich dieser Regelung angeschlossen. Denn nur auf diese Weise können die wesentlichen Voraussetzungen eines datenschutzgerechten Verhaltens innerhalb der Einrichtung sichergestellt und notfalls durchgesetzt werden. Jede Organisation von Datenverarbeitungen, die den Anspruch erhebt, in rechts konformer Weise gestaltet zu sein, muss im Stande sein, den Ist-Zustand der vorhandenen Verfahren anzugeben und auch die hierfür getroffenen rechtlichen und technischen Sicherungsmaßnahmen zu benennen. Erst dann bestehen die Voraussetzungen, die es ermöglichen Risiken zu erkennen und geeignete Verbesserungsmöglichkeiten zu entwerfen. Die Verzeich- nisse von Verarbeitungstätigkeiten sind daher dem betrieblichen Datenschutzbeauftragten nach Absatz 4 der Vorschrift zur Verfügung zu stellen. Wichtig ist das Verarbeitungsverzeichnis auch für Beratungen und Prüfungen der zuständigen Aufsichtsbehörde ( 44 Abs. 2 lit. b) KDG). Dem Diözesandatenschutzbeauftragten sind daher nach Absatz 4 die Verzeichnisse nach Abs. 1 und 2 auf Anforderung zur Verfügung zu stellen. Ohne ihre Vorlage kann eine Beratung oder Überprüfung der Datenverarbeitung nicht erfolgen. Eine Prüfung wäre in solchen Fällen in der Regel abzubrechen und eine Beanstandung wegen gravierender organisatorischer Mängel auszusprechen. Darüber hinaus könnten für diesen Verstoß weitere Maßnahmen verfügt werden, wie zum Beispiel die Verhängung einer Geldbuße. Stand 11/2017 Seite 03

2. Änderungen im Vergleich zu älteren Vorschriften 31 KDG ersetzt die Vorschrift des bisherigen 3a KDO. Die folgenden wesentlichen Änderungen sind hierbei vorgenommen worden: Eine Meldepflicht gegenüber der Aufsichtsbehörde besteht nicht mehr. Allerdings ist das Verzeichnis dem Diözesandatenschutzbeauftragten vorzulegen, wenn es von ihm angefordert wird. Die Verzeichnisse sind sowohl von dem Verantwortlichen selbst, wie auch von den Auftrags- und Unterauftragsverarbeitern zu erstellen. Die tatsächlich vorgenommenen Verarbeitungstätigkeiten sind von ihnen gewissenhaft und vollständig zu beschreiben. Für den Verantwortlichen ist der Inhalt hierzu in 31 Abs. 1 lit. a) bis h) KDG und für den Auftrag- und Unterauftragnehmer in 31 Abs. 2 lit. a) bis d) KDG festgelegt. Zum Inhalt nach 31 Abs. 1 lit h) und Abs. 2 lit d) KDG gehört auch, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach 26 KDG. Diese Verpflichtung ist konkreter gefasst, als die Formulierung in 3a Abs. 2 Nr. 8 KDO, die lediglich davon sprach, dass eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach 6 KDG zur Gewährleistung der Sicherheit der Bearbeitung angemessen sind vorzunehmen sei. Die Verzeichnisse sind dem betrieblichen Datenschutzbeauftragten zur Verfügung zu stellen. Dies ist eine Muss-Vorschrift, die dem bisherigen 21 Abs. 2 KDO entspricht. Neu ist jedoch, dass sowohl der Verantwortliche, wie auch die Auftragsverarbeiter, hierzu verpflichtet sind. Das Verzeichnis ist, anders als bisher, nicht mehr allein für automatisierte Verarbeitungsverfahren zu erstellen. In 31 Abs. 1 KDG ist von einem Verzeichnis aller Verarbeitungstätigkeiten die Rede. Das schließt auch manuelle Datenverarbeitungen ein. Sie umfasst daher sämtliche Verarbeitungsvorgänge, die in einem Dateisystem, zum Beispiel auch auf Karteikarten oder nach gleichen Maßstäben geführten Verwaltungsakten gespeichert werden oder gespeichert werden sollen. Seite 04 Stand: 11/2017

Eine Veröffentlichung des Verzeichnisses ist im Gegensatz zu 3a Abs. 4 KDO nicht mehr vorgesehen. Die Bestimmung Sie macht die Angaben nach Absatz 2 Nummer 1 bis 7 auf Antrag jedermann in geeigneter Weise verfügbar, der ein berechtigtes Interesse nachweist ist entfallen. Das Verzeichnis ist schriftlich zu führen, was auch in elektronischer Form vorgenommen werden kann. 3. Betroffene Einrichtungen Welche Einrichtungen müssen ein solches Verzeichnis führen? Nach 31 Abs. 5 KDG gilt die Verpflichtung für alle Unternehmen und Einrichtungen mit 250 oder mehr Mitarbeitern. Als Unternehmen werden gemäß der Definition in 4 Zi. 18 KDG alle natürlichen oder juristischen Personen angesehen, die eine wirtschaftliche Tätigkeit ausüben und dies unabhängig von ihrer Rechtsform, also einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen. Aber auch Einrichtungen, die weniger als 250 Personen beschäftigen, müssen ein Verzeichnis der Datenverarbeitungen erstellen, wenn mindestens eine der nachfolgenden Voraussetzungen vorliegt: Durch die Verarbeitung werden Rechte und Freiheiten der betroffenen Personen gefährdet. Dies ist insbesondere bei Scoring-Verfahren, GPS-Ortungsverfahren oder Überwachungsmaßnahmen, einschließlich einer Videoüberwachung, der Fall. Die Verarbeitung erfolgt nicht nur gelegentlich. Diese Voraussetzung wird erfüllt, wenn die Verarbeitung fortlaufend oder in regelmäßigen Abständen erfolgt oder immer zu bestimmten Zeitpunkten vorgenommen wird oder gar ständig und regelmäßig stattfindet. Hierzu gehören sicherlich eine eigenständige Buchhaltung, Lohn- und Gehaltsabrechnung und viele andere Beispiele mehr. Insbesondere auf Grund dieser Vorschrift werden die Ausnahmen von der Pflicht zur Erstellung eines Verzeichnisses eher selten zutreffen. Stand: 11/2017 Seite 05

Bei der Verarbeitung werden besondere Datenkategorien nach 11, 12 KDG berücksichtigt. 4 Zi. 2 KDG definiert besondere Kategorien personenbezogener Daten als solche über rassische und ethnische Herkunft, politische Meinungen, religiöse, weltanschauliche oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben oder über die sexuelle Orientierung. Die Zugehörigkeit zu einer Kirche gehört wie bisher nicht hierzu. Die Verarbeitung dieser Daten ist nur in einigen Ausnahmefällen erlaubt. Deshalb muss im Verzeichnis eine genaue Begründung gegeben werden, welche Ausnahmevorschrift des 11 KDG hier zur Anwendung kommen soll. 12 KDG bezieht sich auf die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten. 4. Rechtsfolgen bei Nichtbeachtung der Vorschrift Der Diözesandatenschutzbeauftragte kann eine Geldbuße nach 47 Abs. 6, 51 KDG erlassen, wenn Ein Verzeichnis der Verarbeitungstätigkeiten nicht erstellt wurde, obwohl die Einrichtung hierzu verpflichtet ist. Ein Verzeichnis nicht vollständig erstellt wurde. Ein Verzeichnis der Aufsichtsbehörde nach Aufforderung nicht vorgelegt wurde. Das Bußgeld muss nach 51 Abs. 2 KDG in jedem Fall wirksam, verhältnismäßig und abschreckend sein. Es kann bis zu 500.000 Euro betragen. 5. Form des Verzeichnisses 31 Abs. 5 KGD bestimmt, dass das Verzeichnis schriftlich zu führen ist. Das kann auch in elektronischer Form geschehen. Bei elektronischer Führung muss sichergestellt sein, dass nachträgliche Änderungen nicht erfolgen können (Dokumentenformat). Bei Änderungen der Datenverarbeitung ist ein neues Verzeichnis zu erstellen. Aus der Rechenschaftspflicht nach 7 Abs. 2 KDG ergibt sich auch die Pflicht, diese Änderungen zu dokumentieren, damit eine bestimmte Verarbeitung auf den Zeitpunkt bezogen werden kann, zu dem sie erfolgt ist. Seite 06 Stand: 11/2017

6. Inhalt des Verzeichnisses Für Verantwortliche ist der Inhalt des Verzeichnisses in 31 Abs. 1 KDG festgelegt. Er besteht aus den Kontaktdaten des Verantwortlichen und eines gemeinsam mit ihm Verantwortlichen sowie der des betrieblichen Datenschutzbeauftragten. Anzugeben ist hierbei die postalische, elektronische und telefonische Erreichbarkeit, um eine leichte Erreichbarkeit zu gewährleisten. Bei dem Verantwortlichen muss es sich nicht zwingend um den Leiter der Einrichtung handeln. Nach der Definition in 4 Nr. 9 KDG ist hiermit die Person gemeint, die alleine oder mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. aus der Angabe des Zwecks der Verarbeitung. Dabei ist eine Aufgliederung in Einzelverzeichnisse nach den jeweiligen Zwecken vorzunehmen. Als Beispiele seien hier Personalaktenführung, Meldewesen, Klientendatei, Schülerdatei, Telefondatenerfassung, Arbeitszeiterfassung, Sicherung des Eigentums durch Kontrolleinrichtungen benannt. Dabei ist eine Nachvollziehbarkeit der Aufgaben einschließlich der Rechtsgrundlagen auf der sie erfolgen, zu gewährleisten. den Kategorien betroffener Personen und der zu ihnen gespeicherten personenbezogenen Daten. Auch hier ein Beispiel: betroffene Personen: Mitarbeiter, gespeicherte Daten: Stammdaten, Arbeitszeugnisse, Abmahnungen, Betriebsarztuntersuchungen, etc.. den Angaben der Kategorien von Empfängern. Also, um im Beispiel des Mitarbeiterbereiches zu bleiben sind hier Empfänger: Finanzamt, Banken, Sozialversicherungsträger, aber möglicherweise auch Fachvorgesetzte oder Gläubiger bei Lohn- und Gehaltspfändungen. aus den Angaben zur Übermittungen von Daten an ein Drittland oder eine internationale Organisation. Die Empfänger sind zu benennen und dort getroffene Garantien anzugeben. Stand: 11/2017 Seite 07

aus Angaben zu den Löschfristen für die einzelnen Datenkategorien. Ein allgemeiner Verweis auf Aufbewahrungsfristen genügt nicht. Stattdessen sind genaue Angaben zu den Fristen, nach Möglichkeit auch unter Nennung der gesetzlichen Vorschriften zur Speicherdauer, zu machen. aus einer allgemeinen Beschreibung, der technischen und organisatorischen Maßnahmen zum Schutz dieser Daten nach 26 KDG. Hier sind insbesondere aufzuführen: Pseudonymisierung, Verschlüsselung, Rechteverwaltung einschließlich Lese- und Bearbeitungsbefugnis, Datensicherungsmaßnahmen, Wiederherstellbarkeit und Belastbarkeit des Systems. Für Auftragsverarbeiter sind die Verpflichtungen in 31 Abs. 2 KDG geregelt. Auch hier sind zwingend die Namen und Kontaktdaten des Auftragsverarbeiters und des für ihn tätigen betrieblichen Datenschutzbeauftragten anzugeben. Darüber hinaus hat auch jeder Subunternehmer, der für Auftragsverarbeiter tätig ist, ein für seine Tätigkeit gültiges Verzeichnis zu erstellen und dabei auch den Namen und Kontaktdaten seiner direkten Auftraggeber zu benennen. Auch an dieser Stelle steht die Erreichbarkeit und Verantwortlichkeit der verschiedenen Stellen im Vordergrund. Die von ihm durchgeführten Aufgaben sind zu beschreiben. Dabei ist nach einzelnen Aufträgen zu differenzieren. Also beispielsweise sind Lohn- und Gehaltsabrechnung, Archivierung von Datenbeständen, Einscannen von Schriftstücken, Support- und Wartungsservice, Datenspeicherung im externen Rechenzentrum oder andere Aufgaben zu benennen. Auch hier sind Übermittlungen in ein Drittland oder an internationale Organisationen anzugeben, wobei die Empfänger namentlich benannt werden müssen. Wiederum sind die dort getroffenen geeigneten Garantien auf dem Gebiet des Datenschutzes anzugeben. Das gilt insbesondere dann, wenn sich Unterauftragsverarbeiter im Ausland befinden sollten. Die vom Auftragnehmer durchgeführten technischen und organisatorischen Maßnahmen nach 26 KDG sind, wenn möglich, in allgemeiner und nachvollziehbarer Form darzustellen. Geschieht dies nicht, so sind die Gründe für die Unmöglichkeit in nachvollziehbarer Form darzulegen. Seite 08 Stand: 11/2017

7. Fazit Die genannten Anforderungen scheinen sehr umfangreich zu sein. Aber schon jetzt ist die Führung eines Verzeichnisses nach 3a KDO erforderlich. Einrichtungen, die dieses Verzeichnis bisher schon korrekt erstellt und von Zeit zu Zeit erneuert haben, dürften mit wenig Aufwand ihre Verfahrensdokumentation an das neue Recht anpassen können. Dafür entfallen die Meldepflicht und die Bekanntgabe an Personen, die ein berechtigtes Interesse nachweisen können. Die kirchlichen Einrichtungen sollten im eigenen Interesse daher schon jetzt mit der Erstellung von Verzeichnissen ihrer Verarbeitungstätigkeiten beginnen. Stand: 11/2017 Seite 09

8. Gesetzestext von 31 und 26 KDG (VDD Beschlussfassung) 31 Verzeichnis von Verarbeitungstätigkeiten (1) Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen. Dieses Verzeichnis hat die folgenden Angaben zu enthalten: a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie des betrieblichen Datenschutzbeauftragten, sofern ein solcher zu benennen ist; b) die Zwecke der Verarbeitung; c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; d) gegebenenfalls die Verwendung von Profiling; e) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen; f) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation und der dort getroffenen geeigneten Garantien; g) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; h) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß 26 dieses Gesetzes. (2) Jeder Auftragsverarbeiter ist vertraglich zu verpflichten, ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führen, das folgende Angaben zu enthalten hat: a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie eines betrieblichen Datenschutzbeauftragten, sofern ein solcher zu benennen ist; b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden; c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation und der dort getroffenen geeigneten Garantien; Seite 10 Stand: 11/2017

d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß 26 dieses Gesetzes. (3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. (4) Der Verantwortliche und der Auftragsverarbeiter stellen dem betrieblichen Datenschutzbeauftragten und auf Anfrage der Datenschutzaufsicht das in den Absätzen 1 und 2 genannte Verzeichnis zur Verfügung. (5) Die in den Absätzen 1 und 2 genannten Pflichten gelten für Unternehmen oder Einrichtungen, die 250 oder mehr Beschäftigte haben. Sie gilt darüber hinaus für Unternehmen oder Einrichtungen mit weniger als 250 Beschäftigten, wenn durch die Verarbeitung die Rechte und Freiheiten der betroffenen Personen gefährdet werden, die Verarbeitung nicht nur gelegentlich erfolgt oder die Verarbeitung besondere Datenkategorien gemäß 11 bzw. personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des 12 beinhaltet. 26 Technische und organisatorische Maßnahmen (1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung unter anderem des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten und einen Nachweis hierüber führen zu können. Diese Maßnahmen schließen unter anderem ein: a) die Pseudonymisierung, die Anonymisierung und die Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Stand: 11/2017 Seite 11

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung, unbefugte Offenlegung von oder unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. (3) Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. (4) Die Einhaltung eines nach dem EU-Recht zertifizierten Verfahrens kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen gemäß Absatz 1 nachzuweisen. (5) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte um sicherzustellen, dass ihnen unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach kirchlichem oder staatlichem Recht zur Verarbeitung verpflichtet. Seite 12 Stand: 11/2017

Weitere Praxishilfen: 01 Wichtige Schritte bis zum In-Kraft-Treten des KDG 02 Der Betriebliche Datenschutzbeauftragte nach dem KDG 03 Verantwortlichkeiten nach dem KDG 04 Auftragsverarbeitung nach dem KDG 06 Betroffenenrechte nach dem KDG 07 Transparenz- und Dokumentationspflichten nach dem KDG 08 Datenübermittlung in Drittländer 09 Befugnisse und Sanktionsmöglichkeiten der Aufsicht nach dem KDG 10 Umgang mit Datenpannen nach dem KDG 11 Datenschutzfolgeabschätzung nach dem KDG 12 Neue Anforderungen an die IT-Sicherheit nach dem KDG 13 Datenschutzorganisation und -managementsysteme nach dem KDG 14 Der Rechtsweg nach der KDSGO 15 Technischer Datenschutz nach dem KDG 16 Begriffe im neuen KDG 17 Rechtmäßigkeit der Verarbeitung/Einwilligung 18 Nutzung der Daten für Werbezwecke

Diese Schriftenreihe wird gemeinsam herausgegeben von Diözesandatenschutzbeauftragter für die norddeutschen (Erz-)Diözesen Diözesandatenschutzbeauftragter für die ostdeutschen (Erz-)Diözesen Diözesandatenschutzbeauftragter für die nordrhein-westfälischen (Erz-)Diözesen Diözesandatenschutzbeauftragter für die bayerischen (Erz-)Diözesen Gemeinsame Datenschutzstelle der (Erz-)Diözesen Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback