Projekt Beschreibung

Häufig gestellte Fragen zum (neuen) EKD-Datenschutzgesetz

  • Das EKD-Datenschutzgesetz (DSG-EKD) gilt für alle kirchlichen Stellen.
  • Kirchliche Stellen (§ 2 Abs. 1 Satz 1 DSG-EKD) sind
    • Evangelische Kirche in Deutschland
    • Gliedkirchen
    • gliedkirchlichen Zusammenschlüsse
    • alle weiteren kirchlichen juristischen Personen des öffentlichen Rechts sowie die ihnen zugeordneten kirchlichen und diakonischen Dienste, Einrichtungen und Werke ohne Rücksicht auf deren Rechtsform (z.B. Gemeinden, Kirchenkreise, Diakoniestationen, Diakonische Einrichtungen und kirchliche Stiftungen)

Bei kirchlichen und diakonischen Diensten, Einrichtungen und Werken – sowohl öffentlich-rechtlich als auch privatrechtlich organisiert – ist die Zuordnung entscheidend für die Frage, ob das DSG-EKD zur Anwendung kommt. Hinweise zum Begriff der Zuordnung findet man in den Zuordnungsgesetzen der EKD und der Gliedkirchen.

Die Liste der kirchlichen Stellen, für die das DSG-EKD gilt, wird gemäß § 2 Abs. 1 Satz 3 DSG-EKD durch die EKD und die Gliedkirchen geführt. Näheres hierzu ist ggf. in den Durchführungsvorschriften der Gliedkirchen zum DSG-EKD geregelt.

Gemäß Art. 91 Abs. 1 Datenschutzgrundverordnung (DSGVO) können Kirchen weiterhin ein eigenes Datenschutzrecht behalten, wenn sie zum Zeitpunkt des Inkrafttretens der Verordnung umfassende Datenschutzregeln hatten. Die Regelungen – hier das EKD-Datenschutzgesetz (DSG-EKD) – müssen aber mit der DSGVO in Einklang gebracht werden.

Mit dem von der Synode der EKD im November 2017 beschlossenen novellierten DSG-EKD sind diese Voraussetzungen der DSGVO erfüllt. Somit gilt das DSG-EKD für alle kirchlichen Stellen statt der DSGVO.

  • Nachweispflicht/ Rechenschaftspflicht (§ 5 Abs. 2 DSG-EKD)
  • Verzeichnis von Verarbeitungstätigkeiten (§ 31 DSG-EKD)
  • Meldepflichten bei „Datenpannen“
    • Gegenüber der Datenschutzaufsicht (§ 32 DSG-EKD)
    • Gegenüber den Betroffenen (§ 33 DSG-EKD)
  • Datenschutz-Folgenabschätzung (§ 34 DSG-EKD)

Informationspflichten mit einem deutlich weiteren Umfang (§§ 17, 18 DSG-EKD)

Grundsätzlich müssen verantwortliche Stellen seit Inkrafttreten des DSG-EKD am 24. Mai 2018 alle gesetzlichen Pflichten erfüllen. Für einige neue Pflichten gibt es Übergangsfristen.
So muss z.B. das Verzeichnis von Verarbeitungstätigkeiten erst ab dem 30.06.2019 vorgehalten werden. Verträge zur Auftragsverarbeitung sind bis zum 31.12.2019 an die Rechtslage anzupassen. Die Übergangsfristen finden Sie in § 55 DSG-EKD, etwa für die Erstellung von Verzeichnissen von Verarbeitungstätigkeiten.

Die verantwortliche Stelle muss die Einhaltung des Datenschutzes im Hinblick auf die Daten, die verarbeitet werden, sicherstellen. Eine verantwortliche Stelle ist gemäß § 4 Nr. 9 DSG-EKD die natürliche oder juristische Person, kirchliche Stelle im Sinne von § 2 Absatz 1 Satz 1 DSG-EKD oder sonstige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Somit ist beispielsweise eine Kirchengemeinde oder ein evangelisches Krankenhaus eine verantwortliche Stelle.

Die Verantwortlichkeit für die Einhaltung des Datenschutzes innerhalb der verantwortlichen Stelle liegt immer bei der Leitung. Datenschutz ist Leitungsaufgabe! Der oder die örtlich Beauftragte für den Datenschutz unterstützt die Leitung lediglich in Fragen des Datenschutzes und wirkt auf die Einhaltung des Datenschutzes hin.

Örtlich Beauftragte müssen – nach wie vor – erst bestellt werden, wenn mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind. Hierbei werden Teilzeit-Mitarbeitende und Ehrenamtliche als jeweils ein Mitarbeitender gezählt.

Neu ist die Regelung, dass aufgrund der besonderen Sensibilität und des hohen Risikos für die Betroffenen auch kleinere kirchliche verantwortliche Stellen einen örtlich Beauftragten bestellen müssen, wenn ihre Hauptaufgabe darin besteht besondere Kategorien personenbezogene Daten in großem Umfang zu verarbeiten.

Es können sowohl interne örtlich Beauftragte für den Datenschutz, d.h. Mitarbeitende der verantwortlichen Stelle, als auch externe örtlich Beauftragte für den Datenschutz bestellt werden. Mehrere verantwortliche Stellen können auch einen örtlich Beauftragten für den Datenschutz bestellen. So kann beispielsweise ein örtlich Beauftragter für den Datenschutz sowohl für den Kirchenkreis als auch für die dazugehörigen Kirchengemeinden bestellt werden. Außerdem kann ein örtlich Beauftragter für den Datenschutz sowohl befristet als auch unbefristet bestellt werden. Bei befristeten Bestellungen gilt eine Mindestfrist von drei Jahren.

Die Regelungen zur Löschung von Daten sind nahezu unverändert geblieben. Personenbezogene müssen gelöscht werden, wenn sie nicht mehr für die jeweilige Aufgabe der kirchlichen Stelle benötigt wird. Weiterhin ist zu prüfen, ob Aufbewahrungsfristen bestehen, die sich aus einem Gesetz, einer Berufsordnung oder einer anderen Rechtsvorschrift bzw. einem Vertrag ergeben und somit einer Löschung entgegenstehen. In diesem Fall ist die Verarbeitung bis zum Ablauf der Aufbewahrungsfrist einzuschränken. In jedem Fall ist vor der Löschung zu prüfen, ob die jeweiligen Akten dem Archiv nach den jeweilig einschlägigen Regelungen des Archivrechts anzubieten sind.

Neu ist das so genannte „Recht auf Vergessenwerden“ (§ 21 Abs. 2 DSG-EKD). Es bezieht sich auf personenbezogene Daten, die von der verantwortlichen Stelle gegenüber Dritten öffentlich gemacht worden sind, z.B. Veröffentlichungen auf der Internetseite. Wenn diese personenbezogenen Daten zulässigerweise nicht mehr gespeichert werden dürfen, dann muss die verantwortliche Stelle verhältnismäßige Maßnahmen treffen, um die Löschung dieser Daten aus dem Internet zu erreichen, z.B. die Information an alle weiteren verantwortlichen Stellen, dass Links, Kopien oder Repliken zu löschen sind.

Durch die Rechenschaftspflicht (§ 5 Abs. 2 DSG-EKD) wird es aber umso wichtiger ein Löschkonzept zu erstellen, in dem festgelegt wird, welche Löschfristen gelten und durch wen gelöscht wird.

Bußgelder können gemäß § 45 DSG-EKD gegen Auftragsverarbeiter und gegen verantwortliche Stellen verhängt werden, wenn sie als Unternehmen im Sinne des § 4 Nr. 9 DSG-EKD am Wettbewerb teilnehmen.

Als Faustregel gilt: Gegen verantwortliche Stellen, die Teil der sogenannten verfassten Kirche sind (Kirchengemeinden, Kirchenkreise, Dekanate, Kirchenbezirke, Sprengel, Landeskirchen etc.) können grundsätzlich keine Bußgelder verhängt werden.

Die Verhängung von Bußgeldern ist eine „ultima ratio“ der kirchlichen Datenschutz-Aufsichtsbehörden. Das bedeutet, dass sie das allerletzte Mittel darstellen. Da die Aufsichtsbehörden mit der Beanstandung und der Anordnung weitere Sanktionsmöglichkeiten haben bei Datenschutzverstößen zu reagieren, soll vor Verhängung eines Bußgeldes zunächst von den diesen Möglichkeiten Gebrauch gemacht werden.

Unter welchen konkreten Voraussetzungen Bußgelder verhängt werden können, ist in § 45 DSG-EKD geregelt.

Einwilligungen müssen nur eingeholt werden, wenn die Verarbeitung von personenbezogenen Daten nicht durch eine Rechtsvorschrift, einen Vertrag oder einen anderen Fall in § 6 ff DSG-EKD erlaubt ist.

Wirksame Einwilligungen müssen alle Anforderungen des § 11 DSG-EKD erfüllen. Sie müssen freiwillig von der betroffenen Person gegeben werden. Hierbei muss dieser Person klar sein, worum es geht (Welche Daten? Welcher Zweck? Wo veröffentlicht? Wer ist verantwortliche Stelle? Hinweis auf Widerrufbarkeit und wie diese praktisch durchgeführt wird). Weiterhin gilt das so genannte Kopplungsverbot. Der Zugang zu einer Leistung darf nicht mit einer anderen Leistung, die nichts mit dem Vertrag zu tun hat, verknüpft werden (z.B. Newsletterabo).

Nein! Wurde nach altem Recht eine wirksame Einwilligung eingeholt, dann ist diese weiterhin wirksam. Aufgrund der Rechenschaftspflicht muss nunmehr aber nachweisbar sein, dass eine solche Einwilligung eingeholt worden ist.

Für die Veröffentlichung von Bildern gilt weiterhin das Kunsturhebergesetz (KUG). Somit ist vor der Veröffentlichung von Bildern und Videos auch weiterhin grundsätzlich die Einwilligung des Betroffenen einzuholen. Etwas anderes gilt nur, wenn ein Fall des § 23 Abs. 1 KUG gegeben ist (z. B. eine Versammlung oder ein Fest einer kirchlichen Stelle). Auch hier ist aber in jedem Fall darauf zu achten, dass Personen nicht im Vordergrund stehen und somit deutlich erkennbar sind.

Für die Beurteilung der Veröffentlichung von Fotos von Kindern im Internet beachten Sie bitte auch die Empfehlung der der Konferenz der Beauftragten für den Datenschutz in der EKD.

https://datenschutz.ekd.de/infothek-items/entschliessung-2018/

Die Betroffenenrechte sind in Kapitel 3 des neuen DSG-EKD zu finden. In den §§ 16 ff DSG-EKD sind die folgenden Betroffenenrechte geregelt:

  • Informationspflichten (§§ 17, 18, 23 DSG-EKD)
  • Auskunftsrecht der betroffenen Person (§ 19 DSG-EKD)
  • Recht auf Berichtigung (§ 20 DSG-EKD)
  • Recht auf Löschung (§ 21 DSG-EKD)
  • Recht auf Einschränkung der Verarbeitung (§ 22 DSG-EKD)
  • Recht auf Datenübertragbarkeit (§ 24 DSG-EKD)
  • Widerspruchsrecht (§ 25 DSG-EKD)

Weiterhin kann sich jede betroffene Person, die sich bei der Verarbeitung personenbezogener Daten in ihren Rechten verletzt sieht, gemäß § 46 Abs. 1 DSG-EKD mit einer Beschwerde an die zuständige Datenschutzaufsichtsbehörde wenden.

Bei diesem Auskunftsrecht handelt es sich um ein so genanntes Betroffenenrecht. Ziel der Betroffenenrechte ist es, die betroffene Person in die Lage zu versetzen, dass sie konkret nachvollziehen kann, welche personenbezogenen Daten von ihr von der jeweiligen kirchlichen verantwortlichen Stelle gespeichert werden. Der Auskunftsanspruch ist also ein Bestandteil des praktischen Datenschutzrechts. Den Auskunftsanspruch gab es schon in den alten Fassungen des DSG-EKD. Auch andere Gesetze sehen solche Rechte vor, etwa das Akteneinsichtsrecht in die Personalakte.

Das in § 19 DSG-EKD geregelte Auskunftsrecht entspricht in seiner Struktur der Regelung zum Auskunftsrecht im alten DSG-EKD. Lediglich die Mindestinhalte der Auskunft wurden erweitert und das Verfahren wurde durch § 16 Abs. 2, 3 DSG-EKD i.V.m. § 19 DSG-EKD klarer gefasst. Hier sind nunmehr folgende Vorgaben zu beachten.

  • Fristen
  • Verfahren
    • Legitimation
    • Zuständigkeiten
    • Formular, Vordruck
  • Nennung des Ansprechpartners für den Datenschutz (örtlich Beauftragter für den Datenschutz)

Schon im alten DSG-EKD gab es Informationspflichten. Durch die Informationspflichten wird der Betroffene davon in Kenntnis gesetzt, dass eine kirchliche verantwortliche Stelle personenbezogene Daten von ihm verarbeitet.

Im Gegensatz zur DSGVO muss in Fällen, wenn Daten direkt beim Betroffenen selbst erhoben worden sind, im Grundsatz den Informationspflichten nur „auf Verlangen des Betroffenen“ nachkommen. Wie dies die einzelnen kirchlichen Stellen praktisch umsetzen, ist bislang noch offen und hängt jeweils von den Aufgaben der Stelle sowie den personenbezogenen Daten ab.

Es sollte aber bereits vor der ersten Anfrage klar sein, wie die verantwortliche kirchliche Stelle mit der Informationspflicht umgehen will. Eine gute Möglichkeit ist die Entwicklung eines Merkblatts, in dem über die Datenverarbeitung informiert wird.

Bildquellen