DSG-EKD: Neues Datenschutzgesetz für die Evangelische Kirche

Ab dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) anzuwenden. Gemäß Art. 91 Abs.1 DSGVO dürfen Regelungen von Kirchen, religiösen Vereinigungen oder Gemeinschaften, welche zuvor in Kraft getreten sind, weiterhin angewandt werden, wenn sie mit der Datenschutz-Grundverordnung „in Einklang“ stehen.

In einem unserer vorherigen Beiträge haben wir bereits über das neue kirchliche Datenschutzgesetz der Katholischen Kirche berichtet.

Nun hat auch die Evangelische Kirche ein entsprechendes Gesetz erlassen, um das Ziel des In-Einklang-Bringens zu verfolgen: Das Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD), welches am 24. Mai 2018 in Kraft treten wird. Dadurch kommen auf die evangelischen Gemeinden und deren Einrichtungen einige Neuerungen zu. Es ergeben sich neue Pflichten, die einer praktischen Umsetzung innerhalb der gesetzten Frist bedürfen.

Einheitliches Datenschutzniveau

Durch die DSGVO wird ein neues Datenschutzniveau in der Europäischen Union erreicht, welches dadurch nun einheitlich ist. Das macht die Datenübermittlung innerhalb der Europäischen Union einfacher. Bei einer Übermittlung von Daten an Drittländer, also Nicht-EU-Länder, gilt es aber zu beachten, dass  zusätzliche Anforderungen an die Offenlegung von Daten durch Übermittlung gestellt werden. Hierbei ist zu beurteilen, ob ein angemessenes Datenschutzniveau in diesem Land nach § 10 DSG-EKD gegeben ist oder ob ggf. Ausnahmen eine solche Datenübermittlung zulassen.

Pflichten der verantwortlichen Stelle

Die verantwortliche Stelle hat eine Dokumentationspflicht gegenüber der Aufsichtsbehörde. Um dieser nachzukommen ist ein schriftliches Verzeichnis von Verarbeitungstätigkeiten gemäß § 31 DSG-EKD zu führen. In diesem sollen die Verarbeitungen personenbezogener Daten dargestellt werden. Somit kann die verantwortliche Stelle nachweisen, dass die Datenschutzbestimmungen eingehalten wurden. Eine solche Führungspflicht obliegt allen verantwortlichen Stellen und dem jeweiligen Auftragsverarbeiter mit nicht weniger als 250 Beschäftigten.

Gegenüber den von der Datenerhebung betroffenen Personen trifft die verantwortliche Stelle eine Informationspflicht gemäß §§ 17, 18 DSG-EKD sowohl bei der unmittelbaren als auch bei der mittelbaren Erhebung personenbezogener Daten.

Des Weiteren ist eine Datenschutz-Folgenabschätzung nach § 34 DSG-EKD durchzuführen, welche die ehemalige Vorabkontrolle ablöst. Dabei handelt es sich um eine bestimmte Methode zur Datenschutzgewährleistung, um Risiken für die Rechte natürlicher Personen zu identifizieren und ggf. Gegenmaßnahmen zu treffen. Die Datenschutz-Folgenabschätzung ist zunächst vor Beginn der Verarbeitung durchzuführen und dann kontinuierlich fortzuführen. Somit wird eine fortlaufende Sicherung des Datenschutzes gewährleistet.

Neuer Risikobegriff

Um diese Prognose treffen zu können, ist es wichtig den neuen Risiko-Begriff des DSG-EKD zu kennen. Die Kurzpapiere des Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland beschäftigen sich unter anderem mit dieser Neuerung. Dabei wird folgende Vorgehensweise empfohlen:

Zunächst sollten Ereignisse, die ein Risiko für die Rechte von natürlichen Personen darstellen, ausgemacht werden. Danach sollte eine Einschätzung zur Eintrittswahrscheinlichkeit getroffen werden. Als nächstes sollten dann die daraus resultierenden Folgen für die betroffenen Personen und deren Schwere ermittelt werden. So ergibt sich eine nachvollziehbare Risikobewertung.

Schließlich bietet es sich an diese Risiken zu vergleichen, um das größte Risiko zu ermitteln. Anschließend kann sich auf die Risikoreduzierung konzentriert werden.

Es empfiehlt sich zum einen durch jährliche Wiederholung eine andauernde Verbesserung anzustreben und zum anderen mehrere Personen zu beteiligen, um eine möglichst objektive Einschätzung zu entwickeln. Die Aufsichtsbehörden trifft hier eine besondere Verantwortung in Form von beratender Unterstützung.

Stärkung der Aufsichtsbehörde

Die Stellung der unabhängigen kirchlichen Aufsichtsbehörden wird dadurch gestärkt, dass sie sich besonderer Befugnisse bedienen können.

Die Untersuchungs- und Abhilfebefugnisse, welche in § 44 DSG-EKD geregelt sind, ermöglichen es den Aufsichtsbehörden Unterstützung von den verantwortlichen Stellen zu verlangen und diese zur Mithilfe zu verpflichten. Darunter fallen vor allem die Erteilung von Auskünften, die Bereitstellung von Akten und Informationen, sowie die Gestattung des Zutritts zu den Räumlichkeiten der verantwortlichen Stelle.

Die Aufsichtsbehörde selbst kann daraufhin Hinweise und Verbesserungsvorschläge erteilen, sowie Verstöße beanstanden oder Anordnungen erlassen. Diese Aktionen liegen im Ermessen der jeweiligen Aufsichtsbehörde.

Der Aufsichtsbehörde wurde gemäß § 45 DSG-EKD als Sanktionsmittel die Verhängung von Geldbußen an die Hand gegeben. Dieses Prinzip gilt auch in der DSGVO. Zu beachten ist daher, dass im Rahmen des DSG-EKD nur am Wettbewerb teilnehmende Unternehmen mit Geldbußen sanktioniert werden können. Die maximale Höhe für wirtschaftlich tätige Unternehmen beträgt 500.000 Euro.

Bei einem Verstoß muss also mit einer im Ermessen der Aufsichtsbehörde stehenden Geldbuße gerechnet werden, wodurch es noch wichtiger ist, den neuen Pflichten nachzukommen.

Rechte betroffener Personen

Schließlich ergeben sich gemäß §§ 21, 22 DSG-EKD neue Rechte für die Personen, deren Daten verarbeitet werden. Essentiell ist hierbei das Recht auf Löschung sowie das Recht auf Vergessenwerden bei öffentlich gemachten Daten. Die verantwortliche Stelle ist hierbei dafür verantwortlich, dass sie die Daten innerhalb von drei Monaten löscht bzw. dass andere Stellen die öffentlichen Daten löschen. Ist eine solche Löschung nicht möglich, hat die betroffene Person ein Recht auf Einschränkung der Verarbeitung. Wurden die Daten an andere Empfänger übermittelt, trifft die verantwortliche Stelle auch eine Nachberichtspflicht gemäß § 23 DSG-EKD.

Lediglich die Vorschriften des Archiv- und Kirchenbuchwesens sind davon nicht betroffen.

Das Recht auf Auskunft nach § 19 DSG-EKD der betroffenen Person besteht auch nach der Gesetzesänderung weiter, solange der Auftrag der Kirche nicht gefährdet wird.

Haben Sie Fragen?

Damit Sie nicht den Überblick über die kurz vorgestellten Neuerungen verlieren und die Umsetzung der neuen Pflichten reibungslos verläuft, unterstützen wir Sie gerne. Dabei können Sie sich auf unsere Beratungskompetenz im kirchlichen Datenschutz verlassen und sich gerne an uns wenden. Hier finden Sie unsere Ansprechpartner.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.