Datenschutz in der Kirche: Neue Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO)

Bereits am 19. November 2018 hat die Vollversammlung des Verbandes der Diözesen Deutschlands eine Zurchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) beschlossen, welche die bislang über § 57 Abs. 5 KDG fortgeltende Durchführungsverordnung der Anordnung über den Kirchlichen Datenschutz (KDO-DVO)  ersetzen wird.

Mit der Durchführungsverordnung trifft der Generalvikar in den jeweiligen (Erz-)Bistümern gemäß § 56 KDG die für die Durchführung des Gesetzes über den Kirchlichen Datenschutz (KDG) erforderlichen Konkretisierungen und Regelungen. Die Durchführungsverordnung tritt gemäß § 28 Abs. 1 KDG-DVO zum 01.03.2019 in Kraft und ist nach § 27 KDG-DVO spätestens bis zum 31.12.2019 umzusetzen.

Neben den inhaltlichen (Mindest-)Vorgaben zum Verzeichnis von Verarbeitungstätigkeiten (Kapitel 1 der KDG-DVO) und der Verpflichtung der Beschäftigten auf das Datengeheimnis (Kapitel 2 der KDG-DVO) erfüllt der Beschluss der Vollversammlung des Verbandes der Diözesen Deutschlands insbesondere die gesetzlichen Forderungen des § 56 lit. b KDG zur Festlegung und Ausgestaltung der technischen und organisatorischen Maßnahmen gemäß § 26 KDG, die weitgehend den Forderungen des Art. 32 DSGVO (Sicherheit der Verarbeitung) entsprechen.

Der direkte Bezug auf den IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und den Schutzstandard der ISO 27001 als Orientierungsmaßstab für die zu treffenden Schutzmaßnahmen bei der Verarbeitung von Daten in Rechenzentren (§ 8 KDG-DVO), wie auch die Vorgaben zu Schutzbedarf- und Risikoanalysen in den §§ 9 bis 14 KDG-DVO (Abschnitt 2 in Kapitel 3) sind sicherlich auch für Gestaltungen im Datenschutz außerhalb des Anwendungsbereiches der KDG richtungsweisend.

Wie bereits aus der bisherigen Durchführungsverordnung des KDG bekannt, fordert auch die KDG-DVO vom  Verantwortlichen die Erstellung und Umsetzung eines Datenschutzkonzeptes im Sinne eines Konzept zur datenschutzrechtlichen Ausgestaltung der IT-Systeme (§ 15 Abs. 4 KDG-DVO).

Wesentliche Basis der Konzeptentwicklung ist hierbei (weiterhin) eine vor dessen Erstellung durchzuführende Analyse der Datenverarbeitung. Vergleichbar unter anderem mit dem IT-Grundschutzkatalog des BSI ist hierbei der Schutzbedarf der personenbezogenen Daten durch eine Risikoanalyse zu ermitteln (§ 9 Abs. 1 KDG-DVO), die zu einer Zuordnung der Daten in eine von drei Datenschutzklassen führt (§ 9 Abs. Abs. 3 KDG-DVO). Die jeweilige Zuordnung erfordert in der Folge die Einhaltung des der Datenschutzklasse zugeordneten  Schutzniveaus (§ 10 Abs. 1 KDG-DVO). Durch die in den §§ 11 bis 13 KDG-DVO für die jeweiligen Schutzniveaus beschriebenen Mindeststandards wird den Verantwortlichen aus der Durchführungsverordnung bereits ein durchaus praxisnaher und anwendbarer „Maßnahmenkatalog“ vorgegeben.
Die Vorgabe von drei Datenschutzklassen (I bis III) berücksichtigt dabei die auch im Bereich der IT-Sicherheit vertretene Auffassung, dass bei stärkerer Differenzierung in der Praxis Probleme bei der eindeutigen Zuordnung von Schutzmaßnahmen zu den Schutzniveaus zu erwarten wären, während bei weniger Datenschutzklassen häufig Anforderungen zu erfüllt  sein, die erheblich über dem tatsächlichen Schutzbedarf des betroffenen Datums lägen.

Im Ergebnis liegt mit der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz eine gelungene Weiterentwicklung der bisherigen Durchführungsverordnung der Anordnung über den Kirchlichen Datenschutz vor, die insbesondere im Bereich der IT-Sicherheitskonzepte und bei der Anpassung und „Modernisierung“ der in der Praxis zum Teil etwas „angestaubten“ technischen und organisatorischen Maßnahmen zur Datensicherheit Anpassungsbedarf erfordern wird.

Autor: Matthias Herkert, Leiter Fachbereich Consulting und externer Datenschutzbeauftragter