Fachnews Datenschutz: Übergangsfrist für AV-Verträge im Geltungsbereich des KDG endet am 31.12.2019 Montag, 09. September 2019
Die Übergangsbestimmung des § 57 Abs. 3 S. 1 KDG sieht eine Fortgeltung der vor dem 24. Mai 2018 unter der Gültigkeit der KDO geschlossenen Verträge zur Auftragsverarbeitung vor, verpflichtet jedoch die Verantwortlichen im zweiten Satz, diese Verträge bis spätestens 31.12.2019 an das KDG anzupassen. In der Praxis zahlreicher Einrichtungen, Werke und Caritativer Dienste zeigt sich, dass trotz (oder gerade wegen?) dieser komfortablen Übergangsfrist von annähernd neunzehn Monaten noch lange nicht alle notwendigen Anpassungen durchgeführt wurden. Pflicht zur Prüfung und Anpassung der Altverträge Sehr deutlich weisen die Verantwortlichen des Referats Datenschutz der Erzdiözese Freiburg in Ihrer Mitteilung darauf hin, dass die Überprüfung der bestehenden (Alt-)Verträge durch den jeweiligen betrieblichen Datenschutzbeauftragten (bDSB) erfolgen solle und dieser den Verantwortlichen in den Einrichtungen auch für mögliche Rückfragen zur Verfügung stünde (HIER geht es zur Mitteilung der Erzdiözese). Mit der inzwischen gewohnt pragmatisch-realistischen Einschätzung der Situation in vielen Einrichtungen und Diensten endet die Mitteilung der Erzdiözese Freiburg mit der Aufforderung, in Fällen, in denen bislang noch kein AV-Vertag geschlossen sei, die Dienstleister zum Abschluss eines AV-Vertrages auffordern. Änderungsbedarf sollte nicht unterschätzt werden Dabei sollte der notwendige Änderungs- und Anpassungsbedarf der Altverträge nicht unterschätzt werden. So hat sich im Übergang von der KDO auf das KDG keinesfalls nur die Terminologie von »Auftragsdatenverarbeitung« auf »Auftragsverarbeitung« geändert. So ist etwa neben anderen Themen über § 31 Abs. 2 KDG seit dem 24. Mai 2019 (mithin bereits einen Tag länger als über die DSGVO) jeder Auftragsverarbeiter durch den Verantwortlichen vertraglich zu verpflichten, ein Verzeichnis zu allen Kategorien der im Auftrag des Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung (»Verzeichnis von Verarbeitungstätigkeiten«) zu führen. Während unter der KDO die Auswahl des Auftragsverarbeiters »sorgfältig« und »unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen« erfolgen musste (§ 8 abs. 2 S. 1 KDO), fordert § 29 Abs. 1 KDG nun deutlich weiterreichend vom Auftragsverarbeiter hinreichende Garantien dafür, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen des KDG erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist. Auch hier sollte, spätestens mit Blick auf die Nachweispflichten, eine Klarstellung in allen Verträgen erfolgen. Ein wichtiges Thema bei der Neufassung der Verträge ist zudem die Prüfung, ob das bislang zwischen den Vertragsparteien vereinbarte Sicherheitskonzept auch den (neuen) Anforderungen des § 26 KDG entspricht. Anders als unter der DSGVO begegnet einem im Datenschutzrecht der katholischen Kirche zwar noch immer der Terminus der »technische und organisatorische Maßnahmen«, die Anforderungen an die Sicherheit der Verarbeitung sind indes genauso umfangreich wie im Europäischen Datenschutzkontext. Während der Vertrag zwischen dem Auftragsverarbeiter und dem Verantwortlichen unter der KDO schriftlich zu verfassen war (§ 8 Abs. 2 S. 2 KDO) ist gemäß § 29 Abs. 9 S.1 KDG nun auch eine Abfassung des Vertrags in einem »elektronische Format« zulässig. Hierbei bleibt offen, ob mit elektronischem Format tatsächlich die elektronische Form des BGB gemeint sein soll. Auch die in § 50 KDG neu definierte Haftung des Auftragsverarbeiters bei Verstößen sollte, wenn auch wohl abweichend von den Regelungen des Artikel 82 DSGVO, in den Neufassungen beachtet und angepasst werden. Neue Muster-AV-Verträge für die Erzdiözese und für die Kirchengemeinden Zur Erleichterung der Anpassungen stellt die Erzdiözese Freiburg auf ihrer Homepage im Bereich Datenschutz unter dem Register Muster und Arbeitshilfe in diesem Kontext ein aktualisiertes Muster eines Vertrags zur Auftragsdatenverarbeitung für die Erzdiözese als auch für Kirchengemeinden zur Verfügung (HIER geht es zu den Mustern der Erzdiözese Freiburg). Die AVV-Muster sind in der vorliegenden Version 1 bereits sehr umfassend, sollten jedoch vor der Anwendung in den Einrichtungen und Diensten durch den betrieblichen Datenschutzbeauftragten, gegebenenfalls unterstützt durch externe oder möglicherweise interne Rechtsberater, überprüft und angepasst werden. Während die Regelungen bei der Durchführung von Fernzugriffen zur Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen umfangreich sind, bieten sich bei den Regelungen zur Sicherheit der Verarbeitung und zur Beauftragung von Unterauftragnehmern in der Praxis Ergänzungen oder Klarstellungen an, die eine spätere »Handhabung« der Zusammenarbeit erleichtern können. Fazit Obwohl der Handlungsbedarf und die Fristen allen betrieblichen Datenschutzbeauftragten in den kirchlichen Einrichtungen, den Caritasverbänden und den Gemeinden spätestens seit Gültigkeit des Gesetzes über den Kirchlichen Datenschutz bekannt waren, dürfte der Hinweis des Referats Datenschutz der Erzdiözese Freiburg wohl längst nicht bei allen Verantwortlichen überflüssig sein. In diesen Fällen ist nun ein zügiges Handeln notwendig. Denn auch wenn bis zum Ablauf der Übergangsfrist noch beinahe vier Monate verbleiben, sollte der Aufwand für die Anpassung der Verträge, deren Freigabe innerhalb der Einrichtungen, aber auch für die Verhandlung und Abstimmung mit den Auftragsverarbeitern nicht unterschätzt werden. Autor: Matthias Herkert, Leiter Fachbereich Consulting und externer Datenschutzbeauftragter Zurück zur Newsübersicht
Das könnte Sie auch interessieren: Fachnews vom 30. August 2024 Datenschutz Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in Art. 17 DSGVO oder der Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e DSGVO. Jedoch fällt es viele Unternehmen schwer, einen Überblick darüber … Weiterlesen … Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! Fachnews vom 30. Juli 2024 Datenschutz Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten aut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder aber auch zur Entscheidungsfindung. Ein klares Bild: KI-Systeme haben Einzug in die Strukturen von Unternehmen gefunden. Weiterlesen … Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten Fachnews vom 20. Juni 2024 Datenschutz Aus dem Datenschutz-Blog: AI-Act – ein Überblick Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. Mai 2024 von den Mitgliedsstaaten der EU verabschiedet. Dieses Gesetz definiert erstmals einheitliche Standards zur Regulierung des Einsatzes von KI-Systemen in der EU. … Weiterlesen … Aus dem Datenschutz-Blog: AI-Act – ein Überblick Fachnews vom 22. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Es ist mittlerweile üblich, dass wir Rechnungen und Dokumente digital erhalten. Zu denken sind an Rechnungen von Mobilfunk- oder Stromanbietern oder recht neu auch das eRezept oder die eAU. Stutzig werden wir, wenn die Entgeltabrechnung von Arbeitgebern digital zur Verfügung gestellt wird. In einer … Weiterlesen … Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Fachnews vom 02. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Seit dem 01.01.2023 gilt für Arbeitgeber die Pflicht, die Arbeitsunfähigkeitsbescheinigung (AU) ihrer Beschäftigten digital abzurufen. Mit diesem elektronischen Meldeverfahren kommen auch datenschutzrechtliche Anpassungen auf den Arbeitgeber zu. In diesem Artikel möchten wir einen Überblick über das … Weiterlesen … Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Fachnews vom 26. März 2024 Datenschutz Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung In Zeiten des digitalen Wandels rückt das Thema der Cybersicherheit, insbesondere für kritische Infrastrukturen, immer mehr in den Fokus der Öffentlichkeit. Es wird von einer signifikant gestiegenen Bedrohungslage für Wirtschaft, Verwaltung und Gesellschaft gesprochen. Weiterlesen … Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung Fachnews vom 06. März 2024 Datenschutz Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Was sich anhört wie ein Satz aus einem beliebten deutschen Rap-Lied ist tatsächlich Teil der EU-Digitalisierungsstrategie für digitale Sachverhalte. Wir schauen hinter die Kürzel und zeigen, was 2024 und darüber hinaus wichtig wird und ist. Weiterlesen … Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Fachnews vom 27. Februar 2024 Datenschutz Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen Praxis finden sich vereinzelt die unterschiedlichsten Vorlagen und Muster, welche komprimiert den notwendigen Inhalt der Einwilligung wiedergeben. Meist … Weiterlesen … Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Fachnews vom 24. Januar 2024 Datenschutz Interne Mitteilungen über Beschäftigte Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss oder eben gerne möchte. Was ist schon dabei, dem lieben Arbeitskollegen zum Geburtstag zu gratulieren, der Kollegin zur Beförderung anerkennend auf die Schulter zu klopfen oder der … Weiterlesen … Interne Mitteilungen über Beschäftigte Fachnews vom 15. August 2023 Datenschutz EU-US Data Privacy Framework – was lange währt wird endlich gut? Was lange währt wird endlich gut – oder bietet der Angemessenheitsbeschluss doch nur eine neue Rechtsgrundlage auf Zeit? Was der neue Beschluss mit sich bringt und was das für Sie bedeutet finden Sie im folgenden Beitrag. Weiterlesen … EU-US Data Privacy Framework – was lange währt wird endlich gut? Fachnews vom 06. Juli 2023 Datenschutz Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit diesem Urteil fehlt es für die Übertragung personenbezogener Daten in die USA in vielen Fällen … Weiterlesen … Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Fachnews vom 20. Juni 2023 Datenschutz Gruppenpostfächer – Personendaten in vielen Händen Jedes Unternehmen hat mindestens eins davon: Ein Gruppenpostfach. Mit dem Allrounder unter den E‑Mail-Postfächern lassen sich mit wenig Aufwand mehrere Fliegen mit einer Klappe schlagen. Um das datenschutzrechtliche Niveau zu halten, muss bereits bei der Anlage eines Gruppenpostfachs Sorgfalt … Weiterlesen … Gruppenpostfächer – Personendaten in vielen Händen < >