Fachnews 09.10.2018

Datenschutz in der Kirche: Diözesandatenschutzbeauftragte legen eine Positivliste von Verarbeitungsvorgängen vor

Datenschutz in der Kirche: Diözesandatenschutzbeauftragte legen eine Positivliste von Verarbeitungsvorgängen vor


Die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland hat auf Ihrer Sitzung vom 26.07.2018 in Frankfurt eine Positivliste von Verarbeitungsvorgängen verabschiedet, für die i.S.d. § 35 des Gesetzes über den Kirchlichen Datenschutz (KDG) eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist.
Vergleichbar mit Art. 35 Abs. 4 der Datenschutz-Grundverordnung  (DSGVO),  der die Aufsichtsbehörden auffordert, eine Liste der Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (Positivliste), soll auch die Datenschutzaufsicht gemäß § 35 Abs. 5 KDG für den Anwendungsbereich des KDG eine entsprechende Liste von Verarbeitungstätigkeiten erstellen, bei denen aus Sicht der Diözesandatenschutzbeauftragten immer eine DSFA durchzuführen ist.


Die Übersicht der Diözesandatenschutzbeauftragten orientiert sich erkennbar an den Listen der staatlichen Aufsichtsbehörden (DSFA Liste der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) vom 10.07.2018) und greift erwartungsgemäß die Kriterien zur Einordnung von Verarbeitungsvorgängen des Working Paper (WP) 248 vom 4. April 2017 der Artikel-29-Gruppe (Vorgänger des Europäischen Datenschutzausschusses als Zusammenschluss aller nationalen Datenschutz-Aufsichtsbehörden in der Europäischen Union) auf.
Wie die staatlichen Aufsichtsbehörden, weist auch die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland darauf hin, dass die nun vorliegende Liste keinesfalls abschließend zu verstehen ist. Wird  eine Verarbeitungstätigkeit in der vorliegenden Liste nicht aufgeführt, so könne hieraus keinesfalls der Schluss gezogen werden, dass keine DSFA durchzuführen wäre.


Um die Liste für die Praxis transparenter und verständlicher zu machen, werden die Beschreibung der Verarbeitungstätigkeiten und die Benennung der typischen Einsatzfelder um durchaus praxisnahe Anwendungsfälle aus dem kirchlichen Anwendungsbereich des KDG ergänzt. Beispiele wie etwa die Übermittlung von Bewohnerdaten durch eine Einrichtung an einen Apothekendienst zur Medikamentenversorgung oder die Datenerfassung von Standorten, Fahrstrecken und Verweilzeiten zur Routenoptimierung durch einen ambulanten Dienst greifen die tägliche Praxis vieler Einrichtungen auf und decken nicht selten Handlungsbedarfe auf.


Abschließend weisen die Diözesandatenschutzbeauftragten darauf hin, dass bei der Ausführung von Verarbeitungsvorgängen, die  in § 35 Abs. 4 KDG oder der nun vorliegenden Positivliste aufgeführt sind, ohne vorherige Durchführung einer DSFA, die zuständige Datenschutzaufsicht wegen Verstoßes gegen § 35 Abs. 1 KDG von ihren Abhilfebefugnissen gemäß § 47 KDG einschließlich der Verhängung von Geldbußen gemäß § 51 KDG Gebrauch machen könne.


Autor: Matthias Herkert, Leiter Fachbereich Consulting und externer Datenschutzbeauftragter