Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 12): Auftragsverarbeitung nach dem Kirchlichen Datenschutzgesetz

22. März 2019

Die Durchführungsverordnung zum KDG (KDG-DVO) wurde durch die Vollversammlung des Verbandes der Diözesen Deutschlands beschlossen. Diese ist am 01.03.2019 in Kraft getreten und löst die „alte“ Durchführungsverordnung zur KDO (KDO-DVO) ab. In der neuen KDG-DVO finden sich Inhalte, welche bereits in der KDO-DVO enthalten waren, aber auch solche, die neu sind. Insbesondere enthält die Durchführungsverordnung genaue Vorgaben hinsichtlich der Auftragsvereinbarung. Danach ist mit Auftragsverarbeiter, die nicht den Regelungen des KDG unterfallen, neben der Anwendung der EU-Datenschutzgrundverordnung die Anwendung des KDG zu vereinbaren.

In der Praxis handelt es sich hierbei um eine schwer umsetzbare Vereinbarung, insbesondere vor dem Hintergrund, dass ein privatwirtschaftliches Unternehmen strengere Regelungen schwer befürworten würde.

Das katholische Datenschutzzentrum vertritt diesbezüglich allerdings eine klare Linie: Auftragsverarbeitungsverträge sind grundsätzlich unter Einbeziehung des KDG abzuschließen. Im Vordergrund steht die Einhaltung der technischen und organisatorischen Maßnahmen. Bereits im § 29 Abs. 4 lit. c) KDG wurde die vertragliche Verpflichtung des Auftragnehmers betont, alle nach § 26 KDG erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen. Auch in der Konferenz der Diözesandatenschutzbeauftragen wurden vermehrt Anfragen gestellt, wie u.a. die im § 31 Abs. 2 KDG aufgestellte Anforderung zur vertraglichen Verpflichtung des Auftragsverarbeiters auf das KDG zu verstehen und umzusetzen sei. Die Konferenz hatte sich mit der Fragestellung in der Sitzung vom 17. und 18. April 2018 befasst und folgenden Beschluss verfasst: Bei Abschluss von Verträgen kirchlicher Dienststellen mit externen Unternehmen soll eine Bezugnahme auf das aktuelle KDG in den Vertragstext aufgenommen werden, um § 31 KDG zu erfüllen.

Der inhaltliche Schwerpunkt der Vereinbarung liegt sicherlich bei der Gestaltung der technischen und organisatorischen Maßnahmen sowie bei der Umsetzung der Verzeichnisse von Verarbeitungstätigkeiten. Der Auftragsverarbeitungsvertrag muss demnach den Anforderungen des § 29 KDG genügen. Eine sorgfältige Auswahl des Auftragsverarbeiters wird weiterhin vorausgesetzt.

Kategorien: Kirchlicher Datenschutz
Schlagwörter: