Schlagwort: KDG

Die neue Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) soll zum 1. März 2019 in Kraft treten

18. Februar 2019

Die Vollversammlung des Verbandes der Diözesen Deutschlands hat am 19. November 2018 eine neue Durchführungsverordnung zum „Gesetz über den Kirchlichen Datenschutz“ (KDG-DVO) beschlossen. Die Durchführungsverordnung soll zum 1. März 2019 in Kraft treten. Hintergrund ist, dass die bisherige Durchführungsverordnung zur Anordnung über den Kirchlichen Datenschutz (KDO-DVO), welche vor Inkrafttreten des „Gesetzes über den kirchlichen Datenschutz“ (KDG) Anwendung fand, gemäß der in § 57 Abs. 5 KDG festgelegten Übergangsfrist längstens bis zum 30.06.2019 in Kraft bleibt, sodass eine Anpassung der bisherigen DSGVO erforderlich war.

Für das Inkraftsetzung der neuen KDG-DVO bedarf es  eines Beschlusses des Bischofs der jeweiligen Diözese. Die Inkraftsetzung der KDG-DVO wurde bislang noch nicht in allen Deutschen (Erz-) Diözesen beschlossen.

In der neuen KDG-DVO finden sich Inhalte, welche bereits in der KDO-DVO enthalten waren, aber auch solche, die neu sind. Die Verantwortlichen müssen insbesondere weiterhin ein Datenschutzkonzept vorhalten. Dies ergibt aus der Pflicht des Verantwortlichen den Schutzbedarf personenbezogener Daten anhand einer Risikoanalyse festzustellen (Kapitel 3 KDG-DVO). Interessant sind vor allem die in § 6 KDG-DVO enthaltenen Vorgaben zu den technischen und organisatorischen Maßnahmen, welche auch die Anforderungen an deren Weiterentwicklung betreffen. Die KDG-DVO sieht weiterhin die Einordung personenbezogener Daten in eine Datenschutzklasse vor und erfolgt durch den Verantwortlichen. Sie soll in der Regel bei der Erstellung des Verarbeitungsverzeichnisses vorgenommen werden. In diesem Zusammenhang soll auch der betriebliche DSB angehört werden. Zusätzlich enthält die KDG-DVO diverse Beispiele für besondere Gefahrenlagen (Kapitel 5). Diese dürften insbesondere für die Pflicht zur Durchführung einer Datenschutzfolgenabschätzung relevant sein.

Jede unter den Anwendungsbereich der neuen KDG-DVO fallende Einrichtung sollte bereits jetzt prüfen, welche Auswirkungen die Neuregelung z. B. auf das bereits erstellte Datenschutzkonzept haben wird, so der Diözesandatenschutzbeauftragte der norddeutschen Bistümer.

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 9): Was unterscheidet das Beichtgeheimnis von dem Datengeheimnis?

11. Februar 2019

Das Beichtgeheimnis ist kirchenrechtlich in canon 983, 984 Codex Iuris Canonici (CIC) geregelt. Danach ist es dem Beichtvater (Priester) streng verboten, über die Sünden des Büßers in irgendeiner Form zu sprechen, ihn in sonst einer Form zu verraten oder die Kenntnis seiner Sünden bei der Leitung einer Gemeinde oder einer anderen kirchlichen Einrichtung zu verwenden.

Anders ist die Verpflichtungserklärung von allen bei der Datenverarbeitung tätigen Personen abzugeben. Dabei kommt es nicht darauf an, ob diese haupt-, neben- oder ehrenamtlich tätig sind. Entscheidend ist allein, dass sie mit personenbezogenen Daten in Berührung kommen. Sie gehören zum Kreis des Verantwortlichen im Sinne von § 4 Nr. 9 KDG. Der Schutz der Intimsphäre der betroffenen Personen kann in diesen Fällen nur dann gewährleistet werden, wenn mit den personenbezogenen Daten vertraulich umgegangen wird. § 5 KDG untersagt daher, diese Daten in unbefugter Weise zu verarbeiten. Eine förmliche Verpflichtung auf die Einhaltung der Datenschutzvorschriften und besonders die Verpflichtung zur Wahrung des Datengeheimnisses soll dies sicherstellen. Hierdurch werden die Mitarbeiter zugleich auf die besondere Bedeutung dieser Verpflichtung und die Folgen ihrer Verletzung hingewiesen. Darüber hinaus schafft sie die Gelegenheit, die betroffenen Personen mit den bestehenden Datenschutzregeln vertraut zu machen.

Das Datengeheimnis hat daher einen sehr viel breiteren Anwendungsbereich als das Beichtgeheimnis. § 5 KDG verlangt nicht nur, dass mit den Daten vertraulich umgegangen wird, sondern untersagt auch die unbefugte Verarbeitung der Informationen, einschließlich ihrer Erhebung, Erfassung, der Organisation, dem Ordnen, sowie ihrer Speicherung, Anpassung, Veränderung, dem Auslesen, Abfragen und der Offenlegung durch Übermittlung oder Verbreitung.

Kategorien: Allgemein
Schlagwörter: , ,

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 8): Neue KDG-DVO

9. Januar 2019

Am 19. November 2018 hat die Vollversammlung des Verbandes der Diözesen Deutschlands in ihrer Sitzung die neue Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) beschlossen.

Nach Inkrafttreten des Gesetzes über den Kirchlichen Datenschutz (KDG) blieb die auf der bisherigen Anordnung über den kirchlichen Datenschutz der Katholischen Kirche (KDO) basierende Durchführungsverordnung auf Basis einer Übergangsregelung in Kraft. Durch eine Expertenkommission, bei deren Teilnehmern es sich um Fachleute aus den Bereichen IT und Datenschutz handelte, wurde für die Vollversammlung 2018 des Verbandes der Diözesen Deutschlands eine Neufassung der KDO-DVO ausgearbeitet. Diese wurde von der Versammlung beschlossen und den Diözesen der Katholischen Kirche in Deutschland als Empfehlung zur Inkraftsetzung vorgelegt.

Geplanter Termin für das Inkrafttreten der KDG-DVO als neuer Regelung für den kirchlichen Datenschutz ist der 01. März 2019.

Kategorien: Allgemein
Schlagwörter:

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 7): Wo kann ich erfahren, welche Daten über mich vorliegen und verarbeitet werden?

11. Dezember 2018

Gemäß § 17 Abs. 1 KDG hat der Betroffene das Recht, von dem Verantwortlichen eine Auskunft darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden. Danach ist dieser Anspruch gegenüber dem Verantwortlichen geltend zu machen. § 4 Nr. 9 KDG definiert den Verantwortlichen als den Menschen oder die Dienststelle/Einrichtung, die über die Mittel der Datenverarbeitung entscheidet. Das bedeutet, dass sich der Betroffene immer an die Person oder Stelle wenden muss, bei der die Informationen über ihn vorliegen. Die Auskunftserteilung erfolgt nur auf Verlangen der betroffenen Person. Sie ist in der Regel unentgeltlich. Nur dann, wenn weitere Kopien über die erforderliche Anzahl hinaus erbeten werden, kann hierfür ein angemessenes Entgelt in Rechnung gestellt werden. Folgende Beispiele verdeutlichen dies.

So bekommt jeder, der wissen will, welche Daten seine Kirchengemeinde über ihn zur Verfügung hat, die Auskunft über das betreffende Pfarrbüro.

Der Klient einer Caritasdienstelle wird vor Ort über den Inhalt und den Umfang des Datensatzes über seine Person unterrichtet.

Auch eine Schule muss den Schüler und die Sorgeberechtigten über die gespeicherten Informationen unterrichten.

Ungeeignet ist die Anfrage beim Diözesandatenschutzbeauftragten, da dieser nicht über die verarbeiteten Daten verfügt. Sollte sich eine Einrichtung jedoch weigern, Auskunft zu erteilen, ist er der richtige Ansprechpartner für eine Beschwerde.

Kategorien: Allgemein
Schlagwörter: ,

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 6): Ist das KDG strenger als die DSGVO?

30. November 2018

Zutreffend ist, dass das KDG im Gegensatz zur DSGVO in § 8 Abs. 2 ausdrücklich die Schriftform der Einwilligung fordert. Allerdings findet sich ebendort die Einschränkung „soweit nicht wegen besonderer Umstände eine andere Form angemessen ist“. Damit sind durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss.

Die Deutsche Bischofskonferenz (DBK) weist die Kritik zurück, der kirchliche Datenschutz sei strenger als das EU-Recht.

Zwar fordert das KDG im Gegensatz zur DSGVO explizit die Schriftform, es seien aber durch eine Öffnungsklausel „durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss“. Die DBK betont, dass das kirchliche Gesetz „mit seiner Forderung einer schriftlichen Einwilligung nicht von der DSGVO abweichen und strenger sein wollte als diese, sondern lediglich konkreter und damit anwenderfreundlicher“.

Darüber hinaus schreibt auch die DSGVO in Art. 7 vor, dass der Verantwortliche nachweisen muss, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Wie soll dieser Nachweis erfolgen, wenn die Einwilligung nicht schriftlich erfolgt?

Kategorien: Allgemein
Schlagwörter: ,

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 5): Katholische Datenschutzgerichte

14. November 2018

Vorsitzender des Gerichtes Erster Instanz, des Interdiözesanen Datenschutzgerichts (IDSG), ist der Präsident des Verwaltungsgerichts Gelsenkirchen, Bernhard Fessler. Der zweiten Instanz, dem Datenschutzgericht der Deutschen Bischofskonferenz (DSG-DBK) sitzt Prof. Dr. Gernot Sydow vor, Professor für europäisches Verwaltungsrecht in Münster. Beiden Gerichten sind neben einem Stellvertretenden Vorsitzenden auch Beisitzer aus dem weltlichen und dem kanonischen Recht zugeteilt.

Die neuen Datenschutzgerichte werden immer dann aktiv, wenn eine betroffene Person oder ein Verantwortlicher in Deutschland ihnen Entscheidungen der Diözesandatenschutzbeauftragten zur Überprüfung vorlegt. Ebenso können Betroffene die Rechtmäßigkeit von Datenverarbeitungen durch Verantwortliche oder Auftragsverarbeiter überprüfen lassen.

Das Verfahren richtet sich nach der Kirchlichen Datenschutzgerichtsordnung (KDSGO). Nicht zu den Aufgaben der Gerichte gehört es, die Rechtmäßigkeit kirchlicher Gesetze zu überprüfen, so dass Gegenstand der Entscheidungen ausschließlich die rechtskonforme Gesetzesauslegung und -anwendung sein wird.

Die Datenschutzgerichte nehmen in Deutschland eine einzigartige Vorreiterrolle ein, insbesondere auch, weil im weltlichen Bereich ein entsprechendes Pendant nicht existiert: Hier fällt die DSGVO in die Zuständigkeit von Verwaltungs- bzw. ordentlichen Gerichten.

Eine Sonderregelung für die Kirchen im Grundgesetz (Art. 140 GG i.V.m. Art. 137 Weimarer Reichsverfassung) macht es möglich:

Bei Entstehung des Grundgesetzes 1949 hatten sich die Kirchen in Deutschland vorbehalten, ihr Recht auf Selbstbestimmung und damit ihre Unabhängigkeit vom Staat als Verfassungsrecht statuieren zu lassen, womit das Grundrecht auf Religionsfreiheit (Art. 4 GG) eine wichtige Stärkung erfuhr. Auf dieser Kodifizierung fußt u.a. das Recht der Religionsgemeinschaften, Steuern zu erheben, in bestimmten Bereichen eigene Gesetze zu erlassen, und wie vorliegend eigene Spezialgerichte einzuberufen.

Die Entscheidungen der Kirchengerichte haben im sonstigen kirchlichen – z.B. evangelischen – und im staatlichen bzw. europäischen Recht -also DSGVO, BDSG und Landesgesetze – keine direkte Geltung. Da das KDG jedoch in weiten Teilen identisch mit der DSGVO ist, dürfte jedenfalls eine analoge Übertragung auf nichtkatholische Sachverhalte naheliegen.

Kategorien: Allgemein
Schlagwörter: ,

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 4): Was passiert bei einem Kirchenaustritt mit meinen Daten?

5. November 2018

Für die Datenverarbeitung muss zwischen der Eintragung im Taufregister und der Berücksichtigung im elektronischen Melderegister unterschieden werden. Aufgrund der schriftlichen Benachrichtigung durch die zuständige Stelle, wird das für den Ausgetretenen bestehende Taufregister ermittelt und um die Eintragung des Kirchenaustritts ergänzt. Das Taufregister über eine Person wird grundsätzlich dort geführt, wo der Betroffene getauft wurde (Geburtsort). Dabei kann es sich um die Pfarrei handeln, in deren Bezirk die Eltern zum Zeitpunkt der Geburt ihren Wohnsitz hatten oder das Geburtskrankenhaus gelegen war. Eine Vernichtung des Taufregisters findet nicht statt. Es ist eine Gesamturkunde, die in ihrem Bestand zu schützen ist.

Darüber hinaus ist der Erhalt der Eintragung ausfolgenden Gründen erforderlich: a) weil nur so verhindert werden kann, dass der Ausgetretene weitere Sakramente empfängt (z.B. Ehesakrament), c) weil die Möglichkeit eines späteren Wiedereintritts in die Kirche oder einer Konversion besteht.

Der Kirchenaustritt führt zu einer Änderung des Melderegisters. Von den Meldebehörden erhält die Kirche regelmäßig einen Änderungsdienst, der auch die Kirchenaustritte berücksichtigt. Aufgrund dieser Meldung wird dann das Gemeindemitgliederverzeichnis nach § 4 KMAO berichtigt. Der Ausgetretene wird also im kirchlichen Meldewesen nicht mehr erfasst!

Kategorien: Allgemein
Schlagwörter: ,

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 3): Was sind Diözesandatenschutzbeauftragte?

17. Oktober 2018

Nach § 42 Abs. 1 des Gesetzes über den kirchlichen Datenschutz (KDG) bestellt jeder Bischof für den Bereich seines Bistums einen Diözesandatenschutzbeauftragten. Er soll zuverlässig und sachkundig sein, die Befähigung zum Richteramt haben und der Katholischen Kirche angehören. Er ist auf die gewissenhafte Erfüllung seiner Pflichten und auf die Einhaltung kirchlichen Rechts sowie das für die Kirche geltende staatliche Recht zu verpflichten.

Seine grundlegende Aufgabe besteht nach § 44 Abs. 1 KDG darin, über die Einhaltung der Vorschriften dieses Gesetzes zu wachen. Er ist also für den kirchlichen Bereich die zuständige Aufsichtsbehörde. Er kann alle Maßnahmen nach § 47 ff. KDG bis hin zur Festsetzung von Geldbußen nach § 51 KDG ergreifen, um das Recht auf informationelle Selbstbestimmung betroffener Menschen zu schützen. Er ist von den kontrollierten Einrichtungen zu unterstützen. Seinen Anweisungen ist Folge zu leisten (§ 44 Abs. 2 lit. a) KDG).

Damit er dieser Aufgabe gerecht werden kann, gewährt ihm das Gesetz vollständige Unabhängigkeit. Er kann nicht aus seinem Amt entlassen werden, ist an Weisungen nicht gebunden und übt seine Tätigkeit in sachlicher und organisatorischer Unabhängigkeit aus.

Kategorien: Allgemein
Schlagwörter: ,

Häufig gestellte Fragen –Kirchliches Datenschutzgesetz KDG (Teil 1): Warum hat die Katholische Kirche auf Grundlage der DSGVO mit dem KDG ein eigenes Gesetz entwickelt?

22. August 2018

Als staatlich anerkannter Religionsgemeinschaft steht der Katholischen Kirche ein verfassungsmäßig garantiertes Selbstverwaltungsrecht zu, bleiben aber den allgemeinen Staatsgesetzen unterworfen (Art. 140 Grundgesetz). Dieses Recht umfasst die Befugnis, ihre Angelegenheiten selbständig zu bestimmen und zu verwalten.

Dem trägt Art. 91 DSGVO Rechnung, der es den Kirchen ermöglicht, bestehende kirchliche Datenschutzvorschriften weiter anzuwenden, wenn sie mit der DSGVO in Einklang gebracht werden.

Mit der Anordnung über den kirchlichen Datenschutz (KDO) bestanden zum Zeitpunkt des Inkrafttretens der DSGVO bereits umfassende kircheneigene Regeln zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Um das kirchliche Datenschutzrecht weiterhin aufrechterhalten zu können, ist die KDO mit der DSGVO in Einklang gebracht worden. Ergebnis dieses Prozesses ist das KDG.

Kategorien: Allgemein
Schlagwörter: , ,

Kirchlicher Datenschutz im Verhältnis zur DSGVO

9. August 2018

Stimmen kritisierten, dass der kirchliche Datenschutz strenger sei als das EU-Recht. Die Deutsche Bischhofskonferenz (DBK) weist die Kritik zurück. Am Dienstag wurde eine Liste durch das DBK mit den häufig gestellten Fragen zum kirchlichen Datenschutz veröffentlicht. In dieser Liste wird unter anderem betont, dass die Regelungen zur Schriftform bei Einwilligungen nicht über das EU-Recht hinausgehen. Im Gegensatz zur europäischen Datenschutzgrundverordnung fordert zwar das Gesetz über den Kirchlichen Datenschutz (KDG) explizit die Schriftform bei Einwilligungen, es seien aber durch eine Öffnungsklausel „durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss“. Durch das Schriftformerfordernis solle das kirchliche Gesetz lediglich konkreter und anwenderfreundlicher sein.

Hinsichtlich Fotografien schließt sich die DBK der Auslegung der Konferenz der Diözesandatenschutzbeauftragten an, die neulich eine Handreichung veröffentlicht. Dort wird dargelegt, dass nicht in jedem Fall eine Einwilligung aller Abgebildeten erforderlich ist. Vielmehr können für die Abwägung, ob ein „besonderes“ oder „kirchliches Interesse“ für die Veröffentlichung besteht, die Regelungen des Kunsturhebergesetz herangezogen werden.

Seit dem 24. Mai 2018 ist das KDG in Kraft. Gemäß Art. 91 DSGVO können Religionsgemeinschaften eigene Datenschutzgesetze anwenden, soweit sie im Einklang mit der DSGVO stehen.