Fortbildung für betriebliche Datenschutzbeauftragte Was ändert sich im kirchlichen Datenschutz am 25. Mai 2018? Jupp Joachimski, Datenschutzbeauftragter der bayerischen(Erz-) Diözesen 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Inhaltsübersicht Der Prozess der Rechtsänderung Die Änderungen des KDG Anlass und Ausgangspunkte Verfahren Kriterien Summarische Einschätzung der Neuregelung Die Änderungen des KDG Wesentliche neue Bestimmungen Wo/Wie finde ich die bisherigen Regelungen im neuen Recht? Das Verfahren der – noch einzurichtenden – Datenschutzgerichtsbarkeit Pausen: 11:15 15 min 12:30 (Mittag) 60 min 14:45 15 min 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Teil 1 – Rechtsänderung: Die rechtlichen Datenschutzebenen bis 24 Teil 1 – Rechtsänderung: Die rechtlichen Datenschutzebenen bis 24. Mai 2018 Richtlinie BDSG Landesdaten-schutzgesetze Art. 137 WRV Bundes- und teilweise Landesbehörden sowie nicht-öffentliche Stellen Landes- und Kommunalbehörden Kirchen 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Wie sieht es bisher im Datenschutz rechtlich aus? Es gibt (noch bis 24.5.2018) mehrere Regelungsebenen: Europäische Union Bundesrepublik Deutschland Bundesländer „Religionsgesellschaften“ = öffentlich-rechtlich organisierte Glaubensgemeinschaften Alle Regelungen sind inhaltlich durchaus vergleichbar und z.T. wortgleich, weil der Datenschutz in Deutschland sehr weit entwickelt („Deutschland hat den Datenschutz erfunden“) ist und daher auch für die EU richtungsweisend war. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Update für betriebliche Datenschutzbeauftragte 2018 Europäische Union Die Europäische Union hatte bisher noch eine Datenschutzrichtlinie von 1995. Sie war nicht unmittelbar geltendes Recht, sondern verpflichtet nur die Mitgliedsstaaten, richtlinienkonformes Recht zu erlassen. Die EU hat aber eine Datenschutzgrundverordnung erlassen, die am 25. Mai 2018 in Kraft treten wird. Sie wird dann unmittelbar geltendes Recht in allen Mitgliedsstaaten. Download: http://eur-lex.europa.eu/legal- content/DE/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT In ihren Regelungen geht sie teilweise über das deutsche Recht hinaus, teilweise bleibt sie zurück. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Warum EU-Datenschutz-Grundverordnung? Die verschiedenen EU-Mitgliedsstaaten haben der Datenschutz-Richtlinie unterschiedliche Dringlichkeit beigemessen. In einigen wurde sie strikt eingehalten, in anderen weniger strikt, in einigen nicht. Eine laxe Handhabung der Richtlinienumsetzung in nationale Gesetze zum Gegenstand eines Vertragsverletzungsverfahrens zu machen, erschien nicht als sinnvoll. So wurde – vor allem für die sozialen Netzwerke – der (fehlende) nationale Datenschutz neben steuerlichen Gesichtspunkten zur Standortfrage. Ein Rolle spielte sicher auch, dass immer mehr – und immer mehr amerikanische – Unternehmen an die Daten der Bürger wollen. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Die Rechtslage nach Inkrafttreten der VO am 25.5.2018 BDSG und Länderdatenschutz-gesetze nur, soweit in der VO vorbehalten Verordnung Art. 137 WRV, 140 GG in Verbindung mit Art. 91 EU-VO Behörden und nicht-öffentliche Stellen Kirchen 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Das bedeutet Im staatlichen und im gewerblichen Bereich gilt ohne wirklich bedeutende Einschränkung die EU-DS-GVO. BDSG und Ländergesetze verlieren fast vollständig ihren Charakter als Datenschutzregeln. Ihre Bedeutung beschränkt sich überwiegend darauf, die in der VO vorbehaltenen Ausnahmen zu normieren. Für die Religionsgemeinschaften wird die Selbstverwaltungshoheit gegenüber dem Staat – wie bisher schon in Deutschland mit Art. 137 WRV, Art. 140 GG – betoniert. Das gilt aber nur dort, wo die Voraussetzungen des Art. 91 EU-DS-GVO gegeben sind: 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften (1) Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden. (2) Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

…sofern sie mit dieser Verordnung in Einklang gebracht werden. Dieser Satz hat mir schon zahlreiche schlaflose Bürostunden eingebracht. Er markiert gleichzeitig die größte Schwierigkeit bei der Anpassung des neuen kirchlichen Datenschutzrechts an die EU-Verordnung. Die Verordnung geht nämlich im Grundsatz davon aus, dass das Prinzip der Demokratie in den Mitgliedstaaten der Europäischen Union durchgesetzt ist. Die Religionsgemeinschaften – insbesondere die katholische Kirche - sind aber schon von ihrer Geschichte her nicht durchwegs demokratisch aufgebaut. Es wird also ganz von selbst Defizite geben, die den Datenschutzregelungen der katholischen Kirche gegenüber denjenigen der EU innewohnen. Um das Gleichgewicht in der Summe wiederherzustellen, muss das kirchliche Datenschutzrecht an einigen Stellen weiter gehen als das staatliche. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Die Entstehung des Kirchlichen Datenschutzgesetzes und der Kirchlichen Datenschutzregelung OG Die Arbeitsgruppe „Datenschutz und Melderecht“ befasste sich erstmals im Jahre 2010 mit dem Thema, als absehbar wurde, dass eine neue EU-Verordnung entstehen wird. Seit der Text der EU-Verordnung im Wesentlichen feststeht, wurde die hauptsächliche Anpassungsarbeit in der Unterarbeitsgruppe „KDO-Entwicklung“ geleistet. Jedes der Mitglieder dieser Unterarbeitsgruppe hat mindestens 1500 Stunden Arbeit in die Entwicklung investiert. Ganz erhebliche Arbeit wurde auch von den übrigen Mitgliedern der Arbeitsgruppe sowie vom Sachverständigen geleistet. In ähnlicher Weise entstand das Datenschutzgesetz der EKD. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Eine summarische Beurteilung des KDG Weder die EU-Datenschutz-Grundverordnung noch das KDG (bzw. die KDR-OG) erfinden das Rad völlig neu. Die Grundsätze des Datenschutzes, wie sie schon in der KDO niedergelegt waren, bleiben aufrecht erhalten und werden zum Teil verschärft, zum Teil durch neue Regeln ergänzt. Wie schon die EU-VO gegenüber dem BDSG ist das KDG gegenüber der KDO viel ausführlicher und detaillierter. Es entsteht der Eindruck, dass sich das Gesetz weniger als die KDO darauf verlässt, die Rechtsanwendung werde schon funktionieren. Damit folgen Verordnung und KDG dem Trend moderner Gesetze, sich möglichst nicht auf eine einheitliche Auslegung durch die Gerichte zu verlassen, sondern alles explizit zu regeln. Dies trägt natürlich zum Gesetzesumfang ebenso bei wie zu einer gewissen Unübersichtlichkeit. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Teil 2.a - Das ist im KDG neu und wirklich von Bedeutung: Recht auf Löschung/Vergessenwerden Recht auf Datenübertragbarkeit Profiling: Begriff und Einschränkung Datenverkehr mit dem Ausland Erweiterte Informationspflichten Erweiterung der Aufgaben der Datenschutzaufsicht, z.B. Beteiligung an der Folgeabschätzung und Führung entsprechender Verzeichnisse Standardvertragsklauseln und Empfehlungen Meldung von Datenschutzverletzungen Schadensersatz Sanktionen/Geldbußen Rechtsbehelfe und Verfahren 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Fall Im Rahmen einer Fundraising-Aktion fühlt sich Frau X angesprochen und spendet 300 € an eine Ordensgemeinschaft bischöflichen Rechts. Diese nimmt die Daten von Frau X in eine Spenderliste auf, welche in der nächsten Aktion verwendet werden soll; sonst passiert zunächst nichts. Ist das so in Ordnung? 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Erweiterte Informationspflichten Lesen Sie § 15 Abs. 1 KDG! Unterstreichen Sie sich § 15 Abs. 4 KDG (entspricht § 9 KDO)! Lesen Sie § 16 Abs. 1 KDG! Häufig greift schon § 15 Abs. 4 KDG, wenn die Datenerhebung im Beisein des Betroffenen stattfindet. Ist das aber nicht der Fall, wird die Mitteilung der Speicherbedingungen nach § 15 Abs. 2 u. U. recht aufwändig. Noch aufwändiger aber ist die Mitteilung nach § 16 KDG. Eine Einwilligung ist grundsätzlich entbehrlich nach § 6 Abs. 1 b/d KDG. Zur Speicherung für eine neue Spendenaktion ist sie aber erforderlich nach § 6 Abs. 4. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Fall Herr B hat dem Bistum X bereits mehrfach größere Beträge gespendet und ist in eine Spenderdatei des Bistums aufgenommen worden. Im Rahmen einer neuen Spendenaktion schreibt der Bistum Herrn B an und bittet um eine neue Spende. B ist wütend und schreibt zurück: Ich bestehe darauf, dass Sie mich sofort aus ihrer Spendenliste löschen. Das war mit meinen Spenden nicht beabsichtigt! Wie gestaltet sich die Rechtslage nach dem alten und neuen Recht? 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Recht auf (Löschung) Vergessenwerden Lesen Sie § 19 Abs. 1 KDG (entspricht Art. 18 EU-DS-GVO)! Die Vorschrift soll der Tatsache begegnen, dass eine immer größere Anzahl von personenbezogenen Daten von allen Beteiligten offengelegt wird. Sie dient der fairen und transparenten Verarbeitung von Daten. Praktische Anwendung: Alle personenbezogenen Daten, auch IP-Adresse Unanwendbar: Fälle des § 19 Abs. 3. Voraussetzungen: Einer der Löschungsgründe des § 19 Abs. 1 a - e Einschränkung nach Abs. 4 bei tatsächlicher Unverhältnismäßigkeit Nach Veröffentlichung der Daten gilt Abs. 2 Konsequenz: Unverzügliche Löschung (i. d. R. innerhalb von zwei Wochen). 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Das Recht auf Datenübertragbarkeit Lesen Sie § 22 KDG (entspricht Art. 20 EU-DS-GVO)! Die Vorschrift bezweckt eine einfache Kontrolle derjenigen Daten, die beim Verantwortlichen gespeichert sind und einen leichteren Anbieterwechsel. Praktische Anwendung: Arbeitgeberwechsel, Leasingverträge Unanwendbar: Die Verarbeitung ist zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich (Abs. 3) und Archivzwecke (Abs. 5). Voraussetzungen: Bereitgestellt durch den Betroffenen Einschränkung nach Abs. 1a Verarbeitung mithilfe automatisierter Verfahren Abs. 1b Inhalt: Auch Übertragung an neuen Verantwortlichen kann verlangt werden. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Fall In einer Kirchenstiftung wird die Angestellte C neu eingestellt. Frau C hat zwei Kinder und ist darauf angewiesen, von zu Hause aus arbeiten zu können. Sie erhält einen Dienst-Laptop und wird angewiesen, künftig Schreibarbeiten nach einem Diktat-Tonträger zu erledigen. Der Kirchenvorstand ist sich nicht sicher, ob Frau C bei dieser Tätigkeit ausreichend überwacht wird. Er schlägt vor, in den Laptop einen Anschlagzähler zu installieren, der die Zahl der täglichen Tastendrücke ermittelt. Mit Kenntnis von Frau C wird diese Zahl wöchentlich an die Kirchenstiftung per automatischem E-Mail übermittelt. Nach einigen Monaten beschwert sich Frau C über diese Vorgehensweise. Wo und mit welchem Erfolg? 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Profiling Lesen Sie zunächst die Definition in § 4 Abs. 5 KDG (entspricht Art. 4 Nr. 4 EU-DS-GVO) und anschließend den Verbotstatbestand des 24 Abs. 1 KDG (entspricht § 6a BDSG a.F.)! Die Vorschriften bezwecken die Unterbindung von Risiken für das Persönlichkeitsrecht. Praktische Anwendung: Arbeitnehmerbeurteilung, Online-Handel Unanwendbar: Absatz 2 und soweit es um Datenverarbeitungen zum Zwecke der Verhütung, Ermittlung, Aufdeckung o. Verfolgung von Straftaten o. der Strafvollstreckung, einschl. des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, geht. Voraussetzungen: Echte Entscheidung Nutzung zu Werbezwecken reicht nicht Verarbeitung mithilfe automatisierter Verfahren Inhalt: Umfassendes Verbot 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Fall Ein aus Südamerika stammende Einwanderer tritt aus der Kirche aus. Es passiert nun folgendes: Aufgrund der schriftlichen Benachrichtigung durch die zuständige Stelle wird das für den Ausgetretenen bestehende Taufregister ermittelt und um die Eintragung des Kirchenaustritts ergänzt. Das Taufregister über eine Person wird grundsätzlich dort geführt, wo der Betroffene getauft wurde (= Geburtsort). Dabei kann es sich um die Pfarrei handeln, in deren Bezirk die Eltern zum Zeitpunkt der Geburt ihren Wohnsitz hatten oder das Geburtskrankenhaus gelegen war. Die Tatsache des Kirchenaustritts muss also zum Taufregister mitgeteilt werden und wird dabei auch in das Ausland übermittelt. Ist das so zulässig? 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Datenverkehr mit dem Ausland Lesen Sie § 39 KDG (entspricht Art. 44 EU-DS-GVO)! Die Vorschrift bezweckt es, die Datenverlagerung in Staaten mit geringerem Datenschutz zu verhindern. Praktische Anwendung: Jeder Auslandskontakt, im Prinzip auch zu Mitgliedern des eigenen Ordens über ausländische Server (vgl. § 39 S. 2). Stufenprüfung: Angemessenheitsbeschluss § 40 Abs. 1 ausreichende Garantien § 40 Abs. 2 Ausnahmezulässigkeit § 41 Konsequenz: Ergibt die Stufenprüfung keine Zulässigkeit, liegt eine Datenschutzverletzung vor. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Fall Das Erzbistum X schließt einen Vertrag mit Microsoft über die Nutzung von Office 365 auf allen datenverarbeitenden Arbeitsplätzen. In der Folgezeit nutzen die Arbeitsplätze MS One, einen Cloudspeicher mit Standort des physikalischen Speichers in den USA. Welche Vorschriften des KDG sind auf diese Ausgangssituation anzuwenden? Welche rechtliche Position nehmen das Erzbistum und Microsoft ein? Ist diese vertragliche Regelung wie gewählt zulässig? Unterstellt, im Vertrag wäre die Geltung des KDG vereinbart: Gilt dann § 31 Abs. 2 KDG für Microsoft? Was hätte dies sonst für Auswirkungen? Was wäre eine gangbare Lösung für die Situation? 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Rechtsmeinungen zur Datenschutzaufsicht Mundil in BeckOK Datenschutzrecht, Wolff/Brink, RN 21/22 zu Art. 91 Dabei ist es zunächst denkbar eine oder mehrere besondere staatliche Aufsichtsbehörden für die Religionsgemeinschaften einzurichten. Diese könnten gegebenenfalls auch mit Mitgliedern der Religionsgemeinschaften besetzt werden. Paal/Pauly, DS-GVO BDSG 2. Auflage 2018 Rn. 20-21 zu Art. 91 Es besteht die Möglichkeit, eine oder mehrere ASB für die Kirchen und religiösen Vereinigungen in den Mitgliedstaaten zu schaffen. Diese könnte entweder als staatliche ASB oder als eigene ASB der Religionsgemeinschaft ausgestaltet sein, solange sie im Einklang mit den Anforderungen an ASB aus Art. 51 ff. stehen. Schantz/Wolff, Das neue Datenschutzrecht, G. Besondere Verarbeitungssituationen Rn. 1368-1372, beck-online) Sie kann eine eigene Aufsichtsbehörde sein, muss aber die Kriterien des Kapitels 4 genügen. Es kann daher keine Instanz sein, die innerhalb der Kirche Weisungen der Kirche unterliegt. Man wird auch verlangen müssen, dass es eine Aufsichtsbehörde des Staates und nicht der Kirchenorganisation selbst ist. Die Literatur spricht zu recht von einer unlösbaren Aufgabe. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Die erweiterten Aufgaben der Datenschutzaufsicht Grundsätzlich ändert das KDG nichts an der prinzipiellen Aufgabenverteilung: Der Verantwortliche und der betriebliche Datenschutzbeauftragte leisten das Datenschutzmanagement mit der – ggfs. zentralen – Organisation des Datenschutzes in den Dienststellen Gewährleistung der IT-Sicherheit Schulung und Fortbildung der Mitarbeiter Erstellung von Verträgen zur ausgelagerten Datenverarbeitung (Argument: Nur der Verantwortliche und der von ihm eingesetzte betriebliche Datenschutzbeauftragte haben die dafür notwendige Sachkenntnis). Die Datenschutzaufsicht prüft und überwacht Zulässigkeit und Zweckmäßigkeit der Maßnahmen. Das KD-OG gibt aber der Datenschutzaufsicht zusätzliche (zentrale) Aufgaben, die eigentlich noch dem Datenschutzmanagement zuzurechnen sind. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Zusätzliche Aufgaben der Datenschutzaufsicht § 44 Abs. 3 KDG Durchführung von Untersuchungen Verfolgung der Entwicklungen Listen der Verarbeitungsarten für Folgeabschätzungen Beratung zu Verfahren mit Folgeabschätzung Führen von internen Verzeichnissen über Verstöße jede sonstige Aufgabe? fakultativ: Empfehlungen und Standardvertragsklauseln Abs. 4 Sensibilisierung der Öffentlichkeit Beratung zu Maßnahmen Sensibilisierung d. Verantwortlichen Erteilung von Informationen zur Ausübung der Rechte Befassung mit Beschwerden und Unterrichtung des Beschwerdefüh-rers; Vorhalten von Mustern für Beschwerden Zusammenarbeit mit anderen Datenschutzaufsichten 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Fall In einem kirchlichen Krankenhaus unterrichten die Ärzte F, G und H, die dort beruflich tätig sind, ihre Studenten. Sie nutzen für den Unterricht Präsentationen, die auf einem Laptop gespeichert sind. Der Laptop bleibt jedes Mal nach Beendigung des Unterrichts im Vorlesungsraum stehen. Eines Tages fehlt der Laptop. Bei der Anhörung der Ärzte stellt sich heraus, dass die Präsentationen Röntgenbilder und andere Aufnahmen von Patienten enthielten, die auch noch dazu namentlich genannt waren. Was hat der Klinikvorstand zu unternehmen? 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Meldung von Datenschutzverletzungen Lesen Sie zunächst § 33 KDG! Die wesentlichen Elemente dieser Vorschrift waren bisher schon in § 42a BDSG enthalten, nicht aber in der KDO. Teilweise wurde die Vorschrift des § 42a BDSG im kirchlichen Bereich entsprechend angewendet. Voraussetzungen des Eingreifens der Vorschrift: Vorliegen einer Datenschutzverletzung; Erwachsen einer Gefahr für Rechte und Freiheiten natürlicher Personen aus dieser Datenschutzverletzung. Dafür genügt jedes Ausmaß des Risikos. Ist das Risiko erhöht, so greift schon § 34 Abs. 1 KDG ein. Diese Vorschrift zieht zwingend eine sofortige Information des Betroffenen durch den Verantwortlichen selbst nach sich. Die Datenschutzaufsicht ordnet nun an, wann und wie die Information des Betroffenen stattzufinden hat. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Schadensersatz und Verschulden nach BGB Bei der sogenannten reinen Gefährdungshaftung (Beispiel § 833 Satz 1 BGB - Haftung des Tierhalters für Tiere, die nicht dem Beruf des Tierhalters dienen) wird ohne Rücksicht auf Verschulden gehaftet. Der Rechtsgrund dafür ist die Erhöhung der Gefahr für die Allgemeinheit dadurch, dass jemand ein Tier hält.  Die eingeschränkte Tierhalterhaftung des § 833 Satz 2 BGB für Tiere, die dem Beruf des Tierhalters dienen, erlaubt diesem eine Exkulpation, wenn ihn kein Verschulden trifft. Den Nachweis dafür hat der Tierhalter zu führen. Eine ähnliche Regelung gibt es nach § 7 StVG für die Schadensverursachung im Straßenverkehr.  Nach den §§ 823 ff. BGB hat prinzipiell der Geschädigte die Beweislast dafür, dass ein Verschulden vorlag.  13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Wie ist die Regelung des KDG einzuordnen? § 50 Haftung und Schadenersatz   Jede Person, der wegen eines Verstoßes gegen dieses Gesetz ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen die kirchliche Stelle als Verantwortlicher oder Auftragsverarbeiter.   Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus diesem Gesetz nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.   Ein Verantwortlicher oder ein Auftragsverarbeiter ist von der Haftung gemäß Absatz 1 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Das Problem beim Schadensersatz ist normalerweise nicht die Verschuldensfrage: Verstößt der Verantwortliche gegen die Reglung des KDG, liegt das Verschulden schon deswegen nahe, weil der Verantwortliche verpflichtet ist, sich über die Bestimmungen des KDG zu informieren. Auch wenn es daher die Beweislastregelung nicht gäbe, wäre normalerweise das Verschulden nicht streitig. ist dagegen sehr häufig die Quantifizierbarkeit des beim Betroffenen eingetretenen Vermögensverlustes. Noch schwieriger ist die Feststellung der Höhe eines immateriellen Schadens entsprechend § 253 BGB. Allerdings kann der Schaden im Zivilgerichtsverfahren vor den staatlichen Gerichten nach § 287 ZPO geschätzt werden. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Datenschutzverletzung: Feststellungswirkung Prinzipiell muss die Datenschutzaufsicht feststellen, ob eine Datenschutzverletzung vorliegt. Ist dies geschehen, so kann die kirchliche Dienststelle im Rechtsstreit über den Schadensersatz nicht vorbringen, eine Datenschutzverletzung habe nicht vorgelegen. Wenn es zu einer derartigen Feststellung durch die Datenschutzaufsicht nicht kommt, muss der Betroffene seine Rechtsmittelbefugnis ausüben und versuchen, vor dem Datenschutzgericht die Feststellung einer Datenschutzverletzung zu erreichen. Natürlich kann auch der Verantwortliche im Rechtsstreit vor den Zivilgerichten darauf verzichten, das Vorliegen einer Datenschutzverletzung zu bestreiten. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Geldbußen: Grundsätzliches Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter vorsätzlich oder fahrlässig gegen Bestimmungen dieses Gesetzes, so kann die Datenschutzaufsicht eine Geldbuße verhängen.   Die Datenschutzaufsicht stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Paragraphen für Verstöße gegen dieses Gesetz in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Gegen kirchliche Stellen im Sinne des § 3 Absatz 1, soweit sie im weltlichen Rechtskreis öffentlich-rechtlich verfasst sind, werden keine Geldbußen verhängt; dies gilt nicht, soweit sie als Unternehmen am Wettbewerb teilnehmen. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Adressat „Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter vorsätzlich oder fahrlässig gegen Bestimmungen dieses Gesetzes, so kann die Datenschutzaufsicht eine Geldbuße verhängen.“ Wer ist Verantwortlicher? Das kann eine natürliche oder juristische Person sein. Es können mehrere Personen gleichzeitig verantwortlich sein. Der betriebliche Datenschutzbeauftragte leistet nur Hilfsdienste und ist jedenfalls nicht Verantwortlicher. „…so kann …“ heißt: Wenn die Voraussetzungen gegeben sind, ist die Geldbuße zu verhängen, wenn nicht Ausnahmeumstände vorliegen. Die wären immer dann vorhanden, wenn im Ordnungswidrigkeitenrecht die Verwaltungsbehörde nach § 47 Abs.1 OWiG von der Verfolgung absehen würde. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Verfahren vor Erlass eines Bußgeldbescheides Voraussetzung: Die Datenschutzverletzung ist festgestellt, dies muss aber nicht (z.B. wegen Ablauf der Anfechtungsfristen) unangreifbar sein. Der Verantwortliche wird als Betroffener durch den Diözesandatenschutz-beauftragten oder einen seiner Mitarbeiter zur Person und zur Sache vernommen; die Vernehmung ist zu protokollieren. Bei Beginn der Vernehmung wird der Betroffene nach §§ 46 Abs. 2 OWiG, 136 StPO belehrt: (1) Bei Beginn der ersten Vernehmung ist dem Beschuldigten zu eröffnen, welche Tat ihm zu Last gelegt wird und welche Strafvorschriften in Betracht kommen. Er ist darauf hinzuweisen, dass es ihm nach dem Gesetz freistehe, sich zu der Beschuldigung zu äußern oder nicht zur Sache auszusagen und jederzeit, auch schon vor seiner Vernehmung, einen von ihm zu wählenden Verteidiger zu befragen. Möchte der Beschuldigte vor seiner Vernehmung einen Verteidiger befragen, sind ihm Informationen zur Verfügung zu stellen, die es ihm erleichtern, einen Verteidiger zu kontaktieren. Auf bestehende anwaltliche Notdienste ist dabei hinzuweisen. Er ist ferner darüber zu belehren, dass er zu seiner Entlastung einzelne Beweiserhebungen beantragen und unter den Voraussetzungen des § 140 Absatz 1 und 2 die Bestellung eines Verteidigers nach Maßgabe des § 141 Absatz 1 und 3 beanspruchen kann; zu Letzterem ist er dabei auf die Kostenfolge des § 465 hinzuweisen. In geeigneten Fällen soll der Beschuldigte auch darauf, dass er sich schriftlich äußern kann, sowie auf die Möglichkeit eines Täter-Opfer-Ausgleichs hingewiesen werden. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Noch: Vernehmung des Betroffenen Lesen Sie § 51 Abs. 3 KDG! Der Vernehmende konzentriert seine Fragen insbesondere auf die Umstände, die das Verschulden des Verantwortlichen begründen. Frühere Verstöße des Verantwortlichen gegen Datenschutzvorschriften kann man zum Beispiel im Wege des Vorhalts einführen. Ist dies nicht möglich, so wird eine dienstliche Auskunft der vorgesetzten Dienststelle zu diesem Punkt erholt. Der Vernehmende sollte die einzelnen Vorschriften der § 51 Abs. 3 KDG mit seinen Fragen abarbeiten. Zusätzlich sind aufzuklären die Vermögensverhältnisse des Verantwortlichen sein Umgang mit etwaigen Drittschäden. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Das weitere Verfahren in Bußgeldsachen Wenn ihr alle notwendigen Beweismittel vorliegen, entscheidet die Datenschutzaufsicht über den Erlass eines Bußgeldbescheides. Sie prüft zunächst, ob gemäß § 47 Abs. 4 KDG von einer formellen Beanstandung abgesehen werden kann. Es ist aber auch eine formelle Beanstandung, verbunden mit einem Absehen von der Verfolgung der Ordnungswidrigkeit entsprechend § 47 Abs. 2 OWiG denkbar und möglich. Wird der Bußgeldbescheid erlassen, so muss er dem Verantwortlichen mitgeteilt werden. Das weitere Verfahren in der Bußgeldsache richtet sich nicht nach dem OWiG, sondern nach dem KDSGO, die Vollstreckung nach § 51 Abs. 8 KDG. Es kann nun zu der Besonderheit kommen, das zwei Verfahren vor dem Datenschutzgerichts stattfinden: zum Beispiel auf Veranlassung des Betroffenen hin das Verfahren mit dem Ziel der Feststellung einer Datenschutzverletzung und danach auf Veranlassung des Verantwortlichen hin das Verfahren mit dem Ziel auf Aufhebung des Bußgeldbescheides. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Fall Eine Ordensgemeinschaft bischöflichen Rechts besteht noch aus 8 Mitgliedern, betreibt aber einen Mineralwasservertrieb mit insgesamt 70 Beschäftigten, davon 21 im Büro. Ein betrieblicher Datenschutzbeauftragter ist nicht benannt. Der örtlich zuständige Diözesandatenschutzbeauftragte verhängt nach deren Anhörung gegen die Ordensoberin eine Geldbuße von 20.000 € weil ein betrieblicher Datenschutzbeauftragter fehlt. Was kann die Oberin dagegen unternehmen? 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Zulässigkeit und Begründetheit des Antrags § 49 KDG: Die Entscheidung ist grundsätzlich anfechtbar. Der Antrag ist statthaft nach § 2 Abs. 2 KDSGO. Die Oberin ist als Verantwortliche antragsbefugt nach § 2 Abs. 4 i. V. m. § 8 Abs. 2 KDSGO; Antragsfrist 1 Monat. Zuständig in 1.Instanz ist das Interdiözesangericht nach § 5 KDSGO. Es ist eine Antragsschrift nach § 11 einzureichen. Nach § 12 Abs. 1 KDSGO wird die Datenschutzaufsicht gehört. Ein Termin muss nicht anberaumt werden, § 13 Abs. 3 KDSGO. Die Kammer wird die Entscheidung der Datenschutzaufsicht aufheben: Die Datenschutzverletzung wurde mit dem Fehlen eines betrieblichen DSB begründet. Dies durfte die kirchliche Datenschutzaufsicht aber nicht prüfen, weil der Gewerbebetrieb ohne Weiteres der staatlichen Aufsicht unterliegt. Die Entscheidung ergeht durch Beschluss nach § 15 KDSGO. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Teil 2b – Wo finde ich meine alten Bekannten im KDG? Prinzipiell ist das KDG durchaus in seinem Aufbau der KDO ähnlich. Natürlich wurde bei der Änderung und Neufassung der Vorschriften auch viel neue Substanz eingefügt. Es ist keineswegs so, dass die in Teil 1a genannten Änderungen wirklich alle wären; es sind aber die wichtigsten. Deswegen müssen wir uns beim Erarbeiten der neuen Vorschriften diese auch immer sehr genau darauf ansehen, ob es hier - ggfs. nur in Nuancen - Veränderungen in der Sache gegeben hat. Bei dem Ausmaß der Vorschriften müssen wir immer bedenken, dass sich die KDO nur an die deutschen Juristen der Kirche gewandt hat. Die EU-DS-GVO hat 27 Staaten als Adressaten und noch eine ganze Reihe zusätzlicher staatsähnlicher Gebilde. Das führte dazu, dass die Normen der VO sehr viel detaillierter ausfielen – und das hat sich auch auf das KDG ausgewirkt. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Leitlinien der KDO, §§ 1, 2 § 1 Abs. 1 KDO  § 1 KDG § 1 Abs. 3 KDO  § 2 Abs. 2 / 3 KDG § 1 Abs. 2 KDO  § 3 KDG Die Unterscheidung in Buchstaben a-c wird i. W. nur bedeutsam für die Mindestzahl der Beschäftigten, welche die Notwendigkeit der Bestellung eines betrieblichen DSB begründet, § 36 Abs. 2; aber: § 36 Abs. 2 b/c ist zu beachten! Was bedeutet § 3 Abs. 2 KDG? Ist z.B. dadurch der externe Auftragsverarbeiter (nur) dem KDG unterworfen? Nein, weil das KDG nur im Rahmen der EU-Selbstverwaltungsgarantie für Religionsgemeinschaften anzuwenden ist, Art. 91 EU-DS-GVO. Ein Kirchengesetz kann keine Ausnahme zum Europarecht begründen! 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Wichtige lesenswerte Begriffsbestimmungen in § 4 KDG 1. „personenbezogene Daten“ 4. „Verarbeitung“ 5. „Profiling“ 14. „Verletzung des Schutzes personenbezogener Daten“ 15. „genetische Daten“ 16. „biometrische Daten“ 17. „Gesundheitsdaten“ 19. „Unternehmen“ 20. „Unternehmensgruppe“ 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Neue Vorschriften Wegen der vollständigen Veränderung des Begriffes „Verarbeitung“ wird im KDG nicht mehr nach Datenerhebung, Speicherung usw. unterschieden. Ebenso sind die Übermittlungsformen im Begriff „Offenlegung“ erfasst. Wortlaut des § 4 Nr. 4: „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

In neuen Vorschriften § 3 Abs. 1 KDO  § 6 KDG (Verbot mit Ausnahmen) § 3 Abs. 2 KDO  § 8 (Einwilligung) Voraussetzungen ausgeweitet § 3a KDO  Meldepflicht: entfällt als solche Ersatz durch „Verzeichnis von Verarbeitungstätigkeiten“ § 31 KDG § 4 KDO  § 5 KDG § 5 KDO  § 25 KDG § 5a KDO  § 52 (Videoüberwachung ist ohnehin Fremdkörper) § 5b KDO  entfällt (mobile Speichermedien) § 6 KDO  § 26 ff. KDG § 7 KDO  entfällt (automatisierte Abrufverfahren) 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Vorschriften der KDO  Vorschriften der KDG § 8  §§ 29 ff. KDG § 9 Abs. 1  § 6 Abs. 1a § 9 Abs. 2  § 15 Abs. 1 § 10 Abs. 5 (besondere pb Daten)  § 11 § 10a Beschäftigungsverhältnis  § 53 § 11 (Übermittlung an kirchliche Stellen  § 9 § 12 (Übermittlung an Dritte)  § 10 § 14 (Berichtigung)  § 18 § 15 Anrufung des DDB  § 48 §§ 16ff. Diözesandatenschutzbeauftragter  §§ 42ff. §§ 20 f. Betrieblicher Datenschutzbeauftragter  §§ 36 ff. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Teil 3 – Einzelprobleme: Bilder Bisher wurden Bilder ausschließlich nach §§ 22ff KunstUrhG geprüft; ein Einverständnis des Betroffenen war für die Verbreitung erforderlich. 2014 entschied dann der EuGH, dass schon die Aufnahme eines Bildes die Verarbeitung personenbezogener Daten darstellt. Das BDSG 2014 enthielt genauso wie das neueste eine Vorschrift, wonach die Datenschutzbestimmungen zurücktreten, wenn derselbe Sachverhalt an anderer Stelle spezieller geregelt ist. Bis jetzt ging man davon aus, dass das Kunsturhebergesetz eine solche spezielle Regelung bildet. Das gilt aber nicht mehr ohne weiteres, weil nun zwei Sachverhalte in Rede stehen: die Aufnahme, welche vom Kunsturhebergesetz gar nicht geregelt wird und die Verbreitung. Das führt zu massiven Schwierigkeiten: 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Teil 3 – Einzelprobleme: noch Bilder Fall: In einer Kirchenstiftung wird ein Pfarrfest gefeiert. Der Pfarrer geht mit der Kamera herum, macht Fotos und hat vor, sie später im Schaukasten der Pfarrei auszuhängen. Wie sieht es mit den Einverständnissen aus? Es braucht schon ein Einverständnis für die Aufnahme selbst. Nach § 8 Abs. 2 KDG muss dieses Einverständnis schriftlich erklärt werden. Im Prinzip muss also jeder, der fotografiert wird, unterschreiben. Das ist aus praktischer Sicht blanker Irrsinn und beruht z.T. darauf, dass das KDG höhere Anforderungen an die Einwilligungen stellt als die EU-DS-GVO. Sie können nach der VO nämlich formlos erteilt werden. Es gibt zwei Auswege: Langfristig: Änderung des KDG Kurzfristig: Erstreckung der Spezialvorschriftsregelung nach § 1 Abs. 2 BDSG neu auf das KUG, welches eigentlich nur den zweiten Teil – Verbreitung – regelt. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018

Haftung von betrieblichen Datenschutzbeauftragten? Ausgangspunkt Text des § 38 Abs 1 KDG: Der betriebliche Datenschutzbeauftragte wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Das bedeutet nach Meinung aller Diözesandatenschutzbeauftragter: Er hat eine Begleit-, aber keine Ablieferungspflicht. Wenn er nur seine Pflicht zur „Hinwirkung“ verletzt, kann dies schon nicht kausal für einen Schaden sein. Als Mitarbeiter hätte er außerdem noch das Privileg, ohnehin nur bei Vorsatz und grober Fahrlässigkeit zu haften. Rein sicherheitshalber wollen wir diesen (theoretischen) Haftungsrest über Vereinbarungen mit dem Dienstgeber bzw. eine Versicherungslösung beseitigen. Außer bei böser Absicht kann deswegen gegen den bDSB auch keine Geldbuße verhängt werden. 13.10.2018 Update für betriebliche Datenschutzbeauftragte 2018