Datenschutzbeauftragter der bayerischen (Erz-) Diözesen Einführung in das Datenschutzrecht für betriebliche Datenschutzbeauftragte Jupp Joachimski Datenschutzbeauftragter der bayerischen (Erz-) Diözesen

Vorweg: Wo gibt es Informationen? Gehen Sie zu www.erzbistum-muenchen.de/ datenschutz Klicken Sie an: der geschützte Downloadbereich Benutzername: DSEOM Passwort AX-gtv Sie kommen auf eine neue Seite mit vielen Unterordnern 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Teil I: Das Datenschutzrecht der Katholischen Kirche

Woher kommt der Datenschutz? Die Katholische Kirche hat am 25.1.1983 mit can. 220 CIC ein Fundamentalrecht auf Datenschutz geschaffen: "Niemandem ist es erlaubt, den guten Ruf, den jemand hat, rechtswidrig zu schädigen und das Recht irgendeiner Person auf Schutz der eigenen Intimsphäre zu verletzen.„ Im staatlichen Bereich war es das Volkszählungsurteil des Bundesverfassungsgerichts vom 15.12.1983, das das Datenschutzrecht begründete: Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Was ist eigentlich Datenschutz? Der Begriff wurde früher vielfach noch in anderem Zusammenhang gebraucht: Schutz wissenschaftlicher und technischer Daten gegen Verlust oder Veränderung – und Schutz gegen Diebstahl dieser Daten. Er bezeichnet heute ausschließlich den Schutz personenbezogener Daten vor Missbrauch: Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch die Verarbeitung seiner personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird, und den freien Verkehr solcher Daten zu ermöglichen (§ 1 KDG) 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 5 5

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person: Primärdaten: Name, Anschrift, Telefonnummer usw. Sekundärdaten: Auch Daten, über die sich ein Personenbezug herstellen lässt, sind als personenbezogene Daten anzusehen (Beispiel: Kfz-Kennzeichen, Kontonummer, Rentenversicherungsnummer, Matrikelnummer), selbst wenn die Zuordnungsinformationen nicht allgemein bekannt sind. Entscheidend ist allein, dass es gelingen kann, die Daten mit vertretbarem Aufwand einer bestimmten Person zuzuordnen. Zusätzlich alles, was zu den Eigenschaften und Lebensverhältnissen des Betroffenen gehört, wenn die Person aus anderen Gründen identifizierbar ist. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 6 6

Personenbezogene Daten sind nicht die Daten Verstorbener (aber Achtung bei den Daten ihrer Angehörigen!) die Daten juristischer Personen wie GmbH, AG, Verein Dagegen sind durchaus personenbezogene Daten sogenannte Dienstdaten im Verhältnis zwischen dem Arbeitgeber und dem Arbeitnehmer. Der Arbeitgeber kann allerdings diese Daten unter erleichterten Umständen verarbeiten. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Vorweg: Der Verarbeitungsbegriff „Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. - § 2 Abs. 3 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Was gehört zum Datenschutz? I. Datensicherheit Datensicherheit heißt: Daten sind so zu erfassen und aufzubewahren, dass sie nicht verloren gehen und bei Bedarf wieder zur Verfügung stehen. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 9 9

Was gehört zum Datenschutz? II. Schutz gegen unbefugte Kenntnisnahme Die Daten sind nur für bestimmte Zwecke zu erheben und aufzubewahren. Nur die dazu Berechtigten dürfen von ihnen Kenntnis nehmen 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 10 10

Was gehört zum Datenschutz? III. Informations- und Auskunftspflicht Der Betroffene hat grundsätzlich ein Auskunftsrecht hinsichtlich der über ihn gespeicherten Daten. Er wird von der Dienststelle auch ohne Verlangen über die Datenspeicherung informiert, wenn er keine Kenntnis davon hat. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 11 11

Warum gibt es den Datenschutz? Geschützt wird das Persönlichkeitsrecht des einzelnen. Durch datenschutzrechtliche Regelungen soll der Beeinträchtigung des informationellen Selbstbestimmungsrechts entgegengewirkt werden. Datenschutz will personenbezogene Daten nicht "um ihrer selbst willen" schützen, sondern die Erhebung, Verarbeitung einschließlich Übermittlung und sonstige Nutzung bestimmten Anforderungen unterwerfen, die sich aus dem hohen Schutzgut des Persönlichkeitsrechts und der informationellen Selbstbestimmung ergeben. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 12

Die Hauptprinzipien des Datenschutzes § 7Abs. 1c KDG Datensparsamkeit oder Datenvermeidung: Je weniger Daten erhoben werden, umso besser! Erforderlichkeit: Auch wenn eine gesetzliche Grundlage zur Datenerhebung und -speicherung vorliegt, dürfen nur solche Daten gespeichert werden, die zur Erreichung des Zwecks der speichernden Stelle nötig sind . Zweckbindung Daten dürfen nur zu den gesetzlich vorgesehenen Zwecken verarbeitet werden. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 13 13

Einführung für betriebliche Datenschutzbeauftragte Hintergrund: Die – ursprünglich futuristischen – Prinzipien der Erklärung von Montreux und ihre Verwirklichung in der KDG Zulässigkeit und Rechtmäßigkeit der Erhebung und Verarbeitung der Daten Richtigkeit Zweckgebundenheit Verhältnismäßigkeit Transparenz individuelle Mitsprache, namentlich Garantie des Zugriffsrechts für die betroffenen Personen Nicht-Diskriminierung Sicherheit Haftung unabhängige Überwachung und gesetzliche Sanktionen angemessenes Schutzniveau bei grenzüberschreitendem Datenverkehr  10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 14 14

Wie sieht es rechtlich aus? Es gab bis 24.5.2018 mehrere Regelungsebenen: Europäische Union Bundesrepublik Deutschland Bundesländer „Religionsgemeinschaften“ EKD Katholische Kirche Diözesen Orden päpstlichen Rechts 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 15

Datenschutzebenen bis 24.5.2018 Richtlinie BDSG Landesdaten-schutzgesetze Art. 137 WRV Bundes- und teilweise Landesbehörden sowie nicht-öffentliche Stellen Landesbehörden Kirchen 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 16

Einführung für betriebliche Datenschutzbeauftragte Europäische Union Die Europäische Union hatte eine Datenschutzrichtlinie von 1995. Sie war nicht unmittelbar geltendes Recht, sondern verpflichtete nur die Mitgliedsstaaten, richtlinienkonformes Recht zu erlassen. Für Deutschland war das ohne Bedeutung, weil das deutsche Recht erheblich weiter ging als die Richtlinie. Die EU erließ aber eine Datenschutzverordnung, die am 25.5.2018 in Kraft trat. Sie ist seither unmittelbar geltendes Recht. In ihren Regelungen geht sie teilweise über das deutsche Recht hinaus, teilweise bleibt sie zurück. Ein Hinweis: Wenn Sie für die folgenden Erläuterungen nach Rechtsquellen suchen, finden Sie ein entsprechendes Linkverzeichnis im Internetportal: http://www.joachimski.de/Mail/internet.htm 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 17

Warum EU-Datenschutz-Grundverordnung? Die verschiedenen EU-Mitgliedsstaaten haben der Datenschutz-Richtlinie unterschiedliche Dringlichkeit beigemessen. In einigen wurde sie strikt eingehalten, in anderen weniger strikt, in einigen nicht. Eine laxe Handhabung der Richtlinienumsetzung in nationale Gesetze zum Gegenstand eines Vertragsverletzungsverfahrens zu machen, erschien nicht als sinnvoll. So wurde – vor allem für die sozialen Netzwerke – der (fehlende) nationale Datenschutz neben steuerlichen Gesichtspunkten zur Standortfrage. Ein Rolle spielte sicher auch, dass immer mehr – und immer mehr amerikanische – Unternehmen an die Daten der Bürger wollen. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Bundesrepublik Deutschland Das Bundesdatenschutzgesetz galt unmittelbar für öffentliche Stellen des Bundes und nichtöffentliche Stellen, z.B. gewerbliche Unternehmen. Durch die EU-DS-GVO hat das Bundesdatenschutzgesetz seine Bedeutung weitgehend verloren. Es füllt nur noch die Ausnahmenormen aus, welche die Verordnung eröffnet. Für die Kirchen und Orden gilt dennoch teilweise Bundesrecht, nämlich soweit Sondermaterien geregelt werden, z.B. § 22 ff KunstUrhG (Recht am eigenen Bild) kraft besonderer Anordnung des Diözesanbischofs (Ordensobern) der Sozialdatenschutz (§ 35 SGB I, §§ 62 ff. SGB VIII die beruflichen Geheimhaltungspflichten des § 203 StGB 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 19

Einführung für betriebliche Datenschutzbeauftragte Bundesländer Die Datenschutzgesetze der Bundesländer regeln auch nur ergänzende Positionen, insbesondere im Zuständigkeitsbereich. Sie sind auch dann anwendbar, wenn sich das Land privatrechtlicher Formen (z. B. GmbH, AG) zur Erfüllung seiner Aufgaben bedient. Auf kirchliche Einrichtungen ist z. B. aus dem Recht des Bundeslandes Bayern gemäß § 1 Abs. 2 KDG anzuwenden: Art. 27 BayKrankenhausG Art. 85 EUG Entsprechendes gilt für die anderen Bundesländer. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 20

Datenschutzrecht der Kirchen Es besteht kirchliche Selbstverwaltungsfreiheit, Art. 137 WRV i.V.m. 140 GG Die EU-DS-GVO ist auf die Kirchen (auch bei privatrechtlichen Organisationsformen wie der Caritas) nicht direkt anwendbar. Jedoch sind die Kirchen kein datenschutzfreier Raum. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 21 21

Die Rechtslage nach Inkrafttreten der VO am 25.5.2018 BDSG und Länderdatenschutz-gesetze nur, soweit in der VO vorbehalten Art. 137 WRV, 140 GG in Verbindung mit Art. 91 EU-VO Verordnung Behörden und nicht-öffentliche Stellen Kirchen 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Das bedeutet Im staatlichen und im gewerblichen Bereich gilt ohne wirklich bedeutende Einschränkung die EU-DS-GVO. BDSG und Ländergesetze verlieren fast vollständig ihren Charakter als Datenschutzregeln. Ihre Bedeutung beschränkt sich überwiegend darauf, die in der VO vorbehaltenen Ausnahmen zu normieren. Für die Religionsgemeinschaften wird die Selbstverwaltungshoheit gegenüber dem Staat – wie bisher schon in Deutschland mit Art. 137 WRV, Art. 140 GG – betoniert. Das gilt aber nur dort, wo die Voraussetzungen des Art. 91 EU-DS-GVO gegeben sind: 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften (1) Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden. (2) Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

…sofern sie mit dieser Verordnung in Einklang gebracht werden. Dieser Satz hat mir schon zahlreiche schlaflose Bürostunden eingebracht. Er markiert gleichzeitig die größte Schwierigkeit bei der Anpassung des neuen kirchlichen Datenschutzrechts an die EU-Verordnung. Die Verordnung geht nämlich im Grundsatz davon aus, dass das Prinzip der Demokratie in den Mitgliedstaaten der Europäischen Union durchgesetzt ist. Die Religionsgemeinschaften – insbesondere die katholische Kirche - sind aber schon von ihrer Geschichte her nicht durchwegs demokratisch aufgebaut. Es gibt also ganz von selbst Defizite, die den Datenschutzregelungen der katholischen Kirche gegenüber denjenigen der EU innewohnen. Um das Gleichgewicht in der Summe wiederherzustellen, muss das kirchliche Datenschutzrecht an einigen Stellen weiter gehen als das staatliche. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Kirchliche Regelungen In der katholischen Kirche: KDG = Gesetz über den kirchlichen Datenschutz; mit der bis 30.6.2019 fortgeltenden KDO-DVO anwendbar auf die meisten kirchlichen Rechtsträger, unabhängig von ihrer Organisationsform, also Bistümer, Gemeinden, Caritas, Anstalten, Orden bischöflichen Rechts etc. weitgehend der EU-DS-GVO nachgebildet, wortgleich in jedem Bistum in Kraft gesetzt. Quelle: Webseite des jeweiligen Bistums oder www.erzbistum-muenchen.de/datenschutz, weitgehend wortgleich KDR-OG der Ordensgemeinschaften päpstlichen Rechts. Paragrafen ohne Gesetzesnennung betreffen das KDG! Evangelische Kirche: Datenschutzgesetz der EKD vom 15. November 2017; Quelle: https://www.kirchenrecht-ekbo.de/document/40834 Nach Art. 91 der EU-Datenschutzgrundverordnung bleiben diese Regelungen auch nach Inkrafttreten der Verordnung gültig. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 26 26

Der räumliche Geltungsbereich der KDG Die KDG der Diözesen ist bischöfliches Gesetz, gilt also grundsätzlich nur diözesenweit, aber: Alle Diözesen in Deutschland haben das gleiche KDG in Kraft gesetzt. Für die Orden bischöflichen Rechts gilt das KDG der jeweiligen Diözese. Für die Ordensgemeinschaften päpstlichen Rechts gilt das KDR-OG, soweit es die Ordensobern in Kraft gesetzt haben, im Übrigen die EU-DS-GVO. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 27

Der sachliche Geltungsbereich nach § 3 Abs. 1 Gruppe 1: Die benannten Einrichtungen der verfassten Kirche. Gruppe 2: Die privatrechtlich organisierten Einrichtungen (Werke) der kirchlichen Rechtsträger. Hier ist die sog. „Kirchlichkeitsprüfung“ notwendig: …wenn sie nach kirchlichem Selbstverständnis ihrem Zweck oder ihrer Aufgabe entsprechend zur Mitwirkung an der Erfüllung des kirchlichen Auftrags berufen sind. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 28

Einführung für betriebliche Datenschutzbeauftragte Umgang mit Daten Grundsatz: Daten dürfen nur dann verarbeitet werden, wenn ein Rechtfertigungsgrund nach § 6 Abs.1 vorliegt. Eine Zweckänderung verlangt einen (u. U. anderen) Rechtfertigungsgrund, § 6 Abs. 2. Erläuterungen zu den Zweckänderungen § 6 Abs. 3 – 7 Abs. 3: Aufsichtstätigkeit Abs. 4: Vereinbarkeitsgrundsatz Abs. 5: Datenschutzkontrolle/Datensicherung Abs. 6: besondere Kategorien personenbezogener Daten Abs. 7: Gesundheitsdaten 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 29

Einführung für betriebliche Datenschutzbeauftragte Erforderlichkeit Die Erforderlichkeit im Sinne des § 6 Abs. 1c-g bestimmt sich nach objektiven Kriterien. Erforderlich sind demnach alle Daten, die sinnvollerweise benötigt werden, um den Anforderungen der jeweiligen Vorschrift gerecht zu werden. Nicht notwendig ist es, dass im konkreten Fall wirklich auch alle erhobenen Daten unerlässlich sind. Auch ein Irrtum über die Erforderlichkeit ist unschädlich. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 30

Einwilligungsgrundsatz Alle Rechtsnormen über den Datenschutz sehen vor, dass auch bei Fehlen einer gesetzlichen Grundlage die Datenverarbeitung jedenfalls dann zulässig ist, wenn der Betroffene einwilligt. Eine Einwilligung ist allerdings nur dann wirksam, wenn der Betroffene auf den Zweck der Speicherung und einer vorgesehenen Übermittlung sowie – auf Verlangen – auf die Folgen der Verweigerung der Einwilligung hingewiesen wird. Die Einwilligung bedarf der Schriftform und muss klar als solche erkennbar sein (§ 8 Abs.2 KDG). 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 31

Problem: Früher erteilte Einwilligungen In vielen Fällen wurden die Einwilligungen, die bestimmte Verarbeitungen ermöglichen, schon vor Inkrafttreten der EU-DS-GVO abgegeben. Ob diese früheren Einwilligungen noch wirksam sind, ist streitig. Die jetzt wohl herrschende Meinung besagt, die Gültigkeit setze voraus, dass die Einwilligung auch nach dem neuen Recht eine zulässige wäre. Das bedeutet: Die Einwilligung muss die Voraussetzungen des § 8 erfüllen, d.h. freiwillig sein den Zweck der Verarbeitung nennen in der Regel schriftlich abgegeben werden das sogenannte Opt-In vermeiden  Bei einem Wirksamkeitshindernis lässt sich immer noch im Sinne des § 6 Abs.1 f oder g prüfen, ob die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist oder die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist. Vorsicht! Bei Zweckänderung gilt der anderslautende § 6 Abs. 2 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Datengeheimnis § 5 Datengeheimnis Den bei der Datenverarbeitung tätigen Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis schriftlich zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. Die Verpflichtungserklärung nach § 5 S. 2 (Text in der 2019 kommenden DVO-KDG) müssen alle mit personenbezogenen Daten befassten Beschäftigten (auch Kleriker bzw. Ordensangehörige) unterschreiben. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 33 33

Informationspflichten § 14 stellt ein Programm für alle Informationen und Auskünfte bereit. Im Gegensatz zum früheren Rechtszustand nach der KDO verlangt das neue Recht nach einer Information des Betroffenen über die von Ihnen gespeicherten Daten, § 15. Die Vorschrift sieht insbesondere in Abs. 1 sehr unübersichtlich aus, wobei die Pflichten in Abs. 2 noch ergänzt werden. Aber: Die gesamte Vorschrift wird durch § 15 Abs. 4 entschärft. Im Regelfall ist der Betroffene bei der Erhebung der Daten zugegen und muss dann nicht mehr informiert werden. Entsprechendes gilt, wenn der Betroffene auf Anforderung des Verantwortlichen hin die Daten übermittelt. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Auskunft § 17 Die speichernde Stelle muss auf Antrag hin dem Betroffenen Auskunft darüber geben, welche personenbezogenen Daten über ihn gespeichert sind und warum dies erfolgt. Der Antrag erfolgt schriftlich oder zu Protokoll. In der Regel erfolgt die Auskunftserteilung durch die Übergabe einer Kopie, § 17 Abs. 3. Unter sehr engen Umständen kann der Auskunftsantrag abgelehnt werden, § 17 Abs. 5/6 In diesem Fall steht dem Betroffenen das Recht zu, sich an den Diözesandatenschutzbeauftragten zu wenden, § 17 Abs. 8. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 35

Einführung für betriebliche Datenschutzbeauftragte Löschung von Daten, § 19 Sie ist sofort notwendig, wenn sich herausstellt, dass die Speicherung der Daten unzulässig war, § 19 Abs. 1d. Die Daten müssen auch dann gelöscht werden, wenn die speichernde Stelle sie zur Erfüllung ihrer Aufgaben nicht mehr benötigt, § 19 Abs.1a. Hier wird es in der Regel im Rahmen eines Datenverarbeitungsprogramms sinnvoll sein, regelmäßig wiederkehrende Löschungsvorgänge durchzuführen. die betroffene Person ihre Einwilligung zur Datenverarbeitung widerrufen hat (Recht auf Vergessenwerden); die betroffene Person einen rechtmäßigen Widerspruch gegen die Verarbeitung einlegt, § 23; dabei geht es in aller Regel um die Weiterverarbeitung der Daten aufgrund einer früher erteilten Einwilligung. eine kirchliche oder staatliche Rechtsvorschrift dies gebietet, § 19 Abs. Da1e. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 36

Einführung für betriebliche Datenschutzbeauftragte Löschung von Daten Die Löschung der Daten muss zuverlässig ihre Wiederherstellung verhindern. Das bedingt bei papiergebundenen Daten z. B. den Einsatz eines Reißwolfs, i.d.R Sicherheitsklasse 3; bei EDV-Daten z. B. den Einsatz eines Programms zur sicheren Datenlöschung (Freeware vorhanden, z.B. Eraser, Secure Eraser oder WipeFile z. B.  www.winload.de) Sie ist nach § 19 Abs. 3 in fünf Fällen unzulässig. Die wichtigsten sind: Vorliegen von Aufbewahrungspflichten (Buchstabe b; Zusammenstellungen im Internet: https://www.datenschutz-kirche.de/aufbewahrungsfristen_sozialdaten https://www.weclapp.com/de/wiki/aufbewahrungsfristen/ Archivzwecke (Matrikelbücher) 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 37

Löschung und Ersatzmaßnahmen Ist der Inhalt von Dateien unrichtig, so wird er berichtigt, § 18 Abs. 1; der Betroffene hat ein Recht darauf. War die Speicherung unzulässig, werden die Daten gelöscht, es sei denn, auch die Löschung sei unzulässig, § 19 Abs. 1/3 (z.B. bei gesetzlichen Aufbewahrungsfristen) Ist die Speicherung nicht mehr erforderlich, werden die Daten gelöscht, es sei denn die Löschung sei unzulässig oder unverhältnismäßig, § 19 Abs.1/3. Kann die Richtigkeit der gespeicherten Daten nicht mehr geklärt werden, sind die Daten zu sperren § 20 Abs.1. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 38

Das Recht auf Datenübertragbarkeit Lesen Sie § 22 (entspricht Art. 20 EU-DS-GVO)! Die Vorschrift bezweckt eine einfache Kontrolle derjenigen Daten, die beim Verantwortlichen gespeichert sind und einen leichteren Anbieterwechsel. Praktische Anwendung: Arbeitgeberwechsel, Leasingverträge, Kindertageseinrichtung, Schule Unanwendbar: Die Verarbeitung ist zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich (Abs. 3) und Archivzwecke (Abs. 5). Voraussetzungen: Bereitgestellt durch den Betroffenen Einschränkung nach Abs. 1a Verarbeitung mithilfe automatisierter Verfahren Abs. 1b Inhalt: Auch Übertragung an neuen Verantwortlichen kann verlangt werden. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Fall In einer Kirchenstiftung wird die Angestellte C neu eingestellt. Frau C hat zwei Kinder und ist darauf angewiesen, von zu Hause aus arbeiten zu können. Sie erhält einen Dienst-Laptop und wird angewiesen, künftig Schreibarbeiten nach einem Diktat-Tonträger zu erledigen. Der Einrichtungsleiter ist sich nicht sicher, ob Frau C bei dieser Tätigkeit ausreichend überwacht wird. Er schlägt vor, in den Laptop einen Anschlagzähler zu installieren, der die Zahl der täglichen Tastendrücke ermittelt. Mit Kenntnis von Frau C wird diese Zahl wöchentlich an die Einrichtung per automatischem E-Mail übermittelt. Nach einigen Monaten beschwert sich Frau C über diese Vorgehensweise. Wo und mit welchem Erfolg? 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Profiling Lesen Sie zunächst die Definition in § 4 Abs. 5 (entspricht Art. 4 Nr. 4 EU-DS-GVO) und anschließend den Verbotstatbestand des 24 Abs. 1 (entspricht § 6a BDSG a.F.)! Die Vorschriften bezwecken die Unterbindung von Risiken für das Persönlichkeitsrecht. Praktische Anwendung: Arbeitnehmerbeurteilung, Online-Handel Unanwendbar: Absatz 2 und soweit es um Datenverarbeitungen zum Zwecke der Verhütung, Ermittlung, Aufdeckung o. Verfolgung von Straftaten o. der Strafvollstreckung, einschl. des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, geht. Voraussetzungen: Echte Entscheidung Nutzung zu Werbezwecken reicht nicht Verarbeitung mithilfe automatisierter Verfahren Inhalt: Umfassendes Verbot 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Fall Ein aus Südamerika stammende Einwanderer tritt aus der Kirche aus. Es passiert nun folgendes: Aufgrund der schriftlichen Benachrichtigung durch die zuständige Stelle wird das für den Ausgetretenen bestehende Taufregister ermittelt und um die Eintragung des Kirchenaustritts ergänzt. Das Taufregister über eine Person wird grundsätzlich dort geführt, wo der Betroffene getauft wurde (= Geburtsort). Dabei kann es sich um die Pfarrei handeln, in deren Bezirk die Eltern zum Zeitpunkt der Geburt ihren Wohnsitz hatten oder das Geburtskrankenhaus gelegen war. Die Tatsache des Kirchenaustritts muss also zum Taufregister mitgeteilt werden und wird dabei auch in das Ausland übermittelt. Ist das so zulässig? 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Datenverkehr mit dem Ausland Lesen Sie § 39 KDG (entspricht Art. 44 EU-DS-GVO)! Die Vorschrift bezweckt es, die Datenverlagerung in Staaten mit geringerem Datenschutz zu verhindern. Praktische Anwendung: Jeder Auslandskontakt, im Prinzip auch zu Mitgliedern des eigenen Ordens über ausländische Server (vgl. § 39 S. 2). Stufenprüfung: Angemessenheitsbeschluss § 40 Abs. 1 ausreichende Garantien § 40 Abs. 2 Ausnahmezulässigkeit § 41 Konsequenz: Ergibt die Stufenprüfung keine Zulässigkeit, liegt eine Datenschutzverletzung vor. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Fall Die Kirchenstiftung X schließt einen Vertrag mit Microsoft über die Nutzung von Office 365 auf allen datenverarbeitenden Arbeitsplätzen. In der Folgezeit nutzen die Arbeitsplätze MS ONE, einen Cloudspeicher mit Standort des physikalischen Speichers in den USA. Welche Vorschriften der KDG sind auf diese Ausgangssituation anzuwenden? Welche rechtliche Position nehmen Kirchenstiftung und Microsoft ein? Ist diese vertragliche Regelung wie gewählt zulässig? Unterstellt, im Vertrag wäre die Geltung des KDG vereinbart: Gilt dann § 31 Abs. 2 KDG für Microsoft? Was hätte dies sonst für Auswirkungen? Was wäre eine gangbare Lösung für die Situation? 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Die Datenschutzbeauftragten: Einordnung Der Diözesan- oder Ordensdatenschutzbeauftragte ist der kirchliche, vom Bischof für seine Diözese oder von den Ordensoberen berufene Leiter der Datenschutzaufsicht wacht über die Einhaltung der kirchlichen Datenschutzanordnung sowie kirchlicher und staatlicher Vorschriften über den Datenschutz im Bereich der Katholischen Kirche…. und zwar unabhängig davon, ob dieser öffentlich-rechtlich (z. B. Kirchengemeinde als Körperschaft des öffentlichen Rechts) oder „nicht öffentlich-rechtlich" organisiert ist (z. B. eingetragene Vereine, Stiftungen, Anstalten oder Gesellschaften des privaten oder katholischen Rechts). 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 45

Die Datenschutzaufsicht wird in den Diözesen durch den Diözesandatenschutzbeauftragten wahrgenommen. Seine Position und diejenige des betrieblichen Datenschutzbeauftragten, dem das Datenschutzmanagement obliegt, unterscheiden sich stark. Im „richtigen Leben“ wäre der betriebliche Datenschutzbeauftragte die Vertragswerkstatt, der Ordensdatenschutzbeauftragte der TÜV. Die Datenschutzaufsicht ist in Art. 91 Abs. 2 EU-DS-GVO besonders genannt: (2) Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt. Das produziert unterschiedliche Meinungen: 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Rechtsmeinungen zur Datenschutzaufsicht Mundil in BeckOK Datenschutzrecht, Wolff/Brink, RN 21/22 zu Art. 91 Dabei ist es zunächst denkbar eine oder mehrere besondere staatliche Aufsichtsbehörden für die Religionsgemeinschaften einzurichten. Diese könnten gegebenenfalls auch mit Mitgliedern der Religionsgemeinschaften besetzt werden. Paal/Pauly, DS-GVO BDSG 2. Auflage 2018 Rn. 20-21 zu Art. 91 Es besteht die Möglichkeit, eine oder mehrere ASB für die Kirchen und religiösen Vereinigungen in den Mitgliedstaaten zu schaffen. Diese könnte entweder als staatliche ASB oder als eigene ASB der Religionsgemeinschaft ausgestaltet sein, solange sie im Einklang mit den Anforderungen an ASB aus Art. 51 ff. stehen. Schantz/Wolff, Das neue Datenschutzrecht, G. Besondere Verarbeitungssituationen Rn. 1368-1372, beck-online) Sie kann eine eigene Aufsichtsbehörde sein, muss aber die Kriterien des Kapitels 4 genügen. Es kann daher keine Instanz sein, die innerhalb der Kirche Weisungen der Kirche unterliegt. Man wird auch verlangen müssen, dass es eine Aufsichtsbehörde des Staates und nicht der Kirchenorganisation selbst ist. Die Literatur spricht zu recht von einer unlösbaren Aufgabe. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Die Datenschutzaufsichten der Kirchen EKD: Ein Datenschutzbeauftragter (H. Jakob, Hannover) und vier Regionalbüros Katholische Kirche: Deutschland Nord: Herr Mündelein, Bremen Deutschland Ost: Herr Ullrich, Magdeburg (auch zuständig für Bundeswehr) Nordrhein-Westfalen: Herr Pau, Dortmund Deutschland Südwest: Frau Becker-Rathmeier, Frankfurt/M Bayern: Joachimski, München 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Die erweiterten Aufgaben der Datenschutzaufsicht Grundsätzlich ändert das KDG nichts an der bisherigen prinzipiellen Aufgabenverteilung: Der Verantwortliche und der betriebliche Datenschutzbeauftragte leisten das Datenschutzmanagement mit der – ggfs. zentralen – Organisation des Datenschutzes in den Dienststellen Gewährleistung der IT-Sicherheit Schulung und Fortbildung der Mitarbeiter Erstellung von Verträgen zur ausgelagerten Datenverarbeitung (Argument: Nur der Verantwortliche und der von ihm eingesetzte betriebliche Datenschutzbeauftragte haben die dafür notwendige Sachkenntnis). Die Datenschutzaufsicht prüft und überwacht Zulässigkeit und Zweckmäßigkeit der Maßnahmen. Das KDG gibt aber der Datenschutzaufsicht zusätzliche (zentrale) Aufgaben, die eigentlich noch dem Datenschutzmanagement zuzurechnen sind. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Zusätzliche Aufgaben der Datenschutzaufsicht - § 44 Abs. 3 Sensibilisierung der Öffentlichkeit Beratung zu Maßnahmen Sensibilisierung d. Verantwortlichen Erteilung von Informationen zur Ausübung der Rechte Befassung mit Beschwerden und Unterrichtung des Beschwerdeführers; Vorhalten von Mustern für Beschwerden Zusammenarbeit mit anderen Datenschutzaufsichten Durchführung von Untersuchungen Verfolgung der Entwicklungen Listen der Verarbeitungsarten für Folgeabschätzungen Beratung zu Verfahren mit Folgeabschätzung Führen von internen Verzeichnissen über Verstöße jede sonstige Aufgabe? fakultativ: Empfehlungen und Standardvertragsklauseln Abs. 4 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Fall In einem kirchlichen Krankenhaus unterrichten die Ärzte F, G und H, die dort beruflich tätig sind, ihre Studenten. Sie nutzen für den Unterricht Präsentationen, die auf einem Laptop gespeichert sind. Der Laptop bleibt jedes Mal nach Beendigung des Unterrichts im Vorlesungsraum stehen. Eines Tages fehlt der Laptop. Bei der Anhörung der Ärzte stellt sich heraus, dass die Präsentationen Röntgenbilder und andere Aufnahmen von Patienten enthielten, die auch noch dazu namentlich genannt waren. Was hat der Klinikvorstand zu unternehmen? 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Meldung von Datenschutzverletzungen Lesen Sie zunächst § 33! Die wesentlichen Elemente dieser Vorschrift waren bisher schon in § 42a BDSG alt enthalten, nicht aber in der KDO. Teilweise wurde die Vorschrift des § 42a BDSG im kirchlichen Bereich entsprechend angewendet. Voraussetzungen des Eingreifens der Vorschrift: Vorliegen einer Datenschutzverletzung; Erwachsen einer Gefahr für Rechte und Freiheiten natürlicher Personen aus dieser Datenschutzverletzung. Dafür genügt jedes Ausmaß des Risikos. Ist das Risiko erhöht, so greift schon § 34 Abs. 1 ein. Diese Vorschrift zieht zwingend eine sofortige Information des Betroffenen durch den Verantwortlichen selbst nach sich. Die Datenschutzaufsicht ordnet nun an, wann und wie die Information des Betroffenen stattzufinden hat. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Schadensersatz und Verschulden nach BGB Bei der sogenannten reinen Gefährdungshaftung (Beispiel § 833 Satz 1 BGB - Haftung des Tierhalters für Tiere, die nicht dem Beruf des Tierhalters dienen) wird ohne Rücksicht auf Verschulden gehaftet. Der Rechtsgrund dafür ist die Erhöhung der Gefahr für die Allgemeinheit dadurch, dass jemand ein Tier hält.  Die eingeschränkte Tierhalterhaftung des § 833 Satz 2 BGB für Tiere, die dem Beruf des Tierhalters dienen, erlaubt diesem eine Exkulpation, wenn ihn kein Verschulden trifft. Den Nachweis dafür hat der Tierhalter zu führen. Eine ähnliche Regelung gibt es nach § 7 StVG für die Schadensverursachung im Straßenverkehr.  Nach den §§ 823 ff. BGB hat prinzipiell der Geschädigte die Beweislast dafür, dass ein Verschulden vorlag.  10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Wie ist die Regelung der KDG einzuordnen? § 50 Haftung und Schadenersatz   Jede Person, der wegen eines Verstoßes gegen dieses Gesetz ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen die kirchliche Stelle als Verantwortlicher oder Auftragsverarbeiter.   Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus diesem Gesetz nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.   Ein Verantwortlicher oder ein Auftragsverarbeiter ist von der Haftung gemäß Absatz 1 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Das Problem beim Schadensersatz ist normalerweise nicht die Verschuldensfrage: Verstößt der Verantwortliche gegen die Reglung der KDG, liegt das Verschulden schon deswegen nahe, weil der Verantwortliche verpflichtet ist, sich über die Bestimmungen der KDG zu informieren. Auch wenn es daher die Beweislastregelung nicht gäbe, wäre normalerweise das Verschulden nicht streitig. ist dagegen sehr häufig die Quantifizierbarkeit des beim Betroffenen eingetretenen Vermögensverlustes. Noch schwieriger ist die Feststellung der Höhe eines immateriellen Schadens entsprechend § 253 BGB. Allerdings kann der Schaden im Zivilgerichtsverfahren vor den staatlichen Gerichten nach § 287 ZPO geschätzt werden. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Datenschutzverletzung: Feststellungswirkung Prinzipiell muss die Datenschutzaufsicht feststellen, ob eine Datenschutzverletzung vorliegt. Ist dies geschehen, so kann die kirchliche Dienststelle im Rechtsstreit über den Schadensersatz nicht vorbringen, eine Datenschutzverletzung habe nicht vorgelegen. Wenn es zu einer derartigen Feststellung durch die Datenschutzaufsicht nicht kommt, muss der Betroffene seine Rechtsmittelbefugnis ausüben und versuchen, vor dem Datenschutzgericht die Feststellung einer Datenschutzverletzung zu erreichen. Natürlich kann auch der Verantwortliche im Rechtsstreit vor den Zivilgerichten darauf verzichten, das Vorliegen einer Datenschutzverletzung zu bestreiten. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Geldbußen: Grundsätzliches Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter vorsätzlich oder fahrlässig gegen Bestimmungen dieses Gesetzes, so kann die Datenschutzaufsicht eine Geldbuße verhängen.   Die Datenschutzaufsicht stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Paragraphen für Verstöße gegen dieses Gesetz in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Gegen kirchliche Stellen im Sinne des § 3 Absatz 1, soweit sie im weltlichen Rechtskreis öffentlich-rechtlich verfasst sind, werden keine Geldbußen verhängt; dies gilt nicht, soweit sie als Unternehmen am Wettbewerb teilnehmen. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Adressat „Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter vorsätzlich oder fahrlässig gegen Bestimmungen dieses Gesetzes, so kann die Datenschutzaufsicht eine Geldbuße verhängen.“ Wer ist Verantwortlicher? Das kann eine natürliche oder juristische Person sein. Es können mehrere Personen gleichzeitig verantwortlich sein. Der betriebliche Datenschutzbeauftragte leistet nur Hilfsdienste und ist jedenfalls nicht Verantwortlicher. „…so kann …“ heißt: Wenn die Voraussetzungen gegeben sind, ist die Geldbuße zu verhängen, wenn nicht Ausnahmeumstände vorliegen. Die wären immer dann vorhanden, wenn im Ordnungswidrigkeitenrecht die Verwaltungsbehörde nach § 47 Abs.1 OWiG von der Verfolgung absehen würde. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Verfahren vor Erlass eines Bußgeldbescheides Voraussetzung: Die Datenschutzverletzung ist festgestellt, dies muss aber nicht (z.B. wegen Ablauf der Anfechtungsfristen) unangreifbar sein. Der Verantwortliche wird als Betroffener durch den Ordens- bzw. Diözesandatenschutzbeauftragten oder einen seiner Mitarbeiter zur Person und zur Sache vernommen; die Vernehmung ist zu protokollieren. Bei Beginn der Vernehmung wird der Betroffene nach §§ 46 Abs. 2 OWiG, 136 StPO belehrt: (1) Bei Beginn der ersten Vernehmung ist dem Beschuldigten zu eröffnen, welche Tat ihm zu Last gelegt wird und welche Strafvorschriften in Betracht kommen. Er ist darauf hinzuweisen, dass es ihm nach dem Gesetz freistehe, sich zu der Beschuldigung zu äußern oder nicht zur Sache auszusagen und jederzeit, auch schon vor seiner Vernehmung, einen von ihm zu wählenden Verteidiger zu befragen. Möchte der Beschuldigte vor seiner Vernehmung einen Verteidiger befragen, sind ihm Informationen zur Verfügung zu stellen, die es ihm erleichtern, einen Verteidiger zu kontaktieren. Auf bestehende anwaltliche Notdienste ist dabei hinzuweisen. Er ist ferner darüber zu belehren, dass er zu seiner Entlastung einzelne Beweiserhebungen beantragen und unter den Voraussetzungen des § 140 Absatz 1 und 2 die Bestellung eines Verteidigers nach Maßgabe des § 141 Absatz 1 und 3 beanspruchen kann; zu Letzterem ist er dabei auf die Kostenfolge des § 465 hinzuweisen. In geeigneten Fällen soll der Beschuldigte auch darauf, dass er sich schriftlich äußern kann, sowie auf die Möglichkeit eines Täter-Opfer-Ausgleichs hingewiesen werden. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Noch: Vernehmung des betroffenen Verantwortlichen Lesen Sie § 51 Abs. 3! Der Vernehmende konzentriert seine Fragen insbesondere auf die Umstände, die das Verschulden des Verantwortlichen begründen. Frühere Verstöße des Verantwortlichen gegen Datenschutzvorschriften kann man zum Beispiel im Wege des Vorhalts einführen. Ist dies nicht möglich, so wird eine dienstliche Auskunft der vorgesetzten Dienststelle zu diesem Punkt erholt. Der Vernehmende sollte die einzelnen Vorschriften des § 51 Abs. 3 mit seinen Fragen abarbeiten. Zusätzlich sind aufzuklären die Vermögensverhältnisse des Verantwortlichen sein Umgang mit etwaigen Drittschäden. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Das weitere Verfahren in Bußgeldsachen Wenn ihr alle notwendigen Beweismittel vorliegen, entscheidet die Datenschutzaufsicht über den Erlass eines Bußgeldbescheides. Sie prüft zunächst, ob gemäß § 47 Abs. 4 KDG von einer formellen Beanstandung abgesehen werden kann. Es ist aber auch eine formelle Beanstandung, verbunden mit einem Absehen von der Verfolgung der Ordnungswidrigkeit entsprechend § 47 Abs. 2 OWiG denkbar und möglich. Wird der Bußgeldbescheid erlassen, so muss er dem Verantwortlichen mitgeteilt werden. Das weitere Verfahren in der Bußgeldsache richtet sich nicht nach dem OWiG, sondern nach dem KDSGO, die Vollstreckung nach § 51 Abs. 8 KDG. Es kann nun zu der Besonderheit kommen, das zwei Verfahren vor dem Datenschutzgerichts stattfinden: zum Beispiel auf Veranlassung des Betroffenen hin das Verfahren mit dem Ziel der Feststellung einer Datenschutzverletzung und danach auf Veranlassung des Verantwortlichen hin das Verfahren mit dem Ziel auf Aufhebung des Bußgeldbescheides. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Fall Eine Ordensgemeinschaft bischöflichen Rechts besteht noch aus 8 Mitgliedern, betreibt aber einen Mineralwasservertrieb mit insgesamt 70 Beschäftigten, davon 21 im Büro. Ein betrieblicher Datenschutzbeauftragter ist nicht benannt. Der örtlich zuständige Diözesandatenschutzbeauftragte verhängt nach deren Anhörung gegen die Ordensoberin eine Geldbuße von 20.000 € weil ein betrieblicher Datenschutzbeauftragter fehlt. Was kann die Oberin dagegen unternehmen? 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Zulässigkeit und Begründetheit des Antrags § 49 KDG: Die Entscheidung ist grundsätzlich anfechtbar. Der Antrag ist statthaft nach § 2 Abs. 2 KDSGO. Die Oberin ist als Verantwortliche antragsbefugt nach § 2 Abs. 4 i. V. m. § 8 Abs. 2 KDSGO; Antragsfrist 1 Monat. Zuständig in 1.Instanz ist das Interdiözesangericht nach § 5 KDSGO. Es ist eine Antragsschrift nach § 11 einzureichen. Nach § 12 Abs. 1 KDSGO wird die Datenschutzaufsicht gehört. Ein Termin muss nicht anberaumt werden, § 13 Abs. 3 KDSGO. Die Kammer wird die Entscheidung der Datenschutzaufsicht aufheben: Die Datenschutzverletzung wurde mit dem Fehlen eines betrieblichen DSB begründet. Dies durfte die kirchliche Datenschutzaufsicht aber nicht prüfen, weil der Gewerbebetrieb ohne Weiteres der staatlichen Aufsicht unterliegt. Die Entscheidung ergeht durch Beschluss nach § 15 KDSGO. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Schutzbereiche kirchlicher Dienststellen Dienstgeber Bereich 1 Mitarbeiter Klient Klient Bereich 2 Klient Klient 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 64

Bereich 1: Mitarbeiterdatenschutz – überwiegend Richterrecht Alle Daten müssen grundsätzlich beim Mitarbeiter erhoben werden. Der Dienstgeber darf nur solche Daten erheben, die zur Eingehung, Durchführung, Beendigung oder Abwicklung des Arbeitsverhältnisses erforderlich oder gesetzlich vorgesehen sind. Der Grundsatz der Zweckbindung ist streng zu beachten. Eine Datenauswertung und -verknüpfung, die zur Herstellung eines umfassenden Persönlichkeitsprofils des Mitarbeiters führen kann, ist unzulässig. Beurteilungen und Personalauswahlentscheidungen dürfen nicht allein auf Informationen gestützt werden, die unmittelbar durch automatisierte Datenverarbeitung gewonnen werden ( profiling). Dem Dienstgeber darf grundsätzlich nur das Ergebnis der ärztlichen Untersuchung bekannt gegeben werden. Den Mitarbeitern sind umfassende Auskunfts- und Einsichtsrechte in die Unterlagen einzuräumen, die sein Arbeitsverhältnis betreffen. Schon in die KDO 2013 wurde eine neue Vorschrift eingefügt, die jetzt als § 53 übernommen ist: 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 65

Einführung für betriebliche Datenschutzbeauftragte § 53 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses Personenbezogene Daten eines Beschäftigten einschließlich der religiösen Überzeugung dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt. Einführung für betriebliche Datenschutzbeauftragte 10.01.2019 10.01.2019 66

Einführung für betriebliche Datenschutzbeauftragte Sonderfall Bewerber Fragen, die in konkreter Beziehung zur Tätigkeit stehen, sind zulässig, soweit sie nicht die Privat- oder gar Intimsphäre betreffen. Diskriminierende Fragen dürfen nicht gestellt werden (z.B. Schwangerschaft). Nach laufenden Ermittlungsverfahren darf wegen der Unschuldsvermutung nicht gefragt werden. Der Dienstgeber darf nur mit Einverständnis des Bewerbers über diesen Erkundigungen einholen. Daten abgelehnter Bewerber sind unverzüglich zu löschen. Einführung für betriebliche Datenschutzbeauftragte 10.01.2019 10.01.2019 67

Der Zugriff auf Mitarbeiterdaten unterliegt ebenfalls strenger Zweckbindung: Beispiel: Daten, die der Dienstgeber für die Sozialversicherung erhoben hat, darf er nur für diese Zwecke verwenden. Eine Einwilligung des Mitarbeiters kommt nur dann als Grundlage einer Datenerhebung oder Datenverarbeitung infrage, wenn die Freiwilligkeit der Einwilligung sichergestellt ist. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 68

Die Behandlung der Daten unterliegt ebenfalls strenger Zweckbindung: Beispiel: Daten, die der Dienstgeber für die Sozialversicherung erhoben hat, darf er nur für diese Zwecke verwenden. Eine Einwilligung des Mitarbeiters kommt nur dann als Grundlage einer Datenerhebung oder Datenverarbeitung infrage, wenn die Freiwilligkeit der Einwilligung sichergestellt ist. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 69

Bereich 2: Schutz der Klientendaten Zu beachten sind zunächst § 26 Abs. 1 KDG und die unter a – d genannten Maßnahmen. Es ist immer eine Güterabwägung zwischen dem geschützten Rechtsgut und dem Sicherungsaufwand angezeigt, Abs. 3. Ein absoluter Schutz ist weder möglich noch nach dem Gesetz nötig. Auch die Angriffswahrscheinlichkeit bzw. –intensität muss in die Abwägung einbezogen werden, § 26 Abs.2. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 70

Schutz der Klientendaten in gerichtlichen Verfahren Aus dem Seelsorgegeheimnis resultiert für das Strafverfahren ein Zeugnisverweigerungsrecht des Geistlichen. Geistlicher in diesem Sinne ist nach der Rechtsprechung des Bundesgerichtshofes und des Bundesverfassungsgerichts aber auch der Laie, der hauptamtlich mit Seelsorgeaufgaben betraut ist (BGH NJW 2007, 307 und BVerfG NJW 2007, 1865). Allerdings ist das Zeugnisverweigerungsrecht teilbar: Es bezieht sich nur auf Vorgänge im Rahmen eines seelsorgerischen Gesprächs, nicht auf solche, die nur anlässlich eines solchen geschahen. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 71

Schutz der Klientendaten in gerichtlichen Verfahren Daneben sind kirchliche Angestellte nur bei Vorliegen einer Aussagegenehmigung ihrer Dienststelle zur Aussage verpflichtet, weil § 54 StPO auch für sie gilt (OLG Köln StraFo 1999, 90, für Mitarbeiter in Beratungsstellen aber umstritten). Die Aussagegenehmigung ist durch das Strafgericht zu erholen. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 72

§ 139 Straflosigkeit der Nichtanzeige geplanter Straftaten (2) Ein Geistlicher ist nicht verpflichtet anzuzeigen, was ihm in seiner Eigenschaft als Seelsorger anvertraut worden ist. Für diese Vorschrift ist der Begriff des Geistlichen ebenso auszulegen wie für § 53 StPO: Auch hauptamtlich zur Seelsorge berufene Laien zählen hierzu. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 73

Einführung für betriebliche Datenschutzbeauftragte Einzelprobleme 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Folgenabschätzung Ausgangspunkt § 35 Die unter „insbesondere“ in Abs. 4 genannten Fälle sind nur – nicht abschließend aufgezählte – Beispiele. Daneben kommt insbesondere der Fall in Betracht, dass gegen die Kernanliegen „Datensparsamkeit“ und „Datenvermeidung“ verstoßen wird. Der betriebliche Datenschutzbeauftragte ist mit komplexen Programmen regelmäßig überfordert. Deswegen bot ich in meinem Bereich früher schon an, dass er die Vorabkontrolle schriftlich mir überträgt. Angestrebt wird ein bundesweites Freigaberegister, das vermutlich ab Mitte 2019 verfügbar ist. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Bilder 1 Bisher wurden Bilder ausschließlich nach §§ 22ff KunstUrhG geprüft; ein Einverständnis des Betroffenen war (nur) für die Verbreitung erforderlich. 2014 entschied dann der EuGH, dass schon die Aufnahme eines Bildes die Verarbeitung personenbezogener Daten darstellt. Das BDSG 2014 enthielt genauso wie das neueste eine Vorschrift, wonach die Datenschutzbestimmungen zurücktreten, wenn derselbe Sachverhalt an anderer Stelle spezieller geregelt ist. Bis jetzt ging man davon aus, dass das Kunsturhebergesetz eine solche spezielle Regelung bildet. Das gilt aber nicht mehr ohne weiteres, weil nun zwei Sachverhalte in Rede stehen: die Aufnahme, welche vom Kunsturhebergesetz gar nicht geregelt wird und die Verbreitung. Diese Lage führt zu massiven Schwierigkeiten: 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Bilder 2 Fall: In einer Pfarrgemeinde wird ein Fest gefeiert. Der Pfarrer geht mit der Kamera herum, macht Fotos und hat vor, sie später im Schaukasten der Pfarrei auszuhängen. Wie sieht es mit den Einverständnissen aus? Es braucht schon ein Einverständnis für die Aufnahme selbst. Nach § 8 Abs. 2 KDG muss dieses Einverständnis schriftlich erklärt werden. Im Prinzip muss also jeder, der fotografiert wird, unterschreiben. Dann muss er sich das Bild anschauen und unterschreiben, dass es ausgehängt werden darf. Das ist aus praktischer Sicht blanker Irrsinn und beruht z.T. darauf, dass die KDG zumindest dem Wortlaut nach höhere Anforderungen an die Einwilligungen stellt als die EU-DS-GVO. Sie können nach der VO nämlich formlos erteilt werden. Es gibt drei Auswege: Anwendung der Ausnahmeregelung in § 8 Abs. 1 KDG Erstreckung der Spezialvorschriftsregelung nach § 1 Abs. 2 BDSG neu auf das KUG, welches eigentlich nur den zweiten Teil – Verbreitung – regelt oder Anwendung von § 6 Abs. 1 lit f bzw. g; vgl. Arbeitsanweisung unter www.erzbistum-muenchen.de/datenschutz/ oder § 55 KDG 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Bilder 3 – So geht es bei Erwachsenen Gilt die Sondervorschrift des § 55? Journalistisches oder literarisches Interesse reicht für die Fertigung der Aufnahme, wenn sie z.B. für den Pfarrbrief bestimmt ist; fraglich jedoch: Pressestelle Für die Verbreitung § 23 KUG? Sonst: Einwilligung in die Aufnahme. Sie kann der besonderen Umstände wegen z.B. erfolgen durch Kopfnicken beim Auslösen Betreten einer abgegrenzten Fläche in Kenntnis des Umstandes, dass hierdurch in das Aufnehmen eingewilligt wird. Für die Verbreitung Einverständnis nach dem KUG § 22 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Bilder 4: Kinder und Jugendliche bis 16 Jahre Zu beachten: Besonderer einschränkender Beschluss der Diözesandatenschutzbeauftragten und der EKD vom 10.4.2018 (auf Webseite Joachimski, öffentlicher Teil) + Erläuterungen dazu + Skriptum Bilder Kitas: Kinder und Jugendliche unterliegen besonderem Schutz. Einwilligung Aufnahme kann vorweg erteilt werden Einwilligung Verbreitung nur unter besonderen Umständen wirksam, sofern nicht § 23 KUG greift. Vorsicht! Die Rechtsmaterie ist noch sehr jung und wenig ausdiskutiert. Es ist durchaus möglich, dass die Zivilgerichte dies strenger sehen als die Datenschutzaufsicht der Kirche. Unzulässig ist die Aushebelung des Verbots durch temporäre Übertragung der Elternrechte. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Bilder 5:Jugendliche von 16 und 17 Jahren Eltern können nicht gegen ihren Willen in die Verbreitung von Bildern der Jugendlichen einwilligen. Daher braucht es die Einwilligung der Eltern in die Aufnahme die Einwilligung der Eltern in die Verbreitung und die Einwilligung des Jugendlichen in die Verbreitung. Den besonderen Schutz (vgl. Bilder 4) genießen diese Betroffenen nicht mehr. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Elektronische Kommunikation und Datenspeicherung in der Cloud Hinweis auf Flyer in www.erzbistum-muenchen.de/datenschutz Was darf in E-Mails kommuniziert werden? prinzipiell keine Sozialdaten od. besondere pb. Daten keine Daten der Schutzklassen 2 und 3 Messenger am Beispiel What‘s App Geprüft und nicht beanstandet : Threema, Free Message Geprüft und nicht erheblich beanstandet : Telegram, Signal Behandlung von Facebook – Heise bzw. Sharif--Button Datenspeicherung im Internet Unproblematisch: OwnCloud, 1und1-Onlinespeicher, Telekom Magenta Problematisch ICloud Hochproblematisch: MS Office 365 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Interner Emailverkehr – Was ist zu beachten? Teilnehmer im Diözesennetz: Insoweit wird von einem Virtuellen Privaten Netzwerk (VPN) Gebrauch gemacht. Der Emailverkehr ist sicher. Alle Übrigen: Emails können ohne weiteres abgegriffen werden. Im Hinblick auf die Verhältnismäßigkeit wird man aber eine Notwendigkeit der Verschlüsselung eigentlich nur in den Fällen der § 4 Abs. 2 und bei den Sozialdaten annehmen müssen. Die neue DVO geht davon aus, dass per Email Daten der Datenschutzklassen 2 und 3 nicht verschickt werden dürfen. Es bleibt nur die DSK 1 übrig: Der Datenschutzklasse I unterfallen personenbezogene Daten, deren missbräuchliche Verarbeitung keine besonders schwerwiegende Beeinträchtigung des Betroffenen erwarten lässt. Hierzu gehören insbesondere Namens- und Adressangaben ohne Sperrvermerke sowie Berufs-, Branchen- oder Geschäftsbezeichnungen. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Email-Versand: CC oder BC? Grundsatz: Bei einer Mehrheit von Emailempfängern gibt es prinzipiell keine Rechtsgrundlage dafür, dass einer oder mehrere von ihnen die Emailanschriften der anderen erfahren. Deswegen: Emailversand im Zweifel An eigene Adresse CC leer BCC die Empfänger Wenn Sie in Outlook Word als E-Mail-Editor verwenden, klicken Sie in einer neuen Nachricht auf den Pfeil rechts neben der Schaltfläche Optionen, und klicken Sie dann auf Bcc. Wenn Sie den Outlook-E-Mail-Editor verwenden, klicken Sie in einer neuen Nachricht im Menü Ansicht auf "Bcc"-Feld. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Sonderfall Videoüberwachung, § 53 KDG Voraussetzungen: Erforderlichkeit (Anlass bzw. Lage) Hinweis Löschungsfristen Abgrenzung zum „verlängerten Auge“ Übermaßverbot vor allem in Kirchen Anordnung Funktionskontrollen Nähere Informationen: Downloadseite, Ordner „Videoüberwachung“ 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Webauftritte Jede Homepage braucht im Prinzip neben dem Impressum eine Datenschutzerklärung. Eine Art Baukasten dafür gibt es in der Downloadseite unter „Muster für verschiedene Erklärungen“. Von den dort vorhandenen Mustertexten sollten Sie nehmen, was für Ihren Bereich zutrifft. Auf die Datenschutzerklärung sollte von der Startseite aus verlinkt werden. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Soziale Netzwerke, insbesondere Facebook Die sozialen Netzwerke mit Datenspeicher in den USA sind prinzipiell (noch) nicht verboten, weil das „privacy shield“ den Auslandsverkehr noch nach § 40 Abs.2 deckt. Mit dessen Ableben ist aber wegen der Gesetzgebungstätigkeit der US-Regierung innerhalb des nächsten Jahres zu rechnen. Von da an wird Facebook wohl für den Dienstgebrauch unzulässig. Aus diesem Grund wird jetzt schon der Konferenz der Diözesandatenschutzbeauftragten davor gewarnt. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte noch: Facebook https://www.datenschutzbeauftragter-info.de/facebook-urteil-stellt-datenschutzverstoesse-fest/Tutorial VG Bayreuth bestätigt: Facebook Custom Audiences ist rechtswidrig: https://www.datenschutzbeauftragter-info.de/vg-bayreuth-bestaetigt-facebook-custom-audiences-ist-rechtswidrig/ Facebook-Anleiter: https://www.datenschutz.org/facebook-datenschutz/ Like-Button: https://www.datenschutz.org/facebook-like-button-datenschutz/ Der Like-Button von Facebook darf auf dienstlichen Webseiten nicht verwendet werden! 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Veröffentlichungen Bei Fallbeispielen in Publikationen ist darauf zu achten, dass der Begriff der personenbezogenen Daten nicht erfüllt wird. Begriff der personenbezogenen Daten Es muss also der Fall so weit anonymisiert werden, dass – mit vertretbarem Aufwand – der Betroffene nicht ermittelt werden kann. Dass er selbst den Fall wieder erkennt, schadet nicht. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 88

Der betriebliche Beauftragte für den Datenschutz und seine Aufgaben Teil 2 Der betriebliche Beauftragte für den Datenschutz und seine Aufgaben 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Bestellung Zum betrieblichen Beauftragten für den Datenschutz darf nur bestellt werden, wer die erforderliche „Fachkunde und Zuverlässigkeit“ besitzt. Dazu gibt es einen Beschluss der Konferenz der DDB. Der betriebliche Datenschutzbeauftragte muss also sowohl die technische als auch die rechtliche Seite seiner Aufgaben kennen und Kenntnisse in allen Bereichen haben, die für die Organisation, in der er arbeitet, von Bedeutung sind. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Konsequenzen bei Nichtbestellung Die Nichtbestellung eines betrieblichen Datenschutzbeauftragten hat unter Umständen zur Folge, dass eine Ordnungswidrigkeit nach § 51 vorliegt. Die Dienststellen der verfassten Kirche müssen ausnahmslos einen betrieblichen Datenschutzbeauftragten benennen. § 36 schreibt eine Benennungspflicht für alle anderen Stellen vor, wenn die Voraussetzungen des Abs. 2 vorliegen. Vor allem aber bewirkt das Fehlen eines betrieblichen Datenschutzbeauftragten erheblichen Arbeitsmehraufwand beim dözesanen oder Ordensdatenschutzbeauftragten. 10.01.2019 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte 91

Rechtsstellung des betrieblichen Datenschutzbeauftragten Er ist dem Leiter der kirchlichen Stelle unmittelbar zu unterstellen. Um seine Unabhängigkeit in der Wahrnehmung seiner fachlichen Aufgaben zu gewährleisten, bestimmt das KDG, dass er in der Ausübung seiner Fachkunde weisungsfrei ist. Niemand, auch nicht der Leiter der Stelle, kann vorschreiben, wie er datenschutzrechtliche Fragen bewertet. Dazu kommt eine Auswirkung auf sein Arbeitsverhältnis: Kündigungsschutz wie bei Mitgliedern der MAV. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Zusammenarbeit mit dem Ordensdatenschutzbeauftragten Wenn sich der Leiter der Dienststelle über das Votum des betrieblichen DSB hinwegsetzt, weil er in letzter Konsequenz die Verantwortung für die Daten verarbeitende Stelle trägt, kann sich der betriebliche Beauftragte für den Datenschutz an den Diözesandatenschutzbeauftragten wenden. Ganz generell ist der betriebliche DSB Auge und Ohr des DDSB. Der DDSB wird bei Beschwerden über eine Dienststelle immer erst den betrieblichen anhören und ggfs. um Ermittlungen bitten. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Informationsrechte Die kirchliche(n) Stelle(n), für die der betriebliche Datenschutzbeauftragte zuständig ist, müssen dem Datenschutzbeauftragten eine Übersicht über die in § 31 genannten Angaben sowie zugriffsberechtigte Personen zur Verfügung stellen. Der Diözesandatenschutzbeauftragte wird den betrieblichen mit allen notwendigen rechtlichen Informationen im Einzelfall versorgen. Er ist für den betrieblichen DSB immer zu sprechen. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Rechtliche Auswirkungen der Bestellung des betrieblichen DSB Er ist bei der Erfüllung seiner Aufgaben von allen Beschäftigten und der Dienststellenleitung zu unterstützen. Nach § 31 Abs. 5 wird dem betrieblichen Datenschutzbeauftragten das Verzeichnis der Verarbeitungstätigkeiten zur Verfügung gestellt. In der Praxis ist es aber fast häufiger, dass er es selbst erstellt. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Haftung von betrieblichen Datenschutzbeauftragten? Ausgangspunkt Text des § 38 Abs 1 KDG: Der betriebliche Datenschutzbeauftragte wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Das bedeutet nach Meinung aller Diözesandatenschutzbeauftragter: Er hat eine Begleit-, aber keine Ablieferungspflicht. Wenn er nur seine Pflicht zur „Hinwirkung“ verletzt, kann dies schon nicht kausal für einen Schaden sein. Als Mitarbeiter hätte er außerdem noch das Privileg, ohnehin nur bei Vorsatz und grober Fahrlässigkeit zu haften. Rein sicherheitshalber wollen wir diesen (theoretischen) Haftungsrest über Vereinbarungen mit dem Dienstgeber bzw. eine Versicherungslösung beseitigen. Außer bei böser Absicht kann deswegen gegen den bDSB auch keine Geldbuße verhängt werden. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Empfehlung der Konferenz der Diözesandatenschutzbeauftragten Unabhängig von den Vorgaben der Kirchlichen Datenschutzanordnung empfiehlt die Konferenz der Datenschutzbeauftragten im Bereich der Katholischen Kirche, dass der betriebliche Beauftragte für den Datenschutz in eine betriebliche Struktur eingebunden wird. Es wird auch empfohlen, einen Arbeitskreis zu bilden, in den der betrieblichen Beauftragte für den Datenschutz, der EDV-Leiter, soweit vorhanden eine Person aus dem Vorstand der Dienststelle ein Vertreter der MAV berufen wird. Organisatorische Fragen und Entwicklungsperspektiven lassen sich am besten einem solchen Kreis kommunizieren. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Praktisches Vorgehen Zuerst: Informationen einholen Überblick über Software-Systeme verschaffen Überblick über Hardware-Systeme verschaffen Zuständigkeiten klären (Organigramme) Ansprechpartner in den einzelnen Dienststellen gewinnen bzw. identifizieren Überblick über externe Mitarbeiter verschaffen Vorhandensein der Verpflichtungserklärung gem. § 5 prüfen Auftragsdatenverarbeitung prüfen Videoüberwachung anhand des § 53 prüfen Internetauftritt prüfen 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Kernprobleme der Prüfung durch den betrieblichen DSB Unzureichende IT-Sicherheits-Strategie: Sicherheit hat einen zu geringen Stellenwert Sicherheit ist Aufgabe der Einrichtungsleitung und muss grundlegend definiert werden Dauerhafte Prozesse zur Beibehaltung des Sicherheitsniveaus fehlen Sicherheitsvorgaben sind nicht dokumentiert Kontrollmaßnahmen und Aufklärung im Fall von Verstößen fehlen Laxe Handhabung des Persönlichkeitsschutzes bei Veröffentlichungen, z.B. im Internet 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Information und Dokumentation Überblick über LAN und WAN kurz niederlegen Berechtigungsvergabe dokumentieren Technische und organisatorische Maßnahmen dokumentieren Datenstromanalyse (z.B. im Krankenhaus Patientenaufnahme bis -entlassung) 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Aufgaben des betrieblichen Datenschutzbeauftragten Aufgaben: Die Aufgaben des Datenschutzbeauftragten sind in § 38 zusammengefasst: Er hat auf die Einhaltung der Datenschutzvorschriften hinzuwirken, die ordnungsgemäße Programmanwendung zu überwachen, die bei der Verarbeitung personenbezogener Daten eingesetzten Beschäftigten mit den Anforderungen des Datenschutzes vertraut zu machen, die öffentlich zugänglichen Angaben des Verzeichnisses nach § 31 in geeigneter Weise auf Antrag jedermann verfügbar machen. Einer besonderen Berechtigung oder Begründung bedarf es für denjenigen, der von diesem Recht Gebrauch machen möchte, nicht. Aber: Einschränkung des § 31 Abs. 5 beachten! 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Weitere Aufgaben Er soll mit dem Diözesan- beziehungsweise dem Ordensdatenschutzbeauftragten zusammenarbeiten. In Bezug auf seine Arbeit unterliegt er der Verschwiegenheitspflicht, wie der Diözesandatenschutz-beauftragte (§ 37 Abs. 2 S.4 in Verbindung mit § 43 Abs. 9 und 10). Über die Identität des Betroffenen (Beschwerdeführers) oder Umstände, die Rückschlüsse hierüber erlauben, darf er keine Auskünfte geben. Eine Ausnahme gilt nur, wenn die betroffene Person ihn von seiner Verschwiegenheitsverpflichtung befreit. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

So dürfen wir nicht mit dem umgehen, der nach Auskunft fragt! 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Überwachungsaufgaben Überwachung der Datenverarbeitung Alle Programme, die mit personenbezogenen Daten arbeiten alle Phasen (Planung, Entwicklung, Lizenzierung, Eingabe, etc.) Materielle Vereinbarkeit mit dem DS-Recht Datensicherheit Sicherstellung der eigenen organisatorischen Einbindung 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Kontrollen (1) 1 .ZUTRITTSKONTROLLE Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit bzw. auf denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren 2. ZUGANGSKONTROLLE Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. 3. ZUGRIFFSKONTROLLE Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungs­systems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und das personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Kontrollen (2) 4. WEITERGABEKONTROLLE Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und daß überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist bzw. stattgefunden hat 5. EINGABEKONTROLLE Nachträglich muss festgestellt werden können, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Kontrollen (3) 6. AUFTRAGSKONTROLLE Es muss gewährleistet werden, dass personenbezogene Daten nur im Zuge der Auftragsdatenverarbeitung verarbeitet werden. 7. VERFÜGBARKEITSKONTROLLE Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. 8. VERARBEITUNGSKONTROLLE Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Dokumentationen erstellen oder erstellen lassen: Standorte (Computer, Server, Telefonanlagen usw.) Berechtigungsvorgaben sonstige technische und organisatorische Maßnahmen Datenstromanalyse Betriebsvereinbarungen Delegierbare Aufgaben sind Verpflichtung auf das Datengeheimnis Berichte Erstellung interner DS-Vorschriften (z. B. DS-Flyer) Berichterstattung an die Dienststellenleitung Gespräche Vermittlung zwischen Dienststelle und Betroffenem 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Beispiel: Aufbewahrung papiergebundener personenbezogener Daten (Akten) Immer ist abzuwägen: Wie groß ist die Angriffsintensität und –wahrscheinlichkeit? Wie groß ist das Schutzbedürfnis Daraus können Einzelfälle abgeleitet werden: Offen: z.B. Lieferantenanschriften, Besteller Im versperrbaren Aktenschrank z.B. Spenderlisten, Akten über Kindergartenkinder, Schüler Stets verschlossen: Personalakten, Krankenakten 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte PC-Sicherheit Der Arbeitsplatz-PC muss so gestaltet sein, dass die auf ihm gespeicherten Daten und Netzzugänge nur von denen genutzt werden können, die dazu berufen sind. Unterscheiden Sie: Arbeitsplatz-PC, bei denen eine zusätzliche Sicherung durch Zutrittskontrolle für den Raum besteht, in welchem sich der PC befindet. Bei diesen Rechnern ist im allgemeinen eine umfassende Passwortsicherung ausreichend. Tragbare PCs (Laptop bzw. Notebook) sollten darüber hinaus mit einer Fingerabdrucksicherung geschützt sein, wenn sie für Heimarbeitsplätze bestimmt sind. Arbeitsplätze mit (EWR-) Cloudanbindung sollten eine VPN-Software nutzen. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Umfassende Passwortsicherung BIOS-Passwort: Verhindert indirekt das Hochfahren des Rechners mit einem externen Betriebssystem auf DVD oder USB-Stick Windows-Passwort; In den „Gruppenrichtlinien“ ist festzulegen, dass das PW aus mindestens 9 Zeichen, davon mindestens zwei Sonderzeichen, besteht innerhalb von drei Monaten zu wechseln ist nicht alsbald wiederverwendet werden darf Zulässig und sinnvoll z.B. bei Programmen, die weitere Passwörter verlangen: Passwortmanager wie z.B. Keepass II. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Bildung einer Datenschutzkultur in den Dienststellen Sensibilisierung der Mitarbeiter Weiterbildung aller Mitarbeiter, die mit personenbezogenen Daten umgehen Hinwirken auf die Einhaltung des Datenschutzes regelmäßige, (unangemeldete) Kontrollen schriftliche Niederlegung der Ergebnisse Umgang rechtmäßig? Datensicherheitsmaßnahmen eingehalten? Beachtung der Rechte Betroffener? Datenschutzerklärungen der Mitarbeiter abgegeben? 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Verzeichnis der Verarbeitungsvorgänge Wegen § 31 Abs. 5 ist die Pflicht zur Führung des Verarbeitungsverzeichnisses vielfach eher die Ausnahme. Ich empfehle trotzdem die Anlegung des Verzeichnisses, um selbst einen Überblick gewinnen und Schwachstellen zu finden Das Formblatt trägt deswegen die Aufschrift „Erweitertes Verzeichnis der Verarbeitungstätigkeiten", weil in ihm auch Elemente enthalten sind, die eigentlich in ein Datenschutzkonzept gehören. Es soll auf diese Weise die Erstellung des Datenschutzkonzeptes erleichtert werden. Hier sind auch die Punkte enthalten, die typischerweise bei einem Aufsichtsbesuch geprüft werden. Es empfiehlt sich daher eine gründliche Ausarbeitung. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Verbesserung des betrieblichen Datenschutzes Dazu gehört auch, Sicherheitsziele vorzugeben, den Sicherungsbedarf festzustellen (niedrig, mittel, hoch, sehr hoch) Risiken zu analysieren Sicherheitsstrukturen aufzubauen IT-Revision und interne Datenschutzkontrolle die Fortschreibung des Konzepts 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Ihr Fahrplan Stellen Sie sich bei den Dienststellen Ihres Bereichs schriftlich vor und übersenden Sie das Formular „Erweitertes Verzeichnis der Verarbeitungstätigkeiten“ mit einer Rückäußerungsfrist von 4 Wochen! Werten Sie den Rücklauf aus und markieren Sie Schwachpunkte! Diese sollten Sie mit dem Dienststellenleiter besprechen. Bewahren Sie zurückgeschickten Formulare auf oder scannen Sie sie ein! Schauen Sie in der Folgezeit in jede Ihrer Dienststellen hinein und versuchen Sie, sich bei den Beschäftigten bekannt zu machen und diese für den Datenschutz zu sensibilisieren. Wiederholen Sie das in der Weise, dass Sie einmal im Monat eine Ihrer Dienststellen anrufen und sich vor allem danach erkundigen, ob es Probleme oder Änderungen der Situation gibt. Mindestens einmal in zwei Jahren sollten Sie eine kurze Erklärung in einer Organisationsbesprechung abgeben und sich zur Einhaltung der Datenschutznormen äußern. 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Im Zweifel immer: Rückfrage beim Ordensdatenschutzbeauftragten Telefon Büro (Di./Mi. 9-12 Uhr) 089 2137 1796 Fax Büro: 089 2137 27 1796 Email Büro: jjoachimski@eomuc.de Telefon privat: 08142 570076  Fax privat: 08142 4659348 Email privat: jupp@joachimski.de 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte

Einführung für betriebliche Datenschutzbeauftragte Noch ein Hinweis: Alles, was hier über Ihre Pflichten gesagt wurde, ist eine Maximalforderung, die Sie nicht von heute auf morgen erfüllen können. Weder Ihre Vorgesetzten noch ich erwarten das von Ihnen. Sie müssen aber in diese Aufgaben ebenso hineinwachsen wie in Ihre sonstigen Tätigkeitsfelder. Zunächst erwarten alle von Ihnen nur den guten Willen und den Vorsatz, das Beste zu geben. Ich wünsche Ihnen viel Erfolg und Freude in Ihrer neuen Tätigkeit! Jupp Joachimski 10.01.2019 Einführung für betriebliche Datenschutzbeauftragte