Einführung in das Datenschutzrecht für betriebliche Datenschutzbeauftragte Jupp Joachimski Datenschutzbeauftragter der bayerischen (Erz-) Diözesen Ordensdatenschutzbeauftragter.

Präsentation zum Thema: "Einführung in das Datenschutzrecht für betriebliche Datenschutzbeauftragte Jupp Joachimski Datenschutzbeauftragter der bayerischen (Erz-) Diözesen Ordensdatenschutzbeauftragter."—  Präsentation transkript:

1 Einführung in das Datenschutzrecht für betriebliche Datenschutzbeauftragte
Jupp Joachimski Datenschutzbeauftragter der bayerischen (Erz-) Diözesen Ordensdatenschutzbeauftragter der DOK (Süd)

2 Vorweg: Wo gibt es Informationen?
Gehen Sie zu datenschutz Klicken Sie an: der geschützte Downloadbereich Benutzername: DSEOM Passwort AX-gtv Sie kommen auf eine neue Seite mit vielen Unterordnern Einführung für betriebliche Datenschutzbeauftragte der OG

3 Einführung für betriebliche Datenschutzbeauftragte der OG
Alternative Name: Passwort: Einführung für betriebliche Datenschutzbeauftragte der OG

4 Teil I: Das Datenschutzrecht der Katholischen Kirche

5 Woher kommt der Datenschutz?
Die Katholische Kirche hat am mit can. 220 CIC ein Fundamentalrecht auf Datenschutz geschaffen: "Niemandem ist es erlaubt, den guten Ruf, den jemand hat, rechtswidrig zu schädigen und das Recht irgendeiner Person auf Schutz der eigenen Intimsphäre zu verletzen.„ Im staatlichen Bereich war es das Volkszählungsurteil des Bundesverfassungsgerichts vom , das das Datenschutzrecht begründete: Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Einführung für betriebliche Datenschutzbeauftragte der OG

6 Was ist eigentlich Datenschutz?
Der Begriff wurde früher vielfach noch in anderem Zusammenhang gebraucht: Schutz wissenschaftlicher und technischer Daten gegen Verlust oder Veränderung – und Schutz gegen Diebstahl dieser Daten. Er bezeichnet heute ausschließlich den Schutz personenbezogener Daten vor Missbrauch: Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch die Verarbeitung seiner personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird, und den freien Verkehr solcher Daten zu ermöglichen (§ 1 KDR-OG) Einführung für betriebliche Datenschutzbeauftragte der OG 6 6

7 Personenbezogene Daten
sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person: Primärdaten: Name, Anschrift, Telefonnummer usw. Sekundärdaten: Auch Daten, über die sich ein Personenbezug herstellen lässt, sind als personenbezogene Daten anzusehen (Beispiel: Kfz-Kennzeichen, Kontonummer, Rentenversicherungsnummer, Matrikelnummer), selbst wenn die Zuordnungsinformationen nicht allgemein bekannt sind. Entscheidend ist allein, dass es gelingen kann, die Daten mit vertretbarem Aufwand einer bestimmten Person zuzuordnen. Zusätzlich alles, was zu den Eigenschaften und Lebensverhältnissen des Betroffenen gehört, wenn die Person aus anderen Gründen identifizierbar ist. Einführung für betriebliche Datenschutzbeauftragte der OG 7 7

8 Personenbezogene Daten sind nicht
die Daten Verstorbener (aber Achtung bei den Daten ihrer Angehörigen!) die Daten juristischer Personen wie GmbH, AG, Verein Dagegen sind durchaus personenbezogene Daten sogenannte Dienstdaten im Verhältnis zwischen dem Arbeitgeber und dem Arbeitnehmer. Der Arbeitgeber kann allerdings diese Daten unter erleichterten Umständen verarbeiten. Einführung für betriebliche Datenschutzbeauftragte der OG

9 Vorweg: Der Verarbeitungsbegriff
„Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. - § 2 Abs. 3 Einführung für betriebliche Datenschutzbeauftragte der OG

10 Was gehört zum Datenschutz?
I. Datensicherheit Datensicherheit heißt: Daten sind so zu erfassen und aufzubewahren, dass sie nicht verloren gehen und bei Bedarf wieder zur Verfügung stehen. Einführung für betriebliche Datenschutzbeauftragte der OG 10 10

11 Was gehört zum Datenschutz?
II. Schutz gegen unbefugte Kenntnisnahme Die Daten sind nur für bestimmte Zwecke zu erheben und aufzubewahren. Nur die dazu Berechtigten dürfen von ihnen Kenntnis nehmen Einführung für betriebliche Datenschutzbeauftragte der OG 11 11

12 Was gehört zum Datenschutz?
III. Informations- und Auskunftspflicht Der Betroffene hat grundsätzlich ein Auskunftsrecht hinsichtlich der über ihn gespeicherten Daten. Er wird von der Dienststelle auch ohne Verlangen über die Datenspeicherung informiert, wenn er keine Kenntnis davon hat. Einführung für betriebliche Datenschutzbeauftragte der OG 12 12

13 Warum gibt es den Datenschutz?
Geschützt wird das Persönlichkeitsrecht des einzelnen. Durch datenschutzrechtliche Regelungen soll der Beeinträchtigung des informationellen Selbstbestimmungsrechts entgegengewirkt werden. Datenschutz will personenbezogene Daten nicht "um ihrer selbst willen" schützen, sondern die Erhebung, Verarbeitung einschließlich Übermittlung und sonstige Nutzung bestimmten Anforderungen unterwerfen, die sich aus dem hohen Schutzgut des Persönlichkeitsrechts und der informationellen Selbstbestimmung ergeben. Einführung für betriebliche Datenschutzbeauftragte der OG 13

14 Die Hauptprinzipien des Datenschutzes
Datensparsamkeit oder Datenvermeidung: Je weniger Daten erhoben werden, umso besser! - § 7Abs. 1c KDR-OG Erforderlichkeit: Auch wenn eine gesetzliche Grundlage zur Datenerhebung und -speicherung vorliegt, dürfen nur solche Daten gespeichert werden, die zur Erreichung des Zwecks der speichernden Stelle nötig sind - § 7 Abs. 1c KDR-OG Zweckbindung Daten dürfen nur zu den gesetzlich vorgesehenen Zwecken verarbeitet werden. Einführung für betriebliche Datenschutzbeauftragte der OG 14 14

15 Einführung für betriebliche Datenschutzbeauftragte der OG
Hintergrund: Die – ursprünglich futuristischen – Prinzipien der Erklärung von Montreux und ihre Verwirklichung in der KDR-OG Zulässigkeit und Rechtmäßigkeit der Erhebung und Verarbeitung der Daten Richtigkeit Zweckgebundenheit Verhältnismäßigkeit Transparenz individuelle Mitsprache, namentlich Garantie des Zugriffsrechts für die betroffenen Personen Nicht-Diskriminierung Sicherheit Haftung unabhängige Überwachung und gesetzliche Sanktionen angemessenes Schutzniveau bei grenzüberschreitendem Datenverkehr  Einführung für betriebliche Datenschutzbeauftragte der OG 15 15

16 Wie sieht es rechtlich aus?
Es gab bis mehrere Regelungsebenen: Europäische Union Bundesrepublik Deutschland Bundesländer „Religionsgemeinschaften“ EKD Katholische Kirche Diözesen Orden päpstlichen Rechts Einführung für betriebliche Datenschutzbeauftragte der OG 16

17 Datenschutzebenen bis 24.5.2018
Richtlinie BDSG Landesdaten-schutzgesetze Art WRV Bundes- und teilweise Landesbehörden sowie nicht-öffentliche Stellen Landesbehörden Kirchen Einführung für betriebliche Datenschutzbeauftragte der OG 17

18 Einführung für betriebliche Datenschutzbeauftragte der OG
Europäische Union Die Europäische Union hatte eine Datenschutzrichtlinie von 1995. Sie war nicht unmittelbar geltendes Recht, sondern verpflichtete nur die Mitgliedsstaaten, richtlinienkonformes Recht zu erlassen. Für Deutschland war das ohne Bedeutung, weil das deutsche Recht erheblich weiter ging als die Richtlinie. Die EU erließ aber eine Datenschutzverordnung, die am in Kraft trat. Sie ist seither unmittelbar geltendes Recht. In ihren Regelungen geht sie teilweise über das deutsche Recht hinaus, teilweise bleibt sie zurück. Ein Hinweis: Wenn Sie für die folgenden Erläuterungen nach Rechtsquellen suchen, finden Sie ein entsprechendes Linkverzeichnis im Internetportal: Einführung für betriebliche Datenschutzbeauftragte der OG 18

19 Warum EU-Datenschutz-Grundverordnung?
Die verschiedenen EU-Mitgliedsstaaten haben der Datenschutz-Richtlinie unterschiedliche Dringlichkeit beigemessen. In einigen wurde sie strikt eingehalten, in anderen weniger strikt, in einigen nicht. Eine laxe Handhabung der Richtlinienumsetzung in nationale Gesetze zum Gegenstand eines Vertragsverletzungsverfahrens zu machen, erschien nicht als sinnvoll. So wurde – vor allem für die sozialen Netzwerke – der (fehlende) nationale Datenschutz neben steuerlichen Gesichtspunkten zur Standortfrage. Ein Rolle spielte sicher auch, dass immer mehr – und immer mehr amerikanische – Unternehmen an die Daten der Bürger wollen. Einführung für betriebliche Datenschutzbeauftragte der OG

20 Bundesrepublik Deutschland
Das Bundesdatenschutzgesetz galt unmittelbar für öffentliche Stellen des Bundes und nichtöffentliche Stellen, z.B. gewerbliche Unternehmen. Durch die EU-DS-GVO hat das Bundesdatenschutzgesetz seine Bedeutung weitgehend verloren. Es füllt nur noch die Ausnahmenormen aus, welche die Verordnung eröffnet. Für die Kirchen und Orden gilt dennoch teilweise Bundesrecht, nämlich soweit Sondermaterien geregelt werden, z.B. § 22 ff KunstUrhG (Recht am eigenen Bild) kraft besonderer Anordnung des Diözesanbischofs (Ordensobern) der Sozialdatenschutz (§ 35 SGB I, §§ 62 ff. SGB VIII die beruflichen Geheimhaltungspflichten des § 203 StGB Einführung für betriebliche Datenschutzbeauftragte der OG 20

21 Einführung für betriebliche Datenschutzbeauftragte der OG
Bundesländer Die Datenschutzgesetze der Bundesländer regeln auch nur ergänzende Positionen, insbesondere im Zuständigkeitsbereich. Sie sind auch dann anwendbar, wenn sich das Land privatrechtlicher Formen (z. B. GmbH, AG) zur Erfüllung seiner Aufgaben bedient. Auf kirchliche Einrichtungen ist z. B. aus dem Recht des Bundeslandes Bayern gemäß § 1 Abs. 2 KDR-OG anzuwenden: Art. 27 BayKrankenhausG Art. 85 EUG Entsprechendes gilt für die anderen Bundesländer. Einführung für betriebliche Datenschutzbeauftragte der OG 21

22 Datenschutzrecht der Kirchen
Es besteht kirchliche Selbstverwaltungsfreiheit, Art. 137 WRV i.V.m. 140 GG Die EU-DS-GVO ist auf die Kirchen (auch bei privatrechtlichen Organisationsformen wie der Caritas) nicht direkt anwendbar. Jedoch sind die Kirchen kein datenschutzfreier Raum. Einführung für betriebliche Datenschutzbeauftragte der OG 22 22

23 Die Rechtslage nach Inkrafttreten der VO am 25.5.2018
BDSG und Länderdatenschutz-gesetze nur, soweit in der VO vorbehalten Art WRV, 140 GG in Verbindung mit Art. 91 EU-VO Verordnung Behörden und nicht-öffentliche Stellen Kirchen Einführung für betriebliche Datenschutzbeauftragte der OG

24 Einführung für betriebliche Datenschutzbeauftragte der OG
Das bedeutet Im staatlichen und im gewerblichen Bereich gilt ohne wirklich bedeutende Einschränkung die EU-DS-GVO. BDSG und Ländergesetze verlieren fast vollständig ihren Charakter als Datenschutzregeln. Ihre Bedeutung beschränkt sich überwiegend darauf, die in der VO vorbehaltenen Ausnahmen zu normieren. Für die Religionsgemeinschaften wird die Selbstverwaltungshoheit gegenüber dem Staat – wie bisher schon in Deutschland mit Art. 137 WRV, Art. 140 GG – betoniert. Das gilt aber nur dort, wo die Voraussetzungen des Art. 91 EU-DS-GVO gegeben sind: Einführung für betriebliche Datenschutzbeauftragte der OG

25 Einführung für betriebliche Datenschutzbeauftragte der OG
Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften (1) Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden. (2) Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt. Einführung für betriebliche Datenschutzbeauftragte der OG

26 …sofern sie mit dieser Verordnung in Einklang gebracht werden.
Dieser Satz hat mir schon zahlreiche schlaflose Bürostunden eingebracht. Er markiert gleichzeitig die größte Schwierigkeit bei der Anpassung des neuen kirchlichen Datenschutzrechts an die EU-Verordnung. Die Verordnung geht nämlich im Grundsatz davon aus, dass das Prinzip der Demokratie in den Mitgliedstaaten der Europäischen Union durchgesetzt ist. Die Religionsgemeinschaften – insbesondere die katholische Kirche - sind aber schon von ihrer Geschichte her nicht durchwegs demokratisch aufgebaut. Es gibt also ganz von selbst Defizite, die den Datenschutzregelungen der katholischen Kirche gegenüber denjenigen der EU innewohnen. Um das Gleichgewicht in der Summe wiederherzustellen, muss das kirchliche Datenschutzrecht an einigen Stellen weiter gehen als das staatliche. Einführung für betriebliche Datenschutzbeauftragte der OG

27 Kirchliche Regelungen
In der katholischen Kirche: KDG = Gesetz über den kirchlichen Datenschutz; mit der bis fortgeltenden KDO-DVO anwendbar auf die meisten kirchlichen Rechtsträger, unabhängig von ihrer Organisationsform, also Bistümer, Gemeinden, Caritas, Anstalten, Orden bischöflichen Rechts etc. weitgehend der EU-DS-GVO nachgebildet, wortgleich in jedem Bistum in Kraft gesetzt. Quelle: Webseite des jeweiligen Bistums oder weitgehend wortgleich KDR-OG der Ordensgemeinschaften päpstlichen Rechts. Paragrafen ohne Gesetzesnennung betreffen diese! Evangelische Kirche: Datenschutzgesetz der EKD vom 15. November 2017; Quelle: Nach Art. 91 der EU-Datenschutzgrundverordnung bleiben diese Regelungen auch nach Inkrafttreten der Verordnung gültig. Einführung für betriebliche Datenschutzbeauftragte der OG 27 27

28 Der räumliche Geltungsbereich der KDR-OG
Die KDR-OG der Ordensgemeinschaften päpstlichen Rechts ist Ordensgesetz, gilt also grundsätzlich nur ordensweit und innerhalb Deutschlands. Für die Orden bischöflichen Rechts gilt das KDG der jeweiligen Diözese. Für die verfasste Kirche, Verbände, Körperschaften usw. gilt das jeweilige KDG diözesenweit. Einführung für betriebliche Datenschutzbeauftragte der OG 28

29 Der sachliche Geltungsbereich nach § 3 Abs. 1
Gruppe 1: Die benannten Einrichtungen der Ordensgemeinschaften päpstlichen Rechts. Gruppe 2: Die privatrechtlich organisierten Einrichtungen (Werke) der Ordensgemeinschaften. Hier ist die sog. „Kirchlichkeitsprüfung“ notwendig: …wenn sie nach kirchlichem Selbstverständnis ihrem Zweck oder ihrer Aufgabe entsprechend zur Mitwirkung an der Erfüllung des kirchlichen Auftrags berufen sind. Einführung für betriebliche Datenschutzbeauftragte der OG 29

30 Einführung für betriebliche Datenschutzbeauftragte der OG
Umgang mit Daten Grundsatz: Daten dürfen nur dann verarbeitet werden, wenn ein Rechtfertigungsgrund nach § 6 Abs.1 vorliegt. Eine Zweckänderung verlangt einen (u. U. anderen) Rechtfertigungsgrund, § 6 Abs. 2. Erläuterungen zu den Zweckänderungen § 6 Abs. 3 – 7 Abs. 3: Aufsichtstätigkeit Abs. 4: Vereinbarkeitsgrundsatz Abs. 5: Datenschutzkontrolle/Datensicherung Abs. 6: besondere Kategorien personenbezogener Daten Abs. 7: Gesundheitsdaten Einführung für betriebliche Datenschutzbeauftragte der OG 30

31 Einführung für betriebliche Datenschutzbeauftragte der OG
Erforderlichkeit Die Erforderlichkeit im Sinne des § 6 Abs. 1c-g bestimmt sich nach objektiven Kriterien. Erforderlich sind demnach alle Daten, die sinnvollerweise benötigt werden, um den Anforderungen der jeweiligen Vorschrift gerecht zu werden. Nicht notwendig ist es, dass im konkreten Fall wirklich auch alle erhobenen Daten unerlässlich sind. Auch ein Irrtum über die Erforderlichkeit ist unschädlich. Einführung für betriebliche Datenschutzbeauftragte der OG 31

32 Einwilligungsgrundsatz
Alle Rechtsnormen über den Datenschutz sehen vor, dass auch bei Fehlen einer gesetzlichen Grundlage die Datenverarbeitung jedenfalls dann zulässig ist, wenn der Betroffene einwilligt. Eine Einwilligung ist allerdings nur dann wirksam, wenn der Betroffene auf den Zweck der Speicherung und einer vorgesehenen Übermittlung sowie – auf Verlangen – auf die Folgen der Verweigerung der Einwilligung hingewiesen wird. Die Einwilligung bedarf der Schriftform und muss klar als solche erkennbar sein (§ 8 Abs.2 KDG). Einführung für betriebliche Datenschutzbeauftragte der OG 32

33 Problem: Früher erteilte Einwilligungen
In vielen Fällen wurden die Einwilligungen, die bestimmte Verarbeitungen ermöglichen, schon vor Inkrafttreten der EU-DS-GVO abgegeben. Ob diese früheren Einwilligungen noch wirksam sind, ist streitig. Die jetzt wohl herrschende Meinung besagt, die Gültigkeit setze voraus, dass die Einwilligung auch nach dem neuen Recht eine zulässige wäre. Das bedeutet: Die Einwilligung muss die Voraussetzungen des § 8 erfüllen, d.h. freiwillig sein den Zweck der Verarbeitung nennen in der Regel schriftlich abgegeben werden das sogenannte Opt-In vermeiden  Bei einem Wirksamkeitshindernis lässt sich immer noch im Sinne des § 6 Abs.1 f oder g prüfen, ob die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist oder die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist. Vorsicht! Bei Zweckänderung gilt der anderslautende § 6 Abs. 2 Einführung für betriebliche Datenschutzbeauftragte der OG

34 Einführung für betriebliche Datenschutzbeauftragte der OG
Datengeheimnis § 5 Datengeheimnis Den bei der Datenverarbeitung tätigen Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis schriftlich zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. Die Verpflichtungserklärung nach § 5 S. 2 (Text in der kommenden DVO-KDG) müssen alle mit personenbezogenen Daten befassten Beschäftigten (auch Kleriker bzw. Ordensangehörige) unterschreiben. Einführung für betriebliche Datenschutzbeauftragte der OG 34 34

35 Informationspflichten
§ 14 stellt ein Programm für alle Informationen und Auskünfte bereit. Im Gegensatz zum früheren Rechtszustand nach der KDO verlangt das neue Recht nach einer Information des Betroffenen über die von Ihnen gespeicherten Daten, § 15. Die Vorschrift sieht insbesondere in Abs. 1 sehr unübersichtlich aus, wobei die Pflichten in Abs. 2 noch ergänzt werden. Aber: Die gesamte Vorschrift wird durch § 15 Abs. 4 entschärft. Im Regelfall ist der Betroffene bei der Erhebung der Daten zugegen und muss dann nicht mehr informiert werden. Entsprechendes gilt, wenn der Betroffene auf Anforderung des Verantwortlichen hin die Daten übermittelt. Einführung für betriebliche Datenschutzbeauftragte der OG

36 Einführung für betriebliche Datenschutzbeauftragte der OG
Auskunft § 17 Die speichernde Stelle muss auf Antrag hin dem Betroffenen Auskunft darüber geben, welche personenbezogenen Daten über ihn gespeichert sind und warum dies erfolgt. Der Antrag erfolgt schriftlich oder zu Protokoll. In der Regel erfolgt die Auskunftserteilung durch die Übergabe einer Kopie, § 17 Abs. 3. Unter sehr engen Umständen kann der Auskunftsantrag abgelehnt werden, § 17 Abs. 5/6 In diesem Fall steht dem Betroffenen das Recht zu, sich an den Diözesandatenschutzbeauftragten zu wenden, § 17 Abs. 8. Einführung für betriebliche Datenschutzbeauftragte der OG 36

37 Einführung für betriebliche Datenschutzbeauftragte der OG
Löschung von Daten, § 19 Sie ist sofort notwendig, wenn sich herausstellt, dass die Speicherung der Daten unzulässig war, § 19 Abs. 1d. Die Daten müssen auch dann gelöscht werden, wenn die speichernde Stelle sie zur Erfüllung ihrer Aufgaben nicht mehr benötigt, § 19 Abs.1a. Hier wird es in der Regel im Rahmen eines Datenverarbeitungsprogramms sinnvoll sein, regelmäßig wiederkehrende Löschungsvorgänge durchzuführen. die betroffene Person ihre Einwilligung zur Datenverarbeitung widerrufen hat (Recht auf Vergessenwerden); die betroffene Person einen rechtmäßigen Widerspruch gegen die Verarbeitung einlegt, § 23; dabei geht es in aller Regel um die Weiterverarbeitung der Daten aufgrund einer früher erteilten Einwilligung. eine kirchliche oder staatliche Rechtsvorschrift dies gebietet, § 19 Abs. 1e. Einführung für betriebliche Datenschutzbeauftragte der OG 37

38 Einführung für betriebliche Datenschutzbeauftragte der OG
Löschung von Daten Die Löschung der Daten muss zuverlässig ihre Wiederherstellung verhindern. Das bedingt bei papiergebundenen Daten z. B. den Einsatz eines Reißwolfs, i.d.R Sicherheitsklasse 3; bei EDV-Daten z. B. den Einsatz eines Programms zur sicheren Datenlöschung (Freeware vorhanden, z.B. Eraser, Secure Eraser oder WipeFile z. B.  Sie ist nach § 19 Abs. 3 in fünf Fällen unzulässig. Die wichtigsten sind: Vorliegen von Aufbewahrungspflichten (Buchstabe b; Zusammenstellungen im Internet: Archivzwecke (Matrikelbücher) Einführung für betriebliche Datenschutzbeauftragte der OG 38

39 Löschung und Ersatzmaßnahmen
Ist der Inhalt von Dateien unrichtig, so wird er berichtigt, § 18 Abs. 1; der Betroffene hat ein Recht darauf. War die Speicherung unzulässig, werden die Daten gelöscht, es sei denn, auch die Löschung sei unzulässig, § 19 Abs. 1/3 (z.B. bei gesetzlichen Aufbewahrungsfristen) Ist die Speicherung nicht mehr erforderlich, werden die Daten gelöscht, es sei denn die Löschung sei unzulässig oder unverhältnismäßig, § 19 Abs.1/3. Kann die Richtigkeit der gespeicherten Daten nicht mehr geklärt werden, sind die Daten zu sperren § 20 Abs.1. Einführung für betriebliche Datenschutzbeauftragte der OG 39

40 Das Recht auf Datenübertragbarkeit
Lesen Sie § 22 (entspricht Art. 20 EU-DS-GVO)! Die Vorschrift bezweckt eine einfache Kontrolle derjenigen Daten, die beim Verantwortlichen gespeichert sind und einen leichteren Anbieterwechsel. Praktische Anwendung: Arbeitgeberwechsel, Leasingverträge, Kindertageseinrichtung, Schule Unanwendbar: Die Verarbeitung ist zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich (Abs. 3) und Archivzwecke (Abs. 5). Voraussetzungen: Bereitgestellt durch den Betroffenen Einschränkung nach Abs. 1a Verarbeitung mithilfe automatisierter Verfahren Abs. 1b Inhalt: Auch Übertragung an neuen Verantwortlichen kann verlangt werden. Einführung für betriebliche Datenschutzbeauftragte der OG

41 Einführung für betriebliche Datenschutzbeauftragte der OG
Fall In einer Ordenseinrichtung wird die Angestellte C neu eingestellt. Frau C hat zwei Kinder und ist darauf angewiesen, von zu Hause aus arbeiten zu können. Sie erhält einen Dienst-Laptop und wird angewiesen, künftig Schreibarbeiten nach einem Diktat-Tonträger zu erledigen. Der Einrichtungsleiter ist sich nicht sicher, ob Frau C bei dieser Tätigkeit ausreichend überwacht wird. Er schlägt vor, in den Laptop einen Anschlagzähler zu installieren, der die Zahl der täglichen Tastendrücke ermittelt. Mit Kenntnis von Frau C wird diese Zahl wöchentlich an die Einrichtung per automatischem übermittelt. Nach einigen Monaten beschwert sich Frau C über diese Vorgehensweise. Wo und mit welchem Erfolg? Einführung für betriebliche Datenschutzbeauftragte der OG

42 Einführung für betriebliche Datenschutzbeauftragte der OG
Profiling Lesen Sie zunächst die Definition in § 4 Abs. 5 (entspricht Art. 4 Nr. 4 EU-DS-GVO) und anschließend den Verbotstatbestand des 24 Abs. 1 (entspricht § 6a BDSG a.F.)! Die Vorschriften bezwecken die Unterbindung von Risiken für das Persönlichkeitsrecht. Praktische Anwendung: Arbeitnehmerbeurteilung, Online-Handel Unanwendbar: Absatz 2 und soweit es um Datenverarbeitungen zum Zwecke der Verhütung, Ermittlung, Aufdeckung o. Verfolgung von Straftaten o. der Strafvollstreckung, einschl. des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, geht. Voraussetzungen: Echte Entscheidung Nutzung zu Werbezwecken reicht nicht Verarbeitung mithilfe automatisierter Verfahren Inhalt: Umfassendes Verbot Einführung für betriebliche Datenschutzbeauftragte der OG

43 Einführung für betriebliche Datenschutzbeauftragte der OG
Fall Ein aus Südamerika stammende Einwanderer tritt aus der Kirche aus. Es passiert nun folgendes: Aufgrund der schriftlichen Benachrichtigung durch die zuständige Stelle wird das für den Ausgetretenen bestehende Taufregister ermittelt und um die Eintragung des Kirchenaustritts ergänzt. Das Taufregister über eine Person wird grundsätzlich dort geführt, wo der Betroffene getauft wurde (= Geburtsort). Dabei kann es sich um die Pfarrei handeln, in deren Bezirk die Eltern zum Zeitpunkt der Geburt ihren Wohnsitz hatten oder das Geburtskrankenhaus gelegen war. Die Tatsache des Kirchenaustritts muss also zum Taufregister mitgeteilt werden und wird dabei auch in das Ausland übermittelt. Ist das so zulässig? Einführung für betriebliche Datenschutzbeauftragte der OG

44 Datenverkehr mit dem Ausland
Lesen Sie § 39 KDR-OG (entspricht Art. 44 EU-DS-GVO)! Die Vorschrift bezweckt es, die Datenverlagerung in Staaten mit geringerem Datenschutz zu verhindern. Praktische Anwendung: Jeder Auslandskontakt, im Prinzip auch zu Mitgliedern des eigenen Ordens über ausländische Server (vgl. § 39 S. 2). Stufenprüfung: Angemessenheitsbeschluss § 40 Abs. 1 ausreichende Garantien § 40 Abs. 2 Ausnahmezulässigkeit § 41 Konsequenz: Ergibt die Stufenprüfung keine Zulässigkeit, liegt eine Datenschutzverletzung vor. Einführung für betriebliche Datenschutzbeauftragte der OG

45 Einführung für betriebliche Datenschutzbeauftragte der OG
Fall Die OG X schließt einen Vertrag mit Microsoft über die Nutzung von Office 365 auf allen datenverarbeitenden Arbeitsplätzen. In der Folgezeit nutzen die Arbeitsplätze MS ONE, einen Cloudspeicher mit Standort des physikalischen Speichers in den USA. Welche Vorschriften der KDR-OG sind auf diese Ausgangssituation anzuwenden? Welche rechtliche Position nehmen Ordensgemeinschaft und Microsoft ein? Ist diese vertragliche Regelung wie gewählt zulässig? Unterstellt, im Vertrag wäre die Geltung der KDR-OG vereinbart: Gilt dann § 31 Abs. 2 KDR-OG für Microsoft? Was hätte dies sonst für Auswirkungen? Was wäre eine gangbare Lösung für die Situation? Einführung für betriebliche Datenschutzbeauftragte der OG

46 Die Datenschutzbeauftragten: Einordnung
Der Diözesan- oder Ordensdatenschutzbeauftragte ist der kirchliche, vom Bischof für seine Diözese oder von den Ordensoberen berufene Leiter der Datenschutzaufsicht wacht über die Einhaltung der kirchlichen Datenschutzanordnung sowie kirchlicher und staatlicher Vorschriften über den Datenschutz im Bereich der Katholischen Kirche…. und zwar unabhängig davon, ob dieser öffentlich-rechtlich (z. B. Kirchengemeinde als Körperschaft des öffentlichen Rechts) oder „nicht öffentlich-rechtlich" organisiert ist (z. B. eingetragene Vereine, Stiftungen, Anstalten oder Gesellschaften des privaten oder katholischen Rechts). Einführung für betriebliche Datenschutzbeauftragte der OG 46

47 Die Datenschutzaufsicht
wird bei den Ordensgemeinschaften durch den Ordensdatenschutzbeauftragten wahrgenommen. Seine Position und diejenige des betrieblichen Datenschutzbeauftragten, dem das Datenschutzmanagement obliegt, unterscheiden sich stark. Im „richtigen Leben“ wäre der betriebliche Datenschutzbeauftragte die Vertragswerkstatt, der Ordensdatenschutzbeauftragte der TÜV. Die Datenschutzaufsicht ist in Art. 91 Abs. 2 EU-DS-GVO besonders genannt: (2) Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt. Das produziert unterschiedliche Meinungen: Einführung für betriebliche Datenschutzbeauftragte der OG

48 Rechtsmeinungen zur Datenschutzaufsicht
Mundil in BeckOK Datenschutzrecht, Wolff/Brink, RN 21/22 zu Art. 91 Dabei ist es zunächst denkbar eine oder mehrere besondere staatliche Aufsichtsbehörden für die Religionsgemeinschaften einzurichten. Diese könnten gegebenenfalls auch mit Mitgliedern der Religionsgemeinschaften besetzt werden. Paal/Pauly, DS-GVO BDSG 2. Auflage Rn zu Art. 91 Es besteht die Möglichkeit, eine oder mehrere ASB für die Kirchen und religiösen Vereinigungen in den Mitgliedstaaten zu schaffen. Diese könnte entweder als staatliche ASB oder als eigene ASB der Religionsgemeinschaft ausgestaltet sein, solange sie im Einklang mit den Anforderungen an ASB aus Art. 51 ff. stehen. Schantz/Wolff, Das neue Datenschutzrecht, G. Besondere Verarbeitungssituationen Rn , beck-online) Sie kann eine eigene Aufsichtsbehörde sein, muss aber die Kriterien des Kapitels 4 genügen. Es kann daher keine Instanz sein, die innerhalb der Kirche Weisungen der Kirche unterliegt. Man wird auch verlangen müssen, dass es eine Aufsichtsbehörde des Staates und nicht der Kirchenorganisation selbst ist. Die Literatur spricht zu recht von einer unlösbaren Aufgabe. Einführung für betriebliche Datenschutzbeauftragte der OG

49 Die erweiterten Aufgaben der Datenschutzaufsicht
Grundsätzlich ändert die KDR-OG nichts an der bisherigen prinzipiellen Aufgabenverteilung: Der Verantwortliche und der betriebliche Datenschutzbeauftragte leisten das Datenschutzmanagement mit der – ggfs. zentralen – Organisation des Datenschutzes in den Dienststellen Gewährleistung der IT-Sicherheit Schulung und Fortbildung der Mitarbeiter Erstellung von Verträgen zur ausgelagerten Datenverarbeitung (Argument: Nur der Verantwortliche und der von ihm eingesetzte betriebliche Datenschutzbeauftragte haben die dafür notwendige Sachkenntnis). Die Datenschutzaufsicht prüft und überwacht Zulässigkeit und Zweckmäßigkeit der Maßnahmen. Das KD-OG gibt aber der Datenschutzaufsicht zusätzliche (zentrale) Aufgaben, die eigentlich noch dem Datenschutzmanagement zuzurechnen sind. Einführung für betriebliche Datenschutzbeauftragte der OG

50 Zusätzliche Aufgaben der Datenschutzaufsicht § 44 Abs. 3
Sensibilisierung der Öffentlichkeit Beratung zu Maßnahmen Sensibilisierung d. Verantwortlichen Erteilung von Informationen zur Ausübung der Rechte Befassung mit Beschwerden und Unterrichtung des Beschwerdeführers; Vorhalten von Mustern für Beschwerden Zusammenarbeit mit anderen Datenschutzaufsichten Durchführung von Untersuchungen Verfolgung der Entwicklungen Listen der Verarbeitungsarten für Folgeabschätzungen Beratung zu Verfahren mit Folgeabschätzung Führen von internen Verzeichnissen über Verstöße jede sonstige Aufgabe? fakultativ: Empfehlungen und Standardvertragsklauseln Abs. 4 Einführung für betriebliche Datenschutzbeauftragte der OG

51 Einführung für betriebliche Datenschutzbeauftragte der OG
Fall In einem Ordenskrankenhaus unterrichten die Ärzte F, G und H, die dort beruflich tätig sind, ihre Studenten. Sie nutzen für den Unterricht Präsentationen, die auf einem Laptop gespeichert sind. Der Laptop bleibt jedes Mal nach Beendigung des Unterrichts im Vorlesungsraum stehen. Eines Tages fehlt der Laptop. Bei der Anhörung der Ärzte stellt sich heraus, dass die Präsentationen Röntgenbilder und andere Aufnahmen von Patienten enthielten, die auch noch dazu namentlich genannt waren. Was hat der Klinikvorstand zu unternehmen? Einführung für betriebliche Datenschutzbeauftragte der OG

52 Meldung von Datenschutzverletzungen
Lesen Sie zunächst § 33! Die wesentlichen Elemente dieser Vorschrift waren bisher schon in § 42a BDSG alt enthalten, nicht aber in der KDO. Teilweise wurde die Vorschrift des § 42a BDSG im kirchlichen Bereich entsprechend angewendet. Voraussetzungen des Eingreifens der Vorschrift: Vorliegen einer Datenschutzverletzung; Erwachsen einer Gefahr für Rechte und Freiheiten natürlicher Personen aus dieser Datenschutzverletzung. Dafür genügt jedes Ausmaß des Risikos. Ist das Risiko erhöht, so greift schon § 34 Abs. 1 ein. Diese Vorschrift zieht zwingend eine sofortige Information des Betroffenen durch den Verantwortlichen selbst nach sich. Die Datenschutzaufsicht ordnet nun an, wann und wie die Information des Betroffenen stattzufinden hat. Einführung für betriebliche Datenschutzbeauftragte der OG

53 Schadensersatz und Verschulden nach BGB
Bei der sogenannten reinen Gefährdungshaftung (Beispiel § 833 Satz 1 BGB - Haftung des Tierhalters für Tiere, die nicht dem Beruf des Tierhalters dienen) wird ohne Rücksicht auf Verschulden gehaftet. Der Rechtsgrund dafür ist die Erhöhung der Gefahr für die Allgemeinheit dadurch, dass jemand ein Tier hält.  Die eingeschränkte Tierhalterhaftung des § 833 Satz 2 BGB für Tiere, die dem Beruf des Tierhalters dienen, erlaubt diesem eine Exkulpation, wenn ihn kein Verschulden trifft. Den Nachweis dafür hat der Tierhalter zu führen. Eine ähnliche Regelung gibt es nach § 7 StVG für die Schadensverursachung im Straßenverkehr.  Nach den §§ 823 ff. BGB hat prinzipiell der Geschädigte die Beweislast dafür, dass ein Verschulden vorlag.  Einführung für betriebliche Datenschutzbeauftragte der OG

54 Wie ist die Regelung der KDR-OG einzuordnen?
§ 50 Haftung und Schadenersatz Jede Person, der wegen eines Verstoßes gegen dieses Gesetz ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen die kirchliche Stelle als Verantwortlicher oder Auftragsverarbeiter.   Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus diesem Gesetz nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.   Ein Verantwortlicher oder ein Auftragsverarbeiter ist von der Haftung gemäß Absatz 1 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Einführung für betriebliche Datenschutzbeauftragte der OG

55 Das Problem beim Schadensersatz
ist normalerweise nicht die Verschuldensfrage: Verstößt der Verantwortliche gegen die Reglung der KDR-OG, liegt das Verschulden schon deswegen nahe, weil der Verantwortliche verpflichtet ist, sich über die Bestimmungen der KDR-OG zu informieren. Auch wenn es daher die Beweislastregelung nicht gäbe, wäre normalerweise das Verschulden nicht streitig. ist dagegen sehr häufig die Quantifizierbarkeit des beim Betroffenen eingetretenen Vermögensverlustes. Noch schwieriger ist die Feststellung der Höhe eines immateriellen Schadens entsprechend § 253 BGB. Allerdings kann der Schaden im Zivilgerichtsverfahren vor den staatlichen Gerichten nach § 287 ZPO geschätzt werden. Einführung für betriebliche Datenschutzbeauftragte der OG

56 Datenschutzverletzung: Feststellungswirkung
Prinzipiell muss die Datenschutzaufsicht feststellen, ob eine Datenschutzverletzung vorliegt. Ist dies geschehen, so kann die kirchliche Dienststelle im Rechtsstreit über den Schadensersatz nicht vorbringen, eine Datenschutzverletzung habe nicht vorgelegen. Wenn es zu einer derartigen Feststellung durch die Datenschutzaufsicht nicht kommt, muss der Betroffene seine Rechtsmittelbefugnis ausüben und versuchen, vor dem Datenschutzgericht die Feststellung einer Datenschutzverletzung zu erreichen. Natürlich kann auch der Verantwortliche im Rechtsstreit vor den Zivilgerichten darauf verzichten, das Vorliegen einer Datenschutzverletzung zu bestreiten. Einführung für betriebliche Datenschutzbeauftragte der OG

57 Geldbußen: Grundsätzliches
Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter vorsätzlich oder fahrlässig gegen Bestimmungen dieses Gesetzes, so kann die Datenschutzaufsicht eine Geldbuße verhängen.   Die Datenschutzaufsicht stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Paragraphen für Verstöße gegen dieses Gesetz in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Gegen kirchliche Stellen im Sinne des § 3 Absatz 1, soweit sie im weltlichen Rechtskreis öffentlich-rechtlich verfasst sind, werden keine Geldbußen verhängt; dies gilt nicht, soweit sie als Unternehmen am Wettbewerb teilnehmen. Einführung für betriebliche Datenschutzbeauftragte der OG

58 Einführung für betriebliche Datenschutzbeauftragte der OG
Adressat „Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter vorsätzlich oder fahrlässig gegen Bestimmungen dieses Gesetzes, so kann die Datenschutzaufsicht eine Geldbuße verhängen.“ Wer ist Verantwortlicher? Das kann eine natürliche oder juristische Person sein. Es können mehrere Personen gleichzeitig verantwortlich sein. Der betriebliche Datenschutzbeauftragte leistet nur Hilfsdienste und ist jedenfalls nicht Verantwortlicher. „…so kann …“ heißt: Wenn die Voraussetzungen gegeben sind, ist die Geldbuße zu verhängen, wenn nicht Ausnahmeumstände vorliegen. Die wären immer dann vorhanden, wenn im Ordnungswidrigkeitenrecht die Verwaltungsbehörde nach § 47 Abs.1 OWiG von der Verfolgung absehen würde. Einführung für betriebliche Datenschutzbeauftragte der OG

59 Verfahren vor Erlass eines Bußgeldbescheides
Voraussetzung: Die Datenschutzverletzung ist festgestellt, dies muss aber nicht (z.B. wegen Ablauf der Anfechtungsfristen) unangreifbar sein. Der Verantwortliche wird als Betroffener durch den Ordens- bzw. Diözesandatenschutzbeauftragten oder einen seiner Mitarbeiter zur Person und zur Sache vernommen; die Vernehmung ist zu protokollieren. Bei Beginn der Vernehmung wird der Betroffene nach §§ 46 Abs. 2 OWiG, 136 StPO belehrt: (1) Bei Beginn der ersten Vernehmung ist dem Beschuldigten zu eröffnen, welche Tat ihm zu Last gelegt wird und welche Strafvorschriften in Betracht kommen. Er ist darauf hinzuweisen, dass es ihm nach dem Gesetz freistehe, sich zu der Beschuldigung zu äußern oder nicht zur Sache auszusagen und jederzeit, auch schon vor seiner Vernehmung, einen von ihm zu wählenden Verteidiger zu befragen. Möchte der Beschuldigte vor seiner Vernehmung einen Verteidiger befragen, sind ihm Informationen zur Verfügung zu stellen, die es ihm erleichtern, einen Verteidiger zu kontaktieren. Auf bestehende anwaltliche Notdienste ist dabei hinzuweisen. Er ist ferner darüber zu belehren, dass er zu seiner Entlastung einzelne Beweiserhebungen beantragen und unter den Voraussetzungen des § 140 Absatz 1 und 2 die Bestellung eines Verteidigers nach Maßgabe des § 141 Absatz 1 und 3 beanspruchen kann; zu Letzterem ist er dabei auf die Kostenfolge des § 465 hinzuweisen. In geeigneten Fällen soll der Beschuldigte auch darauf, dass er sich schriftlich äußern kann, sowie auf die Möglichkeit eines Täter-Opfer-Ausgleichs hingewiesen werden. Einführung für betriebliche Datenschutzbeauftragte der OG

60 Noch: Vernehmung des betroffenen Verantwortlichen
Lesen Sie § 51 Abs. 3! Der Vernehmende konzentriert seine Fragen insbesondere auf die Umstände, die das Verschulden des Verantwortlichen begründen. Frühere Verstöße des Verantwortlichen gegen Datenschutzvorschriften kann man zum Beispiel im Wege des Vorhalts einführen. Ist dies nicht möglich, so wird eine dienstliche Auskunft der vorgesetzten Dienststelle zu diesem Punkt erholt. Der Vernehmende sollte die einzelnen Vorschriften des § 51 Abs. 3 mit seinen Fragen abarbeiten. Zusätzlich sind aufzuklären die Vermögensverhältnisse des Verantwortlichen sein Umgang mit etwaigen Drittschäden. Einführung für betriebliche Datenschutzbeauftragte der OG

61 Das weitere Verfahren in Bußgeldsachen
Wenn ihr alle notwendigen Beweismittel vorliegen, entscheidet die Datenschutzaufsicht über den Erlass eines Bußgeldbescheides. Sie prüft zunächst, ob gemäß § 47 Abs. 4 KDR-OG von einer formellen Beanstandung abgesehen werden kann. Es ist aber auch eine formelle Beanstandung, verbunden mit einem Absehen von der Verfolgung der Ordnungswidrigkeit entsprechend § 47 Abs. 2 OWiG denkbar und möglich. Wird der Bußgeldbescheid erlassen, so muss er dem Verantwortlichen mitgeteilt werden. Das weitere Verfahren in der Bußgeldsache richtet sich nicht nach dem OWiG, sondern nach dem KDSGO, die Vollstreckung nach § 51 Abs. 8 KDR-OG. Es kann nun zu der Besonderheit kommen, das zwei Verfahren vor dem Datenschutzgerichts stattfinden: zum Beispiel auf Veranlassung des Betroffenen hin das Verfahren mit dem Ziel der Feststellung einer Datenschutzverletzung und danach auf Veranlassung des Verantwortlichen hin das Verfahren mit dem Ziel auf Aufhebung des Bußgeldbescheides. Einführung für betriebliche Datenschutzbeauftragte der OG

62 Einführung für betriebliche Datenschutzbeauftragte der OG
Fall Eine Ordensgemeinschaft bischöflichen Rechts besteht noch aus 8 Mitgliedern, betreibt aber einen Mineralwasservertrieb mit insgesamt 70 Beschäftigten, davon 21 im Büro. Ein betrieblicher Datenschutzbeauftragter ist nicht benannt. Der örtlich zuständige Diözesandatenschutzbeauftragte verhängt nach deren Anhörung gegen die Ordensoberin eine Geldbuße von € weil ein betrieblicher Datenschutzbeauftragter fehlt. Was kann die Oberin dagegen unternehmen? Einführung für betriebliche Datenschutzbeauftragte der OG

63 Zulässigkeit und Begründetheit des Antrags
§ 49 KDR-OG: Die Entscheidung ist grundsätzlich anfechtbar. Der Antrag ist statthaft nach § 2 Abs. 2 KDSGO. Die Oberin ist als Verantwortliche antragsbefugt nach § 2 Abs. 4 i. V. m. § 8 Abs. 2 KDSGO; Antragsfrist 1 Monat. Zuständig in 1.Instanz ist das Interdiözesangericht nach § 5 KDSGO. Es ist eine Antragsschrift nach § 11 einzureichen. Nach § 12 Abs. 1 KDSGO wird die Datenschutzaufsicht gehört. Ein Termin muss nicht anberaumt werden, § 13 Abs. 3 KDSGO. Die Kammer wird die Entscheidung der Datenschutzaufsicht aufheben: Die Datenschutzverletzung wurde mit dem Fehlen eines betrieblichen DSB begründet. Dies durfte die kirchliche Datenschutzaufsicht aber nicht prüfen, weil der Gewerbebetrieb ohne Weiteres der staatlichen Aufsicht unterliegt. Die Entscheidung ergeht durch Beschluss nach § 15 KDSGO. Einführung für betriebliche Datenschutzbeauftragte der OG

64 Schutzbereiche kirchlicher Dienststellen
Dienstgeber Bereich 1 Mitarbeiter Klient Klient Bereich 2 Klient Klient Einführung für betriebliche Datenschutzbeauftragte der OG 64

65 Bereich 1: Mitarbeiterdatenschutz – überwiegend Richterrecht
Alle Daten müssen grundsätzlich beim Mitarbeiter erhoben werden. Der Dienstgeber darf nur solche Daten erheben, die zur Eingehung, Durchführung, Beendigung oder Abwicklung des Arbeitsverhältnisses erforderlich oder gesetzlich vorgesehen sind. Der Grundsatz der Zweckbindung ist streng zu beachten. Eine Datenauswertung und -verknüpfung, die zur Herstellung eines umfassenden Persönlichkeitsprofils des Mitarbeiters führen kann, ist unzulässig. Beurteilungen und Personalauswahlentscheidungen dürfen nicht allein auf Informationen gestützt werden, die unmittelbar durch automatisierte Datenverarbeitung gewonnen werden. Dem Dienstgeber darf grundsätzlich nur das Ergebnis der ärztlichen Untersuchung bekannt gegeben werden. Den Mitarbeitern sind umfassende Auskunfts- und Einsichtsrechte in die Unterlagen einzuräumen, die sein Arbeitsverhältnis betreffen. Schon in die KDO wurde 2013 eine neue Vorschrift eingefügt, die jetzt als § 53 übernommen ist: Einführung für betriebliche Datenschutzbeauftragte der OG 65

66 Einführung für betriebliche Datenschutzbeauftragte der OG
§ 53 Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses Personenbezogene Daten eines Beschäftigten einschließlich der religiösen Überzeugung dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt. Einführung für betriebliche Datenschutzbeauftragte der OG 66

67 Einführung für betriebliche Datenschutzbeauftragte der OG
Sonderfall Bewerber Fragen, die in konkreter Beziehung zur Tätigkeit stehen, sind zulässig, soweit sie nicht die Privat- oder gar Intimsphäre betreffen. Diskriminierende Fragen dürfen nicht gestellt werden (z.B. Schwangerschaft). Nach laufenden Ermittlungsverfahren darf wegen der Unschuldsvermutung nicht gefragt werden. Der Dienstgeber darf nur mit Einverständnis des Bewerbers über diesen Erkundigungen einholen. Daten abgelehnter Bewerber sind unverzüglich zu löschen. Einführung für betriebliche Datenschutzbeauftragte der OG 67

68 Der Zugriff auf Mitarbeiterdaten
unterliegt ebenfalls strenger Zweckbindung: Beispiel: Daten, die der Dienstgeber für die Sozialversicherung erhoben hat, darf er nur für diese Zwecke verwenden. Eine Einwilligung des Mitarbeiters kommt nur dann als Grundlage einer Datenerhebung oder Datenverarbeitung infrage, wenn die Freiwilligkeit der Einwilligung sichergestellt ist. Einführung für betriebliche Datenschutzbeauftragte der OG 68

69 Bereich 2: Schutz der Klientendaten
Das jeweilige Kirchenrecht verpflichtet den Seelsorger zur Wahrung des Beicht- und Seelsorgegeheimnisses. Eine Sanktion für die Verletzung des Seelsorgegeheimnisses nach dem Strafgesetzbuch besteht beim Seelsorger nicht, wohl aber bei manchen Angehörigen der Betreuungsdienste. Einführung für betriebliche Datenschutzbeauftragte der OG 69

70 Behandlung aller Daten
Zu beachten ist insbesondere § 6 KDO: Kirchliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten  oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Kirchengesetzes, insbesondere die in der Anlage zu diesem Kirchengesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Einführung für betriebliche Datenschutzbeauftragte der OG 70

71 Schutz der Klientendaten in gerichtlichen Verfahren
Aus dem Seelsorgegeheimnis resultiert für das Strafverfahren ein Zeugnisverweigerungsrecht des Geistlichen. Geistlicher in diesem Sinne ist nach der Rechtsprechung des Bundesgerichtshofes und des Bundesverfassungsgerichts aber auch der Laie, der hauptamtlich mit Seelsorgeaufgaben betraut ist (BGH NJW 2007, 307 und BVerfG NJW 2007, 1865). Allerdings ist das Zeugnisverweigerungsrecht teilbar: Es bezieht sich nur auf Vorgänge im Rahmen eines seelsorgerischen Gesprächs, nicht auf solche, die nur anlässlich eines solchen geschahen. Einführung für betriebliche Datenschutzbeauftragte der OG 71

72 Schutz der Klientendaten in gerichtlichen Verfahren
Daneben sind kirchliche Angestellte nur bei Vorliegen einer Aussagegenehmigung ihrer Dienststelle zur Aussage verpflichtet, weil § 54 StPO auch für sie gilt (OLG Köln StraFo 1999, 90, für Mitarbeiter in Beratungsstellen aber umstritten). Die Aussagegenehmigung ist durch das Strafgericht zu erholen. Einführung für betriebliche Datenschutzbeauftragte der OG 72

73 § 139 Straflosigkeit der Nichtanzeige geplanter Straftaten
(2) Ein Geistlicher ist nicht verpflichtet anzuzeigen, was ihm in seiner Eigenschaft als Seelsorger anvertraut worden ist. Für diese Vorschrift ist der Begriff des Geistlichen ebenso auszulegen wie für § 53 StPO: Auch hauptamtlich zur Seelsorge berufene Laien zählen hierzu. Einführung für betriebliche Datenschutzbeauftragte der OG 73

74 Einführung für betriebliche Datenschutzbeauftragte der OG
Einzelprobleme Einführung für betriebliche Datenschutzbeauftragte der OG

75 Einführung für betriebliche Datenschutzbeauftragte der OG
Folgeabschätzung Ausgangspunkt § 35 und 6 KDO Die unter „insbesondere“ in Abs. 5 S. 2 genannten Fälle sind nur – nicht abschließend aufgezählte – Beispiele. Daneben kommt insbesondere der Fall in Betracht, dass gegen die Kernanliegen „Datensparsamkeit“ und „Datenvermeidung“ verstoßen wird. Der betriebliche Datenschutzbeauftragte ist mit komplexen Programmen regelmäßig überfordert. Deswegen bot ich in meinem Bereich früher schon an, dass er die Vorabkontrolle schriftlich mir überträgt. Angestrebt wird ein bundesweites Freigaberegister, das vermutlich ab Mitte 2019 verfügbar ist. Einführung für betriebliche Datenschutzbeauftragte der OG

76 Bilder 1 Bisher wurden Bilder ausschließlich nach §§ 22ff KunstUrhG geprüft; ein Einverständnis des Betroffenen war (nur) für die Verbreitung erforderlich. 2014 entschied dann der EuGH, dass schon die Aufnahme eines Bildes die Verarbeitung personenbezogener Daten darstellt. Das BDSG 2014 enthielt genauso wie das neueste eine Vorschrift, wonach die Datenschutzbestimmungen zurücktreten, wenn derselbe Sachverhalt an anderer Stelle spezieller geregelt ist. Bis jetzt ging man davon aus, dass das Kunsturhebergesetz eine solche spezielle Regelung bildet. Das gilt aber nicht mehr ohne weiteres, weil nun zwei Sachverhalte in Rede stehen: die Aufnahme, welche vom Kunsturhebergesetz gar nicht geregelt wird und die Verbreitung. Diese Lage führt zu massiven Schwierigkeiten: Einführung für betriebliche Datenschutzbeauftragte der OG

77 Bilder 2 Fall: In einer Ordensschule wird ein Fest gefeiert. Der Vertrauenslehrer geht mit der Kamera herum, macht Fotos und hat vor, sie später im Schaukasten der Schule auszuhängen. Wie sieht es mit den Einverständnissen aus? Es braucht schon ein Einverständnis für die Aufnahme selbst. Nach § 8 Abs. 2 KDR-OG muss dieses Einverständnis schriftlich erklärt werden. Im Prinzip muss also jeder, der fotografiert wird, unterschreiben. Dann muss er sich das Bild anschauen und unterschreiben, dass es ausgehängt werden darf. Das ist aus praktischer Sicht blanker Irrsinn und beruht z.T. darauf, dass die KDR-OG zumindest dem Wortlaut nach höhere Anforderungen an die Einwilligungen stellt als die EU-DS-GVO. Sie können nach der VO nämlich formlos erteilt werden. Es gibt drei Auswege: Anwendung der Ausnahmeregelung in § 8 Abs. 1 KDR-OG Erstreckung der Spezialvorschriftsregelung nach § 1 Abs. 2 BDSG neu auf das KUG, welches eigentlich nur den zweiten Teil – Verbreitung – regelt oder Anwendung von § 6 Abs. 1 lit f bzw. g; vgl. Arbeitsanweisung unter oder § 55 KDR-OG Einführung für betriebliche Datenschutzbeauftragte der OG

78 Bilder 3 – So geht es bei Erwachsenen
Gilt die Sondervorschrift des § 55? Journalistisches oder literarisches Interesse reicht für die Fertigung der Aufnahme, wenn sie z.B. für den Pfarrbrief bestimmt ist; fraglich jedoch: Pressestelle Für die Verbreitung § 23 KUG Sonst: Einwilligung in die Aufnahme. Sie kann der besonderen Umstände wegen z.B. erfolgen durch Kopfnicken beim Auslösen Betreten einer abgegrenzten Fläche in Kenntnis des Umstandes, dass hierdurch in das Aufnehmen eingewilligt wird. Für die Verbreitung Einverständnis nach dem KUG oder § 23 Einführung für betriebliche Datenschutzbeauftragte der OG

79 Bilder 4: Kinder und Jugendliche bis 16 Jahre
Zu beachten: Besonderer einschränkender Beschluss der Diözesandatenschutzbeauftragten und der EKD vom (auf Webseite Joachimski, öffentlicher Teil) + Erläuterungen dazu + Skriptum Bilder Kitas: Kinder und Jugendliche unterliegen besonderem Schutz. Einwilligung Aufnahme kann vorweg erteilt werden Einwilligung Verbreitung nur unter besonderen Umständen wirksam, sofern nicht § 23 KUG greift. Vorsicht! Die Rechtsmaterie ist noch sehr jung und wenig ausdiskutiert. Es ist durchaus möglich, dass die Zivilgerichte dies strenger sehen als die Datenschutzaufsicht der Kirche. Unzulässig ist die Aushebelung des Verbots durch temporäre Übertragung der Elternrechte. Einführung für betriebliche Datenschutzbeauftragte der OG

80 Bilder 5:Jugendliche von 16 und 17 Jahren
Eltern können nicht gegen ihren Willen in die Verbreitung von Bildern der Jugendlichen einwilligen. Daher braucht es die Einwilligung der Eltern in die Aufnahme die Einwilligung der Eltern in die Verbreitung und die Einwilligung des Jugendlichen in die Verbreitung. Den besonderen Schutz (vgl. Bilder 4) genießen diese Betroffenen nicht mehr. Einführung für betriebliche Datenschutzbeauftragte der OG

81 Elektronische Kommunikation und Datenspeicherung in der Cloud
Hinweis auf Flyer in Was darf in s kommuniziert werden? prinzipiell keine Sozialdaten od. besondere pb. Daten keine Daten der Schutzklassen 2 und 3 Messenger am Beispiel What‘s App Geprüft und nicht beanstandet : Threema, Free Message Geprüft und nicht erheblich beanstandet : Telegram, Signal Behandlung von Facebook – Heise bzw. Sharif--Button Datenspeicherung im Internet Unproblematisch: OwnCloud, 1und1-Onlinespeicher, Telekom Magenta Problematisch ICloud Hochproblematisch: MS Office 365 Einführung für betriebliche Datenschutzbeauftragte der OG

82 Sonderfall Videoüberwachung, § 53 KDR-OG
Voraussetzungen: Erforderlichkeit (Anlass bzw. Lage) Hinweis Löschungsfristen Abgrenzung zum „verlängerten Auge“ Übermaßverbot vor allem in Kirchen Anordnung Funktionskontrollen Nähere Informationen: Downloadseite, Ordner „Videoüberwachung“ Einführung für betriebliche Datenschutzbeauftragte der OG

83 Webauftritte Jede Homepage braucht im Prinzip neben dem Impressum eine Datenschutzerklärung. Eine Art Baukasten dafür gibt es in der Downloadseite unter „Muster für verschiedene Erklärungen“. Von den dort vorhandenen Mustertexten sollten Sie nehmen, was für Ihren Bereich zutrifft. Auf die Datenschutzerklärung sollte von der Startseite aus verlinkt werden. Einführung für betriebliche Datenschutzbeauftragte der OG

84 Interner Emailverkehr – Was ist zu beachten?
Teilnehmer im Diözesennetz: Insoweit wird von einem Virtuellen Privaten Netzwerk (VPN) Gebrauch gemacht. Der verkehr ist sicher. Alle Übrigen: s können ohne weiteres abgegriffen werden. Im Hinblick auf die Verhältnismäßigkeit wird man aber eine Notwendigkeit der Verschlüsselung eigentlich nur in den Fällen der § 4 Abs. 2 und bei den Sozialdaten annehmen müssen. Die neue DVO geht davon aus, dass per Daten der Datenschutzklassen 2 und 3 nicht verschickt werden dürfen. Es bleibt nur die DSK 1 übrig: Der Datenschutzklasse I unterfallen personenbezogene Daten, deren missbräuchliche Verarbeitung keine besonders schwerwiegende Beeinträchtigung des Betroffenen erwarten lässt. Hierzu gehören insbesondere Namens- und Adressangaben ohne Sperrvermerke sowie Berufs-, Branchen- oder Geschäftsbezeichnungen. Einführung für betriebliche Datenschutzbeauftragte der OG

85 Email-Versand: CC oder BC?
Grundsatz: Bei einer Mehrheit von empfängern gibt es prinzipiell keine Rechtsgrundlage dafür, dass einer oder mehrere von ihnen die anschriften der anderen erfahren. Deswegen: versand im Zweifel An eigene Adresse CC leer BCC die Empfänger Wenn Sie in Outlook Word als -Editor verwenden, klicken Sie in einer neuen Nachricht auf den Pfeil rechts neben der Schaltfläche Optionen, und klicken Sie dann auf Bcc. Wenn Sie den Outlook- -Editor verwenden, klicken Sie in einer neuen Nachricht im Menü Ansicht auf "Bcc"-Feld. Einführung für betriebliche Datenschutzbeauftragte der OG

86 Soziale Netzwerke, insbesondere Facebook
Die sozialen Netzwerke mit Datenspeicher in den USA sind prinzipiell (noch) nicht verboten, weil das „privacy shield“ den Auslandsverkehr noch nach § 40 Abs.2 deckt. Mit dessen Ableben ist aber wegen der Gesetzgebungstätigkeit der US-Regierung innerhalb des nächsten Jahres zu rechnen. Von da an wird Facebook wohl für den Dienstgebrauch unzulässig. Aus diesem Grund wird jetzt schon der Konferenz der Diözesandatenschutzbeauftragten davor gewarnt. Einführung für betriebliche Datenschutzbeauftragte der OG

87 Einführung für betriebliche Datenschutzbeauftragte der OG
noch: Facebook VG Bayreuth bestätigt: Facebook Custom Audiences ist rechtswidrig: Facebook-Anleiter: Like-Button: Der Like-Button von Facebook darf auf dienstlichen Webseiten nicht verwendet werden! Einführung für betriebliche Datenschutzbeauftragte der OG

88 Einführung für betriebliche Datenschutzbeauftragte der OG
Veröffentlichungen Bei Fallbeispielen in Publikationen ist darauf zu achten, dass der Begriff der personenbezogenen Daten nicht erfüllt wird. Begriff der personenbezogenen Daten Es muss also der Fall so weit anonymisiert werden, dass – mit vertretbarem Aufwand – der Betroffene nicht ermittelt werden kann. Dass er selbst den Fall wieder erkennt, schadet nicht. Datenschutz Einführung für betriebliche Datenschutzbeauftragte der OG 88

89 Der betriebliche Beauftragte für den Datenschutz und seine Aufgaben
Teil 2 Der betriebliche Beauftragte für den Datenschutz und seine Aufgaben Einführung für betriebliche Datenschutzbeauftragte der OG

90 Einführung für betriebliche Datenschutzbeauftragte der OG
Bestellung Zum betrieblichen Beauftragten für den Datenschutz darf nur bestellt werden, wer die erforderliche „Fachkunde und Zuverlässigkeit“ besitzt. Dazu gibt es einen Beschluss der Konferenz der DDB. Der betriebliche Datenschutzbeauftragte muss also sowohl die technische als auch die rechtliche Seite seiner Aufgaben kennen und Kenntnisse in allen Bereichen haben, die für die Organisation, in der er arbeitet, von Bedeutung sind. Einführung für betriebliche Datenschutzbeauftragte der OG

91 Konsequenzen bei Nichtbestellung
Die Nichtbestellung eines betrieblichen Datenschutzbeauftragten hat unter Umständen zur Folge, dass eine Ordnungswidrigkeit nach § 51 vorliegt. § 36 Abs.1 schreibt eine Benennungspflicht dann vor, wenn die Voraussetzungen des Aba. 2 vorliegen (OG: Mehr als 10 Personen mit Dateneingabe befasst oder besonders empfindliche Daten). Vor allem aber bewirkt das Fehlen eines betrieblichen Datenschutzbeauftragten erheblichen Arbeitsmehraufwand beim dözesanen oder Ordensdatenschutzbeauftragten. Datenschutz Einführung für betriebliche Datenschutzbeauftragte der OG 91

92 Rechtsstellung des betrieblichen Datenschutzbeauftragten
Er ist dem Leiter der kirchlichen Stelle unmittelbar zu unterstellen. Um seine Unabhängigkeit in der Wahrnehmung seiner fachlichen Aufgaben zu gewährleisten, bestimmt die KDR-OG, dass er in der Ausübung seiner Fachkunde weisungsfrei ist. Niemand, auch nicht der Leiter der Stelle, kann vorschreiben, wie er datenschutzrechtliche Fragen bewertet. Dazu kommt eine Auswirkung auf sein Arbeitsverhältnis: Kündigungsschutz wie bei Mitgliedern der MAV. Einführung für betriebliche Datenschutzbeauftragte der OG

93 Zusammenarbeit mit dem Ordensdatenschutzbeauftragten
Wenn sich der Leiter der Dienststelle über das Votum des betrieblichen DSB hinwegsetzt, weil er in letzter Konsequenz die Verantwortung für die Daten verarbeitende Stelle trägt, kann sich der betriebliche Beauftragte für den Datenschutz an den Ordensdatenschutzbeauftragten wenden. Ganz generell ist der betriebliche DSB Auge und Ohr des ODSB. Der ODSB wird bei Beschwerden über eine Dienststelle immer erst den betrieblichen anhören und ggfs. um Ermittlungen bitten. Einführung für betriebliche Datenschutzbeauftragte der OG

94 Einführung für betriebliche Datenschutzbeauftragte der OG
Informationsrechte Die kirchliche(n) Stelle(n), für die der betriebliche Datenschutzbeauftragte zuständig ist, müssen dem Datenschutzbeauftragten eine Übersicht über die in § 31 genannten Angaben sowie zugriffsberechtigte Personen zur Verfügung stellen. Der Ordens- bzw. Diözesandatenschutzbeauftragte wird den betrieblichen mit allen notwendigen rechtlichen Informationen im Einzelfall versorgen. Er ist für den betrieblichen DSB immer zu sprechen. Einführung für betriebliche Datenschutzbeauftragte der OG

95 Rechtliche Auswirkungen der Bestellung des betrieblichen DSB
Er ist bei der Erfüllung seiner Aufgaben von allen Beschäftigten und der Dienststellenleitung zu unterstützen. Nach § 31 Abs. 5 wird dem betrieblichen Datenschutzbeauftragten das Verzeichnis der Verarbeitungstätigkeiten zur Verfügung gestellt. In der Praxis ist es aber häufiger, dass er es selbst erstellt. Einführung für betriebliche Datenschutzbeauftragte der OG

96 Haftung von betrieblichen Datenschutzbeauftragten?
Ausgangspunkt Text des § 38 Abs 1 KDR-OG: Der betriebliche Datenschutzbeauftragte wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Das bedeutet nach Meinung aller Diözesandatenschutzbeauftragter: Er hat eine Begleit-, aber keine Ablieferungspflicht. Wenn er nur seine Pflicht zur „Hinwirkung“ verletzt, kann dies schon nicht kausal für einen Schaden sein. Als Mitarbeiter hätte er außerdem noch das Privileg, ohnehin nur bei Vorsatz und grober Fahrlässigkeit zu haften. Rein sicherheitshalber wollen wir diesen (theoretischen) Haftungsrest über Vereinbarungen mit dem Dienstgeber bzw. eine Versicherungslösung beseitigen. Außer bei böser Absicht kann deswegen gegen den bDSB auch keine Geldbuße verhängt werden. Einführung für betriebliche Datenschutzbeauftragte der OG

97 Empfehlung der Konferenz der Diözesandatenschutzbeauftragten
Unabhängig von den Vorgaben der Kirchlichen Datenschutzanordnung empfiehlt die Konferenz der Datenschutzbeauftragten im Bereich der Katholischen Kirche, dass der betriebliche Beauftragte für den Datenschutz in eine betriebliche Struktur eingebunden wird. Es wird auch empfohlen, einen Arbeitskreis zu bilden, in den der betrieblichen Beauftragte für den Datenschutz, der EDV-Leiter, soweit vorhanden eine Person aus dem Vorstand der Dienststelle ein Vertreter der MAV berufen wird. Organisatorische Fragen und Entwicklungsperspektiven lassen sich am besten einem solchen Kreis kommunizieren. Einführung für betriebliche Datenschutzbeauftragte der OG

98 Praktisches Vorgehen Zuerst: Informationen einholen
Überblick über Software-Systeme verschaffen Überblick über Hardware-Systeme verschaffen Zuständigkeiten klären (Organigramme) Ansprechpartner in den einzelnen Dienststellen gewinnen bzw. identifizieren Überblick über externe Mitarbeiter verschaffen Vorhandensein der Verpflichtungserklärungen gem. § 5 prüfen Auftragsdatenverarbeitung prüfen Videoüberwachung anhand des § 53 prüfen Internetauftritt prüfen Einführung für betriebliche Datenschutzbeauftragte der OG

99 Kernprobleme der Prüfung durch den betrieblichen DSB
Unzureichende IT-Sicherheits-Strategie: Sicherheit hat einen zu geringen Stellenwert Sicherheit ist Aufgabe der Einrichtungsleitung und muss grundlegend definiert werden Dauerhafte Prozesse zur Beibehaltung des Sicherheitsniveaus fehlen Sicherheitsvorgaben sind nicht dokumentiert Kontrollmaßnahmen und Aufklärung im Fall von Verstößen fehlen Laxe Handhabung des Persönlichkeitsschutzes bei Veröffentlichungen, z.B. im Internet Einführung für betriebliche Datenschutzbeauftragte der OG

100 Information und Dokumentation
Überblick über LAN und WAN kurz niederlegen Berechtigungsvergabe dokumentieren Technische und organisatorische Maßnahmen dokumentieren Datenstromanalyse (z.B. im Krankenhaus Patientenaufnahme bis -entlassung) Einführung für betriebliche Datenschutzbeauftragte der OG

101 Aufgaben des betrieblichen Datenschutzbeauftragten
Aufgaben: Die Aufgaben des Datenschutzbeauftragten sind in § 38 zusammengefasst: Er hat auf die Einhaltung der Datenschutzvorschriften hinzuwirken, die ordnungsgemäße Programmanwendung zu überwachen, die bei der Verarbeitung personenbezogener Daten eingesetzten Beschäftigten mit den Anforderungen des Datenschutzes vertraut zu machen, die öffentlich zugänglichen Angaben des Verzeichnisses nach § 31 in geeigneter Weise auf Antrag jedermann verfügbar machen. Einer besonderen Berechtigung oder Begründung bedarf es für denjenigen, der von diesem Recht Gebrauch machen möchte, nicht. Aber: Einschränkung des Abs. 5 beachten! Einführung für betriebliche Datenschutzbeauftragte der OG

102 Einführung für betriebliche Datenschutzbeauftragte der OG
Weitere Aufgaben Er soll mit dem Diözesan- beziehungsweise dem Ordensdatenschutzbeauftragten zusammenarbeiten. In Bezug auf seine Arbeit unterliegt er der Verschwiegenheitspflicht, wie der Diözesan-/ Ordensdatenschutzbeauftragte (§ 37 Abs. 2 S.4 in Verbindung mit § 43 Abs. 9 und 10). Über die Identität des Betroffenen (Beschwerdeführers) oder Umstände, die Rückschlüsse hierüber erlauben, darf er keine Auskünfte geben. Eine Ausnahme gilt nur, wenn die betroffene Person ihn von seiner Verschwiegenheitsverpflichtung befreit. Einführung für betriebliche Datenschutzbeauftragte der OG

103 So dürfen wir nicht mit dem umgehen, der nach Auskunft fragt!
Einführung für betriebliche Datenschutzbeauftragte der OG

104 Überwachungsaufgaben
Überwachung der Datenverarbeitung Alle Programme, die mit personenbezogenen Daten arbeiten alle Phasen (Planung, Entwicklung, Lizenzierung, Eingabe, etc.) Materielle Vereinbarkeit mit dem DS-Recht Datensicherheit Sicherstellung der eigenen organisatorischen Einbindung Einführung für betriebliche Datenschutzbeauftragte der OG

105 Einführung für betriebliche Datenschutzbeauftragte der OG
Kontrollen (1) 1 .ZUTRITTSKONTROLLE Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit bzw. auf denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren 2. ZUGANGSKONTROLLE Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. 3. ZUGRIFFSKONTROLLE Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungs­systems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und das personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Einführung für betriebliche Datenschutzbeauftragte der OG

106 Einführung für betriebliche Datenschutzbeauftragte der OG
Kontrollen (2) 4. WEITERGABEKONTROLLE Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und daß überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist bzw. stattgefunden hat 5. EINGABEKONTROLLE Nachträglich muss festgestellt werden können, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind. Einführung für betriebliche Datenschutzbeauftragte der OG

107 Einführung für betriebliche Datenschutzbeauftragte der OG
Kontrollen (3) 6. AUFTRAGSKONTROLLE Es muss gewährleistet werden, dass personenbezogene Daten nur im Zuge der Auftragsdatenverarbeitung verarbeitet werden. 7. VERFÜGBARKEITSKONTROLLE Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. 8. VERARBEITUNGSKONTROLLE Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Einführung für betriebliche Datenschutzbeauftragte der OG

108 Einführung für betriebliche Datenschutzbeauftragte der OG
Dokumentationen erstellen oder erstellen lassen: Standorte (Computer, Server, Telefonanlagen usw.) Berechtigungsvorgaben sonstige technische und organisatorische Maßnahmen Datenstromanalyse Betriebsvereinbarungen Delegierbare Aufgaben sind Verpflichtung auf das Datengeheimnis Berichte Erstellung interner DS-Vorschriften (z. B. DS-Flyer) Berichterstattung an die Dienststellenleitung Gespräche Vermittlung zwischen Dienststelle und Betroffenem Einführung für betriebliche Datenschutzbeauftragte der OG

109 Einführung für betriebliche Datenschutzbeauftragte der OG
Beispiel: Aufbewahrung papiergebundener personenbezogener Daten (Akten) Immer ist abzuwägen: Wie groß ist die Angriffsintensität und –wahrscheinlichkeit? Wie groß ist das Schutzbedürfnis Daraus können Einzelfälle abgeleitet werden: Offen: z.B. Lieferantenanschriften, Besteller Im versperrbaren Aktenschrank z.B. Spenderlisten, Akten über Kindergartenkinder, Schüler Stets verschlossen: Personalakten, Krankenakten Einführung für betriebliche Datenschutzbeauftragte der OG

110 Einführung für betriebliche Datenschutzbeauftragte der OG
PC-Sicherheit Der Arbeitsplatz-PC muss so gestaltet sein, dass die auf ihm gespeicherten Daten und Netzzugänge nur von denen genutzt werden können, die dazu berufen sind. Unterscheiden Sie: Arbeitsplatz-PC, bei denen eine zusätzliche Sicherung durch Zutrittskontrolle für den Raum besteht, in welchem sich der PC befindet. Bei diesen Rechnern ist im allgemeinen eine umfassende Passwortsicherung ausreichend. Tragbare PCs (Laptop bzw. Notebook) sollten darüber hinaus mit einer Fingerabdrucksicherung geschützt sein, wenn sie für Heimarbeitsplätze bestimmt sind. Arbeitsplätze mit (EWR-) Cloudanbindung sollten eine VPN-Software nutzen. Einführung für betriebliche Datenschutzbeauftragte der OG

111 Umfassende Passwortsicherung
BIOS-Passwort: Verhindert indirekt das Hochfahren des Rechners mit einem externen Betriebssystem auf DVD oder USB-Stick Windows-Passwort; In den „Gruppenrichtlinien“ ist festzulegen, dass das PW aus mindestens 9 Zeichen, davon mindestens zwei Sonderzeichen, besteht innerhalb von drei Monaten zu wechseln ist nicht alsbald wiederverwendet werden darf Zulässig und sinnvoll z.B. bei Programmen, die weitere Passwörter verlangen: Passwortmanager wie z.B. Keepass II. Einführung für betriebliche Datenschutzbeauftragte der OG

112 Bildung einer Datenschutzkultur in den Dienststellen
Sensibilisierung der Mitarbeiter Weiterbildung aller Mitarbeiter, die mit personenbezogenen Daten umgehen Hinwirken auf die Einhaltung des Datenschutzes regelmäßige, (unangemeldete) Kontrollen schriftliche Niederlegung der Ergebnisse Umgang rechtmäßig? Datensicherheitsmaßnahmen eingehalten? Beachtung der Rechte Betroffener? Datenschutzerklärungen der Mitarbeiter abgegeben? Einführung für betriebliche Datenschutzbeauftragte der OG

113 Verzeichnis der Verarbeitungsvorgänge
Wegen § 31 Abs. 5 ist die Pflicht zur Führung des Verarbeitungsverzeichnisses bei Ordensgemeinschaften eher die Ausnahme. Ich empfehle trotzdem die Anlegung des Verzeichnisses, um selbst einen Überblick gewinnen und Schwachstellen zu finden Das Formblatt trägt deswegen die Aufschrift „erweitertes Verzeichnis der Verarbeitungstätigkeiten", weil in ihm auch Elemente enthalten sind, die eigentlich in ein Datenschutzkonzept gehören. Es soll auf diese Weise die Erstellung des Datenschutzkonzeptes erleichtert werden. Hier sind auch die Punkte enthalten, die typischerweise bei einem Aufsichtsbesuch geprüft werden. Es empfiehlt sich daher eine gründliche Ausarbeitung. Einführung für betriebliche Datenschutzbeauftragte der OG

114 Einführung für betriebliche Datenschutzbeauftragte der OG
Einführung für betriebliche Datenschutzbeauftragte der OG

115 Verbesserung des betrieblichen Datenschutzes
Dazu gehört auch, Sicherheitsziele vorzugeben, den Sicherungsbedarf festzustellen (niedrig, mittel, hoch, sehr hoch) Risiken zu analysieren Sicherheitsstrukturen aufzubauen IT-Revision und interne Datenschutzkontrolle die Fortschreibung des Konzepts Einführung für betriebliche Datenschutzbeauftragte der OG

116 Einführung für betriebliche Datenschutzbeauftragte der OG
Ihr Fahrplan Stellen Sie sich bei den Dienststellen Ihres Bereichs schriftlich vor und übersenden Sie das Formular „Erweitertes Verzeichnis der Verarbeitungstätigkeiten“ mit einer Rückäußerungsfrist von 4 Wochen! Werten Sie den Rücklauf aus und markieren Sie Schwachpunkte! Diese sollten Sie mit dem Dienststellenleiter besprechen. Bewahren Sie zurückgeschickten Formulare auf oder scannen Sie sie ein! Schauen Sie in der Folgezeit in jede Ihrer Dienststellen hinein und versuchen Sie, sich bei den Beschäftigten bekannt zu machen und diese für den Datenschutz zu sensibilisieren. Wiederholen Sie das in der Weise, dass Sie einmal im Monat eine Ihrer Dienststellen anrufen und sich vor allem danach erkundigen, ob es Probleme oder Änderungen der Situation gibt. Mindestens einmal in zwei Jahren sollten Sie eine kurze Erklärung in einer Organisationsbesprechung abgeben und sich zur Einhaltung der Datenschutznormen äußern. Einführung für betriebliche Datenschutzbeauftragte der OG

117 Im Zweifel immer: Rückfrage beim Ordensdatenschutzbeauftragten
Telefon Büro (Di./Mi Uhr) Fax Büro: Büro: Telefon privat:  Fax privat: privat: Einführung für betriebliche Datenschutzbeauftragte der OG

118 Einführung für betriebliche Datenschutzbeauftragte der OG
Noch ein Hinweis: Alles, was hier über Ihre Pflichten gesagt wurde, ist eine Maximalforderung, die Sie nicht von heute auf morgen erfüllen können. Weder Ihre Vorgesetzten noch ich erwarten das von Ihnen. Sie müssen aber in diese Aufgaben ebenso hineinwachsen wie in Ihre sonstigen Tätigkeitsfelder. Zunächst erwarten alle von Ihnen nur den guten Willen und den Vorsatz, das Beste zu geben. Ich wünsche Ihnen viel Erfolg und Freude in Ihrer neuen Tätigkeit! Jupp Joachimski Einführung für betriebliche Datenschutzbeauftragte der OG