In seinem Leitfaden zur Anpassung der Datenverarbeitung in kirchlichen Einrichtungen geht der Diözesandatenschutzbeauftragte auch auf das Thema Auftragsverarbeitung (ADV) ein. Ganz allgemein lässt sich feststellen, dass versucht wird, die kirchlichen Regelungen an die Datenschutzgrundverordnung (DSGVO) anzupassen.
Bisher wird die Auftragsdatenverarbeitung in § 8 der Anordnung über den kirchlichen Datenschutz (KDO) geregelt. Im neuen Gesetz über den kirchlichen Datenschutz (KDG) wird die Auftragsdatenverarbeitung in § 29 geregelt werden. Als Neuerungen kommen fünf Verpflichtungen auf die kirchlichen Stellen zu:
- Der Auftragsnehmer darf die Daten nur innerhalb der Europäischen Union verarbeiten. Das trifft auch auf Cloud-Dienste zu.
- Die Verpflichtung des Auftragnehmers, seine Mitarbeiter auf das Datengeheimnis zu verpflichten.
- Haftung des Auftragnehmers für Pflichtverletzungen durch Unterauftragsnehmer.
- Die Pflicht zur regelmäßigen Kontrolle über die Einhaltung der technischen und organisatorischen Maßnahmen des Auftragnehmers.
- Der Auftragnehmer ist nach § 31 Abs. 2 KDG vertraglich zu verpflichten, ein Verzeichnis aller Tätigkeiten zu erstellen, die für den Auftraggeber ausgeführt werden.
Viele dieser Regelungen sind aus der weltlichen Gesetzgebung bekannt. Ein großes Unterscheidungsmerkmal ist, dass der Auftragnehmer Daten nur innerhalb der EU verarbeiten darf. Damit sind regelmäßig Cloud-Dienste amerikanischer Hersteller für kirchliche Stellen nicht verwendbar.
Ganz neu ist diese Regelung indes nicht. Schon nach geltendem Recht sind Auftragnehmer auf die KDO zu verpflichten und es ist sicherzustellen, dass der physikalische Speicherort der Daten ausschließlich im Geltungsbereich des BDSG liegt. (IT-Richtlinien zur Umsetzung von IV. Anlage 2 zu § 6 KDO der Durchführungsverordnung zur Anordnung über den kirchlichen Datenschutz (KDO-DVO) i.d.F. des Beschlusses der Rechtskommission vom 19.03.2015).
Probleme ergeben sich auch für die Länder, die nicht der EU, aber dem Europäischen Wirtschaftsraum (EWR) zugehören bzw. für die die Europäische Kommission einen Angemessenheitsbeschluss erlassen hat. Weltlichen Stellen ist die Verarbeitung in Staaten außerhalb der Europäischen Union zugelassen, wenn es eben solch einen Angemessenheitsbeschluss (Übersicht der bisherigen Beschlüsse) gibt. Es wäre wünschenswert, wenn dieser Aspekt im KDG Einzug halten würde.
Der Diözesandatenschutzbeauftragte weist darauf hin, dass die neuen Regelungen voraussichtlich ab 1. Mai 2018 (in Kraft treten des KDG) gelten und es keine Übergangsfristen für ADV-Verträge geben wird. Alle kirchlichen Stellen sind angehalten, ihre ADV-Verträge zu überprüfen und ggf. mit den Auftragnehmern in Verhandlungen zu gehen um fristgerecht gesetzeskonforme Verträge vorweisen zu können.
8. September 2017 @ 16:18
Eine gesetzliche Haftung für Subdienstleister einzuführen, wird dem weltlichen Gesetzgeber möglich sein. Die Kirche wird hier aber gar nicht die Regelungskompetenz zu besitzen. Sicher, soweit es sich um einen ebenfalls der Kirche unterstellten Dienstleister geht – aber im weltlich / privaten Bereich?
Eine Haftung wird sich hier nur vertraglich begründen lassen.