Der Diözesandatenschutzbeauftragte der norddeutschen Bistümer hat einen Leitfaden zur Anpassung der Datenverarbeitung in kirchlichen Einrichtungen an die Datenschutzgrundverordnung (DSGVO) herausgebracht. Nach Art.91 DSGVO dürfen Religionsgemeinschaften das Datenschutzrecht selbst regeln, wenn dieses mit der Grundverordnung im Einklang steht. Derzeit wird an einer entsprechenden Novellierung des Katholischen Datenschutzgesetzes gearbeitet. Die bisherige Anordnung über den kirchlichen Datenschutz (KDO) soll zum 1.5.2018 durch das Gesetz über den Kirchlichen Datenschutz (KDG) ersetzt werden. Die Leitlinien skizzieren wichtige Änderungen.

Zum Teil stehen den katholischen Einrichtungen in manchen Punkten größere Veränderungen bevor, auf die wir in einer kleinen Reihe näher eingehen möchten. Heute geht es um die Bestellung eines betrieblichen Datenschutzbeauftragten.

Der Entwurf des KDG sieht vor, dass alle kirchlichen Diözesen, Kirchengemeinden, Kirchenstiftungen und Kirchengemeindeverbände unabhängig von der Zahl ihrer Mitarbeiter einen eigenen betrieblichen Datenschutzbeauftragten bestellen (§ 36 Abs. 1 Satz 1 KDG Entwurf). Bisher müssen diese kirchlichen Stellen nur einen betrieblichen Datenschutzbeauftragten stellen, wenn mehr als zehn Personen mit der automatisierten Datenerhebung, -verarbeitung oder -nutzung befasst sind (§ 20 Abs. 2 KDO).

Alle anderen kirchlichen Institutionen sollen nun einen betrieblichen Datenschutzbeauftragten bestellen müssen, wenn mindestens zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Liegt die Kerntätigkeit einer Einrichtung in der Verarbeitung besonderer Kategorien personenbezogener Daten (insbesondere Gesundheits-, aber auch Meldedaten wegen § 42 Abs. 5 S. 1 BMG), ist, unabhängig von der Anzahl der Mitarbeiter, immer ein betrieblicher Datenschutzbeauftragter zu bestellen.

Alle kirchlichen Schulen und Kindertageseinrichtung mit mindestens zehn pädagogischen Mitarbeitern müssen sich demnach nun um einen betrieblichen Datenschutzbeauftragten bemühen. Zu denken ist hierbei u.a. daran, wie die Fachkunde hinsichtlich des Datenschutzrechts der betroffenen Person bis Mai 2018 sichergestellt werden kann.