Einmal mehr möchten wir uns mit den rechtlichen Neuerungen im Datenschutzrecht der katholischen Kirche befassen. Derzeit wird an einer Novellierung des Katholischen Datenschutzrechts gearbeitet. Die bisherige Anordnung über den kirchlichen Datenschutz (KDO) soll zum 1.5.2018 durch das Gesetz über den Kirchlichen Datenschutz (KDG) ersetzt werden. Durch das KDG soll den Anforderungen der Datenschutzgrundverordnung Rechnung getragen werden.

Heute geht es um die Datenschutz-Folgenabschätzung. Diese wird die für kirchliche Stellen in § 3 Abs. 5 KDO geregelte Vorabkontrolle ablösen.

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Das neue KDG sieht immer dann eine Datenschutz-Folgenabschätzung vor, wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Das Risiko kann sich ergeben aus der Art, dem Umfang, den Umständen und dem Zweck der Verarbeitung.

Auf jeden Fall ist eine Folgenabschätzung erforderlich, wenn

  • persönlicher Aspekte natürlicher Personen systematisch und umfassend bewertet werden und diese Bewertung durch eine automatisierte Verarbeitung, einschließlich Profiling, erfolgt;
  • bei einer umfangreichen Verarbeitung besonderer Kategorien von Daten nach § 11 Abs. 1 KDG oder Daten strafrechtlicher Verurteilungen verarbeitet werden;
  • öffentlich zugängliche Bereiche systematisch und umfangreich überwacht werden;

Die Datenschutzaufsicht, also der zuständige Diözesandatenschutzbeauftragte, kann eine Liste von Verarbeitungsvorgängen erstellen und veröffentlichen, für die in jedem Fall eine Folgenabschätzung durchzuführen ist.

Was muss die Datenschutz-Folgenabschätzung umfassen?

Ähnlich wie im weltlichen Recht sind die Regelungen zur Durchführung einer Datenschutz-Folgenabschätzung deutlich konkreter, als bei den bisherigen Regelungen zu Vorabkontrollen. Eine Datenschutz-Folgenabschätzung umfasst nach KDG:

  • Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge, einschließlich ihrer Zwecke.
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf die Erreichung des Zwecks.
  • Eine Bewertung der Risiken für die betroffenen Personen.
  • Eine Darstellung der geplanten Abhilfemaßnahmen zur Bewältigung dieser Risiken. Dabei sind Garantien, Sicherheitsvorkehrungen und Schutzverfahren anzugeben, die den Nachweis zur Einhaltung dieses Gesetzes erbringen.

| | | , , , ,