KDG-Novellierung: Neuerungen bei den Regelungen zum betrieblichen Datenschutzbeauftragten

In diesem Teil unseres Countdowns zur KDG-Novelle steht der betriebliche Datenschutzbeauftragte im Fokus. Kirchliche Stellen, d. h. die Diözesen, Kirchengemeinden, Kirchenstiftungen und Gemeindeverbände, haben einen betrieblichen Datenschutzbeauftragten zu benennen. Daran hat auch die Novellierung des KDG nichts geändert.

Analog zum Bundesdatenschutzgesetz (BDSG) müssen die übrigen kirchlichen Stellen – der Deutsche Caritasverband, die Diözesan-Caritasverbände, ihre Untergliederungen und ihre Fachverbände, sowie die kirchlichen Körperschaften, Stiftungen etc. – nunmehr aber erst ab 20 ständig mit der Datenverarbeitung beschäftigten Personen einen betrieblichen Datenschutzbeauftragten bestellten. Bislang waren es mindestens zehn Personen.

Was bedeutet dies nun für die Einrichtungen, die entsprechend der bisherigen Rechtslage einen betrieblichen Datenschutzbeauftragten bestellt haben?

Die Übergangsvorschrift in § 57 KDG sieht zunächst vor, dass bestehende Bestellungen von betrieblichen Datenschutzbeauftragten bestehen bleiben, soweit dabei die Reglungen der §§ 36 ff. KDG Beachtung finden. Darin finden sich die grundsätzlichen Vorgaben für die Benennung, die Rechtsstellung und die Aufgaben des betrieblichen Datenschutzbeauftragten. Für Einrichtungen, die auch nach den neuen Voraussetzungen einen betrieblichen Datenschutzbeauftragten benennen müssten, ergibt sich demnach kein Handlungsbedarf. Für Einrichtungen, die zwischen 10 und 20 Personen beschäftigen, die ständig mit der Datenverarbeitung beschäftigt sind, fällt eine Bestellpflicht weg. Der Einrichtung bleibt es in diesen Fällen unbenommen, die Benennung des betrieblichen Datenschutzbeauftragten aufrechtzuerhalten. In den Fällen, in denen sich Einrichtungen allerdings für eine Änderung entscheidet, dürfte es sich formell um eine Abberufung des betrieblichen Datenschutzbeauftragten handeln – auch wenn es eher um eine Erledigung des Amtes handelt als um eine klassische Abberufung. Die Folge hiervon wäre dann aber in jedem Fall der nachgelagerte Kündigungsschutz des § 37 Abs. 4 KDG (im Falle einer internen Lösung).

Eine weitere Neuerung findet sich in § 36 Abs. 5 KDG, wonach nunmehr klargestellt wird, dass auch juristische Personen als betriebliche Datenschutzbeauftragte benannt werden können. Damit können nunmehr externe Dienstleister in Form von Unternehmen direkt als betriebliche Datenschutzbeauftragte anstelle einer hierfür tätigen natürlichen Person benannt werden.