Derzeit stehen die Datenschutzbeauftragten kirchlicher Einrichtungen vor einer großen Herausforderung. Auf übergeordneter Ebene ist das Gesetz über den Kirchlichen Datenschutz (KDG) anzuwenden. Dieses wird flankiert durch verschiedene Durchführungsverordnungen und Anordnungen, etwa die Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern oder die Anordnung zum Schutz personenbezogener Daten in katholischen Schulen in freier Trägerschaft. Das Problem: die konkretisierenden Bestimmungen konnten zum Stichtag 24.5.2018 nicht angepasst werden. Dementsprechend gilt für die „alten“ Anordnungen eine Übergangsfrist bis zum 30.06.2019. Bis dahin sind sie im Lichte des KDG anzuwenden. Zugegeben, nicht immer einfach.
Eine erste Anpassung erfolgt nun auf der Ebene der Durchführungsverordnung. Die Durchführungsverordnung zum KDG (KDG-DVO) wurde durch die Vollversammlung des Verbandes der Diözesen Deutschlands beschlossen. Diese soll zum 1.3.2019 in Kraft treten und die „alte“ Durchführungsverordnung zur KDO (KDO-DVO) ablösen. Hierzu bedarf es noch der entsprechenden Beschlüsse durch die Bischöfe für ihre jeweilige Diözese.
Inhaltlich ähnelt die KDG-DVO der KDO-DVO. Prägend bleibt, dass jede verantwortliche Stelle ein Datenschutzkonzept vorhalten muss. Die inhaltlichen Anforderungen werden durch eine im Vorfeld durchzuführende Analyse der Datenverarbeitung definiert. Je nach Sensibilität der Daten erfolgt die Zuordnung zu einer Datenschutzklasse (I bis III). Hieraus resultiert ein entsprechendes Schutzniveau (I bis III), aus dem sich wiederum die zu treffenden Maßnahmen zum Schutz der Daten ableiten.
Der große Pluspunkt der KDG-DVO ist die Anpassung des Anforderungskatalogs an die Weiterentwicklung der technischen Möglichkeiten und Risiken. Zudem ermöglicht das Datenschutzkonzept dem Datenschutzbeauftragten eine Schwerpunktprüfung im Rahmen seiner Aufgabenwahrnehmung. Als kleiner Minuspunkt erweist sich, dass die KDG-DVO kein Muster für ein Datenschutzkonzept bereithält. Ein solches kann aber anhand der KDG-DVO konzipiert werden.
Die KDG-DVO kann hier abgerufen werden.