Begriffsbestimmungen (§ 3 DSG-EKD)
In Anlehnung an § 3 Abs. 11 BDSG wird in § 3 Abs. 13 DSG-EKD der Begriff des „Beschäftigten“ näher definiert. Als kirchliche Besonderheit gelten auch die in einem Pfarrdienst oder in einem kirchlichen Beamtenverhältnis stehende Personen als Beschäftigte.
Des Weiteren ist der Begriff der „IT-Sicherheit“ aufgenommen worden (§ 3 Abs. 14 DSG-EKD). Dieser umfasst den Schutz der mit Informationstechnik erhobenen und verarbeiteten Daten insbesondere vor unberechtigtem Zugriff, vor unerlaubten Änderungen und vor der Gefahr des Verlustes, um deren Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten.
Unabdingbare Rechte der betroffenen Person (§ 7 DSG-EKD)
Herausgearbeitet wurde zudem eine klare Zweckbindung der Daten, die im Zusammenhang mit der Geltendmachung eines datenschutzrechtlichen Betroffenenrechts (Auskunftsrecht, Lösch-oder Sperrungsanspruch, Anzeige eines vermuteten Datenschutzverstoßes) erhoben oder verarbeitet werden. Diese Daten dürfen nur im Rahmen der sich aus der Geltendmachung ergebenden Pflichten verwendet werden.
Videobeobachtung und Videoaufzeichnung (§ 7aDSG-EKD)
Der Bereich der Videobeobachtung und -aufzeichnung wurde umfassend neu geregelt. Hierbei hat man sich an den entsprechenden Regelungen zum Einsatz von Videotechnik im Entwurf eines Beschäftigtendatenschutzgesetzes orientiert.
Der Einsatz von Videotechnik in öffentlich zugänglichen und besonders gefährdeten nicht öffentlich zugänglichen Bereichen innerhalb und außerhalb von Dienstgebäuden, ist nunmehr zulässig zur Ausübung des Hausrechts, zum Schutz von Personen und Sachen oder zur Überwachung von Zugangsberechtigungen.
Eine Speicherung der erhobenen Bilddaten ist grundsätzlich nur zulässig, wenn konkrete Anhaltspunkte vorliegen, dass zukünftig mit Rechtsgutsverletzungen zu rechnen ist. Zudem besteht eine strenge Zweckbindung der Daten, von der nur in engen Grenzen abgewichen werden kann.
Die Videoüberwachung darf grundsätzlich nicht heimlich erfolgen und löst eine Benachrichtigungspflicht gegenüber dem Betroffenen aus.
Die erstellten Aufzeichnungen sind spätestens nach einer Woche zu löschen. Ausnahmen bestehen, wenn diese beispielsweise für ein gerichtliches Verfahren oder polizeiliche Ermittlungstätigkeiten benötigt werden.
Die verantwortliche Stelle muss ein separates Verzeichnis zur Videotechnik führen. In diesem sind u.a. Zweck und Rechtsgrundlage der Überwachung, Kreis der zugriffsberechtigten Personen, Interessenabwägung, getroffenen technisch-organisatorische Maßnahmen, Art der Geräte, Standort, räumlicher Überwachungsbereich sowie Art und Dauer der Überwachung zu dokumentieren.
Der Einsatz der Videoüberwachung ist alle zwei Jahre auf den Prüfstand zu stellen.
Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten im Auftrag ( § 11 DSG-EKD)
Der § 11 DSG-EKD entspricht nun dem § 11 BDSG. Das Vertragswerk zur Auftragsdatenverarbeitung muss sich inhaltlich an dem Regelungskatalog des § 11 Abs. 2 DSG-EKD orientieren. Die verantwortliche Stelle ist ferner zur regelmäßigen Überprüfung der Dienstleister verpflichtet.
Anrufung der Beauftragten für den Datenschutz (§ 17 DSG-EKD)
Aufgenommen wurde ein Diskriminierungsverbot von Betroffenen, die sich an den Beauftragten für den Datenschutz wenden. Für entsprechende Eingaben ist der Dienstweg nicht verpflichtend.
Rechtsstellung und Aufgaben des Beauftragten für den Datenschutz (18, 18a, 18b, 19 DSG-EKD)
Der Bereich wurde umfassend überarbeitet. Relevant ist vor allem, dass nunmehr mindestens alle zwei Jahre den kirchenleitenden Organen über ihre Tätigkeit zu berichten ist (Tätigkeitsbericht).
Betriebsbeauftragte und örtlich Beauftragte für den Datenschutz (§ 22 DSG-EKD)
Aus der Soll-Vorschrift zur Bestellung wurde eine Ist-Vorschrift. Liegen die Voraussetzungen für eine Bestellung eines Betriebsbeauftragten oder einen örtlich Beauftragten für den Datenschutz vor, hat die verantwortliche Stelle hinsichtlich der Bestellung keinen Ermessensspielraum mehr, sondern muss die Bestellung zwingend vornehmen.
Den Betriebsbeauftragten und örtlich Beauftragten für den Datenschutz hat die verantwortliche Stelle die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen, die erforderlichen Kosten zu tragen und die dazu notwendige Freistellung, ohne Minderung der Bezüge oder des Erholungsurlaubes, zu veranlassen.
Rechtsverordnungen des Rates der Evangelischen Kirche in Deutschland
An vielen Stellen finden sich zusätzliche Befugnisse des Rates der EKD zum Erlass konkretisierender Rechtsverordnungen:
- zur Gewährleistung der IT-Sicherheit (neu)
- zur Durchführung von Datenschutzaudits
- zum Erlass von Übermittlungsbefugnissen mit Genehmigungsvorbehalt einer anderen kirchlichen Stelle
- zum Erlass von Durchführungsbestimmungen und ergänzenden Bestimmungen
Welche Maßnahmen sind kurzfristig zu treffen?
Kurzfristig sind Maßnahmen im Bereich des Einsatzes von Videotechnik und der Auftragsdatenverarbeitung zu treffen. Konkret bedeutet dies, dass ein Verfahrensverzeichnis zum Einsatz von Videotechnik zu erstellen ist und die derzeitigen Prozesse zur Speicherung und Verarbeitung des Videomaterials zu überprüfen sind.
Hinsichtlich der Auftragsdatenverarbeitung müssen die bestehenden Verträge auf Konformität zum neuen § 11 Abs. 2 DSG-EKD geprüft und ggfls. angepasst werden. Zudem muss der Dienstleister hinsichtlich der getroffenen technisch-organisatorischen Maßnahmen regelmäßig geprüft werden.
Synopse
Die Änderungen wurden in einer Synopse zusammengetragen. Zum Teil wurde auf die farbliche Kenntlichmachung verzichtet, wenn dadurch der Lesefluss erheblich gestört worden wäre. Gleiches gilt für grammatikalische Anpassungen.