Menümobile menu

FAQs zum Datenschutz

Grundsätzliches zum Gesetz:

  1. Welches Datenschutzrecht gilt für mich?
    Das Datenschutzgesetz der Kirche DSG-EKD oder die  DSGVO? Wie kann ich das feststellen?

    Das Grundgesetz räumt in Art. 140 GG i. V. m. Art. 137 Abs. 3 Weimarer Reichsverfassung Religionsgemeinschaften das Recht ein, ihre Angelegenheiten selbstständig innerhalb der Schranken des für alle geltenden Gesetzes zu ordnen und zu verwalten.  Die Kirchen in der EU  können ihre Datenschutzregelungen weiterhin anwenden, wenn „sie mit  der DSGVO in Einklang gebracht werden“. Die Evangelischen Kirchen in Deutschland  und die Katholische Kirche haben beide Ende Mai neue Datenschutzgesetze in Kraft treten lassen.

    Alle Kirchengemeinden, Dekanate sowie kirchlichen Einrichtungen des öffentlichen Rechts, fallen automatisch unter das Datenschutzgesetz der Evangelischen Kirche in Deutschland EKD – genannt DSG-EKD. Das gilt auch für alle rechtlich selbständigen Einrichtungen und Organisationen des bürgerlichen Rechts, die der Evangelischen Kirche organisatorisch zugeordnet sind. Wenn Sie eine selbständige Einrichtung in der Evangelischen Kirche in Hessen und Nassau (EKHN) sind und ganz sicher gehen wollen, kontaktieren Sie bitte die Rechtsabteilung der EKHN, Frau Langmaack per E-Mail unter Sabine.Langmaack@EKHN-KV.de.

  2. Wo finde ich die beiden Gesetze?

    Das aktuell gültige Datenschutzgesetz der EKD finden Sie hier: https://www.kirchenrecht-ekd.de/document/39740

  3. Gibt es inhaltliche Unterschiede der beiden Gesetze?

    Das kirchliche Datenschutzgesetz DSG-EKD wurde den einheitlichen europäischen Datenschutzstandards angepasst, gleichzeitig wurden Besonderheiten im kirchlichen Datenschutz berücksichtigt. Wichtige Unterschiede zum DSGVO sind:

    • Die unabhängige Aufsichtsbehörde für den kirchlichen Datenschutz ist der Beauftragte für den Datenschutz der EKD.

    • Ein besonderer Schutz des Beicht- und Seelsorgegeheimnisses.

    • Innerhalb der evangelischen Kirche dürfen Daten über die Zugehörigkeit zu einer Kirche oder Religionsgemeinschaft verarbeitet werden.

    • Bezüglich der Anforderung der Datenminimierung ist die DSG EKD etwas genauer.

    • In § 21 erlaubt das DSG-EKD beim Recht auf Löschung die Einschränkung der Verarbeitung, wenn die Löschung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.

    • Der Beauftragte der EKD darf als Aufsichtsbehörde Geldbußen nur verhängen, wenn eine verantwortliche Stelle als Unternehmen am Wettbewerb teilnimmt wie bspw. eine Diakoniestation.

    • Die Höhe der möglichen maximalen Bußgelder bei Verstößen ist deutlich niedriger als bei der DSGVO, wo kommerzielle Unternehmen betroffen sein können (DSG-EKD maximal 500.000 €, DSGVO maximal bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs eines Unternehmens.

    • Für bestimmte Prozesse wie die Verfahrensverzeichnisse gibt es längere Übergangsfristen.

    • Das DSG EKD schreibt eine Verpflichtung von Mitarbeitenden auf das Datengeheimnis verpflichtend vor.

    • Für die Auftragsdatenverarbeitung gibt es eigene Vorlagen – und es ist wichtig, dass sich die Dienstleister dem kirchlichen Datenschutz unterwerfen

  4. Was ändert sich beim kirchlichen Datenschutz ab 24.5.2018?

    Mit dem neuen DSG-EKD, das konform ist mit der DSGVO, werden vor allem die Rechte und Kontrollmöglichkeiten derjenigen gestärkt, deren personenbezogene Daten verarbeitet werden (Betroffene). Wesentliche Elemente des bisherigen Datenschutzes bleiben erhalten. Viele datenschutzrelevante Sachverhalte sind seit langem durch kirchliche Rechtsvorschriften geregelt. Die neuen Regelungen gehen jedoch – wie in der gesamten EU - über die bisherigen datenschutzrechtlichen Regeln hinaus.

    Die Rechte der Nutzerinnen und Nutzer werden durch neue Transparenz- und Informationspflichten der datenverarbeitenden Unternehmen gestärkt. Betroffene sollen leichter Zugang zu ihren Daten und der Information über deren Nutzung haben. Außerdem wird das bislang nur gerichtlich konstruierte „Recht auf Vergessenwerden“, also der Anspruch auf Löschung personenbezogener Daten, im Gesetz geregelt.

    Neben bereits bekannten Pflichten stellt der neue Datenschutz auch weitergehende Anforderungen: Neu ist beispielsweise die Pflicht für Unternehmen, elektronische Geräte und Anwendungen datenschutzfreundlich voreinzustellen. Ebenfalls neu eingeführt wird die Pflicht zur Datenschutz-Folgenabschätzung bei besonderen Risiken für die erhobenen Daten,  beispielsweise durch neue Technologien.

    Weitere wichtige Änderungen finden Sie hier in der
    Handreichung der EKHN zum Datenschutz

     

  5. Brauche ich einen örtlich Beauftragten für den Datenschutz?

    Der örtlich Beauftragte für den Datenschutz ist zuständig für das interne „Controlling“ des Datenschutzes innerhalb einer kirchlichen Einrichtung.  Ein örtlich Beauftragter für den Datenschutz muss bestellt werden, wenn zehn oder mehr Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten – der Beschäftigten, von Mitgliedern oder Kunden – betraut sind oder wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht.

    Kirchengemeinden benötigen keinen Datenschutzbeauftragten. Bei Dekanaten und kirchlichen Einrichtungen kommt es auf die Größe und die Arbeitszuständigkeiten an. Kontaktieren Sie im Zweifelsfall die Rechtsabteilung der EKHN unter Sabine.Langmaack@EKHN-KV.de. Diakoniestationen müssen immer einen örtlich Beauftragten für den Datenschutz bestellen, weil sie Gesundheitsdaten verarbeiten.

    Wichtige Informationen über die Bestellung von Datenschutzbeauftragten sowie Vorlagen von Bestellungsurkunden finden Sie hier: https://datenschutz.ekd.de/infothek-items/bestellung-von-datenschutzbeauftragten/

  6. Muss ich meine Mitarbeiter und Mitarbeiterinnen in Sachen Datenschutz schulen und auf den Datenschutz verpflichten?

    Das Datengeheimnis ist neben den Vorschriften über die Amtsverschwiegenheit der kirchlichen Mitarbeiter und Mitarbeiterinnen und neben sonstigen Geheimhaltungspflichten zu beachten. Alle entgeltlich und ehrenamtlich tätigen Mitarbeiter und Mitarbeiterinnen, die mit personenbezogenen Daten umgehen, sind bei der Aufnahme ihrer Tätigkeit zur Einhaltung des Datenschutzes zu verpflichten. Diese Verpflichtung beinhaltet auch die Verpflichtung zum Besuch von Schulungen im Datenschutz.
    Ein Merkblatt und die Verpflichtungserklärung finden Sie hier: https://datenschutz.ekd.de/2018/04/25/muster-ans-neue-ekd-datenschutzgesetz-angepasst/

  7. Welche Strafen drohen bei Verletzung des Datenschutzes?

    Bestimmte Handlungen, die einen Verstoß gegen das Datengeheimnis beinhalten, stellen Straftatbestände dar. Danach kann mit Freiheitsstrafe oder mit Geldstrafe bestraft werden, wer

    • unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft (§ 202a StGB „Ausspähen von Daten“),

    • Passwörter Dritten verkauft oder überlässt oder entsprechende Computerprogramme installiert (§ 202c StGB „Vorbereiten des Ausspähens und Abfangens von Daten“),

    • als Berufsgeheimnisträger i. S. v. § 203 Absatz 1 StGB, als dessen berufsmäßig tätige Gehilfen (z. B. Sekretärin, Verwaltungsfachkraft), als beim Berufsgeheimnisträger in Vorbereitung auf den Beruf Tätige (z. B. Praktikant, Auszubildender) oder als sonstige Personen (§ 203 Absatz 3 Satz 2 StGB), die an der beruflichen und dienstlichen Tätigkeit eines Berufsgeheimnisträgers mitwirken (z. B. IT-Administrator), unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs oder Geschäftsgeheimnis offenbart, das ihr oder ihm im Rahmen der beruflichen Tätigkeit anvertraut oder sonst bekannt geworden ist (§ 203 StGB – „Verletzung von Privatgeheimnissen“)

    • rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert (§ 303a StGB „Datenveränderung“).

    Auch weitere Verschwiegenheitsvorschriften und Geheimhaltungspflichten (z. B. dienst- und arbeitsrechtliche Regelungen, Sozialgeheimnis, Brief-, Post- und Fernmeldegeheimnis) sind zu beachten.

  8. Wer ist die Verantwortliche Stelle? In der Gemeinde der Kirchenvorstandsvorsitzende? In Dekanaten der Dekan? In GmbHs der Geschäftsführer… Gibt es dazu Formulierungen?

    „Verantwortliche Stelle” ist jede natürliche oder juristische Person, kirchliche Stelle oder sonstige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, vgl. § 4 Nr. 9 DSG-EKD. In der Kirchengemeinde sind dies jeweils für Ihren Aufgabenbereich der Kirchenvorstand und der Pfarrer bzw. die Pfarrerin und ggf. der oder die Vorsitzende des Kirchenvorstands. Gleiches gilt für das Dekanat. In einer gGmbH ist der Geschäftsführer oder die Geschäftsführerin die verantwortliche Stelle.

  9. Wer ist im Sinne des DSG-EKD als Unternehmen, für das es ja mögliche Geldbußen gibt, zu verstehen? Auch gemeinnützige GmbHs oder e.V., die keine Gewinnerzielungsabsichten haben?
    Der BfD-EKD kann nur dann eine Geldbuße verhängen, wenn eine kirchliche oder diakonische Einrichtung wie ein Unternehmen am Wettbewerb teilnimmt. Ein Unternehmen ist gem. § 4 Nr. 19 DSG-EKD eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personen-, Kapitalgesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen. Dies wird der Fall sein bei diakonischen Einrichtungen, deren Mitbewerber nicht gemeinnützig, sondern gewerblich tätig sind.

  10. Ab wann brauchen Kitas einen Datenschutz-Beauftragten? Gilt da auch die Regel "unter 9 Beschäftigte", die personenbezogene Daten verarbeiten?
    Kindertagestätten benötigen dann einen örtlich Beauftragten für den Datenschutz, wenn bei ihnen in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind. Dies dürfte in keiner Kindertagesstätte der Fall sein.

  11. In wie weit haftet ein Arbeitnehmer einer EKHN-Einrichtung für Schäden, die aus einer fahrlässigen (nicht vorsätzlichen) Datenschutzverletzung entstehen – und ist das im Rahmen der EKHN Sammelversicherung Vermögenschadenversicherung abgedeckt?

    § 12 KDO regelt, dass eine Mitarbeiterin oder ein Mitarbeiter dem Arbeitgeber, dessen Aufgaben wahrgenommen wurden, einen Schaden zu ersetzen hat, wenn vorsätzlich oder grob fahrlässig die obliegenden Pflichten verletzt wurden. Bei einer fahrlässigen Pflichtverletzung wird keine Schadensersatzpflicht begründet. Hier tritt die Versicherung ein. Bei einer grobfahrlässigen oder sogar vorsätzlichen Pflichtverletzung besteht eine Haftung. Insofern gilt im Datenschutz kein anderer Haftungsmaßstab.


    Weiter zu FAQs zu Allgemeinen Prozessen und IT-Prozesse

 

 

to top