Datenschutz in der Katholischen Kirche Sicherheit und Ordnungsgemäßheit kirchlicher Datenverarbeitung Arbeitshilfe Nr. 100

Stand: 29. Oktober 2015

Einführung in das Datenschutzrecht der katholischen Kirche – Eine Erstinformation für Mitarbeiter –

Der Diözesandatenschutzbeauftragte des Erzbistums Hamburg, der Bistümer Hildesheim, Osnabrück und des Bischöflich Münsterschen Offizialats in Vechta i.O.

Einführung in das Datenschutzrecht der katholischen Kirche Eine Erstinformation für Mitarbeiter

Inhalt I.

Das Anliegen dieser Schrift ................................................................................. 3

II.

Einführung .......................................................................................................... 4

III. Das Anliegen des Datenschutzes ........................................................................ 5 IV.

Grundlegende Forderungen des Datenschutzes .................................................. 6 1.

Der Gesetzesvorbehalt ..................................................................................... 6

2.

Erforderlichkeit der Datenerhebung, ihrer Speicherung und Verarbeitung ............... 8

3.

Unmittelbarkeit der Datenerhebung ..................................................................10

4.

Die strenge Zweckbindung...............................................................................11

5.

Die Rechte der Betroffenen ..............................................................................12

6.

Übersicht über die Rechte der Betroffenen .........................................................13

7.

Datenschutzgerechte Organisation der Einrichtung .............................................14

8.

Besondere Verfahren ......................................................................................16 Automatisierte Abrufverfahren .........................................................................16 Auftragsdatenverarbeitung ..............................................................................17

Herausgeber: Der Diözesandatenschutzbeauftragte der norddeutschen Bistümer Schwachhauser Heerstraße 67 • 28211 Bremen •  0421 / 16 30 19 25 Internet: http://www.datenschutz-kirche.de E-Mail: [email protected] Erscheinungsdatum: 29. Oktober 2015

Das Anliegen dieser Schrift Die Anordnung über den kirchlichen Daten-

das Recht auf informationelle Selbstbestim-

schutz – KDO verpflichtet alle kirchlichen

mung bedeutet und welche Maßnahmen und

Dienststellen und Einrichtungen, ihre bei der

Verhaltensweisen erforderlich sind, um es zu

Verarbeitung personenbezogener Daten täti-

schützen. Auf diese Weise soll jenes kritische

gen Mitarbeiterinnen und Mitarbeiter mit den

Bewusstsein gefördert werden, dass als un-

Vorschriften dieser Anordnung und weiterer

abdingbare Voraussetzung für die Wahrung

Vorschriften zum Datenschutz vertraut zu

des Persönlichkeitsrechts Dritter angesehen

machen.

werden kann.

Diese Verpflichtung trifft somit:

Gleichzeitig sollen alle Dienstvorgesetzten in ihrer Aufgabe, die Mitarbeiterinnen und Mitarbeiter über ihre Pflichten zu belehren, un-

- das Bistum, die Kirchengemeinden, die

terstützt werden.

Kirchenstiftungen und die Kirchengemeindeverbände

Diese Schrift kann selbstverständlich nicht

- den Diözesan-Caritasverband sowie seine Fachverbände,

alle Fragen beantworten, die sich aus der täg-

ohne Rücksicht auf ihre jeweilige Rechts-

lichen Praxis heraus ergeben können. Sie

form

stellt jedoch einen Einstieg dar, der zu einem

Untergliederungen

und

- alle sonstigen kirchlichen Körperschaften,

verstärkten Problembewusstsein und zu wei-

Stiftungen, Anstalten, Werke und Einrich-

teren Nachfragen in kritischen Situationen

tungen unabhängig von ihrer Rechtsform.

führen soll. Hannover, im September 2015

Vertraut machen bedeutet dabei mehr, als den Mitarbeiterinnen und Mitarbeitern den Wortlaut, der jeweils geltenden Vorschriften zugänglich zu machen. Vielmehr sollen diese fähig werden, ihre Verpflichtung aus § 4 KDO zur Wahrung des Datengeheimnisses zu erfüllen. Danach ist es ihnen untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Dies kann aber nur dann gelingen, wenn sie über die wesentlichen Grundsätze des Datenschutzes belehrt werden, wie Ziff. II Abs. 1 Nr. 1 der Durchführungsverordnung zur KDO (KDO-DVO) dies ausdrücklich verlangt. In dem Maße in dem die Mitarbeiterinnen und Mitarbeiter mit personenbezogenen Daten in Kontakt kommen, sind sie auch Teil der verantwortlichen Stelle und somit auch für die Wahrung der Rechte anderer Betroffener mitverantwortlich. Die nachfolgenden Kapitel wollen daher einen ersten Überblick darüber verschaffen, was 3

Einführung Sie sind Mitarbeiterin oder Mitarbeiter der katholischen Kirche. Sie haben es sich zur beruflichen Aufgabe gemacht, Menschen durch ihren christlichen Dienst zu helfen. Dabei sind sie zumeist in den Bereichen der Verkündigung, der Lehre oder der Diakonie tätig. Sie erfahren immer wieder, dass ihre Arbeit ein hohes Maß an Vertrauen voraussetzt. In der Kirche wird daher schon seit langer Zeit das Beicht- und Seelsorgegeheimnis gewahrt auf dessen Einhaltung die betroffenen Personen vertrauen. Darüber hinaus bestehen weitere Verschwiegenheitspflichten. Beispielsweise für Sozial- und Personaldaten. Für bestimmte Berufe hat der Gesetzgeber eine Verschwiegenheitspflicht über Privatgeheimnisse einzelner Personen verfügt und durch einen Straftatbestand in § 203 StGB abgesichert. Dies gilt unter anderem für Ärzte, Angehörige anderer Heilberufe, Berufspsychologen, Ehe-, Familien-, Erziehungs- oder Jugendberater, Berater für Suchtfragen, Mitglieder einer Schwangerschaftsberatungsstelle sowie staatlich anerkannte Sozialarbeiter oder Sozialpädagogen und deren Gehilfen. Aber die Erfüllung dieser Verschwiegenheitspflichten reicht in der heutigen Zeit allein nicht mehr aus. Das Bundesverfassungsgericht hat festgestellt, dass jedem Menschen ein Recht auf „informationelle Selbstbestimmung“ zustehe. „Jeder müsse daher selbst darüber entscheiden können, wer, wann, was und bei welcher Gelegenheit über ihn weiß“ (BVerfG Urt. vom 15.12.1983). Dieses Grundrecht setzt also schon zu einem sehr viel früheren Zeitpunkt an. Es erfasst auch die Erhebung, Verarbeitung und Nutzung personenbezogener Daten oder ganz einfach ausgedrückt: die Schweigepflicht entscheidet nur darüber, welche Daten ich weitergeben darf oder für mich behalten muss, der Datenschutz regelt, ob ich diese Daten überhaupt kennen und im dienstlichen Bereich weiterverarbeiten darf. Auf der anderen Seite können Sie Ihre Aufgabe nur dann erfüllen, wenn sie über die Person, die Sie betreuen auch etwas wissen. Das informationelle Selbstbestimmungsrecht gilt daher nicht uneingeschränkt. Es kann durch Rechtsvorschriften eingeschränkt werden, um eine ordnungsgemäße Bearbeitung dienstlicher Aufgaben zu ermöglichen. In § 3 Abs. 1 der Anordnung über den kirchlichen Datenschutz (KDO) ist dies verpflichtend festgestellt:

Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist nur zulässig, soweit 1. diese Anordnung oder eine andere kirchliche oder eine staatliche Rechtsvorschrift sie erlaubt oder anordnet oder 2. der Betroffene eingewilligt hat. Hierzu korrespondiert das in § 4 KDO festgelegte Datengeheimnis:

Den bei der Datenverarbeitung tätigen Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis schriftlich zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

4

Das Anliegen des Datenschutzes Bedroht wird das Recht auf informationelle Selbstbestimmung vor allem, durch die moderne Informations- und Kommunikationstechnik. Es bestehen umfassende und scheinbar unbegrenzte Möglichkeiten der Datengewinnung, ihrer Speicherung und Auswertung. Der Mensch ist in Gefahr „gläsern“ zu werden. Dadurch wird auch sein Persönlichkeitsrecht eingeschränkt. Er verliert zunehmend die Fähigkeit eigenen Interessen zu folgen, selbstbestimmte Entscheidungen zu treffen und seine Persönlichkeit zu entfalten, wenn er stets besorgt sein muss, dass andere negative Konsequenzen hieraus ziehen. So ist beispielsweise einem Diakon im Nebenamt die Kündigung durch seinen weltlichen Arbeitgeber angedroht worden, weil dieser hiervon auf einer Internetseite erfahren hat und mit dieser Nebentätigkeit nicht einverstanden war. Eine ehrenamtliche Tätigkeit im Fußballverein hätte er wahrscheinlich nicht beanstandet. Der Bürger ist auch kaum noch imstande, zu erkennen, wo überall Daten über ihn erhoben und für welche Zwecke sie genutzt werden. Soziale Netzwerke, permanente Videoüberwachung, Cloud-Systeme, Spähprogramme, die jede Bewegung im Netz aufzeichnen und eine neu geplante Vorratsdatenspeicherung sind nur einige Beispiele hierfür. Wie gläsern der Mensch geworden ist, ist am Beispiel des NSA-Skandals feststellbar geworden. Eine weitere Bedrohung des Persönlichkeitsrechts stellt die in der Datenverarbeitung häufig anzutreffende Methode dar, alle Informationen schematisch zu erfassen und die Beschreibung der Fakten bei gleichzeitiger Trennung von dem ihnen zugrundeliegenden Sachverhalt vorzunehmen. Hierzu ein Beispiel: Ein Schüler schwänzt mehrfach den Unterricht. Der Schulpsychologe stellt fest, dass dieser Schüler Angst vor einem Klassenkameraden hat, von dem er ständig bedroht und gequält wird. Im Schulcomputer ist nur die Zahl der unentschuldigt gefehlten Stunden festgehalten, nicht jedoch der Grund der hierzu geführt hat. Bei einem etwaigen Schulwechsel würde die Übermittlung dieses Datums dazu führen, dass der Schüler auf der neuen Schule von Anfang an als notorischer Schulschwänzer behandelt wird, weil man dort den wirklichen Sachverhalt nicht kennt. Der Datenschutz möchte diese belastenden Auswirkungen für die Betroffenen nach Möglichkeit verhindern, zumindest aber abmildern. Nicht umsonst ist in der Charta der Grundrechte der Europäischen Union in Art. 8 festgelegt worden:

Artikel 8 Schutz personenbezogener Daten (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

5

Grundlegende Forderungen des Datenschutzes 1. Der Gesetzesvorbehalt Die Daten dürfen nur mit Einwilligung der Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. So bestimmt es die freiheitliche Verbürgung des Art. 8 der Charta der Grundrechte der Europäischen Union. In der Anordnung über den kirchlichen Datenschutz (KDO) ist dieser Grundsatz in § 3 Abs. 1 verwirklicht. Er bestimmt:

§3 Zulässigkeit der Datenerhebung, -verarbeitung oder -nutzung (1) Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist nur zulässig, soweit 1. diese Anordnung oder eine andere kirchliche oder eine staatliche Rechtsvorschrift sie erlaubt oder anordnet oder 2. der Betroffene eingewilligt hat. Erheben ist dabei das Beschaffen von Daten über den Betroffenen (Definition aus § 2 Abs. 3 KDO). Verarbeiten bezieht sich auf das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten (so § 2 Ab. 4 KDO). Schließlich ist Nutzung jede Verwendung personenbezogener Daten, soweit es sich nicht bereits um Verarbeitung handelt (so § 2 Abs. 5 KDO). Durch diese drei im Zusammenhang zu sehenden Begriffe wird also die gesamte Datenverarbeitung von der ersten Kenntnis von Informationen bis hin zu ihrer Löschung erfasst. Dabei muss es sich jedoch um „personenbezogene Daten“ handeln. Auch hier kommt uns die KDO zur Hilfe und definiert den Begriff in ihrem § 2 Abs. 1 als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Juristische Personen wie bürgerlich rechtliche Gesellschaften, Vereine, Stiftungen oder Körperschaften des öffentlichen Rechts fallen nicht hierunter. Wichtig ist hierbei, dass ein konkreter Personenbezug hergestellt werden kann, die betreffenden Informationen also einer bestimmten natürlichen Person zugeordnet werden können. Das ist zum Beispiel auch dann der Fall, wenn ohne Namensnennung anhand bestimmter Kriterien festgestellt werden kann, auf welche Person die Mitteilungen zutreffen („Die Person über die ich spreche, hat ein besonders auffälliges Muttermal am rechten Arm…“, jeder der den Menschen mit dieser Auffälligkeit kennt, weiß Bescheid.). Bei der Kennzeichnung von Personengruppen handelt es sich dann um personenbezogene Daten, wenn erkennbar ist, wer der Gruppe angehört und die Tatsachen auf ihn „durchschlagen“. Zum Beispiel wenn ein Betroffener aufgrund statistischer Werte als Mitglied einer bestimmten „Käuferschicht“ eingestuft und auch so behandelt wird. Der Datenschutz greift immer dann ein, wenn Informationen einem Menschen direkt oder indirekt zurechenbar sind. In diesem Falle besteht die Möglichkeit, dass er durch deren Verarbeitung in seinem Persönlichkeitsrecht beeinträchtigt wird. Ohne seine Zustimmung dürfen diese Daten nur aufgrund einer kirchlichen oder staatlichen Rechtsvorschrift verarbeitet werden. Dabei muss die Norm aus Sicht des Betroffenen erkennen lassen, was über ihn gewusst werden darf, zu welchen Angaben er verpflichtet ist und welche er nur freiwillig zu machen braucht. Diese Notwendigkeit führt in vielen Fällen zum Erlass bereichsspezifischer Vorschriften.

6

Die norddeutschen Diözesen (Erzbistum Hamburg, Diözesen Hildesheim und Osnabrück und das Offizialat Vechta) haben neben der KDO zurzeit folgende bereichsspezifische Vorschriften erlassen: •

Anordnung über das kirchliche Meldewesen (KMAO)

•

Anordnung zum Schutz personenbezogener Daten in katholischen Schulen in freier Trägerschaft

•

Anordnung über den Sozialdatenschutz in der freien Jugendhilfe in kirchlicher Trägerschaft

•

Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern

•

Ordnung zum Schutz von personenbezogenen Daten bei Friedhöfen in kirchlicher Trägerschaft

•

Anordnung über die Sicherung und Nutzung der kirchlichen Archive (KAO)

•

Ordnung zur Prävention von sexualisierter Gewalt an Kindern, Jugendlichen und erwachsenen Schutzbefohlenen (PrävO)

Aber auch staatliche Vorschriften sind auf kirchliche Dienststellen anwendbar, wenn sie als allgemeines Gesetz erlassen worden sind. Das gilt unter anderem für eine Fülle von Sozialvorschriften im Pflegebereich (SGB XI), im Krankenhausbereich (SGB V), in der Kinder- und Jugendhilfe (SGB VIII), im Kindertagesstättenbereich (Landesgesetze), im Meldewesen (Bundesmeldegesetz - BMG) und natürlich auch bei Vorschriften zur Telekommunikation (Telemediengesetzt - TMG). Über die kirchlichen Datenschutzvorschriften informiert die Seite http://www.datenschutz-kirche.de Veröffentlichungen der Bundesgesetze können eingesehen und ausgedruckt werden unter http://www.gesetze-im-internet.de/aktuell.html Sind für Ihre Aufgabe keine gesetzlichen Regelungen der Kirche oder anwendbare staatliche Vorschriften erlassen worden, dürfen Sie die Datenverarbeitung nur mit Einwilligung der Betroffenen vornehmen. Das Verfahren hierzu ist in § 3 Abs. 2 und Abs. 4 KDO geregelt. •

Die Einwilligung ist in der Regel schriftlich zu erteilen (§ 3 Abs. 2 Satz 3).

•

Sie muss freiwillig erfolgen und kann jederzeit widerrufen werden (§ 3 Abs. 2 Satz 2).

•

Die Freiwilligkeit setzt voraus, dass der Betroffene über den Zweck der Erhebung, Verarbeitung und Nutzung informiert worden ist (§ 3 Abs. 2 Satz 1).

•

Sollen besondere Arten von Daten verarbeitet werden, muss sich die Einwilligung ausdrücklich hierauf beziehen (§ 3 Abs. 4).

•

Über die rechtmäßigen Folgen der Verweigerung einer Einwilligung muss der Betroffene hingewiesen werden (§ 3 Abs. 2 Satz 1).

•

Die Einwilligungserklärung ist im Erscheinungsbild so hervorzuheben, dass sie nicht übersehen werden kann und ihre Bedeutung für die Datenverarbeitung sichtbar wird (§ 3 Abs. 2 Satz 4).

In der Regel sollte für die erforderlichen Einwilligungserklärungen ein zweckdienliches Formular bereitgehalten werden. In diesem sind die Zwecke der Datenverarbeitung und eine eventuelle Weitergabe der Daten in bestimmten Fällen anzugeben. Auf die Widerrufsmöglichkeit ist ausdrücklich hinzuweisen. Die Unterschrift sollte getrennt von anderen Erklärungen erfolgen.

7

Die nachfolgenden datenschutzrechtlichen Vorgaben müssen auch bei freiwilliger Datenvereinbarung eingehalten werden! Der Datenschutz darf nicht durch Vereinbarungen „ausgehebelt“ werden!

Was wird von mir erwartet? Ich muss mich darüber informieren, welche Datenschutzvorschriften für meinen Tätigkeitsbereich erlassen worden sind. Ich muss die dort festgelegten Regeln hinsichtlich des Umfangs der Datenerhebung, der Verarbeitung und Nutzung einhalten. Liegen keine rechtlichen Regelungen vor, darf ich die Daten nur mit freiwilliger Einwilligungserklärung der Betroffenen erheben, verarbeiten und nutzen.

2. Erforderlichkeit der Datenerhebung, ihrer Speicherung und Verarbeitung Die KDO bestimmt an mehreren Stellen, dass nur die Daten verarbeitet werden dürfen, die zur Erfüllung der dienstlichen Aufgaben erforderlich sind. In § 9 Abs. 1 wird dies schon für die Datenerhebung festgelegt. Ebenso wird dies für die Speicherung, Veränderung und Nutzung personenbezogener Daten in § 10 Abs. 1 bestimmt. Weitere Vorschriften, die den Erforderlichkeitsgrundsatz beinhalten sind § 10a Abs. 1 (Datenverarbeitung im Arbeitsverhältnis), § 11 Abs. 1 (Datenübermittlung an kirchliche Stellen) und § 12 Abs. 1 (Datenübermittlung an nicht-kirchliche Stellen). Welche Daten sind aber erforderlich und dürfen daher erhoben, gespeichert und verarbeitet werden? Können die Dienststellen und Einrichtungen nach eigenem Belieben hierüber entscheiden? In vielen bereichsspezifischen Vorschriften finden sich Angaben über den Umfang der zulässigen Datenerhebung. Sie konkretisieren damit den Anwendungsbereich von § 9 KDO, mit der Folge, dass nur der dort jeweils wiedergegebene Datenkatalog zur rechtmäßigen Aufgabenerfüllung erforderlich ist. • So ergibt sich für Schulen aus § 1 Abs. 1, 2 der Anordnung zum Schutz personenbezogener Daten in katholischen Schulen in freier Trägerschaft (SchulDO), welche Informationen über Schüler und Eltern gespeichert werden dürfen. Weitere Daten dürfen insoweit nur mit Einwilligung der Betroffenen gespeichert werden (siehe: § 1 Abs. 3 SchulDO). • Für Krankenhäuser ist der Umfang der Datenverarbeitung durch § 2 Abs. 1 der Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern (KrhDSO) geregelt und orientiert sich dabei an den standesrechtlichen Dokumentationspflichten und der Notwendigkeit zur Abrechnung der erbrachten Leistungen.

8

• Die Träger kirchlicher Friedhöfe haben in dieser Hinsicht § 1 Abs. 1 - 4 der Ordnung zum Schutz von personenbezogenen Daten bei Friedhöfen in kirchlicher Trägerschaft zu beachten. • Für Kindertagesstätten im Bistum Hildesheim ist der Datenumfang bei der Anmeldung durch § 3 Abs. 2 und bei der Aufnahme zusätzlich durch § 5 Abs. 4 der Ordnung zur Regelung der Betreuungsverhältnisse in katholischen Tageseinrichtungen für Kinder festgelegt worden. Eine Rechtsgrundlage besteht auch immer dann, wenn eine gesetzlich geregelte Mitteilungs- und Auskunftspflicht gegenüber öffentlichen Stellen besteht. Die Beschaffung der hierfür notwendigen Informationen ist stets erforderlich. In allen anderen Fällen ist zunächst die Aufgabe, zu deren Unterstützung die Datenverarbeitung eingesetzt werden soll, klar zu definieren. Sodann ist zu fragen, welche Informationen nicht fehlen dürfen ohne dass die Aufgabenerfüllung gefährdet wäre. Hat eine Dienststelle beispielsweise die Aufgabe, Zahlungen an Dritte zu bewirken, so ist für die ordnungsgemäße Erstellung des Überweisungsträgers die Kenntnis des vollständigen Namens des Kontoinhabers, die Bezeichnung der kontoführenden Stelle, die Bankleitzahl, die Kontonummer und die Höhe des Zahlungsbetrages erforderlich. Diese Daten dürfen also in diesem Zusammenhang erhoben werden, mehr nicht. Der Diözesandatenschutzbeauftragte kann die Einhaltung dieser Verpflichtung überwachen (§ 18 Abs. 1 KDO). Besondere Vorsicht ist geboten, wenn besondere Arten personenbezogener Daten verarbeitet werden sollen. Nach § 2 Abs. 10 KDO handelt es sich hier um Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Nicht dazu gehört die Zugehörigkeit zu einer Kirche oder sonstigen Religionsgemeinschaft. Die Zulässigkeit der Erhebung solcher Daten ist an das Vorliegen einer der in § 9 Abs. 5 Ziff. 1 bis 9 KDO festgelegten Voraussetzung gebunden. Hierbei kann es sich wiederum um eine gesetzliche Regelung handeln (Ziff. 1), die Zustimmung des Betroffenen liegt vor (Ziff. 2), der Betroffene hat die Daten offenkundig öffentlich gemacht (Ziff. 4), sie sind zum Zwecke der Gesundheitsvorsorge, Diagnostik und Behandlung erforderlich (Ziff. 7), dienen der wissenschaftliche Forschung, die nur hiermit realisiert werden kann (Ziff. 8), der Eingehung und Durchführung eines Arbeitsverhältnisses (Ziff. 9) und der Schutz lebenswichtiger Interessen oder einer erheblichen Gefahr für die öffentliche Sicherheit und Ordnung handelt (Ziff. 3 und 5). Trotz der genannten Ausnahmetatbestände ist der Anwendungsbereich für die Erhebung und Verarbeitung besondere Arten personenbezogener Daten stark eingeschränkt und reglementiert. Und das zu Recht. Es muss verhindert werden, dass vollständige Persönlichkeitsprofile erstellt werden können und diese auch noch zu Entscheidungen gegenüber den Betroffen zugrunde gelegt werden. Beispiel: Ein junger Erwachsener hat auf Facebook ein Foto veröffentlicht, dass ihn im Vollrausch zeigt und auf das er sich heroisch beruft, nach dem Motto „Seht her, zu was ich imstande bin und was ich aushalten kann.“ Darf ich unter Berufung auf die Ausnamevorschrift in Ziffer 4 jetzt den Umstand, dass diese Person ein Alkoholproblem hat, erheben und speichern? Schließlich hat er doch seinen Alkoholmissbrauch „offensichtlich öffentlich“ gemacht. Darf ich sogar

9

Entscheidungen über die Gewährung eines Arbeitsplatzes oder über seine Kreditwürdigkeit daraus herleiten? Die Antwort ist eindeutig. Wenn die Verarbeitung geeignet ist, die Grundfreiheiten der Betroffenen zu gefährden, ist diese Ausnahme nicht anwendbar. Andernfalls wären diese Daten weit weniger geschützt, als „normale“ Daten, die dem Grundsatz der Zweckbindung unterliegen. Ziffer 4 ist daher nur bei öffentlichen Register, Teilnehmerverzeichnissen oder Auflistungen zu berücksichtigen.

Was wird von mir erwartet? Ich muss zunächst prüfen, ob bereichsspezifische Regelungen bestehen, die den Umfang der Datenerhebung verbindlich festlegen. In vielen Fällen ist eine Auskunftspflicht gegenüber Behörden gesetzlich geregelt. Die Erhebung, der hierfür notwendigen Daten ist daher auch erforderlich. Liegen keine rechtlichen Regelungen vor, sind folgende Überlegungen durchzuführen: ● Welche Daten sind für eine ordnungsgemäße Verarbeitung erforderlich? ● Sind sie in allen Fällen notwendig oder ist ihre Kenntnis nur in Einzelfällen erforderlich? ● Werden die Betroffenen durch die Erhebung, Speicherung und Verarbeitung erheblichen in ihrem Persönlichkeitsrecht verletzt?

3. Unmittelbarkeit der Datenerhebung Wenn feststeht, welche personenbezogenen Informationen erhoben und verarbeitet werden dürfen, so ist die Beschaffung dieser Daten nach § 9 Abs. 2 KDO in der Regel beim Betroffenen selbst durchzuführen. Auf diese Weise wird sichergestellt, dass der Einzelne erkennen kann, was über ihn gewusst wird. Sein Persönlichkeitsrecht wird hierdurch weitgehend geschützt. Die Erhebung bei ihm gewährleistet in der Regel auch, dass die gespeicherten Daten inhaltlich richtig sind. Die unmittelbare Erhebung erfolgt in der Regel durch die Verwendung von Fragebögen, Aufnahmeverträgen, Personalbögen und anderen Formularen, die vom Betroffenen jeweils selbst ausgefüllt werden. In der heutigen Zeit ist jedoch auch eine direkte Eingabe der Informationen in das Datenverarbeitungssystem der Dienststelle in Anwesenheit des Betroffenen möglich. Hierbei muss jedoch immer für den Einzelnen erkennbar bleiben, wofür seine Daten benötigt und gespeichert werden. Notfalls ist dies von der aufnehmenden Person zu erläutern. Nur in drei Ausnahmefällen darf die Datenerhebung in anderer Weise erfolgen. 1. Wenn eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt.

10

2. Wenn die Aufgabe nur erfüllt werden kann, wenn eine Erhebung bei Dritten stattfindet (z.B. bei Ermittlungen) 3. Und dann nämlich, wenn eine direkte Befragung des Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte für die Verletzung seiner schutzwürdigen Interessen bestehen. Der im kirchlichen Bereich wichtigste Fall hierfür ist das Meldewesen. Es beruht auf den Bestimmungen des Bundesmeldegesetzes (BMG) und der Anordnung über das kirchliche Meldewesen (KMAO) und stellt somit einen Ausnahmefall im Sinne der ersten Alternative dar. Darüber hinaus kann eine Erhebung bei Dritten dann notwendig werden, wenn Angaben des Betroffenen überprüft werden müssen oder wenn der Betroffene, trotz Aufklärung über seine Mitwirkungspflichten, die erforderlichen Informationen verweigert.

Was wird von mir erwartet? Eine Datenerhebung ohne Mitwirkung des Betroffenen gefährdet sein informationelles Selbstbestimmungsrecht Sie darf daher nur in den geregelten Ausnahmefällen erfolgen. Bei der Speicherung und Nutzung dieser Daten ist die Erforderlichkeit und die strenge Zweckbindung (Kapitel 4) in besonderer Weise sicherzustellen.

4. Die strenge Zweckbindung Die rechtmäßig erhobenen Daten dürfen nach § 10 Abs. 1 KDO immer nur für solche Zwecke verarbeitet und weitergegeben (§§ 11 Abs. 1 Ziff. 2, 12 Abs. 1 Ziff. 1 KDO) werden, für die sie ursprünglich erhoben oder erstmals gespeichert worden sind. An dieser Stelle ist noch einmal an die Ausführungen zur Erforderlichkeit der Datenerhebung zu erinnern, wo verlangt wurde, dass vor Erhebung der Daten feststehen müsse, für welche dienstlichen Aufgaben sie benötigt werden. Es erscheint selbstverständlich und folgerichtig, dass sie anschließend auch nur für diese Zwecke gespeichert und genutzt werden dürfen. Hat der Betroffene selbst bei der Erhebung der Daten mitgewirkt, so ist ihm auch mitgeteilt worden, wofür sie benötigt werden. Daher darf er auch darauf vertrauen, dass sie tatsächlich nur für die ihm mitgeteilten Zwecke genutzt werden. Sind im Einzelfall die Daten ohne ihn erhoben worden, so muss er erst recht davor geschützt werden, dass diese zu allen möglichen Zwecken verwendet und ausgewertet werden und er schließlich nicht mehr überschauen kann, was alles und an welchen Stellen über ihn gewusst wird. Nur dann, wenn diese Voraussetzung erfüllt ist, kann der Betroffene selbst wirklich frei darüber entscheiden, welche Informationen er über sich preisgeben will. Andernfalls wird er entweder

11

die entsprechenden Angaben verweigern oder mit dem für ihn bedrückenden Gefühl leben müssen, nicht zu wissen, wer sonst noch Kenntnis dieser Daten erlangen wird und in welcher Weise diese gegen ihn verwendet werden können. Der Zweckbindungsgrundsatz ist daher die wichtigste und entscheidendste Grundlage für den Datenschutz insgesamt. Durchbrochen wird dieser Grundsatz nur in den Fällen, die § 10 Abs. 2 Ziff. 1 – 10 KDO festlegt. In Ziffer 1 wird dabei auf eine gesetzliche Erlaubnis zurückgegriffen, in Ziffer 2 auf die Einwilligung des Betroffenen und in Ziffer 5 auf die allgemeine Zugänglichkeit der Daten (z.B. Telefonbuch oder andere veröffentlichte Auswahlverzeichnisse). Die weiteren Ausnahmetatbestände beziehen sich auf bestimmte Gefahrensituationen oder wissenschaftliche Forschungsarbeiten. 5. Die Rechte der Betroffenen Die beste Kontrolle, so heißt es, geht immer vom Betroffenen selbst aus. Deshalb muss sich die Datenverarbeitung auch von ihm kontrollieren lassen. Hierzu sind ihm eine Reihe wichtiger Rechte eingeräumt: 1. Er kann erwarten, dass seine Daten nur auf einer Rechtsgrundlage oder mit seiner Einwilligung erhoben, gespeichert und verarbeitet werden. 2. Er kann erwarten, dass besondere Arten personenbezogener Daten nur unter den einschränkenden Voraussetzungen zum Gegenstand der Datenverarbeitung gemacht werden. 3. Er kann verlangen, dass ihm Auskunft über die zu seiner Person gespeicherten Daten erteilt wird (Prinzip der Offenheit). 4. Er kann erwarten, dass seine Daten nur für die Zwecke genutzt werden, für die sie auch erhoben worden sind. 5. Darüber hinaus hat er das Recht, sich gegen eine unberechtigte Datenverarbeitung zu wehren und zu verlangen, dass sie eingestellt wird; 6. unzulässig gespeicherte oder nicht mehr benötigte Daten gelöscht werden; 7. unrichtige Daten berichtigt werden; 8. Daten, deren Richtigkeit bestritten ist, gesperrt und nicht mehr genutzt werden. Eine umfangreiche Liste hierzu ist in dieser Schrift unter Ziffer 6 beigefügt. Die Gewährleistung dieser Rechte ist von den datenverarbeitenden Stellen selbst vorzunehmen. Im Streitfall kann sich der Betroffene an den zuständigen Datenschutzbeauftragten wenden. Auch die Dienststelle hat die Möglichkeit, sich an den Datenschutzbeauftragten zu wenden, wenn Unklarheit über ihre Verpflichtungen besteht. Für jede kirchliche Verwaltung sind daher Antworten auf folgende Fragen zu finden: •

Werden die Betroffenen jeweils über die Art der Datenverarbeitung unterrichtet? Gibt es schriftliche Hinweise oder Aushänge mit entsprechenden Informationen?

•

Gibt es ein geregeltes Beschwerdeverfahren, das den Betroffenen über die zuständige Stelle informiert und darüber, wo er sie erreichen kann?

•

Besteht eine Offenheit gegenüber Beschwerden? Werden die Betroffenen mit ihren Problemen, Fragen und Anregungen ernst genommen oder eher nach dem Motto behandelt „Wer sich beschwert, ist hier nicht willkommen!“.

12

•

Welche Mitarbeiter sind für die Auskunftserteilung an den Betroffenen zuständig? Macht das jeder Mitarbeiter, der die Sache bearbeitet oder eine zentrale Stelle?

•

Wie wird mit besonderen Auskunftswünschen umgegangen? Kann der Betroffene Fotokopien einzelner Unterlagen bekommen oder sich den Datensatz auf einen eigenen Speicherstick kopieren lassen?

Folgendes ist dabei zu bedenken: Auch eine rechtmäßige Datenverarbeitung greift in das grundrechtlich geschützte Recht des Betroffenen auf informationelle Selbstbestimmung ein. Deshalb sollte jeder, der geltend machen will, dass datenschutzrechtliche Vorschriften nicht eingehalten worden sind, mit großem Respekt behandelt werden! 6. Übersicht über die Rechte der Betroffenen Probleme aus Sicht der Betroffe-

Ihm zur Verfügung stehende

nen

Rechte

Daten des Betroffenen sollen in Akten oder elektronischen Dateien verarbeitet werden.

Bestehen einer Rechtsvorschrift oder Einwilligungserklärung und Aufklärungspflicht über die Zwecke der Datenverarbeitung.

§ 3 Abs. 1 Ziff. 1, § 3 Abs. 1 Ziff. 2

Es sind dabei besondere Arten personenbezogener Daten betroffen.

Einwilligung muss sich ausdrücklich auf diese Daten beziehen.

§§ 2 Abs. 10, 3 Abs. 4, 9 Abs. 5

Es ist eine Vorabkontrolle durchzuführen.

§ 3 Abs. 5 Ziff. 1

Vertraulichkeit der Daten

Verpflichtung zur Wahrung des Datengeheimnisses.

§ 4 KDO

Datenerhebung ohne Kenntnis des Betroffenen.

Daten sind grundsätzlich beim Betroffenen zu erheben. Nur in Ausnahmefällen darf die Datenerhebung ohne seine Mitwirkung stattfinden.

§ 9 Abs. 2

Er ist über die Erhebung, Verarbeitung und Nutzung dieser Daten zu unterrichten.

§ 13a Abs.1

Der Betroffene weiß nicht, was über ihn gespeichert wird.

Recht auf Auskunft über die über ihn gespeicherten Daten

§ 13 Abs. 1

Es werden unzulässige Informationen gespeichert.

Anspruch auf Löschung

§ 14 Abs. 2 Ziff. 1

Es werden Informationen gespeichert, die nicht mehr erforderlich sind.

Anspruch auf Löschung

§ 14 Abs. 2 Ziff. 2

Die gespeicherten Daten sind unrichtig oder

Anspruch auf Berichtigung

§ 14 Abs. 1

es besteht Streit über die Richtigkeit der gespeicherten Daten.

Anspruch auf Sperrung

§ 14 Abs. 4, 7

Daten werden für andere Zwecke, als den Erhebungszweck genutzt.

Durchbrechung der Zweckbindung nur in den in Ziff. 1 bis 10 genannten Fällen statthaft.

§ 10 Abs. 2, 5

13

Vorschriften der KDO

Unrichtige oder gesperrte Daten wurden an andere Stellen übermittelt.

Benachrichtigung der Datenempfänger

§ 14 Abs. 8

Daten werden in unzulässiger Weise weitergegeben.

Anspruch auf Unterlassung

§ 823 BGB

Rechte werden nicht ausreichend gewährt.

Anrufung des Datenschutzbeauftragten

§ 15

Eine Dienststelle veranlasst den Betroffenen, durch Vertrag oder Allgemeine Geschäftsbedingungen auf seine Rechte zu verzichten.

Verzicht auf Auskunftserteilung, Berichtigung, Löschung oder Sperrung ist rechtsunwirksam.

§ 5 Abs. 1

Dem Betroffenen entsteht finanzieller Schaden durch unrichtige Datenverarbeitung

Anspruch auf Schadensersatz in unbegrenzter Höhe

§ 823 BGB

7. Datenschutzgerechte Organisation der Einrichtung Um die Einhaltung der vorgenannten Forderungen sicherzustellen bedarf es organisatorischer Maßnahmen, die durch § 6 KDO und die Bestimmungen der hierzu ergangenen Durchführungsverordnung (KDO-DVO) einschließlich der Anlagen 1 (Beschreibung der Ziele der Datensicherung) und 2 (Regelung für Arbeitsplatzcomputer) und den gleichzeitig verkündeten IT-Richtlinien festgelegt wurden. Der Wille allein, mit personenbezogenen Daten sorgsam umgehen zu wollen, reicht nicht aus. Im Alltag einer datenverarbeitenden Stelle werden immer wieder, gewollt oder ungewollt, Fehler oder Missverständnisse auftreten. Es ist auch nur allzu menschlich, wenn Mitarbeiter mehr wissen wollen, als ihnen zugestanden werden kann. Schließlich kann das Verhalten Dritter die Vertraulichkeit oder Integrität der Datenverarbeitung beeinträchtigen. In einem allgemeinen "Chaos" hat der Datenschutz keine Überlebenschance. Zu Recht wird daher verlangt, dass bei der Verarbeitung personenbezogener Daten, die notwendigen technischen und organisatorischen Rahmenbedingungen zum Schutz dieser Daten getroffen werden. In der Anlage 2 zur Regelung des Einsatzes von Arbeitsplatzcomputern wird verbindlich festgelegt, dass hierzu alle selbständigen Systeme der Datenverarbeitung gehören. Neben PCs und PC-Netzwerken sind auch tragbare Geräte, wie Notebooks, Tablets und Mobiltelefone einbezogen worden. Mischformen, wie Convertibles (gleichzeitig als Tablet oder Notebook nutzbar) oder Phablets (gleichzeitig Smartphone & Tablet) werden ebenfalls erfasst, da sie die Voraussetzungen zumindest eines, der festgelegten Geräte erfüllen. Lediglich die für die einseitige Nutzung bestimmter Zwecke festgelegten Geräte, wie ein Teil der E-Book-Reader, werden nicht erfasst. Diese Geräte sollten sich überwiegend im Eigentum der Dienststelle befinden und entsprechend von ihnen mit Sorgfalt genutzt werden. Nur in Ausnahmefällen erlaubt Ziffer 5.1 die dienstliche Nutzung privater Datenverarbeitungssysteme. Sie bedarf der Genehmigung durch den Dienststellenleiter. Wenn dabei eine Verbindung mit dem Dienstserver aufgebaut werden kann, muss eine eingehende Sicherung durch ein Mobile Device Management erfolgen. Der Mitarbeiter muss dann damit einverstanden sein, dass er nicht mehr allein die Verfügungsgewalt über sein mobiles Endgerät ausüben kann.

14

Weiterhin zu beachten ist, dass Kenntnisse, die dem Beicht- oder Seelsorgegeheimnis oder dem Adoptionsgeheimnis unterliegen, nicht elektronisch verarbeitet werden dürfen. Anlage 2 bestimmt dies in Ziffer 4.4

Nicht elektronisch zu verarbeitende Daten Daten, deren Kenntnis dem Beicht- oder Seelsorgegeheimnis unterliegen sowie Daten über die Annahme einer Person an Kindes Statt (Adoptionsgeheimnis) sind in besonders hohem Maße schutzbedürftig. Ihre Ausspähung oder Verlautbarung würde dem Vertrauen in die Verschwiegenheit katholischer Dienststellen und Einrichtungen schweren Schaden zufügen. Daher dürfen diese Daten nicht auf APC verarbeitet werden, es sei denn, es handelte sich um aus dem staatlichen Bereich übernommene Daten. Die Verantwortlichkeit für eine datenschutzrechtliche Verwendung aller dienstlich genutzten Geräte liegt sowohl bei der Dienststellenleitung (Anlage 2, Ziffer 3.2) wie auch bei den Mitarbeitern (Anlage 2, Ziffer 3.1), zu denen auch ehrenamtlich tätige Personen gehören. Die Leitung hat ein generelles Datenschutzkonzept zu erstellen und legt dabei auch fest, welche Daten auf den oben genannten Geräten verarbeitet werden dürfen. Die Mitarbeiter tragen die Verantwortung für die vorschriftsmäßige Ausübung ihrer Tätigkeit. Beide Seiten haben gemeinsam die drei Grundforderungen der Datensicherheit sicherzustellen: „Verfügbarkeit – Vertraulichkeit – Korrektheit“. Als Mindestanforderungen sind nach Ziffer 3.4 der Anlage 2 folgende Punkte anzusehen: • Erstellung eines Verzeichnisses nach 3a Abs. 4 KDO • Abgabe der Verpflichtungserklärung nach § 4 KDO aller Mitarbeiter, die mit der elektronischen Verarbeitung personenbezogener Daten beschäftigt sind. • Den beauftragten Mitarbeitern ist die KDO, KDO-DVO, für sie geltende bereichsspezifische Regelungen sowie Dienstanordnungen und Dienstvereinbarungen in geschäftsüblicher Weise zugänglich zu machen. • Sicherstellung, dass auf dienstlich genutzten Geräten nur autorisierte Software eingesetzt wird.

Was wird von mir erwartet? Ich muss bereit sein, eine datenschutzgerechte Arbeitsweise mitzutragen! Die Verfügbarkeit der Daten muss auch durch meine Mitwirkung sichergestellt sein (z.B. Datensicherung, Einsatz von Firewalls, Virenschutzprogrammen, etc.). Ich muss durch aufmerksames Verhalten dazu beitragen, dass nur inhaltlich richtige Daten gespeichert werden. Ich muss meinen Beitrag zur Vertraulichkeit der Daten leisten! (z.B. Geheimhaltung meiner Zugangsberechtigung) Ich muss die Anordnungen der Geschäftsleitung zum Umgang mit der elektronischen Datenverarbeitung und der Nutzung von Internetzugängen einhalten!

15

8. Besondere Verfahren Automatisierte Abrufverfahren Von einem automatisierten Abrufverfahren spricht man dann, wenn es die dateiführende Stelle anderen Stellen ermöglicht, direkten Zugriff auf die eigenen Datenbestände zu nehmen. Ist die abrufende Person Mitarbeiter der dateiführenden Stelle, so ergeben sich zu den bisherigen Erläuterungen keine Unterschiede. Ist der Datenempfänger jedoch Dritter im Sinne von § 2 Abs. 9 KDO, so ist für die Einrichtung und Durchführung des Verfahrens § 7 KDO zu beachten. Die Einrichtung eines automatisierten Abrufverfahrens bedarf keiner ausdrücklichen Genehmigung. Der Diözesandatenschutzbeauftragte ist jedoch von ihrer Einrichtung, unter Mitteilung der Festlegungen nach § 7 Abs.2 KDO zu unterrichten – § 7 Abs. 3 KDO. Das Verfahren ist zweistufig geregelt. Auf der ersten Stufe ist die Frage der Zulässigkeit und der Kontrollmöglichkeiten nach § 7 Abs. 2 KDO zu entscheiden. Die beteiligten Stellen haben dabei schriftlich festzulegen: 1. Anlass und Zweck des Abrufverfahrens. 2. Dritte, an die übermittelt wird. 3. Art, der zu übermittelnden Daten. 4. Nach § 6 erforderliche technisch-organisatorische Maßnahmen. Die Frage nach der Zulässigkeit des einzelnen Abrufs (zweite Stufe) entscheidet sich hingegen nach § 7 Abs. 4 KDO. Dabei liegt die Verantwortung des Abrufs in erster Linie bei der empfangenden/abrufenden Stelle. Die speichernde Stelle hat jedoch stichprobenartig zu überprüfen, ob ausschließlich Anfragen nach den Festlegungen aus Absatz 2 durchgeführt werden.

Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt die empfangende Stelle – § 7 Abs. 4 Satz 1 KDO. Sie hat dabei die Vorschriften der §§ 3, 9, 10 KDO zu beachten. Insoweit kann auf die vorangegangenen Ausführungen verwiesen werden.

Was wird von mir erwartet? Als Mitarbeiter(in) der abfragenden Stelle muss ich prüfen, ob ein Abruf nach den getroffenen Festlegungen zulässig ist. Der Abruf darf nur für die vereinbarten Zwecke erfolgen!

16

Auftragsdatenverarbeitung Dienststellen und Einrichtungen, die die Verarbeitung und/oder Nutzung personenbezogener Daten "außer Haus" durchführen lassen, haben § 8 KDO zu beachten. Dabei sind vor allem zwei Dinge von entscheidender Bedeutung: 1. der Auftragnehmer ist nicht „Dritter" im Sinne der Datenschutzvorschriften. Dies ergibt sich unmittelbar aus § 2 Abs. 9 KDO. Rechtlich besteht also kein Unterschied, ob die Dienstelle ihre Daten durch eigene Mitarbeiter oder durch ein Serviceunternehmen (z.B. Kirchliches Rechenzentrum, KDOS) verarbeiten lässt. 2. Der Auftraggeber bleibt der "Herr der Daten“. Rechtlich ist er weiterhin als die speichernde Stelle anzusehen (§ 2 Abs. 8 KDO). Er behält die volle Verfügungsgewalt über die gespeicherten Informationen und damit auch die Verantwortung dafür, dass mit ihnen datenschutzgerecht umgegangen wird. Die Verantwortung kann also nicht delegiert werden. Das hat eine Reihe weitreichender Folgen. So bestimmt § 8 Abs. 1 Satz 2 KDO ausdrücklich, dass die Rechte des Betroffenen dem Auftraggeber gegenüber geltend zu machen sind. Dieser muss daher auch Schadensersatz leisten, wenn dem einzelnen durch eine fehlerhafte Verarbeitung seiner personenbezogenen Daten ein Schaden entsteht. Wichtiger Hinweis: Um ein Auftragsverhältnis im Sinne von § 8 KDO handelt es sich nicht, wenn der Auftragnehmer wegen seiner besonderen Sachkompetenz in Anspruch genommen wird, und der Auftraggeber ihm einen eigenen Ermessens- und Beurteilungsspielraum zugesteht. Überträgt eine Dienststelle die Anfertigung ihrer Bilanz und der darauf fußenden Steuererklärungen einem Steuerberater, liegt kein Auftrag im Sinne dieser Vorschrift vor. Hieraus wird auch die Regelung in § 8 Abs. 2 KDO verständlich, nach der der Auftragnehmer besonders sorgfältig auszuwählen und alle Möglichkeiten der eigenen Absicherung und des Schutzes der Daten durch schriftlichen Vertrag auszuschöpfen sind. Die folgenden Punkte sind in einem derartigen Vertrag zu regeln, wobei im Einzelfall weitere hinzukommen können: - Der Auftragnehmer muss sich hinsichtlich der Auftragsdurchführung der Aufsicht und Kontrollrechte des Auftraggebers unterwerfen (Abs. 2 Ziff. 7) - Der zu erbringende Leistungsumfang ist präzise festzulegen, und zwar a) hinsichtlich der Dauer des Auftrags, b) nach der Art, der zu verarbeitenden Daten (Feldinhalte der Datenbank), c) nach dem Kreis, der hiervon betroffenen Personen, d) nach der Art der einzelnen Arbeiten (erfassen, verändern, übermitteln, löschen), e) hinsichtlich der dabei anzuwendenden Programme, d) hinsichtlich der zu erstellenden Auswertungen, Ausdrucke, usw. ... - Die nach § 6 KDO zu treffenden technisch-organisatorischen Maßnahmen, wie a) die Durchführung des Transports oder der Versendung des Datenmaterials sowie Ort und Zeitpunkt der Auslieferung/Abholung und die hierfür autorisierten Personen, b) Die Aufbewahrung und Verwendung der Datenträger, einschließlich der Sicherungskopien, die Fristen zu ihrer Aufbewahrung und das Verfahren zu ihrer späteren Vernichtung.

17

c) die Maßnahmen zum Schutz dieser Daten (z.B. Einsatz von Verschlüsselungsprogrammen) - Die Zulässigkeit der Einschaltung von Subunternehmen und gegebenenfalls die genaue Festlegung, um welche Unternehmen es sich dabei handelt. - Die Erklärung, dass er den Weisungen des Auftraggebers über die Verarbeitung und Nutzung der Daten Folge leisten wird. Dabei sollen auch die Folgen eines Verstoßes (Konventionalstrafe, Kündigungsrecht) festgelegt werden. Da der Auftraggeber einerseits für die Ordnungsmäßigkeit der Datenverarbeitung verantwortlich bleibt, andererseits aber nicht immer erkennen kann, welche Risiken durch die Ausführung seiner Weisungen entstehen, sieht § 8 Abs. 3 KDO eine Hinweispflicht des Auftragnehmers vor, die den Auftraggeber vor Schaden bewahren soll. Ein Muster zur Abfassung von Auftragsdatenverarbeitung ist auf der Internetseite des Diözesandatenschutzbeauftragten im Bereich „Themen“ unter dem Stichwort „Auftragsdatenverarbeitung“ zu finden: Vertrag zur Auftragsdatenverarbeitung nach § 8 KDO Weitere Muster sind auf der Webseite des Diözesandatenschutzbeauftragten zu finden und sollten in entsprechenden Fällen auch als Einstieg genutzt werden: Vertrag zur Hardwarewartung Vertrag zur Fernwartung Mustervertrag zur Vernichtung von Datenträgern nach DIN 663999

18