Checkliste Auftragsverarbeitung nach KDG und DSG-EKD

Kaum eine Einrichtung dürfte ohne Auftragsverarbeitung auskommen: Das Hosting der eigenen Webseite, IT- und Versand-Dienstleistungen und andere Verarbeitungen werden meist extern gelöst. Um das rechtskonform abzubilden, braucht es in der Regel einen Auftragsverarbeitungsvertrag. Viele Dienstleister haben auch schon fertige Musterverträge. Aber schon im Geltungsbereich der DSGVO sind die oft nicht vollständig und korrekt – im kirchlichen Bereich kommt erschwerend dazu, dass Musterverträge selten auf die Existenz anderer Rechtsordnungen und Aufsichtsregime als nach der DSGVO Rücksicht nehmen, und allein mit dem Verweis ist es auch nicht getan.

Symbolbild Auftragsverarbeitung: Eine Brille liegt auf einem Vertrag.
(Bildquelle Mari Helin on Unsplash)

Für die Prüfung von DSGVO-Auftragsverarbeitungsverträgen hat die Berliner Landesdatenschutzaufsicht eine ausführliche und detaillierte Checkliste nebst Ausfüllhinweisen veröffentlicht. Bevor man damit aber Auftragsverarbeitungen im kirchlichen Bereich prüfen oder gestalten kann, braucht es viel Arbeit: Die entsprechenden Paragraphen im KDG und im DSG-EKD sind teils sehr unterschiedlich aufgebaut – und dazu kommen Besonderheiten, die es nur in den kirchlichen Gesetzen gibt. Hier hilft eine KDG- und DSG-EKD-Synopse zur Berliner Checkliste.

Download der Checklisten-Synopse

Die Tabelle mit Synopse und kirchlichen Besonderheiten kann hier heruntergeladen werden.

Die Liste ist ein Work in progress ohne Gewähr – Korrekturen sind gerne gesehen und werden sofort eingearbeitet.

Synopse der Fundstellen in DSGVO, KDG und DSG-EKD

Die Tabelle folgt im Aufbau der Logik der Berliner Checkliste: Nummer, Stichwort und DSGVO-Fundstelle (Spalte 1 bis 3) sind identisch zu den ersten Spalten in der Berliner Liste. In den weiteren Spalten werden jeweils die parallelen Stellen im KDG und im DSG-EKD aufgeführt sowie knapp relevante Unterschiede benannt.

Hilfreiche zusätzliche Informationen und Einschätzungen zur BlnBDI-Checkliste gibt es von Matthias Bergt bei CROnline sowie von Stephan Hansen-Oest.

Besonderheiten in den kirchlichen Datenschutzgesetzen

Als wäre Auftragsverarbeitung nicht anspruchsvoll genug, sind im Geltungsbereich von KDG und DSG-EKD noch jeweils unterschiedliche Besonderheiten zu beachten. In der Praxis führen diese Abweichungen oft zu unüberwindbaren Hürden, wenn Verarbeiter überzeugt werden müssen, für kirchliche Verantwortliche von den Mustern abzuweichen.

Eigene Regelungen des KDG

  • Gemäß § 32 KDG müssen Auftragsverarbeiter mit der kirchlichen Aufsicht zusammenarbeiten. Das sollte vertraglich vereinbart werden. Wie genau, steht nicht im KDG. In ihrem Beschluss vom 4. April 2019 legt die katholische Datenschutzkonferenz aber fest, dass es einen Bezug aufs KDG entweder im Vertrag oder zumindest in einem Anhang oder einer Protokollnotiz benötigt.
  • Auftragsverarbeitung ist gemäß § 29 Abs. 11 KDG nur im Geltungsbereich der DSGVO und in Drittstaaten mit Angemessenheitsbeschluss zulässig – in Drittstaaten ohne Angemessenheitsbeschluss ist keine Auftragsverarbeitung möglich, auch nicht mit den sonst dafür vorgesehenen Instrumenten. Das ist besonders für die USA relevant.
  • Beim Verarbeitungsverzeichnis gibt es einen kleinen, aber feinen Unterschied zur DSGVO: Zwar ist nach der Grundverordnung auch der Auftragsverarbeiter verpflichtet, ein Verarbeitungsverzeichnis zu führen. Das KDG legt in § 31 Abs. 2 darüber hinaus noch fest, dass diese Pflicht auch vertraglich festzuhalten ist – das fehlt oft in Musterverträgen, weil nach DSGVO nicht nötig.
  • § 29 Abs. 12 legt fest, dass alle Bestimmungen über Auftragsverarbeitung auch bei Fernwartung gelten, wenn ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
  • Neben Verträgen kann Auftragsverarbeitung gemäß § 29 Abs. 3 auch auf Grundlage eines anderen kirchlichen Rechtsinstruments gestaltet werden. Das relevanteste Beispiel sind die in einigen Bistümern weitgehend identisch, aber unter unterschiedlichen Namen erlassenen »Gesetze zur Regelung des Rechtsinstruments nach § 29 Gesetz über den Kirchlichen Datenschutz«, die es zwischen öffentlich-rechtlich verfassten kirchlichen Rechtsträgern innerhalb eines Bistums ermöglichen, statt eines Auftragsverarbeitungsvertrags auf dieses »§-29-Gesetz« zurückzugreifen und die Regeln aus dessen Durchführungsverordnung anzuwenden. (Verlinkt sind die Freiburger Normen.)

Eigene Regelungen des DSG-EKD

  • Das DSG-EKD regelt in § 30 Abs. 5 S. 2 explizit, dass sich Auftragsverarbeiter der kirchlichen Aufsicht unterwerfen müssen. Dafür gibt es gut erläuterte Vorlagen des BfD EKD.
  • § 30 Abs. 6 DSG-EKD legt fest, dass Fernwartungen unter die Normen der Auftragsverarbeitung fallen, wenn ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
  • § 30 Abs. 7 S. 1 DSG-EKD schafft eine Rechtsgrundlage, die es der EKD, ihren Gliedkirchen und deren Zusammenschlüssen zur Regelung ermächtigen, dass vor der Beauftragung die Genehmigung einer kirchlichen Stelle einzuholen ist oder Mustervereinbarungen zu verwenden sind. Gemäß S. 2 können diese Regelungen bei Auftragsverarbeitungsverhältnissen zwischen kirchlichen Stellen auf die in Abs. 3 S. 2 Nr. 3, 5, 7 und 9 und S. 4 DSG-EKD festgehaltenen Anforderungen verzichten. Bislang ist keine entsprechende Regelung bekannt. 

Fazit

Auftragsverarbeitung bleibt kompliziert. Die Synopse zur Berliner Checkliste und die Liste der Besonderheiten ermöglicht es hoffentlich, die teils erheblichen Abweichungen in Struktur und sogar Inhalt bei den kirchlichen Gesetzen zu bewältigen. Änderungsvorschläge und Korrekturen sind gern gesehen!

Der tiefe vergleichende Blick in DSGVO, KDG und DSG-EKD wirft Fragen nach der Ausübung kirchlicher Selbstverwaltung auf: Sicher ist es nutzendenfreundliche, wenn kirchliche Gesetze Aufzählungen im Satz aus der DSGVO in nummerierte Aufzählungen umwandeln – bis man etwas im DSGVO-Kommentar nachschlagen möchte und die Nummerierung und Struktur eigentlich gleicher Regelungen völlig unterschiedlich ist. Besonders ärgerlich ist der Mehraufwand, der durch die besonderen Anforderungen entsteht. Erst recht dann, wenn kleinteilige Abweichungen wie die verpflichtende Aufnahme von gesetzlichen Pflichten in den Vertragstext oder unschöne Formulierungen wie »Unterwerfungserklärungen« kaum Verbesserungen bringen, die Verwendung von unveränderten DSGVO-Mustern aber unmöglich machen. Hier sollten die kirchlichen Gesetzgeber mehr Übereinstimmung mit der DSGVO herstellen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.