Die neue KDG-DVO – Datenschutz durchführen

Schreiben Sie eine Antwort

Die Durchführungsverordnung zum KDG ist so etwas wie die unscheinbare kleine Schwester des KDG: Sie steht im Schatten des KDG und ist wohl viel weniger präsent als das eigentliche kirchliche Datenschutzgesetz. Dennoch hat sie eine hohe Praxisrelevanz für alle Verantwortliche, die das KDG anwenden.

Eine komplizierte Anordnung von Zahnrädern und Treibriemen.
(Foto von Philippe Krief auf Unsplash)

Mit der Novelle des KDG wurde dieses Mal gleich auch die KDG-DVO novelliert – 2018 erfolgte der Beschluss der neuen Durchführungsverordnung erst im November, im März 2019 trat sie in Kraft. Damit ist jetzt das katholische Datenschutzrecht in einem Guss erneuert.

Inhalte Verbergen
1 Grundprinzipien der Novelle
2 Wesentliche Neuerungen
2.1 § 2 Schulungspflicht
2.2 § 3: Verpflichtungserklärungen
2.3 § 4: IT-Systeme
2.4 § 6: Technische und organisatorische Maßnahmen
2.5 § 7: Überprüfung der ToMs
2.6 Datenschutzklassen und Datenschutzniveau
2.7 Kapitel 5: Besondere Gefahrenlagen
2.7.1 § 18: Cloud-Systeme
2.7.2 § 21: Nutzung privater Systeme
2.7.3 § 25: Faxen
3 Fazit

Grundprinzipien der Novelle

Der Normtext der neuen KDG-DVO ist als Lesefassung beim VDD abrufbar.

Vieles in der neuen KDG-DVO ist Hausmeisterei. Übergangsvorschriften braucht es nun nicht mehr, sie sind durchweg weggefallen. Generell wird technikoffener und häufiger mit Bezug auf den »Stand der Technik« und damit zukunftssicherer formuliert.

Während 2018 Arbeiten außerhalb der Arbeitsstätte noch Ausnahmen waren, ist Remote-Arbeiten jetzt eine Selbstverständlichkeit. Das vollzieht die Novelle an einigen Stellen nach. Ein deutliches Beispiel ist die Seelsorge (§ 14 KDG-DVO). War dort bisher die Seelsorge »im Rahmen einer Online-Beratung« eher als Ausnahme formuliert, wird die medial vermittelte Seelsorge mit der neuen Formulierung nun als Normalfall gesehen, bei dem nur noch zu regeln ist, was außerhalb geschlossener Netze zu beachten ist.

Wesentliche Neuerungen

§ 2 Schulungspflicht

§ 2 KDG-DVO, mit dem bisher die Belehrung und Verpflichtung auf das Datengeheimnis geregelt wurde, erhält einen neuen Absatz 7, der zu einer regelmäßigen Schulung von Mitarbeitenden (dazu gehören in diesem Kontext auch Ehrenamtliche) verpflichtet – implizit galt das bisher schon. Weitere Ausführungen gibt es zur Schulungspflicht nicht. »Regelmäßig« sollte daher risikoangemessen ausgelegt werden. Der Unterschied zwischen der bisher schon geregelten »Belehrung« und der »Schulung« liegt laut der Begründung darin, dass eine Belehrung sich auf das konkrete Aufgabengebiet bezieht, die Schulung allgemeiner ist.

§ 3: Verpflichtungserklärungen

Bei den Inhalten der Verpflichtungserklärungen auf das Datengeheimnis ändert sich nichts. Gestrichen wird aber die Bestimmung, dass auf Grundlage der KDO abgegebene Erklärungen wirksam bleiben. Unklar ist, ob der Gesetzgeber damit beabsichtigt, nun nur noch Verpflichtungserklärungen nach KDG zu aktzeptieren, oder ob man davon ausgeht, dass es keine KDO-Verpflichtungserklärugen gibt – das dürfte unwahrscheinlich sein, weil das KDG erst seit sieben Jahren gilt. Da in § 2 Abs. 6 »Verpflichtung auf das Datengeheimnis gemäß § 5 KDG« (eigene Hervorhebung) ergänzt wurde, dürfte wohl der ersten Interpretation der Vorzug zu geben sein.

Die Abweichungen zwischen § 4 KDO und § 5 Abs. 1 KDG sind minimal: Eine Anpassung auf DSGVO-Terminologie (»verarbeiten« statt »erheben, verarbeiten, nutzen«) und eine Pflicht, nicht nur auf das Datengeheimnis, sondern auch auf die »Einhaltung der einschlägigen Datenschutzregelungen« zu verpflichten. Da das Datengeheimnis nach KDO schon die unbefugte Verarbeitung umfasst, ist diese Ergänzung lediglich klarstellend und regelt nichts Neues.

§ 4: IT-Systeme

Was als IT-System gilt, wurde nun technikoffen und umfassend definiert: »sämtliche technischen Einrichtungen, mittels derer personenbezogene Daten automatisiert verarbeitet werden« (Abs. 1). Auch der zweite Absatz formuliert nun allgemeiner und zählt beispielhaft aktuellere Systeme auf. Genannt werden die drei Kategorien hardwarebasierte IT-Komponenten, Softwarelösungen sowie cloudbasierte Systeme und Dienste.

§ 6: Technische und organisatorische Maßnahmen

  • Bei der Verschlüsselung (§ 6 Abs. 1 lit. b)) wird nun »geeignet« näher ausgeführt: auf dem Stand der Technik und dem jeweiligen Sicherheitsbedarf angemessen.
  • Bei der Zugangskontrolle (§ 6 Abs. 2 lit. b)) wird nun neben IT-Systemen auch auf Benutzerzugänge abgehoben. ToMs sollen ausdrücklich Datenpannen Identitätsdiebstahl verhindern, insbesondere auch außerhalb geschlossener und gesicherter Netzwerke.
  • Das Trennungsgebot (§ 6 Abs. 2 lit. i)) bezieht sich nun ausdrücklich nur auf personenbezogene Daten; zuvor waren es allgemein Daten.
  • Ein neuer Punkt ergänzt die Pflicht, Datenminimierung bei der Auswahl von IT-Systemen zu berücksichtigen (§ 6 Abs. 2 lit. k)).

§ 7: Überprüfung der ToMs

Es wird nicht mehr nur auf geeignete Zertifikate gemäß § 26 Abs. 4 KDG verwiesen, sondern spezifiziert, dass sich solche Zertifikate an den Veröffentlichungen des BSI orientieren sollen. Alternativ ist auch eine Orientierung an anderen Regelungen zulässig, die einen vergleichbaren Schutzstandard gewährleisten (insbesondere ISO/IEC 27001).

Datenschutzklassen und Datenschutzniveau

Die beiden Paragraphen zu Datenschutzklassen und Datenschutzniveau (§§ 8 und 9 KDG-DVO) wurden neu organisiert. Das soll eine größere Klarheit ohne inhaltliche Änderungen bewirken.

Bei den Bestimmungen zu den einzelnen Klassen und Niveaus gibt es einige Veränderungen:

  • Ausdrücklich geregelt wird nun bereits in Klasse I eine Mehr-Faktor-Authentifizierung für sicherheitskritische Bereiche und für Zugriffe außerhalb gesicherter Netze – faktisch dürfte damit eine allgemeine Zwei-Faktor-Pflicht bestehen (§ 11 Abs. 2 lit. b)).
  • In Klasse II werden die Anforderungen an Passwörter genauer und zeitgemäßer bestimmt (§ 12 Abs. 2 lit. a)). Erfreulich ist, dass eine regelmäßige Erneuerung in Übereinstimmung mit den Empfehlungen des BSI nun nicht mehr zwingend vorgesehen ist. Stattdessen müssen Passwörter »ausreichend komplex« sein, die Erneuerung muss »nach dem jeweiligen Sicherheitsbedarf« erfolgen. Praktisch ist eine regelmäßige anlasslose Erneuerung persönlicher Passwörter damit unnötig.

Kapitel 5: Besondere Gefahrenlagen

Im Kapitel 5 über »besondere Gefahrenlagen« werden Cloud-Systeme in einem neuen § 18 KDG-DVO geregelt. Das ist strukturell sehr ungeschickt: § 18 eröffnet das Kapitel, damit verschieben sich alle bisherigen Paragraphen ab da um eins. Das hätte man schöner regeln können, ohne dass aus rein formalen Gründen unzählige Datenschutzkonzepte fehleranfällig mit neuen Nummern versehen werden müssen.

§ 18: Cloud-Systeme

Inhatlich wirkt § 18 sinnvoll. Es sollen primär geprüfte und freigegebene Cloud-Systeme eingesetzt werden (Abs. 1). Für die Prüfung wird ein Kriterienkatalog genannt, der Aspekte wie den Speicherort, Portabilität und Abhängigkeit vom Anbieter berücksichtigt (Abs. 2). Sehr sinnvoll ist die ausdrückliche Vorgabe, beim Einsatz zugleich eine Exit-Strategie zu definieren (Abs. 3).

§ 21: Nutzung privater Systeme

Die Regeln zur Weiterleitung von Mails an private Accounts wurden deutlich verschärft: Zuvor war lediglich die automatische Weiterleitung dienstlicher E-Mails untersagt, nun ist allgemein die Weiterleitung personenbezogener Daten an private Accounts unzulässig. Dennoch sind Ausnahmeregelungen möglich, »soweit das datenschutzrechtliche Schutzniveau, insbesondere nach dem KDG oder dieser Durchführungsverordnung, nicht unterschritten wird« (§ 21 Abs. 4 KDG-DVO).

Ein neuer Absatz 5 legt fest, dass Mitarbeitende sicherstellen müssen, dass unberechtigte Dritte keinen Zugriff auf dienstliche personenbezogene Daten haben.

§ 25: Faxen

Der Paukenschlag kommt ganz zum Schluss. Statt detaillierter Regelungen zum Faxen heißt es nun ganz kompakt: »Die Übermittlung personenbezogener Daten per Fax ist grundsätzlich unzulässig.« Es können aber »Ausnahmen, insbesondere Übergangsbestimmungen« vorgesehen werden, dazu braucht es »spezifische Bestimmungen«. Angesichts der apodiktischen Formulierung dürften solche Ausnahmen langfristig eigentlich nur zu rechtfertigen sein, wo Behörden auf die Übermittlung per Fax bestehen.

Die komplette Streichung kam im Laufe des Anhörungsverfahrens dazu – der Anhörungsentwurf hatte den Fax-Paragraphen noch unverändert gelassen.

Fazit

Die Änderungen an der KDG-DVO sind durchweg schlüssig und tragen zu einem zeitgemäßen Datenschutzniveau bei. Hilfreich ist vor allem, dass der jeweilige Stand der Technik stark gemacht wird und auf Entwicklungen wie die Normalisierung von Remote-Arbeit reagiert wurde.

Sehr gelungen sind die (erst im Anhörungsverfahren) neu hinzugekommenen Regelungen zu Cloud-Systemen und der Mut, sich vom Faxgerät zu verabschieden.

Weiterhin ist mit der KDG-DVO der hauptberuflich-dienstliche Kontext im Blick, wo Ehrenamtliche nur zusätzlich vorkommen. Und das, obwohl sie unterschiedslos auch für rein ehrenamtliche Strukturen wie viele kirchliche Vereine und Verbände gilt. Mit einer vereinseigenen IT-Infrastruktur ist § 21 KDG-DVO wahrscheinlich irgendwie umzusetzen; hier gibt es aber nach wie vor viel zu tun, um übliche Arbeitsweisen in ehrenamtlichen Kontexten abzusichern. Das wäre eine Aufgabe für die Dachorganisationen und oberen Ebenen der Verbände und Handreichungen der Datenschutzaufsichten – und perspektivisch auch für den kirchlichen Gesetzgeber: Wenn er schon so detaillierte und spezifische Regelungen aufstellt, sollte er auch die Fülle der verschiedenen kirchlichen Verantwortlichen im Blick haben.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert