.

Rundschreiben Nr. 20/2015 des Landeskirchenamtes an die Kirchenkreise, Kreiskirchenämter, Superintendentinnen und Superintendenten,Verbände Kirchlicher Körperschaften und Ämter und Einrichtungen betreffend
Kirchlicher Datenschutz - Auftragsdatenverarbeitung (Muster zur Anwendung)

Vom 10. August 2015
(Az.: 615.53/00)

#
Die Datenverarbeitung im Auftrag (auch Auftragsdatenverarbeitung genannt) ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch andere kirchliche Stellen oder externe Dienstleister auf Weisung eines kirchlichen Auftraggebers. Sie dient dazu, das Outsourcing datenschutzrechtlich abzusichern. Auftragsdatenverarbeitung sind beispielsweise folgende Dienstleistungen:
  • DV-technische Arbeiten für die Gehaltsabrechnungen, das Haushalts-, Kassen- und Rechnungswesen oder die Bewerberverwaltung,
  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing,
  • die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten,
  • die Backup-Sicherheitsspeicherung und andere Archivierungen,
  • die Datenträgerentsorgung und die Vernichtung von Schriftgut.
Die datenschutzrechtliche Verantwortung für die Einhaltung des Datenschutzes bei dem Dienstleiter verbleibt auch im Falle der Auftragsdatenverarbeitung beim Auftraggeber.
Um die Aspekte des kirchlichen Datenschutzes angemessen zu berücksichtigen, sind die Dienstleister sorgfältig auszuwählen. Dabei sind vor einer Auftragsvergabe nach § 11 des Kirchengesetzes über den Datenschutz der EKD (DSG-EKD)1# insbesondere folgende Punkte zu beachten:
  • sorgfältige Auswahl des Dienstleisters;
  • schriftliche Auftragserteilung;
  • Gegenstand und Dauer des Auftrags;
  • Festlegung der zu übermittelnden Datensätze (Art und Umfang), der Zweckbindung und den Kreis der Betroffenen;
  • angemessene technische und organisatorische Maßnahmen beim Dienstleister sowie ihre Kontrollen durch den Auftragnehmer;
  • Berichtigung, Löschung und Sperrung von Daten;
  • Anwendung des kirchlichen Datenschutzrechts beim Dienstleister und die Verpflichtung der Beschäftigten des Auftragnehmers auf das Datengeheimnis;
  • Hinweis auf mögliche Unterauftragsverhältnisse;
  • Kontrollrechte des Auftraggebers, der für den Datenschutz zuständigen Personen sowie der oder des Beauftragten für den Datenschutz der EKD;
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen;
  • Umfang der Weisungsbefugnis;
  • Rückgabe überlassener Datenträger und die Löschung beim Dienstleister gespeicherter Daten nach Beendigung des Auftrags.
Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Dienstleister getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist schriftlich festzuhalten.
Der Beauftragte für den Datenschutz der EKD hat gemeinsam mit Vertretern aus den Gliedkirchen eine Arbeitshilfe erstellt, um den kirchlichen Stellen die datenschutzkonforme Vertragsgestaltung zu erleichtern. Die Arbeitshilfe (Mustervertrag mit Erläuterungen) ist über die Webseite des Beauftragten für den Datenschutz der EKD abrufbar (https://datenschutz.ekd.de/infothek).
Sofern eine andere kirchliche Stelle mit der Auftragsdatenverarbeitung beauftragt werden soll, kann davon ausgegangen werden, dass die kirchliche Stelle als Auftragnehmer angemessene technische und organisatorische Maßnahmen getroffen hat. Daher besteht die Option, einzelne Bestimmungen der Mustervereinbarung entfallen zu lassen. Nähere Hinweise dazu finden Sie in den Erläuterungen der Arbeitshilfe.
Eine besondere Problematik ergibt sich bei der Auftragsdatenverarbeitung durch sog. Berufsgeheimnisträger (z. B. Personen [Ärzte, Krankenhauspersonal], die dem § 203 StGB unterliegen). Diese vom Berufsgeheimnis geschützten Daten dürfen im Wege der Auftragsdatenverarbeitung nur offenbart werden, wenn die oder der Betroffene eingewilligt hat oder eine gesetzliche Befugnis zur Offenbarung vorliegt.
Mit der Dritten Verordnung zur Änderung der Datenschutzdurchführungsverordnung vom 18. Juni 2015 (KABl. 2015 S. 139) wurde § 4 geändert. Es ist die Genehmigungspflicht der Auftragsdatenverarbeitung mit externen Anbietern entfallen. § 4 Satz 2 DSVO2# sieht vor, dass die örtlich Beauftragten oder die Betriebsbeauftragten für den Datenschutz vor bzw. bei Abschluss von Auftragsdatenverarbeitungen zu beteiligen sind. Dies empfiehlt sich auch vor dem Hintergrund des bei den Beauftragten vorhandenen Fachwissens.
Das Rundschreiben ist über das Fachinformationssystem Kirchenrecht unter der Nr. 855.6 abrufbar sein. Aktualisierungen des Textes werden vorrangig dort eingearbeitet.
Weitere Arbeitshilfen zur Auftragsdatenverarbeitung finden Sie im Fachinformationssystem Kirchenrecht (www.kirchenrecht-westfalen.de):
Die Arbeitshilfen zur Auftragsdatenverarbeitung (Nrn. 855.6, 855.14, 855.15) werden allen kirchlichen Stellen zur Anwendung empfohlen.
###
#
1 ↑ Nr. 850.
#
2 ↑ Nr. 852.