Datenschutz: kirchliche Ergänzung zur Auftragsdatenverarbeitung

Das Thema Datenschutz lässt uns leider noch nicht ganz los. „Uns“ heißt in diesem Fall alle kirchlichen Träger, alle Einrichtungen von Caritas und Diakonie. Alle Einrichtungen also, welche den jeweiligen Kirchengesetzen auf evangelischer oder katholischer Seite unterliegen.

Parallel zur DS-GVO haben die katholische und die evangelische Kirche eigene Datenschutzgesetze erlassen, welche im Bereich von Kirche und Caritas/Diakonie Gültigkeit und Vorrang vor der DS-GVO haben.

Als Fundraiser eines diakonischen Trägers unterliegt meine Arbeit dem EKD-Datenschutzgesetz, gleichwohl wir mit mehreren Unternehmen Vereinbarungen zur Auftragsdatenverarbeitung nach DS-GVO geschlossen haben. Diese bedürfen, so nun die Information des Datenschutzbeauftragten der EKD, eines Zusatzes, um die Unterordnung des Auftragnehmers unter das kirchliche Recht zu regeln.

Der Datenschutzbeauftragte der EKD hat nun eine Vereinbarung entworfen, welche in Ergänzung zu bereits geschlossenen Auftragsdatenvereinbarungen nach DS-GVO zu unterzeichnen ist. Wörtlich schreibt er hierzu im unten verlinkten Dokument:

„Wenn eine kirchliche Stelle einen Vertrag zur Durchführung einer Auftragsverarbeitung (kurz: AV) mit einer anderen Stelle, die nicht den kirchlichen Datenschutzbestimmungen unterliegt, abschließt, so muss gemäß (…) dennoch sichergestellt sein, dass der Auftragsverarbeiter die Vorgaben des § 30 EKD-Datenschutzgesetz oder gleichwertige Bestimmungen beachtet.

(…) Während zwischen zwei kirchlichen Stellen ein AV-Vertrag (AVV) in jedem Fall auf Grundlage des EKD-Datenschutzgesetz abzuschließen ist, darf der Vertragsinhalt bei Beauftragung eines nicht kirchlichen Auftragsverarbeiters folglich auch anhand der Vorgaben der DSGVO gestaltet werden, was in der Praxis Vertragsabschlüsse erleichtern kann.

Zulässig ist dies jedoch (…) nur, wenn sich der Auftragsverarbeiter durch den AVV bzw. einer in diesen Vertrag einbezogenen Zusatzvereinbarung der kirchlichen Datenschutzaufsicht unterwirft.“

Wer also bereits Verträge zur Durchführung einer Auftragsdatenverarbeitung geschlossen hat, sollte nun auch zügig den entsprechenden Zusatz noch als Ergänzung unterschreiben lassen.

Für den Bereich der EKD ist dies das folgende Formular, wobei es sicherlich durch den Tausch der entsprechenden Paragraphen ans katholisch“Gesetz über den kirchlichen Datenschutz (KDG)“ anpassbar sein sollte.

EKD: Zusatzvereinbarung zur Verarbeitung personenbezogener Daten im Auftrag (.rtf-Format, mit jeder Textverarbeitung lesbar)

Hier geht es direkt zu den Seiten der kirchlichen Datenschutzbeauftragten:

Homepage des Datenschutzbeauftragten der EKD

Datenschutz in der katholischen Kirche

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu.