15.05.2018

1

Datenschutz und die neue Datenschutzordnung

Prof. Dr. Rainer Rumpel

Datenschutzbeauftragter

Bundeskonferenz

Kassel

Mai 2018

Forum Datenschutz

Forum Datenschutz

15.05.2018

2

Forum Datenschutz

Referent• Prof. Dr. rer. nat. Rainer Rumpel• Ältester der Evangelisch-Freikirchlichen Gemeinde Berlin-Tempelhof

• Professor für Wirtschaftsinformatik an der Hochschule für Wirtschaft und Recht Berlin (HWR)

• Unternehmensberater

• Vom TÜV Saarland zertifizierter Auditor für ISO/IEC 27001 (Informationssicherheitsmanagement)

• Datenschutzbeauftragter des Bundes Evangelisch-Freikirchlicher Gemeinden in Deutschland

• Mitglied bei den Normenausschüssen für IT-Sicherheitsverfahren bei DIN und ISO

Forum Datenschutz

Datenschutz – warum und wozu?• Die besondere Würde des Menschen ist von Gott gegeben.

• Grundgesetz: „Die Würde des Menschen ist unantastbar.“

• Datenschutz ist nicht in erster Linie Schutz von Daten, sondern Schutz von Menschen vor missbräuchlicher Datenverarbeitung.

• Wir sollten als Christen diesen Schutz aktiv unterstützen und damit –insbesondere im Zeitalter der Informationsgesellschaft - einen Beitrag zur Menschenwürde und zur freien Entfaltung der Persönlichkeit leisten.

• Last but not least Charta der europäischen Grundrechte: „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“

15.05.2018

3

Kirchenrecht

Forum Datenschutz

GrundgesetzGrundgesetz Artikel 140 sagt: „Jede Religionsgesellschaft ordnet und verwaltet ihre Angelegenheiten selbständig innerhalb der Schranken des für alle geltenden Gesetzes. Sie verleiht ihre Ämter ohne Mitwirkung des Staates oder der bürgerlichen Gemeinde.“

Kirchenrecht ist• das von den Kirchen in Ausübung ihres Selbstverwaltungs- und

Selbstordnungsrechtes, das ihnen das Grundgesetz gewährt, selbst gesetzte Recht;

• das Binnenrecht der Kirchen, das die kirchliche Organisation, die kirchlichen Ämter usw. regelt.

15.05.2018

4

Forum Datenschutz

Kirchenrecht im Bund Ev.-Freik. Gemeinden• Im Rahmen des Kirchenrechts hat sich der Bund Ev.-Freik. Gemeinden eine

Datenschutzordnung gegeben (verabschiedet am 23. Mai 2009).

• VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten …

Kirchenrecht siehe Artikel 91: Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt desInkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden.

Neue Datenschutzordnung

15.05.2018

5

Forum Datenschutz

GliederungERSTER ABSCHNITT: ALLGEMEINE BESTIMMUNGEN

ZWEITER ABSCHNITT: RECHTE DER BETROFFENEN PERSON

DRITTER ABSCHNITT: PFLICHTEN DER VERANTWORTLICHEN STELLEN UND DER AUFTRAGSVERARBEITER

VIERTER ABSCHNITT: AUFSICHTSGREMIUM UND BEAUFTRAGTE FÜR DEN DATENSCHUTZ

FÜNFTER ABSCHNITT: VORSCHRIFTEN FÜR BESONDERE VERARBEITUNGSSITUATIONEN

SECHSTER ABSCHNITT: DATENSCHUTZ IN RECHTLICH SELBSTÄNDIGEN EINRICHTUNGEN UND GEMEINDEN

SIEBENTER ABSCHNITT: SCHLUSSBESTIMMUNGEN

Forum Datenschutz

Rechte für Betroffene (2. Abschnitt)• Information durch die verantwortliche Stelle (§10)

• Recht auf Information (§11)

• Recht auf Berichtigung (§12)

• Recht auf Löschung (§13)

• Recht auf Einschränkung der Verarbeitung (§14)

15.05.2018

6

Forum Datenschutz

Datenschutzbeauftragte (4. Abschnitt)• Bestellung und Stellung des Bundesbeauftragten für Datenschutz gemäß §24

– Das Präsidium des Bundes bestellt einen Bundesbeauftragten für Datenschutz.

– Wichtige Aufgaben gemäß §25

• Sensibilisierung, Information und Beratung von Stellen des Bundes

• Weiterleitung von Beschwerden betroffener Personen an den Datenschutzrat

• Überwachung der Einhaltung dieser Ordnung durch Durchführung von Prüfungen

• Dezentrale Beauftragte gemäß § 26

– Erforderlich: wenn in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind.

– Freiwillig: Bestellung ist jederzeit möglich.

Forum Datenschutz

Aufsichtsgremium (4. Abschnitt)• Eine eigene Datenschutzordnung ermöglicht eine

Datenschutzaufsichtsbehörde im BEFG.• Alternative: Unsere personenverzogenen Datenverarbeitungen stehen unter

Aufsicht des Staates.

• Auszug aus §27(1) Über die Einhaltung dieser Ordnung wacht ein unabhängiges Aufsichtsgremium

für den Datenschutz (Datenschutzrat).(2) Der Datenschutzrat wird vom Bundesbeauftragten für den Datenschutz geleitet

und nach außen vertreten.(3) Der Leiter des Datenschutzrats und sein Stellvertreter werden vom Präsidium

des Bundes berufen ...(6) Der Datenschutzrat handelt bei der Erfüllung seiner Aufgaben und bei der

Ausübung seiner Befugnisse völlig unabhängig.

15.05.2018

7

Forum Datenschutz

Geldbußen gemäß EU-Verordnung (4. Abschnitt)Geldbußen: sind vorzusehen.

Vergleich mit EU-Verordnung: max. 20 Mio. EUR!

Vergleich mit dem Datenschutzgesetz der Ev.Kirche: max. 500.000 EUR

Entwurf DSO: Bei Verstößen werden … Geldbußen von bis zu 100.000

Euro verhängt. Nimmt die Stelle nicht als Unternehmen am Wettbewerb

teil (z.B. Gemeinden), so gilt als Höchstgrenze 50.000 Euro.

Entwurf DSO: Die gegebenenfalls vereinnahmten Gelder werden auf

Beschluss des Datenschutzrats Stellen des Bundes zur Verwendung in

Mission oder Diakonie zur Verfügung gestellt.

Forum Datenschutz

Schadensersatz (4. Abschnitt)• Jede Person, der wegen einer Verletzung der Regelungen dieser Ordnung ein

Schaden entstanden ist, hat einen Anspruch auf Schadensersatz gegen die verantwortliche Stelle (z.B. Gemeinde vertreten durch die Gemeindeleitung).

• Gemäß EU-Datenschutzgrundverordnung geht es in der Regel nicht um die Haftung Einzelner, sondern um die Haftung der Institution.

• Um von der Haftung befreit zu werden, muss die verantwortliche Stelle nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

15.05.2018

8

Forum Datenschutz

Risikomanagement (3. Abschnitt)§ 18 Technische und organisatorische Maßnahmen

Die verantwortliche Stelle und gegebenenfalls der Auftragsverarbeiter haben

unter Berücksichtigung des Stands der Technik, der Implementierungskosten

und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung

sowie der damit verbundenen Risiken für die Rechte und Freiheiten natürlicher

Personen geeignete technische und organisatorische Maßnahmen zu treffen

und zu dokumentieren, um ein dem Risiko angemessenes Sicherheitsniveau zu

gewährleisten.

Forum Datenschutz

Risikomanagement (3. Abschnitt)§ 23 Datenschutz-Folgenabschätzung

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer

Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke

der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten

natürlicher Personen zur Folge, so führt die verantwortliche Stelle vorab eine

Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den

Schutz personenbezogener Daten durch ...

15.05.2018

9

Praxis:Datenschutz-

Folgenabschätzunggemäß §23 DSO neu

Forum Datenschutz

GrundlagenDatenschutz-Folgenabschätzung (DSFA)

• Prozess, um das Risiko zu erkennen und zu bewerten, das für Personen in dessen unterschiedlichen Rollen (als Bürger, Kunde, Patient etc.) durch personenbezogenen Datenverarbeitung durch eine Organisation für dessen Grundrecht auf informationelle Selbstbestimmung entsteht.

• ersetzt die Meldepflicht von personenbezogenen Verarbeitungstätigkeiten bei der Aufsichtsbehörde

• muss vor Aufnahme der Datenverarbeitung erfolgen, wenn „aufgrundder Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat

15.05.2018

10

Forum Datenschutz

Verzeichnis der Verarbeitungstätigkeiten• Erforderlich in vollem Umfang, wenn eine Stelle des Bundes mindestens 50

Beschäftigte hat

• Ansonsten nur für Verfahren, die besondere Daten (z.B. Daten zur ethnischen Herkunft, Gesundheit oder religiösen Überzeugung) verarbeiten

PRAXISHINWEIS: Da das Verarbeitungsverzeichnis eine wichtige Hilfe bei der

Durchführung von Datenschutzfolgenabschätzungen ist, empfiehlt sich (nach und

nach) eine Aufstellung des Verzeichnisses in vollem Umfang.

Forum Datenschutz

Zwingendes Erfordernis für eine DSFA1. umfangreiche Verarbeitung

– besonderer personenbezogener Daten oder

– von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten und

2. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (typischerweise Videoüberwachung)

15.05.2018

11

Forum Datenschutz

Vorgeschriebene Elemente mit Reihenfolge1. Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der

Verarbeitung (↔ §20 Verarbeitungsverzeichnis)

2. Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck (↔ §8 Zulässigkeit)

3. Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen

4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen /Sicherheitsvorkehrungen, durch die der Schutz personenbezogener Daten sichergestellt wird

Die Dokumentation der Schritte sollte prozessbegleitend erfolgen.

Forum Datenschutz

PRAXISHILFE ZUR VERHÄLTNISMÄSSIGKEITDie Verarbeitung ist insbesondere dann unverhältnismäßig, wenn sie gegen eines der folgenden Prinzipien verstößt:

• Prinzip der Zweckbindung

Beispiel: Zweck der Verarbeitung ist nicht definiert

• Prinzip der Datenminimierung

Beispiel: Unnötig viele Daten werden gespeichert.

• Prinzip der Speicherzeitbegrenzung

Beispiel: Es sind keine Löschfristen festgelegt.

15.05.2018

12

Forum Datenschutz

PRAXISHILFE ZUR RISIKOBEWERTUNG• Beispiel für ein Bewertungsschema (noch nicht gemeindespezifisch)

Die Begründungen zu den Einschätzungen sollten dokumentiert werden.

Forum Datenschutz

Fallbeispiel Mitgliederverzeichnis• Erforderlichkeit

Eine DSFA ist erforderlich, weil dort Daten von Personen gespeichert werden, bei denen aufgrund ihrer Eintragung in das Verzeichnis auf ihre religiöse Überzeugung (besondere Daten) geschlossen werden kann.

• Beschreibung des Verarbeitungsvorgangs

• Falls das Verzeichnis auch Freunde umfasst, handelt es sich um ein anderes Verfahren.

Bezeichnung der

Verarbeitungs-

tätigkeit

Zweck der Verarbeitung Beschreibung der

Kategorien betroffener

Personen

Verarbeitung

besonderer

Daten

Führen eines

Mitglieder-

verzeichnisses

Aufgabenerfüllung der Gemeinde

(insbesondere Kontaktaufnahme)

Personen, die Mitglieder der

Gemeinde werden, sind oder

ggf. waren.

ja

15.05.2018

13

Forum Datenschutz

Fallbeispiel MitgliederverzeichnisBewertung der Notwendigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck

Die Verarbeitung der Mitgliederdaten ist für die Aufgabenerfüllung der Gemeinde (insbesondere Kontaktaufnahme) notwendig.

§5 Rechtmäßigkeit der Verarbeitung Absatz (2): …Verarbeitung … zulässig,

wenn … die Verarbeitung ist zur Erfüllung der Aufgaben der

verantwortlichen Stelle erforderlich …

Forum Datenschutz

Fallbeispiel MitgliederverzeichnisBewertung der Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck

• Zweckbindung: Angemessener Zweck ist gewährleistet. Zu beachten: Umwidmung des Verarbeitungszwecks würde zu einem anderen Verfahren führen.

• Datenminimierung: Hier ist klar zu definieren und zu dokumentieren, welche Datentypen gespeichert werden sollen. Unverhältnismäßig wären z.B.: Herkunftsreligion, Hobbys. Auch der Verteilerkreis ist einzuschränken.

• Speicherzeitbegrenzung: Hier ist zu definieren und zu dokumentieren, welche Kriterien für das Löschen gelten (z.B. „6 Monate nach Tod“ oder „3 Monate nach Austritt“)

15.05.2018

14

Forum Datenschutz

Fallbeispiel MitgliederverzeichnisBewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen

Forum Datenschutz

Fallbeispiel MitgliederverzeichnisBewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen Datensicherheitsziele gemäß §18 beachten: Vertraulichkeit, Integrität, Verfügbarkeit

Verletzung Datenver-

arbeitungsrisiko

Begründung

Vertraulichkeit gering Durch Offenlegung der Daten an Unbefugte kann der Betroffene in

seiner gesellschaftlichen Stellung und in seinen wirtschaftlichen

Verhältnissen nur geringfügig beeinträchtigt werden. (zurzeit und in

Deutschland)

Integrität gering Durch Manipulation der Daten kann die Kontaktaufnahme erschwert

werden, ebenfalls die Geltendmachung von Spenden. Eine Korrektur

der Daten ist der Regel leicht möglich.

Verfügbarkeit mäßig Durch Verlust der Mitgliederdaten kann die Kontaktaufnahme erschwert

werden, ebenfalls die Geltendmachung von Spenden. Weiterhin kann

das Auskunftsrecht (§12) beeinträchtigt sein.

15.05.2018

15

Forum Datenschutz

Fallbeispiel MitgliederverzeichnisAbhilfemaßnahmen / Sicherheitsvorkehrungen

• Das Verfügbarkeitsrisiko muss gemäß §18 (Technische/organisatorische Maßnahmen) behandelt werden.

– Pseudonymisierung kein Einfluss auf die Verfügbarkeit

– Verschlüsselung kein positiver Einfluss auf die Verfügbarkeit

– Zuverlässige Datensicherung positiver Einfluss auf die Verfügbarkeit

– Rasche Datenwiederherstellung positiver Einfluss auf die Verfügbarkeit

• Konkrete Maßnahmen festlegen und dokumentieren

• Restrisiko beurteilen …

Forum Datenschutz

MERKBLATT ZUM DATENSCHUTZ VERFÜGBAR1. Christliche Gemeinden und Einrichtungen müssen (neue)

Datenschutzanforderungen erfüllen!2. Wann ist die Verarbeitung personenbezogener Daten rechtmäßig? 3. Was passiert, wenn keine Einwilligung vorliegt bzw. diese nicht eingeholt

werden kann? 4. Worauf ist zu achten, wenn eine Einwilligung eingeholt wird? 5. Was ist bei Daten zur religiösen Überzeugung zu berücksichtigen?6. Was ist sonst noch bei der Nutzung von Daten von Gemeindemitgliedern zu

bedenken? Was ist bei der gemeindeeigenen Website zu bedenken? …Autor: Rechtsanwalt Frank SchillingQuelle: https://www.baptisten.de/angebote-fuer/gemeinden/datenschutz/

15.05.2018

16

Forum Datenschutz

Prof. Dr. Rainer Rumpel

datenschutzbeauftragter@baptisten.de

https://www.baptisten.de/angebote-fuer/gemeinden/datenschutz/