Auftragsdatenverarbeitung in der katholischen Kirche

von Daniela Windelband

In seinem Leitfaden zur Anpassung der Datenverarbeitung in kirchlichen Einrichtungen geht der Diözesandatenschutzbeauftragte auch auf das Thema Auftragsverarbeitung (ADV) ein. Ganz allgemein lässt sich feststellen, dass versucht wird, die kirchlichen Regelungen an die Datenschutzgrundverordnung (DSGVO) anzupassen.

Bisher wird die Auftragsdatenverarbeitung in § 8 der Anordnung über den kirchlichen Datenschutz (KDO) geregelt. Im neuen Gesetz über den kirchlichen Datenschutz (KDG) wird die Auftragsdatenverarbeitung in § 29 geregelt werden. Als Neuerungen kommen fünf Verpflichtungen auf die kirchlichen Stellen zu:

  • Der Auftragsnehmer darf die Daten nur innerhalb der Europäischen Union verarbeiten. Das trifft auch auf Cloud-Dienste zu.
  • Die Verpflichtung des Auftragnehmers, seine Mitarbeiter auf das Datengeheimnis zu verpflichten.
  • Haftung des Auftragnehmers für Pflichtverletzungen durch Unterauftragsnehmer.
  • Die Pflicht zur regelmäßigen Kontrolle über die Einhaltung der technischen und organisatorischen Maßnahmen des Auftragnehmers.
  • Der Auftragnehmer ist nach § 31 Abs. 2 KDG vertraglich zu verpflichten, ein Verzeichnis aller Tätigkeiten zu erstellen, die für den Auftraggeber ausgeführt werden.

Viele dieser Regelungen sind aus der weltlichen Gesetzgebung bekannt ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK