.

Rundschreiben Nr. 3/2015 des Landeskirchenamtes an die Ev. Kirchenkreise, Superintendentinnen und Superintendenten, Verwaltungsleiterinnen und Verwaltungsleiter der Ev. Kirche von Westfalen betreffend Kirchlicher Datenschutz:
örtlich Beauftragte für den Datenschutz;
Festlegung angemessener Stellenanteile1#

Vom 17.02.2015 (Az.: 615.31/01)

####
Der Beauftragte für den Datenschutz der EKD, Herr OKR Michael Jacob, hat die Ev. Kirche von Westfalen mit anliegendem Schreiben vom 8. Dezember 2014 gebeten, örtlich Beauftragte für den Datenschutz zu bestellen, soweit mehr als neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind. Dieser Verpflichtung sind nahezu alle Kirchenkreise nachgekommen.
Für die sachgerechte Wahrnehmung der Aufgaben der örtlich Beauftragten für den Datenschutz ist ein Arbeitstag in der Woche (8 Stunden) vorzusehen (Mindest-Stundenkontingent von 20 % de r regelmäßigen wöchentlichen Arbeitszeit eines Beschäftigten nach Punkt 3.b. des Schreibens). Wir bitten Sie, die Vorgabe des Beauftragten für den Datenschutz der EKD praxisgerecht umzusetzen.
In der Regel haben die Kirchenkreise nebenamtliche örtlich Beauftragte für den Datenschutz besteIlt. Anders aber als hauptamtliche Beauftragte müssen nebenamtliche ihre Arbeitszeit zwischen mehreren Tätigkeiten aufteilen. Damit obliegt der jeweiligen Dienststellenleitung die Verpflichtung, besonders auf das Zeitbudget der örtlich Beauftragten für den Datenschutz zu achten. In Anbetracht des Aufgabenkatalogs (siehe Anlage des Schreibens) und vielfacher Hinweise der örtlich Beauftragten für den Datenschutz, dass ihr Zeitbudget zu knapp bemessen se i, um beispielsweise die Schulung aller Mitarbeitenden vornehmen zu können, ist der angesetzte Mindest-Stellenumfang angemessen. Der Stellenumfang kann höher angesetzt werden, wenn die Anzahl der zu betreuenden kirchlichen Stellen besonders groß ist, sensible Patientendaten bei den kirchlichen Stellen verarbeitet werden (Sozialdatenschutz) oder im Wege der Kooperation die Aufgaben eines örtlich Beauftragten für den Datenschutz für einen weiteren Kirchenkreis wahrgenommen werden. Wir empfehlen einen angemessenen Zeitanteil für die Wahrnehmung der Aufgaben der örtlich Beauftragten für den Datenschutz festzulegen. Dabei wäre es für die Beauftragten hilfreich, wenn sie an einem bestimmten Arbeitstag oder an zwei bis drei Vormittagen ausschließlich Datenschutzaufgaben ausüben und von den übrigen Arbeiten ihres Arbeitsplatzes freigestellt sind.
#

Anlage
Betriebsbeauftragte und örtlich Beauftragte für den Datenschutz

im Rahmen der Novellierung des DSG-EKD zum 01 . Januar 2013 sind auch die gesetzlichen Vorgaben für die Betriebsbeauftragten und die örtlich Beauftragten für den Datenschutz in § 22 DSG-EKD angepasst worden. Danach sind bei kirchlichen Werken und Einrichtungen mit eigener Rechtspersönlichkeit Betriebsbeauftragte, bei den übrigen kirchlichen Stellen örtlich Beauftragte für den Datenschutz schriftlich zu bestellen, wenn in der Regel mehr als neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind.
Im Rahmen der täglichen Anfragen und Beratungen treten zum gesamten Themenkomplex des § 22 DSG-EKD wiederkehrende Fragen auf, zu denen die nachfolgenden Hinweise gegeben werden:
  1. Die Bestellung eines Betriebsbeauftragten oder örtlich Beauftragten für den Datenschutz entbindet die gesetzlich oder verfassungsmäßig berufenen Organe der Werke, Einrichtungen und kirchlichen Körperschaften nicht von ihrer Verantwortlichkeit für den Datenschutz.
  2. Um der gesetzlichen Vorgabe zu entsprechen, dass nur solche Personen zu Beauftragten nach § 22 Abs. 2 DSG-EKD bestellt werden dürfen, die die zur Erfüllung ihrer Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen, stellt sich regelmäßig die Frage nach deren Aufgaben. Die im DSG-EKD enthaltenen (Pflicht-)Aufgaben sowie sich daraus unmittelbar ableitende, weiterführende Aufgaben sind dem als Anlage beigefügten Aufgabenkatalog zu entnehmen. Der Aufgabenkatalog soll als Hilfestellung und Orientierung bei der Auswahl geeigneter Personen dienen.
  3. Im Rahmen des erforderlichen Stellenumfangs zur Erfüllung der Aufgaben werden im Bereich der verfassten Kirche zurzeit zwei unterschiedliche Modelle diskutiert und umgesetzt.
    1. In einer Landeskirche werden für alle kirchlichen Körperschaften des öffentlichen Rechts auf deren Gebiet (einige wenige) örtlich Beauftragte für den Datenschutz als Vollzeitstellen etabliert.
    2. In einem Kirchenkreis, Dekanat etc. werden für alle kirchlichen Körperschaften des öffentlichen Rechts auf deren Gebiet (vorhandene) Stellen mit einem angemessenen Stellenanteil für die Aufgabe eines örtlich Beauftragten für den Datenschutz ausgestattet.
      Dabei erscheint eine Verankerung der Aufgabe im Bereich der Mitarbeitenden einer kreiskirchlichen Verwaltung sachgerecht. Stundenkontingente, die unter 20 Prozent liegen (d. h. weniger als ein Tag pro Woche), erscheinen organisatorisch nicht praktikabel und werden den anspruchsvollen und komplexen Aufgaben nicht gerecht.
  4. Nach § 22 Abs. 5 DSG-EKD ist den Beauftragten zur Erhaltung der zur Erfüllung ihrer Aufgaben erforderliche Fachkunde die Teilnahme· an Fort- und Weiterbildungsveranstaltungen zu ermöglichen. Um den Besonderheiten des kirchlichen Datenschutzes gerecht zu werden, wird zurzeit in Kooperation mit der Bundesakademie für Kirche und Diakonie ein Weiterbildungskonzept für Betriebsbeauftragte und örtlich Beauftragte für den Datenschutz erarbeitet. Im April nächsten Jahres werden in den Datenschutzregionen an allen AußensteIlen (Ost: Berlin; Süd: Ulm; Mitte-West: Dortmund und Nord: Hannover) Datenschutz-Infotage ausgerichtet. Dabei wird über den kirchlichen Datenschutz und die neue Struktur informiert und das Weiterbildungskonzept für Betriebsbeauftragte und örtlich Beauftragte für den Datenschutz vorgestellt werden.
Wir möchten mit diesen Hinweisen zur weiteren flächendeckenden Implementierung von Betriebsbeauftragten und örtlich Beauftragten für den Datenschutz beitragen und stehen für Rückfragen gerne zur Verfügung.
#

Anlage
Aufgabenkatalog für die Betriebsbeauftragten und
die örtlich Beauftragten für den Datenschutz

Vor dem Hintergrund der gesetzlichen Vorgaben in § 22 DSG-EKD können sich für die Betriebsbeauftragten und die örtlich Beauftragten für den Datenschutz insbesondere folgende Aufgaben ergeben:
  • Beratung und Unterstützung der Leitung der Dienststelle, der fachlich zuständigen SteIlen und der Mitarbeitervertretung in Fragen des Datenschutzes und der Datensicherheit gemäß § 22 Abs. 6 DSG-EKD.
  • Verpflichtung zur Teilnahme an Fort- und Weiterbildungsmaßnahmen zur Erhaltung der erforderlichen Fachkunde nach § 22 Abs. 5 DSG-EKD.
  • Bereitstellen von Informationen zu datenschutzrechtlichen Themen (z.B. durch Schulungen) nach § 22 Abs. 6 Ziffer 2.
  • Prüfung vor Beginn der Verarbeitung (sog. Vorabkontrolle) gemäß § 21 Abs. 3 und 4 DSG-EKD.
  • Führen der Dokumentation bei einer Videoüberwachung gemäß § 7 a Abs. 7 DSGEKD.
  • Zusammenarbeit mit der oder dem Beauftragten für den Datenschutz.
  • Zusammenarbeit mit dem Arbeitsbereich IT und der oder dem IT-Sicherheitsbeauftragten.
  • Unmittelbare Ansprechperson der Beschäftigten und Zusammenarbeit mit der Mitarbeitervertretung in Angelegenheiten des Beschäftigtendatenschutzes.
  • Hinwirken auf die Umsetzung und Einhaltung der technischen und organisatorischen Maßnahmen.
  • Mitwirkung und Beteiligung in Projekten mit datenschutzrelevanten Komponenten, insbesondere bei
    • der Planung und Entwicklung von IT-Verfahren zur Verarbeitung personenbezogener Daten.
    • der Einführung und dem Betrieb von IT-Verfahren zur Verarbeitung personenbezogener Daten (z.B. Beratung und Mitarbeit bei der Erstellung einer Risikoanalyse, Abschätzung der Folgen und der Prüfung der rechtlichen Zulässigkeit des Verfahrens).
    • dem Erarbeiten von IT -Sicherheitskonzepten.
    • dem Erstellen von Satzungen, Dienstvereinbarungen, Geschäftsordnungen, Richtlinien und Rundschreiben.
    • der Entwicklung von Formularen, Makros und Datenbanken, mit denen personenbezogene Daten verarbeitet werden.
    • der Formulierung von Verträgen, deren Gegenstand die Verarbeitung personenbezogener Daten ist (z.B. Auftragsdatenverarbeitung nach § 11 DSG-EKD).
  • Überwachen der Auftragnehmer im Rahmen der Auftragsdatenverarbeitung.

#
1 ↑ Redaktioneller Hinweis: Am 24. Mai 2018 ist das neu gefasste EKD-Datenschutzgesetz vom 15. November 2017 (Nr. 850) in Kraft getreten. Es wird zurzeit geprüft, ob und inwieweit eine Aktualisierung der Regelungen des Rundschreibens an das neue kirchliche Datenschutzrecht erforderlich ist.