Ein Amtschef bzw. eine Amtschefin leitet eine Behörde, ein Amt oder eine vergleichbare Verwaltungseinheit. Im kirchlichen Bereich übernehmen Amtschefinnen und Amtschefs häufig die Führung von Hauptabteilungen, Ordinariatsbereichen oder anderen Organisationseinheiten. Sie tragen Verantwortung für die Organisation von Arbeitsabläufen, die Führung von Mitarbeitenden sowie die Umsetzung rechtlicher und organisatorischer Vorgaben.

Bedeutung im kirchlichen Datenschutz

Der Begriff ist kein eigenständiger Rechtsbegriff des kirchlichen Datenschutzrechts. Dennoch kommt Amtschefinnen und Amtschefs bei der Umsetzung datenschutzrechtlicher Anforderungen eine wichtige Rolle zu. Sie unterstützen innerhalb ihres Zuständigkeitsbereichs die Einhaltung der Vorgaben des Gesetzes über den Kirchlichen Datenschutz (KDG) und sorgen für geeignete organisatorische Rahmenbedingungen.

Zu ihren Aufgaben können insbesondere gehören:

• Umsetzung datenschutzkonformer Arbeitsabläufe
• Einführung und Überwachung interner Richtlinien
• Unterstützung bei technischen und organisatorischen Maßnahmen
• Sensibilisierung und Schulung von Mitarbeitenden
• Zusammenarbeit mit Datenschutzbeauftragten
• Mitwirkung bei der Bearbeitung von Datenschutzvorfällen

Abgrenzung zu anderen Funktionen

Verantwortlicher

Der Verantwortliche im Sinne des KDG entscheidet über die Zwecke und Mittel der Verarbeitung personenbezogener Daten. Dies ist in der Regel die kirchliche Körperschaft oder Einrichtung selbst. Amtschefinnen und Amtschefs handeln innerhalb dieser Organisation und sind nicht automatisch Verantwortliche im datenschutzrechtlichen Sinne.

Datenschutzbeauftragter

Datenschutzbeauftragte beraten die Einrichtung in Datenschutzfragen und überwachen die Einhaltung datenschutzrechtlicher Vorschriften. Sie nehmen eine unabhängige Kontrollfunktion wahr. Amtschefinnen und Amtschefs sind dagegen für die operative Führung und Organisation ihres Zuständigkeitsbereichs verantwortlich.

Praktische Relevanz

Kirchliche Einrichtungen verarbeiten täglich personenbezogene Daten von Mitarbeitenden, Ehrenamtlichen, Gläubigen, Bewerberinnen und Bewerbern sowie weiteren betroffenen Personen. Amtschefinnen und Amtschefs tragen dazu bei, dass diese Daten rechtmäßig, vertraulich und sicher verarbeitet werden.

Durch ihre Leitungsfunktion schaffen sie die organisatorischen Voraussetzungen für die Einhaltung datenschutzrechtlicher Vorgaben und fördern einen verantwortungsvollen Umgang mit personenbezogenen Daten innerhalb ihrer Organisationseinheit.

Unter Archivierung versteht man die geordnete, dauerhafte oder langfristige Aufbewahrung von Informationen und Dokumenten. Im kirchlichen Umfeld betrifft dies sowohl analoge als auch digitale Unterlagen, die aus rechtlichen, historischen, organisatorischen oder wissenschaftlichen Gründen erhalten werden sollen. Die Archivierung dient dazu, Informationen langfristig verfügbar, nachvollziehbar und vor Verlust zu schützen.

Bedeutung im kirchlichen Datenschutz

Die Archivierung personenbezogener Daten stellt eine Form der Datenverarbeitung dar und unterliegt daher den Vorgaben des Gesetzes über den Kirchlichen Datenschutz (KDG). Auch archivierte Daten müssen rechtmäßig verarbeitet und vor unbefugtem Zugriff geschützt werden.

Grundsätzlich dürfen personenbezogene Daten nicht länger gespeichert werden, als es für den ursprünglichen Zweck erforderlich ist. Eine Ausnahme kann bestehen, wenn die Daten für Archivzwecke weiterhin benötigt werden. In diesem Fall ist zu prüfen, ob gesetzliche Aufbewahrungspflichten, kirchliche Archivvorschriften oder andere rechtliche Grundlagen eine weitere Speicherung rechtfertigen.

Rechtliche Grundlagen

Die Archivierung personenbezogener Daten setzt eine rechtliche Grundlage voraus. Neben den Bestimmungen des KDG können insbesondere kirchliche Archivgesetze, Aufbewahrungsfristen sowie dokumentationspflichtige Verwaltungsverfahren relevant sein.

Kirchliche Archive erfüllen eine wichtige Funktion für die Bewahrung des kirchlichen Kulturguts und die Dokumentation kirchlichen Handelns. Daher können bestimmte Unterlagen auch dann archiviert werden, wenn sie personenbezogene Daten enthalten. Dabei sind die Anforderungen an Datenschutz, Datensicherheit und Vertraulichkeit zu beachten.

Archivierung und Löschung

Archivierung ist nicht mit der Löschung von Daten gleichzusetzen. Während bei einer Löschung personenbezogene Daten dauerhaft entfernt werden, bleiben archivierte Daten weiterhin erhalten und können unter bestimmten Voraussetzungen genutzt werden.

In der Praxis wird häufig geprüft, ob Daten nach Ablauf der regulären Nutzung gelöscht oder in ein Archiv überführt werden sollen. Für archivierte Daten gelten oftmals besondere Zugriffs- und Nutzungsbeschränkungen, um die Rechte betroffener Personen zu schützen.

Praktische Relevanz

In kirchlichen Einrichtungen fallen zahlreiche Unterlagen an, die archivierungswürdig sein können. Dazu gehören beispielsweise:

• Personalakten und Verwaltungsunterlagen
• Protokolle und Beschlüsse kirchlicher Gremien
• historische Dokumente und Kirchenbücher
• Bau- und Grundstücksakten
• Unterlagen aus Seelsorge, Bildung oder Verwaltung

Bei der Archivierung ist sicherzustellen, dass nur berechtigte Personen Zugriff auf die Daten erhalten und geeignete technische sowie organisatorische Maßnahmen zum Schutz der Informationen bestehen.

Die sorgfältige Archivierung trägt dazu bei, rechtliche Nachweispflichten zu erfüllen, historisch bedeutsame Unterlagen zu bewahren und die Nachvollziehbarkeit kirchlicher Entscheidungen langfristig sicherzustellen.

Betroffenenrechte sind die im Datenschutzrecht verankerten Rechte natürlicher Personen, deren personenbezogene Daten verarbeitet werden. Sie dienen dem Schutz des Grundrechts auf informationelle Selbstbestimmung und ermöglichen es Betroffenen, Einfluss auf die Verarbeitung ihrer Daten zu nehmen sowie deren Rechtmäßigkeit zu überprüfen.

Im kirchlichen Datenschutz sind die Betroffenenrechte im Gesetz über den Kirchlichen Datenschutz (KDG) geregelt. Sie verpflichten kirchliche Stellen dazu, betroffenen Personen Transparenz zu gewährleisten und deren Anfragen innerhalb der gesetzlichen Fristen zu bearbeiten.

Rechtliche Grundlagen

Die Betroffenenrechte finden sich insbesondere in den §§ 17 bis 25 KDG. Sie orientieren sich weitgehend an den entsprechenden Regelungen der Datenschutz-Grundverordnung (DSGVO) und gelten für alle kirchlichen Stellen, die personenbezogene Daten verarbeiten.

Die Ausübung der Rechte ist grundsätzlich kostenfrei. Anträge können schriftlich, elektronisch oder in anderer geeigneter Form gestellt werden. Die verantwortliche Stelle muss die Identität der anfragenden Person überprüfen und fristgerecht reagieren.

Die wichtigsten Betroffenenrechte

Auskunftsrecht

Betroffene haben das Recht zu erfahren, ob und welche personenbezogenen Daten über sie verarbeitet werden. Darüber hinaus können sie Informationen über Verarbeitungszwecke, Empfänger, Speicherdauer und weitere datenschutzrechtlich relevante Aspekte verlangen.

Recht auf Berichtigung

Sind personenbezogene Daten unrichtig oder unvollständig, können Betroffene deren Korrektur verlangen.

Recht auf Löschung

Unter bestimmten Voraussetzungen besteht ein Anspruch auf Löschung personenbezogener Daten, beispielsweise wenn die Daten für den ursprünglichen Zweck nicht mehr erforderlich sind oder unrechtmäßig verarbeitet wurden.

Recht auf Einschränkung der Verarbeitung

Betroffene können verlangen, dass ihre Daten nur noch eingeschränkt verarbeitet werden, etwa während der Prüfung der Richtigkeit von Daten oder eines Widerspruchs.

Recht auf Datenübertragbarkeit

Soweit die gesetzlichen Voraussetzungen vorliegen, können Betroffene verlangen, ihre bereitgestellten personenbezogenen Daten in einem strukturierten und maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen übertragen zu lassen.

Widerspruchsrecht

Betroffene können unter bestimmten Voraussetzungen der Verarbeitung ihrer personenbezogenen Daten widersprechen. Dies gilt insbesondere bei Verarbeitungen, die auf berechtigten Interessen beruhen.

Bedeutung in der Praxis

Betroffenenrechte gehören zu den zentralen Pflichten jeder kirchlichen Einrichtung. Sie betreffen beispielsweise Personalakten, Bewerbungsunterlagen, Mitgliedsdaten, Teilnehmerlisten oder digitale Kommunikationssysteme.

Kirchliche Stellen müssen organisatorische Verfahren schaffen, um Anfragen rechtzeitig und vollständig bearbeiten zu können. Hierzu zählen insbesondere die Identifikation der anfragenden Person, die Ermittlung der betroffenen Daten sowie die Dokumentation der Bearbeitung.

Besonderheiten im kirchlichen Datenschutz

Auch im kirchlichen Datenschutz gelten die Betroffenenrechte nicht uneingeschränkt. Das KDG sieht Ausnahmen und Beschränkungen vor, wenn überwiegende Rechte Dritter, gesetzliche Aufbewahrungspflichten oder andere schutzwürdige Interessen entgegenstehen.

Gerade im kirchlichen Umfeld kann zudem eine sorgfältige Abwägung erforderlich sein, wenn personenbezogene Daten im Zusammenhang mit seelsorglichen Tätigkeiten, Personalangelegenheiten oder kirchlichen Registern verarbeitet werden. Die Wahrung der Betroffenenrechte bleibt dabei ein wesentlicher Bestandteil einer rechtmäßigen und transparenten Datenverarbeitung.

Der Bischof ist in der katholischen Kirche der Leiter einer Diözese und trägt die oberste geistliche, rechtliche und administrative Verantwortung für seinen Zuständigkeitsbereich. Als Nachfolger der Apostel übt er gemäß dem kirchlichen Selbstverständnis das Hirtenamt aus und leitet die ihm anvertraute Teilkirche in Gemeinschaft mit dem Papst und der Weltkirche.

Rechtliche Stellung

Die Stellung des Bischofs ergibt sich insbesondere aus dem Codex Iuris Canonici (CIC), dem Gesetzbuch der katholischen Kirche. Danach besitzt der Diözesanbischof innerhalb seiner Diözese die ordentliche, eigenberechtigte und unmittelbare Leitungsgewalt, soweit diese nicht durch das universale Kirchenrecht oder besondere Regelungen eingeschränkt wird.

Zur Unterstützung seiner Aufgaben bedient sich der Bischof verschiedener Verwaltungseinheiten und Amtsträger, etwa des Generalvikars, der Ordinariatsverwaltung oder weiterer kirchlicher Gremien.

Bedeutung im kirchlichen Datenschutz

Im Bereich des kirchlichen Datenschutzes nimmt der Bischof eine besondere Stellung ein. Aufgrund des verfassungsrechtlich geschützten Selbstbestimmungsrechts der Kirchen verfügt die katholische Kirche über ein eigenes Datenschutzrecht. Für die katholischen Diözesen in Deutschland bildet das Gesetz über den Kirchlichen Datenschutz (KDG) die zentrale Rechtsgrundlage.

Der Bischof ist regelmäßig nicht unmittelbar für einzelne Datenverarbeitungsvorgänge verantwortlich. Er trägt jedoch die oberste Leitungsverantwortung für die kirchlichen Strukturen seiner Diözese und schafft die organisatorischen Rahmenbedingungen für die Einhaltung datenschutzrechtlicher Vorgaben.

Hierzu gehören insbesondere:

• Erlass und Umsetzung kirchlicher Regelungen
• Einrichtung geeigneter Verwaltungsstrukturen
• Unterstützung der Datenschutzaufsicht
• Bestellung von Datenschutzbeauftragten nach den gesetzlichen Vorgaben
• Förderung eines datenschutzkonformen Verwaltungshandelns

Praktische Relevanz

Die Entscheidungen des Bischofs beeinflussen zahlreiche Bereiche, in denen personenbezogene Daten verarbeitet werden. Dazu zählen beispielsweise Personalverwaltung, Bildungseinrichtungen, soziale Dienste, kirchliche Gerichte oder die Verwaltung von Sakramentenregistern. Durch die Schaffung geeigneter organisatorischer und rechtlicher Rahmenbedingungen trägt der Bischof wesentlich dazu bei, den Schutz personenbezogener Daten innerhalb der Diözese sicherzustellen.

Ein Dateisystem ist eine strukturierte Sammlung von Dateien, die nach bestimmten Kriterien organisiert und gespeichert werden. Im Datenschutz bezeichnet der Begriff insbesondere jede geordnete Ablage personenbezogener Daten, unabhängig davon, ob diese elektronisch oder in Papierform geführt wird. Dateisysteme ermöglichen das Speichern, Auffinden, Verarbeiten und Verwalten von Informationen und bilden damit eine wesentliche Grundlage für die tägliche Arbeit in kirchlichen Einrichtungen.

Im kirchlichen Umfeld kommen Dateisysteme beispielsweise bei der Verwaltung von Personalakten, Mitgliedsdaten, Bewerbungsunterlagen, Sakramentenregistern oder Dokumenten aus Seelsorge und Verwaltung zum Einsatz.

Rechtliche Grundlagen

Das Gesetz über den Kirchlichen Datenschutz (KDG) definiert ein Dateisystem als jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist. Dabei spielt es keine Rolle, ob die Daten zentral, dezentral oder auf mehrere Standorte verteilt gespeichert werden.

Der Begriff orientiert sich an den Regelungen der Datenschutz-Grundverordnung (DSGVO) und ist insbesondere für die Frage relevant, ob datenschutzrechtliche Vorschriften auf eine bestimmte Datenverarbeitung Anwendung finden. Sobald personenbezogene Daten in einem strukturierten System abgelegt und gezielt auffindbar sind, handelt es sich regelmäßig um ein Dateisystem im datenschutzrechtlichen Sinn.

Bedeutung in der Praxis

Dateisysteme finden sich in nahezu allen Bereichen kirchlicher Arbeit. Beispiele sind:

• elektronische Personalakten
• Mitglieder- und Kontaktdatenbanken
• Bewerbermanagementsysteme
• Dokumentenmanagementsysteme
• Verzeichnisse auf Netzlaufwerken
• strukturierte Papierakten

Auch analoge Aktenordner können als Dateisystem gelten, wenn die enthaltenen Informationen nach bestimmten Merkmalen – beispielsweise Namen, Aktenzeichen oder Geburtsdaten – geordnet sind und gezielt durchsucht werden können.

Für kirchliche Einrichtungen ist die datenschutzkonforme Gestaltung von Dateisystemen von großer Bedeutung. Personenbezogene Daten dürfen nur von berechtigten Personen eingesehen werden und müssen vor unbefugtem Zugriff, Verlust oder Manipulation geschützt werden.

Besonderheiten im kirchlichen Datenschutz

Kirchliche Einrichtungen verarbeiten häufig besonders schützenswerte personenbezogene Daten. Dazu gehören beispielsweise Informationen über religiöse Zugehörigkeit, kirchliche Ämter, Sakramente, Beschäftigungsverhältnisse oder Beratungs- und Seelsorgeangebote.

Daher müssen Dateisysteme so gestaltet werden, dass die Anforderungen des KDG erfüllt werden. Hierzu gehören insbesondere angemessene technische und organisatorische Maßnahmen, klare Zugriffsregelungen, Aufbewahrungsfristen sowie Verfahren zur datenschutzgerechten Löschung oder Archivierung von Daten.

Eine sorgfältige Organisation von Dateisystemen trägt dazu bei, die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten sicherzustellen und die Rechte der betroffenen Personen wirksam zu schützen.

Datenschutzbeauftragte unterstützen kirchliche Einrichtungen bei der Einhaltung datenschutzrechtlicher Vorschriften und wirken darauf hin, dass personenbezogene Daten rechtmäßig verarbeitet werden. Sie nehmen eine unabhängige Beratungs- und Überwachungsfunktion wahr und sind zentrale Ansprechpersonen für Verantwortliche, Mitarbeitende, betroffene Personen und Datenschutzaufsichtsbehörden.

Im kirchlichen Datenschutzrecht sind Datenschutzbeauftragte ein wichtiges Instrument zur Sicherstellung der Vorgaben des Gesetzes über den Kirchlichen Datenschutz (KDG). Durch ihre fachliche Expertise tragen sie dazu bei, Datenschutzrisiken frühzeitig zu erkennen und datenschutzkonforme Prozesse innerhalb kirchlicher Einrichtungen zu etablieren.

Rechtliche Grundlagen

Die Bestellung von Datenschutzbeauftragten ist in den §§ 36 bis 39 KDG geregelt. Danach sind kirchliche Verantwortliche und Auftragsverarbeiter unter bestimmten Voraussetzungen verpflichtet, eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Datenschutzbeauftragte können Beschäftigte der Einrichtung oder externe Dienstleister sein. Voraussetzung ist die erforderliche Fachkunde sowie die Fähigkeit, die datenschutzrechtlichen Aufgaben ordnungsgemäß wahrzunehmen.

Bei der Ausübung ihrer Tätigkeit sind Datenschutzbeauftragte weisungsfrei. Sie dürfen wegen der Erfüllung ihrer Aufgaben weder benachteiligt noch abberufen werden, sofern hierfür kein wichtiger Grund vorliegt.

Aufgaben

Die Aufgaben von Datenschutzbeauftragten ergeben sich insbesondere aus § 39 KDG. Hierzu gehören unter anderem:

• Beratung von Verantwortlichen und Mitarbeitenden zu datenschutzrechtlichen Pflichten
• Überwachung der Einhaltung des KDG sowie weiterer Datenschutzvorschriften
• Sensibilisierung und Schulung von Beschäftigten
• Unterstützung bei Datenschutz-Folgenabschätzungen
• Beratung bei der Einführung neuer Verfahren und Technologien
• Zusammenarbeit mit der zuständigen Datenschutzaufsicht
• Anlaufstelle für betroffene Personen bei datenschutzrechtlichen Fragen

Datenschutzbeauftragte übernehmen dabei keine operative Verantwortung für die Datenverarbeitung, sondern unterstützen die Verantwortlichen bei der rechtskonformen Umsetzung datenschutzrechtlicher Anforderungen.

Bedeutung in der Praxis

Kirchliche Einrichtungen verarbeiten regelmäßig personenbezogene Daten von Mitarbeitenden, Ehrenamtlichen, Gläubigen, Kindern, Jugendlichen, Hilfesuchenden oder Bewerberinnen und Bewerbern. Häufig handelt es sich dabei um besonders schutzwürdige Informationen, die einen sorgfältigen Umgang erfordern.

Datenschutzbeauftragte begleiten die Einrichtung bei der Umsetzung datenschutzrechtlicher Vorgaben und unterstützen bei der Entwicklung geeigneter Schutzmaßnahmen. Sie wirken darauf hin, Datenschutz frühzeitig in Prozesse und Projekte einzubinden und potenzielle Risiken für die Rechte und Freiheiten betroffener Personen zu minimieren.

Besonderheiten im kirchlichen Datenschutz

Im Bereich der katholischen Kirche gelten nicht unmittelbar die Vorschriften der Datenschutz-Grundverordnung (DSGVO), sondern das kirchliche Datenschutzrecht. Für viele katholische Einrichtungen bildet das KDG die maßgebliche Rechtsgrundlage.

Datenschutzbeauftragte müssen daher neben allgemeinen datenschutzrechtlichen Kenntnissen auch mit den Besonderheiten kirchlicher Strukturen und Rechtsvorschriften vertraut sein. Dies betrifft insbesondere den Umgang mit personenbezogenen Daten im pastoralen Bereich, in Bildungseinrichtungen, sozialen Diensten sowie in kirchlichen Verwaltungs- und Personalangelegenheiten.

Ein Datenschutzkonzept ist ein strukturiertes Dokument, das die Maßnahmen, Zuständigkeiten und Prozesse einer Organisation zum Schutz personenbezogener Daten beschreibt. Es dient dazu, die Einhaltung datenschutzrechtlicher Vorgaben nachzuweisen und einen einheitlichen Umgang mit personenbezogenen Daten innerhalb einer Einrichtung sicherzustellen.

Im kirchlichen Bereich stellt das Datenschutzkonzept ein wichtiges Instrument zur Umsetzung der Anforderungen des Gesetzes über den Kirchlichen Datenschutz (KDG) dar. Es unterstützt Verantwortliche dabei, Datenschutz systematisch in organisatorische Abläufe zu integrieren und Risiken für die Rechte und Freiheiten betroffener Personen zu minimieren.

Rechtliche Grundlagen

Das KDG schreibt kein bestimmtes Datenschutzkonzept in einer festgelegten Form vor. Dennoch ergeben sich aus verschiedenen Vorschriften zahlreiche Dokumentations-, Nachweis- und Organisationspflichten, die regelmäßig in einem Datenschutzkonzept zusammengeführt werden.

Hierzu gehören insbesondere:

• die Einhaltung der Datenschutzgrundsätze,
• die Umsetzung technischer und organisatorischer Maßnahmen,
• die Führung eines Verzeichnisses von Verarbeitungstätigkeiten,
• die Regelung von Zuständigkeiten und Verantwortlichkeiten,
• Verfahren zur Wahrnehmung von Betroffenenrechten,
• Prozesse zum Umgang mit Datenschutzverletzungen,
• Vorgaben zur Datensicherheit und Datenlöschung.

Ein Datenschutzkonzept unterstützt damit die Erfüllung der Rechenschaftspflicht und dient als Nachweis gegenüber Aufsichtsbehörden und internen Prüfstellen.

Inhalte eines Datenschutzkonzepts

Der konkrete Aufbau eines Datenschutzkonzepts hängt von Größe, Aufgaben und Datenverarbeitungen der jeweiligen Einrichtung ab. Typischerweise umfasst es jedoch folgende Bereiche:

• Beschreibung der Organisation und ihrer Datenverarbeitungen
• Benennung von Verantwortlichen und Ansprechpartnern
• Regelungen zum Umgang mit personenbezogenen Daten
• Technische und organisatorische Schutzmaßnahmen
• Berechtigungs- und Zugriffskonzepte
• Lösch- und Aufbewahrungsregelungen
• Verfahren zur Meldung von Datenschutzverletzungen
• Schulungs- und Sensibilisierungsmaßnahmen

Das Datenschutzkonzept sollte regelmäßig überprüft und bei rechtlichen, technischen oder organisatorischen Änderungen aktualisiert werden.

Bedeutung in der Praxis

Kirchliche Einrichtungen verarbeiten häufig personenbezogene Daten von Mitarbeitenden, Ehrenamtlichen, Gläubigen, Klientinnen und Klienten, Schülerinnen und Schülern oder Bewerberinnen und Bewerbern. Ein Datenschutzkonzept hilft dabei, diese Verarbeitungen transparent zu dokumentieren und datenschutzrechtliche Anforderungen einheitlich umzusetzen.

Zugleich dient es als Orientierungshilfe für Mitarbeitende und Führungskräfte. Klare Regelungen reduzieren das Risiko von Datenschutzverstößen und fördern einen verantwortungsvollen Umgang mit personenbezogenen Daten.

Besonderheiten im kirchlichen Datenschutz

Kirchliche Einrichtungen unterliegen den Regelungen des KDG und müssen dabei die Besonderheiten ihrer Aufgaben und Organisationsstrukturen berücksichtigen. Dies betrifft insbesondere den Umgang mit sensiblen personenbezogenen Daten aus dem pastoralen, sozialen, schulischen oder karitativen Bereich.

Ein Datenschutzkonzept sollte daher nicht nur allgemeine Datenschutzanforderungen abbilden, sondern auch die spezifischen Verarbeitungsprozesse der jeweiligen kirchlichen Einrichtung berücksichtigen. Auf diese Weise bildet es die Grundlage für ein wirksames Datenschutzmanagement und die rechtskonforme Verarbeitung personenbezogener Daten.

Ein Datenschutzmanagementsystem umfasst alle organisatorischen, technischen und dokumentarischen Maßnahmen, die dazu dienen, den Datenschutz innerhalb einer Einrichtung systematisch zu steuern, umzusetzen und kontinuierlich zu verbessern. Ziel ist es, die Einhaltung datenschutzrechtlicher Anforderungen dauerhaft sicherzustellen und Datenschutzrisiken frühzeitig zu erkennen und zu minimieren.

Im kirchlichen Bereich unterstützt ein Datenschutzmanagementsystem Verantwortliche dabei, die Vorgaben des Gesetzes über den Kirchlichen Datenschutz (KDG) rechtskonform und nachvollziehbar umzusetzen. Es schafft klare Zuständigkeiten, standardisierte Prozesse und eine umfassende Dokumentation datenschutzrelevanter Vorgänge.

Rechtliche Grundlagen

Das KDG schreibt die Einführung eines Datenschutzmanagementsystems nicht ausdrücklich vor. Zahlreiche gesetzliche Anforderungen lassen sich jedoch nur durch strukturierte Datenschutzprozesse wirksam erfüllen.

Dazu gehören insbesondere:

• die Einhaltung der Grundsätze der Datenverarbeitung,
• die Führung eines Verzeichnisses von Verarbeitungstätigkeiten,
• die Umsetzung technischer und organisatorischer Maßnahmen,
• die Wahrung von Betroffenenrechten,
• die Durchführung von Datenschutz-Folgenabschätzungen,
• die Meldung von Datenschutzverletzungen,
• die Dokumentation datenschutzrelevanter Entscheidungen.

Ein Datenschutzmanagementsystem unterstützt dabei, diese Anforderungen nachweisbar und dauerhaft umzusetzen.

Bestandteile eines Datenschutzmanagementsystems

Die konkrete Ausgestaltung eines Datenschutzmanagementsystems hängt von Größe, Struktur und Aufgaben der jeweiligen Einrichtung ab. Typische Bestandteile sind:

• Datenschutzrichtlinien und Dienstanweisungen
• Verzeichnis von Verarbeitungstätigkeiten
• Rollen- und Berechtigungskonzepte
• Verfahren zur Bearbeitung von Betroffenenanfragen
• Prozesse zur Meldung von Datenschutzverletzungen
• Schulungs- und Sensibilisierungsmaßnahmen
• Regelmäßige Überprüfungen und Audits
• Dokumentation technischer und organisatorischer Maßnahmen

Durch diese Elemente entsteht ein strukturierter Rahmen für die datenschutzkonforme Verarbeitung personenbezogener Daten.

Bedeutung in der Praxis

Kirchliche Einrichtungen verarbeiten häufig große Mengen personenbezogener Daten, beispielsweise von Mitarbeitenden, Ehrenamtlichen, Gläubigen, Schülerinnen und Schülern, Klientinnen und Klienten oder Pflegebedürftigen. Die datenschutzrechtlichen Anforderungen betreffen dabei nahezu alle Bereiche der täglichen Arbeit.

Ein Datenschutzmanagementsystem hilft dabei, Verantwortlichkeiten festzulegen, Prozesse zu standardisieren und rechtliche Risiken zu reduzieren. Gleichzeitig erleichtert es den Nachweis der Datenschutz-Compliance gegenüber Aufsichtsbehörden und stärkt das Vertrauen von Betroffenen in den verantwortungsvollen Umgang mit ihren Daten.

Besonderheiten im kirchlichen Datenschutz

Kirchliche Einrichtungen unterliegen dem Gesetz über den Kirchlichen Datenschutz (KDG) und verfügen damit über ein eigenes Datenschutzrecht. Datenschutzmanagementsysteme müssen daher die spezifischen Anforderungen kirchlicher Organisationen berücksichtigen.

Besondere Bedeutung haben dabei häufig sensible personenbezogene Daten aus pastoralen, sozialen, pädagogischen oder gesundheitlichen Tätigkeitsbereichen. Ein wirksames Datenschutzmanagementsystem unterstützt kirchliche Einrichtungen dabei, diese Daten rechtmäßig, sicher und entsprechend den Vorgaben des KDG zu verarbeiten.

In einer zunehmend digitalisierten und regulierten Verwaltungslandschaft gewinnt die Rolle des Datenschutzmanagers (engl. Chief Privacy Officer, CPO) stetig an strategischer Bedeutung für das regelkonforme Verwaltungshandeln. Als unmittelbar der obersten Leitungsebene zugeordnetes Fachorgan obliegt ihm nicht lediglich die administrative, also vornehm beratende, Begleitung zu datenschutzrechtlichen Anforderungen, sondern vielmehr die Verantwortung für deren regelkonforme Umsetzung in den operativen Strukturen der datenverarbeitenden Organisation.

Im Gegensatz zum Datenschutzbeauftragten (engl. Data Protection Officer, DPO), dessen gesetzliche Aufgabe auf die unabhängige Beratung und Kontrolle begrenzt ist, agiert der Datenschutzmanager als Vertreter des datenschutzrechtlich „Verantwortlichen“ im Sinne des § 4 Nr. 9 KDG oder Art. 4 Nr. 7 DSGVO. Diese Stellvertretung erfolgt entweder durch Delegation im Arbeitsvertrag und/oder im kirchlichen Bereich bspw. auch ausdrücklich im Rahmen des § 15 Abs. 6 Satz 1 KDG-DVO, wonach Aufgaben und Befugnisse der verantwortlichen Stelle (bzw. des Generalvikars) auf geeignete Personen übertragen werden können. Daraus erwächst dem Datenschutzmanager eine Steuerungs-, Überwachungs- und Mitverantwortungsfunktion, die ihn – anders als den Datenschutzbeauftragten – in die operative und strategische Gestaltung datenschutzkonformer Prozesse einbindet und mit Entscheidungsbefugnissen im Rahmen einer Fachaufsicht ausstattet.

Regelmäßig übernimmt oder veranlasst ein Datenschutzmanager die Bewirtschaftung eines Datenschutzmanagementsystems (DSMS), etwa in Anlehnung an das „Standard-Datenschutzmodell (SDM 3.0)“, das „Kirchliche Datenschutzmodell (KDM)“ oder den normativen Standard DIN EN ISO/IEC 37301 für Compliance-Managementsysteme. Bei diesen datenschutzbezogenen Managementsystemen handelt es sich um Organisationsinstrumente, um strukturierte Handlungsempfehlungen und geordnete prozessuale Vorgehensweisen, die iterativ ausgerichtet bzw. konzipiert sind und eine kontinuierliche Verbesserung datenschutzrechtlicher Kontroll- und Steuerungsmechanismen anstreben.

Auch im deutschen Sprachraum verbreitete Modelle wie VdS 10010 oder die Prüfstandards IdW PS 980/PH 9.860.1 können hier Anwendung finden. Die DIN EN ISO/IEC 27701 hingegen ist als sogenanntes „Managementsystem für Informationen zum Datenschutz“ (engl. Privacy-Information-Managementsystem) lediglich ein erweiternder Anhang (Annex) zur DIN EN ISO/IEC 27001 und adressiert damit die Ausweitung der Dokumentation eines Informationssicherheitsmanagementsystems (ISMS) auf datenschutzrechtliche Belange – ein vollständiges Managementsystem (DSMS) im Sinne eines spezifischen Compliance-Management-Systems bildet das Regelwerk nicht, bzw. nur begrenzt ab. Keineswegs wird damit eine vollständige Datenschutz-Compliance erreicht. Voraussetzung für die Zertifizierung eines Managementsystems-für-Informationen-zum-Datenschutz, ist dabei stets eine zunächst erfolgreiche Umsetzung und unabhängige Zertifizierung der ISMS-Anforderungen nach der Norm ISO 27001.

Während die Rolle des Datenschutzmanagers in staatlichen Großverwaltungen oder börsennotierten Unternehmen (alle DAX-40-Unternehmen) längst zur Compliance-Grundausstattung gehört, ist diese Funktion in kirchlichen Verwaltungen derzeit nur vereinzelt institutionalisiert. Die dezentralen Strukturen und historisch gewachsenen Zuständigkeiten und ein häufig anzutreffendes Missverständnis in den Personalverwaltungen zu den Funktionen, Rollen und Verantwortlichkeiten im Bereich Compliance, Datenschutz und Informationssicherheit führen bislang dazu, dass Aufgaben des Datenschutzes und der Compliance eher anlassbezogen als systematisiert wahrgenommen werden und/oder an Personen übertragen werden, die nicht über die erforderliche Ausbildung und/oder beruflichen Erfahrungen verfügen. Mit Blick auf neue regulatorische Querschnittsthemen wie KI-Compliance oder TAX-Compliance, sowie die steigende Bedeutung interner Kontrollsysteme (IKS) zeichnet sich jedoch ab, dass auch kirchliche Stellen verstärkt auf die Einrichtung solcher fachbezogener Stabsfunktionen angewiesen sein werden und gut beraten sind, die Aufgaben an einschlägig ausgebildete, integre und zuverlässige Personen zu übertragen.

In der Rollenverteilung ist folglich ausreichend klar zu differenzieren: Datenschutzbeauftragte sind im besten Sinne der Aufsicht des verantwortlichen Datenverarbeiters und dessen Umsetzungssteuerung verpflichtet, ohne selbst mehr als unterstützend operativ umzusetzen. Datenschutzbeauftragte wahren die Rechte der betroffenen Personen und sichern die Einhaltung des rechtlichen Rahmens durch eine prüfende Distanz von den operativen Entscheidungs- und Datenverarbeitungsvorgängen. Datenschutzmanager hingegen nehmen die Interessen der Organisation selbst wahr und sind ganz vorherrschend als Stabsstelle bei der obersten Leitungsebene oder innerhalb der Rechtsabteilung als Compliance-Abteilung angesiedelt: Datenschutzmanager sind dafür zuständig, dass das „Was“ und „Wie“ datenschutzrechtlicher Anforderungen in den jeweiligen Einheiten verstanden, organisiert und umgesetzt wird, insbesondere in den datenverarbeitenden Abteilungen. Datenschutzbeauftragte hingegen beraten den Datenschutzmanager oder den Datenverarbeiter – auch durch rechtliche Einschätzungen, Gutachten und Stellungnahmen – zu dessen Verarbeitungstätigkeiten. Diese Unterscheidung ist nicht nur funktional, sondern systemimmanent und sollte in Aufbau- und Ablauforganisationen klar erkennbar verankert werden. Insoweit ein Datenverarbeiter keine eigene Stelle für einen Datenschutzmanager schafft, obliegt das Aufgabenportfolio aus der DSGVO bzw. KDG, KDG-DVO und allen sonstigen einschlägigen Bestimmungen aus dem Fachrecht der obersten Leitungsebene, keinesfalls aber den Datenschutzbeauftragten, da diese sich nicht selbst überwachen sollen (Interessenskonflikt) in der Einhaltung und Umsetzung datenschutzrechtlicher Anforderungen.

Unterschiede: Rechte, Pflichten und Befugnisse der Datenschutzbeauftragten (DSB) und der Datenschutzmanager (DSM)

Rechtsstellung des Datenschutzbeauftragten nach dem KDG

Der betriebliche Datenschutzbeauftragte im kirchlichen Bereich (§ 36 ff. KDG) ist weisungsfrei (§ 37 Abs. 1 Satz 2 KDG), unmittelbar der Leitungsebene unterstellt und genießt einen besonderen Kündigungsschutz (§ 37 Abs. 4 Satz 1 KDG). Seine Aufgabe ist es, auf die Einhaltung der Vorschriften des KDG hinzuwirken (§ 38 Abs. 1 Satz 1 KDG). Dies umfasst insbesondere:

• Überwachung der regelkonformen (legitimen) Anwendung und Nutzung von Datenverarbeitungsanlagen mit frühzeitigen Informationsrechten (§ 38 Satz 3 lit. a) KDG),
• Beratung und Unterrichtung des verantwortlichen Datenverarbeiters, des Auftragsverarbeiters, der Mitarbeitenden und der von Datenverarbeitungen betroffenen Personen (§ 38 Satz 3 lit. b) KDG, Art. 39 Abs. 1 lit. a) DSGVO),
• Informieren und Schulen der Personen, die personenbezogene Daten verarbeiten über alle einschlägigen datenschutzbezogenen Vorschriften (§ 38 Satz 3 lit. c) KDG) ,
• Beratung und Unterstützung bei Datenschutz-Folgenabschätzungen (§ 38 Satz 3 lit. d) KDG),
• Zusammenarbeit mit der Aufsichtsbehörde (§ 38 Satz 3 lit. e) KDG).

Der Datenschutzbeauftragte hat keine Entscheidungs-, Durchsetzungs- oder Weisungsbefugnisse. Eine rechtlich bindende oder betriebsinterne „Freigabe“ datenschutzrelevanter Maßnahmen oder gar der Verarbeitungstätigkeiten selbst steht ihm nicht zu. Vielmehr bleibt er ein internes Beratungs- und Kontrollorgan, das vor Interessenkonflikten zu schützen ist. Datenschutzbeauftragte sollen weder über personenbezogene Datenverarbeitungen entscheiden oder die Mittel (Hardware, Software) noch die Zwecke (Gründe) von personenbezogenen Datenverarbeitungen „freigeben“, sondern den verantwortlichen Datenverarbeiter, die betroffenen oder ausführenden Personen und sonstige naheliegende Anspruchsgruppen beraten auf Grundlage der konkreten datenschutzrechtlichen Vorschriften – nicht aber nach der eigenen (datenschutzbezogenen) Weltanschauung.

Zur Rechtsstellung des Datenschutzmanagers (engl. Chief Privacy Officer, CPO) nach der Verkehrsanschauung und ISO-Normen

Der Datenschutzmanager ist nicht begrifflich im KDG oder der DSGVO gesetzlich definiert, ergibt sich aber aus der internen Rollenzuweisung an und durch den Verantwortlichen. Hinweise zum Berufsprofil können sich auch aus der DIN EN ISO/IEC 17740:2024-04 ergeben („Anforderungen an Berufsprofile im Zusammenhang mit der Verarbeitung und dem Schutz personenbezogener Daten“). Letztlich ist die Rolle des Datenschutzmanagers im kirchlichen Bereich durch den Bischof oder Ortsordinarius bzw. die oberste Leitungsperson im Rahmen ihrer Spitzenfunktion wahrzunehmen, soweit die oberste Leitungsebene diese ihr obliegenden gesetzlichen Pflichten a) nicht anderweitig delegiert und sich b) regelmäßig der gewissenhaften Erledigung der Pflichten versichert. Nach § 15 Abs. 6 KDG-DVO kann der verantwortliche Datenverarbeiter im kirchlichen Bereich seine Aufgaben und Befugnisse schriftlich auf fachlich geeignete Mitarbeitende übertragen. Hierzu gehört auch die Möglichkeit, die Rolle eines „Datenschutzverantwortlichen“ (im Sinne einer betrieblichen Führungs- und Leitungsrolle für Datenschutz) mit Anordnungs- und Entscheidungsbefugnis und Repräsentation gegenüber Kontrollorganen auszustatten (Fachaufsicht).

Laut der ISO-Definition 17740 (= DIN EN 17740:2024-04) ist der Datenschutzmanager eine Führungskraft mit sehr hohem Kompetenzniveau. Seine Aufgabe ist es, im Auftrag der obersten Leitungsebene geeignete organisatorische Maßnahmen zu veranlassen und deren Wirksamkeit sicherzustellen. Er handelt im Namen der Geschäftsleitung und ist regelmäßig für die Umsetzung bzw. das Nachhalten und Steuern der Umsetzung der Datenschutzstrategie verantwortlich. Die Strategie ist grundsätzlich von der obersten Leitungsebene festzulegen und mit relevanten Parteien abzustimmen, zum Beispiel den Datenschutzbeauftragten, dem Dokumentenmanagement (Archiv, Registratur), den Mitarbeitervertretungen oder den IT-Sicherheitsbeauftragten und anderen Compliance-Stellen (Revision, Internes Kontrollsystem).

Die Aufgaben eines Datenschutzmanagers umfassen insbesondere:

• Umsetzung und Verantwortung für Datenschutzprozesse entwickeln, steuern und verbessern;
• Bewerten und (An-)leiten des datenschutzrechtlichen Risikomanagementprozesses, auch im Kontext von Datenschutz-Folgenabschätzungen und im Anschluss bzw. zur Verzahnung an das eher technisch geprägte ISMS-Risikomanagement in Bezug auf dessen Ziele, das Sicherstellen der Vertraulichkeit, Verfügbarkeit und die Integrität von dienstlichen Informationen und sonstigen zu schützenden Werten (engl. „Assets“);
• Steuerung von DS-Risikoanalysen und Datenschutzkonzepten (etwa datenschutzfreundliche Grundeinstellungen und Konfiguration und Auswahl von IT-Systemen/IT-Services);
• Abstimmung mit DSB auf gleicher Grundlage (= KDG, DSGVO, Fachrecht), jedoch in entscheidungstragender Hinsicht.

Systematischer Vergleich zwischen Datenschutzbeauftragten und Datenschutzmanagern

Datenschutzbeauftragte sind bewusst auf die Rolle unabhängiger, nicht weisungsgebundener Beraterinnen und Berater und Kontrolleure beschränkt. Eine Ausweitung des Aufgabenfeldes, etwa durch operative „Freigaben“ von Verarbeitungsvorgängen oder IT-Systemen und IT-Services, würde Datenschutzbeauftragte in einen strukturellen Interessenkonflikt führen und seine gesetzlich vorgesehene Neutralität gefährden (Vgl. § 37 Abs. 5 KDG, Art. 38 Abs. 6 Satz 2 DSGVO).

Datenschutzmanager hingegen handeln im Mandat der Leitungsebene und vertreten die institutionelle Perspektive des datenschutzrechtlich Verantwortlichen. Datenschutzmanager sind für die Umsetzung und Wirksamkeit der Datenschutzmaßnahmen verantwortlich und tragen in der Praxis regelmäßig auch die Rechenschaftspflicht im Sinne von § 7 Abs. 2 KDG, Art. 5 Abs. 2 DSGVO.

Der eine berät zum Datenschutz, der andere steuert die konkrete Umsetzung

Die strukturelle Gewichtung der Verantwortungslast liegt deutlich beim Datenschutzmanager. Während der Datenschutzbeauftragte ein unverzichtbares Kontrollorgan ist, obliegt es dem Datenschutzmanager, datenschutzkonforme Prozesse zu planen, umzusetzen und zu verantworten. Eine Verlagerung von Entscheidungs- oder Genehmigungsrechten auf den Datenschutzbeauftragten wäre nicht nur systemwidrig, sondern rechtlich unzulässig. Entscheidungen verbleiben bei der Leitung – vertreten durch den Datenschutzmanager. Dieser übernimmt auch gegenüber der Aufsichtsbehörde die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben.

Sollten betriebliche Datenschutzbeauftragter (bDSB) „Freigaberechte“ in Bezug auf die Mittel der Datenverarbeitung oder die personenbezogenen Datenverarbeitungen haben?

Fraglich ist, ob Datenschutzbeauftragten im kirchlichen Datenschutzrecht (KDG), beziehungsweise in Anlehnung an die Datenschutz-Grundverordnung (DSGVO), Freigabe- und Gestaltungsrechte für den Einsatz von Hard- und Software zur Verarbeitung personenbezogener Daten zustehen dürfen oder ob dies eine unzulässige Kompetenzüberschreitung darstellen könnte, die ihre Rolle als unabhängige und beratende Instanz unterminiert und DSBs in die Rolle des „Verantwortlichen“ versetzen.

Gemäß § 37 Abs. 1 S. 2 KDG sind DSB bei der Erfüllung ihrer Aufgaben weisungsfrei. Diese Weisungsfreiheit unterstreicht ihre Unabhängigkeit, bedeutet jedoch nicht, dass sie operative Entscheidungen über die Datenverarbeitung treffen. Vielmehr ergibt sich aus § 38 KDG ein klar umrissenes Aufgabenprofil, das insbesondere Beratung, Unterstützung, Kontrolle sowie Schulung umfasst, nicht jedoch die Entscheidungsgewalt über technische oder organisatorische Maßnahmen oder Verarbeitungstätigkeiten selbst.

Datenschutzbeauftragte sind funktional ein Kontrollorgan, das den datenschutzrechtlichen Selbstkontrollmechanismus der verantwortlichen Stelle ergänzt. Die Letztverantwortung für jede Form der Datenverarbeitung verbleibt beim datenschutzrechtlich Verantwortlichen (§ 4 Nr. 9 KDG), also der kirchlichen Stelle. Daraus ergibt sich zwingend, dass Genehmigungs-, Auswahl- oder Untersagungsbefugnisse in Bezug auf konkrete Verarbeitungsvorgänge oder eingesetzte Systeme nicht den DSB zustehen dürfen, da dies einen unzulässigen Rollenwechsel darstellen würde.

Art. 38 Abs. 6 Satz 2 DSGVO – sinngemäß auch im kirchlichen Recht umgesetzt – betont ausdrücklich, dass DSB keine Aufgaben übernehmen dürfen, die zu einem Interessenkonflikt führen. Die Entscheidung über die Auswahl der Mittel der Datenverarbeitung (z.B. Software, IT-Systeme) ist ein typischer Ausfluss der strategischen und operativen Verantwortung und somit dem Verantwortlichen vorbehalten.

Eine Einbindung der Datenschutzbeauftragten in Freigabeprozesse (etwa durch Mitzeichnung oder explizite „Freigabe“) ist zwar als informelles Konsultationsverfahren zulässig, darf jedoch keine rechtliche Freigabeverpflichtung oder Sperrwirkung entfalten. Eine solche Ausgestaltung würde DSBs faktisch in die Rolle eines (Mit-)Verantwortlichen erheben – mit haftungsrechtlichen, organisatorischen und rechtsdogmatischen Folgen. Das KDG kennt keine solche hybride Rolle. Allerdings sind Datenschutzbeauftragte nach § 38 Satz 3 lit. a) KDG rechtzeitig über Vorhaben der automatisierten Datenverarbeitung zu informieren.

Ein Datenschutzbeauftragter darf keine Freigaberechte im Sinne von Genehmigungs- oder Verweigerungsrechten über die Mittel der personenbezogenen Datenverarbeitung oder die Datenverarbeitungen selbst haben.

Solche Rechte sind mit der gesetzlichen Rolle unvereinbar und würden einen DSB zum datenschutzrechtlich (Mit-)Verantwortlichen machen, was gegen das Trennungsprinzip zwischen Kontrolle und Verantwortung verstieße. Entscheidungen über die Zulässigkeit oder die konkrete Ausgestaltung von Datenverarbeitungsvorgängen – einschließlich der verwendeten Hard- und Software – verbleiben ausschließlich beim Verantwortlichen oder einer von diesem legitimierten Instanz, wie etwa einem Datenschutzmanager mit entsprechender Entscheidungs- und Weisungskompetenz.

Eine Zustimmungspflicht (oder Recht) durch DSB im Sinne einer rechtlichen Freigabe wäre systemwidrig und im Ergebnis unzulässig. Vielmehr ist die Rolle der betrieblichen/behördlichen Datenschutzbeauftragten auf eine unabhängige Beratung, Kontrolle und Berichterstattung beschränkt.

Ein Dekanat ist eine organisatorische Einheit innerhalb einer Diözese, die mehrere Kirchengemeinden oder Pfarreien eines bestimmten geografischen Gebiets zusammenfasst. Es dient der Koordination pastoraler, administrativer und organisatorischer Aufgaben zwischen den einzelnen Gemeinden und der diözesanen Verwaltung. Geleitet wird ein Dekanat in der Regel von einem Dekan oder einer Dekanin, die als Ansprechpartner für die Pfarreien und für die Bistumsleitung fungieren.

Bedeutung im kirchlichen Datenschutz

Dekanate verarbeiten im Rahmen ihrer Aufgaben regelmäßig personenbezogene Daten. Dazu gehören beispielsweise Daten von Mitarbeitenden, Ehrenamtlichen, Mitgliedern kirchlicher Gremien, Teilnehmenden kirchlicher Veranstaltungen oder Kontaktpersonen aus den angeschlossenen Pfarreien und Einrichtungen.

Da Dekanate häufig koordinierende und unterstützende Funktionen wahrnehmen, können sie auch in die Verarbeitung personenbezogener Daten eingebunden sein, die ursprünglich auf Ebene einzelner Kirchengemeinden erhoben wurden. Dabei sind die Vorgaben des Gesetzes über den Kirchlichen Datenschutz (KDG) zu beachten.

Die datenschutzrechtliche Verantwortung richtet sich nach den jeweiligen organisatorischen und rechtlichen Zuständigkeiten. Ob ein Dekanat selbst Verantwortlicher für bestimmte Verarbeitungsvorgänge ist oder lediglich unterstützende Aufgaben wahrnimmt, hängt vom jeweiligen Einzelfall ab.

Rechtliche Grundlagen

Die Organisation und Aufgaben eines Dekanats ergeben sich aus den kirchenrechtlichen Regelungen der jeweiligen Diözese. Datenschutzrechtlich gelten für Dekanate die Vorschriften des KDG sowie die dazugehörigen Durchführungsbestimmungen.

Bei der Verarbeitung personenbezogener Daten müssen insbesondere die Grundsätze der Rechtmäßigkeit, Zweckbindung, Datenminimierung und Vertraulichkeit eingehalten werden. Darüber hinaus sind geeignete technische und organisatorische Maßnahmen zu treffen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen.

Diözesandatenschutzbeauftragte sind die behördlich bestellten Datenschutzbeauftragten einer katholischen Diözese. Sie unterstützen kirchliche Stellen bei der Einhaltung datenschutzrechtlicher Vorschriften und überwachen die Umsetzung der Anforderungen des Gesetzes über den Kirchlichen Datenschutz (KDG). Ihre Tätigkeit dient dem Schutz personenbezogener Daten und der Förderung eines datenschutzkonformen Umgangs mit Informationen innerhalb kirchlicher Einrichtungen.

Aufgaben und Stellung

Diözesandatenschutzbeauftragte beraten Verantwortliche und Mitarbeitende in Datenschutzfragen und wirken darauf hin, dass die gesetzlichen Vorgaben des KDG eingehalten werden. Sie sind Ansprechpartner für kirchliche Einrichtungen, Mitarbeitende und betroffene Personen und unterstützen bei der Umsetzung datenschutzrechtlicher Maßnahmen.

Zu den wesentlichen Aufgaben gehören:

• Beratung zu datenschutzrechtlichen Fragestellungen
• Unterstützung bei der Einführung datenschutzkonformer Prozesse
• Überwachung der Einhaltung des KDG
• Sensibilisierung und Schulung von Mitarbeitenden
• Beratung bei Datenschutz-Folgenabschätzungen
• Unterstützung bei der Bewertung von Datenschutzvorfällen
• Zusammenarbeit mit den kirchlichen Datenschutzaufsichtsbehörden

Bei ihrer Tätigkeit sind Diözesandatenschutzbeauftragte unabhängig und dürfen wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden.

Rechtliche Grundlagen

Die Bestellung von Datenschutzbeauftragten ist in den Vorschriften des Gesetzes über den Kirchlichen Datenschutz geregelt. Danach haben viele kirchliche Stellen einen Datenschutzbeauftragten zu benennen, insbesondere wenn Umfang, Art oder Zweck der Datenverarbeitung dies erfordern.

Diözesandatenschutzbeauftragte unterstützen die jeweiligen Verantwortlichen bei der Erfüllung ihrer datenschutzrechtlichen Pflichten. Die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung verbleibt jedoch stets bei der jeweiligen kirchlichen Stelle.

Als Drittland wird im Datenschutzrecht ein Staat bezeichnet, der weder Mitglied der Europäischen Union (EU) noch des Europäischen Wirtschaftsraums (EWR) ist. Zu den EWR-Staaten gehören neben den EU-Mitgliedstaaten auch Island, Liechtenstein und Norwegen. Länder außerhalb dieses Rechtsraums gelten datenschutzrechtlich grundsätzlich als Drittländer.

Der Begriff spielt insbesondere dann eine Rolle, wenn personenbezogene Daten an Empfänger in einem Drittland übermittelt oder dort verarbeitet werden. Dies kann beispielsweise bei der Nutzung von Cloud-Diensten, Softwarelösungen, Kommunikationsplattformen oder externen Dienstleistern der Fall sein.

Rechtliche Grundlagen

Die Übermittlung personenbezogener Daten in ein Drittland ist nach dem Gesetz über den Kirchlichen Datenschutz (KDG) nur unter bestimmten Voraussetzungen zulässig. Hintergrund ist, dass außerhalb der EU und des EWR häufig kein mit dem europäischen Datenschutz vergleichbares Schutzniveau besteht.

Eine Datenübermittlung kann insbesondere zulässig sein, wenn:

• für das betreffende Land ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt,
• geeignete Garantien für den Schutz personenbezogener Daten bestehen,
• besondere gesetzliche Ausnahmetatbestände greifen.

Zu den Ländern, für die derzeit ein Angemessenheitsbeschluss besteht, gehören beispielsweise die Schweiz, das Vereinigte Königreich, Japan und Kanada für bestimmte Bereiche.

Bedeutung in der Praxis

Drittländer spielen im kirchlichen Datenschutz eine große Rolle, da zahlreiche digitale Dienste von Unternehmen außerhalb der EU angeboten werden. Besonders häufig betrifft dies Anbieter mit Sitz in den Vereinigten Staaten.

Bereits die Nutzung einer Software oder eines Online-Dienstes kann zu einer Drittlandübermittlung führen, wenn personenbezogene Daten auf Servern außerhalb der EU gespeichert oder von dort aus verarbeitet werden. Dies gilt beispielsweise für:

• Cloud-Speicherdienste,
• Videokonferenzsysteme,
• Newsletter- und E-Mail-Marketing-Plattformen,
• Analyse- und Trackingdienste,
• Personal- und Verwaltungssoftware.

Kirchliche Einrichtungen müssen daher vor der Nutzung solcher Dienste prüfen, ob personenbezogene Daten in ein Drittland übermittelt werden und ob die gesetzlichen Voraussetzungen hierfür erfüllt sind.

Besonderheiten im kirchlichen Datenschutz

Auch im kirchlichen Datenschutz gilt der Grundsatz, dass personenbezogene Daten nur dann in ein Drittland übermittelt werden dürfen, wenn die Rechte und Freiheiten der betroffenen Personen angemessen geschützt sind. Verantwortliche müssen daher sorgfältig prüfen, welche Daten verarbeitet werden, wohin die Daten gelangen und welche Schutzmaßnahmen der Anbieter getroffen hat.

Besondere Aufmerksamkeit ist erforderlich, wenn sensible personenbezogene Daten verarbeitet werden. Hierzu zählen beispielsweise Personaldaten, Gesundheitsdaten oder Daten aus seelsorglichen und sozialen Tätigkeiten. In solchen Fällen können zusätzliche technische und organisatorische Maßnahmen notwendig sein, um ein angemessenes Datenschutzniveau sicherzustellen.

Die Prüfung von Drittlandübermittlungen gehört deshalb zu den wichtigen Aufgaben eines datenschutzkonformen Informations- und Risikomanagements in kirchlichen Einrichtungen.

Ein Freigabeprozess bezeichnet ein festgelegtes Verfahren zur Prüfung, Bewertung und Genehmigung von Vorgängen, Dokumenten, Maßnahmen oder Entscheidungen innerhalb einer Organisation. Ziel ist es, sicherzustellen, dass relevante fachliche, rechtliche und organisatorische Anforderungen vor der Umsetzung berücksichtigt werden.

Im kirchlichen Datenschutz spielt der Freigabeprozess eine wichtige Rolle, um die Einhaltung der Vorgaben des Gesetzes über den Kirchlichen Datenschutz (KDG) sicherzustellen. Durch klar definierte Zuständigkeiten und Prüfabläufe können datenschutzrechtliche Risiken frühzeitig erkannt und vermieden werden.

Bedeutung im kirchlichen Datenschutz

Freigabeprozesse kommen insbesondere dann zum Einsatz, wenn neue Verfahren, Anwendungen oder organisatorische Maßnahmen eingeführt werden, die Auswirkungen auf die Verarbeitung personenbezogener Daten haben können. Vor einer Umsetzung erfolgt eine Prüfung durch die zuständigen Stellen, beispielsweise Fachabteilungen, IT-Verantwortliche, Datenschutzkoordinatoren oder Datenschutzbeauftragte.

Ein strukturierter Freigabeprozess unterstützt dabei, datenschutzrechtliche Anforderungen bereits in der Planungsphase zu berücksichtigen. Dies entspricht dem Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

Typische Fragestellungen innerhalb eines Freigabeprozesses können sein:

• Werden personenbezogene Daten verarbeitet?
• Besteht eine ausreichende Rechtsgrundlage für die Verarbeitung?
• Sind die Zwecke der Verarbeitung klar definiert?
• Werden technische und organisatorische Schutzmaßnahmen umgesetzt?
• Müssen Betroffene informiert werden?
• Ist eine Datenschutz-Folgenabschätzung erforderlich?

Anwendungsbereiche

In kirchlichen Einrichtungen werden Freigabeprozesse in zahlreichen Bereichen eingesetzt. Beispiele sind:

• Einführung neuer Software oder Cloud-Dienste
• Erstellung und Veröffentlichung von Formularen
• Einführung digitaler Arbeitsabläufe
• Veröffentlichung von Fotos oder personenbezogenen Informationen
• Anpassung bestehender Datenverarbeitungsverfahren
• Nutzung externer Dienstleister im Rahmen einer Auftragsverarbeitung

Je nach Art und Umfang des Vorhabens können unterschiedliche Stellen am Freigabeprozess beteiligt sein.

Dokumentation und Nachweisbarkeit

Ein wesentlicher Bestandteil eines Freigabeprozesses ist die Dokumentation der getroffenen Entscheidungen. Sie dient der Nachvollziehbarkeit und kann im Rahmen interner Prüfungen oder gegenüber Datenschutzaufsichtsbehörden von Bedeutung sein.

Die Dokumentation sollte insbesondere enthalten:

• Beschreibung des Vorhabens
• Ergebnis der datenschutzrechtlichen Prüfung
• beteiligte Stellen und Verantwortlichkeiten
• erteilte Freigaben und Auflagen
• Zeitpunkt der Genehmigung

Durch eine vollständige Dokumentation lässt sich nachweisen, dass datenschutzrechtliche Anforderungen vor der Umsetzung eines Vorhabens angemessen berücksichtigt wurden.

Praktische Relevanz

Freigabeprozesse helfen kirchlichen Einrichtungen, Datenschutzrisiken zu reduzieren und gesetzliche Vorgaben systematisch umzusetzen. Gleichzeitig fördern sie transparente Entscheidungswege und schaffen klare Verantwortlichkeiten innerhalb der Organisation.

Insbesondere bei neuen digitalen Angeboten, IT-Systemen oder organisatorischen Veränderungen tragen Freigabeprozesse dazu bei, dass Datenschutzaspekte frühzeitig geprüft und rechtssichere Lösungen entwickelt werden. Dadurch können Fehler, Datenschutzverstöße und nachträgliche Korrekturen häufig vermieden werden.

Führungskräfte sind Personen, die innerhalb einer Organisation Leitungs- und Entscheidungsverantwortung übernehmen. Sie steuern Arbeitsabläufe, führen Mitarbeitende und tragen Verantwortung für die Erreichung fachlicher, organisatorischer und strategischer Ziele. In kirchlichen Einrichtungen zählen hierzu beispielsweise Abteilungsleitungen, Referatsleitungen, Amtsleitungen, Einrichtungsleitungen oder andere Personen mit Personal- und Führungsverantwortung.

Bedeutung im kirchlichen Datenschutz

Führungskräfte nehmen eine zentrale Rolle bei der Umsetzung datenschutzrechtlicher Vorgaben ein. Sie sind dafür verantwortlich, dass die Mitarbeitenden ihres Zuständigkeitsbereichs die Anforderungen des Gesetzes über den Kirchlichen Datenschutz (KDG) beachten und datenschutzkonforme Arbeitsabläufe eingehalten werden.

Da personenbezogene Daten in nahezu allen Bereichen kirchlicher Einrichtungen verarbeitet werden, beeinflussen Führungskräfte maßgeblich die praktische Umsetzung des Datenschutzes. Sie schaffen die organisatorischen Voraussetzungen für einen rechtmäßigen Umgang mit personenbezogenen Daten und tragen dazu bei, Datenschutz als festen Bestandteil der täglichen Arbeit zu verankern.

Rechtliche Grundlagen

Das KDG richtet sich in erster Linie an Verantwortliche und Auftragsverarbeiter. Führungskräfte werden darin nicht als eigenständige datenschutzrechtliche Funktion definiert. Dennoch ergeben sich aus ihrer Leitungsverantwortung zahlreiche Pflichten im Zusammenhang mit der Umsetzung datenschutzrechtlicher Vorgaben.

Insbesondere unterstützen Führungskräfte bei der Einhaltung der Grundsätze der Datenverarbeitung, darunter Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung und Vertraulichkeit. Sie wirken außerdem daran mit, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten umzusetzen und dauerhaft aufrechtzuerhalten.

Aufgaben in der Praxis

Im Arbeitsalltag übernehmen Führungskräfte vielfältige Aufgaben mit datenschutzrechtlichem Bezug. Dazu gehören unter anderem:

• Organisation datenschutzkonformer Arbeitsprozesse
• Sensibilisierung von Mitarbeitenden für Datenschutzthemen
• Unterstützung bei Datenschutzschulungen
• Sicherstellung der Einhaltung interner Richtlinien und Dienstanweisungen
• Unterstützung bei der Umsetzung technischer und organisatorischer Maßnahmen
• Mitwirkung bei der Behandlung von Datenschutzverletzungen
• Zusammenarbeit mit Datenschutzbeauftragten und anderen zuständigen Stellen

Besondere Bedeutung kommt Führungskräften bei der Vorbildfunktion zu. Ihr Umgang mit personenbezogenen Daten beeinflusst wesentlich das Datenschutzbewusstsein innerhalb ihrer Organisationseinheit.

Besonderheiten im kirchlichen Datenschutz

Kirchliche Einrichtungen verarbeiten häufig besonders sensible personenbezogene Daten, beispielsweise im Bereich der Seelsorge, der Personalverwaltung, der Bildungsarbeit oder sozialer Dienste. Führungskräfte müssen deshalb sicherstellen, dass Mitarbeitende die besonderen Anforderungen des kirchlichen Datenschutzrechts kennen und beachten.

Durch ihre Leitungsfunktion tragen sie dazu bei, die Vorgaben des KDG wirksam umzusetzen und die Rechte betroffener Personen zu schützen. Eine verantwortungsvolle Führung ist damit ein wichtiger Bestandteil eines funktionierenden Datenschutzmanagements in kirchlichen Einrichtungen.

Der Generalvikar ist der ständige Stellvertreter des Diözesanbischofs und gehört zu den wichtigsten Leitungsämtern innerhalb einer katholischen Diözese. Er unterstützt den Bischof bei der Leitung des Bistums und verfügt über umfassende Vollmachten zur Wahrnehmung von Verwaltungs- und Leitungsaufgaben. Seine Stellung und Befugnisse sind im kirchlichen Recht, insbesondere im Codex Iuris Canonici (CIC), geregelt.

Der Generalvikar handelt im Auftrag des Bischofs und ist befugt, in vielen Angelegenheiten Entscheidungen mit derselben rechtlichen Wirkung zu treffen wie der Diözesanbischof selbst. Ausgenommen sind lediglich Aufgaben, die dem Bischof kraft Gesetzes oder aufgrund besonderer Umstände persönlich vorbehalten sind.

Rechtliche Grundlagen

Die Rechtsstellung des Generalvikars ergibt sich insbesondere aus den Canones 475 bis 481 des Codex Iuris Canonici (CIC). Danach ist in jeder Diözese grundsätzlich ein Generalvikar zu bestellen, der den Bischof bei der Leitung der gesamten Diözese unterstützt.

Der Generalvikar besitzt die sogenannte ordentliche ausführende Gewalt. Dadurch kann er Verwaltungsakte erlassen, Entscheidungen treffen und die laufenden Geschäfte der Diözesanverwaltung führen. Seine Befugnisse erstrecken sich regelmäßig auf alle Bereiche der kirchlichen Verwaltung, soweit keine besonderen Einschränkungen bestehen.

Bedeutung im kirchlichen Datenschutz

Im Bereich des kirchlichen Datenschutzes nimmt der Generalvikar eine zentrale Rolle ein. Als leitender Vertreter des Bischofs trägt er häufig Verantwortung für die organisatorischen Rahmenbedingungen, die zur Einhaltung des Gesetzes über den Kirchlichen Datenschutz (KDG) erforderlich sind.

Zu seinen Aufgaben können insbesondere gehören:

• Unterstützung bei der Umsetzung datenschutzrechtlicher Vorgaben innerhalb der Diözese
• Genehmigung und Einführung organisatorischer Datenschutzmaßnahmen
• Förderung einer datenschutzkonformen Verwaltungskultur
• Sicherstellung ausreichender personeller und organisatorischer Ressourcen für den Datenschutz
• Zusammenarbeit mit kirchlichen Datenschutzbeauftragten und Fachabteilungen

Da zahlreiche Verwaltungsprozesse innerhalb einer Diözese personenbezogene Daten betreffen, kommt der Leitungsebene eine besondere Verantwortung für die Einhaltung datenschutzrechtlicher Anforderungen zu.

Praktische Relevanz

In den Ordinariaten und zentralen Verwaltungseinheiten eines Bistums werden umfangreiche personenbezogene Daten verarbeitet. Dazu gehören beispielsweise Daten von Mitarbeitenden, Geistlichen, Ehrenamtlichen, Gläubigen, Bewerberinnen und Bewerbern sowie Vertragspartnern.

Der Generalvikar wirkt an der Organisation und Steuerung dieser Verwaltungsprozesse mit und trägt dazu bei, dass Datenschutz als Bestandteil einer ordnungsgemäßen kirchlichen Verwaltung berücksichtigt wird. Durch seine Leitungsfunktion kann er maßgeblich Einfluss auf die Einführung datenschutzkonformer Verfahren, die Sensibilisierung von Mitarbeitenden sowie die Umsetzung gesetzlicher Anforderungen nehmen.

Insbesondere bei strategischen Entscheidungen, organisatorischen Veränderungen oder der Einführung neuer Verwaltungsprozesse spielt der Generalvikar häufig eine wichtige Rolle bei der Berücksichtigung datenschutzrechtlicher Belange innerhalb der Diözese.

Informationssicherheit bezeichnet den Schutz von Informationen vor unbefugtem Zugriff, Verlust, Manipulation oder Zerstörung. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen dauerhaft sicherzustellen. Dabei umfasst Informationssicherheit nicht nur personenbezogene Daten, sondern sämtliche schützenswerten Informationen einer Organisation – unabhängig davon, ob diese in digitaler oder analoger Form vorliegen.

Im kirchlichen Umfeld spielt Informationssicherheit eine zentrale Rolle, da täglich eine Vielzahl sensibler Informationen verarbeitet wird. Dazu gehören beispielsweise Personalakten, Mitgliedsdaten, Daten aus Seelsorge und Beratung, Finanzinformationen sowie vertrauliche Verwaltungsunterlagen.

Grundprinzipien der Informationssicherheit

Informationssicherheit basiert auf drei grundlegenden Schutzzielen:

Vertraulichkeit

Informationen dürfen nur von Personen eingesehen oder genutzt werden, die hierzu berechtigt sind. Unbefugte Zugriffe müssen durch geeignete technische und organisatorische Maßnahmen verhindert werden.

Integrität

Informationen müssen korrekt, vollständig und unverändert bleiben. Manipulationen oder unbeabsichtigte Veränderungen sollen erkannt oder verhindert werden.

Verfügbarkeit

Informationen und IT-Systeme müssen für berechtigte Personen bei Bedarf zugänglich sein. Ausfälle durch technische Defekte, Cyberangriffe oder andere Störungen sollen möglichst vermieden werden.

Rechtliche Grundlagen

Die Informationssicherheit ist eng mit dem Datenschutz verbunden. Das Gesetz über den Kirchlichen Datenschutz (KDG) verpflichtet kirchliche Stellen dazu, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen. Diese Maßnahmen dienen dazu, Risiken für die Rechte und Freiheiten betroffener Personen zu minimieren.

Darüber hinaus können weitere kirchliche Richtlinien, IT-Sicherheitsvorgaben sowie anerkannte Standards wie die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine wichtige Orientierung für den Aufbau eines angemessenen Sicherheitsniveaus bieten.

Bedeutung in der Praxis

Informationssicherheit betrifft alle Bereiche einer kirchlichen Einrichtung und beschränkt sich nicht auf die IT-Abteilung. Sie umfasst organisatorische, technische und personelle Maßnahmen, beispielsweise:

• Vergabe und Verwaltung von Zugriffsrechten
• Verwendung sicherer Passwörter und Mehr-Faktor-Authentifizierung
• Verschlüsselung sensibler Daten
• Regelmäßige Datensicherungen
• Schutz vor Schadsoftware und Cyberangriffen
• Schulung und Sensibilisierung von Mitarbeitenden
• Regelungen zum Umgang mit mobilen Geräten und Homeoffice-Arbeitsplätzen

Besondere Bedeutung kommt der Informationssicherheit bei der Verarbeitung sensibler Daten zu, etwa im Personalwesen, in Beratungsstellen, Bildungseinrichtungen oder pastoralen Bereichen.

Besonderheiten im kirchlichen Bereich

Kirchliche Einrichtungen verarbeiten häufig Informationen mit einem besonders hohen Schutzbedarf. Dazu zählen beispielsweise Daten über religiöse Überzeugungen, Gesundheitsdaten oder Informationen aus vertraulichen Beratungs- und Seelsorgegesprächen.

Eine wirksame Informationssicherheit trägt dazu bei, das Vertrauen von Mitarbeitenden, Gläubigen und weiteren betroffenen Personen zu schützen. Gleichzeitig unterstützt sie die Einhaltung gesetzlicher und kirchlicher Vorgaben und hilft, finanzielle, organisatorische und reputationsbezogene Schäden durch Sicherheitsvorfälle zu vermeiden.

Die IT-Leitung ist für die strategische, organisatorische und technische Steuerung der Informationstechnologie innerhalb einer Einrichtung verantwortlich. In kirchlichen Körperschaften und Einrichtungen umfasst ihr Aufgabenbereich insbesondere die Planung, Bereitstellung und Weiterentwicklung der IT-Infrastruktur sowie die Gewährleistung eines sicheren und zuverlässigen Betriebs von Hard- und Software, Netzwerken und digitalen Diensten.

Im kirchlichen Datenschutz nimmt die IT-Leitung eine zentrale Rolle ein, da zahlreiche datenschutzrechtliche Anforderungen nur durch geeignete technische und organisatorische Maßnahmen umgesetzt werden können. Sie trägt maßgeblich dazu bei, die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten sicherzustellen.

Rechtliche Grundlagen

Die Aufgaben der IT-Leitung ergeben sich nicht unmittelbar aus dem Gesetz über den Kirchlichen Datenschutz (KDG). Das KDG verpflichtet jedoch Verantwortliche und Auftragsverarbeiter dazu, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen. Die praktische Umsetzung dieser Anforderungen erfolgt häufig unter maßgeblicher Beteiligung der IT-Leitung.

Besondere Bedeutung haben dabei die Vorschriften des KDG zur Datensicherheit sowie die Anforderungen an den Schutz personenbezogener Daten vor unbefugtem Zugriff, Verlust, Manipulation oder Offenlegung. Darüber hinaus sind die Vorgaben kirchlicher IT-Sicherheitsrichtlinien und interner Organisationsvorschriften zu beachten.

Aufgaben im kirchlichen Datenschutz

Die IT-Leitung unterstützt die datenschutzkonforme Gestaltung und den sicheren Betrieb der IT-Systeme einer kirchlichen Einrichtung. Zu den typischen Aufgaben gehören:

• Planung und Verwaltung der IT-Infrastruktur
• Einrichtung und Pflege von Benutzer- und Berechtigungskonzepten
• Umsetzung technischer Sicherheitsmaßnahmen
• Verwaltung von Servern, Netzwerken und Endgeräten
• Durchführung von Datensicherungen und Wiederherstellungskonzepten
• Unterstützung bei der Einführung neuer Software und digitaler Dienste
• Mitwirkung bei der Bewertung von Datenschutz- und IT-Sicherheitsrisiken
• Unterstützung bei der Bearbeitung von Datenschutzvorfällen

Die IT-Leitung arbeitet dabei regelmäßig mit Datenschutzbeauftragten, Informationssicherheitsbeauftragten, Fachabteilungen und externen IT-Dienstleistern zusammen.

Der Begriff Kanzler bzw. Kanzlerin bezeichnet im kirchlichen Bereich ein Amt mit besonderen Verwaltungs- und Dokumentationsaufgaben. Nach dem kirchlichen Recht ist der Kanzler oder die Kanzlerin Teil der Verwaltung einer Diözese und unterstützt den Diözesanbischof sowie die kirchliche Leitung bei der ordnungsgemäßen Führung von Akten und Dokumenten. Die Funktion ist insbesondere im Zusammenhang mit der Erstellung, Verwahrung und Beglaubigung kirchlicher Schriftstücke von Bedeutung.

Die Aufgaben des Kanzlers oder der Kanzlerin sind im kirchlichen Recht, insbesondere im Codex Iuris Canonici (CIC), geregelt. Zu den zentralen Pflichten gehört die Verantwortung für die ordnungsgemäße Dokumentation kirchlicher Verwaltungsakte sowie die Sicherstellung einer geordneten Aktenführung innerhalb der Diözese. Dadurch trägt das Amt wesentlich zur Rechtssicherheit und Nachvollziehbarkeit kirchlicher Entscheidungen bei.

Bedeutung im kirchlichen Datenschutz

Im Zusammenhang mit dem kirchlichen Datenschutz kommt Kanzlerinnen und Kanzlern eine besondere Bedeutung zu, da sie regelmäßig mit personenbezogenen Daten in Berührung kommen. Dies betrifft unter anderem Personalunterlagen, Verwaltungsakten, Dokumente kirchlicher Einrichtungen sowie Urkunden und Registereinträge.

Bei der Wahrnehmung ihrer Aufgaben müssen Kanzlerinnen und Kanzler die Vorgaben des Gesetzes über den Kirchlichen Datenschutz (KDG) beachten. Personenbezogene Daten dürfen nur verarbeitet werden, wenn hierfür eine rechtliche Grundlage besteht und die datenschutzrechtlichen Anforderungen eingehalten werden.

Zu den datenschutzrelevanten Aufgaben können insbesondere gehören:

• Verwaltung und Archivierung kirchlicher Akten
• Dokumentation von Verwaltungsverfahren
• Beglaubigung und Ausstellung kirchlicher Dokumente
• Sicherstellung einer ordnungsgemäßen Aktenführung
• Umsetzung von Aufbewahrungs- und Löschfristen
• Schutz vertraulicher Informationen vor unbefugtem Zugriff

Kommunikations- und Presseabteilungen sind Organisationseinheiten, die für die interne und externe Kommunikation einer Einrichtung verantwortlich sind. Zu ihren Aufgaben gehören insbesondere die Öffentlichkeitsarbeit, die Medienkommunikation, die Erstellung von Pressemitteilungen, die Betreuung von Internetauftritten und Social-Media-Kanälen sowie die Kommunikation mit Journalistinnen und Journalisten.

Innerhalb kirchlicher Einrichtungen tragen Kommunikations- und Presseabteilungen wesentlich zur öffentlichen Darstellung der Kirche, ihrer Einrichtungen und ihrer Aktivitäten bei. Dabei verarbeiten sie regelmäßig personenbezogene Daten und müssen die Vorgaben des kirchlichen Datenschutzrechts beachten.

Bedeutung im kirchlichen Datenschutz

Kommunikations- und Presseabteilungen kommen häufig mit personenbezogenen Daten in Berührung. Dies betrifft beispielsweise Kontaktdaten von Medienvertretern, Informationen über Mitarbeitende, Ehrenamtliche oder Veranstaltungsteilnehmende sowie Bild-, Video- und Tonaufnahmen.

Die Verarbeitung dieser Daten muss auf einer geeigneten Rechtsgrundlage beruhen und den Anforderungen des Gesetzes über den Kirchlichen Datenschutz (KDG) entsprechen. Besonders relevant sind dabei die Grundsätze der Rechtmäßigkeit, Transparenz, Zweckbindung und Datenminimierung.

Bei Veröffentlichungen auf Websites, in sozialen Netzwerken, in Pressemitteilungen oder gedruckten Publikationen ist stets zu prüfen, ob personenbezogene Daten veröffentlicht werden dürfen und welche datenschutzrechtlichen Voraussetzungen hierfür erfüllt sein müssen.

Rechtliche Grundlagen

Die Verarbeitung personenbezogener Daten durch Kommunikations- und Presseabteilungen richtet sich in kirchlichen Einrichtungen insbesondere nach den Bestimmungen des KDG.

Von besonderer Bedeutung sind dabei:

• die Rechtmäßigkeit der Datenverarbeitung,
• die Informationspflichten gegenüber betroffenen Personen,
• die Wahrung von Betroffenenrechten,
• die Einhaltung von Lösch- und Aufbewahrungsfristen,
• die Gewährleistung angemessener technischer und organisatorischer Maßnahmen.

Darüber hinaus können je nach Einzelfall weitere Vorschriften des Persönlichkeitsrechts, des Urheberrechts oder des Kunsturhebergesetzes (KUG) relevant sein, insbesondere bei der Veröffentlichung von Fotos oder Videoaufnahmen.

Künstliche Intelligenz (KI) bezeichnet Technologien und Systeme, die Aufgaben ausführen können, die üblicherweise menschliche Intelligenz erfordern. Dazu gehören beispielsweise das Erkennen von Mustern, die Verarbeitung natürlicher Sprache, das Treffen von Entscheidungen, die Analyse großer Datenmengen oder die Erstellung von Texten, Bildern und anderen Inhalten.

In den vergangenen Jahren hat die Bedeutung von KI in nahezu allen gesellschaftlichen Bereichen stark zugenommen. Auch kirchliche Einrichtungen setzen zunehmend KI-gestützte Anwendungen ein, etwa zur Dokumentenanalyse, Terminplanung, Texterstellung, Datenverwaltung oder zur Unterstützung administrativer Prozesse. Der Einsatz solcher Systeme kann Arbeitsabläufe effizienter gestalten, wirft jedoch zugleich datenschutzrechtliche und ethische Fragen auf.

Rechtliche Grundlagen

Für den Einsatz von Künstlicher Intelligenz im kirchlichen Bereich gelten die Vorgaben des Gesetzes über den Kirchlichen Datenschutz (KDG), sofern personenbezogene Daten verarbeitet werden. Maßgeblich sind insbesondere die Grundsätze der Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung und Datensicherheit.

Werden personenbezogene Daten durch KI-Systeme verarbeitet, muss die Verarbeitung auf einer zulässigen Rechtsgrundlage beruhen. Zudem sind die Betroffenen über die Datenverarbeitung zu informieren. Besondere Anforderungen können sich ergeben, wenn automatisierte Entscheidungen getroffen oder sensible personenbezogene Daten verarbeitet werden.

Darüber hinaus gewinnt die europäische Regulierung von KI-Systemen zunehmend an Bedeutung. Der europäische AI Act schafft einen risikobasierten Rechtsrahmen für die Entwicklung und Nutzung von Künstlicher Intelligenz innerhalb der Europäischen Union. Auch kirchliche Einrichtungen sollten die Anforderungen dieser Regelungen bei der Einführung und Nutzung von KI-Anwendungen berücksichtigen.

Bedeutung in der Praxis

Künstliche Intelligenz kann kirchliche Einrichtungen bei zahlreichen Aufgaben unterstützen. Beispiele sind:

• Erstellung und Überarbeitung von Texten
• Auswertung großer Dokumentenbestände
• Unterstützung bei Recherchen
• Automatisierung von Verwaltungsprozessen
• Analyse von Daten und Statistiken
• Unterstützung im Kunden- und Bürgerservice durch Chatbots

Vor dem Einsatz einer KI-Anwendung sollte jedoch geprüft werden, welche Daten verarbeitet werden und ob dabei personenbezogene Informationen an externe Anbieter übermittelt werden. Insbesondere bei cloudbasierten KI-Diensten besteht die Gefahr, dass vertrauliche oder schützenswerte Daten außerhalb der eigenen Organisation verarbeitet werden.

Die Leitungsebene umfasst die Personen innerhalb einer Organisation, die Führungs- und Entscheidungsverantwortung tragen. In kirchlichen Einrichtungen gehören hierzu je nach Organisationsstruktur beispielsweise Generalvikare, Amtsleitungen, Hauptabteilungsleitungen, Einrichtungsleitungen oder andere Führungskräfte mit Weisungs- und Entscheidungsbefugnissen.

Im kirchlichen Datenschutz nimmt die Leitungsebene eine zentrale Rolle ein, da sie die organisatorischen Voraussetzungen für die Einhaltung datenschutzrechtlicher Vorgaben schafft und deren Umsetzung innerhalb der jeweiligen Organisation verantwortet.

Bedeutung im kirchlichen Datenschutz

Das Gesetz über den Kirchlichen Datenschutz (KDG) verpflichtet kirchliche Einrichtungen dazu, personenbezogene Daten rechtmäßig, zweckgebunden und sicher zu verarbeiten. Die Leitungsebene trägt maßgeblich dazu bei, diese Anforderungen in der Praxis umzusetzen.

Zu den Aufgaben der Leitungsebene gehören insbesondere:

• Schaffung datenschutzkonformer Organisationsstrukturen
• Bereitstellung personeller und technischer Ressourcen
• Umsetzung interner Datenschutzrichtlinien
• Förderung des Datenschutzbewusstseins bei Mitarbeitenden
• Unterstützung von Schulungs- und Sensibilisierungsmaßnahmen
• Sicherstellung der Zusammenarbeit mit Datenschutzbeauftragten

Durch ihr Handeln prägt die Leitungsebene die Datenschutzkultur einer Organisation und beeinflusst wesentlich, wie Datenschutz im Arbeitsalltag umgesetzt wird.

Rechtliche Grundlagen

Das KDG weist die Verantwortung für die rechtmäßige Verarbeitung personenbezogener Daten grundsätzlich dem Verantwortlichen zu. Die praktische Umsetzung dieser Verpflichtungen erfolgt jedoch häufig über die Leitungsebenen der jeweiligen Organisationseinheiten.

Besondere Bedeutung kommt dabei den Vorgaben zu technischen und organisatorischen Maßnahmen, der Datensicherheit sowie der Einhaltung von Dokumentations- und Nachweispflichten zu. Die Leitungsebene muss sicherstellen, dass geeignete Prozesse und Strukturen vorhanden sind, um die Anforderungen des Datenschutzrechts erfüllen zu können.

Darüber hinaus ist die Leitungsebene häufig in Entscheidungen eingebunden, die Auswirkungen auf die Verarbeitung personenbezogener Daten haben, etwa bei der Einführung neuer IT-Systeme, der Digitalisierung von Verwaltungsprozessen oder der Zusammenarbeit mit externen Dienstleistern.

Die Mitarbeitervertretung ist die gewählte Interessenvertretung der Mitarbeitenden in kirchlichen Einrichtungen. Sie nimmt eine vergleichbare Funktion wie ein Betriebsrat in Unternehmen oder ein Personalrat im öffentlichen Dienst wahr. Rechtsgrundlage für ihre Tätigkeit ist in der katholischen Kirche die Mitarbeitervertretungsordnung (MAVO).

Die Mitarbeitervertretung vertritt die beruflichen, sozialen und wirtschaftlichen Interessen der Beschäftigten gegenüber dem Dienstgeber. Sie wirkt bei zahlreichen personellen, organisatorischen und sozialen Angelegenheiten mit und fördert die vertrauensvolle Zusammenarbeit innerhalb der Einrichtung.

Bedeutung im kirchlichen Datenschutz

Im Rahmen ihrer gesetzlichen Aufgaben verarbeitet die Mitarbeitervertretung regelmäßig personenbezogene Daten von Beschäftigten. Dazu gehören beispielsweise Informationen im Zusammenhang mit Einstellungen, Versetzungen, Kündigungen, Arbeitszeitregelungen, Beschwerden oder sonstigen mitbestimmungspflichtigen Maßnahmen.

Bei der Wahrnehmung ihrer Aufgaben muss die Mitarbeitervertretung die Vorgaben des Gesetzes über den Kirchlichen Datenschutz (KDG) beachten. Dies gilt insbesondere für den Umgang mit vertraulichen Mitarbeiterdaten, personenbezogenen Unterlagen und sensiblen Informationen.

Die Mitglieder der Mitarbeitervertretung unterliegen einer besonderen Verschwiegenheitspflicht. Informationen, die ihnen im Rahmen ihrer Tätigkeit bekannt werden, dürfen grundsätzlich nur für die Erfüllung ihrer gesetzlichen Aufgaben verwendet werden.

Rechtliche Grundlagen

Die Tätigkeit der Mitarbeitervertretung richtet sich nach der Mitarbeitervertretungsordnung (MAVO) der jeweiligen Diözese. Darüber hinaus gelten die datenschutzrechtlichen Bestimmungen des KDG.

Die Verarbeitung personenbezogener Daten durch die Mitarbeitervertretung ist zulässig, soweit sie zur Wahrnehmung der gesetzlichen Aufgaben erforderlich ist. Dabei sind die Grundsätze der Rechtmäßigkeit, Zweckbindung, Datenminimierung und Vertraulichkeit zu beachten.

Je nach Sachverhalt können auch besondere Kategorien personenbezogener Daten verarbeitet werden, beispielsweise Gesundheitsdaten im Zusammenhang mit Eingliederungsmaßnahmen oder arbeitsrechtlichen Verfahren. In diesen Fällen gelten erhöhte Anforderungen an den Datenschutz und die Datensicherheit.

Outlook ist eine von Microsoft entwickelte Anwendung für E-Mail-Kommunikation, Kalenderverwaltung, Kontaktmanagement und Aufgabenorganisation. Die Software ist Bestandteil von Microsoft 365 und wird in zahlreichen Unternehmen, Behörden und kirchlichen Einrichtungen als zentrales Werkzeug für die digitale Zusammenarbeit eingesetzt.

Im beruflichen Alltag dient Outlook nicht nur dem Versand und Empfang von E-Mails, sondern auch der Terminplanung, Ressourcenverwaltung sowie der Organisation von Besprechungen und Aufgaben. Dadurch werden regelmäßig personenbezogene Daten verarbeitet, beispielsweise Kontaktdaten, Kommunikationsinhalte, Kalenderinformationen oder Anwesenheitsdaten von Mitarbeitenden.

Bedeutung im kirchlichen Datenschutz

Der Einsatz von Outlook berührt zahlreiche datenschutzrechtliche Anforderungen des Gesetzes über den Kirchlichen Datenschutz (KDG). Da über die Anwendung personenbezogene Daten verarbeitet werden, müssen kirchliche Einrichtungen sicherstellen, dass die Verarbeitung rechtmäßig erfolgt und angemessene technische sowie organisatorische Schutzmaßnahmen umgesetzt werden.

Besondere Aufmerksamkeit erfordern dabei:

• E-Mail-Kommunikation mit personenbezogenen oder vertraulichen Inhalten
• Speicherung von Kontaktdaten in Adressbüchern
• Verwaltung von Kalendern und Terminen
• Nutzung gemeinsamer Postfächer und Funktionspostfächer
• Synchronisation von Daten zwischen verschiedenen Endgeräten
• Zusammenarbeit mit externen Personen oder Organisationen

Werden über Outlook besondere Kategorien personenbezogener Daten verarbeitet, beispielsweise Informationen zu Gesundheit, Seelsorge oder Personalangelegenheiten, sind erhöhte Anforderungen an Vertraulichkeit und Datensicherheit zu beachten.

Ein Pfarrer ist ein geweihter Priester, dem die Leitung einer Pfarrei dauerhaft übertragen wurde. Er trägt die pastorale, liturgische und organisatorische Verantwortung für die ihm anvertraute Kirchengemeinde und vertritt diese in vielen Bereichen nach außen. Zu seinen Aufgaben gehören insbesondere die Feier von Gottesdiensten und Sakramenten, die Seelsorge, die Begleitung kirchlicher Einrichtungen sowie die Leitung der pfarrlichen Verwaltung.

Rechtliche Stellung

Die Aufgaben und Befugnisse eines Pfarrers ergeben sich aus dem kirchlichen Recht, insbesondere aus dem kirchlichen Gesetzbuch (Codex Iuris Canonici, CIC). Als Leiter einer Pfarrei ist der Pfarrer für die ordnungsgemäße Erfüllung der pastoralen Aufgaben verantwortlich und trägt zugleich Verantwortung für zahlreiche organisatorische und administrative Prozesse innerhalb der Kirchengemeinde.

Im Rahmen seiner Tätigkeit verarbeitet ein Pfarrer regelmäßig personenbezogene Daten von Gemeindemitgliedern, Mitarbeitenden, Ehrenamtlichen sowie weiteren Personen, die mit der Pfarrei in Kontakt stehen.

Bedeutung im kirchlichen Datenschutz

Pfarrer kommen im kirchlichen Datenschutz eine wichtige Rolle zu. Sie sind häufig in die Verarbeitung personenbezogener Daten eingebunden und tragen Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben innerhalb der Pfarrei. Maßgebliche Rechtsgrundlage ist dabei das Gesetz über den Kirchlichen Datenschutz (KDG).

Zu den Daten, mit denen Pfarrer regelmäßig arbeiten, gehören unter anderem:

• Kontaktdaten von Gemeindemitgliedern
• Tauf-, Firmungs-, Trauungs- und Sterbedaten
• Daten aus kirchlichen Registern und Verzeichnissen
• Informationen im Zusammenhang mit der Seelsorge
• Daten von Mitarbeitenden und Ehrenamtlichen
• Kommunikations- und Veranstaltungsdaten

Besondere Sorgfalt ist erforderlich, da viele dieser Informationen einen hohen Schutzbedarf aufweisen und teilweise Rückschlüsse auf religiöse Überzeugungen oder persönliche Lebensumstände zulassen.

Pfarrgemeinden sind die örtlichen Gemeinschaften der Gläubigen innerhalb einer Pfarrei. Sie bilden die grundlegende organisatorische und pastorale Einheit der katholischen Kirche und erfüllen vielfältige religiöse, soziale und verwaltungstechnische Aufgaben. Neben Gottesdiensten und Seelsorgeangeboten organisieren Pfarrgemeinden beispielsweise Bildungsangebote, Gemeindeveranstaltungen, ehrenamtliches Engagement sowie die Sakramentenvorbereitung.

Im Rahmen ihrer Tätigkeit verarbeiten Pfarrgemeinden regelmäßig personenbezogene Daten von Gemeindemitgliedern, Ehrenamtlichen, Mitarbeitenden, Spenderinnen und Spendern sowie weiteren Personen, die mit der Gemeinde in Kontakt stehen.

Rechtliche Grundlagen

Für die Verarbeitung personenbezogener Daten in katholischen Pfarrgemeinden gelten die Vorschriften des Gesetzes über den Kirchlichen Datenschutz (KDG). Das KDG regelt, unter welchen Voraussetzungen personenbezogene Daten erhoben, gespeichert, genutzt, übermittelt und gelöscht werden dürfen.

Darüber hinaus können weitere kirchliche Regelungen, insbesondere das kirchliche Verfassungs- und Verwaltungsrecht sowie diözesane Vorschriften, für die Datenverarbeitung von Bedeutung sein.

Pfarrgemeinden sind verpflichtet, die datenschutzrechtlichen Grundsätze wie Rechtmäßigkeit, Zweckbindung, Datenminimierung, Transparenz und Vertraulichkeit zu beachten. Personenbezogene Daten dürfen nur verarbeitet werden, wenn hierfür eine rechtliche Grundlage besteht.

Bedeutung in der Praxis

Die Verarbeitung personenbezogener Daten gehört zum Alltag jeder Pfarrgemeinde. Typische Verarbeitungen betreffen beispielsweise:

• Verwaltung von Kontaktdaten von Gemeindemitgliedern
• Organisation von Gottesdiensten und Veranstaltungen
• Anmeldung zur Erstkommunion, Firmung oder anderen Sakramenten
• Verwaltung ehrenamtlich Tätiger
• Versand von Pfarrbriefen und Informationsschreiben
• Spendenverwaltung und Fundraising
• Führung kirchlicher Register und Dokumentationen

Dabei werden teilweise auch besonders schutzwürdige personenbezogene Daten verarbeitet, etwa Informationen über die Religionszugehörigkeit oder die Teilnahme an kirchlichen Sakramenten.

Pfarrgemeinden müssen daher geeignete technische und organisatorische Maßnahmen treffen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen. Hierzu gehören beispielsweise geregelte Zugriffsberechtigungen, sichere Aufbewahrung von Unterlagen sowie die Sensibilisierung von haupt- und ehrenamtlich Mitarbeitenden für Datenschutzfragen.

Die Rechte der Betroffenen umfassen die gesetzlich geregelten Ansprüche von Personen, deren personenbezogene Daten verarbeitet werden. Sie dienen dem Schutz des Grundrechts auf informationelle Selbstbestimmung und ermöglichen es Betroffenen, Einfluss auf die Verarbeitung ihrer Daten zu nehmen sowie deren Rechtmäßigkeit zu überprüfen.

Im kirchlichen Datenschutz sind die Betroffenenrechte im Gesetz über den Kirchlichen Datenschutz (KDG) geregelt. Sie verpflichten kirchliche Stellen dazu, Betroffenen transparent Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu geben und bestimmte Anträge innerhalb gesetzlicher Fristen zu bearbeiten.

Rechtliche Grundlagen

Die Rechte der Betroffenen sind insbesondere in den §§ 17 bis 25 KDG verankert. Sie orientieren sich inhaltlich weitgehend an den entsprechenden Regelungen der Datenschutz-Grundverordnung (DSGVO) und gewährleisten einen wirksamen Schutz personenbezogener Daten innerhalb kirchlicher Einrichtungen.

Kirchliche Verantwortliche müssen geeignete organisatorische Maßnahmen treffen, um die Wahrnehmung dieser Rechte zu ermöglichen und Anfragen ordnungsgemäß zu bearbeiten.

Wichtige Betroffenenrechte

Auskunftsrecht

Betroffene haben das Recht zu erfahren, ob und welche personenbezogenen Daten über sie verarbeitet werden. Darüber hinaus können sie Informationen über den Zweck der Verarbeitung, die Herkunft der Daten, Empfänger der Daten sowie die geplante Speicherdauer verlangen.

Recht auf Berichtigung

Sind personenbezogene Daten unrichtig oder unvollständig, können Betroffene deren unverzügliche Korrektur oder Vervollständigung verlangen.

Recht auf Löschung

Unter bestimmten Voraussetzungen können Betroffene die Löschung ihrer personenbezogenen Daten verlangen, beispielsweise wenn die Daten für den ursprünglichen Zweck nicht mehr erforderlich sind oder unrechtmäßig verarbeitet wurden.

Recht auf Einschränkung der Verarbeitung

In bestimmten Fällen kann verlangt werden, dass personenbezogene Daten zwar gespeichert, jedoch nicht weiter verarbeitet werden. Dies kommt beispielsweise infrage, wenn die Richtigkeit der Daten bestritten wird.

Recht auf Datenübertragbarkeit

Soweit die gesetzlichen Voraussetzungen erfüllt sind, können Betroffene verlangen, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen übertragen zu lassen.

Widerspruchsrecht

Betroffene können der Verarbeitung ihrer personenbezogenen Daten widersprechen, wenn hierfür besondere Gründe vorliegen oder die Verarbeitung auf bestimmten gesetzlichen Grundlagen beruht.

Sanktionen sind rechtliche oder organisatorische Maßnahmen, die als Reaktion auf Verstöße gegen geltende Vorschriften, Pflichten oder Verhaltensregeln verhängt werden. Im Datenschutzrecht dienen sie dazu, die Einhaltung datenschutzrechtlicher Vorgaben sicherzustellen und Verstöße angemessen zu ahnden. Sie erfüllen sowohl eine präventive als auch eine abschreckende Funktion.

Rechtliche Grundlagen

Im Bereich der katholischen Kirche ergeben sich Sanktionen insbesondere aus dem Gesetz über den Kirchlichen Datenschutz (KDG). Die zuständigen kirchlichen Datenschutzaufsichtsbehörden können bei festgestellten Datenschutzverstößen verschiedene Maßnahmen ergreifen, um einen rechtmäßigen Zustand wiederherzustellen oder weitere Verstöße zu verhindern.

Die konkreten Befugnisse der Datenschutzaufsicht sind im KDG geregelt. Dabei orientiert sich das kirchliche Datenschutzrecht in vielen Bereichen an den Grundsätzen der Datenschutz-Grundverordnung (DSGVO), enthält jedoch eigene Regelungen und Verfahren.

Arten von Sanktionen

Je nach Art, Schwere und Umfang eines Verstoßes können unterschiedliche Sanktionen in Betracht kommen. Hierzu zählen insbesondere:

• Verwarnungen und Beanstandungen
• Anordnungen zur Herstellung eines datenschutzkonformen Zustands
• Einschränkungen oder Verbote bestimmter Datenverarbeitungen
• Verpflichtungen zur Umsetzung technischer und organisatorischer Maßnahmen
• Auflagen gegenüber kirchlichen Stellen
• Geldbußen, soweit diese nach den einschlägigen Vorschriften zulässig sind

Welche Maßnahme im Einzelfall verhängt wird, hängt unter anderem von der Schwere des Verstoßes, dem Umfang der betroffenen Daten, dem Grad des Verschuldens und der Zusammenarbeit mit der Aufsichtsbehörde ab.

Bedeutung in der Praxis

Sanktionen spielen eine wichtige Rolle bei der Durchsetzung des Datenschutzrechts. Sie sollen sicherstellen, dass kirchliche Einrichtungen personenbezogene Daten rechtmäßig verarbeiten und die Rechte betroffener Personen wahren.

Ein Anlass für Sanktionen kann beispielsweise vorliegen, wenn:

• personenbezogene Daten unbefugt offengelegt werden,
• gesetzliche Löschfristen nicht eingehalten werden,
• Betroffenenrechte missachtet werden,
• erforderliche Sicherheitsmaßnahmen fehlen,
• Datenschutzverletzungen nicht ordnungsgemäß gemeldet werden.

In vielen Fällen steht zunächst die Beseitigung des Datenschutzverstoßes im Vordergrund. Die Aufsichtsbehörden verfolgen dabei regelmäßig das Ziel, rechtskonforme Zustände herzustellen und zukünftige Verstöße zu verhindern.

SchadensersatzSchadensersatz bezeichnet den Anspruch einer betroffenen Person auf Ausgleich eines Schadens, der durch einen Verstoß gegen datenschutzrechtliche Vorschriften entstanden ist. Im Datenschutzrecht dient der Schadensersatz dazu, materielle und immaterielle Nachteile auszugleichen, die durch eine rechtswidrige Verarbeitung personenbezogener Daten verursacht wurden.

Im kirchlichen Datenschutz ist der Schadensersatzanspruch in § 50 KDG geregelt. Die Vorschrift orientiert sich inhaltlich an Art. 82 DSGVO und soll sicherstellen, dass Betroffene bei Datenschutzverstößen einen wirksamen Rechtsbehelf erhalten.

Rechtliche Grundlagen

Nach § 50 KDG hat jede betroffene Person Anspruch auf Schadensersatz, wenn ihr wegen eines Verstoßes gegen das KDG ein Schaden entstanden ist. Voraussetzung ist, dass zwischen dem Datenschutzverstoß und dem eingetretenen Schaden ein ursächlicher Zusammenhang besteht.

Der Anspruch kann sowohl gegenüber dem Verantwortlichen als auch gegenüber einem Auftragsverarbeiter bestehen, sofern dieser gegen datenschutzrechtliche Pflichten verstoßen hat.

Dabei umfasst der Schadensersatz nicht nur finanzielle Verluste, sondern auch sogenannte immaterielle Schäden. Hierzu können beispielsweise Beeinträchtigungen des Persönlichkeitsrechts, Rufschädigungen, Diskriminierungen, Kontrollverluste über personenbezogene Daten oder erhebliche psychische Belastungen gehören.

Bedeutung in der Praxis

Schadensersatzansprüche können insbesondere dann entstehen, wenn personenbezogene Daten unbefugt offengelegt, verloren, verändert oder anderweitig rechtswidrig verarbeitet werden.

Mögliche Beispiele sind:

• Versand personenbezogener Daten an unberechtigte Empfänger
• Veröffentlichung vertraulicher Informationen
• unzureichend geschützte IT-Systeme
• unzulässige Weitergabe von Mitarbeiter- oder Mitgliederdaten
• Datenschutzverletzungen durch Dienstleister

Betroffene müssen grundsätzlich darlegen, dass ihnen durch den Datenschutzverstoß ein Schaden entstanden ist. Die konkrete Höhe eines Schadensersatzanspruchs richtet sich nach den Umständen des Einzelfalls und wird gegebenenfalls von den zuständigen Gerichten festgestellt.

Die Schriftgutverwaltung umfasst die systematische Erfassung, Ordnung, Aufbewahrung, Nutzung und Aussonderung von Unterlagen innerhalb einer Organisation. Dazu zählen sowohl papiergebundene Dokumente als auch elektronische Akten, Dateien, E-Mails und sonstige Informationsbestände. Ziel der Schriftgutverwaltung ist es, Informationen nachvollziehbar, vollständig und rechtssicher zu dokumentieren sowie ihre Verfügbarkeit während des gesamten Lebenszyklus sicherzustellen.

Im kirchlichen Bereich spielt die Schriftgutverwaltung eine wichtige Rolle für die Nachvollziehbarkeit von Verwaltungsentscheidungen, die Erfüllung gesetzlicher und kirchlicher Aufbewahrungspflichten sowie die Sicherung historisch und rechtlich relevanter Unterlagen.

Rechtliche Grundlagen

Die Schriftgutverwaltung berührt verschiedene rechtliche Anforderungen. Im Datenschutzkontext sind insbesondere die Vorgaben des Gesetzes über den Kirchlichen Datenschutz (KDG) relevant. Personenbezogene Daten dürfen nur für festgelegte Zwecke verarbeitet und nicht länger gespeichert werden, als es für die Aufgabenerfüllung erforderlich ist.

Darüber hinaus können kirchliche Archivordnungen, Aufbewahrungsfristen, Dokumentationspflichten sowie weitere gesetzliche Regelungen für die Verwaltung von Schriftgut maßgeblich sein. Die ordnungsgemäße Führung und Aufbewahrung von Unterlagen trägt dazu bei, die Rechtmäßigkeit von Verwaltungsprozessen nachzuweisen und gesetzliche Nachweispflichten zu erfüllen.

Bedeutung in der Praxis

Eine strukturierte Schriftgutverwaltung stellt sicher, dass relevante Informationen jederzeit auffindbar und nachvollziehbar sind. Dies erleichtert die tägliche Verwaltungsarbeit und unterstützt die Einhaltung rechtlicher Anforderungen.

Zu den wesentlichen Aufgaben der Schriftgutverwaltung gehören:

• Erfassung und Ablage von Dokumenten und Akten
• Ordnung und Klassifizierung von Unterlagen
• Verwaltung von Aufbewahrungsfristen
• Schutz vertraulicher Informationen
• Aussonderung und Löschung nicht mehr benötigter Unterlagen
• Übergabe archivwürdiger Dokumente an zuständige Archive

Insbesondere bei personenbezogenen Daten ist darauf zu achten, dass nur berechtigte Personen Zugriff auf die Unterlagen erhalten. Geeignete technische und organisatorische Maßnahmen tragen dazu bei, Vertraulichkeit, Integrität und Verfügbarkeit der Informationen zu gewährleisten.

Schulen sind Bildungseinrichtungen, deren Aufgabe die schulische Bildung und Erziehung von Kindern, Jugendlichen und teilweise auch Erwachsenen ist. Im Bereich der katholischen Kirche gehören hierzu insbesondere Schulen in kirchlicher Trägerschaft, die neben ihrem Bildungsauftrag auch einen religiösen und werteorientierten Erziehungsauftrag erfüllen.

Im Schulalltag werden zahlreiche personenbezogene Daten verarbeitet. Dazu zählen unter anderem Angaben zu Schülerinnen und Schülern, Erziehungsberechtigten, Lehrkräften sowie weiteren Beschäftigten. Aufgrund der Vielzahl und Sensibilität dieser Daten kommt dem Datenschutz an Schulen eine besondere Bedeutung zu.

Rechtliche Grundlagen

Für katholische Schulen in kirchlicher Trägerschaft gelten die Vorschriften des Gesetzes über den Kirchlichen Datenschutz (KDG). Dieses regelt die Voraussetzungen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch kirchliche Stellen.

Darüber hinaus können weitere kirchliche, schulrechtliche und arbeitsrechtliche Regelungen relevant sein. Die Verarbeitung personenbezogener Daten muss stets auf einer rechtlichen Grundlage beruhen und den Grundsätzen der Rechtmäßigkeit, Zweckbindung, Datenminimierung und Vertraulichkeit entsprechen.

Datenschutz in der schulischen Praxis

Schulen verarbeiten personenbezogene Daten in nahezu allen Bereichen des Schulbetriebs. Hierzu gehören beispielsweise:

• Verwaltung von Schüler- und Personaldaten
• Leistungsbewertungen und Zeugnisse
• Klassen- und Kurslisten
• Kommunikation mit Erziehungsberechtigten
• Organisation von Schulveranstaltungen
• Nutzung digitaler Lernplattformen und Schulsoftware
• Veröffentlichung von Fotos und Berichten

Besondere Sorgfalt ist erforderlich, da häufig Daten von Minderjährigen verarbeitet werden. Schulen müssen daher geeignete technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit und Sicherheit dieser Informationen zu gewährleisten.

Besondere Herausforderungen

Die fortschreitende Digitalisierung des Bildungsbereichs stellt Schulen vor zusätzliche datenschutzrechtliche Anforderungen. Der Einsatz von Lernplattformen, Videokonferenzsystemen, Cloud-Diensten oder digitalen Kommunikationsmitteln erfordert eine sorgfältige Prüfung der datenschutzrechtlichen Zulässigkeit.

Auch die Veröffentlichung von Fotos, Videos oder personenbezogenen Informationen auf Schulwebseiten, in sozialen Medien oder in Schulpublikationen bedarf einer rechtlichen Grundlage und muss die Rechte der betroffenen Personen berücksichtigen.

Darüber hinaus sind Schulen verpflichtet, Mitarbeitende für Datenschutzthemen zu sensibilisieren und datenschutzkonforme Prozesse im Schulalltag zu etablieren.

Social Media bezeichnet digitale Plattformen und Online-Dienste, die es Nutzerinnen und Nutzern ermöglichen, Inhalte zu erstellen, zu veröffentlichen, zu teilen und miteinander zu kommunizieren. Zu den bekanntesten sozialen Netzwerken gehören unter anderem Facebook, Instagram, LinkedIn, YouTube und TikTok. Für kirchliche Einrichtungen bieten Social-Media-Angebote vielfältige Möglichkeiten zur Öffentlichkeitsarbeit, Information und Kommunikation mit Gläubigen, Mitarbeitenden sowie der interessierten Öffentlichkeit.

Rechtliche Grundlagen

Die Nutzung von Social Media berührt regelmäßig datenschutzrechtliche Vorgaben des Gesetzes über den Kirchlichen Datenschutz (KDG). Personenbezogene Daten werden bereits verarbeitet, wenn Nutzerinnen und Nutzer Beiträge ansehen, kommentieren, teilen oder mit einer Seite interagieren. Darüber hinaus erheben die Plattformbetreiber häufig weitere Daten, beispielsweise zu Nutzungsverhalten, Geräten, Standorten oder Interessen.

Kirchliche Stellen müssen bei der Nutzung sozialer Netzwerke sicherstellen, dass die Verarbeitung personenbezogener Daten auf einer zulässigen Rechtsgrundlage erfolgt und die Anforderungen des KDG eingehalten werden. Dazu gehören insbesondere Informationspflichten gegenüber Betroffenen, die Gewährleistung angemessener Datensicherheit sowie die Beachtung der Rechte betroffener Personen.

Besondere datenschutzrechtliche Herausforderungen entstehen, da viele Social-Media-Plattformen personenbezogene Daten außerhalb des kirchlichen Verantwortungsbereichs verarbeiten und teilweise in Drittstaaten übermitteln.

Bedeutung in der Praxis

Soziale Medien sind für viele kirchliche Einrichtungen ein wichtiger Bestandteil der Kommunikations- und Öffentlichkeitsarbeit. Sie werden genutzt, um über Veranstaltungen zu informieren, pastorale Angebote bekannt zu machen, Glaubensinhalte zu vermitteln oder mit verschiedenen Zielgruppen in den Dialog zu treten.

Bei der Nutzung von Social Media sollten insbesondere folgende datenschutzrechtliche Aspekte berücksichtigt werden:

• Veröffentlichung personenbezogener Daten nur bei entsprechender Rechtsgrundlage
• Beachtung von Einwilligungserfordernissen bei Fotos, Videos und Beiträgen
• Sensibler Umgang mit Kommentaren und Direktnachrichten
• Transparente Information über die Datenverarbeitung
• Regelmäßige Überprüfung der eingesetzten Plattformen und Dienste

Besondere Vorsicht ist geboten, wenn Inhalte Informationen über religiöse Überzeugungen, Gesundheitsdaten oder andere besonders schützenswerte personenbezogene Daten enthalten. Solche Daten unterliegen erhöhten datenschutzrechtlichen Anforderungen.