Themen
Im Themenbereich finden Sie eine Zusammenstellung von relevanten Informationen, Definitionen und Begriffserläuterungen zum Kirchlichen Datenschutzrecht.
Inhaltsverzeichnis
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
In einer zunehmend digitalisierten und regulierten Verwaltungslandschaft gewinnt die Rolle des Datenschutzmanagers (engl. Chief Privacy Officer, CPO) stetig an strategischer Bedeutung für das regelkonforme Verwaltungshandeln. Als unmittelbar der obersten Leitungsebene zugeordnetes Fachorgan obliegt ihm nicht lediglich die administrative, also vornehm beratende, Begleitung zu datenschutzrechtlichen Anforderungen, sondern vielmehr die Verantwortung für deren regelkonforme Umsetzung in den operativen Strukturen der datenverarbeitenden Organisation.
Im Gegensatz zum Datenschutzbeauftragten (engl. Data Protection Officer, DPO), dessen gesetzliche Aufgabe auf die unabhängige Beratung und Kontrolle begrenzt ist, agiert der Datenschutzmanager als Vertreter des datenschutzrechtlich „Verantwortlichen“ im Sinne des § 4 Nr. 9 KDG oder Art. 4 Nr. 7 DSGVO. Diese Stellvertretung erfolgt entweder durch Delegation im Arbeitsvertrag und/oder im kirchlichen Bereich bspw. auch ausdrücklich im Rahmen des § 15 Abs. 6 Satz 1 KDG-DVO, wonach Aufgaben und Befugnisse der verantwortlichen Stelle (bzw. des Generalvikars) auf geeignete Personen übertragen werden können. Daraus erwächst dem Datenschutzmanager eine Steuerungs-, Überwachungs- und Mitverantwortungsfunktion, die ihn – anders als den Datenschutzbeauftragten – in die operative und strategische Gestaltung datenschutzkonformer Prozesse einbindet und mit Entscheidungsbefugnissen im Rahmen einer Fachaufsicht ausstattet.
Regelmäßig übernimmt oder veranlasst ein Datenschutzmanager die Bewirtschaftung eines Datenschutzmanagementsystems (DSMS), etwa in Anlehnung an das „Standard-Datenschutzmodell (SDM 3.0)“, das „Kirchliche Datenschutzmodell (KDM)“ oder den normativen Standard DIN EN ISO/IEC 37301 für Compliance-Managementsysteme. Bei diesen datenschutzbezogenen Managementsystemen handelt es sich um Organisationsinstrumente, um strukturierte Handlungsempfehlungen und geordnete prozessuale Vorgehensweisen, die iterativ ausgerichtet bzw. konzipiert sind und eine kontinuierliche Verbesserung datenschutzrechtlicher Kontroll- und Steuerungsmechanismen anstreben.
Auch im deutschen Sprachraum verbreitete Modelle wie VdS 10010 oder die Prüfstandards IdW PS 980/PH 9.860.1 können hier Anwendung finden. Die DIN EN ISO/IEC 27701 hingegen ist als sogenanntes „Managementsystem für Informationen zum Datenschutz“ (engl. Privacy-Information-Managementsystem) lediglich ein erweiternder Anhang (Annex) zur DIN EN ISO/IEC 27001 und adressiert damit die Ausweitung der Dokumentation eines Informationssicherheitsmanagementsystems (ISMS) auf datenschutzrechtliche Belange – ein vollständiges Managementsystem (DSMS) im Sinne eines spezifischen Compliance-Management-Systems bildet das Regelwerk nicht, bzw. nur begrenzt ab. Keineswegs wird damit eine vollständige Datenschutz-Compliance erreicht. Voraussetzung für die Zertifizierung eines Managementsystems-für-Informationen-zum-Datenschutz, ist dabei stets eine zunächst erfolgreiche Umsetzung und unabhängige Zertifizierung der ISMS-Anforderungen nach der Norm ISO 27001.
Während die Rolle des Datenschutzmanagers in staatlichen Großverwaltungen oder börsennotierten Unternehmen (alle DAX-40-Unternehmen) längst zur Compliance-Grundausstattung gehört, ist diese Funktion in kirchlichen Verwaltungen derzeit nur vereinzelt institutionalisiert. Die dezentralen Strukturen und historisch gewachsenen Zuständigkeiten und ein häufig anzutreffendes Missverständnis in den Personalverwaltungen zu den Funktionen, Rollen und Verantwortlichkeiten im Bereich Compliance, Datenschutz und Informationssicherheit führen bislang dazu, dass Aufgaben des Datenschutzes und der Compliance eher anlassbezogen als systematisiert wahrgenommen werden und/oder an Personen übertragen werden, die nicht über die erforderliche Ausbildung und/oder beruflichen Erfahrungen verfügen. Mit Blick auf neue regulatorische Querschnittsthemen wie KI-Compliance oder TAX-Compliance, sowie die steigende Bedeutung interner Kontrollsysteme (IKS) zeichnet sich jedoch ab, dass auch kirchliche Stellen verstärkt auf die Einrichtung solcher fachbezogener Stabsfunktionen angewiesen sein werden und gut beraten sind, die Aufgaben an einschlägig ausgebildete, integre und zuverlässige Personen zu übertragen.
In der Rollenverteilung ist folglich ausreichend klar zu differenzieren: Datenschutzbeauftragte sind im besten Sinne der Aufsicht des verantwortlichen Datenverarbeiters und dessen Umsetzungssteuerung verpflichtet, ohne selbst mehr als unterstützend operativ umzusetzen. Datenschutzbeauftragte wahren die Rechte der betroffenen Personen und sichern die Einhaltung des rechtlichen Rahmens durch eine prüfende Distanz von den operativen Entscheidungs- und Datenverarbeitungsvorgängen. Datenschutzmanager hingegen nehmen die Interessen der Organisation selbst wahr und sind ganz vorherrschend als Stabsstelle bei der obersten Leitungsebene oder innerhalb der Rechtsabteilung als Compliance-Abteilung angesiedelt: Datenschutzmanager sind dafür zuständig, dass das „Was“ und „Wie“ datenschutzrechtlicher Anforderungen in den jeweiligen Einheiten verstanden, organisiert und umgesetzt wird, insbesondere in den datenverarbeitenden Abteilungen. Datenschutzbeauftragte hingegen beraten den Datenschutzmanager oder den Datenverarbeiter – auch durch rechtliche Einschätzungen, Gutachten und Stellungnahmen – zu dessen Verarbeitungstätigkeiten. Diese Unterscheidung ist nicht nur funktional, sondern systemimmanent und sollte in Aufbau- und Ablauforganisationen klar erkennbar verankert werden. Insoweit ein Datenverarbeiter keine eigene Stelle für einen Datenschutzmanager schafft, obliegt das Aufgabenportfolio aus der DSGVO bzw. KDG, KDG-DVO und allen sonstigen einschlägigen Bestimmungen aus dem Fachrecht der obersten Leitungsebene, keinesfalls aber den Datenschutzbeauftragten, da diese sich nicht selbst überwachen sollen (Interessenskonflikt) in der Einhaltung und Umsetzung datenschutzrechtlicher Anforderungen.
Unterschiede: Rechte, Pflichten und Befugnisse der Datenschutzbeauftragten (DSB) und der Datenschutzmanager (DSM)
Rechtsstellung des Datenschutzbeauftragten nach dem KDG
Der betriebliche Datenschutzbeauftragte im kirchlichen Bereich (§ 36 ff. KDG) ist weisungsfrei (§ 37 Abs. 1 Satz 2 KDG), unmittelbar der Leitungsebene unterstellt und genießt einen besonderen Kündigungsschutz (§ 37 Abs. 4 Satz 1 KDG). Seine Aufgabe ist es, auf die Einhaltung der Vorschriften des KDG hinzuwirken (§ 38 Abs. 1 Satz 1 KDG). Dies umfasst insbesondere:
- Überwachung der regelkonformen (legitimen) Anwendung und Nutzung von Datenverarbeitungsanlagen mit frühzeitigen Informationsrechten (§ 38 Satz 3 lit. a) KDG),
- Beratung und Unterrichtung des verantwortlichen Datenverarbeiters, des Auftragsverarbeiters, der Mitarbeitenden und der von Datenverarbeitungen betroffenen Personen (§ 38 Satz 3 lit. b) KDG, Art. 39 Abs. 1 lit. a) DSGVO),
- Informieren und Schulen der Personen, die personenbezogene Daten verarbeiten über alle einschlägigen datenschutzbezogenen Vorschriften (§ 38 Satz 3 lit. c) KDG) ,
- Beratung und Unterstützung bei Datenschutz-Folgenabschätzungen (§ 38 Satz 3 lit. d) KDG),
- Zusammenarbeit mit der Aufsichtsbehörde (§ 38 Satz 3 lit. e) KDG).
Der Datenschutzbeauftragte hat keine Entscheidungs-, Durchsetzungs- oder Weisungsbefugnisse. Eine rechtlich bindende oder betriebsinterne „Freigabe“ datenschutzrelevanter Maßnahmen oder gar der Verarbeitungstätigkeiten selbst steht ihm nicht zu. Vielmehr bleibt er ein internes Beratungs- und Kontrollorgan, das vor Interessenkonflikten zu schützen ist. Datenschutzbeauftragte sollen weder über personenbezogene Datenverarbeitungen entscheiden oder die Mittel (Hardware, Software) noch die Zwecke (Gründe) von personenbezogenen Datenverarbeitungen „freigeben“, sondern den verantwortlichen Datenverarbeiter, die betroffenen oder ausführenden Personen und sonstige naheliegende Anspruchsgruppen beraten auf Grundlage der konkreten datenschutzrechtlichen Vorschriften – nicht aber nach der eigenen (datenschutzbezogenen) Weltanschauung.
Zur Rechtsstellung des Datenschutzmanagers (engl. Chief Privacy Officer, CPO) nach der Verkehrsanschauung und ISO-Normen
Der Datenschutzmanager ist nicht begrifflich im KDG oder der DSGVO gesetzlich definiert, ergibt sich aber aus der internen Rollenzuweisung an und durch den Verantwortlichen. Hinweise zum Berufsprofil können sich auch aus der DIN EN ISO/IEC 17740:2024-04 ergeben („Anforderungen an Berufsprofile im Zusammenhang mit der Verarbeitung und dem Schutz personenbezogener Daten“). Letztlich ist die Rolle des Datenschutzmanagers im kirchlichen Bereich durch den Bischof oder Ortsordinarius bzw. die oberste Leitungsperson im Rahmen ihrer Spitzenfunktion wahrzunehmen, soweit die oberste Leitungsebene diese ihr obliegenden gesetzlichen Pflichten a) nicht anderweitig delegiert und sich b) regelmäßig der gewissenhaften Erledigung der Pflichten versichert. Nach § 15 Abs. 6 KDG-DVO kann der verantwortliche Datenverarbeiter im kirchlichen Bereich seine Aufgaben und Befugnisse schriftlich auf fachlich geeignete Mitarbeitende übertragen. Hierzu gehört auch die Möglichkeit, die Rolle eines „Datenschutzverantwortlichen“ (im Sinne einer betrieblichen Führungs- und Leitungsrolle für Datenschutz) mit Anordnungs- und Entscheidungsbefugnis und Repräsentation gegenüber Kontrollorganen auszustatten (Fachaufsicht).
Laut der ISO-Definition 17740 (= DIN EN 17740:2024-04) ist der Datenschutzmanager eine Führungskraft mit sehr hohem Kompetenzniveau. Seine Aufgabe ist es, im Auftrag der obersten Leitungsebene geeignete organisatorische Maßnahmen zu veranlassen und deren Wirksamkeit sicherzustellen. Er handelt im Namen der Geschäftsleitung und ist regelmäßig für die Umsetzung bzw. das Nachhalten und Steuern der Umsetzung der Datenschutzstrategie verantwortlich. Die Strategie ist grundsätzlich von der obersten Leitungsebene festzulegen und mit relevanten Parteien abzustimmen, zum Beispiel den Datenschutzbeauftragten, dem Dokumentenmanagement (Archiv, Registratur), den Mitarbeitervertretungen oder den IT-Sicherheitsbeauftragten und anderen Compliance-Stellen (Revision, Internes Kontrollsystem).
Die Aufgaben eines Datenschutzmanagers umfassen insbesondere:
- Umsetzung und Verantwortung für Datenschutzprozesse entwickeln, steuern und verbessern;
- Bewerten und (An-)leiten des datenschutzrechtlichen Risikomanagementprozesses, auch im Kontext von Datenschutz-Folgenabschätzungen und im Anschluss bzw. zur Verzahnung an das eher technisch geprägte ISMS-Risikomanagement in Bezug auf dessen Ziele, das Sicherstellen der Vertraulichkeit, Verfügbarkeit und die Integrität von dienstlichen Informationen und sonstigen zu schützenden Werten (engl. „Assets“);
- Steuerung von DS-Risikoanalysen und Datenschutzkonzepten (etwa datenschutzfreundliche Grundeinstellungen und Konfiguration und Auswahl von IT-Systemen/IT-Services);
- Abstimmung mit DSB auf gleicher Grundlage (= KDG, DSGVO, Fachrecht), jedoch in entscheidungstragender Hinsicht.
Systematischer Vergleich zwischen Datenschutzbeauftragten und Datenschutzmanagern
| Merkmal | Datenschutzbeauftragte (Data Protection Officer, DPO) | Datenschutzmanager (Chief Privacy Officer, CPO) |
| Rechtsgrundlage | § 36–38 KDG, Art. 37–39 DSGVO | § 15 Abs. 6 KDG-DVO, sowie interne Delegation und/oder insbesondere Arbeits- bzw. Dienstvertrag |
| Status | Unabhängige rechtliche Berater/Kontrolleure ggf. „verlängerter Arm der externen Datenschutzaufsichtsbehörde“ und „Anwälte der betroffenen Personen“ | Delegierter der Leitung, entscheidungsbefugt, agiert regelmäßig als Fachaufsicht |
| Weisungsgebundenheit | Nein, weisungsfrei | Ja, gegenüber oberster Leitungsebene weisungsgebunden |
| Entscheidungsrechte | Keine | Nach der Verkehrssitte regelmäßig ja, dafür spricht schon das C-Level in der englischen Übersetzung, Chief Privacy Officer. Denn Sinn und Zweck der Rolle ist gerade die Wahrnehmung der Kompetenzen/Befugnisse des verantwortlichen Datenverarbeiters im Rahmen der Delegation und als Fachaufsicht (oft im Rahmen einer Stabsstelle), um dadurch die Geschäftsführung, Vorstand, oberste Leitungsebene zu unterstützen. Ohne Entscheidungsrechte, müsste der Wertschöpfungsbeitrag der Rolle von den datenverarbeitenden Stellen genau abgegrenzt werden zum Datenschutzbeauftragten. |
| Verantwortung | Keine Durchsetzungsverantwortung | Trägt Verantwortung für die Umsetzung, womit nicht gemeint ist alle Arbeitspakte aus den einschlägigen Datenschutzvorschriften und Normen gleich selbst umzusetzen. Vielmehr geht es um das Management, die strukturierte Zuweisung von Pflichten und das Nachhalten und Verbessern der Abläufe. |
| Haftung | Nur bei Vorsatz oder grober Pflichtverletzung | Volle Verantwortung im Rahmen der Delegation, abgestufte Arbeitnehmerhaftung nach BAG. Nach § 619a BGB muss der Arbeitgeber (darlegen und) beweisen, dass der Dienstnehmer die Pflichtverletzung zu vertreten, verschuldet hat (Beweislastumkehr). Die Nichterweislichkeit geht also zu seinen Lasten. |
| Verhältnis zur Leitung | Direkte Unterstellung, aber keine Umsetzungskompetenz; möglich ist auch ein Dienstverhältnis mit einem externen Dienstleister | Handlungsorgan der Leitung |
| Kündigungsschutz | Ja, besonderer gesetzlicher Kündigungsschutz; ein Indikator dafür, dass zuverlässige DSB kritisch bis unbequem sein sollen bzw. als verlängerter Arm der externen Aufsichtsbehörde gegenüber dem Datenverarbeiter agieren sollen, indem sie ihm dessen umfangreiche Datenverarbeitungen und die damit einhergehenden Risiken vor Augen führen, gleichwohl auch konstruktives Treueverhältnis zu seinem Dienstgeber bzw. Auftraggeber. | Je nach Arbeits- oder Dienstvertrag. |
| Dauer der Benennung | Die Bestellung erfolgt für die Dauer von mindestens vier, höchstens acht Jahren und gilt bis zur Aufnahme der Amtsgeschäfte durch den Nachfolger, § 36 Abs. 5 Satz 2 KDG. | Je nach Dienstvertrag, befristet oder unbefristet. |
| Grundausbildung/ Fachkunde | Juristische Tätigkeit mit Querschnittskompetenzen zur IT; die Ausprägung der fachlichen Fähigkeiten richtet sich nach der Größe des Datenverarbeiters und nach der Art und Menge der verarbeiteten Daten und transnationalen Bezügen über unterschiedliche Rechtsräume und nach den Auftragsverarbeitern, insbesondere im Rahmen von IT-Outsourcing oder bei Big Data, Cloud Computing und dem Einsatz von KI-Technologien | Juristische Tätigkeit mit umfassenden Querschnittskompetenzen zur IT/IT-Recht und Betriebswirtschaft („Management-Skills“) |
Datenschutzbeauftragte sind bewusst auf die Rolle unabhängiger, nicht weisungsgebundener Beraterinnen und Berater und Kontrolleure beschränkt. Eine Ausweitung des Aufgabenfeldes, etwa durch operative „Freigaben“ von Verarbeitungsvorgängen oder IT-Systemen und IT-Services, würde Datenschutzbeauftragte in einen strukturellen Interessenkonflikt führen und seine gesetzlich vorgesehene Neutralität gefährden (Vgl. § 37 Abs. 5 KDG, Art. 38 Abs. 6 Satz 2 DSGVO).
Datenschutzmanager hingegen handeln im Mandat der Leitungsebene und vertreten die institutionelle Perspektive des datenschutzrechtlich Verantwortlichen. Datenschutzmanager sind für die Umsetzung und Wirksamkeit der Datenschutzmaßnahmen verantwortlich und tragen in der Praxis regelmäßig auch die Rechenschaftspflicht im Sinne von § 7 Abs. 2 KDG, Art. 5 Abs. 2 DSGVO.
Der eine berät zum Datenschutz, der andere steuert die konkrete Umsetzung
Die strukturelle Gewichtung der Verantwortungslast liegt deutlich beim Datenschutzmanager. Während der Datenschutzbeauftragte ein unverzichtbares Kontrollorgan ist, obliegt es dem Datenschutzmanager, datenschutzkonforme Prozesse zu planen, umzusetzen und zu verantworten. Eine Verlagerung von Entscheidungs- oder Genehmigungsrechten auf den Datenschutzbeauftragten wäre nicht nur systemwidrig, sondern rechtlich unzulässig. Entscheidungen verbleiben bei der Leitung – vertreten durch den Datenschutzmanager. Dieser übernimmt auch gegenüber der Aufsichtsbehörde die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben.
Sollten betriebliche Datenschutzbeauftragter (bDSB) „Freigaberechte“ in Bezug auf die Mittel der Datenverarbeitung oder die personenbezogenen Datenverarbeitungen haben?
Fraglich ist, ob Datenschutzbeauftragten im kirchlichen Datenschutzrecht (KDG), beziehungsweise in Anlehnung an die Datenschutz-Grundverordnung (DSGVO), Freigabe- und Gestaltungsrechte für den Einsatz von Hard- und Software zur Verarbeitung personenbezogener Daten zustehen dürfen oder ob dies eine unzulässige Kompetenzüberschreitung darstellen könnte, die ihre Rolle als unabhängige und beratende Instanz unterminiert und DSBs in die Rolle des „Verantwortlichen“ versetzen.
Gemäß § 37 Abs. 1 S. 2 KDG sind DSB bei der Erfüllung ihrer Aufgaben weisungsfrei. Diese Weisungsfreiheit unterstreicht ihre Unabhängigkeit, bedeutet jedoch nicht, dass sie operative Entscheidungen über die Datenverarbeitung treffen. Vielmehr ergibt sich aus § 38 KDG ein klar umrissenes Aufgabenprofil, das insbesondere Beratung, Unterstützung, Kontrolle sowie Schulung umfasst, nicht jedoch die Entscheidungsgewalt über technische oder organisatorische Maßnahmen oder Verarbeitungstätigkeiten selbst.
Datenschutzbeauftragte sind funktional ein Kontrollorgan, das den datenschutzrechtlichen Selbstkontrollmechanismus der verantwortlichen Stelle ergänzt. Die Letztverantwortung für jede Form der Datenverarbeitung verbleibt beim datenschutzrechtlich Verantwortlichen (§ 4 Nr. 9 KDG), also der kirchlichen Stelle. Daraus ergibt sich zwingend, dass Genehmigungs-, Auswahl- oder Untersagungsbefugnisse in Bezug auf konkrete Verarbeitungsvorgänge oder eingesetzte Systeme nicht den DSB zustehen dürfen, da dies einen unzulässigen Rollenwechsel darstellen würde.
Art. 38 Abs. 6 Satz 2 DSGVO – sinngemäß auch im kirchlichen Recht umgesetzt – betont ausdrücklich, dass DSB keine Aufgaben übernehmen dürfen, die zu einem Interessenkonflikt führen. Die Entscheidung über die Auswahl der Mittel der Datenverarbeitung (z.B. Software, IT-Systeme) ist ein typischer Ausfluss der strategischen und operativen Verantwortung und somit dem Verantwortlichen vorbehalten.
Eine Einbindung der Datenschutzbeauftragten in Freigabeprozesse (etwa durch Mitzeichnung oder explizite „Freigabe“) ist zwar als informelles Konsultationsverfahren zulässig, darf jedoch keine rechtliche Freigabeverpflichtung oder Sperrwirkung entfalten. Eine solche Ausgestaltung würde DSBs faktisch in die Rolle eines (Mit-)Verantwortlichen erheben – mit haftungsrechtlichen, organisatorischen und rechtsdogmatischen Folgen. Das KDG kennt keine solche hybride Rolle. Allerdings sind Datenschutzbeauftragte nach § 38 Satz 3 lit. a) KDG rechtzeitig über Vorhaben der automatisierten Datenverarbeitung zu informieren.
Ein Datenschutzbeauftragter darf keine Freigaberechte im Sinne von Genehmigungs- oder Verweigerungsrechten über die Mittel der personenbezogenen Datenverarbeitung oder die Datenverarbeitungen selbst haben.
Solche Rechte sind mit der gesetzlichen Rolle unvereinbar und würden einen DSB zum datenschutzrechtlich (Mit-)Verantwortlichen machen, was gegen das Trennungsprinzip zwischen Kontrolle und Verantwortung verstieße. Entscheidungen über die Zulässigkeit oder die konkrete Ausgestaltung von Datenverarbeitungsvorgängen – einschließlich der verwendeten Hard- und Software – verbleiben ausschließlich beim Verantwortlichen oder einer von diesem legitimierten Instanz, wie etwa einem Datenschutzmanager mit entsprechender Entscheidungs- und Weisungskompetenz.
Eine Zustimmungspflicht (oder Recht) durch DSB im Sinne einer rechtlichen Freigabe wäre systemwidrig und im Ergebnis unzulässig. Vielmehr ist die Rolle der betrieblichen/behördlichen Datenschutzbeauftragten auf eine unabhängige Beratung, Kontrolle und Berichterstattung beschränkt.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.