DRS

B. Begriffserklärungen

Was sind "personenbezogene Daten"? (§ 4 Nr. 1 KDG)

Das KDG gilt nur, wenn es um die Verarbeitung von „personenbezogenen Daten“ geht. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare bzw. bestimmte oder bestimmbare natürliche Person beziehen. Dazu gehören nicht nur Name, Adresse, Geburtsdatum, Nationalität, Größe, Augenfarbe oder E-Mail-Adresse einer Person, sondern beispielsweise auch Online-Kennungen wie die IP-Adresse oder Cookie-Kennungen oder die Informationen zum Gerät oder zu Software-Anwendungen der Person.

Bestimmbar ist eine Person dann, wenn sie ohne bestimmte Hinweise wie etwa ihren Namen, zum Beispiel anhand des Geburtsdatums und des Wohnortes, eindeutig identifiziert werden kann.

„Identifizierbar“ ist künftig eine Person auch dann, wenn ihre Daten zwar pseudonymisiert wurden, aber mit weiteren Informationen auf dem Server zusammengeführt und so zur Profilbildung genutzt werden können.
Auch die Daten von dienstlichen Kontakten in einem anderen Unternehmen oder einer anderen kirchlichen Einrichtung sind personenbezogene Daten und fallen in den Anwendungsbereich des KDG.

Was sind „sensible Daten“ bzw. „besondere Kategorien personenbezogener Daten“? (§ 4 Nr.2 KDG)

Wer sich fachlich korrekt ausdrücken möchte, sollte anstatt „sensibler Daten“ lieber von „besonderen Kategorien von personenbezogenen Daten“ sprechen.
Dabei handelt es sich um personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten (z.B. DNA-Analysen), biometrischen Daten (z.B. Fingerabdrücke) zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Da diese sensiblen Daten eines speziellen Schutzes bedürfen, ist es gemäß § 11 Abs. 1 KDG grundsätzlich untersagt die Daten zu verarbeiten, es sei denn, eine speziell in § 11 Abs. 2 KDG genannte Ausnahme greift.

Was bedeutet „Verarbeiten“? (§ 4 Nr. 3 KDG)

Der Begriff der „Verarbeitung“ personenbezogener Daten ist sehr umfassend. Er meint jeden denkbaren Umgang mit personenbezogenen Daten, also das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Wer ist „Verantwortlicher“? (§ 4 Nr. 9 KDG)

„Verantwortlicher“ ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Maßgeblich ist dabei welche Einzelperson bzw. welche Personengruppen die konkrete Entscheidung über den Umgang der personenbezogenen Daten trifft,  wem also die Letztverantwortlichkeit zukommt. Beispielsweise kann dies der Pfarrer der Kirchengemeinde sein. Sollte der Pfarrer jedoch einen speziellen Bereich eigenverantwortlich einer anderen Person übertragen, die dann eigenständig über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, so ist diese Person „Verantwortlicher“.

§ 17 S. 1 KDG-DVO
„Unbeschadet der Aufgaben des Verantwortlichen i.S.d. § 4 Nr. 9 KDG trägt aber jeder Mitarbeiter die Verantwortung für die datenschutzkonforme Ausübung seiner Tätigkeit.“

Wer ist „Auftragsverarbeiter“? (§ 4 Nr. 10 KDG)

„Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet.

Erfolgt beispielsweise die Wartung einer Anlage durch einen Externen, handelt es sich um eine Auftragsverarbeitung (vgl. § 29 KDG).

Was sind Datenschutzklassen?

Im Kirchlichen Datenschutz gibt es drei  Datenschutzklassen:

Datenschutzklasse I
Gemäß § 11 Abs. 1 KDG-DVO unterfallen der Datenschutzklasse I personenbezogene Daten, deren missbräuchliche Verarbeitung KEINE besonders schwerwiegende Beeinträchtigung des Betroffenen erwarten lässt, beispielsweise Namens- und Adressangaben oder Berufs,- Branchen,- oder Geschäftsbezeichnungen. Hier können Sie E-Mails unverschlüsselt verschicken.

Datenschutzklasse II
Gemäß § 12 Abs. 1 KDG-DVO unterfallen der Datenschutzklasse II personenbezogene Daten, deren missbräuchliche Verarbeitung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann.

Hierunter fällt beispielsweise das Geburtsdatum, Daten zum Beschäftigungsverhältnis, Kontaktdaten von Mitarbeiterinnen und Mitarbeitern, wie z.B. Handynummer oder Vertragsdaten.

Ab Datenschutzklasse II hat die Übermittlung personenbezogener Daten grundsätzlich verschlüsselt zu erfolgen (§ 12 Abs. 2 lit. e) KDG-DVO).

DatenschutzklasseIII (besonders sensibel!)
Der Datenschutzklasse III unterfallen personenbezogene Daten, deren missbräuchliche Verarbeitung die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann.

Hierunter fallen z.B. Bankdaten, Gesundheitsdaten, Daten zum Sexualleben, Politische Meinung, rassische und ethnische Herkunft, religiöse und philosophische Überzeugungen, etc. Die Zugehörigkeit zu einer Kirche oder Religionsgemeinschaft unterfällt nach dem KDG nicht der Schutzklasse III