FAQ zum Datenschutz

Hinweis: Diese Seite wird ständig erweitert.

Frage: Was bedeutet in §26 Abs. (1) DSO das Kriterium „ständig mit der Datenverarbeitung betraut“?

Antwort: Zu diesem Kreis zählen Personen, die ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Verarbeitung beginnt schon mit dem Auslesen oder Abfragen von Daten. Personen, die nur „gelegentlich“ mit der  Verarbeitung beschäftigt sind, sind nicht „ständig“ beschäftigt.

Beispiel: Software für Gottesdienstorganisation. Personen, die ständig, also nicht nur gelegentlich,  Gottesdienstmoderation machen (z.B. Pastor(inn)en) und dazu diese Software benutzen, gehören zum Personenkreis gemäß §26 Abs. (1) DSO. Ein Sänger, der höchstens 1x im Monat, also nur gelegentlich, die Software nutzt, weil er seine Einsatztermine in der Regel bei den Proben erfährt, gehört nicht dazu.

Frage: Besteht ein Unterschied zwischen einem (dezentralen) Datenschutzbeauftragten und einem Datenschutzverantwortlichen?

Antwort: In der Regel sind das nicht dieselben Personen. Für den Datenschutz verantwortlich ist die verantwortliche Stelle (bei Gemeinden in der Regel die Gemeindeleitung). Gut ist es, wenn die Leitung aus ihrem Kreis eine Person als Datenschutzverantwortlichen benannt hat.

Bei Bedarf oder Notwendigkeit bestellt die verantwortliche Stelle eine Person aus ihrer Organisation zum dezentralen Datenschutzbeauftragten. Es ist eine Delegation von Aufgaben (Siehe DSO §26 Abs. 16), ohne die Verantwortung für den Datenschutz abzugeben.

Frage: Wie ist zu verfahren, wenn eine Gemeinde einen Verein (zum Betrieb eines Miniclubs, eines Kindergartens, einer diakonischen Einrichtung etc.) gründen will oder betreibt?

Antwort: Ein eingetragener Verein (e.V.) ist eine juristische Person. In einigen wenigen Fällen sind Gemeinden selbst e.V. und Mitglied in unserem Gemeindebund. Für diese gilt die Datenschutzordnung DSO-BUND. Vereine zur Wahrnehmung sozialer oder diakonischer Aufgaben sind – auch wenn sie von einer Gemeinde verantwortet und betrieben werden – gemäß Verfassung unseres Bundes nicht Mitglied im Bund Evangelisch-Freikirchlicher Gemeinden (BEFG). Sie unterliegen somit der europäischen Datenschutz-Grundverordnung. Zuständig ist hier nicht der Datenschutzbeauftragte des BEFG bzw. der Datenschutzrat des BEFG, sondern die Datenschutzbehörde (Datenschutzbeauftragter) des jeweiligen Bundeslandes. Diese staatliche Institution hat – ganz ähnlich wie unser Datenschutzrat – als Hauptaufgaben Beratung und Kontrolle.

Frage: Für bestimmte Datenverarbeitungsverfahren ist eine Datenschutzfolgeabschätzung (DSFA) erforderlich. Wie kann man diese identifizieren?

Antwort: Ein Hilfsmittel ist die sogenannte Positivliste der Datenschutzkonferenz (DSK). Sie heißt „Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist“. Sie ist z.B. abrufbar unter www.lfd.niedersachsen.de. Weiterhin ist die DSFA erforderlich, wenn ein erhöhtes Risiko für die Beeinträchtigung der Rechte der Betroffenen besteht.