Häufige Fragen rund um das Thema Datenschutz in der Gemeinde
Wer haftet bei einem Schaden durch eine Datenschutzverletzung?
Ein Haftungsanspruch würde sich zunächst gegen die Gemeinde als „verantwortliche Stelle“ richtet, die dann nachweisen kann, dass sie für den eingetretenen Schaden nicht verantwortlich ist. Z. B., weil sie auf die Empfehlung des örtlich Beauftragten für den Datenschutz geachtet und diese umgesetzt hat.
Der erste und wesentliche Schritt, um das Haftungsrisiko zu begrenzen, ist die Bestimmungen zum Datenschutz in der Gemeinde umzusetzen und auf die Einhaltung zu achten.
Da ein Datenschutzbeauftragte selbst keine Weisungsbefugnisse hat und für die Umsetzung des Datenschutzes nicht verantwortlich ist, kann er bzw. sie sich nur wegen Beihilfe zu Datenschutzverletzungen belangt und haftbar gemacht werden.
Natürlich ist es möglich, in das Schreiben zur Bestellung des örtlich Beauftragten für den Datenschutz eine Ausschlussklausel einfügen. Z. B. mit folgendem Wortlaut: Die Gemeinde verzichtet auf Haftungsansprüche, die aus dieser Aufgabe entstehen können - ausgenommen davon ist vorsätzliches oder grob fahrlässiges Verhalten.
Mit welchen Paragraphen kann die Rechtmäßigkeit der Erfassung von Daten in der Gemeinde (Mitgliederliste) am besten beschrieben werden?
§ 5 BFP-DSO, insb. 1 c bzw. d.
Auch aus der Vereinssatzung der Gemeinde ("Über die Mitglieder ist ein Verzeichnis zu führen") ergibt sich eine "Rechtmäßigkeit".
Wer ist im BFP die "Aufsichtsbehörde" im Sinne der DSGVO?
Entsprechend § 29 sprechen wir innerhalb des BFP nicht von einer "Aufsichtbehörde", sondern von einer "aufsichtsführende Stelle". Diese wird durch den Datenschutzbeauftragte des Bundes (BFP) wahrgenommen.
Stellt die Speicherung von Taufdatum oder Gemeindemitgliedschaft eine "besondere Kategorie personenbezogener Daten" dar?
Nein, denn § 4 BFP-DSO schließt mit der Festlegung: "Die Zugehörigkeit zu einer Kirche oder Religionsgemeinschaft ist keine besondere Kategorie personenbezogener Daten." Zudem muss eine Gemeinde diese Daten verarbeiten können, wenn sie ihren Zweck erfüllen möchte (§ 5, 1, c). Dies schließt das Recht auf Löschung bzw. Widerruf nicht aus.
Allerdings sollte gerade bei den "kirchlichen Daten" wie Taufe oder Hochzeit nicht einfach gelöscht werden, sondern die Verarbeitung eingeschränkt (gesperrt) werden. - § 11, 3, b: "… [wenn] Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden".
Gilt die BFP-Datenschutzordnung des BFP, auch wenn wir ein e.V. sind?
Die BFP-Datenschutzordnung gilt für alle Mitgliedsgemeinden (und Werke bzw. Einrichtungen) innerhalb des BFP, unabhängig von ihrer jeweiligen Rechtsform.
Das Besondere für e.V.-Gemeinden ist, dass sie eine Opt-Out-Möglichkeit haben:
§ 1 BFP-DSO "Geltungsbereich"
Für rechtlich selbstständige Gemeinden und Einrichtungen im Bund gilt diese Datenschutzordnung, soweit sie nicht
(a) durch Erklärung gegenüber dem Präsidium des Bundes die Geltung ablehnen und
(b) den Datenschutz für ihren Tätigkeitsbereich in einer dieser Datenschutzordnung vergleichbaren Form regeln sowie deren Durchführung sicherstellen.
Was darf in der Gemeinde auf keinen Fall mit den personenbezogenden Daten gemacht werden?
Im Datenschutz gilt der Grundsatz „alles ist verboten, was nicht erlaubt ist“. Das bedeutet, dass die Verantwortlichen, also z. B. die Gemeindeleitung im Zweifel in der BFP-Datenschutzordnung nachschauen müssen, ob z. B. die Daten so genutzt und verarbeiten werden dürfen, wie sie es gerne möchten.
Wenn die "Rechtmäßigkeit" geprüft wurde (anhand von § 5, 1 BFP-DSO), dann die dürfen die Daten für den Zweck verarbeitet werden, zu welchem zu auch erhoben wurden. Die Möglichkeit der Zweckänderung ist in § 5, 2 BFP-DSO beschrieben.