Datenschutzfolgeabschätzung im kirchlichen Datenschutz – DSG‑EKD

Die Datenschutzfolgeabschätzung (DSFA) ist ein zentrales Instrument des kirchlichen Datenschutzes nach dem Evangelischen Datenschutzgesetz (DSG‑EKD, § 34 ff.). Sie dient dazu, Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten frühzeitig zu erkennen, zu bewerten und durch geeignete Maßnahmen zu minimieren. Die DSFA ist verpflichtend, wenn geplante Verarbeitungsvorgänge voraussichtlich ein hohes Risiko für Betroffene bergen, etwa durch umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder die Nutzung neuer Technologien.

Die verantwortliche kirchliche Stelle trägt die volle rechtliche Verantwortung für die ordnungsgemäße Durchführung der Datenschutzfolgeabschätzung. Die Rolle des örtlich Beauftragten für den Datenschutz (§ 36 DSG‑EKD) besteht darin, beratend zu unterstützen, die Umsetzung der datenschutzrechtlichen Vorgaben zu überwachen und Mitarbeitende zu sensibilisieren. Die Haftung für die Einhaltung der gesetzlichen Vorschriften liegt jedoch immer bei der Leitung der Stelle.

Die Durchführung der DSFA erfolgt in mehreren Schritten:

1. Beschreibung der Verarbeitung
Zunächst werden die geplanten Verarbeitungsvorgänge systematisch dokumentiert. Dazu gehören Zweck, Umfang, Art der verarbeiteten personenbezogenen Daten, Beteiligte, Datenflüsse, Aufbewahrungsfristen sowie die eingesetzten technischen und organisatorischen Maßnahmen. Ziel ist es, die Verarbeitung vollständig transparent abzubilden und mögliche Risiken bereits auf dieser Ebene zu erkennen.

2. Bewertung der Risiken
Im zweiten Schritt werden die Risiken für die Rechte und Freiheiten der Betroffenen analysiert. Dabei werden sowohl die Schwere des möglichen Schadens als auch die Wahrscheinlichkeit seines Eintritts berücksichtigt. Besonders zu prüfen sind Risiken bei der Verarbeitung sensibler Daten, der automatisierten Entscheidungsfindung oder der Verarbeitung großer Datenmengen.

3. Planung von Maßnahmen
Auf Grundlage der Risikobewertung werden technische und organisatorische Maßnahmen entwickelt, um die identifizierten Risiken zu minimieren. Typische Maßnahmen sind Zugriffsbeschränkungen, Verschlüsselung, Pseudonymisierung, detaillierte Dokumentation, klare Zuständigkeiten sowie Schulungen für Mitarbeitende.

4. Dokumentation und Fortschreibung
Die Ergebnisse der DSFA müssen umfassend dokumentiert werden, einschließlich Beschreibung der Verarbeitung, Bewertung der Risiken, getroffene Maßnahmen und Verantwortlichkeiten. Änderungen in Prozessen, Datenarten oder Technologien erfordern eine aktualisierte DSFA.

5. Einbeziehung der Aufsicht
Bleiben trotz aller Maßnahmen erhebliche Risiken bestehen, ist die zuständige kirchliche Aufsichtsbehörde einzubeziehen, bevor die Verarbeitung umgesetzt wird. Dies stellt sicher, dass die Rechte der Betroffenen nicht beeinträchtigt werden und die verantwortliche Stelle ihrer Rechenschaftspflicht nachkommt.

Die DSFA nach DSG‑EKD trägt dazu bei, dass Datenschutz systematisch umgesetzt wird, Risiken minimiert und Rechenschaftspflichten erfüllt werden. Sie ist ein wirksames Mittel, um Transparenz zu schaffen, das Vertrauen von Mitarbeitenden und Betroffenen zu stärken und Haftungsrisiken für die verantwortliche Stelle zu reduzieren.

Wichtige Normen im Überblick:

  • § 34 DSG‑EKD – Pflicht zur Durchführung einer Datenschutzfolgeabschätzung
  • § 36 DSG‑EKD – Einbindung und Aufgaben des örtlich Beauftragten
  • § 37 DSG‑EKD – Aufsicht und Einbeziehung bei hohem Risiko
  • § 38 DSG‑EKD – Dokumentation und Fortschreibung der DSFA