Kirchlicher Datenschutz

Gemäß Erwägungsgrund 165 achtet die DSGVO den Status, den Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren bestehenden verfassungsrechtlichen Vorschriften genießen, und beeinträchtigt ihn nicht. Daraus folgend genießen nach Art. 91 Abs. 1 DSGVO Kirchen das Recht, ein eigenes Regelwerk zum Schutz natürlicher Personen bei der Verarbeitung zu pflegen, sofern dieses mit dieser Verordnung in Einklang gebracht wird.

Unsere Experten sind mit dem kirchlichen Datenschutzrecht bestens vertraut. Wir legen auch hier größten Wert darauf, dass unsere Leistungen für unsere Kunden möglichst exakt kalkulierbar sind. Daher bieten wir als Rahmenvertragspartner der WGKD attraktive Sonderkonditionen für kirchliche Einrichtungen.

Leistungen

Folgende Leistungen sind in unserem Leistungspaket „externer Datenschutzbeauftragter“ enthalten:

  • die Benennung des örtlichen Datenschutzbeauftragten
  • Erfüllung der gesetzlichen Pflichten des Datenschutzbeauftragten
  • Soforthilfe bei Datenschutzvorfällen („Incident Response Service“)
  • Jährliches Audit des Verantwortlichen (als Online-Audit)
  • Jährliche verpflichtende Schulung der Mitarbeiter (als Online-Schulung)
  • Beratung und Mitwirkung bei der Erstellung von Datenschutz-Folgenabschätzungen

Sichern auch Sie Ihre Organisation noch heute ab!

Fordern Sie Ihr individuelles Angebot noch heute an.

Warum ein externer Datenschutzbeauftragter?

Gerade im Mittelstand bringt die Benennung eines externen Datenschutzbeauftragter oft eine Vielzahl von Vorteilen gegenüber der Beschäftigung eines internen betrieblichen Datenschutzbeauftragten.

intern: Zeitintensive und aufwendige Weiterbildungsmaßnahmen zur Erlangung der Fachkunde sowie Freistellungen für die Schulungsdauer

extern: Zertifizierte, bereits vorhandene und sofort abrufbare Fachkunde

intern: Haftung im Rahmen der beschränkten Arbeitnehmerhaftung. Der Verantwortliche haftet vollumfänglich (inkl. seinem Privatvermögen)

extern: Haftung durch den externen DSB bei Beratungsfehlern, Risikominimierung für das Unternehmen und den Verantwortlichen

intern: Schwer kalkulierbare Kosten für Literatur, Büro, Arbeitsausfälle, Weiterbildung inkl. Übernachtung und Verpflegung

extern: Transparente Kostenstruktur durch vertraglich festgelegte Preise

intern: Interne DSB müssen zu mindestens 25% von Ihrer Hauptbeschäftigung freigestellt werden, d.h. Personalkosten für mind. ¼ Stelle entfallen auf den internen DSB

extern: Keine Bindung von Unternehmensressourcen

intern: Zusätzliche Kosten für Fort-und Weiterbildung (zzgl. Reisekosten + Verpflegungskosten)

extern: Weiterbildung durch dsXprt sichergestellt, keine Mehrkosten für Kunden

intern: Betriebsabläufe sind im Groben bereits bekannt

extern: Einarbeitung in die individuellen Betriebsabläufe notwendig

intern: Teilweise „Betriebsblindheit“ des Mitarbeiters für wichtige Details ist unvermeidlich

extern: Stets unvoreingenommene Herangehensweise mit Blick auf Details

intern: Abberufung nur in wichtigen Gründen (§ 626 BGB & § 4f Abs. 3 Satz 4), zusätzlich ein Jahr Kündigungsschutz nach Abberufung

extern: Abberufung bzw. Kündigung der Bestellung jederzeit möglich

intern: Stellvertreter muss zusätzlich bestimmt werden

extern: Stellvertretung ist gesichert

intern: I.d.R. keine übergreifenden Erfahrungen und keine Vergleichsmöglichkeiten

extern: Beratungsmehrwert durch Know-How aus anderen Unternehmen und Branchen

intern: Der interne DSB wird oft als parteiisch angesehen, der das Unternehmen nicht neutral vertritt

extern: Neutrale Position sowohl nach außen (gegenüber Betroffenen und Aufsichtsbehörden) als auch innerhalb des Unternehmens

intern: Eventuelle Interessenskonflikte

extern: Keine Interessenskonflikte

intern: Betriebsrat kann bei der Einstellung bzw. Umsetzung des internen DSB sein Mitbestimmungsrecht ausüben (§ 99 BetrVG)

extern: Betriebsrat hat kein Mitbestimmungsrecht für den externen DSB

Kosten eines internen DSB

Für die Berechnung gehen wir davon aus, dass in einem kleinen/mittelständischen Unternehmen (KMU) die Rolle des internen DSB kein Mitarbeiter in Vollzeit beschäftigt wird.

Annahme: Gehalt = 3.400 EUR/Monat (entspr. Personalkosten = 4.060 EUR/Monat)

  • Personalkosten 20% für DSB-Tätigkeiten: 812 EUR/Monat
  • Ausbildung DSB inkl. Nebenkosten (einmalige Kosten): 4.500 EUR
  • Fachliteratur und Weiterbildung: 3.700 EUR/Jahr
  • D&O-Versicherung: 1.000 EUR/Jahr

Durchschnittskosten: 1.222 EUR/Monat

Kosten eines externen DSB

Volle Transparenz und Planungssicherheit bei erheblich geringeren laufenden Kosten.

Ein monatlicher Pauschalbetrag deckt alle im Normalfall erforderlichen Dienstleistungen inkl. Beratungsstunden, Dokumentationen und Templates, Mitarbeiterschulungen, incident Response Service, usw.) ab.

Leistungen im Detail

Benennung des Datenschutzbeauftragten

Die Pflicht zur Benennung des Datenschutzbeauftragten (Betriebliche Datenschutzbeauftragte gem. KDG bzw. örtlich Beauftragte für den Datenschutz gem. DSG-EKD) ist für viele Organisationen und Einrichtungen gesetzlich vorgeschrieben und somit Bestandteil jedes unserer Leistungsangebote.

Erfüllung des gesetzlichen Pflichten des Datenschutzbeauftragten

Gem. Art. 39 Abs. I DSGVO (§38 KDG oder §38 DSG-EKD gelten dem entsprechend) obliegen dem Datenschutzbeauftragten zumindest folgende Aufgaben:

a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

b) Überwachung der Einhaltung der Datenschutz-Grundverordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

c) Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung;

d) Zusammenarbeit mit der Aufsichtsbehörde;

e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation und gegebenenfalls Beratung zu allen sonstigen Fragen.

Betroffene Personen können den Datenschutzbeauftragten zudem zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der Datenschutz-Grundverordnung im Zusammenhang stehenden Fragen zu Rate ziehen.

Incident Response Service

Im Fall eines datenschutzrelevanten Vorfalls im Unternehmen haben Sie als Verantwortlicher unverzüglich Sofortmaßnahmen zu ergreifen und den Vorfall bei der zuständigen Aufsichtsbehörde zu melden. Mit unserem Incident Response Service unterstützen wir Sie, den Schaden zu begrenzen und andere rechtliche Auswirkungen zu minimieren. 

Jährliches Audit des Verantwortlichen

Der Datenschutzbeauftragte hat die Pflicht zur Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften sowie anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Durchführung von regelmäßigen Audits.

Der Verantwortliche und der Auftragsverarbeiter müssen „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Zudem werden sie verpflichtet, „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ zu etablieren. Im jährlichen Audit wird sichergestellt, dass dieser Anforderung Genüge getan wird und analysiert, wie die getroffenen Maßnahmen am Besten im Einklang mit den organisatorischen und technischen Rahmenbedingungen des Unternehmens stehen können.

Jährliche verpflichtende Mitarbeiterschulung

Die Sensibilisierung der Mitarbeiter in Datenschutz-Belangen ist eine klare Anforderung an den Verantwortlichen. Die Schulung muss von jedem Mitarbeiter des Mandanten jährlich absolviert werden. Für unsere Kunden gehen wir einen Schritt weiter und stellen als Bestandteil unserer Beratungsleistung ein Online Training zur Verfügung (auf Anfrage sind selbstverständlich auch Classroom-Trainings vor Ort möglich). Nach erfolgreichem Abschluss des Wissenstests erhält jeder Mitarbeiter ein Datenschutz-Zertifikat, das ein Jahr gültig ist.

Datenschutz-Standard-Prozesse

Zur Umsetzung der Anforderungen des DSGVO und des BDSG bzw. des KDG oder DSG-EKD ist es erforderlich, im Unternehmen einige Standardprozesse zu etablieren und die Einhaltung dieses Prozesse durch alle Mitarbeiter (und ggf. Auftragsverarbeiter) sicherzustellen. Wichtige Beispiele hierfür sind der Notfall-Prozess (Im Fall eines Datenschutz-Vorfalls: Wer im Unternehmen tut wann was, um den Vorfall zu analysieren, Schaden zu begrenzen und den gesetzlichen Pflichten nachzukommen?) und der Anfrageprozess (Im Fall eines Auskunftsanfrage eines Betroffenen oder einer Datenschutz-Aufsichtsbehörde: Wer im Unternehmen hat was wann zu tun?). Auf Anfrage sind diese Prozesse der Aufsichtsbehörde vorzulegen.

Wir haben hierfür bewährte Standardprozesse erarbeitet, welche mandantenspezifisch angepasst und ständig weiterentwickelt werden.

Beratung und Mitwirkung bei der Dokumentation der Verarbeitungstätigkeiten

Der Art. 30 DSGVO (entsprechend gelten §31 KDG und §31 DSG-EKD) verpflichtet Unternehmen zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten („Verarbeitungsverzeichnis“). Das Verarbeitungsverzeichnis dient der Transparenz über die Verarbeitung personenbezogener Daten und damit der rechtlichen Absicherung des Unternehmens und des Verantwortlichen. Es muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden und dient als Nachweis der Einhaltung des gesetzlichen Dokumentations-Verpflichtung.

Als Ihr Berater und/oder Datenschutzbeauftragter unterstützen wir Sie bei der Erstellung, Prüfung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten mit einem aktuellen Dokumentations-Framework und Beratungs-Expertise.

Beratung und Mitwirkung bei der Dokumentation der IT Sicherheit (TOMs)

Neben dem Verzeichnis der Verarbeitungstätigkeiten hat der Verantwortlich weiterhin dafür Sorge zu tragen, dass geeignete technische und organisatorische Maßnahmen (TOM, Art. 23 DSGVO bzw. §26 KDG oder §27 DSG-EKD) implementiert sind, die die technische Sicherheit der Datenverarbeitungsvorgänge wie auch die notwendigen Rahmenbedingungen in Form von Regeln, Vorgaben und Handlungsanweisungen sicherstellen.

Bei Verstößen gegen die Pflicht zur Dokumentation der TOMs drohen Unternehmen nach DSGVO zukünftig Bußgelder von bis zu zehn Millionen Euro bzw. bis zu zwei Prozent des weltweit erzielten Jahresumsatzes (der jeweils höhere Wert gilt).

Wir unterstützen Verantwortliche mit unserer Expertise, diese Dokumentation umfassend und gemäß der Anforderungen zu erstellen und aktuell zu halten.

Beratung und Mitwirkung bei Datenschutzfolgenabschätzungen

Gem. Art. 35 DSGVO (sowie §35 KDG und §34 DSG-EKD) führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei der Durchführung einer Datenschutz-Folgenabschätzung hat der Verantwortliche den Rat des Datenschutzbeauftragten einzuholen.

Als Ihr Datenschutzbeauftragter beraten und unterstützen wir Sie bei der Erstellung der Datenschutz-Folgenabschätzungen. Hierzu erhalten Sie geprüften Dokumentvorlagen, wodurch Ihr Aufwand auf ein Minimum reduziert werden kann.

Kontakt aufnehmen

Sprechen Sie mit uns!

 

Schreiben Sie uns!