Auftragsverarbeitende
Erfolgt eine Verarbeitung personenbezogener Daten im Auftrag der verantwortlichen Stelle, so ist dies nur mit Auftragsverarbeitenden auszuführen, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (TOM) durchgeführt werden, um eine Verarbeitung im Einklang mit den Anforderungen der Datenschutzgesetze zu sichern.
Dass das Recht der betroffenen Personen auf Datensicherheit geschützt ist, hat oberste Priorität.
Dafür ist ein Vertrag zur Auftragsverarbeitung zu schließen.
Dieser Vertrag zur Auftragsverarbeitung regelt die Aufgaben und Pflichten der Auftragsverarbeitenden:
- Eine Verarbeitung der personenbezogenen Daten erfolgt nur auf dokumentierte Art und auf Weisung des Verantwortlichen.
- Es besteht eine Verpflichtung der mit der Datenverarbeitung betrauten Personen zur Vertraulichkeit.
- Das Einhalten der nach § 27 DSG-EKD erforderlichen Maßnahmen ist gewährleistet.
- Für die Inanspruchnahme von Diensten weiterer Auftragsverarbeitender gelten Bedingungen, die eingehalten werden.
- Der/die örtlich Verantwortliche wird bei der Einhaltung ihrer/seiner Pflichten unterstützt. Dies geschieht unter Berücksichtigung der Art der Verarbeitung und der zur Verfügung stehenden Informationen.
- Nach Abschluss der erbrachten Dienstleistungen werden alle personenbezogenen Daten nach Wahl der/des Verantwortlichen gelöscht oder zurückgegeben.
- Der/dem Verantwortlichen werden alle erforderlichen Informationen zur Verfügung, die als Nachweis für die Einhaltung ihrer/seiner Pflichten dienen.
Die Pflicht, Auftragsverarbeitende der kirchlichen Aufsicht zu unterwerfen, entfällt komplett. Der neue § 30a DSG-EKD ermöglicht außerdem zentrale Verfahren mit flexibler Verantwortungsverteilung. Das ist besonders hilfreich für Verbundstrukturen, die gemeinsame IT-Systeme oder Verwaltungsabläufe nutzen möchten. Praktisch bedeutet das weniger Papierkram und schnellere Abschlüsse, z. B. mit IT-Dienstleistern.
