Der Ein­satz von Micro­soft 365 durch kirch­li­che Stellen

Drei wich­ti­ge Hin­wei­se zur daten­schutz­kon­for­men Nutzung

Zahl­rei­che kirch­li­che Bis­tü­mer, Deka­na­te und Kir­chen­ge­mein­den grei­fen bei der Erfül­lung ihrer täg­li­chen Auf­ga­ben auf Micro­soft 365 zurück. Das Katho­li­sche Daten­schutz­zen­trum Frank­furt hält einen daten­schutz­kon­for­men Betrieb von Micro­soft 365 nur in Aus­nah­me­fäl­len für mög­lich. Die Kon­fe­renz der deut­schen Diö­ze­san­da­ten­schutz­be­auf­trag­ten der katho­li­schen Kir­che hat bis­her kei­nen bun­des­weit gül­ti­gen Beschluss gefasst. Der Beauf­trag­te für den Daten­schutz der Evan­ge­li­schen Kir­che in Deutsch­land (EKD) ist min­des­tens skep­tisch. Die welt­li­chen Daten­schutz­auf­sichts­be­hör­den haben zuletzt eine noch nega­ti­ve­re Ein­schät­zung abge­ge­ben. Ent­ge­gen die­sen Beden­ken haben wir in zahl­rei­chen Imple­men­tie­rungs­pro­jek­ten sowie im Aus­tausch mit der Daten­schutz­auf­sicht und Micro­soft jedoch die Erfah­rung gemacht, dass ein daten­schutz­kon­for­mer Ein­satz von Micro­soft 365 durch kirch­li­che Stel­len mög­lich ist.

Bei dem Ein­satz von Micro­soft 365 durch kirch­li­che Stel­len sind jedoch ins­be­son­de­re die fol­gen­den Beson­der­hei­ten zu berücksichtigen:

  1. Kir­chen und reli­giö­se Ver­ei­ni­gun­gen dür­fen eige­ne Daten­schutz­ge­set­ze anwen­den
    Über Art. 91 DSGVO wird Kir­chen oder reli­giö­sen Ver­ei­ni­gun­gen das Recht gewährt, eige­ne Regeln zum Schutz per­so­nen­be­zo­ge­ner Daten, die bereits vor der Ein­füh­rung der DSGVO gal­ten, wei­ter anzu­wen­den. Die Son­der­stel­lung folgt aus dem ver­fas­sungs­recht­li­chen Selbst­ver­wal­tungs­recht der Kir­chen. Hier­von haben bei­spiels­wei­se die römisch-katholische Kir­che mit dem Gesetz über den Kirch­li­chen Daten­schutz (KDG) oder die evan­ge­li­sche Kir­che mit dem Kir­chen­ge­setz über den Daten­schutz der Evan­ge­li­schen Kir­che in Deutsch­land (DSG-EKD) Gebrauch gemacht. Aller­dings müs­sen die jewei­li­gen daten­schutz­recht­li­chen Regeln mit der DSGVO „in Ein­klang“ sein.
  2. Kirch­li­che Daten­schutz­ge­set­ze ent­hal­ten teil­wei­se abwei­chen­de bzw. ergän­zen­de Rechts­grund­la­gen
    Nach dem KDG und dem DSG-EKD ist eine Ver­ar­bei­tung von Daten dann erlaubt, wenn sie das ent­spre­chen­de kirch­li­che Daten­schutz­ge­setz erlaubt oder wenn die Ver­ar­bei­tung für die Wahr­neh­mung einer Auf­ga­be erfor­der­lich ist, die im kirch­li­chen Inter­es­se liegt. Gleich­zei­tig ist bei­spiels­wei­se nach dem KDG die Beru­fung auf ein berech­tig­tes Inter­es­se – par­al­lel zu Art. 6 Abs. 1 S. 2 DSGVO – für öffentlich-rechtlich orga­ni­sier­te kirch­li­che Stel­len in Erfül­lung ihrer Auf­ga­ben nicht mög­lich. Bezüg­lich der Rechts­grund­la­gen sind zudem die kir­chen­recht­li­chen Rechts­grund­la­gen bis hin zu kir­chen­recht­li­chen Ver­fas­sun­gen, wie dem katho­li­schen Codex Iuris Cano­ni­ci oder der Grund­ord­nung der Evan­ge­li­schen Kir­che in Deutsch­land, zu berücksichtigen.
  3. Kir­chen und reli­giö­se Ver­ei­ni­gun­gen haben eige­ne Daten­schutz­auf­sichts­be­hör­den
    Auch die­se Mög­lich­keit folgt aus dem ver­fas­sungs­recht­lich gewähr­leis­te­ten Selbst­ver­wal­tungs­recht der Kir­chen und wird in Art. 91 Abs. 2 DSGVO ver­brieft. Hier­von haben unter ande­rem die römisch-katholische Kir­che und die evan­ge­li­sche Kir­che in Deutsch­land Gebrauch gemacht. Neben den Auf­fas­sun­gen der staat­li­chen Daten­schutz­auf­sichts­be­hör­den – mit wel­chen die kirch­li­chen Daten­schutz­auf­sichts­be­hör­den in Aus­tausch ste­hen – sind daher bei einem Ein­satz von Micro­soft 365 ins­be­son­de­re die recht­li­chen Ein­schät­zun­gen der jewei­li­gen kirch­li­chen Daten­schutz­auf­sichts­be­hör­den zu berücksichtigen. 

    Fazit

    Bei einem rechts­kon­for­men Ein­satz von Micro­soft 365 durch kirch­li­che Stel­len gilt es vie­le daten­schutz­recht­li­che Beson­der­hei­ten zu berück­sich­ti­gen. Die damit ein­her­ge­hen­den Her­aus­for­de­run­gen kön­nen kirch­li­che Stel­len unse­rer Erfah­rung nach am bes­ten mit der Durch­füh­rung einer Datenschutz-Folgenabschätzung bewäl­ti­gen. Wei­te­re Infor­ma­tio­nen dazu fin­den Sie in unse­rem One­pager zum daten­schutz­kon­for­men Ein­satz von Micro­soft 365.

    zurück

    Bleiben Sie
    up to date

    Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.