Bitte verwenden Sie die folgenden Formulare als Muster, wenn Sie als verantwortliche Stelle in Kirche und Diakonie gemäß § 32 DSG-EKD die Meldung zu Verletzungen des Schutzes personenbezogener Daten machen wollen.
Wichtig: Prüfen Sie vor Abgabe einer Meldung, ob diese Meldung tatsächlich erforderlich ist (§ 32 Abs. 1 DSG-EKD). Es sind alle Fälle zu melden, die voraussichtlich zu einem nicht unerheblichen Risiko für die Rechte natürlicher Personen führen.
Der Klick auf „Herunterladen“ lädt den Download als ZIP-Datei. Je nachdem, welche Voreinstellungen Sie getroffen haben und welchen Internetbrowser Sie verwenden, wird die Datei im Download-Ordner gespeichert oder Sie können mit „Öffnen“ oder „Speichern“ individuell auswählen, was mit der Datei gemacht werden soll. „Öffnen“ speichert die Download-Datei temporär in Ihrem persönlichen oder lokalen Bereich und zeigt dann im Datei-Explorer die beiden in der Download-Datei enthaltenen beiden Word-Dateien direkt an. Mit Speichern können Sie im Datei-Explorer das Zielverzeichnis zum Speichern selbst auswählen. Die Beschreibung gibt in etwa das seit Jahren übliche Verhalten unter einem Windows-Betriebssystem wieder.
Ergänzende Hinweise zu Fragen, die uns erreicht haben
- Gemäß § 32 Abs. 1 DSG-EKD hat die Meldung “unverzüglich” zu erfolgen. Wie kann „unverzüglich“ hier verstanden werden? Läuft die Frist zum Beispiel auch an Wochenenden und Feiertagen weiter oder setzt sie bis zu dem nächsten Arbeitstag aus?
- Besteht bei größeren Vorfällen die Möglichkeit der schrittweisen Zurverfügungstellung? Und wenn ja, auf welchem Wege können die ergänzenden Informationen nachgereicht werden?
- Wann muss eine Benachrichtigung der Betroffenen erfolgen? z.B. parallel zu der Meldung nach § 32 DSG-EKD?
- Womit ist bei einem Verstoß gegen die Meldepflichten zu rechnen?
Antworten auf die gestellten Fragen:
- „Unverzüglich“ im rechtlichen Sinn bedeutet gemäß der Legaldefinition in § 121 Absatz 1 Satz 1 BGB „Ohne schuldhaftes Verzögern“. Eine konkrete Frist nach DSG-EKD gibt es nicht, jedoch sollten Verantwortliche berücksichtigen, dass die Rechtsprechung im Falle von mit Datenpannen zusammen hängenden Verfahren nur geringfügig mehr zeitlichen Spielraum akzeptiert als es die EU-DSGVO vorgibt. Das kirchliche Datenschutzrecht wird im Zweifel immer gemäß Art 91 DSGVO im Einklang mit europäischem Recht angewendet.
- Das schrittweise Zurverfügungstellen von Informationen im Zuge einer Datenpanne ist der Regelfall. Dem Verantwortlichen obliegt es, unverzüglich eine Erstmeldung abzugeben, wenn die Bedingung nach § 32 Abs. 1 DSG-EKD erfüllt ist. Eine entsprechende, der Meldung vorgelagerte ggf. grobe Risikoabschätzung des Vorfalls zur Erforderlichkeit einer Meldung ist vorzunehmen und zusammen mit allen anderen Tatsachen im Zusammenhang mit dem Datenschutzvorfall zu dokumentieren (§ 32 Abs. 5 DSG-EKD). Folgemeldungen sind zeitnah vorzunehmen, um einerseits die Meldung des Datenschutzvorfalls zu vervollständigen und um andererseits durch eine Zusammenarbeit mit der Aufsichtsbehörde den entstandenen oder noch zu erwartenden Schaden für die Rechte und Freiheiten der durch den Vorfall betroffenen Personen so niedrig wie möglich zu halten. Im Auftrag durch und nach Abstimmung mit der gesetzlichen Vertretung der verantwortlichen Stelle obliegt insbesondere den Datenschutzbeauftragten die Zusammenarbeit (auf Arbeitsebene) mit der Aufsichtsbehörde (§ 38 Abs. 1 Nr. 5 DSG-EKD). Da bereits die Meldung einer Datenschutzverletzung an sich zu den sensiblen Informationen gehört, sollen Meldungen nur auf sicheren Kommunikationswegen erfolgen. Der „klassische“ Postweg ist nicht zuletzt wegen der nach § 206 StGB strafbewährten Verletzung des Post- oder Fernmeldegeheimnisses allen anderen Wegen vorzuziehen. Meldungen per Telefon muss die schriftliche Meldung folgen. Meldungen per E-Mail sollen nur mittels ausreichend stark verschlüsselten Dokumentanhängen erfolgen. Beachtlich für den E-Mail Verkehr ist, dass Betreff und Text keine Inhalte eines Datenvorfalls enthalten sollen, wenn keine qualifizierte Transportverschlüsselung sichergestellt werden kann (SSL/TLS verschlüsselte Verbindungen sind nicht „per se“ qualifiziert).
- Die Meldung an Betroffene hat gemäß § 33 DSG-EKD zu erfolgen. Das Gesagte im Hinblick auf die Risikoabschätzung und Dokumentation gilt hier gleichlautend. Wann die Meldung zeitlich erfolgen kann bzw. soll, ist abhängig vom Einzelfall zu entscheiden. Es sollte ein entsprechendes Meldekonzept in Verbindung mit dem Kommunikationskonzept der verantwortlichen Stelle angewendet werden.
- Ein Verstoß gegen die Meldepflichten wird unter Berücksichtigung des Einzelfalls begutachtet. Außer einem datenschutzrechtlichen Hinweis als mildestes Mittel, kommen von den Befugnisse der Aufsichtsbehörden gemäß § 44 DSG-EKD neben der förmlichen Beanstandung dieser Regelverletzung auch Geldbußen gemäß den Regeln nach § 45 DSG-EKD in Betracht.