Zielgruppe des Orientierungsplans sind betriebliche, örtliche und kirchenbezirkliche Datenschutzbeauftragte (§ 22 Abs. 1 DSG-EKD).
Ziel des Orientierungsplans ist, die schwierige und anspruchsvolle Aufgabe, deren Erfüllung den Datenschutzbeauftragten obliegt, auf konkretes Verwaltungshandeln herunterzubrechen.
Ziel des Orientierungsplans ist, die schwierige und anspruchsvolle Aufgabe, deren Erfüllung den Datenschutzbeauftragten obliegt, auf konkretes Verwaltungshandeln herunterzubrechen.
Die unüberschaubare Menge an Information zum Datenschutz wird dazu auf Antworten auf die Frage: Was genau soll ich tun? konkretisiert, indem Ziele (z.B. Abfassung einer Datenschutzerklärung, Entwicklung einer Risikoabschätzung, ...) genannt und Werkzeuge zur Realisierung bereitgestellt werden.
Die angebotenen modularen Werkzeuge (Online-Schulung, Verfahrensverzeichnis, ...) können schrittweise umgesetzt zu werden. Damit wird dem Umstand entsprochen, dass Beauftragten für den Datenschutzbeauftragte oftmals nur wenig Zeit zur Verfügung steht und sie ihre Tätigkeit in Abfolgen kleinerer Aktionen zerlegen müssen. Die Werkzeuge sind Thema der Ausbildung zum Beauftragten für den Datenschutz.
Die gleichartige Vorgehensweise ermöglicht den Beauftragten für den Datenschutz, voneinander zu lernen und sich gegenseitig zu unterstützen(siehe § 19 Abs. 9 DSG-EKD).
Der Orientierungsplan beeinträchtigt die im Datenschutzgesetz verankerte Weisungsunabhängigkeit der Beauftragten für den Datenschutz nicht. Er bietet diesbezüglich eine pragmatische Vorgehensweise in der Form an, die eigene Tätigkeit zunächst daran auszurichten und Erfahrungen zu sammeln, um dann,
qualitativ gleich- oder höherwertig, die eigenen Vorstellungen zu realisieren.
Aspekte der Kontrollinstanz
Dokumentation eines ausreichenden Datenschutzes
Stellen des Bundes und der Länder übermitteln in erheblichem Umfang personenbezogene Daten in den Bereich der öffentlich-rechtlichen Religionsgesellschaften (z.B. Sozialdaten).
Die Datenschutzgesetze lassen dies zu (§ 15 Abs. 4 Bundesdatenschutzgesetz, § 17 BW LDSG), sofern für die Stellen der öffentlich-rechtlichen Religionsgesellschaften ausreichende Datenschutzregelungen gelten. Die Feststellung, ob dem so ist, treffen die zuständigen staatlichen Stellen.
Ein wesentlicher Anhaltspunkt für eine solche Feststellung ist eine Beschreibung
Der Orientierungsplan weist, ergänzend zum kirchlichen Regelungen zum Datenschutz, gegenüber den zuständigen staatlichen Stellen nach, dass diese auch umgesetzt werden.
Die Datenschutzgesetze lassen dies zu (§ 15 Abs. 4 Bundesdatenschutzgesetz, § 17 BW LDSG), sofern für die Stellen der öffentlich-rechtlichen Religionsgesellschaften ausreichende Datenschutzregelungen gelten. Die Feststellung, ob dem so ist, treffen die zuständigen staatlichen Stellen.
Ein wesentlicher Anhaltspunkt für eine solche Feststellung ist eine Beschreibung
- der Schulung von Datenschutzbeauftragten
- der Tätigkeit von Datenschutzbeauftragten
- der von der Aufsicht getroffenen Maßnahmen zur Durchsetzung der Datenschutzregelungen.
Der Orientierungsplan weist, ergänzend zum kirchlichen Regelungen zum Datenschutz, gegenüber den zuständigen staatlichen Stellen nach, dass diese auch umgesetzt werden.
Datenschutzaudit
Datenverarbeitende Stellen müssen die Möglichkeit haben, kurz und griffig darzulegen, dass der Datenschutz bei ihnen "in Ordnung" ist. Das geht nur durch Verweis auf die Erfüllung einer Norm, hier den Orientierungsplan.
Anhand des Orientierungsplans können Gemeindeglieder, Bürger und staatliche Stellen einschätzen, wie die Anforderungen des Datenschutzes bei datenverarbeitenden Stellen der Kirche umgesetzt werden.
Die Aussage einer datenverarbeitenden Stelle, dass sie den Orientierungsplan umsetzt, ist eine Vorstufe zu der in § 9a DSG-EKD vorgesehenen Möglichkeit eines Datenschutzaudits. Der Schritt zu einem durch eine Rechtsverordnung des Rats der EKD geregelten Audit ist damit bereits vorbereitet.
Die Bestandteile des Orientierungsplans entsprechen gesetzlichen Anforderungen oder resultieren aus anderen Normen (etwa dem BSI-Grundschutzkatalog bei der Risikoabschätzung) oder Hinweisen (etwa der Hinweise zum Verfahrensverzeichnis des Landesdatenschutzbeauftragten für Baden-Württemberg beim Verfahrensverzeichnis).
Anhand des Orientierungsplans können Gemeindeglieder, Bürger und staatliche Stellen einschätzen, wie die Anforderungen des Datenschutzes bei datenverarbeitenden Stellen der Kirche umgesetzt werden.
Die Aussage einer datenverarbeitenden Stelle, dass sie den Orientierungsplan umsetzt, ist eine Vorstufe zu der in § 9a DSG-EKD vorgesehenen Möglichkeit eines Datenschutzaudits. Der Schritt zu einem durch eine Rechtsverordnung des Rats der EKD geregelten Audit ist damit bereits vorbereitet.
Flächendeckende Kontrolle
Ein bloßes Reagieren wird den Anforderungen an den Datenschutz nicht mehr gerecht, es bedarf zunehmend eines Agierens.
Die Liste der Orientierungsplan-Anwender ist ein Instrument der Aufsicht zur Kontrolle, inwieweit der Orientierungsplan oder Teile davon flächendeckend beachtet wird bzw. gleich- oder höherwertige Maßnahmen getroffen werden. Sie dokumentiert den erreichten Stand des Datenschutzes flächendeckend und zeigt auf, in welchen Bereichen noch Nachholbedarf besteht oder bessere Unterstützung gegeben werden muss.
Die Liste der Orientierungsplan-Anwender ist ein Instrument der Aufsicht zur Kontrolle, inwieweit der Orientierungsplan oder Teile davon flächendeckend beachtet wird bzw. gleich- oder höherwertige Maßnahmen getroffen werden. Sie dokumentiert den erreichten Stand des Datenschutzes flächendeckend und zeigt auf, in welchen Bereichen noch Nachholbedarf besteht oder bessere Unterstützung gegeben werden muss.
