Neues kirchliches Datenschutzgesetz?

Religionsgemeinschaften in Deutschland dürfen Ihre Angelegenheiten selbständig ordnen und verwalten, bleiben aber den allgemeinen Staatsgesetzen unterworfen (Art. 140 Grundgesetz i.V.m. Art. 137 Abs. 3 Weimarer Reichsverfassung).

Die Katholische Kirche hat dieses Recht im Bereich des Datenschutzes mit der Anordnung über den kirchlichen Datenschutz (KDO) in Anspruch genommen. Dies führte dazu, dass das BDSG auf kirchliche Einrichtungen keine Anwendung fand. Durch die DSGVO ändert sich an dieser Situation nichts. Nach Art. 91 DSGVO dürfen Kirchen, religiöse Vereinigungen oder Gemeinschaften zum Zeitpunkt des Inkrafttretens der DSGVO (25. Mai 2018) bestehende Regeln weiter anwenden, sofern diese „mit der Verordnung in Einklang gebracht werden.“ Auf Grund dessen hat die Vollversammlung des Verbandes der Diözesen Deutschlands am 20.11.2017 das Kirchliche Datenschutzgesetz verabschiedet, das am 24. Mai 2018 in Kraft gesetzt werden soll (ein Tag vor Inkrafttreten der DS-GVO, da Art. 91 Absatz 1 DSGVO verlangt, dass die Kirche die Regeln zum DS-GVO-Inkrafttreten bereits „anwendet“).

Auf Grund der Vorgabe des Art. 91 DSGVO ist das neue KDG stärker an die DSGVO angelehnt, als es die KDO an das BDSG war. Gleichwohl enthält das KDG weiterhin verschiedene Besonderheiten und Unterschiede zum weltlichen Datenschutzrecht.

Inhalte

Neben kirchlichen Besonderheiten wie beispielsweise die Stellung des „Diözesandatenschutzbeauftragten“ in Kapitel 6 ist insbesondere beachtenswert, dass Auftragsverarbeiter Datenverarbeitungen grundsätzlich gemäß § 29 Absatz 11 KDG nur innerhalb der EU bzw. des EWR oder nur in Ländern, für die ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt oder wenn durch die Datenschutzaufsicht festgestellt wurde, dass im Drittstaat ein angemessenes Datenschutzniveau besteht. Dies schränkt die Nutzungsmöglichkeiten beispielsweise außereuropäischer Clouddienste ein (vergl. auch Auf dem Weg zum neuen kirchlichen Datenschutzgesetz, Punkt 8 bzw. Praxishilfe 4 – Auftragsverarbeitung nach dem kirchlichen Datenschutzgesetz, Seite 6).

Anders als die DSGVO selbst enthält das KDG in § 29 Absatz 12 eine dem § 11 Absatz 5 BDSG entsprechende klarstellende Regelung, dass Prüfung und Wartung automatisierter Verfahren ebenfalls Auftragsverarbeitungen darstellen und daher auch für Fernwartungen ein Vertrag gemäß § 29 KDG erforderlich ist. Ebenso ist in § 29 Absatz 9 Satz 2 KDG klarstellend geregelt, dass für Auftragsverarbeitungsverträge in „elektronischem Format“ die §§ 126 ff. BGB maßgebend sind. Die DSGVO spricht in Art. 28 Abs. 9 lediglich von einem „elektronischen Format“.

Sanktionen und Rechtsweg

In Bezug auf Sanktionsmöglichkeiten bei Datenschutzverstößen erfährt das KDG gegenüber der KDO (diese sah lediglich die Möglichkeit einer formellen Beanstandung vor) eine erhebliche Steigerung: Nach § 51 Absatz 5 KDG können Geldbußen von bis zu 500.000 € verhängt werden. Allerdings wird damit bei weitem nicht der Sanktionsrahmen der DSGVO erreicht (bis zu 20 Mio € bzw. 4 % des gesamten weltweiten Jahresumsatzes). Zudem wird gemäß § 51 Absatz 6 i.V.m. § 3 Absatz 1 KDG der Kreis derjenigen, gegen die Sanktionen verhängt werden können, erheblich eingeschränkt.

Wichtigste Konsequenz aus den neuen Sanktionsmöglichkeiten ist die Schaffung eines Rechtsweges. Aus diesem Grund ist die Schaffung einer kirchlichen Gerichtsbarkeit in Datenschutzangelegenheiten geplant. Der Entwurf einer entsprechenden Kirchlichen Datenschutzgerichtsordnung wurde auf der Vollversammlung des Verbandes der Diözesen Deutschlands ebenfalls am 20. November 2017 beschlossen. Diese sieht mit der kleinen Datenschutzkammer und der großen Datenschutzkammer zwei Instanzen vor. Deren Entscheidungen sind für die Verfahrensbeteiligten bindend.

So bleiben also auch nach dem Inkrafttreten der der DSGVO weiterhin Besonderheiten im kirchlichen Datenschutz bestehen. In den nächsten Wochen werden wir die wichtigsten aufarbeiten und auf www.datenschutz-notizen.de besprechen.