Frei nach dem Motto „Evolution statt Revolution“ hat die evangelische Kirche ihr Datenschutzgesetz, das „Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland“ (DSG-EKD), weiterentwickelt. Die Änderungen wurden am 13. November von der EKD-Synode auf einer Tagung in Würzburg beschlossen. Dem vorausgegangen war ein breit angelegtes Beteiligungsverfahren. Das Ziel der evangelischen Kirche war es dabei, mit der Reform einerseits eine Annäherung an die Datenschutzgrundverordnung (DSGVO) zu erreichen, andererseits kirchliche Besonderheiten datenschutzrechtlich zu regeln
Warum gibt es überhaupt ein evangelisches Datenschutzgesetz?
Die Öffnungsklausel aus Art. 91 Abs. 1 DSGVO ermöglicht es Kirchen und religiösen Vereinigungen selbst Regeln zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten anzuwenden. Jedenfalls solange diese im Einklang mit der DSGVO stehen.
Von dieser Öffnungsklausel machten sowohl die evangelische Kirche mit dem DSG-EKD, welches am 15. November 2017 in Kraft trat als auch die katholische Kirche mit ihrem „Gesetz über den kirchlichen Datenschutz“ (KDG) Gebrauch. Grundsätzlich orientiert sich das DSG-EKD weitestgehend an der DSGVO. Dennoch gibt es mehrere Unterschiede, um die Regelungen an den kirchlichen und diakonischen Bereich anzupassen.
Besonders offensichtlich zeigt sich der Unterschied in § 39 DSG-EKD. Danach wachen über die Einhaltung des Datenschutzes in der Evangelischen Kirche in Deutschland, den Gliedkirchen und den gliedkirchlichen Zusammenschlüssen unabhängige kirchliche Aufsichtsbehörden. Zur Überwachung des kirchlichen Datenschutzes sind somit nicht die Datenschutzbeauftragten der Länder zuständig, sondern eigene kirchliche Körperschaften. Aber auch außerhalb des Verwaltungsaufbaus gibt es in der DSG-EKD leichte Abweichungen von der DSGVO. Besonders sticht hierbei § 4 Nr. 2a DSG-EKD hervor, welcher Angaben über die Zugehörigkeit zu einer Kirche oder einer Religions- und Weltanschauungsgemeinschaft aus dem Bereich der besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) herausnimmt. Dadurch können diese Informationen wie normale personenbezogene Daten verarbeitet werden. Eine spezielle Rechtsgrundlage ist nicht erforderlich.
Hauptänderungen im DSG-EKD
Durch die erfolgte Reform hat sich die evangelische Kirche mit ihren datenschutzrechtlichen Regelungen der DSGVO allerdings weiter angenähert Dennoch werden aber auch kirchliche Eigenheiten datenschutzrechtlich geregelt. Hierbei hebt die evangelische Kirche selbst drei Anpassungen besonders hervor:
- Die Unterwerfungsklausel für nichtkirchliche Auftragsverarbeiter unter das kirchliche Datenschutzrecht wurde ersatzlos gestrichen. Aufgrund dieser Klausel aus § 30 Abs. 5 S. 3 DSG-EKD (bisherige Fassung) musste sich der Auftragsverarbeiter bisher der kirchlichen Datenschutzaufsicht unterwerfen. Durch die Streichung der Klausel ist eine solche Unterwerfung nicht mehr erforderlich. Aus den Erwägungsgründen (siehe Anlage 3 S. 48) zur Reform ergibt sich, dass es so zu einer erheblichen Vereinfachung der Zusammenarbeit mit Auftragsverarbeitern aus dem weltlichen Bereich kommen soll , da die Unterwerfung bei vielen Auftragsverarbeitern nicht möglich war. Dadurch blieben marktgängige Produkte für die Kirche teilweise unzugänglich.
- Es wurde mit § 30a DSG-EKD ein Paragraph zu zentralen IT-Verfahren geschaffen. Dieser soll die Möglichkeit eröffnen, Software zentral zu beschaffen und dann innerhalb der Gliedkirche einzusetzen. Vorher mussten hierfür innerhalb der Gliedkirche ein Auftragsverarbeitungsvertrag oder ein Vertrag über die gemeinsame Verantwortlichkeit abgeschlossen werden. Damit soll nun Schluss sein, da durch den neuen § 30a DSG-EKD die evangelische Kirche die Verteilung der datenschutzrechtlichen Aufgaben, Befugnisse und Verantwortlichkeiten zwischen den beteiligten Stellen selbst festlegen kann.
- Dazu wurde mit § 50b DSG-EKD eine Norm zur Regelung der Mitgliederkommunikation geschaffen. Diese erlaubt der Kirche die Verarbeitung von Meldedaten und kirchlichen Daten des Gemeindegliedverzeichnisses, insbesondere um mit den Mitgliedern zu kommunizieren. Dadurch soll die Kommunikation mit den Mitgliedern der Gemeinden erheblich vereinfacht werden. Ebenfalls soll die Regelung zum Ausdruck bringen, dass die Mitgliederkommunikation eine kirchliche Aufgabe und zur Erfüllung des kirchlichen Auftrags erforderlich ist.
Weitere Änderungen
Aber auch darüber hinaus gab es einige Änderungen am DSG-EKD. Insbesondere diejenigen, die zu einer weiteren Annäherung an die DSGVO führen, sollen hier einmal dargestellt werden.
- Hierbei ist zuvorderst die Streichung der Rechtmäßigkeit der Datenverarbeitung aus kirchlichem Interesse als Rechtsgrundlage aus § 6 Nr. 4 DSG-EKD zu nennen. Stattdessen ist die Datenverarbeitung nun zulässig, wenn sie zur Wahrung der berechtigten Interessen der verantwortlichen Stelle erforderlich ist, sofern nicht die Interessen der betroffenen Person überwiegen. Damit wird ein Alleinstellungsmerkmal des kirchlichen Datenschutzes zugunsten einer besseren Transparenz verändert. Es wird nun klarer, dass unter diesem Punkt eine konkrete Interessenabwägung der Betroffenen durchzuführen und nicht nur das kirchliche Interesse zu berücksichtigen ist.
- Eine weitere Annäherung an die DSGVO erfolgte im Rahmen der Informationspflichten. Bisher hatte nach § 17 DSG-EKD eine Datenschutzinformation bei einer direkten Datenerhebung beim Betroffenen erst auf Verlangen dieser Person zu erfolgen. Hier gibt es durch die Reform des DSG-EKD nun die Pflicht zur Information der Betroffenen zum Zeitpunkt der Datenerhebung. Dadurch kommt es zu einer Annäherung an Art. 13 DSGVO.
- Passend dazu wurde in § 19 DSG-EKD nun auch das Auskunftsrecht von betroffenen Personen erleichtert. Nachdem zuvor noch ein förmlicher Antrag von der betroffenen Person gestellt werden musste, ist das Auskunftsersuchen von nun an auch ohne ausdrücklichen Antrag möglich. Diese Annäherung an Art. 15 DSGVO war nötig, da die bisherige Gestaltung des Paragraphen mehrfach kritisiert wurde und auch Gegenstand kirchengerichtlicher Entscheidungen geworden ist.
- Darüber hinaus gibt es auch noch Änderungen, welche die Überwachung des kirchlichen Datenschutzes betreffen. Zunächst wurde die Voraussetzung aus § 36 DSG-EKD gelockert, nach der verantwortliche Stellen bislang verpflichtet waren, einen örtlichen Datenschutzbeauftragen zu bestellen. War es bislang so, dass ein Datenschutzbeauftragter bestellt werden musste, wenn mindestens zehn Mitarbeitende ständig mit der Verarbeitung von personenbezogenen Daten betraut waren, wurde dieser Schwellenwert nun auf zwanzig erhöht. Dadurch erfolgt eine Angleichung an den § 38 Bundesdatenschutzgesetz (BDSG), in welchem die Anhebung des Schwellenwerts auf zwanzig Mitarbeitende als Voraussetzung bereits Einzug gehalten hat.
- Nach der Lockerung des Gesetzes erfolgt in § 45 Abs. 5 DSG-EKD allerdings auch noch eine Verschärfung. Um den Anforderungen von Art. 91 Abs. 2 DSGVO gerecht zu werden, wurde der Bußgeldrahmen aus § 45 DSG-EKD für den Fall von Verstößen gegen das kirchliche Datenschutzgesetz erhöht. Die Aufsichtsbehörden müssen sicherstellen, dass die Verhängung von Bußgeldern in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Diesen Anforderungen hat beim Blick auf die Umsätze, die manche kirchlichen Stellen erzielen, eine maximale Geldbuße von 500.000 Euro nicht entsprochen. Daher wurde der Rahmen für Geldbußen nun auf bis zu sechs Millionen Euro angehoben.
Fazit
Die Neuerungen des DSG-EKD sollen zum 01.Mai 2025 in Kraft treten. Insgesamt lässt sich die Reform dabei als durchaus gelungen bezeichnen. So sieht es auch die Kirche selbst. Der Datenschutzbeauftrage der evangelischen Kirche Deutschland, Michael Jacob, äußert sich wie folgt: „Wir begrüßen die rechtlich gebotenen und dem evangelischen Profil dienenden Änderungen und Anpassungen im EKD-Datenschutzgesetz sehr! Wir sind überzeugt, mit diesem Gesetz die Datenschutz-Herausforderungen in Kirche und Diakonie zukünftig noch besser im Sinne der hinter den Daten stehenden Menschen und der verantwortlichen evangelischen Stellen lösen zu können.“
Nachziehen dürfte nun die katholische Kirche, deren erster Entwurf zur Reform des KDG mittlerweile ebenfalls veröffentlicht wurde. Abzuwarten bleibt dabei aber, ob sich die katholische Kirche der DSGVO ebenso weit nähert wie die evangelische Kirche.
Ralf Hilgenstock
5. Dezember 2024 @ 18:31
Es geht noch ein wenig weiter. Neben der evangelischen Kirche hat auch die katholische Kirche ein Datenschutzgesetz. Für Ordensgemeinschaften päpstlichen Rechts gilt die Kirchliche Datenschutzregelung der Ordensgemeinschaft päpstlichen Rechts (KDR-OG) in der Fassung des Vorstandsbeschlusses des DOK Deutschen Ordensobernkonferenz e. V. vom 30. Januar 2018. Aufsicht über die Orden päpstlichen Rechts haben die Gemeinsamen Ordensdatenschutzbeauftragten der DOK (GDSB DOK).
Ausserhalb der Kirchen haben auch die Organe der EU eigenes Datenschutzrecht. Alle auf Basis der DSGVO.
Imke Behnke
3. Dezember 2024 @ 11:35
Vielen Dank für den Beitrag. Kleiner Tipp am Rande. DSB werden nicht bestellt. Es sind keine Pizzen. DSB werden benannt. 😉
Daniela Windelband
3. Dezember 2024 @ 16:25
Sehr geehrte Frau Behnke,
Sie haben natürlich Recht, dass Datenschutzbeauftragte keine Pizzen sind, aber im vorliegenden Fall des evangelischen Datenschutzrechts liegen wir richtig ;). § 36 DSG-EKD spricht von der „Bestellung von örtlich Beauftragten für den Datenschutz“. https://dsg-ekd.de/dsgekd/kapitel5/paragraf36/
Viele Grüße
Daniela Windelband
Volker_OS
28. November 2024 @ 15:36
Es ist schon bedauerlich, dass die DSGVO nicht ausnahmslos für alle Institutionen Anwendung findet.
Anonymous
1. Dezember 2024 @ 15:07
Wenn alle Länder der EU dieses Bürokratiemonster wirklich anwenden würden, wäre das ja o.k. Deutschland würde ebenfalls etwas mehr pragmatismus gut tun und nicht so viel Erbsenzählerei.
Anonymous
28. November 2024 @ 11:28
Ich frage mich bis heute welchen Sinn ein eigenes Datenschutzgesetz für Kirchen hat.
Anonym
28. November 2024 @ 13:21
Ich vermute, weil die Kirche sich „zu Recht“ nicht in einen Topf mit Google Meta und Co. werfen lassen möchte…