Licht in die Black box DSG-EKD – Tätigkeitsbericht des Datenschutzbeauftragten für Kirche und Diakonie 2018/19

Lange hat’s gedauert – jetzt liegt der erste Tätigkeitsbericht einer nach DSG-EKD arbeitenden Datenschutzaufsicht vor, dessen Zeitraum komplett in die Geltung des neuen Rechts fällt. Vorgelegt hat ihn der Datenschutzbeauftragte für Kirche und Diakonie, der für die Landeskirchen Sachsens und Sachsen-Anhalts und die Diakonie Sachsens und Mitteldeutschlands zuständig ist, für die Zeit seit Geltung des DSG-EKD bis Ende 2019. (Nein, kein Tippfehler: Der Bericht für 2018/19 ist auf den 10. Februar 2021 datiert und am 30. März 2021 im RSS-Feed aufgetaucht.)

Der Zuständigkeitsbereich des Datenschutzbeauftragten umfasst mehrere östliche Bundesländer.
Der Zuständigkeitsbereich des Datenschutzbeauftragten für Kirche und Diakonie ist kompliziert und überlappt geographisch mit anderen Zuständigkeiten. (Bildquelle: Tätigkeitsbericht/Montage fxn)

Leider sieht das DSG-EKD nur eine Berichtspflicht alle zwei Jahre vor, es gibt nur vier sehr ungleich große Aufsichten, und zusammen mit der insgesamt sehr überschaubaren Anzahl an Fachpublikationen führt das dazu, dass das DSG-EKD und seine Anwendung deutlich schlechter erschlossen ist als das KDG, wo sechs Aufsichten jährliche Berichte abliefern und ein Kommentar vorliegt. Aus dem jetzt erschienenen Tätigkeitsbericht lassen sich so nun auch wichtige Informationen ziehen, die es bisher nicht gab – da ist auch zu verschmerzen, dass die Schilderung konkreter Fälle und eine Auflistung der Fallzahlen so gut wie nicht vorkommt.

Einschätzungen zum DSG-EKD

Sehr erfreulich ist, dass es ein eigenes Kapitel zum DSG-EKD gibt, aus dem einiges zur Genese und zur Kritik am Gesetz hervorgeht – etwa zum extrem knappen Zeitplan vom Beschluss im November 2017 bis zum Inkrafttreten im Mai 2018. Über das Ziel der Umsetzung erfährt man, dass »Differenzierung […] kein bevorzugtes Ziel der Überarbeitung« gewesen sei: »Dem kirchlichen Gesetzgeber ging es nicht darum, die DSGVO oder staatliches Recht einfach abzuschreiben oder irgendwie an kirchliche Gegebenheiten anzupassen. Vielmehr ging es bei der Novellierung und Überarbeitung kirchlichen Datenschutzrechtes darum, einerseits das zum Zeitpunkt des Inkrafttretens der DSGVO geltende DSG-EKD mit dem EU-Recht in Einklang zu bringen und dabei andererseits spezielle kirchliche und diakonische Belange nicht aufzugeben, sondern in der Gesetzgebung zu verankern. Das hat zur Folge, dass einige Sachverhalte der DSGVO im DSG-EKD nicht enthalten sind und deshalb unter Hinzuziehen der Erwägungsgründe zur DSGVO entsprechend angewendet werden müssen.« (Ja, das ist unverständlich, und dass der Bericht anscheinend »anscheinend« und »scheinbar« verwechselt, trägt auch nicht zum Verständnis bei.) Beklagt wird, dass das Gesetz vor allem mit Blick auf die verfasste Kirche und nicht auf die besonderen Belange der Diakonie hin gestaltet wurde; was hier noch gewünscht wird, geht leider aus dem Bericht nicht hervor. (Möglicherweise explizite Regeln zum Patient*innen- und Klient*innen-Datenschutz.)

Die Regelungslücken und Änderungsbedarfe sind leider nur sehr kryptisch benannt – aber immerhin erfährt man (was auch auf mehrfache Nachfrage hin nicht aus der EKD-Pressestelle herauszubekommen war), dass es bereits eine Arbeitsgruppe für die Evaluierung zu geben scheint. Die Aufzählung der Paragraphen mt Reformbedarf umfasst »die Rechtsgrundlagen für die Datenverarbeitung „normaler“ personenbezogener Daten (§§ 6, 8, 9, 4 Ziffer 1. DSG-EKD), besonderer Kategorien personenbezogener Daten (§§ 13, 4 Ziffer 2. DSG-EKD) sowie von Beschäftigtendaten (§§ 49, 4 Ziffer 20. DSG-EKD), die Informationspflichten bei der Erhebung (§§ 17, 18 DSG-EKD), fehlende Regelungen zu automatisierten Einzelentscheidungen, zur Datenschutzverantwortung, zur Geheimhaltung des Auftragsverarbeiters (§ 30 DSG-EKD) sowie die Nichtbeachtung des Medienprivilegs in § 51 DSG-EKD.« Hier wäre es interessant gewesen, zumindest ein, zwei Stichworte zu den Problemen zu lesen.

Interessant gerade im ökumenischen Vergleich sind die Schwierigkeiten bei der Zuständigkeit und Geltung des kirchlichen Datenschutzrechts, sicher auch begünstigt durch die komplizierte Zuständigkeit der Aufsicht (die Diakonie Mitteldeutschlands umfasst die Landeskirchen Sachsen-Anhalts und Mitteldeutschland, für die wiederum der EKD-DSB zuständig ist). Eigentlich sollte evangelischerseits alles einfacher sein: Wer unters eigene Datenschutzrecht fällt, steht in der Liste gemäß § 2 Abs. 1 S. 3f DSG-EKD. Nach katholischem gibt es nur eine sehr auslegungsbedürftige und um eine nicht im Gesetz zu findende Kriterien der »Kirchlichkeitsprüfung« ergänzte Kriteriologie, wer erfasst ist und wer nicht. Tatsächlich gibt es aber immer wieder Abgrenzungsprobleme, die aus der rechtlichen Struktur erwachsen: So unterfallen etwa sächsische CVJM-Ortsverbände nicht dem kirchlichen Datenschutzrecht, wenn sie selbst (anders als ihr Landesverband) nicht Mitglied des Diakonischen Werks sind, weil der CVJM-Landesverband keine Mitgliedschaftspflichten (wie die Unterordnung unter kirchliches Datenschutzrecht) an seine Untergliederungen durchreichen darf. Kompliziert? Allerdings – das versöhnt etwas mit den abstrakten Abgrenzungsschwierigkeiten der KDG-Geltung. Aber vielleicht macht die DSG-EKD-Regelung auch nur Probleme sichtbar, die katholischerseits genauso bestehen und nur nicht bemerkt werden.

Auch aufgrund dieser komplizierten Konstruktion wird ein wesentlicher Teil des Berichts dafür aufgewendet, die jeweilige geltende Rechtslage in den einzelnen Teilzuständigkeitsbereichen (Landeskirchen und Diakonische Werke) darzustellen – was sehr zu begrüßen ist. Nur wer weiß, welches Recht gilt, kann Recht auch anwenden.

Tätigkeit der Aufsicht

Ein großes Augenmerk liegt auf den Aufgaben der örtlichen Beauftragten (die DSG-EKD-Formulierung für betriebliche DSB) und der Zusammenarbeit mit ihnen. Kritisch angemerkt wird die oft fehlende Fachkunde externer Beauftragter, die die kirchenrechtlichen Besonderheiten nicht kennen. Beeindruckend ist die intensive Schulungs- und Vernetzungsarbeit der Aufsicht.

In der Einleitung wird angekündigt, dass konkrete Fälle in späteren Veröffentlichungen ausführlicher diskutiert werden. In den Teilberichten der Geschäfts- und Außenstellen in Chemnitz, Radebeul und Halle (Saale), die einheitlich nach den verschiedenen gesetzlichen Aufgaben der Aufsicht strukturiert sind, kommen doch noch wenige Beispielfälle vor, die allerdings im wesentlichen die üblichen Tendenzen zeigen – verlorene oder gestohlene Datenträger, falsch versendete Patient*innen-Korrespondenz und so weiter. Der starke Fokus auf die Diakonie führt aber dazu, dass auch sehr spezielle Themen erwähnt werden wie etwa technische und organisatorische Maßnahmen bei Bewohner*innen von Alten- und Pflegeinrichtungen mit Hinlauftendenz – der im vergleich zu anderen Aufsichten übergroße Anteil an diakonischen Einrichtungen scheint zu einer besonderen Sensibilität für diese besonderen Fragestellungen zu führen. (Das würde man beispielsweise auch der katholischen Ordensdatenschutzaufsicht wünschen, die riesige Ordenskrankenhäuser beaufsichtigt, darauf aber in ihrem Bericht quasi nicht eingeht.)

Wie in vielen anderen Tätigkeitsberichten wird auch hier eine mangelnde Ausstattung beklagt: »Die Datenschutzaufsichtsbehörde wurde mit Anfragen geradezu überhäuft, was nur ein Reagieren ermöglichte und ein strukturiertes (effektiveres) Arbeiten überlagerte«, heißt es, auch wenn sich das im zweiten Jahr eingependelt habe. Wenig Mut macht dieser Satz aus der Schlussbemerkung: »Im nächsten Berichtszeitraum wird die aufsichtsrechtliche Tätigkeit entsprechend der vorhandenen personellen Ressourcen weiter fortgeführt werden.«

Fazit

Der Bericht der ostdeutschen Aufsicht bringt etwas mehr Licht in die Black box des EKD-Datenschutzes. Der Fokus auf die Rahmenbedingungen, Hintergründe und Rechtsgrundlagen ist vor dem Hintergrund der ansonsten fehlenden öffentlichen Reflexion evangelischen Datenschutzrechts sehr willkommen – und mal ehrlich: Über den xten Mailverteiler ohne BCC braucht man wirklich nichts mehr zu lesen.

Auch wenn es schon mehrfach erwähnt wurde: Ein Tätigkeitsbericht alle zwei Jahre ist zu wenig, erst recht, wenn er erst über ein Jahr später erscheint. Zurecht beklagt der Beauftragte den Stand der Literatur: »Zum DSG-EKD stehen leider keine juristischen Fachkommentare und kaum Artikel in Fachzeitschriften zur Verfügung. Diese sind jedoch für die Arbeit sowohl der Datenschutz-Aufsichtsbehörden als auch der örtlichen und betrieblichen Datenschutzbeauftragten zwingend notwendig. Eine Orientierung ausschließlich an Kommentaren des staatlichen Rechtes ist nicht möglich und auch nicht zielführend.« Diese Lücke könnten regelmäßige Tätigkeitsberichte wenigstens etwas füllen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.