Schon länger war das Kirchliche Datenschutzmodell angekündigt – jetzt ist es da. Wie der Papst neue deutsche Bischöfe haben die kirchlichen Datenschutzaufsichten am Freitag um 12 Uhr das lange erwartete »KDM« veröffentlicht, das sich eng am Standard-Datenschutzmodell der staatlichen Aufsichten orientiert.

Mit dem KDM können Anforderungen der kirchlichen Datenschutzgesetze in technische und organisatorische Maßnahmen umgesetzt werden. »Wir sehen die Möglichkeit für unsere Arbeit als kirchliche Aufsichtsbehörden, Prüfungen standardisiert und damit auch nachvollziehbarer durchzuführen«, erklären die Sprecherin der Konferenz der Diözesandatenschutzbeauftragten, Ursula Becker-Rathmair, und der Beauftragte für den Datenschutz der EKD, Michael Jacob. Das KDM biete außerdem den kirchlichen Stellen und Einrichtungen »den großen Vorteil, selbst Datenschutz systematisch umzusetzen und damit für Fragen und Prüfungen der Datenschutzaufsichten gut gerüstet zu sein«, heißt es weiter. Als Einführung wurde außerdem eine dreiseitige Handreichung veröffentlicht, die die Zielsetzung und Methodik trotz der Kürze erstaunlich kompakt und verständlich auf den Punkt bringt.

SDM Strg+C Strg+V: Das Hauptdokument

Ein erster Blick auf die zugleich freigeschaltete Webseite zum KDM ernüchtert zunächst etwas: Das Hauptdokument zum KDM ist in weiten Teilen eine wörtliche Übernahme des SDM, und zwar basierend auf Version 2.0 mit der Anmerkung »Version 2.0b teilweise berücksichtigt«. Etwas polemisch: Die Transferleistung bestand in großen Teilen darin »DSGVO« durch »DSG-EKD und KDG« im Text zu ersetzen; tatsächlich gibt es kaum Stellen, an denen zwischen den Datenschutzregimen erhebliche Unterschiede bestehen. Die Tabelle zur »Systematisierung der rechtlichen Anforderungen mit Hilfe der Gewährleistungsziele« und der umfangreiche Fußnotenapparat leisten aber doch wertvolle Dienste, ersparen sie doch viel Sucherei in den Gesetzen, die unter Zugrundelegung des SDM noch nötig war, um die mit den jeweiligen DSGVO-Normen korrespondierenden Stellen in den kirchlichen Datenschutzgesetzen zu finden.
Eigenständiger ist die »Richtlinie zur Risikoanalyse und Risikobehandlung im Rahmen des Kirchlichen Datenschutzmodells«, die am Beispiel von in Kindertagesstätten verarbeiteten Daten den Prozess erläutert, allerdings auch im Vergleich zum staatlichen Vorbild eingedampft ohne Differenzierung zwischen Risikomanagement und Zielerfüllungsmanagement. (Danke an @brecheis und @privacylawGER für den Hinweis!)

Kritisch ließe sich zum Kernmodell anmerken, dass das doch viel Arbeit für etwas ist, dessen Hauptnutzen in einer Synopse der verschiedenen Datenschutzgesetze ist. Skeptisch stimmt auch der Abschnitt »Versionspflege des KDM« ganz am Schluss: »Das KDM wird vorerst in einer einmaligen Ausgabe für die katholische und die Evangelische Kirchen in Deutschland herausgegeben. Eine kontinuierliche Überarbeitung ist zum jetzigen Zeitpunkt nicht vorgesehen, wird aber nicht gänzlich ausgeschlossen.« Es bleibt zu hoffen, dass das KDM dadurch nicht einfriert, während das SDM sich weiterentwickelt. Angesichts des eher glazialen Tempos der SDM-Entwicklung dürfte das allerdings eine Weile dauern.

Referenzmaßnahmen

Mit Veröffentlichung des KDM wurden drei Bausteine veröffentlicht. Das klingt wenig – aber auch zum SDM 2.0 sind insgesamt erst sieben veröffentlicht. Die Copy-and-paste-Kritik am Hauptdokument braucht hier nicht wiederholt zu werden: Anstatt die SDM-Referenzmaßnahmen einfach abzuschreiben, gibt es hier jeweils kompakte Anmerkungen zur Umsetzung der Bausteine im kirchlichen Datenschutzrecht: Synopsen der einschlägigen Normen in den drei Gesetzen, dazu Hinweise zur Anwendung im kirchlichen Bereich, aufgeschlüsselt nach allgemeinen Anmerkungen und den beiden Gesetzen.

Bei den Referenzmaßnahmen dürfte also die eigentliche Musik spielen. Leider ist noch kein kirchenspezifischer Baustein veröffentlicht. In seinem Tätigkeitsbericht für 2019 hatte der NRW-Diözesandatenschutzbeauftragte angekündigt, dass es auch beabsichtigt sei, »gegebenenfalls eigene Bausteine für den kirchlichen Bereich einzubinden (für Prozesse, die im außerkirchlichen Bereich nicht relevant sind«. Angesichts des hohen Abstraktionsgrades der Bausteine wird es interessant werden, welche Prozesse das sein werden – denkbar wären etwa besondere Anforderungen von Kirchenbüchern, die Daten ohne Löschfrist aufbewahren.

Coming soon – Schulungen und Referenzbeispiel

Kindertagesstätten sind schon länger im Fokus der Aufsicht – im Bereich der katholischen Aufsichten Nord und NRW ist eine intensive Prüfung im Gange. Da liegt es nahe, dass das noch nicht veröffentlichte Referenzbeispiel eine Kindertagesstätte sein soll. Ebenfalls noch unveröffentlicht sind die angekündigten Schulungsmaterialien.

Fazit

Vieles beim KDM ist noch in Arbeit. Die bisher veröffentlichten Materialien wirken aber durchdacht und anwendbar – auch wenn sich gerade beim eigentlichen Modell die Frage stellt, warum nicht wie bei den Bausteinen nur die jeweiligen Unterschiede zum SDM benannt wurden. So besteht die Gefahr, dass sich KDM und SDM auseinanderentwickeln, wenn eventuelle Änderungen im SDM nicht zeitnah nachvollzogen werden – und es herrscht unnötige Unklarheit, ob neben den Normverweisen jeweils noch andere Unterschiede zum SDM zu berücksichtigen sind. Um das herauszufinden, braucht es viel Textarbeit.

Im Vergleich zum SDM ist auf jeden Fall die Art der Veröffentlichung zu loben: Es gibt eine einzige Webseite, die logisch aufgebaut und zugänglich ist, und die dank funktionierendem RSS-Feed auch leicht im Auge zu behalten ist. Das ist deutlich nutzungsfreundlicher als die über viele Aufsichtsseiten verstreuten Informationen zum SDM, bei denen man sich nie sicher ist, ob man gerade die aktuelle Version vor sich hat und ob nicht doch noch etwas fehlt.