Was wir über die Reform des kirchlichen Datenschutzes wissen

An Pfingsten hat zwar nicht die Kirche Geburtstag, dafür dieses Jahr das Gesetz über den kirchlichen Datenschutz: Am 24. Mai 2018, ein Tag vor dem Wirksamwerden der DSGVO, trat es in Kraft. Damit gilt es nun seit drei Jahren – und das heißt: Seine Evaluierung steht an.

Ein Buch unter der Lupe
(Bildquelle: Photo by Teslariu Mihai on Unsplash)

Besonders viel ist noch nicht bekannt – nur eins dürfte sicher sein: Ein eigenes Datenschutzrecht bleibt, das aber Datenschutz nicht grundsätzlich anders aufzieht als die DSGVO (schon um den geforderten Einklang nicht zu gefährden).

Wie die Evaluierung ablaufen wird

Weder das KDG noch das Kirchenrecht treffen Festlegungen, wie die Evaluierung ablaufen muss. Bekannt ist bisher, dass die Unterkommission Datenschutz- und Melderecht/IT-Recht der Rechtskommission des Verbandes der Diözesen Deutschlands (VDD) bereits seit geraumer Zeit eine Arbeitsgruppe für die Evaluierung eingerichtet hat. Zuerst bekannt wurde das durch den Bericht der Ordensdatenschutzaufsichten 2019. In einem ersten Schritt wird das Gesetz nach Auskunft der Bischofskonferenz vor dem Hintergrund der bislang gemachten Erfahrungen in den Diözesen und anderen kirchlichen Stellen auf seine Praxistauglichkeit hin überprüft. Aus dem erwähnten Ordens-Tätigkeitsbericht ist außerdem bekannt, dass eine Stellungnahme der Konferenz der Diözesandatenschutzbeauftragten erbeten wurde.

Noch nicht terminiert (»zu gegebener Zeit«) ist eine Beteiligung von Dachverbänden wie dem Deutschen Caritasverband und dem BDKJ; eine derartige breitere Verbändebeteiligung ist ein Novum in der bischöflichen Gesetzgebung.

Die Überarbeitung wird »nicht vor 2023« abgeschlossen sein; in der jüngst erschienenen DBK-Gesetzessammlung »Kirchliches Datenschutzrecht« wird ein ähnlicher Horizont aufgemacht (»innerhalb der nächsten drei Jahre«).

Auch wenn das KDG jeweils von den einzelnen Bischöfen in Kraft gesetzt wird (ein einheitliches Gesetz auf Ebene der Bischofskonferenz wie in Italien wäre nur aufgrund einer Sondergenehmigung des Heiligen Stuhls möglich), wird es mit größter Wahrscheinlichkeit zu keinen Alleingängen kommen und alle Bischöfe werden die KDG-Novelle in Kraft setzen, die die Vollversammlung des Verbands der Diözesen Deutschlands beschließen wird, die aus den Diözesanbischöfen (oder ihren Vertretern) besteht. Das Gesetz der Orden päpstlichen Rechts, die KDR-OG, ist bis auf einige ordensspezifische Bezeichnungen weitgehend parallel zum KDG. Es ist zu erwarten, dass die Orden auf Grundlage des neuen KDG schnell nachziehen werden.

Was inhaltlich zu erwarten ist

Bei allen Äußerungen von Aufsichten wie von Gesetzgebern wird betont, dass sich das KDG erstens bewährt habe und das zweitens ohnehin durch das Europarecht der Spielraum sehr gering ist. Mehrere Äußerungen von Aufsichten geben einen Eindruck, was zu erwarten ist. Es zeichnen sich »keine elementaren Änderungen ab, sondern im Wesentlichen Korrekturen in praktischer Hinsicht«, hieß es im Tätigkeitsbericht 2020 der Ordensaufsichten. Im selben Jahr teilte die KDSA Nord mit, sie sehe für größere Änderungen »keine Notwendigkeit, weil nach diesseitiger Auffassung durch das KDG ein gutes, praktikables und dem europäischen Standard entsprechendes Gesetz vorliegt«.

Die konkretesten Änderungswünsche gehen aus dem Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten 2019/2020 hervor, die er zuvor auch schon in zwei Interview mit katholisch.de und Artikel 91 angekündigt hatte. Im Bericht spricht er von »zahlreichen Änderungsvorschlägen« der katholischen Datenschutzkonferenz und greift einige heraus:

  • Bei der Einwilligung soll auf das grundsätzliche Schriftformerfordernis in § 8 Abs. 2 KDG zugunsten lediglich einer Nachweispflicht (wie es die DSGVO jetzt schon regelt) verzichtet werden.
  • Die Anforderungen an Auftragsverarbeitung im Ausland in § 29 Abs. 11 KDG sei zu hoch, etwa wenn es um die Fernwartung medizinischer Geräte angeht. (Das KDG lässt Auftragsverarbeitung nur im Geltungsbereich der DSGVO oder bei Vorliegen eines Angemessenheitsbeschlusses zu.)
  • Die Meldefrist von 72 Stunden für Datenschutzverletzungen in § 33 KDG soll erst ab Kenntnis des Verantwortlichen beginnen.
  • Die Regelung der Bußgelder aus § 51 Abs. 1 KDG hebt nur auf Datenschutzverletzungen ab, die dem Verantwortlichen zuzurechnen sind (also nicht solchen durch Mitarbeitenden). Wenn aber »den Verantwortlichen der Dienststelle weder Vorsatz noch Fahrlässigkeit zur Last gelegt werden kann, versagt das System der Verhängung von Bußgeldern«, so der Bericht. Daher wird eine Regelung zur Verhängung von Bußgeldern gegen natürlich Personen in Anlehnung an Art. 23 des bayerischen Landesdatenschutzgesetzes vorgeschlagen.

Im am Montag erschienenen Interview mit der derzeitigen Vorsitzenden der Konferenz der Diözesandatenschutzbeauftragten, Ursula Becker-Rathmair, hat sie zudem noch den Wunsch eingebracht, eine Regelung für das Streaming von Gottesdiensten aufzunehmen, wie sie heute schon im DSG-EKD zu finden ist – ein Vorschlag, den auch die Gesellschaft Katholischer Publizisten in ihrem Beitrag zur Evaluierung eingebracht hat (dazu auch die Datenschutz-Notizen).

Und sonst?

Neben dem Hauptgesetz gibt es noch weitere kirchliche Normen, die sich mit Datenschutz befassen: Zugleich mit dem KDG trat die Datenschutzgerichtsordnung KDSGO in Kraft, die auch innerhalb dreier Jahre evaluiert werden soll. Darüber ist noch nichts bekannt, wobei das Interdiözesane Datenschutzgericht vor kurzem in einem Beschluss schon Änderungswünsche hat durchblicken lassen. Die Durchführungsverordnung KDG-DVO gilt seit März 2019 und soll innerhalb von fünf Jahren evaluiert werden.

Möglicherweise kommen noch weitere Gesetze dazu: »Parallel dazu wurde die Notwendigkeit festgestellt, einige Teilbereiche besonders ausdrücklich zu regeln. Es handelt sich dabei um Vorschriften aus den Bereichen Schule, Krankenhaus und Personalaktenführung«, hieß es 2019 bei den Ordensaufsichten im Bericht. Da der Krankenhausbereich bereits ein eigenes Gesetz bekommen hat, könnte das auch bei den anderen spezifischen Feldern so gehandhabt werden, wobei gerade der Bereich Personalaktenführung auch in der Durchführungsverordnung geregelt werden könnte. In einzelnen Bistümern gibt es auch bereits Gesetze zu Schuldaten und Fundraising.

Und die EKD?

Das DSG-EKD ist zum selben Zeitpunkt wie das KDG in Kraft getreten. Hier hat sich der Gesetzgeber aber fünf Jahre Zeit für die Evaluierung gegeben. Auch wenn die EKD-Pressestelle mauert und beharrlich Anfragen dazu ignoriert: Vor kurzem gab es in einem Tätigkeitsbericht mehr zu ersten Ideen und Vorgehensweisen zur Überarbeitung des evangelischen Datenschutzrechts.

Fazit

Die Evaluierung des KDG läuft langsam an. Die Dreijahresfrist im Gesetz wird eher als Anregung verstanden – aber wenn die Verzögerung eine größere Beteiligung bedeutet, dann muss das kein Verlust sein. Immerhin wird hier eine Evaluierung angegangen – und nicht wie bei der DSGVO trotz aller offensichtlicher Defizite so getan, als seien die einzigen relevanten Probleme die der Durchsetzung.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.