Tagungsbericht »Drei Jahre Gesetz über den Kirchlichen Datenschutz«

Im vierten Jahr seiner Geltung geht es beim KDG und seiner Umsetzung in die Details – das zeigte die von Curacon und den nordrhein-westfälischen Caritasverbänden organisierte Tagung zum dritten Geburtstag des Gesetzes über den kirchlichen Datenschutz am vergangenen Freitag.

Folie mit dem Veranstaltungstitel auf einem Laptop

Schwerpunkt waren alltägliche, aber komplizierte Themen: Der Umgang mit Auskunftsersuchen, Auftragsverarbeitung, Schadensersatzansprüche, Datenschutzfolgenabschätzungen und Compliance. Zwei Produkt-Vorstellungen – ein KDG-Compliance-Tool der GDD und ein Datenschutzfolgenabschätzungstool der Curacon – standen zudem auf der Tagesordnung. Den Blick aus den Niederungen der Praxis weitete zum Abschluss ein Vortrag des Vorsitzenden Richters am Interdiözesanen Datenschutzgericht, Bernhard Fessler.

Auftragsverarbeitung mit kirchlichen Komplikationen

Auch wenn vieles beim KDG parallel zur DSGVO geregelt ist – was die Anwendung oft schwierig macht, sind die übers ganze Gesetz verteilten kleineren Abweichungen, die dennoch zu beachten sind. Das machte der Vortrag des Datenschutzbeauftragten des Diözesancaritasverbands Köln, Stefan Banning, zur Auftragsverarbeitung deutlich. Er berichtete von insgesamt 102 überprüften Auftragsverarbeitungsverträgen – nur 44 davon waren vollständig.

Schwierig sei es dabei oft, Dienstleister zu AV-Verträgen zu bringen, die die die DSGVO übersteigenden Anforderungen des KDG erfüllen. Vier solche abweichenden Normen identifizierte Banning: Ein Hinweis aufs KDG und die zu erklärende Bereitschaft zur Zusammenarbeit mit der kirchlichen Aufsicht (§ 32 KDG), eine vertragliche Verpflichtung nach § 31 Abs. 2 KDG für das Verzeichnis der Verarbeitungstätigkeiten des Auftragsverarbeiters nach Artikel 30 Abs. 2 DSGVO, die Klärung des Orts der Verarbeitung aufgrund von strengeren Anforderungen von § 29 Abs. 11 KDG und die Beachtung der Regeln zu Wartung und Fernwartung aus § 29 Abs. 12 KDG.

Seitens der Teilnehmenden wurde die Schwierigkeit angesprochen, gerade große Dienstleister überhaupt dazu zu bekommen, passende AV-Verträge nach kirchlichem Recht zu schließen. Am Rand erwähnte Banning zudem, dass immer wieder AV-Verträge zweckentfremdet würden, indem Kreisverwaltungen die Caritas-Verbände als Auftragsverarbeiter zu »lenken« versuchen. »Die freie Trägerschaft der Caritas wird hier per AVV instrumentalisiert«, so Banning.

Auskunftsrechte und andere Pannen

Sehr praktisch war der Vortrag zur Umsetzung von Auskunftsrechten von Anna Keller, Referentin für Datenschutz beim Kölner Diözesancaritasverband. Eine wichtige Erkenntnis aus der Praxis ist für sie, dass es bei Auskunftsersuchen nicht immer ganz eng um Informationsbeschaffung geht – oft steckten dahinter noch andere Konflikte. Hier könne eine klare und transparente Kommunikation helfen. Nicht zuletzt aufgrund der knappen Fristen für die Auskunftserteilung empfiehlt Keller eine Sensibilisierung aller Mitarbeitenden – schließlich können Auskunftsersuchen bei allen eingehen.

Ein großes Thema ist auch immer wieder die Frage nach finanziellen Auswirkungen von Datenpannen. Dabei gewinnt Schadensersatz eine immer größere Bedeutung im Vergleich zu den (von den Aufsichten sehr zurückhaltend eingesetzten) Bußgeldern. Keller und der GDD-Geschäftsführer Tobias Jacquemain berichteten in ihrem Vortrag von einer sich zunehmend professionalisierten Durchsetzung bis hin zu spezialisierten Kanzleien. Schwierig ist dabei die Bezifferung von immateriellen Schäden; Jacquemain kündigte an, dass die GDD in Kürze eine Übersicht zum Thema veröffentlichen würde. Interessant war auch der Hinweis darauf, dass Geschädigte von der kirchlichen Aufsicht eine Bestätigung über den entstandenen Schaden erfragen können. Damit könne vor Zivilgerichten ohne weitere Beweisführung Schadensersatz eingeklagt werden.

Datenschutz auf der Website

David Große Dütting, Senior Berater bei Curacon, hat für seinen Vortrag die Tätigkeitsberichte der katholischen Aufsichten zur Prüfung von Webseiten durchgearbeitet. Dazu hatten sich die Südwest- und die Ost-Aufsicht geäußert. Der Titel des Vortrags enthält schon eine gut These: »Datenschutz auf der Website – Spiegel des Datenschutzmanagements« – vom oft ersten Eindruck einer Organisation auf der Webseite kann man gut auf den tatsächlichen Stellenwert schließen. Oder eben durch eine hübsche Schaufenstergestaltung von weniger hübschen Hinterzimmern ablenken.

Große Dütting hat die erkennbaren Methoden und Schwerpunkte der Aufsichten übersichtlich systematisiert. Die großen Bereiche sind die inhaltlichen Aspekte, also vor allem die Datenschutzerklärung, und die technischen, also etwa die Umsetzung von Cookies. Oft handelt es sich bei den Fehlern um sehr vermeidbare: Verweise auf falsche Rechtsgrundlagen, fehlende oder unnötige Abschnitte zu verwendeten Plugins und Tools, unvollständige Informationen zu Betroffenenrechten – also alles Dinge, die mit gutem Willen und überschaubarem Aufwand schnell korrigiert werden können. Cookie-Einwilligungen werden am Maßstab des Beschlusses der katholischen Datenschutzkonferenz gemessen – und manche hier festgestellten Fehler sind sehr kurios: Etwa, wenn ausgerechnet das verwendete Consent-Tool Daten in die USA schickt.

Einblick ins Interdiözesane Datenschutzgericht

Den Abschluss machte Bernhard Fessler, der Vorsitzende Richter des Interdiözesanen Datenschutzgerichts. Erstmals teilte er einige bisher nicht bekannte Zahlen und Daten mit: Seit Bestehen des Gerichts gab es 47 Verfahren, davon 19 durch Beschluss oder unstreitig erledigt, die übrigen seien noch anhängig. 7 Verfahren sind in die zweite Instanz gegangen. Die üblichen Konstellationen sind Verantwortliche gegen Aufsicht oder Betroffene gegen Verantwortliche. Auftragsverarbeiter waren bisher keine Verfahrensbeteiligte. Die übliche Verfahrenslaufzeit betrage unter einem Jahr, das schnellste Verfahren im Kontext einer Corona-Schutzverordnung dauerte nur drei Monate. (Es dürfte sich um das bereits hier besprochene zu Kontaktverfolgungslisten handeln.) Bisher konnten alle Verfahren ohne mündliche Anhörung entschieden werden. Die Hoffnung auf eine Veröffentlichung aller Fälle, nicht nur der von grundsätzlicher Bedeutung, musste leider enttäuscht werden: Das Gericht entscheide selbständig, was von grundsätzlichem Interesse sei und wo die Veröffentlichung kirchlichem Interesse widersprechen würde.

An grundsätzlichen Rechtsfragen benannte Fessler zum einen die Gefahr einer »Rechtswegezersplitterung«, da das kirchliche Gericht für die Datenschutzverstöße, durch den Verweis auf das Ordnungswidrigkeitengesetz im kirchlichen Verwaltungsverfahrensgesetz aber möglicherweise die staatliche Gerichtsbarkeit für die Bußgeldfestsetzung zuständig sei. »Das ist kein prozessökonomisch sinnvolles Ergebnis«, so der Vorsitzende Richter. Für die Praxis empfahl er, bei Rechtsmitteln der Aufsicht sich an die Rechtsbehelfsbelehrung des Bescheids zu halten und sich dahin zu wenden, wohin die verweist. Zum anderen beklagte Fessler das Fehlen eines Eilverfahrens in der KDSGO. Dadurch befürchtet er möglicherweise sogar einen Verstoß gegen das Gebot eines effektiven Rechtsschutzes aus Art. 79 DSGVO. »Es wäre misslich, wenn wir im kirchlichen Bereich ein Defizit feststellen müssten«, so Fessler. In der Praxis verfahre man so, dass bei eingehenden Eilanträgen auf Aussetzung der Vollziehung die Aufsichten gebeten werden, den Vollzug freiwillig bis zu einer Entscheidung auszusetzen, weil nach kirchlichem Recht nach Ansicht des Gerichts die Hauptsacheklage keine aufschiebende Wirkung entfalte. Im Gegenzug werde der Aufsicht zugesichert, dass das Verfahren vorrangig entschieden werde. Das sei kein sinnvolles Verfahren; Fessler stellte ein normiertes Aussetzungsverfahren in Anlehnung an § 80 Abs. 5 Verwaltungsgerichtsordnung als bedenkenswert in den Raum.

Auf Nachfrage positionierte der Richter sich auch zur Frage, ob angesichts der von der KDSGO explizit dem Gericht verbotenen Normenkontrolle das Gericht beim EuGH vorlegen dürfe. Fessler zeigte sich hier eher zurückhaltend und verzichtete auf eine umfassende Antwort, insbesondere eine kirchenrechtliche Einordnung. Er äußerte jedoch deutliche Sympathie für die Möglichkeit einer inzidenten Normenkontrolle, die er sich auch für kirchliche Gerichte gut vorstellen könne, also eine Normenkontrolle, die nicht die Norm an sich überprüft, sondern einen auf die Norm gestützten Einzelakt. (»Prozessuales Ergebnis ist dann aber nicht eine allgemein verbindliche Nichtigerklärung der Satzung, sondern – gemäß dem Antrag und den beteiligten Prozessparteien – die Aufhebung des konkreten Verwaltungsaktes, die gegebenenfalls auch nur für den Einzelfall und zwischen den Parteien Rechtskraft entfaltet«, erläutert Lothar Michael).

Im Vortrag ging Fessler auch auf einige konkrete Fälle ein, die zumeist bereits aus den veröffentlichten Entscheidungen bekannt waren. Dieser Teil lohnt noch einen genaueren Blick, sobald das Manuskript der Rede veröffentlicht wird – das soll schon in dieser Woche geschehen. Aufgrund des Zeitdrucks konnten auch nicht alle geplanten Aspekte des Vortrags ausführlich vorgetragen werden – auch das sollte im Manuskript zu finden sein.

Erstmals gab es auch einen detaillierteren Ausblick auf die kommende kirchliche allgemeine Verwaltungsgerichtsbarkeit. Dabei ging aber nicht eindeutig hervor, ob es sich um Prognosen oder gesichertes Wissen handelte. Die Kirchliche Verwaltungsgerichtsordnung sei nach seiner Kenntnis bereits fertig, nur Corona habe bisher die Inkraftsetzung verhindert, mit der 2022 zu rechnen sei. Fessler kündigte an, dass es vier bis fünf regional zuständige Verwaltungsgerichte der ersten Instanz und ein Verwaltungsgericht der zweiten Instanz geben werde. Die Datenschutzgerichtsbarkeit werde darin eingegliedert, und zwar in Form von Spezialspruchkörpern, also nicht völlig in den allgemeinen Gerichten untergehen. Von offizieller Seite ist über den Stand dieser Informationen nichts bekannt, hier sind nach wie vor die letzten bekannten Äußerungen die von der Frühjahrsvollversammlung 2020 der DBK – damals klang es noch nicht so, als ob der Prozess der Einrichtung der Gerichte so schnell über die Bühne gehen kann.

Fazit

Dafür, dass so viele Einrichtungen kirchlichem Datenschutzrecht unterfallen und so viele Menschen davon betroffen sind, gibt es erstaunlich wenig fachlichen Austausch darüber. Eine Tagungs- und Reflexionskultur wie im kirchlichen Arbeitsrecht gibt es im Datenschutzrecht noch nicht. Umso erfreulicher war es, dass es nun diese Tagung gegeben hat: Der von Curacon und der NRW-Caritas organisierte KDG-Geburtstag war ein dringend nötiges thematisches Update und (sieht man einmal von der Verwendung von MS Teams ab, das immer wieder für technische Undrundheiten gesorgt hat) rundum gelungen.

Gerade was die Weiterentwicklung der kirchlichen Gesetze und Gerichtsbarkeit angeht, muss man jeden einzelnen Informationssplitter suchen – proaktiv wird kaum etwas kommuniziert. Gelegenheiten wie diese geben den Protagonist*innen, die sonst eher im Verborgenen und durch ihre Entscheidungen wirken, die Gelegenheit, sich zu äußern und zu erklären. Auch das trägt zu einer besseren Rechtskultur in der Kirche bei.

Nach dem Symposium zum ersten Jahr KDG 2019 ist dies erst die zweite größere Veranstaltung – angesichts des Nutzens bleibt zu hoffen, dass der Rhythmus in Zukunft etwas schneller wird. Anwesend war auch der Datenschutzbeauftragte der EKD – nach wie vor ist das DSG-EKD und seine Anwendung viel weniger in der Öffentlichkeit. Ein gutes Ergebnis der Tagung wäre, wenn sie die evangelische Seite zu ähnlichen Veranstaltungen anspornen würde.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.