Der Beauftragte für den Datenschutz der EKD hat seinen Bericht für 2019 und 2020 vorgelegt – der erste, der komplett in den Geltungsbereich des neuen Datenschutzrechts fällt. Mit 64 Seiten ist er für zwei Jahre und eine Zuständigkeit für fast die komplette EKD doch recht kompakt. Dennoch gibt es darin einiges Interessantes über den Datenschutz in der evangelischen Kirche zu erfahren – und viel über die Eigenheiten des von der DSGVO besonders stark abweichenden DSG-EKD.
Natürlich kommt auch der BfD EKD nicht ohne eine Betonung der Relevanz seines Feldes aus – Bonuspunkte sammelt er dadurch, dass er nicht das abgelutschte Bonmot vom Schutz der Menschen, nicht der Daten verwendet. Bei ihm ist es so formuliert: »Auch in Zeiten der Corona-Pandemie brauchen wir in Staat und Kirche einen grundrechtebasierten Datenschutz! Das ›Datenschutzgrundrecht‹ hat sich stets als ein verlässlicher Partner an der Seite der Menschen erwiesen.«
Evaluierung des DSG-EKD und Zukunft der Aufsicht
Durch die aktuellen Tätigkeitsberichte aus Speyer und Mitteldeutschland wurden schon erste Planungen und Inhalte für die Evaluierung des DSG-EKD bekannt, die fünf Jahre nach Inkrafttreten vorgesehen ist. Der BfD EKD nennt zwar keine neuen inhaltlichen Punkte – seine Behörde arbeitet gerade Änderungs- und Formulierungsvorschläge aus –, dafür gibt er einen Zeitplan und Zuständigkeiten bekannt: Federführend ist das Kirchenamt der EKD zuständig, bis Mai 2023 soll es Ergebnisse geben. Im ersten Quartal 2022 soll sich eine Arbeitsgruppe konstituieren, die spätestens im zweiten Quartal ihre Arrbeit aufnimmt. In einem Anhörungsprozess werden Gliedkirchen, diakonische Werke und der BfD EKD beteiligt – also anscheinend nicht die kirchliche Zivilgesellschaft.
Die Speyerer Datenschutzbeauftragte hatte schon angekündigt, dass ihre Landeskirche die Aufsicht an die EKD übertragen will. Nun kündigt der BfD an, dass »weitere Gliedkirchen und diakonische Landesverbände« Interesse haben, die Datenschutzaufsicht »in absehbarer Zeit« auf die EKD zu übertragen. Welche das sind, wird nicht genannt – es kommen neben der Pfalz aber ohnehin nur die Nordkirche und die je zwei mitteldeutschen Landeskirchen und Diakonien in Frage.
Organisation und finanzielle Ausstattung
Ausführlich und kleinteilig geht der Bericht auf die Finanzen und die Organisation der Behörde ein, bis hin zu einer Nennung interner Ordnungen. Überraschend ist, dass die Aufsicht nur mit 22 Stellen besetzt ist – zum Vergleich: das Katholische Datenschutzzentrum Dortmund hat für Nordrhein-Westfalen schon elf.
Die Organisationsform einer einheitlichen Behörde mit Außenstellen im Vergleich zu den katholischen fünf unabhängigen Behörden zeigt bei der Aufgabenteilung Vorteile: die einzelnen Außenstellen bearbeiten jeweils ein Schwerpunktthema: Kinder, Jugendliche und junge Erwachsene – Diakonie (Gesundheitsdatenschutz) – Ehrenamtliche – Mitarbeitende (Beschäftigtendatenschutz).
Im Bereich der Vernetzung leistet der BfD EKD besonders viel: Regelmäßige Datenschutztage für die örtlichen Beauftragten, die Organisation von Erfahrungskreisen und Ausbildung machen einen gewichtigen Teil der Arbeit aus. Auch in Gremien engagiert sich der Beauftragte stark. Die mühsam erkämpfte Beteiligung an der Arbeit der Datenschutzkonferenz wird herausgehoben, der Beauftragte arbeitet in insgesamt fünf Arbeitskreisen (Grundsatz, Technik mit Unterarbeitsgruppe Datenschutzmodell, Beschäftigtendatenschutz, Gesundheit und Soziales sowie Schulen und Bildungseinrichtungen) und der Taskforce Schrems II mit. »Eine konkrete Mitwirkung in der DSK selbst konnte bislang nicht erreicht werden«, heißt es – dagegen wehren sich die staatlichen Aufsichten nach wie vor mit Zähnen und Klauen.
Aufsichtstätigkeit
Die Klassiker werden auch hier genannt: »Diebstahl und Verlust von dienstlichen mobilen Endgeräten sowie falsch adressierte E-Mails oder Faxe.« Erfreulich ist eine Darstellung der Zahlen: Pro Jahr um die 200 Datenpannen und 235 Beschwerden gingen ein, auf Aufsichtstätigkeiten entfielen jeweils um die 450 Vorgänge, dazu kommen um die 1000 Beratungen. Eine Vergleichbarkeit ist nur schwer herzustellen – die katholischen Aufsichten halten sich notorisch bedeckt. Im Vergleich mit der (allerdings offensichtlich quantitativ sehr wenig tätigen) Frankfurter Aufsicht für die Südwestbistümer scheinen die Datenpannen bei der EKD verdächtig niedrig zu sein: Während Frankfurt pro Jahr gut 170 hatte, sind es für die ganze EKD kaum mehr. Bei den anderen Kennzahlen hat die EKD etwa das Zehnfache der Südwestbistümer.
Bußgelder wurden keine verhängt – das ist im evangelischen Bereich auch sehr schwer. Hier hat sich die Kirche einen sehr leichten Fuß gemacht: Bußgelder können nur für Stellen verhängt werden, insofern sie am Wettbewerb teilnehmen. Dennoch hat der Beauftragte ein (nicht öffentlich gemachtes) Bußgeldbemessungskonzept entwickelt, das »ein standardisiertes Verfahren zur Ermittlung der Bußgeldhöhe« beschreibt.
Konkrete Fälle
Die konkreter beschriebenen Fälle sind nicht übermäßig überraschend, zeigen teilweise aber interessante Besonderheiten des evangelischen Datenschutzrechts und seiner Auslegung durch die Aufsicht auf. Einen großen Teil macht wenig überraschend Corona aus. Hier ist interessant, dass Gottesdienst-Teilnahmelisten bei fehlender rechtlicher Verpflichtung auch über die Rechtsgrundlage lebenswichtiges Interesse gerechtfertigt werden können; das ist eine eher extensive Auslegung der Rechtsgrundlage, die sonst eher als Auffanggrundlage bei fehlender Einwilligungsfähigkeit verwendet wird (allerdings eine auch vom DSGVO-Gesetzgeber wohl angedachte, da der zugehörige Erwägungsgrund 46 auch Kontaktverfolgung im Pandemiefall nennt).
Frappierend sind zwei Beispiele von übergriffiger Datenerhebung in Kitas: Einmal wollte eine Kita für die Notbetreuung den kompletten Jahresurlaub der Eltern offengelegt bekommen, einmal wurden detaillierte Schichtpläne für die Bewerbung um einen Kita-Platz eingeholt. Beides wurde als nicht erforderlich erachtet.
Zur Zuständigkeit des BfD gibt es zwei Aussagen: Einmal eine klare Ansage, dass die von den Gliedkirchen geführten Listen von zugehörigen Stellen gemäß § 2 Abs. 1 Satz 3 DSG-EKD als maßgeblich für die Zuständigkeit erachtet werden – die in den Sätzen zuvor aufgeführten Kriterien werden also allenfalls von den Gliedkirchen selbst geprüft, nicht von der Aufsicht. Bemerkenswert ist der Umgang mit ehemaligen Ehrenamtlichen: In einem Fall hat ein ehemaliges Gremienmitglied sich geweigert, Unterlagen und Datenträger mit personenbezogenen Daten nach Beendigung seiner ehrenamtlichen Tätigkeit zurückzugeben. Es stellte sich die Frage nach der Zuständigkeit. Hier könnte man denken, dass es sich klar um einen Fall von Mitarbeiterexzess handelt und die Person als eigene Verantwortliche gesehen wird. Aber: »Sofern angenommen wurde, dass der Ehrenamtliche als eigene verantwortliche Stelle galt, war weiter zu fragen, ob er der kirchlichen oder der staatlichen Datenschutzaufsicht unterfällt. Die daraufhin angesprochene staatliche Aufsichtsbehörde sah im konkreten Fall jedoch weiterhin die Zuständigkeit der kirchlichen Aufsichtsbehörde als gegeben an«, und zwar nicht für die Einzelperson als Verantwortliche (die könnte gar nicht in den Zuständigkeitsbereich der kirchlichen Aufsicht fallen), sondern für die kirchliche Stelle – die dann vor einem Dilemma steht: Man ist zuständig für eine Person, gegenüber der man keinerlei Weisungsbefugnisse hat und keine Druckmittel außer dem Rechtsweg.
Eine Besonderheit des DSG-EKD ist die explizite Regelung von Aufnahmen von Gottesdiensten und ihrer Veröffentlichung in § 53. Der BfD EKD legt die Vorschrift eng aus: Er sieht von ihr nur die Erfassung der gottesdienstlichen Handlung, nicht der Mitfeiernden als gedeckt an. Für eine Abbildung von Teilnehmenden wird eine Interessensabwägung (in der hier schon erwähnten Hilfskonstruktion »§ 6 Nr. 4 in Verbindung mit § 6 Nr. 8 DSG-EKD«) oder Einwilligung als nötig erachtet. Zwingend ist diese Auslegung nicht: § 53 DSG-EKD gestattet die Aufzeichnung und Übertragung dann, wenn Teilnehmende »durch geeignete Maßnahmen über Art und Umfang der Aufzeichnung oder Übertragung informiert werden«. Aus der Notwendigkeit der Information der Teilnehmenden könnte man schließen, dass das nur dann Sinn ergibt, wenn diese Teilnehmende auch Teil der Aufzeichnung und Übertragung sind.
Nur implizit wird eine mutmaßliche Rechtsauffassung des BfD EKD zur Normenhierarchie benannt: Während die DSGVO anderen Gesetzen vorgeht, kennt das DSG-EKD die Rechtsgrundlage einer anderen Rechtsvorschrift (§ 6 Abs. Nr. 1), außerdem gehen andere Gesetze dem DSG-EKD vor (§ 2 Abs. 5 und 6) – potentiell kann damit der Datenschutz einfach ausgehebelt werden. Das wird im Bericht en passant erwähnt, wenn erst die Veröffentlichung von Kirchenaustritten im Gemeindebrief problematisiert wird, dann aber dieser Satz folgt: »Sofern landeskirchliche Vorschriften keine spezielle Rechtsgrundlage vorsehen, ist die Offenlegung von Kirchenaustritten mangels einer Rechtsgrundlage im EKD-Datenschutzgesetz weder in der Print- noch in der Onlineausgabe des Gemeindebriefes zulässig« (Hervorhebung von mir) – dass eine pauschale Erlaubnis, Kirchenaustritte so anzuprangern, europarechtskonform ist, darf wohl bezweifelt werden.
Das DSG-EKD ist bekannt für seine sehr verantwortlichenfreundliche Regelung der Informations- und Auskunftsrechte, die dem Verantwortlichen längere Antwortfristen und erst nachgelagerte Informationspflichten auferlegen und das Auskunftsrecht bei »unverhältnismäßigem Aufwand« beschränken. Der BfD EKD vertritt eine Rechtsauffassung, die dem Verantwortlichen noch einmal das Leben erleichtert: Das (von Betroffenen) beliebte und (von Verantwortlichen) gefürchtete allgemeine Auskunftsersuchen über alle Daten soll eingedämmt werden können: »Bei der Verarbeitung großer Mengen personenbezogener Daten kann die verantwortliche Stelle verlangen, dass die antragstellende Person ihren Auskunftsanspruch auf Grundlage einer strukturierten Zusammenfassung (erste Stufe) genauer konkretisiert (zweite Stufe).« Aus dem Gesetz geht das direkt so nicht hervor – wohlwollend ließe sich das so erklären, dass es sich hier um eine Abmilderung der Einrede eines unverhältnismäßigen Aufwands handelt, die allerdings später noch einmal explizit und unabhängig genannt wird.
Sonstige Beobachtungen
- Ein konstantes Ärgenis ist beim BfD EKD, dass er – wohl aus falsch verstandenem Vereinfachungswillen – nicht von Ländern mit Angemessenheitsbeschlüssen spricht, sondern Länder aufzählt, und zwar regelmäßig nicht alle und ausschließlich europäische.
- Das Wort Zoom kommt nur einmal im Bericht vor – und zwar bei der Erörterung der Zoom- und Schwenkfähigkeit einer Kamera. Der EKD-Zoom-Rahmenvertrag wird vornehm beschwiegen. Besser ist es.
- Auch hier gibt es wie in den Rechtssammlungen der Landeskirchen keinen Hinweis auf Auseinandersetzungen vor den kirchlichen Gerichten – entweder das DSG-EKD ist weniger konfliktträchtig, oder es ist mangels Bußgeldern einfach egal, was die Aufsicht tut.
- Das PDF ist nicht geschützt – endlich eine Aufsicht, bei der keine Verrenkungen für Copy and paste nötig sind.
Fazit
Der Bericht des BfD EKD gibt einen lange erwarteten Einblick in die Tätigkeit der evangelischen Aufsicht und ihre Rechtsanwendung. Einiges ist vorbildlich – vor allem die umfangreiche Vernetzungs- und Schulungsarbeit. Einiges ist aber auch fragwürdig – das hat allerdings weniger mit der Aufsicht als mit dem Gesetz zu tun. Das DSG-EKD weist einige frappierende Abweichungen von der DSGVO auf, die betroffene Personen deutlich schlechter stellen: Die diversen Abweichungen beim Informations- und Auskunftsrecht, der fast komplette Ausschluss von Geldbußen und die Nachrangigkeit des DSG-EKD machen es sehr fraglich, ob hier noch der erforderliche Einklang mit den Wertungen der DSGVO besteht.
Das und andere Besonderheiten des DSG-EKD werden aber nie explizit von offizieller Stelle thematisiert; unter der Hand werden abenteuerliche Konstruktionen wie der Nachbau des berechtigten Interesses des Verantwortlichen, wie es die DSGVO kennt, aus kirchlichem und DSG-EKD-berechtigtem Interesse, einfach ohne Erläuterung verwendet. Wünschenswert wäre hier so etwas wie ein Aufsichtskommentar, wenn der Gesetzgeber selbst es versäumt, seine Abweichungen in Erwägungsgründen oder der Antragsbegründung transparent zu machen.
Der nur zweijährige Berichtszyklus führt dazu, dass man trotz des hohen Grades an Abweichung über das DSG-EKD viel weniger weiß als über das KDG mit seiner jährlichen Berichtspflicht. Die wird katholischerseits auch noch von fünf Aufsichten erfüllt – die angekündigte weitere Zentralisierung der EKD-Datenschutzaufsicht wird das also nur noch verschärfen. Für mehr Rechtsklarheit und Transparenz scheint es daher dringend geboten, bei der Evaluierung einen jährlichen Berichtsrhythmus einzuführen.