Gemeinsame Verantwortlichkeit ist kompliziert genug – wenn mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden, braucht es gute Absprachen und eine transparente Vereinbarung darüber, wer welche Pflichten übernimmt. Wenn kirchliche Datenschutzgesetze gelten, wird es noch komplizierter: Wie mit Unterschieden in den einzelnen Gesetzen umzugehen ist und welche Aufsicht wann zuständig ist, ist nicht in den einzelnen Gesetzen geregelt, weder von Aufsichtsbehörden noch von Gerichten sind Einschätzungen und Entscheidungen dazu bekannt – und die sehr übersichtliche Kommentarliteratur hält sich bedeckt.

Eine Expertin für den kirchlichen Datenschutz und seine Umsetzung ist die Juristin Beate Brucker. Die Beraterin ist betriebliche Datenschutzbeauftragte für verschiedene kirchliche Einrichtungen erläutert im Interview, wie man mit gemeinsamer Verantwortlichkeit bei unterschiedlichen Datenschutzgesetzen umgeht.

Frage: Kommt es häufig vor, dass bei einer datenschutzrechtlichen gemeinsamen Verantwortlichkeit mehrere Datenschutzgesetze im Spiel sind?

Brucker: Am häufigsten sicher in der Konstellation, dass ein kirchlicher Träger eine Facebook-Fanseite betreibt. Dann liegt eine gemeinsame Verantwortlichkeit mit Facebook, das der DSGVO unterliegt, und dem kirchlichen Träger vor. Hier gibt es aber sehr wenig Gestaltungsmöglichkeiten der nötigen Vereinbarung. Das ist ja schon zwischen Facebook und Verantwortlichen, die auch DSGVO anwenden, quasi unmöglich, da etwas an den Standardvereinbarungen von Facebook zu ändern. Ansonsten kommt gemeinsame Verantwortlichkeit in der Praxis nicht so häufig vor – oft wird auch gar nicht erkannt, dass bei Kooperationen eine gemeinsame Verantwortlichkeit vorliegt. Während Auftragsverarbeitung mittlerweile etabliert ist und auch gut verstanden wird, ist gemeinsame Verantwortlichkeit für viele noch Neuland. Fälle aus der Praxis, mit denen ich zu tun habe, sind beispielsweise im Bereich wissenschaftlicher Studien, wo kirchliche Krankenhäuser mit staatlichen Hochschulen zusammenarbeiten, bei Fortbildungen oder gemeinsame Datenbanken von Stadt und Kirche.

Frage: Gelegentlich gibt es im Sozialbereich Kooperationen, etwa Suchtberatungen, die von Caritas und Diakonie gemeinsam getragen werden. Wie gestaltet man so eine Kooperation in der Praxis?

Brucker: Zunächst sollte man die Datenschutzbeauftragten ins Boot holen, um das beabsichtigte Konstrukt zu bewerten. Wenn dann tatsächlich festgestellt wird, dass eine gemeinsame Verantwortlichkeit vorliegt, man also gemeinsam über Zwecke und Mittel der Datenverarbeitung bestimmt, muss eine Vereinbarung abgeschlossen werden, um intern die jeweiligen Verarbeitungstätigkeiten und Verantwortlichkeiten festzulegen und zu beschreiben.

Frage: Eine Herausforderung dabei sind Abweichungen in den Gesetzen – etwa die großzügigeren Fristen, die das DSG-EKD im Vergleich zu KDG und DSGVO für die Erfüllung von Auskunftsrechten einräumt. Wie geht man mit solchen Konstellationen um?

Brucker: Das kommt darauf an, an welchen der Verantwortlichen man sich wendet. Wenn sich der Betroffene an den Verantwortlichen wendet, der dem DSG-EKD unterliegt, so gelten dessen Normen und wendet er sich an den Verantwortlichen, der dem KDG unterliegt, so wird das KDG angewendet.

Der andere Verantwortliche lässt daraufhin dem angefragten Verantwortlichen alle notwendigen Informationen zukommen, sodass er nach seinem Recht gegenüber dem Betroffenen seine Aufgaben erfüllen kann.

Frage: Wenn man nach ökumenischen gemeinsamen Verantwortlichkeiten im Netz sucht, stößt man gelegentlich auch auf Datenschutzerklärungen, in denen nur auf die DSGVO verwiesen wird. Wäre das vertretbar, statt der beiden kirchlichen Gesetze im Rahmen der gemeinsamen Verantwortlichkeit einheitlich die DSGVO anzuwenden?

Brucker: Ich kenne solche Fälle nicht und kann mir auch nicht vorstellen, dass das rechtlich so möglich ist. Eine explizite Regelung, die das erlauben würde, gibt es jedenfalls nicht. Ich habe bei solchen Datenschutzerklärungen eher den Verdacht, dass da auf Vertragsmuster nach DSGVO zurückgegriffen und versäumt wurde, die nötigen Anpassungen ans kirchliche Datenschutzrecht vorzunehmen. Auch bei einer gemeinsamen Verantwortlichkeit gilt je nach Zuständigkeit für die Verarbeitungstätigkeit das jeweilige Gesetz des Verantwortlichen.

Aufsichtsbehörden äußerten sich außerdem darüber, dass ein Verweis auf die DSGVO alleine nicht ausreichend sei. Stattdessen habe man sich auf das jeweilige geltende Recht zu beziehen.

Frage: Ist das immer so klar abzugrenzen, welche Verarbeitungstätigkeit welchem Verantwortlichen zuzurechnen ist? Im Beispiel der ökumenischen Suchtberatung würde sich ein Betroffener wohl an eine einheitliche Kontaktadresse melden, per Telefon oder per E-Mail, und Auskunft über alle seine verarbeiteten Daten einfordern. Müssen dann die katholischen kurzen Fristen oder die evangelischen langen eingehalten werden?

Brucker: Die Abgrenzung der Verarbeitungstätigkeiten wird in der gemeinsamen Vereinbarung festgelegt. Jedem Verantwortlichen werden hier gewisse Verarbeitungstätigkeiten zugewiesen.

Weiterhin kommt es darauf an, an wen sich der Betroffene wendet. Es kann sein, dass es nur eine gemeinsame Ansprechperson gibt, aber es kann auch für jede verantwortliche Stelle eine eigene Ansprechperson geben. Wenn sich ein Betroffener meldet, um Auskunft zu erhalten, dann wäre es besser, er wendet sich an den jeweiligen Verantwortlichen, um dessen Verarbeitungstätigkeit es geht.

Wird eine gemeinsame Anlaufstelle für den Betroffenen bereitgehalten, sollte beim Betroffenen nachgefragt werden, über welche Verarbeitungstätigkeiten er gerne seine Auskunft hätte. Nur von den Verarbeitungstätigkeiten eines Verantwortlichen oder von beiden Verantwortlichen. Jeder Verantwortliche sollte dann innerhalb seiner im Gesetz gesetzten Frist die Auskunftsbegehren erfüllen.

Eine Empfehlung wäre hier aber, dass man für jeden Verantwortlichen eine eigene Anlaufstelle bereithält.

Frage: Das muss dann also intern klar sein und extern in der Datenschutzerklärung transparent gemacht werden?

Brucker: Ja, es muss klar sein, ob es sich um Verarbeitungstätigkeiten des Verantwortlichen handelt, der dem KDG unterliegt, dann bekommt die betroffene Person die Informationen nach KDG ausgehändigt, und genauso bei Verarbeitungstätigkeiten des Verantwortlichen, der dem DSG-EKD unterliegt. Wenn es aber nur eine Ansprechperson gibt, dann sollte diese am besten nachfragen, um welche Verarbeitungstätigkeiten es sich handelt – und wenn es wirklich »alles« ist, dann ist auch alles herauszugeben, und zwar jeweils so, wie es das einschlägige Gesetz jeweils vorsieht. Es stehen beide Verantwortlichen gleichwertig nebeneinander. Falls es zu irgendwelchen Verarbeitungstätigkeiten Informationen gibt, die der andere Verantwortliche braucht, dann muss er die beim anderen Verantwortlichen einholen, damit die gemeinsame Ansprechperson alles an den Betroffenen geben kann.

Frage: Wer ist für die Aufsicht zuständig? Die einfache Antwort wäre wohl: Die katholische für die katholischen Verantwortlichen und ihre Verarbeitungsvorgänge, die evangelische für die evangelischen Veranstaltungen und ihre Verarbeitungsvorgänge. Gibt es darüber hinaus Besonderheiten?

Brucker: Bei der Beschwerde ist es so: Es sollte jeder Verantwortliche die Kontaktdaten seiner eigenen Aufsichtsbehörde bei den Informationen zum Datenschutz angeben, so dass sich Betroffene gezielt bei der richtigen Aufsicht beschweren können, je nach Zuständigkeit für die Verarbeitungstätigkeit. Wenn eine Beschwerde doch bei der falschen Aufsichtsbehörde landet, wird die Aufsichtsbehörde die Beschwerde aber ohnehin an die richtige Aufsichtsbehörde weitergeben.

Frage: Wie trennt man denn so genau, welcher Verarbeitungsvorgang welchem Verantwortlichen zuzurechnen ist? In unserer beispielhaften Suchtberatung dürfte es doch in der Regel nicht so klar zu trennen sein, da Mitarbeitende beider Verantwortlicher sowohl im Verwaltungs- wie im Beratungsbereich gemischt eingesetzt werden, und dann bedient ein katholischer Sozialarbeiter genauso wie seine evangelische Kollegin die Klientendatenbank, möglicherweise sogar für dieselbe betroffene Person, und möglicherweise ist gar nicht rekonstruierbar, ob der fehlgelaufene Arztbrief von der katholischen oder evangelischen Verwaltungskraft falsch eingetütet wurde.

Brucker: In diesem Fall kann man die Verantwortlichkeit nicht trennen, da es sich um eine enge Form der gemeinsamen Verantwortlichkeit handelt.Bei einer Datenpanne kann man es beispielsweise so lösen, dass es dann jeder an seine eigene Aufsicht meldet, weil jeder dem je eigenen Gesetz und der je eigenen Aufsicht unterliegt.

Frage: Besteht dann das Risiko, dass man für eine Datenpanne, etwa den fehlgelaufenen Arztbrief, von zwei Aufsichten belangt wird? Oder im Gegenteil das Risiko, dass für eine Datenpanne niemand belangt werden kann, weil die Panne weder dem einen noch dem anderen Verantwortlichen die Schuld nachgewiesen werden kann?

Brucker: Nein, das Risiko von zwei Aufsichtsbehörden belangt zu werden besteht für jeden der Verantwortlichen nicht. Die jeweils zuständige Aufsichtsbehörde wird den jeweiligen Verantwortlichen der gemeinsam Verantwortlichen belangen, der die Datenpanne verursacht hat. Verursachen beide Verantwortliche gleichzeitig die Datenpanne, weil beide die selben Verarbeitungstätigkeiten verrichten, so werden die jeweils zuständigen Datenaufsichtsbehörden sicher eine Lösung finden, wie sie die Panne bewerten möchten.

Frage: Eleganter wäre es, wenn nur eine Aufsicht zuständig wäre. Lässt sich so etwas regeln?

Brucker: Das Gesetz legt sich hierzu nichts fest. Man könnte dennoch in der Vereinbarung eine federführende Aufsichtsbehörde benennen. Auch der Europäische Datenschutzausschuss sprach hierzu auch schon einmal eine Empfehlung aus. Voraussetzung hierfür wäre aber, dass ein Verantwortlicher voll befugt darüber sein sollte, über alle Umsetzungen der Verarbeitungsvorgänge zu entscheiden. Das ist für den denjenigen Verantwortlichen allerdings ein Risiko, das er wohl eher nicht eingehen möchte.

Frage: Diese Möglichkeit der Benennung einer federführenden Aufsichtsbehörde klingt sehr attraktiv: Dann würde man doch immer die evangelische benennen, weil man dann großzügigeren Fristen unterliegt und Bußgelder viel schwieriger zu verhängen sind, nämlich nur gegen Stellen, die als Unternehmen am Wettbewerb teilnehmen.

Brucker: In der Praxis wird das aber eher selten gemacht, dort ist die Konstellation üblich, dass alle beteiligten Aufsichten benannt werden. Das Problematische ist, dass es im Gesetz nicht konkret geregelt ist, explizite Regeln für federführende Aufsichtsbehörden gibt es nur im EU-weiten Kontext.

Frage: Da scheint es noch viele Unwägbarkeiten zu geben. Sollte man dann nicht lieber gleich auf die gemeinsame Verantwortlichkeit verzichten und einen neuen Rechtsträger gründen, der dann ein eigener Verantwortlicher ist? Also im Beispiel etwa die Ökumenische Suchtberatung gGmbH, bei der Caritas und Diakonie Teilhaber sind?

Brucker: In der Praxis sind mir solche Fälle nicht bekannt, jedenfalls dann nicht, wenn es darum geht, die datenschutzrechtlichen Probleme der Zusammenarbeit zu lösen. Neue Träger gründet man wohl eher aus haftungsrechtlichen Gründen. In der Praxis kommt man mit den von den Gesetzen vorgesehenen Mitteln einer gemeinsamen Verantwortlichkeit schon weit. Man muss sie nur umsetzen und in einer Vereinbarung die jeweiligen Zuständigkeiten gut verteilen.

Frage: Die verschiedenen Gesetze sind dem Wortlaut nach für solche gesetzesübergreifenden Kooperationen nicht hilfreich; die entsprechenden Normen sind zwar quasi gleichlautend, aber sie berücksichtigen den Fall einer gesetzesübergreifenden gemeinsamen Verantwortlichkeit nicht. Sehen Sie da Änderungsbedarf?

Brucker: Ja. Etwas mehr Konkretisierung würde die Arbeit vereinfachen. Viele werden durch die fehlenden Regelungen abgeschreckt, gemeinsame Verantwortlichkeiten einzugehen, oder man erkennt sie auch einfach nicht. Da ist ein Blick auf die Auftragsverarbeitung hilfreich: Die Normen dafür sind viel detaillierter, und dort funktioniert die Anwendung viel selbstverständlicher. Es wäre gut, wenn es ähnlich detaillierte Regelungen für die gemeinsame Verantwortlichkeit gäbe, die gewisse Hilfestellungen geben oder Grundlagen mitgeben, aufgrund derer man sie umsetzen kann. Manches ist wirklich noch nicht geregelt.

Frage: Haben Sie eine konkrete Regelung im Blick?

Brucker: Ja. Eine explizite Regelung zur Zuständigkeit der Aufsichtsbehörden wäre hilfreich.