EKD-Datenschutzbeauftragter veröffentlicht FAQ zu gemeinsamer Verantwortlichkeit

Erstmals äußert sich eine kirchliche Aufsicht ausführlicher zur gemeinsamen Verantwortlichkeit. Der Beauftragte für den Datenschutz der EKD hat am Donnerstag eine FAQ-Liste zu gemeinsam verantwortlichen Stellen veröffentlicht. Die Liste erläutert allgemein, wie gemeinsame Verantwortlichkeit umgesetzt wird. Die eigentlich spannende und bisher ungeklärte Frage, die nach der Zusammenarbeit von Stellen, die unterschiedlichen Datenschutzgesetzen unterliegen, wird immerhin angesprochen.

Neonröhren in Form von sich schüttelnden Händen
(Photo by Charles Deluvio on Unsplash)

Im Blick sind dabei Konstellationen, in denen kirchliche und nichtkirchliche Stellen gemeinsam verantwortlich sind – gemeint sind damit der Diktion des DSG-EKD folgend »kirchliche Stellen« als »dem DSG-EKD unterfallende«, also auch Kooperationen zwischen Stellen, die unterschiedlichen Kirchenrechtsregimen unterliegen. Einige Fragen bleiben trotzdem offen.

Der BfD EKD beginnt mit einer Beobachtung, die bisher nicht im Blick war: »Dem Wortlaut nach ist die Regelung des § 29 DSG-EKD lediglich auf Zusammenarbeiten zwischen zwei verantwortlichen Stellen, die dem Anwendungsbereich des EKD-Datenschutzgesetzes unterliegen, anwendbar.« Die Formulierung aus dem DSG-EKD, die das nahelegt, ist der Verweis auf die Vereinbarung, „wer welche Verpflichtungen gemäß diesem Kirchengesetz erfüllt“ in § 29 Abs. 1 Satz 2 DSG-EKD. Ähnlich formuliert auch § 28 Abs. 1 S. 2 KDG. Der BfD EKD sieht gesetztesübergreifende Kooperationen aber dennoch als möglich an: »Bei gemeinsamen Datenvereinbarungen mit Einrichtungen anderer Konfessionen oder Unternehmen sind die Grundsätze des § 29 DSG-EKD analog anzuwenden.«

Leider bleibt es bei dieser Aussage. Einige Fragen bleiben offen, etwa wie mit Abweichungen zwischen den unterschiedlichen Gesetzen umgegangen werden kann (gerade das DSG-EKD legt deutlich großzügigere Fristen für Auskunftsrechte fest). Ob bei der Möglichkeit, bei jeder der verantwortlichen Stellen Rechte »im Rahmen dieses Kirchengesetzes« (§ 29 Abs. 3 DSG-EKD) oder »im Rahmen dieses Gesetzes« (§ 28 Abs. 3 KDG) geltend zu machen, die Konstellation auftreten kann, dass kirchliches Recht von einer ihm nicht unterliegenden Stelle angewandt werden kann oder muss, wird nicht thematisiert – ebenso wenig, was das im Konfliktfall für den Handlungsspielraum und die Durchgriffsrechte der jeweiligen staatlichen oder konfessionellen Aufsicht auf den ihr nicht unterfallenden Verantwortlichen bedeutet. Grundsätzlich wäre zu überlegen, ob eine gemeinsame Verantwortlichkeit, bei der nicht nur eine Kirche beteiligt ist, überhaupt noch im Rahmen des Selbstverwaltungsrechts stattfindet, das Kirchen die Möglichkeit eigenen Datenschutzrechts eröffnet.

Immerhin ein kleiner Ausweg scheint in der FAQ-Liste zu finden zu sein: Zwar sieht das DSG-EKD (wie das KDG) nicht vor, dass die mögliche gemeinsame Anlaufstelle als verpflichtender Kontaktpunkt festgelegt werden kann (was bei einer Evaluierung der Kirchengesetze zu überlegen wäre), die Möglichkeit des Rückgriffs auf die beteiligten Verantwortlichen besteht immer. Der BfD EKD sieht dann aber die Möglichkeit als gegeben an, dass die angefragte verantwortliche Stelle prüfen muss, »welche Stelle im Einzelfall zuständig ist und dann den Antrag der betroffenen Personen an diese weiterleiten«. Hier könnte ein Anhaltspunkt sein, ob Rechte explizit mit Blick auf ein bestimmtes Gesetz geltend gemacht werden.

Fazit

Gemeinsame Verantwortlichkeit mit verschiedenen Datenschutzgesetzen bleibt kompliziert. Immer noch sind einige Fragen offen. Es überrascht, dass die eigentlich doch naheliegende Fragen nach Kollisionsregeln für die unterschiedlichen Datenschutzgesetze anscheinend kaum im Blick sind. Für die Praxis sollten gemeinsame Verantwortliche möglichst genau festlegen, wie die Pflichten erfüllt werden und im Zweifelsfall auch bereit sein, die jeweils strengeren Regeln des anderen Gesetzes zu erfüllen, um Konflikten aus dem Weg zu gehen – also evangelische Stellen (wie es auch die FAQ empfiehlt) nicht erst auf Anfrage Datenschutzhinweise zur Verfügung stellen und so schnell auf Anfragen reagieren, wie es DSGVO und KDG vorsehen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.