Neue Argumente für die Unterwerfungserklärung nach DSG-EKD

Auftragsverarbeitung verbindet oft den Anwendungsbereich verschiedener Datenschutzregime: Wenn eine kirchliche Stelle einen nicht-kirchlichen Dienstleister beauftragt, unterliegt der zwar weiterhin der DSGVO, als verantwortliche Stelle muss die kirchliche Einrichtung aber die Durchsetzung des kirchlichen Datenschutzgesetzes sicherstellen. Auftragsverarbeitung im kirchlichen Kontext braucht daher Zusatzvereinbarungen zu den Standard-Auftragsverarbeitungsverträgen.

Eine Hand steckt ein Netzwerkkabel in einem Serverschrank.
Auftragsverarbeitung ist besonders bei der IT alltäglich. (Symbolbild, Photo by ThisisEngineering RAEng on Unsplash)

Als wäre es nicht schon anspruchsvoll genug, Dienstleister (die oft Massendienstleistungen anbieten) von Zusatzvereinbarungen zu überzeugen, verwendet man im Bereich des DSG-EKD auch noch den sehr unsympathischen Begriff »Unterwerfungserklärung«, der nicht unbedingt die besten Assoziationen weckt. Wohl auch deshalb hat der BfD EKD sein Muster einer Unterwerfungserklärung um hilfreiche Erläuterungen ergänzt.

In § 30 Abs. 5 regelt das DSG-EKD, dass die kirchliche Stelle bei Auftragsverarbeitung sicherzustellen hat, dass der Auftragsverarbeiter ein vergleichbares Datenschutzniveau wie das kirchliche Datenschutzgesetz bietet und dass sich dazu Vertragsinhalte an Art. 28 DSGVO (also den säkularen Bestimmungen zum AV-Vertrag) orientieren dürfen, sofern sich der Auftragsverarbeiter der kirchlichen Datenschutzaufsicht unterwirft. (Das böse Wort »Unterwerfungserklärung« steht also gar nicht im Gesetz, sondern hat sich in der (Aufsichts-)Praxis eingebürgert.)

Der eigentliche Vertragszusatz ist im Vergleich zum alten auch im neuen Muster unverändert: Er regelt, dass sich der Auftragsverarbeiter der kirchlichen Datenschutzaufsicht unterwirft und sich diese Unterwerfung auf die Aufgaben und Befugnisse der kirchlichen Datenschutzaufsicht nach §§ 43 und 44 DSG-EKD erstreckt. Bestehende Unterwerfungserklärungen müssen also nicht erneuert werden.

Neu sind zusätzliche erläuternde Hinweise, die Bedenken zerstreuen dürften. Zwischen den Zeilen liest man, dass der Anlass der neuen Erläuterungen wohl Befürchtungen einer alles umfassenden Zuständigkeit der kirchlichen Aufsicht sind, zusätzlich zur regulären Aufsichtsbehörde. Zunächst wird betont, dass sich die Aufsicht über die Auftragsverarbeiter lediglich auf die im kirchlichen Auftrag getätigten Verarbeitungen beziehen, Einsichtnahme ist der Aufsicht nur für die kirchlichem Datenschutzrecht unterfallenden Daten möglich. Die kirchliche Aufsicht kann auch nicht gegenüber dem nicht-kirchlichen Auftragsverarbeiter eine Beschränkung der Verarbeitung anordnen (§ 44 Abs. 3 Nr. 2 DSG-EKD). »In der Praxis würden diese Anordnungen gegenüber der kirchlichen Stelle ergehen, die dann die Beschränkungen in ihrem Vertragsverhältnis gegenüber ihren Dienstleistern durchzusetzen bzw. anzuweisen hat«, so der BfD EKD. Auch vor einer doppelten Bußgeldverhängung durch staatliche und kirchliche Aufsicht muss sich der Auftragsverarbeiter nicht fürchten, da gemäß § 45 Abs. 1 DSG-EKD die kirchliche Aufsicht Geldbußen nur gegenüber kirchlichen Stellen verhängen kann.

Fazit

Das größte Problem bei evangelischer Auftragsverarbeitung ist das Wort »Unterwerfungserklärung«, das sich eingebürgert hat. Was das DSG-EKD tatsächlich fordert, ist gar nicht mal so viel – neben dem Unbehagen, sich einer kirchlichen Stelle zu »unterwerfen«, ist das aufwendigste die Überzeugungsarbeit, einen nun wirklich sehr kompakten Vertragszusatz zu vereinbaren. Eigentlich gut machbar.

Die neuen Erläuterungen des BfD EKD dürften bei der Überzeugungsarbeit sehr helfen: Sie räumen einige Befürchtungen aus, insbesondere was Bußgelder angeht, und sie sind wiederum so kompakt auf drei klare Argumente für die Verhandlung hin formuliert, dass man sie auch gut verwenden kann.

Ein Punkt ist aber – wieder einmal – nicht im Blick: Immerhin ist bei der Auftragsverarbeitung (anders als bei der gemeinsamen Verantwortlichkeit) eine gesetzesübergreifende Zusammenarbeit normiert – aber nur zwischen DSG-EKD und DSGVO. Was passiert, wenn eine dem KDG unterliegende Stelle Auftragsverarbeiter einer DSG-EKD-Stelle ist (denkbar wäre etwa die Mitnutzung von Bistums-IT), ist nicht explizit geklärt – was allerdings in der Praxis (wiederum anders als bei gemeinsamer Verantwortlichkeit) eher seltener vorkommen sollte.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.