Im evangelischen Bereich ist die regionale Datenschutzgesetzgebung deutlich überschaubarer als im katholischen. Eine Ausnahme ist nun das Eigenrecht der Bremischen Evangelischen Kirche: Im jetzt erst veröffentlichten Amtsblatt vom 30. Dezember finden sich gleich vier neue Datenschutzordnungen.
Der Kirchenausschuss – das höchste Verwaltungsgremium zwischen den Kirchentagen, dem Parlament der Kirchen – hat bereits am 16. Dezember 2021 eine Datenschutzausführungsverordnung sowie Ordnungen für Patient*innen-Datenschutz, Friedhöfe und Fundraising beschlossen. Bremen hat damit als wohl einzige EKD-Gliedkirche das EKD-Datenschutzrecht derart umfassend ergänzt.
Datenschutzausführungsverordnung
Bereits 2019 hatte die Bremische Kirche ein sehr knappes Datenschutzausführungsgesetz erlassen, das im wesentlichen Erleichterungen bei der innerkirchlichen Auftragsverarbeitung und Regelungen zur Datenschutzaufsicht getroffen hat. Auf Grundlage der dort getroffenen Ermächtigung wurde nun auch eine Datenschutzausführungsverordnung erlassen. Einige Regelungen sind lediglich Klarstellungen in Bezug auf Aufgabenzuweisungen (verantwortliche Stelle, Bestellungspflichten, Verpflichtung auf das Datengeheimnis). Die Ordnung ermöglicht auch gemäß § 31 Abs. 6 DSG-EKD, einheitliche definierte Verfahren zentral in einem Verzeichnis der Kirchenkanzlei zu dokumentieren (§ 6 DSVO).
Umfangreich und kleinteilig werden ergänzende Bestimmungen für bestimmte Verarbeitungssituationen vorgenommen: Offenlegung von Gemeindegliederdaten (§ 8 DSVO), Wahlbekanntmachungen (§ 10 DSVO), Ehrenamtliche (§ 11 DSVO), Personenverzeichnisse und Veröffentlichung von Personalinformationen (§ 12 DSVO), Liste der Studierenden, Prüfungen (§ 13 DSVO), Veranstaltungen, Freizeiten und Fortbildungen (§ 14 DSVO), Kirchliche Einrichtungen (§ 15 DSVO), verschiedene soziale und diakonische Einrichtungen (§§ 16–19 DSVO), Versorgungskasse (§ 20 DSVO) sowie Immobilienangelegenheiten (§§ 21f. DSVO) erhalten eigene Regelungen. Diese Paragraphen schaffen durchweg Rechtsgrundlagen, die recht pragmatisch und realitätsnah wirken; insbesondere die Regeln zur Verwendung von Daten im Gemeindealltag (§§ 8–12 DSVO) geben Verantwortlichen klare Normen an die Hand, wie und welche Daten verarbeitet und insbesondere veröffentlicht werden dürfen. Hilfreich ist eine explizite Regelung zu Teilnahmelisten bei Veranstaltungen und Fortbildungen (§ 14 Abs 2 DSVO) – das ist eine immer wieder auftauchende Frage, die in Bremen nun einheitlich und klar geregelt ist.
Viele dieser Regelungen hätten sich auch aus dem DSG-EKD allein ableiten lassen; einige neue und klarere Rechtsgrundlagen kommen aber auch dazu. Für Rechtsanwender*innen dürfte dadurch eine erhebliche Erleichterung bestehen, dass die für sie einschlägigen Normen jeweils unter einem kompakten Paragraphen zusammengefasst sind.
Patientendatenverordnung
Bei der Patientendatenverordnung gibt es Parallelen zum katholischen Gesetz, aber auch Unterschiede: Auch hier wird der Begriff »Patientendaten« weit gefasst und auf Angehörige angewendet. Eine Differenzierung in verschiedene Seelsorgemodelle gibt es nicht so stark wie im katholischen Seelsorge-PatDSG, stattdessen eine einheitliche Regelung für alle Krankenhausseelsorger*innen (§ 4 PatientendatenVO), die aber auch zwischen rein seelsorglichem Auftrag und eine Einbindung in Behandlungskonzepte differenziert. Gemäß § 19 Abs. 2 DSVO wird die Angabe einer Religionszugehörigkeit wie eine Einwilligung in die Weitergabe von Patient*innendaten an Seelsorgende behandelt – auch hier gibt es die Tendenz, eher Widerspruchs- als Einwilligungslösungen zu verwenden.
Die deutlichen Unterschiede zum katholischen Gesetz liegen in den Regelungen, die über die Seelsorge hinausgehen. Die Verarbeitung von Patientendaten zu Forschungszwecken wird eigens geregelt (§ 5 PatientendatenVO). Dafür wird grundsätzlich eine Einwilligung benötigt, Ausnahmen sind bei eigenen Forschungsvorhaben anonymisierte Daten, die Unzumutbarkeit des Einwilligungserfordernisses und ein berechtigtes Interesse der Allgemeinheit – also sehr weitreichende Ausnahmen. Lediglich bei der Weitergabe an Dritte zu Forschungszwecken gibt es deutlich höhere Anforderungen und eine unabhängige Überprüfung des berechtigten Interesses oder der Unzumutbarkeit. Patientendaten dürfen zu Forschungszwecken veröffentlicht werden, wenn dies »für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte unerlässlich ist«.
Weitere Paragraphen regeln die Offenlegung von Patientendaten an Stellen außerhalb des Krankenhauses (§ 6 PatientendatenVO), Datenverarbeitung im Auftrag (§ 7 PatientendatenVO), Betriebsaufgabe (§ 8 PatientendatenVO) und Löschung und Einschränkung der Verarbeitung (§ 9 PatientendatenVO). Wie in der DSVO sind die hier geregelten Fälle sehr detailliert und damit nutzungsfreundlich formuliert.
Friedhofsdatenverordnung
Die Friedhofsdatenverordnung stellt insofern eine Kuriosität dar, da sie sich explizit auch mit den Rechten Verstorbener befasst, obwohl ansonsten das Datenschutzrecht nur auf lebende Menschen angewandt wird. Indem geregelt wird, welche Daten Verstorbener verarbeitet werden dürfen, wird der Anwendungsbereich des Datenschutzrechts ausgeweitet. Geregelt wird außerdem die Verarbeitung der Daten von Nutzungsberechtigten und der auf den Friedhöfen tätigen Gewerbetreibenden des Friedhofs- und Bestattungsgewerbes. Ein weiterer Paragraph regelt die Offenlegung von Daten an Dritte, insbesondere Dienstleister und anderen Stellen, die die Bestattung erledigen.
Fundraisingdatenverordnung
Verordnungen zur Verarbeitung von personenbezogenen Daten beim Fundraising gibt es auch in anderen Landeskirchen und katholischen Bistümern. Die bremische Fundraisingdatenverordnung schließt eine wichtige Rechtsunsicherheit im Bereich des DSG-EKD: Aufgrund der besonderen Konstruktion der Rechtsgrundlage des »berechtigten Interesses«, das die Interessen des Verantwortlichen nicht in die Abwägung einfließen lässt, steht diese übliche Rechtsgrundlage nicht für Fundraising- und Marketingmaßnahmen zur Verfügung. § 2 FundraisingdatenVO erklärt Fundraising daher zur »kirchlichen Aufgabe« und definiert sie umfassend: »Sie verbindet die Beziehungspflege mit dem Werben um persönlichen und finanziellen Einsatz für kirchliche und diakonische Zwecke und umfasst alle operativen, konzeptionellen und strategischen Aktivitäten zum Aufbau von Beziehungen mit dem Zweck, Ressourcen einzuwerben.« (Ähnliche Formulierungen finden sich in den älteren Fundraising-Normen der EKiBa und der EKBO.)
Für Fundraising-Zwecke dürfen Daten von Mitgliedern und deren Angehörigen sowie von »Personen, die mit der kirchlichen oder diakonischen Arbeit in Beziehung getreten sind«, verwendet werden. Die Verwendung sonstiger Daten und damit Ankauf und Miete allgemeiner Daten ist nicht geregelt und damit wohl nicht zulässig; die Beauftragung von Dritten für Direktmarketing, ohne dass die kirchliche Stelle die personenbezogenen Daten selbst verarbeitet, dürfte nicht erfasst und wohl zulässig sein. Zulässig ist auch, eigene Daten anderen kirchlichen Stellen für Fundraisingmaßnahmen zur Verfügung zu stellen (§ 5 FundraisingdatenVO), gegebenenfalls unter Auflagen.
Zu den üblichen Betroffenenrechten kommt das Gebot, die Daten mit Robinson-Listen abzugleichen und melderechtliche Sperrvermerke zu beachten (§7 FundraisingdatenVO). Kontaktdateien sind regelmäßig zu pflegen, dafür soll ein Prüf- und Löschkonzept erstellt werden (§ 8 Abs. 2 FundraisingdatenVO).
Fazit
Die neuen bremischen Regeln zur Umsetzung des DSG-EKD wirken durchweg pragmatisch und anwendungsorientiert – eine teilweise kleinteilige Definition schafft viel Klarheit. Die ausgewählten Regelungsgebiete scheinen auch sinnvoll ausgewählt.
Was die Betroffenenrechte angeht, gibt es gerade im Patient*innen-Datenschutz ähnliche Tendenzen wie schon in der katholischen Parallelnorm kritisiert: das Einwilligungserfordernis, das man für die geregelten Gebiete meist annehmen würde, wird oft durch eine Widerspruchslösung ersetzt oder anderweitig aufgeweicht. Auch das ist pragmatisch, reduziert aber Betroffenenrechte. Dass es auch anders geht, zeigt die Fundraisingordnung, die mit der expliziten Erwähnung von Robinson-Listen und Sperrvermerken zusätzlichen Schutz einzieht.