So schwierig kann das mit dem Beschäftigtendatenschutz nicht sein – schließlich kommt § 53 KDG, Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses, mit vier Absätzen aus. Dass das ein Fehlschluss ist, dürfte offensichtlich sein. Tatsächlich ist das Personalwesen ein Feld, in dem es eine Vielzahl teils sensibler Daten zu verarbeiten gilt.
Als Hilfe für die rechtskonforme Bestellung dieses weiten Felds hat Matthias Ullrich nun das erste umfangreiche Werk zum Beschäftigtendatenschutz der katholischen Kirche vorgelegt: Mit gut 280 Seiten immer noch kompakt, und doch ein umfassender und praxisrelevanter Überblick. Der Band besteht aus vier großen Teilen: Einer Einführung zu Grundlagen des Datenschutzes sowie drei Kapiteln zum Beschäftigtendatenschutz im Einstellungsverfahren, im Arbeitsverhältnis und in der Mitarbeitervertretung.
Grundlagen des Datenschutzrechts
Die Einführung bietet einen guten Überblick sowohl über die kirchliche Datenschutzlandschaft und ihr Verhältnis zum staatlichen Datenschutz wie zu den Grundprinzipien des kirchlichen Datenschutzes. Hier werden wichtige Grundsätze wie Begriffe geklärt. Für Datenschutzbeauftragte ist das zu grundlegend; Zielgruppe hier sind eher Mitarbeitende in Personalabteilungen und Personalverantwortliche. Hilfreich sind dabei wie in den anderen Teilen farblich abgehobene Beispiele, die erkennbar aus dem Alltag gegriffen sind, und mit denen die abstrakten Prinzipien verständlich erläutert werden. Ein eigener Abschnitt über datenschutzrelevante Gesetzesregelungen außerhalb des KDG schließt die Einführung. Hier werden die Vertraulichkeit des nicht öffentlich gesprochen Worts, das Ausspähen von Daten und die Verletzung von Privatgeheimnissen erläutert.
Recht knapp bleibt der Abschnitt über den Beschäftigtenbegriff des KDG: In zwei Randnummern wird auf die ausführliche Begriffsbestimmung im KDG verwiesen (Rn. 73) sowie die Frage besprochen, ob Ehrenamtliche unter den Beschäftigtenbegriff fallen (Rn. 74). Leider bleibt es bei der Erwähnung des Katalogs der Beschäftigten § 4 Nr. 24 KDG. Hier wäre ein Blick auf die Aufnahme von Klerikern und Kirchenbeamten unter die Beschäftigten lohnend gewesen – der besondere Status dieser Gruppen, etwa durch die Geltung der Personalaktenordnung, wird im gesamten Werk nicht thematisiert. Ullrich verneint die Frage nach dem Beschäftigtenstatus von Ehrenamtlichen knapp mit einem Verweis auf das fehlende Über-/Unterordnungsverhältnis, verweist aber auf die gegenteilige Ansicht in Sydows KDG-Kommentar. (Überhaupt sind die Positionen gut mit Fundstellen belegt, und nicht nur an dieser Stelle werden andere Ansichten klar benannt.) Ein genereller Ausschluss aller Ehrenamtlichen vom Beschäftigtenbegriff wirkt angesichts der Vielfalt von Engagement-Arten, von denen einige durchaus beschäftigtenähnliche Züge tragen, etwas pauschal.
Ullrich, der Diözesandatenschutzbeauftragter für die Ost-Bistümer ist, ist bekannt für seine klaren grundrechtlichen Aussagen und eine generelle Sensibilität für Grundrechtsfragen. Das zeigt sich auch im vorliegenden Werk, wenn er etwa einen generellen Ausschluss der Einwilligung im Beschäftigungsverhältnis als »Entmündigung« sieht (Rn. 88; auch Rn. 340, wo vertreten wird, dass eine Einwilligung durch die Verbindung mit Vorteilen zulässig gemacht werden kann) oder wenn das folgende Kapitel programmatisch mit einem Zitat aus der Antrittsrede des Bundespräsidenten Christian Wulff beginnt, der die Frage stellt, wann Menschen im Bewerbungsverfahren gleich behandelt werden, egal ob sie Yilmaz oder Krause heißen.
Beschäftigtendatenschutz im Einstellungsverfahren
Das erste eigentliche Kapitel widmet sich Einstellungsverfahren. Schon der Blick ins gut strukturierte Inhaltsverzeichnis zeigt die große Praxisnähe und Aktualität: Umgang mit Bewerbungsunterlagen, Formen der Bewerbung, Bewerbungen per Video, Background-Checks, Fragerecht und Offenbarungspflicht, Umgang mit Führungszeugnissen, Einstellungsuntersuchungen, besondere Personalauswahlverfahren sowie Datenlöschung und -aufbewahrung werden behandelt.
Ullrich macht hier den nicht mehr explizit im Gesetz auftauchenden Grundsatz der Direkterhebung als Prinzip stark (Rn. 123): »Mit dem Grundsatz von Treu und Glauben wäre es nicht vereinbar, wenn Daten hinter dem Rücken Betroffener eingeholt werden.« Auch wenn das KDG anders als die DSGVO auf »Treu und Glauben« verzichtet, könne man das in der Formulierung von § 7 Abs. 1 lit. a) KDG (»rechtmäßig und nachvollziehbar«) ebenso finden.
Immer wieder zeigt der Autor auf, wie wenig vermeintlich Selbstverständliches in Wirklichkeit erforderlich ist: nicht nur das Bewerbungsfoto, auch das Geschlecht und sogar der Vorname. Hier wird generell dafür plädiert, das gar nicht erst zu verlangen oder zu erheben – gerade mit Blick auf die gewünschte Anrede könnte man hier aber auch in Abwägung verschiedener Grundrechte in Bezug auf das Geschlecht auch zu anderen Ergebnissen kommen und Respekt vor der Geschlechtsidentität durch eine (freiwillige) Abfrage der gewünschten Anrede und Pronomen zeigen. In einem Ausblick spricht Ullrich sich deutlich für anonyme Bewerbungsverfahren aus – auch vor einer gesetzlichen Regelung: »Dienstgeberinnen können sich bereits jetzt durch eine entsprechende Durchführung von Bewerbungsverfahren als innovativ erweisen.« (Rn. 233)
Etwas zu kategorisch wirkt die Position, dass postalische Bewerbungen zwingend zu ermöglichen sind (Rn. 154), damit niemand an elektronischen Verfahren teilnehmen muss. Warum ein rein digitales Verfahren über eine rechtskonforme sichere Plattform nicht zulässig sein soll, erschließt sich nicht; ein Recht auf Analogität kennt das Datenschutzrecht nicht.
Beschäftigtendatenschutz im Arbeitsverhältnis
Das ausführlichste Kapitel widmet sich dem bestehenden Arbeitsverhältnis und deckt alle Stadien von der Aufnahme der Beschäftigung mit der Verpflichtung aufs Datengeheimnis bis zur Datenverarbeitung nach Beendigung ab. Beim Abschnitt zu Personalakten fehlt wiederum jeder Verweis auf die Personalaktenordnung, die für Kleriker und Kirchenbeamte gilt. Ausführlich werden Gesundheitsprüfung und Arbeitsunfähigkeit sowie Auskunftsverlangen der Dienstgeberin behandelt. Hier gelingt Ullrich der Spagat, mit Blick etwa auf den Imfpstatus in der aktuellen Sondersituation verwertbare Informationen zu geben, ohne das im Januar fertiggstellte Buch gleich mit einem Verfallsdatum Mitte März zu versehen.
Ein weiterer großer Teil befasst sich mit technischen und organisatorischen Maßnahmen am Arbeitsplatz, BYOD, mobilem Arbeiten und betrieblicher Kommunikation. Beim letzten Thema wird vor allem auf E-Mail abgehoben, außerdem der sehr spezielle Fall von Mitarbeiter-Apps. Wünschenswert wäre hier noch eine explizite Erwähnung von Kollaborationssoftware wie Teams oder Slack gewesen, sowie die Frage nach dem Einsatz externer Tools wie Doodle sowie die Nutzung von Videokonferenzsystemen in der Kommunikation zwischen verschiedenen Verantwortlichen, zumindest kursorisch.
In diesem Kapitel werden auch Auskunftsansprüche, Haftung für Verstöße und die Zusammenarbeit mit dem betrieblichen Datenschutzbeauftragten und der Aufsicht thematisiert.
Datenschutz und MAV
Noch sind MAVO und Datenschutzrecht nicht übermäßig gut verzahnt, einiges ist gar nicht geregelt. Das Kapitel muss daher mit der grundsätzlichen Erwägung beginnen, ob die MAV ein eigener Verantwortlicher ist. Ullrich schließt sich der herrschenden Meinung und im staatlichen Recht mittlerweile auch festgeschriebenen Position an, dass das nicht so ist. Auch darüber hinaus arbeitet der Autor, der auch regelmäßig in der MAV-Fachzeitschrift ZMV publiziert, sorgfältig heraus, wo es zu Kollisionen zwischen MAVO und KDG kommt und wo Regelungen aus dem BetrVG und Rechtsprechung dazu analog herangezogen werden können. Dabei argumentiert er nicht über die isoliert betrachtet schrankenlose Rechtsgrundlage »anderes Gesetz«, sondern über den bedingten Anwendungsvorrang aus § 2 Abs. 2 KDG, der den Vorrang anderer Gesetze auf die Vereinbarkeit mit dem Datenschutzniveau des KDG verpflichtet – eine grundrechtsschonende Lösung, die allerdings mehr Denkarbeit erfordert als der andere (zweifelhafte, da kaum im Einklang mit der DSGVO stehende) Weg.
Das führt dazu, dass einiges, was die MAVO dem Wortlaut nach weiter erlauben würde, eingeschränkt werden muss – etwa wenn bei Herausgabepflichten und Einsichtsrechten der MAV sicherzustellen ist, dass nur die erforderlichen Informationen herausgegeben werden (z. B. Rn. 620). Das führt aber auch dazu, dass der MAV Rechte zugestanden werden, die so (noch) nicht kodifiziert sind, insbesondere dass ihr Verarbeitungsverzeichnis und Datenschutzfolgenabschätzungen zur Verfügung zu stellen sind, damit sie ihre Kontrollaufgaben wahrnehmen kann (Rn. 610).
Hilfreich ist der Abschnitt über Datenschutz im MAV-Büro, auch wenn manche als notwendig angesehene technische und organisatorische Maßnahmen kaum umsetzbar scheinen wie ein Dokumentenmanagementsystem, das sicherstellt, dass MAV-Mitglieder Protokolle einsehen können, ohne dass sie sie beispielsweise drucken können (Rn. 581). Hier stellt sich die Frage, ob das nicht eine überzogene Forderung ist – schließlich wäre eine Protokollsammlung auf Papier im abgeschlossenen Papierschrank unzweifelhaft zulässig, obwohl es problemlos möglich ist, unerlaubt Kopien anzufertigen.
Den schwierigen Spagat, dass MAVen Teil des Verantwortlichen, aber überwachungs- und weisungsfrei sind, überwindet Ullrich mit der Anforderung, dass die MAV ein Datenschutzkonzept erstellt und dem Dienstgeber auf Anfrage vorzulegen hat; ohne ein derartiges Konzept könne der Dienstgeber die Herausgabe von Informationen an die MAV verweigern. Gerade für kleine MAVen wäre hier eine Vorlage hilfreich mit typischen Verarbeitungsvorgängen – das könnten die Aufsichten leisten.
Fazit
Matthias Ullrich legt ein umfassendes Werk zum Beschäftigtendatenschutz in der katholischen Kirche vor. Die Anschaffung lohnt sich für Personalabteilungen, Datenschutzbeauftragte und MAVen gleichermaßen. Der umfangreiche Literaturapparat, transparente Hinweise auf andere Ansichten und viele Praxisbeispiele tragen zusammen mit dem schlüssigen Aufbau dazu bei, dass man das Werk als Handbuch für den Alltag gut nutzen kann – auf Dienstgeber- wie auf Dienstnehmerseite. Insbesondere der Abschnitt über Datenschutz in der MAV leistet wichtige Grundsatzarbeit, indem dort die komplizierte Verschränkung verschiedener Gesetze und Rechtskreise aufgearbeitet wird.
Eine Einschränkung in der Zielgruppe ist die Beschränkung auf Angestelltenverhältnisse, Kleriker und Kirchenbeamte bleiben außen vor. Das ist im weltlichen Recht schlüssig, mit Blick auf den umfassenden Beschäftigtenbegriff des KDG wäre zumindest ein Hinweis darauf hilfreich gewesen. Angesichts der umfassenden Personalaktenordnung wäre auch hier eine Handreichung ähnlicher Qualität hilfreich. Ebenso unerwähnt bleiben kirchliche Besonderheiten wie Gestellungsverträge und der Einsatz von auf Bistumsebene angestelltem Personal in selbständigen Einrichtungen und Körperschaften.
An der Form kann man eigentlich nur aussetzen, dass ein Handbuch mit so dünnem Paperback schnell zerschlissen sein dürfte. Ansonsten machen Layout, Struktur und die Hervorhebung wichtiger Punkte, ausgewählter Gesetzestexte und von Praxisbeispielen das Werk gut nutzbar. Angenehm ist auch, dass weitgehend in inklusiver Sprache formuliert wird. Für weitere Auflagen könnte man den Nutzwert noch erhöhen, wenn neben einer Synopse von DSGVO und KDG auch noch Musterformulare beispielsweise für die Beteiligung der MAV aufgenommen würden.
Matthias Ullrich, Beschäftigtendatenschutz der katholischen Kirche: Ketteler-Verlag 2022, 287 Seiten, 39,90 Euro.(Affiliate Link)