Seit knapp anderthalb Jahren gibt es das Kirchliche Datenschutzmodell: Die katholischen und evangelischen Datenschutzaufsichten haben das Standard-Datenschutzmodell für die kirchlichen Gesetze KDG und DSG-EKD adaptiert, um im Bereich der Kirchen auf bewährte Methoden zum Datenschutzmanagement zurückgreifen zu können. Auf einer eigenen Webseite findet sich mittlerweile neben dem Modell auch Schulungsmaterial – doch auch damit bleibt das KDM komplex.
Im Interview berichten Boris Reibach und Maria Schumacher, beide auf Datenschutz spezialisierte Rechtsanwält*innen, von ihren Praxiserfahrungen aus anderthalb Jahren Arbeit mit dem KDM – und wie kleinere Vereine und Organisationen ihren Datenschutz gestalten können, ohne gleich ein umfangreiches Datenschutzmodell einzuführen.
Frage: Wozu braucht es denn überhaupt Datenschutzmodelle? Die Gesetze selbst sind doch schon lang genug.
Schumacher: Ein Datenschutzmodell ist eine Methode, ein Werkzeug zur Bewertung von technischen und organisatorischen Maßnahmen (ToMs). Im Datenschutzrecht an sich werden dazu eher abstrakte Vorgaben gemacht, zum Beispiel, dass diese Maßnahmen »angemessen« sein müssen. Was genau »angemessen« bedeutet, finden Sie aber nicht im Gesetz. Ein Datenschutzmodell unterstützt Verantwortliche dabei, abstrakte Vorgaben in konkrete Vorgaben hinsichtlich der einzusetzenden technischen und organisatorischen Maßnahmen zu treffen.
Reibach: Das Datenschutzmodell ist zwar konkreter, aber es ist nicht so konkret, dass es auf Ebene der Einzelmaßnahmen alles ausbuchstabiert: Es gibt Vorgaben zu Virenschutz oder zur Firewall – aber wie oder gar mit welchen Produkten das umzusetzen ist, legt es natürlich nicht fest.
Frage: Warum braucht es neben dem Standard-Datenschutzmodell noch ein eigenes Kirchliches Datenschutzmodell?
Schumacher: Wo es verschiedene Rechtsordnungen gibt, liegt es nahe, dass es verschiedene Modelle gibt, weil unterschiedliche Gesetze auch unterschiedliche Auslegung erfordern. Das Kirchliche Datenschutzmodell hat die Besonderheit, ein einheitliches Modell zur Auslegung der beiden kirchlichen Rechtsordnungen zur Verfügung zu stellen.
Reibach: Man hätte das sicherlich anders machen und auf das normale Standard-Datenschutzmodell verweisen können. Dann müsste man aber immer mit Querverweisen und Analogien arbeiten und erklären, wie die jeweilige Norm im DSG-EKD oder KDG im Vergleich zur DSGVO auszulegen ist. Dann bräuchte man kein eigenes Kirchliches Datenschutzmodell, hätte aber auch nichts gewonnen, weil das sehr umständlich wäre.
Frage: Vergleicht man DSGVO, KDG und DSG-EKD hinsichtlich der Vorgaben zu ToMs, sieht das bis hin zur Formulierung sehr ähnlich aus.
Schumacher: Ja, grundsätzlich unterscheiden sich die Gesetze kaum. Und dementsprechend unterscheidet sich auch das Standard-Datenschutzmodell vom Kirchlichen Datenschutzmodell nur geringfügig, wenn überhaupt. Es gibt kaum Abweichungen, sowohl in den Rechtsordnungen als auch in den Modellen.
Frage: Aber es gibt sie – welche sind das?
Schumacher: Eine zentrale Abweichung, die uns aufgefallen ist, liegt in der Risikobewertung. Bei jeder Verarbeitung muss der Verantwortliche immer bewerten, wie hoch die Risiken für die betroffenen Personen sind. Das Kirchliche Datenschutzmodell hat die Besonderheit, dass es auf eine ausgelagerte Richtlinie zur Risikoanalyse und Risikobehandlung verweist. Darin wird anhand eines konkreten Beispiels erläutert, wie die Risiken für die betroffenen Personen zu ermitteln sind. Konkret wird das anhand des Beispielfalls einer Bildungsdokumentation in einer Kindertageseinrichtung erläutert. So etwas gibt es beim SDM nicht, dort beschränkt man sich auf abstraktere Ausführungen hinsichtlich der Risikobewertung.
Frage: Auch die einzelnen Bausteine des SDM wurden bislang lediglich ins KDM übersetzt. Sind Ihnen in Ihrer Arbeit Situationen begegnet, in denen ein spezifisch auf kirchliche Besonderheiten ausgelegter Baustein gefehlt hat?
Schumacher: Die Bausteine beschreiben nicht spezifische Verarbeitungstätigkeiten, sondern sind auf Verarbeitungsarten bezogen. Zum Beispiel gibt es Bausteine zum Löschen, Protokollieren, Berichtigen oder Archivieren. Das gibt es natürlich alles auch bei den Kirchen. Was in unserer Arbeit fehlt, auch im SDM, ist ein Baustein für das Datenschutzmanagement allgemein. Dazu gibt es zwar schon einen Entwurf, der aber noch nicht finalisiert und veröffentlicht ist. Das ist aber ein elementarer Baustein, weil er das Fundament definiert – und ohne Fundament fällt das Haus zusammen.
Frage: Bei jedem KDM-Baustein findet man eine Standardformulierung: Verantwortlichen Stellen wird stets empfohlen, ein Rechtskataster anzulegen, das auch die einschlägigen kirchlichen Gesetze aufführt. Ist das in der Praxis einfach herauszufinden, welches kirchliche Recht zusätzlich noch gilt?
Schumacher: Nein, das stellt uns in der Tat in der Praxis vor erhebliche Herausforderungen. Da benötigen wir oft umfangreiche Recherchen, vor allem, da es ja in den verschiedenen Diözesen oder Landeskirchen unterschiedliche Regelungen gibt. Und davon gibt es einige: Zum Meldewesen, für die Seelsorge in Krankenhäusern, für kirchliche Schulen oder Archive beispielsweise.
Frage: Wie ist Ihr Eindruck von dieser kirchlichen Rechtslandschaft? Sind die speziellen kirchlichen Normen sehr eigenständig, oder wird hier viel aus dem staatlichen Bereich übernommen?
Schumacher: Natürlich gibt es sehr spezifische Regelungen, etwa im Bereich der Seelsorge oder beim Meldewesen. Aber vieles, das es auch im staatlichen Bereich gibt, ist auch an einschlägige staatliche Normen angelehnt. Das größte Problem ist die Fülle in den verschiedenen Diözesen und Landeskirchen. Der hohe Detailgrad an Regelungen hat außerdem den Nachteil, dass man sich da schnell verlieren kann.
Frage: Die Kirchen sind auch durch viele kleine Einrichtungen geprägt, die oft ehrenamtlich getragen werden. Eignet sich das KDM auch für solche kleinen Stellen, oder wäre es der totale Overkill, zum Beispiel in einem evangelischen Pfadfinderstamm ein Datenschutzmanagement nach KDM einzuführen?
Reibach: Overkill trifft es ganz gut. Das gilt für alle kleinen Einrichtungen, auch für Vereine im weltlichen Bereich. Das KDM ist wie das SDM sehr komplex und bedarf eines hohen personellen Aufwands, um überhaupt nur einzusteigen, die Ziele durchzugehen und die Maßnahmen auszuwählen. Kleine ehrenamtliche Organisationen sollten da lieber nach Alternativen suchen.
Frage: Was wären also Ihre Tipps für unseren Pfadfinderstamm aus dem Beispiel?
Reibach: Der Klassiker ist, dass man bei Null anfängt. Es gibt einfach noch gar nichts im Bereich Datenschutz. Da beginnt man am besten bei den absoluten Basics und stellt eine Datenschutzerklärung zusammen, sorgt für ordentliche Einwilligungserklärungen auf Formularen und schafft bei den Verantwortlichen ein Mindestmaß an Sensibilität. Das wäre das absolute Minimum. Der nächste Schritt ist ein schlankes Datenschutzmanagement-Konzept. Dafür gibt es verschiedene Herangehensweisen. Wir haben bei uns einen Zehn-Punkte-Plan entwickelt, mit dem man einen kleinen Werkzeugkasten bekommt: Einfache Richtlinien, Vorlagen für Dokumente und Formulare, eine einfache Checkliste für technische und organisatorische Maßnahmen, je nachdem, welche Verarbeitungen es im Verein gibt.
Frage: Zehn Punkte sind immer noch viel – die Vorsitzende unseres Pfadfinderstamms hat eh schon zu viele Aufgaben, und jetzt auch noch den Datenschutz. Wo soll sie konkret anfangen?
Reibach: Man muss sich anschauen, was der Verein überhaupt mit personenbezogenen Daten macht, welche Verarbeitungen es gibt und wo die Risiken für Datenpannen liegen. Und dann braucht es ein Konzept, wie man damit umgeht, wenn etwas passiert. Der zweite wichtige Punkt ist der Außenauftritt, also alles, womit man in der Öffentlichkeit steht. Das sind Dinge wie die Datenschutzerklärung auf der Webseite oder die Informationen auf dem Mitgliedsantrag. Man sollte immer besonderes Augenmerk auf alles legen, was auch Aufsichtsbehörden und Dritte ohne weiteres sehen können. Das muss sauber sein. Das dritte ist eine rudimentäre Datenschutzorganisation. Es muss klar sein, wer für was zuständig ist, und worauf diese Person besonders achten muss. Wenn man diese drei Punkte erledigt hat, hat man schon einen ganz guten Grundstock.