Auf dem Papier sieht gemeinsame Verantwortlichkeit sehr einfach aus: »Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche«, heißt es in Art. 26 DSGVO, die entsprechenden Normen im KDG und im DSG-EKD sind fast gleichlautend. Nur: Was passiert, wenn die gemeinsamen Verantwortlichen unterschiedlichen Gesetzen unterliegen, also etwa DSGVO und KDG oder KDG und DSG-EKD?
In der aktuellen Ausgabe des Datenschutz-Berater habe ich mich mit dieser Frage beschäftigt: »Verschiedene Gesetze, gemeinsame Verantwortlichkeit – eine ungeklärte Frage im kirchlichen Datenschutz«. Vieles muss dabei vage bleiben, solange Aufsichten und Gerichte sich dazu nicht äußern. Aber immerhin habe ich Strategien entworfen, wie man damit umgehen kann. Hier veröffentliche ich das Fazit und eine Synopse, den vollständigen Artikel gibt es im Heft.
Fazit: Keine befriedigende Lösung, aber Strategien
Es gibt keine befriedigende Lösung, lediglich Abhilfestrategien, um auf der Grundlage der verschiedenen Normen zu handhabbaren Lösungen zu kommen. Immerhin ist die hier vorgestellten Strategie verhältnismäßig einfach umzusetzen: Eine Vergewisserung über Unterschiede der beteiligten Gesetze und eine Entscheidung darüber, wie die jeweils andere Seite damit umzugehen pflegt, dürfte in Verbindung mit einer transparenten Information der Betroffenen über die einschlägigen Gesetze und zuständigen Aufsichten genügen.
Der Mangel an Entscheidungen von Aufsichten und Gerichten ist dabei nicht nur negativ: Zwar fehlt es so an einer herrschenden Meinung. Zugleich zeigt dieses Fehlen aber, dass das Risiko, das aus solchen gemeinsamen Verantwortlichkeiten erwächst, wohl sehr gering ist. Bis es einschlägige Rechtsprechung gibt, vermögen nur die Gesetzgeber eine Lösung zu finden – und das wohl nur in einer konzertierten Aktion, in der EU-Gesetzgeber, nationale und kirchliche Gesetzgeber über die bloße Ermöglichungsnorm von Art. 91 DSGVO hinaus das Phänomen paralleler staatlicher und kirchlicher Datenschutzregime zur Kenntnis nehmen und es konstruktiv gestalten. Die Abwesenheit dieser Themen in Evaluationen und Verbändeanhörungen deutet aber bisher darauf hin, dass das ein frommer Wunsch bleibt.