Im Herbst soll die Synode der EKD eine Reform des DSG-EKD beschließen. Offiziell ist aus dem Evaluierungsprozess bisher wenig bekannt, seit vergangenem Spätjahr immerhin der Fahrplan für die Evaluierung. Für März wurde damals das Stellungnahmeverfahren angekündigt. Tatsächlich läuft das Verfahren auf Grundlage eines Referent*innen-Entwurfs, der leider nicht offiziell veröffentlicht wurde. Mir wurde der Entwurf zur Änderung des DSG-EKD zugespielt – in den zehn Seiten findet sich einiges, was zu erwarten war, aber auch die eine oder andere Überraschung.
Die Reform hat eine klare Stoßrichtung: Größere Annäherung ans staatliche Datenschutzrecht bei gleichzeitiger Bewahrung der Eigenständigkeit des DSG-EKD, die schon immer größer war als bei seinem katholischen Pendant. Erfreulich ist, dass die Änderungen eine bessere Handhabbarkeit und größtenteils ein gestiegenes Schutzniveau für Betroffene versprechen. Nach dem Beschluss durch die Herbst-Synode soll das erneuerte DSG-EKD zum 1. Mai 2025 in Kraft treten.
Entwurf und Synopse
Die Reform wird in Form eines Änderungsgesetzes eingebracht. Eine Synopse, eine konsolidierte Fassung liegen mir – falls es sie gibt – ebenso wenig vor wie Begründungen für die Änderungen. (Um die Quellen zu schützen, habe ich den mir vorliegenden Entwurf selbst eingescannt, aus der Datei können also keine Rückschlüsse auf die Quellen gezogen werden.)
Um die Liste der Änderungen handhabbarer zu machen, habe ich eine konsolidierte Fassung mit sichtbaren Änderungen angefertigt. Beides gibt es hier zum Download:
- Kirchengesetz zur 3. Änderung des EKD-Datenschutzgesetzes (Stand: 13. März 2024)
- Konsolidierte Fassung der geplanten Änderungen des DSG-EKD
Neue Begriffsbestimmungen
In § 4 wird der Begriff der »rassischen« Herkunft aus der Definition der besonderen Kategorien gestrichen, künftig taucht nur noch die ethnische Herkunft auf. Damit knüpft der Entwurf an die Diskussion über die Entfernung des Begriffs der »Rasse« aus dem Grundgesetz an. Praktisch dürfte die Änderung keine Auswirkungen haben.
Der Begriff des »Verantwortlichen« wird enger an der DSGVO definiert, so dass nun nicht mehr von »natürliche oder juristische Person, kirchliche Stelle im Sinne von § 2 Absatz 1 Satz 1 oder sonstige Stelle« die Rede ist, sondern von »natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle«.
Aus der DSGVO entnommen ist die bisher fehlende Definition von »Unternehmensgruppe«.
Kirchliche und öffentliche Interessen
Rechtsgrundlage »berechtigtes Interesse«
Eines der ganz großen Probleme des bisherigen DSG-EKD soll behoben werden: Bislang gibt es die Rechtsgrundlage des kirchlichen Interesses sowie die des berechtigten Interesses, bei dem allerdings die Interessen der verantwortlichen Stelle nicht abwägungsrelevant sind.
Der Entwurf wählt hier eine konsequente Lösung: Die Rechtsgrundlage der Erforderlichkeit »für die Wahrnehmung einer sonstigen Aufgabe […], die im kirchlichen Interesse liegt«, wird durch eine mit dem berechtigten Interesse der DSGVO wortgleichen Rechtsgrundlage ersetzt (§ 6 Abs. 1 Nr. 4 DSG-EKD), das bisherige berechtigte Interesse (Nr. 8) wird gestrichen. Alle kirchlichen Stellen können sich auf die neue Rechtsgrundlage berufen.
Das ist eine deutlich bessere Lösung als bisher im KDG: Dort gibt es zwei Rechtsgrundlagen, nämlich das nebulöse kirchliche Interesse und das DSGVO-analoge berechtigte Interesse, das allerdings öffentlich-rechtlich verfasste Verantwortliche in Erfüllung ihrer Aufgaben nicht anwenden können – das ist eine klare Fehlkonstruktion des KDG, weil körperschaftliche Verantwortliche staatsanalog gedacht werden. In der DSGVO ist diese Einschränkung aufgrund der Gesetzmäßigkeit der Verwaltung sinnvoll (»nichts ohne Gesetz«, Behörden haben keine Interessen), für grundrechtsberechtigte kirchliche Körperschaften gilt das nicht – und bringt enorme Probleme mit sich, wenn man sich etwa als Pfarrei nicht auf ein berechtigtes Interesse für die Fotos im Pfarrblatt berufen kann.
Interesse und Auftrag der Kirche
Ein Problem des bisherigen DSG-EKD ist, dass an einigen Stellen einfach »öffentliches« durch »kirchliches« Interesse ersetzt wurde, auch wo es nicht unbedingt sinnvoll war. An einigen Stellen wird daher dem kirchlichen Interesse auch noch das öffentliche zur Seite gestellt.
Gleichzeitig wurden Ausnahmen zum Institutionenschutz abgebaut. So wird etwa die Informationspflicht bei mittelbarer Erhebung nicht mehr ausgeschlossen, wenn durch die Auskunft die Wahrnehmung des Auftrags der Kirche gefährdet wird. Diese Änderungen deuten darauf hin, dass der Beitrag von Hendrik Munsonius zur Evaluierung Wirkung erzielt hat.
Weitgehende Neuregelung von Offenlegung
Die Offenlegung an kirchliche oder öffentliche Stellen (§ 8) und sonstige Stellen (§ 9) werden weitreichend neu geregelt. Anstatt in diesen Normen zu definieren, wann eine Offenlegung zulässig ist, wird nun stattdessen die Verantwortung für die Rechtmäßigkeit der Offenlegung nach den allgemeinen Regeln der §§ 6 (Rechtgrundlagen) und 7 (Zweckänderung) bestimmt. Das führt zu einem etwas kürzeren und verständlicheren Normtext.
Betroffenenrechte
Neben dem berechtigten Interesse sind die Änderungen bei den Betroffenenrechten die relevantesten. Hier gibt es zwei große Punkte, die bisher stark kritisiert wurden: der Zeitpunkt der Information und das Recht auf Kopie. Beides nähert sich nun der DSGVO deutlich an.
Ein Ärgernis war bislang, dass kirchliche Stellen sehr lange Zeit hatten für die Auskunft: Statt ein Monat mit der Option auf eine Verlängerung auf insgesamt drei Monate wie in Art. 12 Abs. 3 DSGVO sieht das DSG-EKD bisher drei plus zwei Monate vor. Die Neuregelung verlangt nun von Verantwortlichen, »unverzüglich, in jedem Fall innerhalb von drei Monaten« Auskunft zu erteilen. Damit ist die Höchstdauer der DSGVO angeglichen, gleichzeitig bleibt bei den Verantwortlichen eine gewisse Flexibilität, auf Modalitäten zur Verlängerung braucht man gar nicht einzugehen.
Die Informationspflicht bei unmittelbarer Datenerhebung soll nun nicht mehr »auf Verlangen«, sondern wie in der DSGVO »zum Zeitpunkt der Erhebung« erfolgen – vorbei also die Zeiten, in denen etwa Datenschutzinformationen auf evangelischen Webseiten nicht nötig waren.
Neu geregelt ist das bisher im Wortlaut fehlende Recht auf Kopie.
Einschränkungen der Auskunftsrechte zum Schutz der Wahrung des kirchlichen Auftrags fallen weg. Neu sind Einschränkungen des Auskunftsrechts, wenn bei Auskünften über archivarische oder statistische Verwendung ein unverhältnismäßiger Aufwand entstünde, und wenn große Mengen an Daten verarbeitet werden, kann die verantwortliche Stelle verlangen, dass die betroffene Person präzisiert, auf welche Informationen und Verarbeitungen sich ihr Auskunftsersuchen bezieht. Wie in der DSGVO ist das Auskunftsrecht nun zweistufig: zunächst hat die betroffene Person das Recht, eine Bestätigung über eine eventuelle Datenverarbeitung zu erhalten, wenn das der Fall ist, besteht das Auskunftsrecht. Das dürfte man im Kontext der Regelung der Spezifizierung bei großen Datenmengen heranziehen können, so dass zunächst eine Bestätigung eingeholt wird, was grundsätzlich da ist, und die Beauskunftung dann im zweiten Schritt auf die gewünschten Sektoren bezogen ausgeübt wird.
Beim Widerspruch gibt es nun auch ein absolutes Widerspruchsrecht gegen Direktmarketing (anders als im KDG und wie in der DSGVO wird Fundraising nicht eigens benannt). Auf das Widerspruchsrecht muss spätestens bei der ersten Kommunikation hingewiesen werden.
Zusammenarbeit mit anderen Stellen
Gemeinsame Verantwortlichkeit
Leider gibt es auch weiter keine klaren Regeln darüber, wie gemeinsame Verantwortlichkeit von Verantwortlichen, die verschiedenen Gesetzen unterliegen, geregelt wird. (Die von mir formulierten Faustregeln sind also weiterhin aktuell.) In § 29 wurden nur die Wörter »auf Verlangen« gestrichen, das Wesentliche der Vereinbarung über die gemeinsame Verantwortlichkeit muss nun also Betroffenen von Anfang an zur Verfügung gestellt werden.
Auftragsverarbeitung
Die Unterwerfungserklärung gab es im Gesetzestext zwar bisher auch nicht, aber den Passus, dass sich der Auftragsvearbeiter der kirchlichen Datenschutzaufsicht »unterwirft«. Dieser Satz soll gestrichen werden. Auftragsverarbeitung mit nicht-kirchlichen Auftragsverarbeitern wird damit deutlich einfacher – sogar deren Standard-AV-Verträge können genutzt werden: »Sofern die kirchlichen Datenschutzbestimmungen auf den Auftragsverarbeiter keine Anwendung finden, dürfen sich abweichend von Absatz 3 die Vertragsinhalte an Artikel 28 EU-Datenschutz-Grundverordnung orientieren.«
Zentrale IT-Verfahren
Ein neuer § 30a ermöglicht es der EKD, Gliedkirchen und deren Zusammenschlüsse, die Verteilung von datenschutzrechtlichen Aufgaben, Befugnissen und Verantwortlichkeiten zwischen den beteiligten verantwortlichen Stellen festzulegen, ohne dass dabei eine gemeinsame Verantwortlichkeit oder eine Auftragsverarbeitung herangezogen werden muss.
Aufsicht
Die Datenschutzaufsicht hat künftig die Aufgabe, Datenschutzrecht (dem Wortlaut nach nicht mehr nur kirchliches) »zu überwachen und durchzusetzen«, nicht mehr nur »zu überwachen und sicherzustellen«. Gestrichen wurden die Daten, die dem Post- und Fernmeldegeheimnis unterliegen, aus der Liste der Daten, die nicht der Prüfung durch die Aufsicht unterliegen. Im BDSG (§ 16 Abs. 3) wird dazu das Post- und Fernmeldegeheimnis aus Art. 10 GG explizit eingeschränkt und eine Erlaubnisnorm zur Aufsicht aufgestellt. Inwiefern die Streichung dann überhaupt Auswirkungen hat (möglicherweise reagiert sie auf das TTDSG und die dort der Aufsicht zugeteilten Aufgaben), ist daher noch unklar.
Der Höchstsatz für Geldbußen wird von 500.000 Euro auf 6 Millionen Euro deutlich hochgesetzt. Der mögliche Empfängerkreis bleibt aber gleich – weiterhin gibt es Bußen nur für kirchliche Stellen, wenn sie als Unternehmen am Wettbewerb teilnehmen.
Der Zugang zum Gericht wird beschleunigt: Bei einer Klage gegen Entscheidungen der Datenschutzaufsicht wird ein Vorverfahren ausgeschlossen. Bisher ist noch eines vorgeschrieben, ebenso bei Klagen gegen kirchliche Stellen – die werden nun beim Vorverfahren nicht mehr erwähnt, es muss also das einschlägige Verfahrensrecht geprüft werden, wenn man gegen Verantwortliche oder Auftragsverarbeiter klagt.
Neue Regelungen für spezifische Verarbeitungssituationen
Eine Stärke des DSG-EKD war von Anfang an, eigene Normen für spezifisch kirchliche Verarbeitungssituationen aufzustellen, etwa für das Streaming von kirchlichen Veranstaltungen. 2021 kam ein neuer § 50a zur Verarbeitung für systemische Aufarbeitung von Missbrauch dazu, nun werden 50b und c ergänzt. § 50c ist keine spezifisch kirchliche Verarbeitung, sondern ergänzt Regeln zum Profiling, die bisher fehlten – auch bei den Betroffenenrechten wurden die Rechte zum Profiling nachgetragen.
§ 50b ist dagegen wieder kirchliches Sondergut: eine Norm für die Mitgliederkommunikation. Kirchliche Körperschaften dürfen ihre Mitgliederdaten zur Mitgliederkommunikation verwenden, ein Widerspruchsrecht besteht. Außerdem dürfen Amtshandlungen gemeindeintern offengelegt werden, solange nicht widersprochen wird – die Abkündigung der Taufen und Heiraten sind also zulässig, die Veröffentlichung auf der Webseite oder in der Zeitung wird von der Rechtsgrundlage nicht abgedeckt.
Bei der Streaming-Norm erfasst der Wortlaut weiterhin Aufzeichnung und Übertragung kirchlicher Veranstaltungen. Das war bislang zulässig, wenn über Art und Umfang von Aufzeichnung und Übertragung geeignet informiert wurde. Nur diese zweite Aufzählung wird nun auch um »Veröffentlichung« ergänzt – warum nicht auch die eigentliche Erlaubnisnorm um diesen Tatbestand ergänzt wird, ist unklar. Leider gibt es auch weiterhin kein Widerspruchsrecht oder die Pflicht, aufzeichnungsfreie Bereiche auszuweisen.
Kleinere Änderungen
- Die Einwilligung Minderjähriger wird nun nicht nur – wie in der DSGVO – in Bezug auf elektronische Angebote definiert, stattdessen werden diese Regeln nun auf alle Einwilligungen Minderjähriger ausgeweitet.
- Die Änderung der Überschrift (Nr. 11a) von § 12 ist fehlerhaft, die gewollte Überschrift geht aus dem geänderten Inhaltsverzeichnis hervor und lautet »Einwilligung Minderjähriger«
- Wie im BDSG wird der Grenzwert für die Bestellung von örtlichen Beauftragten nun von zehn auf zwanzig Personen hochgesetzt, es ist nun einheitlich von örtlich Beauftragten für den Datenschutz die Rede, die Bezeichnung »Betriebsbeauftragte« wird gestrichen.
- Der umfassend neu formulierte § 50 bezieht sich nun auch auf Archive, nicht mehr nur auf wissenschaftliche und statistische Zwecke.
- Das bewährte Mittel des Bürokratieabbaus, »Schriftform« durch »Textform« zu ersetzen, wird angewandt. Jetzt gibt es im DSG-EKD nur noch drei Anlässe, in denen es der Schriftform bedarf: die Verpflichtung auf das Datengeheimnis, die Bestellung von örtlich Beauftragten sowie die Einwilligung in die Weiterverwendung von medizinischen und psychologischen Daten von Beschäftigten.
- Die Begrifflichkeiten wurden aktualisiert; an einigen Stellen gab es noch Terminologie aus BDSG-Zeiten, in der verschiedene Verarbeitungsvorgänge aufgezählt werden (z. B. »Speicherung oder Verwendung«). Hier wird nun der neue und umfassende Begriff der »Verarbeitung« gewählt.
- Die Evaluierungsklausel wird ersatzlos gestrichen, eine weitere formale Evaluierung ist also im Gesetz nicht mehr vorgesehen.
Fazit
Der Referent*innen-Entwurf macht einen guten Eindruck: Keine Revolution, stattdessen wurden die großen Kritikpunkte berücksichtigt. Für Verantwortliche wird mit einem DSGVO-gemäßen berechtigten Interesse und der Rechtsgrundlage für Mitgliederkommunikation vieles einfacher, Betroffene genießen ein deutlich besseres Schutzniveau. Sehr erfreulich ist, dass der Schutz des kirchlichen Auftrags als schwammige Generalausnahmeklausel fallen soll.
Leider wurde die gemeinsame Verantwortlichkeit nicht angepackt: Hier wäre es dringend nötig, Normen für die Zusammenarbeit mit Verantwortlichen aus anderen Gesetzesrahmen aufzustellen. Ansonsten fehlt aber kein großer Punkt.
Spannend wird sein, ob die Verbesserungen für Betroffene das Stellungnahmeverfahren überleben: Schon bei der Gesetzgebung für das 2018 in Kraft getretene derzeitige DSG-EKD sollen es die landeskirchlichen Verwaltungen gewesen sein, die verantwortlichenfreundliche Regelungen wie lange Fristen und Information nur auf Verlangen ins Gesetz gebracht haben.
Schade ist, dass die Veröffentlichung des Entwurfs nur durch ein Leak möglich wurde – es würde den Kirchen gut anstehen, schon im Gesetzgebungsprozess transparent zu sein. Das trüge erheblich zur Glaubwürdigkeit bei – und sicher auch zur Qualität der Gesetze. Denn bei den Synoden selbst wird selten noch Substantielles geändert.
Vielen Dank!
Ja da wird ein Satz aus der Präambel in den ersten §§ verschoben. Damit wird der kirchliche Auftrag zum Dreh- und Angelpunkt des Gesetzes. Das heißt im Klartext, daß neben der Prüfung der Zweckbindung und der Rechmäßigkeit auch der Einklang mit dem kirchlichen Auftrag zu prüfen ist.
Dieser Begriff ist rechtlich nirgends definiert, sondern man findet Definitionsansätze in der Theologie.
Ist der Begriff eng oder weit auszulegen? Da fehlt hier einfach zu viel Substanz.
Diese Änderung finde ich auch nicht gelungen, weil völlig unklar ist, was sie eigentlich regeln soll. Der einschlägige Aufsatz von Munsonius erklärt auch nicht, was die Änderung soll.