Evaluierung des EKD-Datenschutzgesetzes – ein alternativer Vorschlag

Schreiben Sie eine Antwort

Die aktuelle Evaluierung des DSG-EKD soll im Folgenden dafür genutzt werden, unbefangen (und unbesorgt um Fragen der Durchsetzbarkeit oder Opportunität) einige mögliche Änderungen darzustellen.

Rotstift am DSG-EKD
Rotstift am DSG-EKD (Montage auf Grundlage von Afthab Ibnu Abbas auf Unsplash)

Hinsichtlich der für Gesetzesänderungen bestehenden Spielräume fußen die hiesigen Überlegungen auf der im vorigen Beitrag dargestellten Überzeugung: Art. 91 DSGVO verlangt mit dem „Einklang“ kirchlicher Datenschutz-Regeln keine Wortlaut- oder Sinn-Identität zur DSGVO, sondern ein nach den Maßstäben der DSGVO „angemessenes“ Datenschutzniveau.

Ein Beitrag zur Evaluierung des DSG-EKD von Ralph Wagner

Inhalte Verbergen
1 Präambel
2 § 2 Anwendungsbereich
3 § 4 Begriffsbestimmungen
4 § 5 Grundsätze
5 § 9 Offenlegung an sonstige Stellen
6 § 12 Einwilligung Minderjähriger in Bezug auf elektronische Angebote
7 § 13 Verarbeitung besonderer Kategorien personenbezogener Daten
8 § 17 Informationspflicht bei unmittelbarer Datenerhebung
9 § 22 Recht auf Einschränkung der Verarbeitung
10 § 36 Bestellung von örtlich Beauftragten für den Datenschutz
11 Fazit und Ausblick

Präambel

Momentan deutet die Präambel (in den Sätzen 2 und 3; Satz 4 künftig wegfallend) auf ein – überzogen formuliert – bloßes „Ausführungsgesetz zur DSGVO. Seltsam ist auch, weshalb die DSGVO als EU-Sekundärrecht sogar vor dem EU-Primärrecht (AEUV) zitiert wird.

Das „schiefe Bild“ wäre „geradegerückt“, wenn vor der DSGVO Art. 17 AEUV, außerdem aber auch Art. 10 Abs. 1 EU-Grundrechts-Charta und Art. 4 Abs. 1 und 2 Grundgesetz Erwähnung fänden. Letzteres vielleicht auch, um anzudeuten, dass nicht jede kirchliche Datenverarbeitung dem EU-Recht unterliegt und die EU ihre Zuständigkeiten von den Mitgliedstaaten (in Deutschland: nach Maßgabe des Grundgesetzes) erhält.

Vorschlag für Satz 2 und 3: „Dieses Recht ist geachtet und festgeschrieben in Artikel 4 und 140 des Grundgesetzes der Bundesrepublik Deutschland, Artikel 10 Abs. 1 der Charta der Grundrechte der Europäischen Union, Artikel 17 des Vertrages über die Arbeitsweise der Europäischen Union sowie Art. 91 und Erwägungsgrund 165 der Verordnung EU 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG. In Wahrnehmung dieses Rechts regelt dieses Kirchengesetz im Einklang mit der Datenschutz-Grundverordnung die Datenverarbeitung im kirchlichen und diakonischen Bereich.“

§ 2 Anwendungsbereich

§ 2 Abs. 2 beschränkt den Anwendungsbereich und lässt Datenverarbeitungen „außen vor“, die nicht in Dateisystemen erfolgen. Das entspricht Art. 2 Abs. 1 DSGVO, aber nicht dem in § 1 genannten Gesetzeszweck: Wenn in einer kirchlichen Verwaltung mündlich tradiert wird, „X ist Alkoholiker“ (oder jemand das auf einen Zettel schreibt und ans schwarze Brett hängt) erwartet X als betroffene Person mit Grund (aber derzeit nicht „zu Recht“), dass der Datenschutz eingreift.

Die aktuelle Einschränkung des sachlichen Anwendungsbereichs wird weder dem Gesetzesziel gerecht, noch ist sie (z.B. in Datenschutz-Schulungen) den Rechtsunterworfenen und Anwendungspflichtigen vermittelbar. Deshalb sollte Absatz 2 gestrichen werden.

§ 4 Begriffsbestimmungen

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; identifizierbar ist eine natürliche Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

In Nr. 1 sind die Worte nach „Identifizierbar ist eine natürliche Person …“ inhaltsleer (auch hier wieder in Parallele zur DSGVO, Art. 4 Nr. 1). Hilfreicher wäre, für die Abgrenzung zwischen Personenbeziehbarkeit und Anonymität die Aussagen aus Erwägungsgrund 26 Satz 3 und 4 DSGVO aufzunehmen. Vorschlag: „Identifizierbarkeit ist zu beurteilen unter Berücksichtigung derjenigen Mittel, über die Verantwortliche verfügen oder die sie sich legal beschaffen können unter Einsatz vorhandener oder beschaffbarer Ressourcen und (je nach Art der Daten auch: absehbar künftig) verfügbarer Technologien.

3. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

Nr. 3 gibt Anlass zur Frage: Kann die Formulierung „den Abgleich“ in irgendeiner Lesart grammatisch richtig sein?

Ansonsten: Das im Datenschutz propagierte Gebot kurzer und verständlicher Formulierungen spräche für die Definition: „Verarbeitungen sind jeder Vorgang und jede Vorgangsreihe, die sich auf personenbezogene Daten auswirken.“

4. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;

Nr. 4: Diese Definition ist sprachlich eindeutig falsch und sollte nicht nur deshalb beibehalten werden, weil sie (einmal mehr) der DSGVO entspricht. Besser wäre, schlicht auf die Definition zu verzichten. Der Begriff „Einschränkung der Verarbeitung“ ist auch ohne Definition verständlich.

§ 5 Grundsätze

Beginnend in § 5 Abs. 1 Nr. 2 und dann (wiederum der DSGVO entlehnt) häufiger wird von „wissenschaftlichen oder historischen Forschungszwecken“ gesprochen. Da die Geschichtswissenschaft anerkanntermaßen zu den Wissenschaften gehört, ist die Formulierung „wissenschaftlich oder/und historisch“ nicht nur überflüssig, sondern falsch. Das „historisch“ sollte entfallen.

Der Grundsatz der „Speicherbegrenzung“ nach Abs. 1 Nr. 5 gehört vollständig zur (in Nr. 3 geregelten) „Datenminimierung“. Es würde genügen, dort vor oder nach dem Wort „soweit“ das „sobald“ zu ergänzen.

Die in Nr. 4 geregelte „Richtigkeit“ wird als Datenschutz-Grundsatz selten hinterfragt. Dies lohnte sich aber: Wenn die Betroffenen über ihre Daten wirklich (in den gesetzlich gezogenen Grenzen) selbst bestimmen dürfen, dann müssen sie sich längst nicht immer für die „Richtigkeit“ ihrer Daten entscheiden. Es genügt, das Betroffenenrecht auf Berichtigung beizubehalten. Ein allgemeiner Datenschutzgrundsatz der „Richtigkeit“ von Daten ist zweifelhaft. (Ein Beispiel dafür ist eine Entscheidung der katholischen Datenschutzgerichtsbarkeit zur Einsicht eines Pfarrers in Corona-Kontaktverfolgungslisten nach Gottesdiensten – hier wurde das Datenschutzniveau mit Verweis auf den Grundsatz der Richtigkeit massiv gesenkt. [Anm. fxn])

Nr. 6 würde inhaltlich gewinnen, wenn (anstelle vollständiger Abschrift der DSGVO) die inhaltlich richtige „Trias der Datensicherheit“ benannt wird: Integrität, Vertraulichkeit und Verfügbarkeit.

§ 9 Offenlegung an sonstige Stellen

Der bisherige Abs. 5 (nach dem hier verfügbaren Entwurfsstand vom 13. 3. 2024 zum Änderungsgesetz künftig § 9 Abs. 2) ist unnötig und falsch. Er sollte deshalb gestrichen werden: Wenn die „datenempfangenden Stellen und Personen“ dem Geltungsbereich des DSG-EKD nicht unterfallen, wirkt die Norm ohnehin nicht. Sind die Empfänger gesetzesunterworfen, haben sie die Vorgaben des DSG-EKD zur korrekten Datenverarbeitung zu erfüllen. Dies mag dann aber (wenn die gesetzlichen Voraussetzungen für eine Zweckänderung vorliegen) durchaus auch die Datenverarbeitung zu anderen Zwecken umfassen, als den ursprünglich vorhandenen und erkennbaren.

§ 12 Einwilligung Minderjähriger in Bezug auf elektronische Angebote

Die Einschränkung der Norm auf „elektronische Angebote“ ist inhaltlich nicht nachvollziehbar. (Natürlich liegt auch hier der Grund wieder in der Übernahme des DSGVO-Vorbilds) Der Text könnte ohne Weiteres verallgemeinert (sogar als Abs. 5 in § 11 eingefügt) werden. Erfreulicherweise sieht dies auch der Entwurf zur Gesetzesänderung vor (unter Beibehaltung der eigenen „Hausnummer 12“).

§ 13 Verarbeitung besonderer Kategorien personenbezogener Daten

§ 13 Abs. 2 DSG-EKD gehört (wie Art. 9 Abs. 2 DSGVO) zu den besonders absurden Bereichen des Datenschutzrechts, wenn man es an den eigenen Ansprüchen der „Verständlichkeit und Transparenz“ misst. Teils sind die Normen derart umständlich formuliert, dass z.B. offenbar selten jemand Folgendes bemerkt: Nach § 13 Abs. 2 Nr. 3 DSG-EKD (= Art. 9 Abs. 2 lit. c DSGVO) wäre die Datenverarbeitung verboten, wenn von ihr das Leben eines anderen Menschen abhängt, die betroffene Person einwilligen kann, aber nicht will.

Klar und verständlich (auch ausreichend) wäre z. B., die Verarbeitung besonderer Kategorien personenbezogener Daten zu erlauben bei

  • Einwilligung der betroffenen Person,
  • gesetzlicher Verpflichtung oder Erlaubnis zur Datenverarbeitung,
  • Notwendigkeit der Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlung der Kirchengerichte im Rahmen ihrer justiziellen Tätigkeit (derzeit Nr. 6).

Das Erfordernis, z. B. bei Verarbeitung auf gesetzlicher Grundlage „spezifische Maßnahmen zur Wahrung der Grundrechte“ etc. vorzunehmen, ist überflüssig, weil das DSG-EKD gerade diese besonderen Schutzvorgaben allgemein (und auch für besondere Kategorien personenbezogener Daten ausreichend) regelt.

§ 17 Informationspflicht bei unmittelbarer Datenerhebung

In diesem Bereich scheint das DSG-EKD leider künftig (zum Nachteil der Rechtsanwender, aber auch der betroffenen Personen) „auf die DSGVO zugehen zu wollen“: Der Entwurf zur Gesetzesänderung mit Stand 13. 3. 2024 sieht vor, dass im Bereich der DSG-EKD (wie gemäß DSGVO) künftig Betroffene immer (auch bei fehlendem Bedarf und sogar gegen eigenen Willen) über Datenverarbeitungen zu informieren sind. Diese (unerbetene, meist langweilige und inhaltslose) „Informationsflut“ gehört sicher zu den Hauptgründen für Datenschutz-Verdruss bei Verantwortlichen und Betroffenen. Es wäre schön, wenn insoweit der kirchliche Datenschutz unverändert bliebe. Die Annäherung zur DSGVO bedeutet Ressourcenverschwendung ohne Gewinn für den Datenschutz. Überlegenswert ist eine Pflicht zur unangeforderten Information Betroffener über solche Datenverarbeitungen, die den Betroffenen unbekannt sind und bei denen ein Informationsinteresse zu vermuten ist.

§ 22 Recht auf Einschränkung der Verarbeitung

In Abs. 1 Nr. 2 und 3 finden sich zwei kuriose (aus der DSGVO übernommene und richtigerweise wohl zu streichende) Fallgestaltungen: Wenn Daten rechtswidrig verarbeitet werden oder die verantwortliche Stelle sie nicht mehr benötigt, soll dennoch auf Wunsch der betroffenen Person eine weitere Speicherung geschuldet sein. Einleuchtender wäre, der betroffenen Person einen Übermittlungsanspruch (Aushändigung einer Kopie) einzuräumen und die Daten anschließend beim Verantwortlichen zu löschen.

§ 36 Bestellung von örtlich Beauftragten für den Datenschutz

Die nach Entwurfsstand vom März 2024 beabsichtigte terminologische Klärung (künftig durchgehend „örtlich Beauftragte“, also Wegfall der zusätzlichen Bezeichnung „Betriebsbeauftragter“) ist erfreulich.

Höchst unerfreulich ist die geplante (dem BDSG folgende) Heraufsetzung der Bestellpflicht von bisher 10 auf künftig 20 datenverarbeitende Personen. Dass für solche Maßnahmen oft bemühte Schlagwort „Bürokratieabbau“ ist jedenfalls dann verfehlt, wenn in derselben Gesetzesnovelle die „ungefragte Datenschutz-Information“ vorgeschrieben wird.

Außerdem ist zu beachten, dass die kirchliche Regelung (anders als DSGVO und BDSG) keine generelle Bestellpflicht bei behördlichen Verantwortlichen (auf den kirchlichen Bereich übertragen ungefähr „die verfasste Kirche“) vorsieht. Der schlichte Verweis auf § 38 Abs. 1 Satz 1 BDSG wird deshalb mit Blick auf Art. 37 Abs. 1 lit a DSGVO nicht genügen. Wenn in anderen Bereichen DSGVO-Normen ungeachtet ihrer inhaltlichen Fragwürdigkeit übernommen werden, um überzogene Vorstellungen des „Einklangs“ zu erfüllen, ist erstaunlich, dass kirchliche Behörden mit z. B. 15 Mitarbeitern ohne örtlich Beauftragten agieren sollen, während die DSGVO schon bei der „Ein-Personen-Behörde“ behördliche Datenschutzbeauftragte zwingend verlangt (Praxis-Beispiel des weltlichen Rechts: Bezirks-Schornsteinfegermeister).

Fazit und Ausblick

Das Datenschutzrecht der Kirche dient kirchlichen Bedürfnissen und Besonderheiten. Daraus ergibt sich zunächst, dass es den spezifischen Bedürfnissen der Kirche genügen muss und ihren Auftrag zu unterstützen hat. Nach hiesiger Auffassung gehört dazu auch, den Datenschutz besser (einfacher, klarer, effizienter) zu gestalten. Dabei wird stets zu entscheiden sein, inwieweit Opportunitäts-Überlegungen (für den Bereich des Datenschutzes ganz konkret: die Bestrebung, Konflikte mit dem EuGH zu vermeiden) Kompromisse verlangen oder sogar die Übernahme „schlechten“ (intransparenten, aufwändigen) staatlichen Rechts rechtfertigen (niemals: erzwingen).

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert