Das Katholische Datenschutzzentrum Dortmund hat eine neue Satzung. Die alte war ein wenig in die Jahre gekommen – seit 2015 ist sie unverändert in Kraft. Seither ist viel passiert: Vor allem natürlich die große Datenschutzreform 2018, die bislang noch gar nicht nachvollzogen war. Dazu kommt aber auch deutliche Kritik an der Konstruktion, den Verwaltungsrat der Aufsicht mit den Diözesanbischöfen zu besetzen, die die Aufsicht beaufsichtigen soll.

Nach fast zehn Jahren haben die nordrhein-westfälischen Diözesanbischöfe ihre Datenschutzaufsicht nun auf eine punktuell angepasste neue Grundlage gestellt. Die Aufsicht selbst stapelt eher tief und spricht von »kleinere[n] Anpassungen an die praktischen Erfahrungen der letzten Jahre«. Im Detail zeigt sich aber, dass zumindest Teile der Kritik gehört wurden.

Die neue Satzung wurde zuerst im aktuellen Amtsblatt des Bistums Essen veröffentlicht. Die alte Fassung findet sich im Ministerialblatt NRW.

Allgemeine Prinzipien

• Als das KDSZ Dortmund 2015 errichtet wurde, galt noch die KDO. Alle Normverweise und die Terminologie wurden nun aufs KDG angepasst.
• Die Präambel erhält einen programmatischen Einstieg (»Aufgabe des Datenschutzes ist es, die Grundrechte und Grundfreiheiten natürlicher Personen […] zu schützen.) und wird aus dem Europarecht heraus begründet, das 2015 noch keine so ausdrückliche Grundlage für kirchliches Datenschutzrecht wie Art. 91 DSGVO hatte.
• Kirchenrechtliche Sprache wird präziser verwendet: Bisher war von »(Erz-)Bischöfen« die Rede, wo (jetzt konsequent so formuliert) »Diözesanbischöfe« gemeint sind – mit der Problematik, dass zu den »(Erz-)Bischöfen von Aachen, Essen …« auch die Weihbischöfe gehören, die aber dem Ziel nach wohl nicht dem Verwaltungsrat angehören sollten. Anstatt für den Fall der Vakanz eines Bischofsstuhls vom »Diözesanadministrator« zu sprechen, hebt die Satzung nun auf den rechtmäßigen Interimsleiter ab (der auch ein Apostolischer Administrator sein kann).
• Digitalisierung hält Einzug in der Satzung: Dass »Schriftform« in »Textform« (hier in der Satzung in der Formulierung »textlich (Brief, Telefax, E-Mail)«) geändert wird, ist bei Revisionen von Normtexten heute so selbstverständlich wie ausdrücklich digital vermittelte Sitzungen (hier »virtuelle« genannt) zu ermöglichen.
• Inklusive Sprache hält Einzug: Die alte Satzung hatte noch eine Fußnote, die das verwendete Maskulinum als generisch erklärte, in der neuen wird konsequent auf Beidnennung umgestellt. Das ist bisweilen etwas unelegant: Grundsätzlich gehören dem Verwaltungsrat die Diözesanbischöfe an, die nur Männer sein können, die allerdings jeweils auch eine Person – gleich welchen Geschlechts – als ständige Vertretung benennen können. Aus seiner Mitte wählt der Verwaltungsrat einen Vorsitz. In § 6 Abs. 2 wurde für die Wahl des Vorsitzes nach dem rein maskulin formulierten Fall des Fehlens einer ständigen Vertretung für den Fall der dauerhaften Vertretung eine Variante mit inklusiver Sprache ergänzt, ohne dass sich materiell etwas an der Stellung des Vorsitzes ändert – eine zugleich inklusive wie sprachökonomische Formulierung wäre ohne Probleme möglich gewesen.

Kirchliches Recht

Das KDSZ Dortmund ist zwar eine kirchliche Einrichtung, hat aber keine kanonische Rechtspersönlichkeit und ist lediglich nach staatlichem Recht eine Körperschaft. Damit gilt kirchliches Recht nicht unmittelbar, sondern nur durch Verweisung. Bisher (§ 1 Abs. 4f. Satzung a.F.) wurden nur die Grundordnung des kirchlichen Dienstes und das kirchliche Datenschutzrecht in der Fassung des Belegbistums (also Paderborn) in Bezug genommen.

Neu ist nun (§ 4 Abs. 4), dass kirchliches Recht generell gilt (wiederum das Paderborner Partikularrecht), insbesondere aber Grundordnung und Datenschutzrecht sowie die Interventions- und Präventionsordnung. Relevant ist das beispielsweise dadurch, dass nun auch die Kirchliche Archivordnung für die Aufsicht gilt.

Verwaltungsrat

Vertretungsregelung

Die Möglichkeit, dass sich Diözesanbischöfe im Verwaltungsrat für den Einzelfall oder dauerhaft vertreten lassen können, wurde neu eingeführt (§ 6 Abs. 1). An die Vertretungen werden keine besonderen Anforderungen geknüpft, sie kann also auch von Lai*innen wahrgenommen werden. Klargestellt wurde, dass die zur Geschäftsführung des Verwaltungsrats bestellte Person nicht selbst Mitglied sein muss (§ 6 Abs. 5).

Stärkung der Unabhängigkeit des*der Diözesandatenschutzbeauftragten

Einige Formulierungen betonen die Unabhängigkeit des*der Diözesandatenschutzbeauftragten im Vergleich zu den Formulierungen zuvor, allerdings ohne substantiell etwas zu ändern. Statt »unter Wahrung der […] Unabhängigkeit« nimmt der Verwaltungsrat seine Aufgaben nun »unter Wahrung der […] organisatorischen und sachlichen Unabhängigkeit« des*der DDSB wahr.

Der*die Vorsitzende des Verwaltungsrats ist weiterhin auch Dienstvorgesetzte*r der Aufsichtsleitung, die Formulierung der Unabhängigkeit ist aber etwas ausführlicher: Zuvor war die »Unabhängigkeit nach den jeweils geltenden Regelungen der KDO zu wahren«, nun heißt es: »Die Dienstaufsicht ist gemäß den Vorgaben des KDG so zu regeln, dass dadurch die Unabhängigkeit des oder der Diözesandatenschutzbeauftragten nicht beeinträchtigt wird.« (§ 7 Abs. 2)

Aufgaben

Besonders relevant sind die Änderungen bei den Aufgaben des Verwaltungsrats. Generell hat der*die Diözesandatenschutzbeauftragte deutlich mehr Freiheiten, die Arbeitsweise und das Personal seiner Behörde zu gestalten. Mehrere Aufgaben des Verwaltungsrats wurden gestrichen:

• eine Geschäftsordnung für die Aufsicht zu erlassen (§ 7 Abs. 1 lit. c) a.F.)
• der Beschluss eines »Entscheidungsvorschlags zur Herstellung des Einvernehmens für die Bestellung des Vertreters des Diözesandatenschutzbeauftragten« (§ 7 Abs. 1 lit. e) a.F.).
• die Beratung vor der Einstellung von Mitarbeitenden (§ 7 Abs. 1 lit. g) a.F.).

Die Änderungen wurden durch § 43 KDG nötig, der eine starke Unabhängigkeit des*der Diözesandatenschutzbeauftragten festschreibt und mit dem die drei gestrichenen Aufgaben des Verwaltungsrats nicht vereinbar sind: die Ausübung der Tätigkeit »in organisatorischer und sachlicher Unabhängigkeit« (Abs. 1, damit wird die Fremdbestimmung einer Geschäftsordnung unzulässig) sowie die eigenständige Auswahl von Personal (Abs. 5) und Benennung einer Vertretung (Abs. 8). Nunmehr nimmt der Verwaltungsrat nur noch die Information über die Einstellung neuer Mitarbeitender entgegen (§ 7 Abs. 1 lit. f)).

Fazit

Die kleineren Änderungen scheinen durchweg sinnvoll: Digitalere Arbeitsweise ermöglichen, Vertretungsregelungen schaffen, kirchenrechtlich präzise formulieren, inklusive Sprache verwenden. Hätte man das nicht geändert, hätten sich die Diözesanbischöfe lediglich selbst ein Bein gestellt.

Die größeren Änderungen waren dagegen dringend nötig: Mit Inkrafttreten des KDG enthielt die Satzung des KDSZ Dortmund einige Regelungen, die nicht mit dem kirchlichen Datenschutzrecht zu vereinbaren waren. Das war insbesondere deshalb prekär, weil es für die Gestaltung der Datenschutzaufsicht gemäß Art. 91 Abs. 2 DSGVO keinen Spielraum gibt – spezifische Aufsichten müssen denselben hohen Standards genügen wie staatliche.

Einige der Kritikpunkte, die der DDSB der Ost-Bistümer Matthias Ullrich hier in einem pointierten Meinungsbeitrag vertreten hat, sind damit erledigt. Sein größter Kritikpunkt bleibt aber bestehen: Der Verwaltungsrat besteht aus den Diözesanbischöfen. Ullrich hat dabei von einer »Verwaltung der Aufsicht durch die Beaufsichtigten« gesprochen und diese Konstruktion als europarechtswidrig eingeschätzt. Dennoch bleibt sie so bestehen – die Möglichkeit, sich dauerhaft vertreten zu lassen, ändert daran wenig.