Vom 10.–13. November tagt die EKD-Synode in Würzburg. Auf der Tagesordnung: das Kirchengesetz zur 3. Änderung des EKD-Datenschutzgesetzes (DSG-EKD) – sechs Jahre nach Inkrafttreten des evangelischen Datenschutzgesetzes wird es erstmals umfassend novelliert.
Im April konnte ich bereits den ansonsten geheimgehaltenen Referentenentwurf veröffentlichen und analysieren. Nun liegt mir die Drucksache XIII / 1 (Stand: 30. September/1. Oktober) vor, mit der die Änderung in die Synode eingebracht wird. Offiziell gilt eine Sperrfrist bis zum Aufruf des Tagesordnungspunkts, mir wurden die Unterlagen dennoch bereits jetzt zugespielt.
Begründung
Anders als beim Referentenentwurf gibt es zum Synoden-Antrag auch eine umfangreiche Begründung, die nicht nur die Änderungen erläutert, die am Ende im Antrag gelandet sind, sondern auch auf einige Rückmeldungen eingeht.
Zielsetzung
Ziel der Novelle ist es laut dem Entwurf, das DSG-EKD »behutsam fort[zuschreiben]« und »gleichzeitig auf Formulierungen der DS-GVO zu[zugehen]« – oder in vollendeter Antragsprosa: »Die Doppelbewegung hin zur Plausibilisierung des Einklangs und zur Stärkung kirchlicher Spezifika ist die Kernidee dieser Novellierung.«
- Als Annäherungen an die DSGVO werden hervorgehoben: »die Überarbeitung der Betroffenenrechte, des Widerspruchsrechts, die Einfügung des § 25a [automatisierte Entscheidungen] und die Anpassung der Bußgeldvorschrift«.
- Zu den kirchlichen Spezifika werden gezählt: »§ 6 Rechtmäßigkeit der Verarbeitung, die Offenlegungsparagrafen (§§ 8 und 9) und § 50 (Verarbeitung personenbezogener Daten zu Archivzwecken, Forschungszwecken und zu statistischen Zwecken). Die Unterwerfung von Auftragsverarbeitern unter die kirchliche Aufsicht in § 30 Absatz 5 wird gestrichen. Es werden auch neue kirchliche Besonderheiten abgebildet. So wird mit § 30a eine Regelung für zentrale IT-Verfahren und mit § 50b eine Norm zur Mitgliederkommunikation geschaffen.«
Schon aus diesen Formulierungen wird deutlich, dass der schon ursprünglich verfolgte sehr eigenständige Weg in der Datenschutzgesetzgebung fortgeführt wird. (Insofern ist der evangelische Gesetzgeber, nimmt er die Änderungen an, weiterhin ambitionierter als die katholischen es sind, deren KDG sich viel stärker an DSGVO und BDSG anlehnt.)
Stellungnahmeverfahren
Drei Themen werden bei den Rückmeldungen herausgehoben:
- die Frage nach der Annäherung an die DSGVO – hier gab es auch Stimmen, die sich nicht dafür ausgesprochen haben.
- kirchliches Sondergut – die neuen Normen § 50a (Mitgliederkommunikation) und § 30a (Zentrale Verfahren), die schon im Referentenentwurf vorgeschlagen wurden, werden begrüßt, sie wurden aber noch modifiziert.
- Forderungen nach Öffnungsklauseln: die Evangelische Kirche im Rheinland und die Lippische Landeskirche haben sich Öffnungsklauseln gewünscht, um zum einen zu ermöglichen, sich der staatlichen statt der kirchlichen Aufsicht zu unterstellen, und zum anderen ganz aus dem DSG-EKD auszusteigen. Das wurde nicht aufgenommen.
Bemerkenswert ist die Argumentation für die Öffnungsklauseln:
»In Anbetracht des dramatischen Rückgangs an Kirchenmitgliedern und Ressourcen müssten an vielen Stellen früher getroffene Grundsatzentscheidungen überprüft werden. Unter dem Stichwort des „Leichten Gepäckes“ wird genannt, dass der Verzicht auf die Doppelung staatlicher Vorschriften die Arbeitsentlastung fördere. Es sei von Interesse, ob das Vorhalten einer eigenen kirchlichen Datenschutzaufsicht teurer und aufwendiger sei, als sich der auf staatlicher Seite vorzuhaltenden Datenschutzaufsicht zu unterstellen. Prüffrage sei, ob die Bundesländer bereit seien, diese Aufgabe zu übernehmen und kirchliche Spezifika zu beachten. Die Frage des Verzichts auf Staatsanalogie sei auch grundsätzlich hinsichtlich eines eigenen kirchlichen Datenschutzrechts zu stellen. Bei den Kosten eines eigenen Datenschutzrechts sei auch der Rechtssetzungsaufwand zu nennen.«
Ablelehnt wurde dieser Wunsch mit mehreren Argumenten: »effektive Mitgliederkommunikation, die Digitalisierung kirchlichen Handels, ein gemeinsamer Rahmen für die institutionelle Aufarbeitung sexualisierter Gewalt, die Berücksichtigung der gesamten kirchlichen Rechtsordnung, sowie eine Aufsichtsstruktur der kurzen Wege«.
Bemerkenswert offen wird als Risiko benannt, dass bei der anstehenden BDSG-Reform körperschaftlich verfasste Religionsgemeinschaften analog zu nicht-öffentlichen Stellen behandelt werden – also auch mit Bußgeldern belegt werden können.
Einzelne Änderungen
Im Vergleich zum Referentenentwurf hat sich nichts wesentliches geändert. Die wirklich wichtigen Veränderungen haben Bestand.
- Am wichtigsten ist die Neuordnung der Interessens-Rechtsgrundlagen. Wie im Referentenentwurf gibt es nur noch das berechtigte Interesse wie in der DSGVO, das unklare kirchliche Interesse und das unbrauchbare berechtigte Interesse ohne Berücksichtigung der Interessen der verantwortlichen Stelle werden gestrichen.
- Auch die sinnvolle Ausweitung der Regeln für die Einwilligung Minderjähriger in Bezug auf elektronische Angebote auf alle Einwilligungen Minderjähriger wird wie im Referentenentwurf beibehalten.
- Die Betroffenenrechte werden wie ursprünglich schon vorgeschlagen stärker an die DSGVO angepasst: Kürzere Fristen für Verantwortliche, Informationen nicht erst auf Verlangen, Regeln für automatisierte Verarbeitungen, die Aufnahme eines Rechts auf Kopie, weniger Einschränkungen aufgrund von kirchlichem Interesse und weitere Detailangleichungen. Schlechter gestellt sind Betroffene beim Widerspruchsrecht: Das ist nicht mehr unbedingt, stattdessen kann der Verantwortliche wie in der DSGVO überwiegende Gründe für die weitere Verarbeitung trotz Widerspruch anführen, außer bei Direktwerbung, wo wie in der DSGVO ein unbedingtes Widerspruchsrecht besteht.
- Die Unterwerfungserklärung bei der Auftragsverarbeitung bleibt gestrichen: »Bei etlichen Auftragsverarbeitern war die Unterwerfung nicht realisierbar. Die Auftragsverarbeiter können auch nicht zur Unterwerfung gezwungen werden; es blieben damit ggf. marktgängige und geeignete Produkte für Kirche und Diakonie unzugänglich.«
- Stark überarbeitet werden weiterhin die Rechtmäßigkeit der Zweckänderung, die Offenlegung an kirchliche oder öffentliche sowie an sonstige Stellen, die Verarbeitung zu Archiv-, Forschungs- und statistischen Zwecken, außerdem werden Regelungen zu automatisierten Verfahren eingeführt
- Festgehalten wird daran, an manchen Stellen von kirchlicher Stelle statt von verantwortlicher Stelle zu sprechen. Aus der Erläuterung »Es geht um die Organisation und nicht um die verantwortliche Stelle.« wird mir zumindest nicht deutlich, warum das gemacht wird, knüpft doch das Datenschutzrecht immer an der verantwortlichen Stelle an. (Es klingt ein wenig, als wolle man hier die Unterscheidung von Rechtsträger und Einrichtung aus dem Arbeitsrecht übernehmen, nur warum ist unklar.)
- Die Bestellungsgrenze für örtliche Beauftragte wird von 10 auf 20 Personen erhöht. Die Erläuterung für die Unterschiede zur Formulierung im BDSG ist sehr aufschlussreich: Hier wird betont, dass die Formulierung »mit der Verarbeitung […] betraut sind« auch Ehrenamtliche und nicht nur (wie in der dort vertretenen Lesart des BDSG) Beschäftigte umfasst.
- Trotz Kritik aus der Diakonie bleibt es dabei: Die Bußgeldgrenze soll auf 6 Millionen Euro angehoben werden.
- Bei der Rechtsgrundlage für das Streaming von Gottesdiensten und kirchlichen Veranstaltungen wurde die Formulierung präzisiert, so dass klar ist, dass auch eine nachträgliche Veröffentlichung von Aufnahmen zulässig ist.
- Die Zeitschiene bleibt: Das neue Gesetz soll am 1. Mai 2025 in Kraft treten.
Neue kirchliche Spezifika
Zwei neue Normen regeln kirchliche Spezifika: § 30a definiert zentrale Verfahren, die innerkirchliche Zusammenarbeit erleichtern, § 50b die Mitgliederkommunikation.
Zentrale Verfahren
Anders als im Entwurf sind die zentralen Verfahren nun nicht mehr nur auf IT-Verfahren beschränkt. Aufgrund dieser Norm werden kirchliche Gesetzgeber ermächtigt, für zentrale Verfahren mit mehreren (kirchlichen) Beteiligten »die Verteilung der datenschutzrechtlichen Aufgaben, Befugnisse und Verantwortlichkeiten zwischen den beteiligten verantwortlichen Stellen fest[zu]legen«.
Mitgliederkommunikation
Die wohl größten Änderungen zum Referentenentwurf betreffen die neue Rechtsgrundlage für die Mitgliederkommunikation:
§ 50a Referentenentwurf | § 50a Synodenantrag |
---|---|
(1) Die kirchlichen Körperschaften dürfen Kontaktdaten ihrer Mitglieder zur Mitgliederkommunikation verarbeiten, soweit ein Widerspruch dem nicht entgegensteht. | (1) Die kirchlichen juristischen Personen des öffentlichen Rechts verarbeiten Meldedaten und kirchliche Daten des Gemeindegliederverzeichnisses zur Erfüllung ihrer Aufgaben, ins- besondere um gruppen- oder personenbezogen mit den Mitgliedern zu kommunizieren. Dies schließt die Nutzung von Kommunikationsdaten ein, soweit ein Widerspruch dem nicht entgegensteht. |
(2) Die gemeindeinterne Offenlegung personenbezogener Daten anlässlich von Amtshandlungen ist zulässig, soweit ein Widerspruch dem nicht entgegensteht. | (2) Die gemeindebezogene Offenlegung personenbezogener Daten anlässlich von Amtshandlungen und Jubiläen ist zulässig, soweit ein Widerspruch dem nicht entgegensteht. |
(3) Die Verarbeitung nach Absatz 1 kann mit dem Werben um persönlichen und finanziellen Einsatz für kirchliche und diakonische Zwecke (Fundraising) verbunden werden, soweit ein Widerspruch dem nicht entgegensteht. |
- Erfreulich ist, dass der interpretationsoffene Begriff der »kirchlichen Körperschaften«, die sich auf die Norm berufen können, durch das eindeutige »kirchliche juristische Personen des öffentlichen Rechts« ersetzt wurden.
- Spezifiziert wurden die Daten, um die es geht: aus »Kontaktdaten ihrer Mitglieder« wird »Meldedaten und kirchliche Daten des Gemeindegliederverzeichnisses«.
- Es heißt auch nicht mehr allgemein »Mitgliederkommunikation«, sondern Verarbeitung »zur Erfüllung ihrer Aufgaben, insbesondere um gruppen- oder personenbezogen mit den Mitgliedern zu kommunizieren«.
- Weiterhin gibt es ein unbedingtes Widerspruchsrecht, allerdings nur für die Kommunikation, nicht für die Aufgabenerfüllung allgemein.
- Zu den Amtshandlungen kommen nun auch Jubiläen, die nun nicht mehr nur »gemeindeintern«, sondern weiter formuliert »gemeindebezogen« veröffentlicht werden dürfen (damit ist wohl eine Veröffentlichung des Gemeindebriefs im Internet oder im Schaukasten abgedeckt).
- Ein neuer Absatz 3 erlaubt ausdrücklich, mit der Mitgliederkommunikation auch ein »Werben um persönlichen und finanziellen Einsatz« zu verbinden. Auch hier gibt es ein Widerspruchsrecht.
Was immer noch fehlt
Leider fehlt der große Wurf bei der gemeinsamen Verantwortlichkeit – aber immerhin wird die Problematik von gemeinsamen Verantwortlichen, die unterschiedlichen Datenschutzgesetzen unterliegen, thematisiert:
»Im Stellungnahmeverfahren wurde angemerkt, dass § 29 nicht kläre, wie eine Vereinbarung zur gemeinsamen Verantwortlichkeit konkret aussieht, wenn gemeinsam verantwortliche Stellen unterschiedliche Gesetze (DS-GVO, KDG, DSG-EKD) anwenden. Dieser Punkt wurde hiernach noch einmal in der Arbeitsgruppe beraten. Es sollte nicht versucht werden, im Wege eine Kollisionsnorm diese Frage zu lösen. Wichtig ist, dass jeder Träger darauf achte, dass die eigenen materiell-rechtlichen Voraussetzungen Berücksichtigung finden. Eine Möglichkeit ist zudem, z.B. in einer katholisch-evangelischen Vereinbarung, sowohl das KDG als auch das DSG-EKD an den passenden Stellen zu zitieren.«
Die Streamingnorm muss weiterhin ohne Bedingungen auskommen. Darauf geht die Begründung aber ein:
»Nicht Eingang gefunden haben hingegen Verweise auf die Grundsätze des § 5 und des § 27 dieses Gesetzes oder auf das besonders schutzwürdige Interesse an der unbeeinträchtigten Teil- nahme am Gottesdienst oder eine Regelung, wonach die Vornahme der Kasualien nur mit Einwilli- gung der Betroffenen aufgezeichnet, übertragen oder veröffentlicht werden darf. Durch Auslegung konnten seit Inkrafttreten des DSG-EKD adäquate Lösungen gefunden werden.«
Fazit
Im Vergleich zum Referentenentwurf wurden nur noch Details verändert; vieles, was damals noch kritisch war, ist verbessert worden. Wenn die Synode das Änderungsgesetz so beschließt, kann man die Evaluation als gelungen bewerten. Die EKD ginge damit voran, wo die katholische Kirche immer noch nicht vorankommt. (Beratend war der Verband der Diözesen Deutschlands in der Arbeitsgruppe zum DSG-EKD vertreten – es gibt also Hoffnung, dass die katholische Kirche von der Schwester lernt.)
Schade ist, dass die große Frage der gemeinsamen Verantwortlichkeit immer noch nicht im Recht geklärt wird – hier hätte man den Gesetzesanweder*innen mehr entgegen kommen können. Immerhin liegt nun mit der Begründung der (Nicht-)Änderung eine Äußerung des Gesetzgebers vor, die in der Auslegung berücksichtigt werden kann.
Sicher ist nach der Evaluation vor allem: Es bleibt erst einmal beim kirchlichen Datenschutz – auch wenn es Stimmen unter den Gliedkirchen gibt, die sich für einen Ausstieg aus dem Sonderweg und den Einstieg in die DSGVO aussprechen. Diese Kritik hat nun auch endlich dazu geführt, dass es klare Äußerungen gibt, warum man als Kirche überhaupt diesen Sonderweg gehen will. Die Formel von der »Doppelbewegung hin zur Plausibilisierung des Einklangs und zur Stärkung kirchlicher Spezifika« ist jedenfalls überzeugender als die selbstbezügliche Argumentation, dass man eigenes Recht setzt, weil man eigenes Recht setzen kann.