Das neue DSG-EKD tritt am 1. Mai in Kraft – das ist zu tun

Schreiben Sie eine Antwort

Alles neu macht der Mai: Am 1. Mai tritt das novellierte DSG-EKD in Kraft. Die Veränderungen, die hier schon auf Grundlage des Referentenentwurfs und des Synodenantrags diskutiert wurden, sind umfangreich, aber mehr Evolution als Revolution.

Eine Checkliste mit der Überschrift »DSG-EKD – 1. Mai 2025« liegt vor einer digitalen Ausgabe des EKD-Amtsblatts
Die Checkliste zur Umsetzung der Änderungen sollte einigermaßen kompakt bleiben können.

Dennoch gibt es neben Klarstellungen, Anpassungen an den Sprachgebrauch der DSGVO und Formulierungsänderungen auch substantielle Änderungen, die es umzusetzen gilt. Den Text des neuen DSG-EKD gibt es in der EKD-Rechtssammlung.

Inhalte Verbergen
1 Änderungen bei Rechtsgrundlagen
1.1 Interessenabwägungen
1.2 Einwilligungen Minderjähriger
2 Zweckänderung und Offenlegung
3 Betroffenenrechte
3.1 Informationspflichten
3.2 Auskunftsrecht
4 Automatisierte Entscheidungsfindung
5 Modelle der Zusammenarbeit
5.1 Auftragsverarbeitung
5.2 Zentrale Verfahren
6 Örtlich Beauftragte für den Datenschutz
7 Besondere Verarbeitungssituationen
7.1 Beschäftigtendatenschutz
7.2 Mitgliederkommunikation
8 Fazit

Änderungen bei Rechtsgrundlagen

Interessenabwägungen

Bei den beiden alten Interessen-Grundlagen des kirchlichen und des berechtigten Interesses gibt es neben den Betroffenenrechten die wohl für die Praxis bedeutendste Änderung: Das kirchliche Interesse fällt weg, das früher praktisch unbenutzbare berechtigte Interesse mit Besonderheiten wird ersetzt durch eine einheitliche Rechtsgrundlage des berechtigten Interesses, der in der Sache identisch zum berechtigten Interesse in der DSGVO formuliert ist:

die Verarbeitung ist zur Wahrung der berechtigten Interessen der verantwortlichen Stelle oder eines Dritten erforderlich, sofern nicht die Interessen der betroffenen Person, die den Schutz
personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn diese minderjährig ist; (§ 6 Abs. 1 Nr. 4 DSG-EKD)

Von Art. 6 Abs. 1 S. 1 lit. f) DSGVO weicht die Formulierung dahingehend ab, dass von der »verantwortlichen Stelle« statt dem Verantwortlichen die Rede ist, nur auf die Interessen nicht ausdrücklich auf Grundrechte und Grundfreiheiten der betroffenen Person abgehoben wird und klarer von »minderjährig« statt von Kind die Rede ist. In der Anwendung macht das keinen Unterschied. Ein Äquivalent zu Art. 6 Abs. 1 S. 2 DSGVO (dem grundsätzlichen Ausschluss der Rechtsgrundlage für Behörden) gibt es nicht – auf das berechtigte Interesse können sich auch kirchliche Behörden berufen.

Wie in der DSGVO kann einer Verarbeitung auf Grundlage einer Interessenabwägung widersprochen werden; dem Widerspruch muss nicht Folge geleistet werden, wenn die verantwortliche Stelle »zwingende schutzwürdige Gründe« vorweisen kann (§ 25 Abs. 1 DSG-EKD). Bei Direktwerbung für unternehmerische Zwecke gilt das Widerspruchsrecht absolut.

Was jetzt tun tun ist:

  • Verarbeitungsverzeichnisse und Datenschutzinformationen müssen nach Verarbeitungen durchsucht werden, die bisher auf die Rechtsgrundlagen Nr. 4 (kirchliches Interesse), Nr. 8 (berechtigtes Interesse) oder Nr. 4 in Kombination mit Nr. 8 (Nachbau des berechtigten Interesses nach DSGVO) aufbauen. Hier wird nun einheitlich auf Nr. 4 verwiesen.
  • Sollte im Fall von Nr. 4 a. F. (kirchliches Interesse) bislang keine Interessenabwägung dokumentiert sein, muss eine Abwägung ergänzt werden.

Einwilligungen Minderjähriger

§ 12 DSG-EKD regelt nun nicht mehr allein Einwilligungen Minderjähriger (wie Art. 8 DSGVO) in Bezug auf elektronische Angebote, sondern alle Einwilligungen Minderjähriger. Damit gibt es im DSG-EKD nun eine klare Regelung, wann Minderjährige selbst einwilligen können, und wann es die Sorgeberechtigten tun müssen. Die Altersgrenze ist die Religionsmündigkeit, also 14 Jahre. Unter 14 Jahren müssen die Sorgeberechtigten entweder selbst die Einwilligung erteilen oder der Einwilligung des Kindes zustimmen. Im Kontext kirchlicher Präventions- oder Beratungsdienste können auch Jüngere ohne Eltern allein einwilligen.

Was jetzt tun tun ist:

  • Wenn bislang Einwilligungen von Unter-14-jährigen allein eingeholt wurden, muss jetzt sichergestellt werden, dass die Zustimmung oder Einwilligung der Sorgeberechtigten erfolgt.
  • Alleinige Einwilligungen Unter-14-jähriger dürften mit Inkrafttreten des neuen DSG-EKD ihre Gültigkeit verlieren, sollten also nach den neuen Bedingungen neu eingeholt werden.

Zweckänderung und Offenlegung

§§ 7–9 DSG-EKD zur Zweckänderung und Offenlegung an kirchliche, öffentliche und sonstige Stellen wurden im Text umfangreich geändert. Im wesentlichen wurden die Regelungen aber beibehalten, systematisiert und Doppelungen gestrichen.

Was jetzt tun tun ist: Durch die umfangreichen Änderungen sollten Zweckänderungen und Offenlegungen im Verarbeitungsverzeichnis daraufhin überprüft werden, ob die Verweise noch stimmen.

Betroffenenrechte

Bei den Betroffenenrechten war das alte DSG-EKD sehr eigenständig und blieb dabei oft hinter dem Schutzniveau der DSGVO zurück. Das hat sich mit der Novelle deutlich geändert. Für Verantwortliche bringt das aber auch Arbeit mit sich.

Informationspflichten

Eine Eigenheit des DSG-EKD ist weggefallen: Früher mussten Informationen erst »auf Verlangen«, nicht wie in der DSGVO zum Zeitpunkt der Erhebung zur Verfügung gestellt werden. Die neue Formulierung weicht immer noch von der DSGVO ab. Während es in Art. 13 Abs. 1 DSGVO »teilt … mit« heißt, steht in § 17 DSG-EKD nun »eröffnet … Zugang«. Im Vergleich zur DSGVO wird außerdem spezifiziert, dass diese Information »in geeigneter und angemessener Weise« stattzufinden hat.

Was genau der beabsichtigte Unterschied zwischen mitteilen und Zugang eröffnen ist, geht aus der Antragsbegründung nicht umfassend hervor; indirekt kann man es wohl aus diesem Satz daraus erschließen: »Praxistaugliche Lösungen können dadurch gefunden werden, dass es zentrale Datenschutzinformationen auf der Webseite gibt.« Gemeint ist also wohl, dass die Informationen nicht sofort mitgeteilt werden müssen, sondern nur schon zum Zeitpunkt der Erhebung zugänglich sein müssen.

Wenn automatisierte Verfahren eingesetzt werden, ist über diese zu informieren (§ 17 Abs. 5 DSG-EKD).

Auch die wesentlichen Informationen über Vereinbarungen zur gemeinsamen Verantwortlichkeit ist jetzt nicht erst auf Verlangen zu informieren (§ 29 Abs. 2 DSG-EKD).

Was jetzt tun tun ist:

  • Wer bisher zu Verarbeitungen nicht von vornherein Datenschutzinformationen zur Verfügung gestellt hat, muss sie nun zusammenstellen und in geeigneter und angemessener Weise Zugang zu ihnen eröffnen – also beispielsweise durch eine Veröffentlichung auf der Webseite und einem Link an der Stelle, wo die Daten erhoben werden.
  • In den Informationen sind eventuell verwendete automatisierte Verfahren zu nennen.
  • Die wesentlichen Informationen über Vereinbarungen zur gemeinsamen Verantwortlichkeit gehören zu den Pflichtinformationen.

Auskunftsrecht

Die Fristen, binnen derer Auskünfte erteilt werden müssen, wurden an die DSGVO angenähert. Auskünfte sind künftig »unverzüglich, in jedem Fall innerhalb von drei Monaten« zu erteilen, eine Möglichkeit um eine Verlängerung auf insgesamt fünf Monate gibt es nicht mehr (§ 16 Abs. 3 DSG-EKD).

§ 19 Abs. 1 DSG-EKD ist nun wie in der DSGVO zweistufig aufgebaut (1. liegen Daten von mir vor, und 2. was sind diese Daten) und spricht von einem Recht, ohne das an einen (bisher auch nicht formal näher bestimmten) Antrag zu knüpfen. Durch das zweistufige Verfahren besteht auch ausdrücklich ein Recht auf Negativauskunft (nein, wir haben keine Daten von dir).

Zu informieren ist jetzt auch über automatisierte Verarbeitungen (§ 19 Abs. 1N r. 8 DSG-EKD) und die verwendeten geeigneten Garantien bei Drittstaatentransfers (§ 19 Abs. 2 DSG-EKD).

Wird eine Auskunft aus den in § 19 Abs. 3 DSG-EKD genannten Gründen abgelehnt, ist die Ablehnung jetzt zu begründen.

Ausdrücklich wird in § 19 Abs. 4 DSG-EKD das Recht auf Kopie normiert.

Was jetzt tun tun ist:

  • Das Verfahren für Auskünfte muss so aufgestellt sein, dass Auskünfte tatsächlich unverzüglich erteilt werden können und die Drei-Monats-Frist nicht gerissen wird.
  • Die Abläufe beim Auskunftsverfahren müssen so angepasst werden, dass auch eine Negativauskunft vorgesehen wird, wenn das bisher nicht der Fall war. In der Praxis dürfte sich in den meisten Fällen nichts ändern, da auch ohne explizite Regelung wohl regelmäßig Negativauskünfte erteilt wurden, schon um zu dokumentieren, dass man die Anfrage bearbeitet hat.
  • Textbausteine für automatisierte Verarbeitungen und geeignete Garantien sollten vorgehalten werden, falls das einschlägig ist.
  • Auch für die Ablehnung von Auskünften braucht es Textbausteine.
  • Ein Verfahren zur Erfüllung des Rechts auf Kopie (dazu gehört ein Verfahren, wie Daten Dritter anonymisiert werden) ist festzulegen.

Automatisierte Entscheidungsfindung

Verfahren zur automatisierten Entscheidungsfindung wurden im wesentlichen identisch zur DSGVO im neuen DSG-EKD geregelt und damit bei der Informationspflicht und beim Auskunftsrecht ergänzt. Ein neuer § 25a DSG-EKD benennt die spezifischen Rechte in solchen Fällen, nämlich das Recht, nicht ausschließlich auf Grundlage solcher Entscheidungen beurteilt zu werden, außer in definierten Ausnahmefällen.

Was jetzt tun tun ist: Kommen automatisierte Entscheidungsfindungen einschließlich Profiling zum Einsatz, müssen sie gemäß § 25a DSG-EKD gestaltet werden, insbesondere müssen geeignete Maßnahmen zum Schutz der Rechte der betroffenen Personen festgelegt werden.

Modelle der Zusammenarbeit

Auftragsverarbeitung

Für AV-Verträge genügt nun die Textform (§ 30 Abs. 3 DSG-EKD), die Schriftform (und damit die Form bestehender Verträge) ist damit aber weiterhin erfasst.

Grundsätzlich ist Auftragsverarbeitung wesentlich einfacher geworden: Der nichtkirchliche Auftragsverarbeiter muss sich nicht mehr der kirchlichen Aufsicht unterwerfen, AV-Verträge mit ihm dürfen sich weiterhin an Art. 28 DSGVO orientieren, die verantwortliche Stelle muss aber nicht mehr explizit sicherstellen, dass sich der Auftragsverarbeiter am DSG-EKD oder gleichwertigen Bestimmungen orientiert.

Was jetzt tun tun ist: Bestehende AV-Verträge können weiterverwendet werden. Bei neuen AV-Verträgen mit nichtkirchlichen Auftragsverarbeitern können einfach die Muster nach DSGVO ohne Modifikationen verwendet werden.

Zentrale Verfahren

Mit Inkrafttreten der Novelle können kirchliche Gesetzgeber zentrale Verfahren definieren, die die Verteilung der datenschutzrechtlichen Aufgaben, Befugnisse und Verantwortlichkeiten zwischen den beteiligten verantwortlichen Stellen abweichend von den üblichen Regelungen festlegen (§ 30a). Bisher gibt es noch keine solchen festgelegten Verfahren.

Was jetzt tun tun ist: Erst einmal nichts – aber wahrscheinlich werden bald die ersten zentralen Verfahren definiert. Man sollte also die Augen aufhalten, ob die neue Regelung relevant wird: Sobald ein zentrales Verfahren einschlägig wird, muss man im eigenen Datenschutzkonzept darauf reagieren. Mit gewisser Wahrscheinlichkeit wird es dabei um die Einführung von Softwarelösungen auf Landeskirchenebene gehen, die in Gemeinden und Einrichtungen genutzt werden.

Örtlich Beauftragte für den Datenschutz

Der Begriff des Betriebsbeauftragten fällt weg, alle heißen jetzt einheitlich »örtlich Beauftragte«; wie im BDSG wurde die Zahl der mit der Datenverarbeitung (jetzt aber: nur noch der automatisierten) betrauten auf 20 Personen statt 10 erhöht (§ 36 Abs. 1 DSG-EKD).

Bestehende Bestellungen bleiben bestehen, auch wenn Menschen unter dem Titel Betriebsbeauftragte bestellt wurden oder die Stelle unter 20 Personen mit der Datenverarbeitung betraut.

Was jetzt tun tun ist:

  • Für neue Berufungen wird der Titel Betriebsbeauftragte nicht mehr verwendet.
  • Ob bei Wegfall der Bestellpflicht durch Unterschreiten der neuen Grenze von 20 Personen ein berufener öBfD abberufen werden kann, ist wie im BDSG noch ungeklärt. Wie im BDSG gibt es aber keinen ausdrücklichen Vertrauensschutz für bereits bestellte Beauftragte, was für die Möglichkeit einer Abberufung spricht. (Ob das klug ist, ist eine andere Frage – die Datenschutzpflichten bleiben bestehen, und warum auf die Expertise von eingearbeiteten öBfD verzichten?)

Besondere Verarbeitungssituationen

Beschäftigtendatenschutz

Für Einwilligungen genügt nun die Textform (§ 49 Abs. 3 DSG-EKD). Bestehende Einwilligungen in Schriftform bleiben natürlich bestehen.

Was jetzt tun tun ist: Wenn Verarbeitungen von Beschäftigtendaten bislang auf eine Einwilligung gestützt werden, kann man prüfen, ob und wie die Einwilligung künftig in Textform eingeholt werden kann.

Mitgliederkommunikation

Ein neuer § 50b DSG-EKD regelt die Mitgliederkommunikation. Darauf berufen können sich ausschließlich die kirchlichen juristischen Personen des öffentlichen Rechts, also insbesondere Landeskirchen und Gemeinden.

Neben der allgemeinen Rechtsgrundlage in Abs. 1 regelt Abs. 2, dass die gemeindebezogene Offenlegung anlässlich von Amtshandlungen und Jubiläen zulässig ist, sofern nicht widersprochen wurde. »Gemeindebezogen« soll die Abkündigung im Gottesdienst erfassen, nicht aber Online-Veröffentlichungen. Hier braucht es weiterhin eine Einwilligung.

Nach Abs. 3 ist Werbung für Spenden (sowohl Zeit- als auch Geld- und Sachspenden) zulässig, wenn nicht widersprochen wurde.

Was jetzt tun tun ist:

  • Die Regelung dürfte im wesentlichen für Rechtsklarheit sorgen und die bestehende Praxis nun auch explizit absichern. In Verarbeitungsverzeichnissen und Datenschutzinformationen sollte die neue Rechtsgrundlage bei entsprechenden Verarbeitungen aufgenommen werden.
  • Im Gemeindebrief und auf Spendenbriefen sollte auf das Widerspruchsrecht hingewiesen werden.

Fazit

Das DSG-EKD wurde an sehr vielen Stellen teils sehr kleinteilig geändert. Wenn aber bisher schon ein gutes Datenschutzkonzept bestand, dürften die nötigen Änderungen allesamt machbar sein.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert