Die KDG-Novelle ist da. Ende November hat der Verband der Diözesen Deutschlands sich auf den neuen Gesetzestext geeinigt, der nun noch von den einzelnen Diözesanbischöfen in Kraft gesetzt werden muss, um wie geplant am 1. März 2026 das bisherige Recht abzulösen.
Im Vergleich zum vor einem Jahr veröffentlichten Anhörungsentwurf wurde noch einiges verändert. Mit dem neuen KDG wurde auch die KDG-DVO reformiert.
Die Normtexte
Beide Normen sind als Lesefassung auf der Webseite des VDD veröffentlicht:
- Gesetz über den Kirchlichen Datenschutz (KDG) in der Fassung des Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 20. November 2017, geändert durch Beschluss der Vollversammlung des Verbandes der Diözesen Deutschlands vom 24. November 2025
- Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) in der Fassung des Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 19. November 2018, geändert durch Beschluss der Vollversammlung des Verbandes der Diözesen Deutschlands vom 24. November 2025
Der Vollversammlung des VDD lag außerdem eine Begründung der Änderungen vor, die bislang nicht veröffentlicht ist, mir aber vorliegt.
Grundprinzipien
Reformziele
Die Begründung des Gesetzesentwurfs gibt die schon bekannte Richtung vor: Es geht nicht allein darum, aus den Erfahrungen mit dem KDG zu lernen. Wie zuvor beim DSG-EKD soll die KDG-Novelle näher ans staatliche Recht und zugleich kirchliche Besonderheiten besser abbilden. Formulierungen wurden an die staatlichen Vorbilder angepasst, Relikte aus dem alten BDSG und der KDO wurden entfernt. (Von ganzen Paragraphen wie bei der Offenlegung bis zu einzelnen Wörtern, wo noch alte spezifischere Terminologie statt dem umfassenden »verarbeiten« verwendet wurde.)
An einigen Stellen wurden zuvor bei der Übersetzung von staatlichem in kirchliches Recht alle Verweise auf gesetzliche Bestimmungen durch »kirchliches Recht« oder ähnlich ersetzt, obwohl allgemein Recht im Blick ist – dem Wortlaut nach hätte man das alte KDG also so auslegen können, dass in manchen Bereichen staatliches Recht nicht zur Anwendung kommen sollte. In der Novelle wird nun konsequent immer von »kirchlichem oder staatlichem oder europäischem Recht« gesprochen (etwa in § 11 Abs. 2 lit. b) KDG).
Mit der Reform wurde außerdem das Ziel geschlechtergerechter Sprache verfolgt, und zwar in Form einer (leider etwas umständlichen) Beidnennung. (Hier hätte den Gesetzgebern (sic!) etwas sprachliche Beratung gutgetan. Das DSG-EKD formuliert deutlich eleganter inklusiv.)
Warum überhaupt kirchliches Datenschutzrecht?
Die Frage, warum die Kirchen überhaupt eigenes Datenschutzrecht setzen, war schon immer prekär. Der wirkliche Grund ist ein historischer Unfall; in den ersten Datenschutzgesetzen hatte man die öffentlich-rechtlich verfassten Kirchen versehentlich vergessen, das wurde später als »beredtes Schweigen« ausgelegt und mit eigenem Datenschutzrecht gefüllt – und das brauchte es, weil die Nutzung staatlicher Meldedaten an ein angemessenes Schutzniveau geknüpft wurde. Jede sachliche Begründung kam später.
Auch wenn der VDD vor Jahren einen Prüfprozess angekündigt hatte, »in welchem Umfang und mit welchem Inhalt die Kirche in Deutschland die grundgesetzlich zugestandenen Autonomiebereiche eigenständig ausfüllen kann«, ist daraus nichts erwachsen. Das kirchliche Datenschutzrecht bleibt, und mit der Begründung des KDG wird eine bemerkenswerte Argumentation nachgeschoben: Ein Verzicht berge die Gefahr, dass die Selbstbestimmungsrechte der Kirche generell infrage gestellt würden. Das Bestehen auf eigenem Recht wird mit der gesellschaftlichen Entwicklung begründet:
»Aber auch in Anbetracht politisch zunehmend volatiler und perspektivisch möglicherweise auch weniger berechenbarer Verhältnisse scheint es kaum opportun, Handlungsspielräume zur Disposition zu stellen, erst recht in Bereichen, in denen andernfalls nicht unerhebliche Eingriffsmöglichkeiten staatlicher Stellen (z. B. der Landesdatenschutzbeauftragten) in kirchliche Binnenbereiche bestünden.«
Eine genuin theologische Begründung, warum es eigenes kirchliches Datenschutzrecht braucht, fehlt weiterhin.
Neue Regelungen im Detail
Präambel mit kirchlichem Recht
In der Präambel wurde ein Bezug zu c. 220 CIC ergänzt, der den guten Ruf und die Intimsphäre schützt. Damit ist erstmals eine Verankerung des KDG im Kirchenrecht gegeben. Im Anhörungsentwurf wurde nur die Intimsphäre genannt, nun wird auf den ganzen Kanon mit der Formulierung der dort »anerkannten Rechte« verwiesen.
Im Vergleich zum Anhörungsentwurf wurde ein Satz ergänzt, der zuvor für den § 1, Zweck, vorgesehen war: Die Verarbeitung personenbezogener Daten durch kirchliche Stellen sei erforderlich, um den »kirchlichen Auftrag« zu erfüllen. Was genau kirchlicher Auftrag ist, wird (bewusst) nicht ausgeführt.
§ 4: Begriffsbestimmungen
- Anders als im DSG-EKD heißt es unter den besonderen Kategorien weiterhin »rassisch und ethnisch« (§ 4 Nr. 2 KDG); im DSG-EKD wurde »rassisch« gestrichen. Eine Abweichung von der Formulierung der DSGVO wurde bewusst vermieden, um keine ungewollten Regelungslücken zu provozieren.
- Bei der Verantwortlichkeit wurde in Nr. 9 eine Bestimmung ergänzt, dass sich die Bestimmung des Verantwortlichen nach staatlichem oder kirchlichem Recht richten kann. Das ist keine eigenständige Neuregelung, sondern greift die Formulierung in Art. 4 Nr. 7 DSGVO auf.
- Zu den Beschäftigten (Nr. 24) kamen neu Leiharbeitnehmer*innen. Die Ehrenamtlichen, die noch im Entwurf ergänzt werden sollten, haben es nicht in die endgültige Version geschafft.
§ 5: Datengeheimnis für Ehrenamtliche
Ein neuer Absatz 2 weitet die Verpflichtung auf das Datengeheimnis auch auf Ehrenamtliche aus, die mit Datenverarbeitung betraut sind.
§ 6 Rechtmäßigkeit der Verarbeitung, § 11 besondere Kategorien
Die einzelnen Rechtsgrundlagen in Absatz 1 werden kaum verändert. Wichtig ist eine Klarstellung in lit. j), der Aufgabenwahrnehmung. Hier ist jetzt eindeutig, dass es nur um eine »Aufgabe des Verantwortlichen« geht, nicht um generell im kirchlichen Interesse liegenden Aufgaben. Weiterhin ist nicht ausformuliert, ob und in welcher Form es dafür eine ausdrückliche Aufgabenzuweisung braucht. Beim berechtigten Interesse (lit. g)) ist weiterhin der unsinnige Anwendungsausschluss für öffentlich-rechtlich verfasste Verantwortliche enthalten, der im kirchlichen Kontext keinen Sinn ergibt: Öffentlich-rechtlich verfasste kirchliche Rechtsträger sind, anders als staatliche Behörden, für die das berechtigte Interesse analog ausgeschlossen ist, grundrechtsberechtigt, nicht grundrechtsverpflichtet.
Größere Änderungen gibt es in Absatz 2, der Zweckänderung. Aus § 24 Abs. 1 Nr. 2 BDSG wird die Zweckänderung für die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche ergänzt (lit. f)). Auch zur »institutionellen Aufarbeitung von sexualisierter Gewalt und anderen Formen des Missbrauchs auf der Grundlage kirchlichen Rechts« ist die Zweckänderung nun zulässig (lit. i)). Ebenfalls eine kirchliche Besonderheit stellt die Zulässigkeit der Zweckänderung »zur Vorbereitung, Durchführung und Nachbereitung von Wahlen, insbesondere zu diözesanen, pfarrlichen oder kirchengemeindlichen Gremien« dar (lit. k)). Deutlich ausführlicher wird Absatz 4, der nun den Katalog aus Art. 6 Abs. 4 DSGVO übernimmt, um eine Zweckänderung zu rechtfertigen.
Die alten Absätze 6 und 7 zur Zweckänderung bei besonderen Kategorien fallen weg – damit sind Zweckänderungen für besondere Kategorien nun einheitlich in § 11 geregelt. Dazu wurde dort ein neuer Absatz 5 angefügt.
Bei den besonderen Kategorien wird ebenfalls eine Verwendung zur Aufarbeitung ermöglicht (§ 11 Abs. 2 lit. k)). Etwas befremdlich ist ein sehr weiter und zugleich unbestimmter neuer Grund für die Verarbeitung besonderer Kategorien: »l) die Verarbeitung ist aus Gründen eines erheblichen kirchlichen oder öffentlichen Interesses zwingend erforderlich«. Das greift § 22 Abs. 1 Nr. 1 lit. d) BDSG auf.
§ 7 Grundsätze für die Verarbeitung personenbezogener Daten
In der Sache wird nichts geändert – nur die Fomulierungen werden an die DSGVO angepasst. Insbesondere werden die Kurzbezeichnungen in Klammern mit aufgenommen.
§ 8 Einwilligung
Der wohl größte Kritikpunkt am bisherigen KDG wurde korrigiert: Die grundsätzliche Schriftform bei Einwilligungen ist zugunsten der Regelung der DSGVO Geschichte. Künftig muss zwar weiterhin die Einwilligung nachgewiesen werden können, aber eben nicht grundsätzlich schriftlich – damit ist die Rechtsunsicherheit behoben, was das für reine Online-Prozesse bedeutet, in denen regelmäßig und nicht nur ausnahmsweise Einwilligungen nicht in Schriftform eingeholt wurden.
§§ 9, 10 – Streichung von BDSG-alt- und KDO-Relikten
Eigenständige Regelungen zur »Offenlegung« gibt es künftig nicht mehr. Das waren Übernahmen aus dem vorherigen Recht ohne Parallelen in der DSGVO und im BDSG neu. Die Paragraphen bleiben unbesetzt.
Betroffenenrechte
Im KDG bestand kein großer Bedarf, die Betroffenenrechte zu novellieren. Anders als im DSG-EKD war das KDG hier deutlich näher an den staatlichen Vorbildern.
Wie im BDSG (§ 29 Abs. 2) entfällt die Informationspflicht künftig grundsätzlich bei einer Übermittlung an Berufsgeheimnisträger*innen (§ 15 Abs. 6 KDG).
Erfreulich ist, dass beim Ausschlussgrund für Informationspflichten aufgrund drohender Nachteile für das kirchliche Wohl künftig nur noch »erhebliche« Nachteile zählen (§ 16 Abs. 5 lit. a) lit. (aa) – ob die Umstellung der Numerierung auf vierter Ebene auf Doppelbuchstaben – vorher waren es Zahlen – so glücklich ist, sei dahingestellt.)
Werden Auskünfte nicht an die betroffene Person, sondern an Diözesandatenschutzbeauftragte erteilt, wird die Schweigepflicht dieser nun ausdrücklich normiert (§ 17 Abs. 8 KDG).
Beim Recht auf Berichtigung (§ 19) werden nun die Belange kirchlicher Urkunden und Kirchenbücher aufgenommen. Ein neuer Abs. 5 beschränkt das Recht auf ein Recht auf Ergänzung, »wenn ansonsten der Erhalt oder die Gewährleistung der Nachvollziehbarkeit von Amtshandlungen sowie von Urkunden und vergleichbaren Dokumenten gefährdet würde«. Ausdrücklich werden neben anderen Beispielen Kirchenbücher als Anwendungsbereich angeführt.
Eine ähnliche Beschränkung gibt es beim Recht auf Löschung (§ 20 Abs. 3 lit. f)): Ein neuer Ausschlussgrund »zum Erhalt und zur Gewährleistung der Nachvollziehbarkeit von Amtshandlungen sowie von Urkunden und vergleichbaren Dokumenten« wurde ergänzt.
Beim Widerspruchsrecht (§ 23) wurde der letzte Satz gestrichen, der einen Ausschluss zur Wahrung des zwingenden kirchlichen Interesses von Stellen der verfassten Kirche beinhaltete (Abs. 1). Dafür wurde an Abs. 5 die Bestimmung angehängt, die das Widerspruchsrecht ausschließt, »soweit an der Verarbeitung ein zwingendes kirchliches oder öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt« oder eine Rechtsvorschrift die Verarbeitung vorsieht.
Eine kleine Einfügung stärkt die Unabdingbarkeit von Rechten: Statt einer dem Wortlaut nach eher abgeschlossenen Aufzählung steht dort nun »insbesondere« vor der Aufzählung, so dass klar ist, dass (alle?) Rechte der betroffenen Person unabdingbar sind.
Formen der Zusammenarbeit
Das neue KDG bleibt in den alten Bahnen: Es gibt gemeinsame Verantwortlichkeit und Auftragsverarbeitung. Ein zusätzliches neues Instrument der zentralen Verfahren, wie es im DSG-EKD eingeführt wurde, gibt es nun doch nicht. Der Anhörungsentwurf hatte dafür noch einen neuen § 29a vorgesehen.
§ 28: Gemeinsame Verantwortlichkeit
Der Regelungsgedanke von zentralen Verfahren wird in einer neuen Bestimmung zur gemeinsamen Verantwortlichkeit aufgegriffen. Dort wird nun in den Absätzen 2 und 3 neben der Vereinbarung über gemeinsame Verantwortlichkeit auch eine Regelung über kirchliche Rechtsinstrumente vorgesehen. Interessant ist, dass im Gesetzestext nur kirchliche Rechtsinstrumente genannt werden, in der Begründung aber zusätzlich staatliches und europäisches Recht genannt werden – hier scheint ein Fehler im Gesetzestext zu sein.
Weiterhin ungeregelt bleibt, wie bei gemeinsamer Verantwortlichkeit vorzugehen ist, wenn die beteiligten Verantwortlichen unterschiedlichen Datenschutzregimen unterliegen.
§ 29: Auftragsverarbeitung
Auftragsverarbeitung war in beiden großen kirchlichen Datenschutzgesetzen das Sorgenkind: die gefürchtete Unterwerfungserklärung im DSG-EKD (jetzt weg), die Beschränkung auf den europäischen Wirtschaftsraum im KDG. Auch das ist jetzt Geschichte: Absatz 11, der das Verarbeitungsverbot außerhalb des EWR normiert hate, ist ersatzlos weggefallen. Ebenso fehlt nun der alte Absatz 12, der eine analoge Anwendung der Regeln für Auftragsverarbeitung für Wartungsverträge vorsah.
Im alten § 29 Abs. 9 KDG war für Auftragsverarbeitungsverträge eine schriftliche Abfassung vorgesehen, »was auch in einem elektronischen Format erfolgen kann«. für die Ersetzung durch Textform wurde ausdrücklich auf §§ 126ff. BGB verwiesen. (Verweise auf fortfolgende Paragraphen sind nicht die Krone der Legistik – ist damit bis § 126b oder bis 127 BGB gemeint?) Nun wird der eindeutige Begriff »Schriftform« gewählt und die Ersetzung so formuliert: »Maßgeblich für die Ersetzung der Schriftform durch die elektronische Form oder die Textform sind die jeweils geltenden staatlichen Regelungen.« Diese Formulierung ist mehrdeutig: Heißt das, dass eine Ersetzung der Schriftform dann möglich ist, wenn es ein staatliches Gesetz erlaubt? Ist das ein Freibrief, nun entweder die elektronische Form nach § 126a oder die Textform nach § 126b zu erlauben? Verständlicher wäre gewesen, gleich die Textform ausdrücklich zuzulassen (wenn das denn gemeint war). Die Begründung geht darauf nicht ein.
§ 36: Betriebliche Datenschutzbeauftragte
Künftig sind bBDSB ab 20 statt 10 mit der Verarbeitung befassten Personen (also auch Ehrenamtliche) zu bestellen (Abs. 2 lit. a)), und es wird ausdrücklich geregelt, dass auch juristische Personen bestellt werden können (Abs. 5).
Die Inkompatibilitäten wurden schärfer gefasst: Leitungen von Einrichtungen oder der Datenverarbeitung dürfen nun nicht zu bDSB bestellt werden, vorher war es eine Soll-Regelung. Die Interessenkonflikte wurden neu formuliert: Andere Aufgaben und Pflichten dürfen »nicht so ausgestaltet oder umfangreich« (vorher nur »umfangreich«), dass bDSB ihren Aufgaben »nicht unabhängig bzw. umgehend« (vorher nur »umgehend«) nachgehen können. Eine ausdrückliche Regelung, ob das für MAV-Vorsitzende oder schon einfache Mitglieder greift, fehlt weiterhin – angesichts der klaren Ausschlussregelungen im ersten Satz ist das dem Wortlaut nach nicht zwingend.
Übermittlung an den Heiligen Stuhl und den Vatikan
An mehreren Stellen wurden bei Regelungen mit Drittlandbezug ausdrücklich nichtstaatliche Völkerrechtssubjekte als mögliche Empfänger aufgenommen. Das ist für den kirchlichen Bereich besonders relevant, weil mit dem Heiligen Stuhl und dem Malteserorden zwei der drei anerkannten nichtstaatlichen Völkerrechtssubjekte katholisch sind. (Das dritte ist das Internationale Komitee vom Roten Kreuz – dorthin sind auch Datenflüsse von caritativen Verantwortlichen denkbar.)
Aufgenommen wurden die nichtstaatlichen Völkerrechtssubjekte beim Verarbeitungsverzeichnis (§ 31 Abs. 1 lit. f), Abs. 2 lit. c)) und schwerpunktmäßig in den Regelungen zu Drittstaatentransfers in Kapitel 5. Für die Übermittlung braucht es geeignete Garantien, wenn kein Angemessenheitsbeschluss vorliegt. Das gilt für den Heiligen Stuhl wie für den Staat der Vatikanstadt, der nur ein sehr rudimentäres Datenschutzrecht hat.
Die Erläuterung dazu verwundert: »Es ist nicht vollständig geklärt, ob im Bereich der genannten Rechtssubjekte der DSGVO vergleichbare Bestimmungen gelten«, heißt es dazu, und weiter: »Zwar finden in anderen Rechtsbereichen italienische Rechtsvorschriften Anwendungen, es liegt aber keine nachvollziehbare Entscheidung zu einer Geltung der italienischen DSGVO vor.« Welche italienischen Rechtsvorschriften im Vatikan angewendet werden, steht im Gesetz über die Rechtsquellen des Vatikanstaats: Nur ausgewählte in neun verschiedenen Rechtsbereichen, und zwar nur das, das am 1. Januar 2009 in Kraft war. Von Europarecht ist da keine Rede, von Datenschutzrecht auch nicht, lediglich von Telekommunikationsrecht. Es ist also eigentlich völlig klar, dass im Vatikanstaat die DSGVO weder direkt noch durch Verweis in vatikanischem Recht gilt. (Spannender ist die Frage, ob die DSGVO für den Souveränen Malteserorden gilt, der seinen Sitz in Rom hat.)
Sehr sinnvoll ist, dass Angemessenheitsbeschlüsse nun generell angewendet werden können und nicht unter dem Vorbehalt eines Widerspruchs gegen wichtige kirchliche Interessen stehen (§ 40 Abs. 1 KDG). Wer diesen Widerspruch feststellen darf und wie ein Angemessenheitsbeschluss wichtigen kirchlichen Interessen widersprechen kann, war eh nie klar.
Unabhängige Datenschutzaufsicht
Bei der Datenschutzaufsicht wurden einige Korrekturen vorgenommen, von denen einige recht technisch sind. Insgesamt wurde dieses Kapitel besonders stark umgestellt – mit einer im Ergebnis gelungenen neuen Systematik. Das Kapitel 6 heißt nun »Unabhängige Datenschutzaufsicht« statt einfach nur »Datenschutzaufsicht«, und ein neuer § 42 Abs. 1 KDG legt fest, dass die Datenschutzaufsicht eine unabhängige kirchliche Behörde ist.
Die Unabhängigkeit wird durch viele kleinere Formulierungsänderungen eingeschärft, dazu kommt ein neuer § 42 Abs. 9 KDG, der der Aufsicht und ihrer Leitung ein Auskunftsverweigerungsrecht hinsichtlich Beschwerden und Beschwerdeführenden ausdrücklich einräumt, inklusive eines Rechts auf Anonymisierung auch gegenüber den kirchlichen Datenschutzgerichten.
Die maximale Amtsdauer wird von acht auf sechs Jahre reduziert (§ 43 Abs. 1 KDG), eine Wiederbestellung ist weiterhin möglich. Dass die Leitung weiterhin katholisch sein muss, wird nun im Gesetz damit begründet, dass sie als »Person, die das katholische Profil der Einrichtung inhaltlich prägt, mitverantwortet und nach außen repräsentiert«, gilt – ein Verweis auf die Grundordnung des kirchlichen Dienstes und wohl schon eine Absicherung des Erfordernisses nach der Egenberger-Entscheidung des BVerfG. Im Anhörungsentwurf wurde zur bisherigen Regelung, dass die Leitung Volljurist*in sein soll, noch ergänzt, dass auch eine vergleichbare Qualifikation in Frage komme – das wurde gestrichen, es bleibt beim Alten.
Eine hilfreiche Klarstellung findet sich bei den Regelungen zu mehrdiözesanen Rechtsträgern (§ 45 KDG): Hier wird nun nicht nur weiterhin explizit geregelt, dass das Diözesan-KDG des Sitzes des Rechtsträgers zur Anwendung kommt, sondern neu auch, dass die Sitz-Datenschutzaufsicht zuständig ist.
Sehr sinnvoll ist die Neustrukturierung von § 47, Befugnisse der Datenschutzaufsicht. Hier heißt es nun in Abs. 2: »Die Datenschutzaufsicht verfügt über sämtliche folgenden Abhilfebefugnisse«, gefolgt von einem Katalog. Die bisherige Fassung, die in Abs. 5 festhielt, dass ein Bescheid solche Anordnungen beinhalten kann, kann bei nachlässiger Lektüre (die sich leider auch vereinzelt in der Kommentarliteratur findet) den Eindruck erwecken, die kirchlichen Aufsichten hätten nicht den selben Instrumentenkasten wie die staatlichen.
Die Geldbußen wurden heraufgesetzt, wenn auch nicht so hoch wie die sechs Millionen im neuen DSG-EKD. (Aber dafür werden im katholischen Datenschutz wenigstens gelegentlich Geldbußen verhängt, im evangelischen Bereich ist das fast unmöglich.) Die neue Obergrenze liegt statt bei 500.000 Euro bei einer immer noch moderaten Summe von einer Million Euro. Für kirchliche Unternehmen, die am Wettbewerb teilnehmen, liegt die Obergrenze bei vier Prozent des Jahreseinkommens, maximal aber drei Millionen Euro. Bemerkenswert ist, dass die Erläuterungen dazu »katholische Krankenhäuser oder Altenhilfeeinrichtungen« aufzählen, also ausdrücklich einen caritativen Kernbereich. Die Teilnahme am Wettbewerb erfordert also nicht eine rein wirtschaftliche Tätigkeit (die ohnehin aus der staatskirchenrechtlichen Privilegierung fallen würde.) Interessant wäre, wie der Gesetzgeber Kitas bewertet. Öffentlich-rechtlich verfasste kirchliche Verantwortliche können weiterhin nicht gebußt werden – obwohl das laut Aussage von Diözesandatenschutzbeauftragten manchmal angezeigt wäre.
Besondere Verarbeitungssituationen
§ 52a: Übertragung von Gottesdiensten und kirchlichen Veranstaltungen
Das DSG-EKD hatte eine derartige Regelung schon immer, jetzt zieht das KDG nach und macht es besser: Es gibt nicht nur eine kompakte Erlaubnisnorm (Abs. 1), sondern auch vorgegebene Schutzpflichten: Besonders schutzwürdigen Interessen ist Rechnung zu tragen (Abs. 2), übertragungsfreie Bereiche sind für Gottesdienstbesucher*innen auszuweisen (Abs. 3) – also dem Wortlaut nach nicht bei der Übertragung nicht-gottesdienstlicher Veranstaltungen.
§ 54a: Rahmen-Aufarbeitungsnorm
Die meisten Bistümer haben schon Aufarbeitungsnormen, die regeln, wie Aktenbestände für die Aufarbeitung genutzt werden können. Das KDG erhält daher keine so umfassende Aufarbeitungsnorm wie das DSG-EKD. Stattdessen wird vor allem statuiert, dass an der institutionellen Aufarbeitung sexualisierter Gewalt und anderer Formen des Missbrauchs ein »überragendes kirchliches Interesse« besteht, den Rest müssen diözesane Normen übernehmen. Damit hat § 54a KDG weitgehend den Charakter einer Öffnungsklausel, auch wenn das in der Systematik der kirchlichen Gesetzgebung gar nicht nötig wäre.
Interessant ist, dass im ersten Satz von »sexualisierter Gewalt und anderen Formen des Missbrauchs« die Rede ist, im zweiten Satz dagegen nur noch von »sexuellem Missbrauch«. Das ist wahrscheinlich ein redaktioneller Fehler. Im Anhörungsentwurf, wo diese Norm noch etwas kompakter war, stand im dortigen zweiten Satz »sexualisierte Gewalt«. Praktische Relevanz hat diese terminologische Unschärfe aber nicht, da der zweite Satz ohnehin nur rein deklaratorisch erwähnt, dass Spezialgesetze erlassen werden können, was der Diözesanbischof auch ohne eine solche Regelung kann. (Für den Hinweis auf diesen mutmaßlichen Formulierungsfehler danke ich Elaine Rudolphi.)
Bleibende Regelungsdefizite
Organisatorischer Anwendungsbereich
Der organisatorische Anwendungsbereich wird nicht verändert: Weiterhin soll das KDG für »die kirchlichen Körperschaften, Stiftungen, Anstalten, Werke, Einrichtungen und die sonstigen kirchlichen Rechtsträger ohne Rücksicht auf ihre Rechtsform« gelten. Diese Formulierung ist ohne kirchenrechtliche Kenntnisse irreführend: Sie blendet aus, dass das KDG natürlich nur da gelten kann, wo der Diözesanbischof überhaupt Gesetzgebungskompetenz hat. Das gilt grundsätzlich nicht gegenüber zwar kirchlichen, aber nicht kanonisch verfassten Rechtsträgern, konkret viele Vereine in der Form freier Zusammenschlüsse von Gläubigen und (Sozial-)Einrichtungen ohne kirchliche Rechtspersönlichkeit. Wenn in solchen Rechtsträgern kirchliches Recht gelten soll, müssen sie sich selbst der kirchlichen Rechtsordnung unterwerfen. (Sehr viel mehr dazu habe ich in meiner Arbeit zum Thema aufgeschrieben.)
Defizite räumt der Gesetzgeber in seiner Begründung selbst ein:
»Ungeachtet dieser Kritik wird an der bisherigen Formulierung des § 3 KDG festgehalten, solange kein breiter und tragfähiger Konsens zu einer (anderslautenden) einheitlichen Beschreibung des Geltungsbereichs diözesaner Gesetze vorliegt. Die Regelung beinhaltet – insbesondere bei Rechtsträgern, die nicht der Gesetzgebungsgewalt des Bischofs unterliegen – zwar keine eindeutige Zuordnung kirchlicher Stellen zum organisatorischen Anwendungsbereich des KDG und wird insofern durchaus als novellierungsbedürftig angesehen, allerdings sollte eine generelle Klärung Rechtsgebiete übergreifend erfolgen.«
Diese Argumentation ist unverständlich angesichts der Tatsache, dass diese Klärung für das kirchliche Arbeitsrecht schon stattgefunden hat, nachdem ein höchstrichterliches kirchliches Urteil genau die hier beklagten Defizite festgestellt hatte. Eine einigermaßen tragfähige Formulierung existiert damit schon – man hätte nur die Formulierung aus Art. 1 Abs. 5 und 6 der Grundordnung des kirchlichen Dienstes abschreiben müssen. Solche Regelungen finden sich auch in neuerem Recht, ganz aktuell etwa in der im Dezember promulgierten Ausführungsordnung zur Präventionsordnung der Erzdiözese Freiburg, § 1 – es geht also, wenn man will.
Gemeinsame Verantwortlichkeit
Die Regelungen zur gemeinsamen Verantwortlichkeit (§ 28 KDG) wurden zwar angefasst mit der durchaus sinnvollen Möglichkeit einer gesetzlichen Festlegung. Es fehlt aber immer noch eine Regelung, was passiert, wenn die einzelnen Verantwortlichen unterschiedlichen Rechtskreisen angehören, also etwa ökumenische Kooperationen oder (wohl der Fall, der fast alle Verantwortliche trifft) gemeinsame Verantwortlichkeit mit Unternehmen.
Hier eine kluge Kollisionsnorm zu formulieren, ist sicher nicht einfach. Es hätte sich für die Rechtsklarheit aber gelohnt. Vielleicht wäre das sogar ein Fall, in dem man mit der EKD in Verhandlung treten könnte, um gleichlautende oder kompatible Regelungen auszuhandeln.
Leider ändern sich die bestehenden Probleme nicht, und die von mir ausgearbeiteten Hinweise sind immer noch relevant. Immerhin gibt es mittlerweile eine Entscheidung des IDSG, die recht hilfreich für die Gestaltung solcher gemeinsamer Verantwortlichkeiten ist.
Fazit
Das KDG hat sich von Anfang an durch weniger Kreativität ausgezeichnet als das DSG-EKD. Das muss nicht negativ sein, wie die Novelle nun zeigt: Beim DSG-EKD mussten einige problematische Eigenheiten korrigiert werden, die den Einklang mit der DSGVO gefährdeten (vor allem bei den Betroffenenrechten) oder völlig unpraktikabel waren (das fehlkonstruierte berechtigte Interesse). Im KDG gab es solche ganz groben Schnitzer nicht, die Veränderungen sind mehr Evolution als Revolution. Viele Dinge, die immer wieder kritisiert wurden, wurden korrigiert. Das Ziel, zugleich spezifisch kirchlicher zu werden wie näher ans weltliche Recht zu rücken, ist gelungen.
Der eher evolutionäre Ansatz hat als Kehrseite aber eine gewisse Ambitionslosigkeit: Das Problem des Anwendungsbereichs wurde erkannt, aber ignoriert, bei der gemeinsamen Verantwortlichkeit wurde trotz vieler Kritik ebenfalls nichts gemacht. Immer noch sieht sich die Kirche selbst behördenanalog und privilegiert sich durch den Ausschluss von Bußgeldern gegenüber öffentlich-rechtlich verfassten Stellen, verzichtet aber zugleich auf sinnvollen Handlungsspielraum durch den Ausschluss des berechtigten Interesses, als wäre man nicht grundrechtsberechtigt, sondern grundrechtsverpflichtet wie eine Behörde.
Ein Highlight ist § 54a KDG zur Übertragung von Gottesdiensten. Das ist ein seltener Fall gelungenen ökumenischen Lernens im Kirchenrecht: Eine sinnvolle Regelung aus dem DSG-EKD wurde übernommen und klug so weiterentwickelt, dass auch die EKD gut beraten wäre, wiederum davon zu lernen. (Umgekehrt hätte das KDG besser die Neufassung des berechtigten Interesses des DSG-EKD übernommen, das den eben erwähnten Problemen zuvorkommt.)
In Sachen Transparenz kann man der KDG-Novelle ein solides »befriedigend« attestieren: Immerhin gab es ein Anhörungsverfahren, wenn auch kein offenes. Der Anhörungsentwurf wurde rechtzeitig veröffentlicht. Wer sich wie rückgemeldet hat, ist nicht bekannt. Nur die GKP hat ihre Rückmeldung veröffentlicht. (Ich bin im Vorstand und habe das verantwortet)
In der Praxis wird das neue KDG nicht übermäßig viele Änderungen erforderlich machen – da, wo wirklich sinnvolle und praxisrelevante Änderungen sind (etwa bei der Auftragsverarbeitung und Einwilligungen) wurden die zuvor missglückten Regelungen (Beschränkung auf EWR und Schriftform) wahrscheinlich ohnehin ignoriert.
Die Analyse der neuen KDG-DVO folgt.
Pingback: KDG und KDG-DVO: Neue Gesetzestexte sind verfügbar - datenschutz notizen | News-Blog der DSN GROUP
Danke, Herr Neumann, für die gründliche Analyse. Aus Sicht Betroffener, denen diese Neufassung Schutz bieten soll, scheinen ein paar Auffälligkeiten noch erwähnenswert. Diese reichen so tief, dass die Neufassung wg. Unterlaufens ihrer Schutzposition eigentl. kassiert werden müsste. Zunächst bekommt erst einmal die Datenschutzaufsicht eine Lizenz zur Untätigkeit: Selbst bei einer Ermessensreduzierung auf Null kann sie sich künftig weigern, tätig zu werden, indem sie eine Anfrage als exzessiv ausgibt. Dies „insbesondere“ (sic!), wenn diese Anfrage häufig wiederholt wird (wenn auch nur, weil sie nicht beantwortet wurde?), so der Wortlaut von § 44 (4). Das ist nicht abschließend, und es dürfte dann erst einmal ein Betroffene abschreckender juristischer Hickhack losgehen, ob die Verweigerung wg. ‚exzessiv‘ ausreichend begründet war oder nicht. § 47 (2) sieht die für Betroffene verbrieften Abhilfebefugnisse einer Aufsicht vor, u.a. einen Verantwortlichen anzuweisen, c) dem Betroffenen die Ausübung seiner Rechte zu ermöglichen und, d) die Datenverarbeitung in Einklang mit dem Gesetz zu bringen. Nur hat der Betroffene darauf künftig keinen Anspruch mehr. Durch ein „anstelle“ dispensiert § 47 Abs. 2 lit. h davon: Die Aufsicht kann sich damit begnügen, eine Geldbuße frei nach Ermessen zu verhängen (dto. § 51 (2) Satz 1: „zusätzlich zu oder anstelle“). Im als Lex MS 365 et. al. zu verstehenden § 41 (in Kapitel 5 durchgängig eingeführt: ein „nichtstaatliches Völkerrechtssubjekt“) lässt Abs. (2) unklar, worauf sich die „Beurteilung des Verantwortlichen“ oder Auftragsverarbeiters bezieht. Darauf, ob die Ausnahmetatbestände nach a) bis f) erfüllt sind? Dann wird künftig eine Datenverarbeitung schon dadurch zulässig, dass sie der ggf. kommerzielle Datenverarbeiter (Exporteur oder Importeur) als zulässig beurteilt. Der Einbezug der Aufsicht wie bisher § 40 (2) Satz 2 („haben die Aufsicht zu unterrichten“) ist gestrichen. Diese seine eigene Beurteilung muss der Verantwortliche nurmehr niederlegen. Für Betroffene dürfte es auch einen Unterschied machen, ob „in einem rechtsverbindlichen Instrument geeignete Garantien für den Datenschutz vorgesehen sind“ (ex § 40 (2) a)) bzw. der „Verantwortliche davon ausgehen kann, dass Garantien bestehen“ (ex § 40 (2) b)). ODER ob es genügt, wie es jetzt sein soll, dass der Verantwortliche oder der Auftragsverarbeiter derartige Garantien schlicht „vorgesehen“ haben. Vorsehen kann man natürlich viel, auch ohne es gleich umzusetzen. Ein Widerspruch zu kirchlichen Interessen kann gegen die Datenverarbeitung nicht mehr vorgebracht werden (ex § 40 (1)). Interessant wird es in § 29, wo die für Betroffene essenzielle Vereinbarung zur gemeinsamen Verantwortung kassiert wird. Hier soll künftig auch ein anderes Rechtsinstrument ausreichen – womöglich eines der nun in alle Himmelsrichtungen geöffneten „Muster“ der Datenschutzaufsicht nach dem neuen § 44 (3). Der alte § 44 (4) grenzte solche Muster auf Standardvertragsklauseln ein. Neu ist hier auch die „Textform“ (§ 29 (9)), ohne dass man näher erführe, was darunter zu verstehen ist. Der neue Blick auf die gemeinsame Verantwortlichkeit führt zum neuen § 45 (3) zur Verständigung der betroffenen Datenschutzaufsichten (die allerdings keine Absenkung des KDG-spezifischen Schutzstandards bewirken darf). Legt man § 29 (10) zugrunde, ist die Frage spannend, ob der neue § 49 a Betroffenen entgegenkommt. Hier wird künftig festgelegt, dass ein Betroffener seine Rechte auch gegen „einen Verantwortlichen“ geltend machen kann. Im Fall von marktbeherrschenden Firmen sollten Betroffene darauf nicht verwiesen werden können, sondern weiterhin das Recht haben, Rechtsbehelfe gegen jeden der beteiligten Akteure einzulegen. In Summe: Nachtigall, ick hör dir trapsen. Betroffenenrechte ausgehebelt.