Der kirchliche Datenschutz gilt als besonders streng – jedenfalls hört man das oft von Anwender*innen. Aber stimmt das eigentlich? Schließlich müssen die eigenen Datenschutzregeln von Religionsgemeinschaften, so sieht es Art. 91 DSGVO vor, »in Einklang« mit den Wertungen der DSGVO stehen. Und während die Deutsche Bischofskonferenz schreibt, dass sie mit einem Unterschied in der Formulierung der Einwilligung nicht strenger, sondern »lediglich konkreter und damit anwenderfreundlicher« sein wollte, sagte der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski, der auch an der Ausarbeitung des KDG mitwirkte, dass die Kirche aufgrund ihres Demokratiedefizits handeln musste: »und deshalb waren wir an manchen Stellen bei der Entwicklung des KDG strenger, um zu zeigen, dass wir bereit sind, solche Defizite auszugleichen«, so Joachimski. Von evangelischer Seite sind keine solche Äußerungen bekannt – aber auch dort hört man selten den Vorwurf, das DSG-EKD sei zu lax.

Stimmt es aber überhaupt, dass die kirchlichen Gesetze im Zweifel strenger sind? Ein genauer Blick fördert Interessantes zu Tage – und einige Regelungen, über die man überraschend wenig in der Praxis hört. An einigen Punkten gibt es deutliche Abweichungen von den Regelungen der DSGVO, die auch das Schutzniveau für betroffene Personen verändern.

Die Betrachtungen im folgenden sind nur Schlaglichter auf die Gesetze – eine Synopse bis ins letzte Detail wäre deutlich aufwendiger. Ergänzungen und Kommentare sind daher gern gesehen! Die reichlich unwissenschaftliche Bewertung als mehr oder weniger »streng« wird hier in dem Sinn verwendet, dass sich die verantwortliche Stelle mehr oder weniger Auflagen gegenüber sieht; in der Regel geht damit auch eine Hebung oder Senkung des Datenschutzniveaus einher.

Religionszugehörigkeit keine »besondere Kategorie«

Während nach staatlichem Recht die Zugehörigkeit zu einer Religionsgemeinschaft zu den besonderen Kategorien personenbezogener Daten gehören, die unter besonderem Schutz stehen, haben § 4 Nr. 2 KDG und § 4 Nr. 2 lit. a) DSG-EKD die bloße Zugehörigkeit (nicht aber Daten über religiöse Überzeugungen) davon ausgenommen (nur das DSG-EKD erwähnt Weltanschauungsgemeinschaften eigens). Beim Beschäftigtendatenschutz ist § 53 Abs. 1 KDG noch offener: »Daten über die Religionszugehörigkeit, die religiöse Überzeugung und die Erfüllung von Loyalitätsobliegenheiten« dürfen falls nötig verarbeitet werden; § 49 DSG-EKD erwähnt diese Öffnung nicht.

Bewertung: DSG-EKD und KDG sind hier weniger streng, das KDG beim Beschäftigtendatenschutz sogar deutlich weniger streng als DSGVO und BDSG.

Wer darf sich auf »berechtigtes Interesse« berufen?

»Berechtigtes Interesse« ist die Rechtsgrundlage, mit der sich in der Praxis erstaunlich viel (und manchmal Zweifelhaftes) begründen lässt. § 6 Nr. 8 DSG-EKD schränkt den Anwendungsbereich aber empfindlich ein: Während nach DSGVO und KDG auch die verantwortliche Stelle ihre Interessen in die Waagschale werfen darf, ist nach DSG-EKD nur das Interesse eines Dritten abwägungsrelevant. § 6 Abs. 1 lit. g) KDG nennt dafür die Einschränkung, dass öffentlich-rechtlich organisierte kirchliche Stellen sich nur auf berechtigtes Interesse berufen können in Fällen, in denen sie nicht in Erfüllung ihres Auftrags handeln (was diese Übernahme der Regelung aus der DSGVO für öffentliche Stellen bedeuten soll, ist allerdings ziemlich unklar); unter dem DSG-EKD können sich alle Verantwortlichen auf diese Rechtsgrundlage berufen.

Bewertung: Das DSG-EKD ist hier deutlich strenger, das KDG weicht nicht von der DSGVO ab.

Schriftform bei der Einwilligung

Diese eine Norm hat wohl für den Ruf des KDG gesorgt, allzu streng zu sein (und tatsächlich sehen das mittlerweile wohl auch die Gesetzgeber so, wie Jupp Joachimski verraten hat): »Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.« (§ 8 Abs. 2 KDG) Die unbestimmten »besonderen Umstände« sorgen zudem für erhebliche Rechtsunklarheit. (Noch ein Grund, Einwilligungen lieber zu meiden.)

Bewertung: Der Wortlaut des KDG ist strenger, das DSG-EKD übernimmt die Wertung der DSGVO.

Informations- und Auskunftspflichten

Beide Kirchen nehmen für sich in Anspruch, zur Wahrung kirchlicher Interessen die Auskunftspflichten abzuschwächen (u. a. § 15 Abs. 5 lit. c) KDG und § 19 Abs. 2 DSG-EKD). Das DSG-EKD gewährt der verantwortlichen Stelle außerdem drei Monate statt einem für die Auskunftserteilung (§ 16 Abs. 3 DSG-EKD), außerdem müssen Informationen über Datenverarbeitung nicht wie nach DSGVO und KDG »zum Zeitpunkt der Erhebung«, sondern erst »auf Verlangen« (§ 17 Abs. 1 DSG-EKD) zur Verfügung gestellt werden – damit dürften Datenschutzhinweise in vielen Fällen zunächst unnötig werden. (Ob die Regel klug ist, sei dahingestellt – die Dokumentations- und Transparenzpflichten sind vorab eher einfacher als erst nachlaufend zu erfüllen, und bei gutem Datenschutzmanagement fallen die für die Hinweise nötigen Informationen eh quasi automatisch an.)

Bewertung: KDG und DSG-EKD gewähren kirchliche Ausnahmen und sind daher weniger streng. Das DSG-EKD ist bei den Informations- und Auskunftspflichten generell deutlich weniger streng.

Umgang mit Drittstaaten

Klare Kante im KDG: »Der Auftragsverarbeiter darf die Daten nur innerhalb der Mitgliedstaaten der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeiten«, außerdem auf Grundlage eines Angemessenheitsbeschlusses oder wenn eine Datenschutzaufsicht ein angemessenes Schutzniveau feststellt (§ 29 Abs. 11 KDG). Während das DSG-EKD und die DSGVO auch Standardvertragsklauseln zulassen, fallen die nach KDG für Auftragsverarbeitung weg – Schrems II ist nach KDG also tatsächlich das Ende für Auftragsverarbeitung in den USA. Der Sinn dieser Regelung erschließt sich nicht, schließlich sind Drittlandübertragungen außerhalb von Auftragsverarbeitungen auch nach KDG mit geeigneten Garantien möglich.

Kurios wirkt es, dass § 40 Abs. 2 lit. b) ganz im Gegensatz dazu einen Weg zur Selbstzertifizierung von Drittland-Transfers ermöglicht, wenn »der Verantwortliche oder der Auftragsverarbeiter nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, davon ausgehen kann, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen«. Ja was denn nun? § 40 bietet ein viel zu weites free for all, wenn man nur skrupellos genug zur Selbstzertifizierung ist, und das sogar den Auftragsverarbeiter*innen, die nach § 29 KDG sehr eingeschränkt sind.

Bewertung: Das KDG ist bei Auftragsverarbeitung im Ausland deutlich strenger als die DSGVO, während das DSG-EKD die Wertung der DSGVO übernimmt. Die harte Tür macht die Möglichkeit der Selbstzertifizierung aber wieder sperrangelweit auf und führt so zu einer deutlich weniger strengen Regelung.

Geldbußen

Während die DSGVO im äußersten Fall maximal 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes (der höhere Wert zählt) vorsieht, reduzieren § 51 Abs. 5 KDG und § 45 Abs. 5 DSG-EKD einheitlich die Geldbußen auf maximal 500.000 Euro. Das KDG schließt Geldbußen gegen öffentlich-rechtlich verfasste Stellen aus, außer sie nehmen als Unternehmen am Wettbewerb teil (§ 51 Abs. 6 KDG), das DSG-EKD beschränkt sie für alle Stellen auf Fälle, in denen die verantwortliche Stelle als Unternehmen im Wettbewerb steht (§ 45 Abs. 1 DSG-EKD). Die oft gehörte Begründung, dass es in den Kirchen ohnehin nicht um so große Player wie in der freien Wirtschaft geht, überzeugt nur zum Teil; es gibt durchaus kirchliche Krankenhauskonzerne mit Umsätzen über einer Milliarde Euro. Für die ist der 500.000-Euro-Deckel eine sehr willkommene Risikoreduzierung.

Bewertung: KDG und DSG-EKD sind hier deutlich weniger streng als die DSGVO, das DSG-EKD macht Geldbußen sogar zur absoluten Ausnahme.

Gottesdienst-Übertragungen

§ 53 DSG-EKD erlaubt die Aufzeichnung und Übertragung von Gottesdiensten und kirchlichen Veranstaltungen, lediglich geeignete Informationen müssen zur Verfügung gestellt werden. In vielen Fällen dürfte man über kirchliches oder berechtigtes Interesse nach dem KDG (das keine Parallelnorm kennt) zwar zum selben Ergebnis kommen – das DSG-EKD führt aber dazu, dass Abwägungen erst gar nicht angestellt werden müssen und so auch nicht negativ ausfallen können.

Bewertung: DSG-EKD ist deutlich weniger streng.

Weitere Unterschiede

Bei der Lektüre der Gesetze fällt auf, dass sie durch die Bank im Vergleich zur DSGVO deutlich kürzer sind; das ist auch kein Wunder, weil sie speziellere Situationen regeln müssen, andere dafür gar nicht. Am Schutzniveau muss das nicht notwendig etwas ändern. Auffällig ist aber auch, wie viele zusätzliche Ausnahmen für kirchliches Interessen, besondere kirchliche Belange und Schutz oder Wahrnehmung des kirchlichen Auftrags verwandt werden. Hier lässt sich durchaus konstatieren, dass die Institutionen gegenüber sich selbst oft großzügig waren. (Lesenswert dazu ist die Begründung zur Einbringung des DSG-EKD.)

Im Bereich des Schutzalters für die Einwilligung Minderjähriger bei elektronischen Dienstleistungen haben beide Kirchen insbesondere für ihre eigenen Beratungsdienste niedrigere Altersgrenzen festgelegt, das DSG-EKD dabei noch niedriger als das KDG. Dass betriebliche Datenschutzbeauftragte schon ab zehn Personen einzurichten sind, ist zwar strenger als die Grenze von zwanzig des deutschen Rechts, aber ohne Absicht: Ursprünglich sah auch das BDSG zehn Personen vor. Dass sich Auftragsverarbeiter gemäß DSG-EKD explizit der kirchlichen Aufsicht unterwerfen müssen, ist zwar in der Praxis schwierig zu realisieren, ändert aber nichts am Datenschutzniveau.

Bewertung: Der Wegfall von Regelungen und das explizite Einbeziehung von kirchlichen Interessen sorgt für eine weniger strenge Tendenz in KDG und DSG-EKD. Beim Schutzalter sind KDG und DSG-EKD weniger streng, bei der Bestellung von Datenschutzbeauftragten etwas strenger.

Fazit

An den Gesetzen lässt sich der Eindruck nicht bestätigen, dass kirchlicher Datenschutz strenger wäre als sein staatliches Vorbild. Eindeutig härter sind nur einzelne Rechtsgrundlagen, im KDG die Einwilligung aufgrund der Schriftform, im DSG-EKD das berechtigte Interesse aufgrund der Irrelevanz der eigenen Interessen.

Die kuriose Situation bei der Drittstaatendatentransfers im KDG lässt sich kaum anders als mit einem Fehler in der Gesetzgebung erklären; die beiden widersprüchlichen Normen werden aber anscheinend eh ignoriert: Weder wurde je von den Aufsichten eine Selbstzertifizierung nach § 40 propagiert, noch kam nach Schrems II je der Hinweis, dass nach § 29 Standardvertragsklauseln für Auftragsverarbeiter nicht möglich sind.

Woher aber kommt nun der Eindruck, dass kirchlicher Datenschutz strenger wäre? Auch wenn die kirchlichen Aufsichten ebenfalls als streng gelten: Strenger als ihre weltlichen Pendants sind sie nicht, zudem legen sie großen Wert auf Vergleichbarkeit ihrer Entscheidungen. Ein wesentlicher Grund für die gefühlte kirchliche Härte dürfte stattdessen die tendentiell hierarchische Organisation kirchlicher Stellen sein (und zwar evangelisch wie katholisch): Die übergroße Zahl der Verantwortlichen dürfte mittelbar oder unmittelbar an der Verwaltung der verfassten Kirche hängen, die traditionell großes Augenmerk auf Compliance legt. Streng ist nicht das Datenschutzrecht, sondern das Einfordern von Umsetzung durch übergeordnete Stellen. Und dann kommt noch dazu, dass die Klagen und wahrnehmbaren Stimmen der digitalen Kirche vor allem aus diesem gemeindlichen und engagierten Sektor kommen, während die Krankenhaus- und Sozialkonzerne angesichts ihrer massiven Bußgeldprivilegierung und der vergleichsweise geringen Personalausstattung der zuständigen Aufsichtsbehörden im Vergleich zu weltlichen lieber vornehm schweigen.