Knapp zwei Jahre nach dem Evaluierungsbericht gibt es einen Referentenentwurf zur Reform des BDSG. Das Papier liegt seit einigen Tagen mehreren Medien vor. Veröffentlicht hatte es bislang noch niemand – bis jetzt: Auf meine IFG-Anfrage hin hat das zuständige Bundesinnenministerium den Entwurf schnell und ohne Probleme herausgegeben. Bei FragDenStaat ist der Entwurf (Stand 9. August 2023) jetzt öffentlich einsehbar.
Übermäßige Ambitionen kann man dem Referentenentwurf nicht vorwerfen. Die Änderungen ziehen einige bekannte Probleme glatt und setzen den Plan aus dem Koalitionsvertrag, die Datenschutzkonferenz zu institutionalisieren, mit der absoluten Minimallösung um. Das lässt einiges zu wünschen übrig. Dennoch gibt es auch für den kirchlichen Datenschutz (wenige) Impulse, die für die Evaluierung von KDG und DSG-EKD interessant sein könnten.
Relevante geplante Änderungen
Institutionalisierung der Datenschutzkonferenz
Die größten Erwartungen waren mit der Institutionalisierung der Datenschutzkonferenz verknüpft. Im Koalitionsvertrag wurde noch die Möglichkeit verbindlicher Beschlüsse in Aussicht gestellt. Schon der Evaluierungsbericht stellte fest, dass das in Konflikt mit dem Verbot der Mischverwaltung kollidiert. Anstatt eine Grundgesetzänderung anzustoßen (der Abschnitt VIIIa. Gemeinschaftsaufgaben, Verwaltungszusammenarbeit besteht bereits jetzt aus Art. 91a–91e, an Buchstabenmangel wäre es nicht gescheitert), soll in einem geplanten § 16a BDSG nur der Status quo ins Gesetz geschrieben werden:
»Die oder der Bundesbeauftragte im Sinne des § 8 sowie die Aufsichtsbehörden der Länder im Sinne des § 40 bilden die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz). Die Datenschutzkonferenz gibt sich eine Geschäftsordnung.«
Entwurfsfassung § 16a BDSG
Nicht einmal zu einer Geschäftsstelle und einem Haushalt konnte sich der Entwurf durchringen. Institutionalisierung heißt also nicht mehr als Erwähnung; die Ermächtigung, sich eine Geschäftsordnung zu geben, dürfte kaum zu einem veränderten Spielraum für die DSK führen.
Zusammenarbeit von Aufsichten
Die stellvertretende Vertretung im EDSA soll künftig auch sichergestellt sein, wenn die gewählte Leitung einer Landesdatenschutzaufsicht aus dem Amt scheidet. Es übernimmt dann bis zur Neuwahl die Leitung aus dem Land, das im Bundesrat den Vorsitz hat. (§ 17)
Im Kohärenzverfahren sollen die Aufsichten Einvernehmen über einen gemeinsamen Standpunkt erzielen. (§ 18 Abs. 2)
Bei der Zuständigkeit von Aufsichten gibt es einige Klärungen, vor allem durch das Verfahren aus § 18 Abs. 2 und einen neuen § 40a zur Aufsichtsbehörde gemeinsam verantwortlicher Unternehmen, wo künftig auf den Jahresumsatz der beteiligten Unternehmen abgestellt werden soll, um die federführende Behörde zu bestimmen.
Auskunft und Auskunftsverweigerung
In § 34 zum Auskunftsrecht wird bei den Ausnahmen klarer formuliert: Eine Auskunft darf verweigert werden, wenn Daten nur deshalb gespeichert sind, weil sie aufgrund »von in öffentlich-rechtlichen Satzung vorgesehenen« Aufbewahrungsvorschriften nicht gelöscht werden dürfen. Bislang steht dort missverständlich »satzungsmäßig«, das dem Wortlaut nach auch privatrechtliche Satzungen umfassen könnte.
Ergänzt werden soll der Schutz von Betriebs- und Geschäftsgeheimnissen als Einschränkung des Auskunftsrechts. Hier braucht es eine Abwägung zwischen Geheimhaltungsinterese und Informationsinteresse. (Analog wird die Regelung zum Sozialdatenschutz im SGB X geändert.)
Verweigert eine öffentliche Stelle des Bundes die Auskunft, kann die Auskunft auf Verlangen dem*der BfDI erteilt werden, sofern dadurch nicht die Sicherheit des Bundes oder eines Landes gefährdet wird. Künftig muss die verweigernde Stelle die betroffene Person darüber informieren.
Europarechtskonforme Regelung zur Videoüberwachung
Dass die Regelungen von § 4 zur Videoüberwachung mit Blick auf private Verantwortliche europarechtswidrig sind, weil nur für den öffentlichen Bereich eine Öffnungsklausel besteht, ist herrschende Meinung und wurde so auch vom BVerwG entschieden. Lediglich für öffentliche Stellen kann der Bundesgesetzgeber Regelungen treffen. Konsequent wird im Entwurf in § 4 nun nur noch die Videoüberwachung durch öffentliche Stellen geregelt.
Auswirkungen und Impulse für den kirchlichen Datenschutz
Spezifische Aufsichten weiterhin am Katzentisch der DSK
Die Institutionalisierung der Datenschutzkonferenz ändert nichts an ihrer Zusammensetzung. Auch weiterhin sind die spezifischen Aufsichtsbehörden (also unter anderem die kirchlichen) nur nach § 18 Abs. 1 (Abs. 2 nach neuer Zählung) zu beteiligen, »sofern diese von der Angelegenheit betroffen sind«, die Beteiligung in der DSK ist weiterhin vom Wohlwollen der Landesdatenschutzaufsichten und des BfDI abhängig – mit der Institutionalisierung des Entwurfs wird dafür sogar der Spielraum eingeschränkt, weil sie nun explizit kein Mitglied sind; nach aktuellem Rechtsstand hätten die DSK-Mitglieder das ändern können. (Was sie aber nicht wollen.)
Hier wäre es wünschenswert gewesen, den spezifischen Aufsichten in § 16a zumindest ein beratendes Stimmrecht in der DSK zuzugestehen, um die Einheitlichkeit des Datenschutzes in Deutschland zu verbessern.
Direkte Auswirkungen auf den kirchlichen Datenschutz
- Das Verfahren aus § 40a zur Bestimmung der Aufsichtsbehörde gemeinsam verantwortlicher Unternehmen hat Unternehmen, die kirchlichem Datenschutzrecht unterfallen, nicht im Blick. Etwa bei karitativen Unternehmen sind durchaus Konstellationen von gemeinsamer Verantwortlichkeit mit der DSGVO unterfallenden Unternehmen denkbar. Schon die gemeinsame Verantwortlichkeit über Gesetzesgrenzen hinweg ist ungeklärt, hier entsteht weiterer Klärungsbedarf.
- Für Religionsgemeinschaften, die keine KdÖR sind, könnten Fälle bestehen, in denen durch Satzung geregelte Aufbewahrungspflichten vorliegen. Sollte auf dieser Grundlage bisher Auskünfte verweigert worden sein, ist das künftig nicht mehr möglich. Bei Religionsgemeinschaften ohne eigenes Datenschutzrecht, die KdÖR sind, könnte gegebenenfalls auch § 34 Abs. 1 in neuer Fassung weiterhin angewandt werden.
- Die Argumentation, warum § 4 BDSG für private Verantwortliche europarechtswidrig ist, greift im kirchlichen Bereich nicht: Hier genügt es, dass die getroffenen kirchlichen Regelungen zur Videoüberwachung (§ 52 DSG-EKD und § 52 KDG) im Einklang mit der DSGVO stehen (so auch die KDSA Ost zur EuGH-Entscheidung zum hessischen Datenschutzrecht), daran scheinen bislang keine Zweifel geäußert worden zu sein. Es gibt also keinen Änderungsbedarf.
Impulse für den kirchlichen Datenschutz
- Eine Institutionalisierung der jeweiligen Datenschutzkonferenzen wäre auch im kirchlichen Datenschutz sinnvoll. Im evangelischen Bereich wäre das problemlos durch die EKD-Synode möglich, im katholischen Bereich gibt es vergleichbar mit dem Verbot der Mischverwaltung keine Gesetzgebungskompetenz im Bereich des Datenschutzrechts auf Ebene der Bischofskonferenz.
- Die Möglichkeit einer hilfsweisen Auskunft an die Aufsicht gibt es auch im katholischen Datenschutzrecht (§ 17 Abs. 8 KDG bei verweigerter Auskunft durch Diözese, Kirchengemeinden, Kirchenstiftungen und Kirchengemeindeverbände). Hier wäre eine analoge Pflicht sinnvoll, auf diese Möglichkeit hinzuweisen. Das DSG-EKD lehnt sich deutlich weniger ans BDSG an; bei den Ausschlussgründen in § 19 Abs. 2 DSG-EKD gibt es keine hilfsweise Auskunft an die Aufsicht. Das einzuführen, wäre wünschenswert, um Betroffenenrechte zu stärken.
- Geschäfts- und Betriebsgeheimnisse sind durch die kirchlichen Gesetze bislang nicht geschützt; lediglich Auskünfte, die die Wahrnehmung des Auftrags der Kirche gefährden würden (was immer auch das sein soll), sind im DSG-EKD und im KDG ausgeschlossen. Eine Übernahme der neuen BDSG-Regelung scheint nicht nötig; wohl aber sollte die bisher unbeschränkten Regelungen zur Gefährdung des Auftrags überprüft werden, ob dort nicht wie bei den Betriebs- und Geschäftsgeheimnissen auch zumindest eine Abwägung eingefügt werden sollte.
Fazit
Der Referentenentwurf für die BDSG-Änderung nimmt einige sinnvolle Detailkorrekturen vor, ist aber kein großer Wurf. Insbesondere die reichlich ambitionslose Institutionalisierung der DSK enttäuscht – hier wäre mehr gegangen, selbst wenn man den Weg einer Grundgesetzänderung scheut.
Für den kirchlichen Datenschutz ändert sich dementsprechend auch wenig bis nichts. Die relevanteste Auswirkung dürfte sein, dass der Nicht-Status der spezifischen Aufsichten in der DSK nun im Gesetz festgeschrieben werden soll. Der Kohärenz des Datenschutzes dient das nicht.