Das evangelische Datenschutzrecht hat seine Evaluation erfolgreich durchlaufen – jetzt geht es auch beim katholischen richtig los. Die Deutsche Bischofskonferenz hat einen Entwurf für die Novellierung des Gesetzes über den kirchlichen Datenschutz (KDG) online gestellt.

Die Änderungen sind umfangreich – und vieles davon deutet darauf hin, dass die Diskussionen der vergangenen Jahre in der Fachwelt aufgegriffen wurden. Der eine oder andere Wunsch bleibt aber doch offen.

Annäherung an DSGVO und BDSG

Einige Relikte aus der KDO (und damit dem BDSG alt) werden gestrichen, Formulierungen werden näher an die DSGVO und ans BDSG herangezogen.

Insbesondere die Regelungen zur Offenlegung (§§ 9, 10 KDG) können so ersatzlos gestrichen bleiben. Die Paragaphen gelten als nicht belegt, die Streichung bringt also die folgende Numerierung nicht durcheinander.

Änderungen bei der Einwilligung

Wenn es eine immer wieder beklagte Besonderheit des KDG gibt, dann das grundsätzliche Schriftformerfordernis. Das wird nun an die DSGVO angepasst. Die Formulierung »Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.« (§ 8 Abs. 3 KDG) wird gestrichen, stattdessen wird der alte Abs. 5 wie in der DSGVO Abs. 1: »Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.«

Die nominelle Verschärfung des § 8 Abs. 4 KDG im Vergleich zur DSGVO, dass sich bei einer Verarbeitung besonderer Kategorien die Einwilligung ausdrücklich auf diese Daten beziehen muss, wurde ersatzlos gestrichen. Die Erläuterung weist aber zutreffend darauf hin, dass so trotzdem vorzugehen ist, da Einwilligungen informiert erfolgen müssen.

Die Einwilligung von Minderjährigen bei elektronischen Angeboten wurde vereinfacht. Die Altersgrenze von 13 Jahren, ab der Minderjährige selbst bei kostenlosen Beratungsangeboten einwilligen können, soll gestrichen werden: »Die Einwilligung der Personensorgeberechtigten ist nicht erforderlich, wenn kirchliche Präventions- oder Beratungsdienste einem Minderjährigen unmittelbar und kostenfrei angeboten werden.« Anders als im neuen DSG-EKD sollen die Spezialregelungen für Minderjährige weiterhin nur für elektronische Angebote und nicht für alle Einwilligungen gelten.

Stärkere Betonung kirchlicher Spezifika

Ein großer Kritikpunkt war die rein religionsverfassungsrechtlich formulierte Präambel. Endlich soll nun der »Datenschutzkanon« c. 220 CIC erwähnt werden. Interessant ist dabei: Herausgehoben wird nur der Schutz der Intimsphäre, nicht der ebenfalls im Kanon erwähnte gute Ruf. Im Gesetzeszweck wird ergänzt, dass zur Erfüllung des kirchlichen Auftrages die Verarbeitung personenbezogener Daten durch kirchliche Stellen erforderlich ist.

Nicht verändert wurde der organisatorische Anwendungsbereich (§ 3 Abs. 1 KDG), der eine Geltung in allen kirchlichen Stellen normiert; weiterhin bleibt damit unklar, was für kirchliche Stellen gilt, die nicht unmittelbar der Gesetzgebungsbefugnis des Diözesanbischofs unterliegen. Für diese Fälle hat das kirchliche Arbeitsrecht eine klare Regelung. Das KDG verzichtet leider weiterhin darauf und schafft so Rechtsunsicherheit etwa für kirchliche Vereine ohne kanonische Rechtsform.

Wie die Grundordnung des kirchlichen Dienstes versteht das KDG nun auch Ehrenamtliche als Beschäftigte und gesteht ihnen damit denselben Schutz zu, den die Regelungen zum Beschäftigtendatenschutz Hauptberuflichen zukommen lässt.

Bei den Rechtsgrundlagen ändert sich die Aufgabenwahrnehmung im kirchlichen Interesse bis auf eine Klarstellung (es geht um Aufgaben des Verantwortlichen) nicht. Damit ist diese Rechtsgrundlage weiterhin sehr interpretationsoffen. Zukünftig dürfte sich das noch dadurch verschärfen, dass nun auch eine Verarbeitung besonderer Kategorien »aus Gründen eines erheblichen kirchlichen oder öffentlichen Interesses« bei zwingender Erforderlichkeit zulässig sein soll (§ 11 Abs. 2 lit. l) KDG neu).

Zulässig sind künftig Zweckänderungen auch dann, wenn sie zur Vorbereitung, Durchführung und Nachbereitung
von kirchlichen Wahlen dienen, inklusive der Wahlvor- und Nachbereitung (§ 6 Abs. 2 lit. k) KDG neu). Neben Aufsichts- und Kontrollbefugnissen werden nun auch Visitansbefugnisse in den Katalog aufgenommen, bei dem keine Verarbeitung zu anderen Zwecken vorliegt (§ 6 Abs. 3 KDG neu).

Beim Recht auf Löschung wird endlich eine konkrete kirchenspezifische Ausnahme ergänzt: Es gilt nicht, wenn eine Verarbeitung »zum Erhalt und zur Gewährleistung der Nachvollziehbarkeit von Amtshandlungen sowie Urkunden und vergleichbaren Dokumenten; hierzu gehören insbesondere die durch kirchliche Rechtsvorschriften vorgesehenen Eintragungen in die Kirchenbücher (insbesondere Taufen, Trauungen, Todesfälle) sowie Dekrete, Beschlüsse von Gremien der Diözesen und Kirchengemeinden und sonstige Urkunden« erforderlich ist. Ausdrücklich reagiert der Entwurf damit auf die europaweiten Entwicklungen bei Aufsichts- und Gerichtsentscheidungen zum Recht auf Löschung aus dem Taufbuch. (Neben Frankreich – contra – werden Belgien – pro – und Irland – contra – erwähnt.)

Bei der Übermittlung an Drittstaaten werden nun nicht mehr nur internationale Organisationen erwähnt, sondern auch nicht-staatliche Völkerrechtssubjekte – also praktisch: der Heilige Stuhl (Kapitel 5 KDG neu). Die alte Verschärfung, dass ein Angemessenheitsbeschluss nicht kirchlichen Interessen widersprechen darf, wird gestrichen – ohnehin war unklar, wer das wie feststellen soll. Ausdrücklich erwähnt wird der Heilige Stuhl bei den Ausnahmen (§ 41 Abs. 1 lit. k) KDG neu): Die Übermittlung ist auch dann zulässig, wenn sie »aufgrund kirchenrechtlicher Vorschriften oder in Wahrnehmung kirchlicher Auf gaben an den Heiligen Stuhl oder an den Staat der Vatikanstadt« erfolgt. Nach der Auslegung der Erläuterung dieser Änderung ist das lediglich klarstellend und galt ohnehin schon. Als Beispiele werden Bischofsernennungen, Auszeichnungen, Ordensverleihungen und die Meldung von Missbrauchsfällen genannt.

Erfreulich ist, dass man vom DSG-EKD gelernt hat: Da gab es schon von Anfang an eine Streaming-Norm. Ein neuer § 52a KDG neu zu Gottesdiensten und kirchlichen Veranstaltungen lehnt sich ersichtlich an das evangelische Pendant an, lernt aber aus der Kritik daran und weist ausdrücklich an, dass schutzwürdige Interessen von Betroffenen zu berücksichtigen sind und übertragungsfreie Bereiche auszuweisen sind.

Regeln zur Missbrauchsaufarbeitung

Wie es das DSG-EKD schon länger vorgemacht hat, soll eine eigene Aufarbeitungsnorm ins Gesetz kommen. § 54a KDG neu statuiert ein überragendes kirchliches Interesse an der Aufarbeitung. Anders als im DSG-EKD genügt die Norm aber allein nicht, stattdessen wird auf die Möglichkeit diözesaner Gesetzgebung hingewiesen. Diese gibt es nämlich schon in großer Zahl für Personal- und Sachakten.

Weiter wurde die institutionalisierte Aufarbeitung sexualisierter Gewalt auch als eigener Grund für eine zulässige Zweckänderung aufgenommen (§ 6 Abs. 2 lit. i) KDG neu) und als Erlaubnistatbestand für die Verarbeitung besonderer Kategorien (§ 11 Abs. 2 lit. k) KDG neu) ergänzt.

Auftragsverarbeitung und andere Formen der Zusammenarbeit

Spezielle kirchliche Regelungen zur Auftragsverarbeitung sind besonders problematisch, weil AV-Verträge oft von der Stange kommen und es bei vielen Dienstleistern nicht möglich ist, kirchliches Recht zu berücksichtigen. Daher gibt es Anpassungen: Auftragsverarbeitung ist künftig nicht mehr auf Verarbeitung im Europäischen Wirtschaftsraum beschränkt (§ 29 Abs. 11 KDG soll gestrichen werden). Außerdem soll die elektronische oder Textform da zulässig sein, wo sie auch durch staatliches Recht ermöglicht wird (§ 29 Abs. 9 KDG neu). (Bereits jetzt dürften sehr viele AV-Verträge gerade mit digitalen Diensteanbietern schon in Textform sein.)

Wie im neuen DSG-EKD soll auch das KDG eine Rechtsgrundlage für zentrale Verfahren erhalten (§ 29a KDG neu): »Durch kirchliche Rechtsvorschrift kann für zentrale Verfahren, an denen mehrere Verantwortliche beteiligt sind, abweichend von § 28 oder § 29 die Verteilung der datenschutzrechtlichen Aufgaben, Befugnisse und Verantwortlichkeiten zwischen den beteiligten Verantwortlichen festgelegt werden.«

Die gemeinsame Verantwortlichkeit wird nicht angetastet – die Unsicherheit, wie Verantwortliche, die verschiedenen Datenschutzregelungen unterliegen (etwa ökumenische Kooperationen oder weltliche Dienstleister), bleibt bestehen. Lediglich ein Fall wird geregelt: § 45 Abs. 3 KDG neu ermöglicht es nun, dass sich die betroffenen Datenschutzaufsichten über die Zuständigkeit einigen. Ausdrücklich ist hier nicht die Rede von kirchlichen Datenschutzaufsichten; es wäre also durchaus denkbar, dass aufgrund dieser Norm eine kirchliche Aufsicht ihre Zuständigkeiten an eine nicht-kirchliche abgibt, wenn diese sich darauf einlässt (und zum Schluss kommt, dass das von dieser angewendete Recht das zulässt).

Betriebliche Datenschutzbeauftragte und Datenschutzaufsicht

Betriebliche Datenschutzbeauftragte

Es war wohl nicht zu vermeiden: Die Bestellgrenze (§ 36 Abs. 2 lit. a) KDG neu) für betriebliche Datenschutzbeauftragte wird von zehn auf zwanzig angehoben wie zuvor schon im BDSG und im DSG-EKD.

Wichtiger dürfte eine andere Änderung sein: Nun dürfen ausdrücklich auch juristische Personen zum bDSB bestellt werden (§ 36 Abs. 5 KDG neu).

Verschärft werden die Unvereinbarkeiten bei der Bestellung eines bDSB (§ 36 Abs. 7 KDG neu): Aus einer Soll- wird eine Muss-Regelung. Genannt werden weiterhin nur die Person, die mit der Leitung der Datenverarbeitung oder der kirchlichen Stelle betraut sind. Auf die Frage nach dem Mitglied der Mitarbeitervertretung als bDSB wird den Erläuterungen zufolge damit reagiert, dass nun andere Aufgaben und Pflichten von bDSB nicht so »ausgestaltet oder umfangreich« sein dürfen, dass die Aufgaben nicht mehr »unabhängig bzw. umgehend« ausgeübt werden dürfen. Neu sind dabei die Wörter »ausgestaltet« und »unabhängig«.

Datenschutzaufsicht

Das neue Kapitel 6 heißt nun programmatisch »Unabhängige Datenschutzaufsicht« statt nur »Datenschutzaufsicht«. Hier wird vieles nachgeschärft, um das höhere Einklangerfordernis aus Art. 91 Abs. 2 DSGVO zu erfüllen.

Die Regelungen zur Bestellung und zur Rechtsstellung von Diözesandatenschutzbeauftragtenin den §§ 42 und 43 KDG werden neu gefasst, neu
strukturiert und teilweise ergänzt. In der neuen Systematik finden sich die eher amtsbezogenen Regelungen zu DDSB in § 42 KDG, die eher auf die Person der DDSB bezogenen Regelungen in § 43 KDG. Klargestellt wird, dass nur eine natürliche Person DDSB sein kann, um falsche Analogieschlüsse zur neuen Regelung bei den bDSB zu vermeiden (§ 42 Abs. 2 KDG neu). Zusammenarbeit und Amtshilfe sind nun ausdrücklich Aufgabe der DDSB (§ 42 Abs. 5 KDG neu).

Die maximale Dauer einer Amtszeit wird von acht auf sechs Jahre reduziert in Angleichung an die Regelung beim BfDI (§ 43 Abs. 1 KDG neu). Künftig soll nicht mehr die Befähigung zum Richteramt nötig sein, stattdessen ist auch eine »vergleichbare Qualifikation« möglich, ohne dass damit ausgeführt wird, ob das auf Volljura-ähnliche Abschlüsse abzielt (etwa die Befähigung zum kirchlichen Richteramt durch ein Lizentiat des Kirchenrechts), auf eine beamtenrechtliche Regelung abgehoben wird (Befähigung zum höheren Dienst) oder auch andere fachspezifisch geeignete Qualifikationen gemeint sind (z. B. ein Informatikstudium). Weiterhin müssen DDSB katholisch sein, die Formulierung greift die Grundordnung auf: Sie werden als »Person, die das katholische Profil der Einrichtung inhaltlich prägt, mitverantwortet und nach außen repräsentiert« aufgefasst.

Gestärkt wurde die Verschwiegenheit der Aufsicht; gegenüber Datenschutzgerichten darf die Aufsicht nun geschwärzte Dokumente herausgeben. Damit greift § 42 Abs. 9 KDG neu die Regelungen des § 13 Abs. 3 BDSG auf. »Die Frage der Amtsverschwiegenheit ist für viele Beschwerdeführer wichtig, wenn es darum geht, Datenschutzverstöße kirchlicher Einrichtungen zu melden. Die Regelung greift damit auch Gedanken zum Schutz von Hinweisgebern auf. Die Sätze 3 und 4 sollen dabei verhindern, dass über Akteneinsichtsrechte die berechtigten Interessen der Beschwerdeführer oder Hinweisgeber ausgehebelt werden können«, heißt es in den Erläuterungen.

Klarer geregelt wird die Vertretung von DDSB. Es soll auch Regelungen für die dauerhafte Verhinderung und ein vorzeitiges Amtsende von DDSB geben: Hier treten künftig die stellvertretenden DDSB an die Stelle der verhinderten Behördenleitung.

Neu sortiert werden die Aufgaben der Aufsicht. Indem in § 44 Abs. 1 KDG neu neben der Aufgabe des Wachens über die Einhaltung des Datenschutzrechts auch dessen Durchsetzung ergänzt wird, kann der Paragraph um konkrete Aufgaben und Befugnisse entschlackt werden, die in § 46 Abs. 2 KDG neu verschoben werden. Gestrichen wird die Formulierung in § 44 Abs. 3 c) KDG neu, dass die Aufsicht sich auch mit Beschwerden kirchlicher Stellen und Organisationen befassen muss – ein Beschwerderecht im eigentlichen Sinn kommt nur betroffenen (natürlichen) Personen zu. § 44 Abs. 4 KDG wird ganz gestrichen: Die Befugnis, Empfehlungen auszusprechen, ist anderswo zu finden, die Befugnis, »Standardvertragsklauseln« zu erlassen, ist missverständlich, da der Begriff mit Drittstaatentransfers verknüpft ist.

Etwas gestärkt wurde die Stellung von Beschwerdeführenden. Weiterhin kann die Aufsicht bei offenkundig unbegründeten Anträgen ein Entgelt verlangen oder sich ganz weigern, tätig zu werden. In § 44 Abs. 3 KDG neu wird aber ergänzt, dass die Beweislast hier bei der Aufsicht liegt.

§ 46 KDG zur Zusammenarbeit von Aufsichten wird wegen Redundanz gestrichen, die Erläuterung hebt auch darauf ab, dass es kein Kohärenzverfahren im kirchlichen Datenschutz gibt – was schade ist. Das hätte man einführen können – oder gleich eine katholische Datenschutzkonferenz normieren können. § 46 KDG neu heißt nun »Zusammenarbeit kirchlicher Stellen mit den Datenschutzaufsichten« und sammelt die Mitwirkungspflichten kirchlicher Stellen.

Regelmäßig in der Literatur falsch verstanden wurden die Befugnisse der Aufsicht, weil sie unter der alten Überschrift »Beanstandungen« gefasst waren. So entstand das Missverständnis, dass Aufsichten nur mahnen, nicht aber anordnen und durchsetzen dürfen. Die alte Systematik war, dass eine Beanstandung ausgesprochen wurde und dem Bescheid eine Anordnung beigegeben werden konnte. Manche Kommentator*innen hat das dazu verleitet, anzunehmen, es gebe keine echten Befugnisse (Seifert argumentiert zum Beispiel so.) Dem wird nun begegnet, indem die Befugnisse gleich in die Überschrift genommen werden und die Systematik Beanstandung mit möglicher Anordnung abgeschafft wird durch eine Liste von Befugnissen und einer abgestuften Eskalation von Warnung über Verwarnung und Anweisung zu Anordnung (§ 47 KDG neu), Beanstandungen gibt es nicht mehr.

Neu eingeführt wird ein Recht der Datenschutzaufsicht auf einen gerichtlichen Rechtsbehelf (§ 49a KDG neu) – bisher war das nicht normiert. Ein neuer § 49b weist die Zuständigkeit dem IDSG zu; diese Regelung wird ausdrücklich als Übergangsregelung gekennzeichnet, weil das eigentlich in einer Gerichtsordnung zu regeln wäre – dazu braucht es aber ein Mandat des Heiligen Stuhls. Die Erläuterung verweist außerdem auf die geplante kirchliche Verwaltungsgerichtsbarkeit – von diesem seit Jahren stockenden Projekt hat man schon lange nichts mehr gehört.

Geldbußen

Ganz so weit wie das neue DSG-EKD mit 6 Millionen Euro Bußgeld-Maximalhöhe geht das KDG nicht. Aber immerhin wird die Grenze auf eine Million angehoben, für wirtschaftliche Tätigkeiten sogar auf 4 Prozent des Jahresumsatzes, maximal aber 3 Millionen Euro. Das ist immer noch deutlich von der DSGVO entfernt, die Bußgeldpraxis der kirchlichen Aufsichten ist aber bereits jetzt soweit man weiß kaum mehr als einmal über ein fünfstelliges Bußgeld hinausgegangen.

Zu erwarten war, dass körperschaftlich verfasste kirchliche Stellen weiterhin von Bußgeldern ausgenommen sind – dabei gäbe es da einiges bußwürdiges Verhalten, wie man in Tätigkeitsberichten der Aufsichten bisweilen sogar explizit nachlesen kann.

Fazit

Schon vor Abschluss des Beteiligungsverfahrens – laut der DBK wurden Bistümer, der Deutsche Caritasverband und mehrere Verbände zur Beteiligung eingeladen – macht der Entwurf einen sehr guten Eindruck. Ein Großteil der Kritikpunkte am KDG wurde angegangen. Schade ist, dass weder der organisatorische Anwendungsbereich noch die gemeinsame Verantwortlichkeit noch das kirchliche Interesse substantiell verändert wurden. Hier bräuchte es Rechtsklarheit.

Wann genau das novellierte KDG in Kraft treten kann, ist noch nicht abzusehen. Die DBK gibt an, dass die Evaluation im Laufe des kommenden Jahres abgeschlossen sein soll. Damit dürfte das novellierte KDG wohl frühestens 2026 in Kraft treten.