Am 24. Mai gilt das Datenschutzgesetz der EKD seit fünf Jahren. Was hat sich bewährt? Wo gibt es Reformbedarf? Im Interview berichtet der Beauftragte für den Datenschutz der EKD, Michael Jacob, von seinen Erfahrungen als Leiter der größten evangelischen Datenschutzaufsicht. Datenschutz ist für ihn keine Bremse, sondern ein Qualitätsmerkmal.
Michael Jacob ist seit 2014 BfD EKD, 2022 trat er seine zweite achtjährige Amtszeit an. Der westfälische Jurist hat in seiner ersten Amtszeit den Übergang vom alten aufs neue, an die DSGVO angelehnte Datenschutzgesetz der EKD begleitet. Bildquelle: BfD EKD/Michael Jacob
Nach fünf Jahren steht die Evaluation des DSG-EKD an. Bei der Aufsichtstätigkeit haben sich einige Punkte ergeben, an denen es zu schrauben gilt – und auch die Entscheidungen von Gerichten sind zu berücksichtigen.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Das DSG-EKD sieht anders als die DSGVO kein eigenständiges Recht auf Erhalt einer Kopie vor – was die EU-Verordnung in Art. 15 Abs. 3 regelt, fehlt in § 19 DSG-EKD schlicht. In seiner ersten Entscheidung zum evangelischen Datenschutzrecht hatte sich der Verwaltungssenat des EKD-Kirchengerichtshof damit auseinanderzusetzen – und sorgt mit seinem Urteil für eine große Überraschung.
Die Entscheidungsgründe sind vom Kirchengericht noch nicht zur Veröffentlichung freigegeben, sie liegen mir allerdings aus ungenannter Quelle vor (Kirchengerichtshof, Verwaltungssenat, Urteil vom 9. September 2022, Az. 0135/4-2020).
Das DSG-EKD – demnächst im Eimer? Auch wenn der EKD-Kirchengerichtshof nicht anwenden will, ist das doch ein eher unwahrscheinliches Szenario.
Wie so oft sind Behandlungsunterlagen in dem Fall der Ausgangspunkt. Dabei bleibt es aber nicht: Die eigentlichen Akten sind verschwunden, die betroffene Person verlangte von der befassten Datenschutzaufsicht Kopien von Akten und klagte sie nun erfolgreich ein. Der Verwaltungssenat griff dabei zu einer Argumentation, die das Potential hat, das evangelische Datenschutzrecht als Ganzes ins Wanken zu bringen, wenn sich die Rechtsprechung verstetigen sollte – was aber sehr unwahrscheinlich ist.
Der Praxis-Kommentar DSGVO von Freund/Schmidt/Heep/Roschek(Affiliate link) hat den Anspruch, eine Kommentierung für den Alltag zu sein. Diese Heransgehensweise ist für einen eher abstrakten Artikel wie Art. 91 DSGVO anspruchsvoll. In der Gliederung und Schwerpunktsetzung gelingt es aber mit vertiefter Kenntnis der kirchlichen Datenschutzlandschaft, das Ziel zu erreichen.
So kenntnisreich der Kommentar auch Wissen zum kirchlichen Datenschutz sammelt: Etwas mehr Sorgfalt bei der Ausweisung der Quellen hätte ihm gut getan – und an der hybriden Form muss auch noch gearbeitet werden.
Kurz zusammengefasst lautet das Urteil: Der Wortlaut von Art. 91 DSGVO gilt. Der Kirchenartikel ist wirklich nur eine Bestandsschutzregelung. Eine eingehendere Analyse gibt einige interessante Anhaltspunkte zur Auslegung des Artikels – und wenn das Urteil rechtskräftig werden sollte, werden wohl einige Kommentare umgeschrieben werden müssen.
Natürlich ist die Ausnahmeregel der DSGVO, die Glaubensgemeinschaften eigenes Datenschutzrecht ermöglicht, religionsneutral formuliert. Praktisch wird Art. 91 DSGVO vor allem von christlichen Kirchen genutzt. Es gibt aber doch auch nichtchristliche Gemeinschaften, die Datenschutzrecht setzen: Die Israelitische Religionsgemeinschaft Württembergs und die Jüdische Gemeinde Frankfurt am Main haben beide je eine eigene Datenschutzordnung, die für sich in Anspruch nimmt, Art. 91 DSGVO umzusetzen.
Ein Blick in die beiden Datenschutzordnungen zeigt einerseits sehr eigenständige Regelungen: Mit den großen kirchlichen Gesetzesfamilien KDG und DSG-EKD sind sie ersichtlich nicht verwandt. Zugleich fehlt es aber strukturell an Eigenständigkeit: Die Ordnungen wollen DSGVO und BDSG nur ergänzen, nicht ersetzen. Nicht nur das wirft Fragen nach der Vereinbarkeit mit dem Europarecht auf.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Nach der Niederlage der Selbständigen Evangelisch-Lutherischen Kirche vor dem VG Hannover ist das eigene Datenschutzrecht der Gemeinschaft in der Schwebe: Wenn das Urteil rechtskräftig wird, gilt die DSGVO und die Landesdatenschutzbeauftragte ist zuständig statt einer eigenen kirchlichen Aufsicht. Beide Seiten, die SELK und die LfD Niedersachsen, äußerten sich in der Sache noch nicht. Ob die SELK die Zulassung zur Berufung beantragen wird, steht noch nicht fest: »Das Urteil mit seiner Begründung müssen wir nun abwarten, um anschließend über das weitere Vorgehen zu entscheiden«, sagte ein Sprecher der SELK auf Anfrage. Die LfD Niedersachsen will vor einem rechtskräftigen Urteil noch nichts dazu sagen, wie sie dann agieren werde, wenn ihre Zuständigkeit feststeht. Grundsätzlich begrüßt man in der Aufsicht das Urteil aber: »Wir sehen das Urteil als Bestätigung unserer Rechtsauffassung an, dass es sich bei Art. 91 Abs. 1 DS-GVO um eine abschließende Bestandsschutzregelung handelt, die außerhalb ihres Anwendungsbereichs keinen Raum für sonstige kirchliche Datenschutzvorschriften lässt«, teilte ein Sprecher der Aufsicht auf Anfrage mit.
Der BfD EKD hat seine Position, dass Elternbeiräte keine eigene verantwortliche Stelle sind, jetzt auch noch einmal in einem Kurzbeitrag auf der Webseite der Aufsicht veröffentlicht. So hatte er sich auf schon als Beitrag zu dem ausführlicheren Artikel zum Thema hier auf Anfrage geäußert. Eine Herausforderung: »Da es in der Regel gesetzlich ausgeschlossen ist, dass Mitarbeitende der Kindertageseinrichtungen den Elternbeiräten angehören, haben die Kindertageseinrichtungen keine Möglichkeit, die Einhaltung des Datenschutzes durch die Elternbeiräte zu kontrollieren.« Der BfD EKD empfiehlt daher Sensibilisierung und Vorgaben für den Umgang mit Daten durch die Elternbeiräte.
Bei den Datenschutz-Notizen widmet sich Sebastian Ertel dem hier schon besprochenenIDSG-Beschluss zur konkludenten Einwilligung. Vermisst wird dabei die Auseinandersetzung mit zwei Fragen: Zum einen, ob überhaupt zurecht kirchliches Datenschutzrecht angewendet wurde bei einem von einer kirchlichen Stiftung getragenen Medizinischen Versorgungszentrum, da es »faktisch keinen kirchlichen Auftrag verfolgt«. Zum anderen schweigt die Entscheidung zu dem kuriosen Faktum, dass Patient*innenakten 23 Jahre aufbewahrt wurden: »nach § 10 Abs. 3 MBO-Ärzte bzw. § 630f BGB liegt die Aufbewahrungspflicht und -frist der Behandlungsdokumentation grundsätzlich bei zehn Jahren nach Abschluss der Behandlung«, bemerkt Ertel.
Die Selbständige Evangelisch-Lutherische Kirche ist mit ihrer Feststellungsklage vor dem Verwaltungsgericht Hannover gescheitert: Wie das Gericht am Mittwoch mitteilte, hat die 10. Kammer die Klage der Kirche abgewiesen.
Die SELK wollte feststellen, dass sie ihre eigene Datenschutzrichtlinie gemäß Art. 91 DSGVO anwenden dürfe und dass sie nicht der Aufsicht der niedersächsischen Landesdatenschutzbeauftragten unterfalle. Gegen das Urteil kann vor dem Oberverwaltungsgericht Lüneburg die Zulassung zur Berufung beantragt werden. Die Entscheidungsgründe liegen noch nicht schriftlich vor. (VG Hannover, Urteil vom 30.11.2022, Az. 10 A 1195/21)
Die Kommentarlandschaft bleibt auch im Jahr 5 der DSGVO-Geltung bunt. Und anscheinend werden die Kommentare auch tatsächlich gekauft – sonst würden sie nicht in neuen Auflagen erscheinen. Zwei Standardwerke sind in diesem Spätjahr in dritter Auflage erschienen: Der Gola und der Sydow.
Zwei Kommentare in dritter Auflage – jetzt auch noch mit BDSG-Kommentar.
Nicht nur die Zahl der Neuauflagen haben die Werke gemeinsam: Im Laufe der Zeit haben beide Werke einen Co-Herausgeber bekommen (Heckmann bei Gola, Marsch bei Sydow), beide kommentieren nun auch das BDSG. Ein Blick in die Kommentierung von Art. 91 DSGVO zeigt, dass es hier tatsächliche Fortschritte gibt: Auch wenn die Rechtsprechung direkt zu Art. 91 DSGVO nach wie vor fehlt, hat sich die Literatur zum kirchlichen Datenschutz doch deutlich diversifiziert.
