In der aktuellen Ausgabe des Datenschutz-Beraters habe ich mir die Novelle des DSG-EKD angeschaut: »Näher an der DSGVO und spezifischer kirchlich« habe ich den Beitrag programmatisch überschrieben.
Das Forum habe ich genutzt, um am Ende noch einen Schwenk auf das laufende katholische Reformprojekt zu nehmen und meine bekannte Kritik noch einmal einer größeren Fachöffentlichkeit vorzutragen: Ich finde es sehr bedauerlich, dass die Chance verpasst wurde, die großen kirchlichen Datenschutzgesetze stärker einander anzunähern und ökumenische Verarbeitungssituationen zu regeln. Am Ende des Beitrags heißt es daher:
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Erstmals äußert sich eine kirchliche Aufsicht ausführlicher zur gemeinsamen Verantwortlichkeit. Der Beauftragte für den Datenschutz der EKD hat am Donnerstag eine FAQ-Liste zu gemeinsam verantwortlichen Stellen veröffentlicht. Die Liste erläutert allgemein, wie gemeinsame Verantwortlichkeit umgesetzt wird. Die eigentlich spannende und bisher ungeklärte Frage, die nach der Zusammenarbeit von Stellen, die unterschiedlichen Datenschutzgesetzen unterliegen, wird immerhin angesprochen.
Im Blick sind dabei Konstellationen, in denen kirchliche und nichtkirchliche Stellen gemeinsam verantwortlich sind – gemeint sind damit der Diktion des DSG-EKD folgend »kirchliche Stellen« als »dem DSG-EKD unterfallende«, also auch Kooperationen zwischen Stellen, die unterschiedlichen Kirchenrechtsregimen unterliegen. Einige Fragen bleiben trotzdem offen.
Solide konfessionelle Milieus haben Vorteile: Wo’s die gibt, braucht man sich nicht um Rechtsfragen der Ökumene zu kümmern Monokonfessionelle Milieus gibt’s aber immer weniger, das Bewusstsein und der Bedarf für die Zusammenarbeit aller Christ*innen immer mehr, und dementsprechend auch immer mehr ökumenische institutionelle Kooperationen: Besonders im sozialen Bereich gibt es viele Einrichtungen in ökumenischer Trägerschaft: Dem Selbstverständnis nach christlich, aber eben nicht nur einer Gemeinschaft zugehörig. Das wirft rechtliche Fragen auf, auch für den Datenschutz: Gilt kirchliches Recht – und wenn ja welches?
Auch wenn Diakonie und Caritas draufstehen: Ob es ein katholisches, ein evangelisches oder ein ökumenisches Haus im Rechtssinn ist, erkennt man daran noch nicht. (Caritas/Roland Knillmann)
Im Bereich des Datenschutzes sind die konfessionellen Gesetze wenig hilfreich; dort kommen solche Konstruktionen schlicht nicht vor. Die jeweiligen Festlegungen zum organisatorischen Anwendungsbereich gehen von Stellen aus, die zu genau einer Kirche gehören. Was zu gelten hat, wenn eine Institution evangelisch und katholisch getragen wird, und das womöglich noch zu gleichen Gesellschaftsanteilen, ist ungeklärt. Mit Blick auf das kirchliche Arbeitsrecht hat sich der ehemalige Präsident des Kirchen- und des Verfassungsgerichtshofs der EKD Harald Schliemann in der aktuellen Ausgabe der ZMV (4/2021, S. 182–185) mit der Frage ökumenischer Trägerschaft befasst – ein Aufsatz, der zwar nicht vom Datenschutzrecht handelt, aber doch auch dafür erhellend ist.
Die Evangelische Kirche der Pfalz stellt eine Besonderheit dar: Sie ist – neben der personell stark mit dem EKD-Datenschutzbeauftragten verwobenen Nordkirche – die einzige Landeskirche, die allein eine eigene Datenschutzaufsicht betreibt. Freundlicherweise hat mir die Datenschutzbeauftragte Pia Schneider ihre Tätigkeitsberichte für die Jahre 2017/18 und 2019/20 zur Verfügung gestellt, die nicht online zu finden sind. Tätigkeitsberichte nach dem DSG-EKD sind Mangelware – weniger Aufsichten und Berichtspflicht nur alle zwei Jahre führen dazu, dass über das DSG-EKD und seine Anwendung deutlich weniger bekannt ist als zu seinem katholischen Pendant.
Die Speyerer Gedächtniskirche ist die Hauptkirche der Kirche der Pfalz – sie hat den höchsten deutschen Kirchturm westlich des Rheins zwischen Köln und Straßburg, was allerdings mit Datenschutz nichts zu tun hat. (Bildquelle: AnRo0002 (Wikimedia Commons), CC0; bearbeitet und montiert)
Die Berichte der Pfälzer Aufsicht sind sehr kompakt – einmal eine Seite, im Folgejahr zwei. Neben viel aufsichtsüblicher Routine erfährt man aber doch noch einiges Interessantes. Sicher das spannendste: Im jüngsten Bericht wird die Übertragung der Datenschutzaufsicht durch die Landeskirche auf die EKD angesprochen – »spätestens ab 2023«. Das dürfte schon deshalb sinnvoll sein, weil das Diakonische Werk der Pfalz bereits unter der Aufsicht des Beauftragten für den Datenschutz der EKD steht. Auf Nachfrage teilte die Datenschutzbeauftragte mit, dass die Übertragung voraussichtlich in den nächsten ein bis anderthalb Jahren erfolgen werde. »Erste Gespräche in unserem Hause werden noch im Laufe dieses Jahres stattfinden«, so Schneider.
Jetzt sind die katholischen Tätigkeitsberichte komplett: Die Diözesandatenschutzbeauftragte Ursula Becker-Rathmair, zuständig für die Südwest-Bistümer Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier, hat am Dienstag ihren Bericht für 2019veröffentlicht. Er ist weitgehend überraschungsfrei, hat aber drastische Beispiele für die Praxisrelevanz von Datenschutz.
»Die Sensibilisierung für den Schutz der eigenen Daten hat an Fahrt aufgenommen«, betont Becker-Rathmair – auch sie hat mehr zu tun. Aber nicht so viel mehr, wie man bei diesen großen Bistümern erwarten könnte, jedenfalls in manchen Bistümern. Zeigen sich hier Compliance-Lücken bei den Verantwortlichen? Jedenfalls nicht in Trier: Das ist zahlenmäßig Spitzenreiter
