Während die Evaluierungsklausel in Art. 97 DS-GVO weitgehend leerläuft – weil für inhaltliche oder auch nur redaktionelle Änderungen der DS-GVO derzeit die politische Kraft fehlt – wurde das Versprechen in § 54 Abs. 4 DSG-EKD eingehalten: Die Evangelische Kirche Deutschlands hat ihr Datenschutzrecht geprüft und weiterentwickelt. Mit Beschluss der EKD-Synode vom November 2024 und mit Wirkung ab 1. Mai 2025 wurden zahlreiche Regelungen verändert. Einen Überblick über die Änderungen geben wir im nachfolgenden Blog-Beitrag.
Zu den Zielen der Reform
Das dabei verfolgte Ziel – kommuniziert in den Beratungen und erfreulicherweise auch klar erkennbar an der Novelle selbst – war ein Doppeltes: Einerseits sollten kirchliche Bedürfnisse (noch) stärker berücksichtigt werden und andererseits war der in Art. 91 DS-GVO geforderte Einklang mit den Vorgaben der DS-GVO abzusichern. Letzteres wiederum aus zwei Gründen:
- Der Einklang mit der DS-GVO ist (teilweise) Wirksamkeitsvoraussetzung für das kirchliche Recht. Diesbezügliche Unsicherheiten und Zweifel könnten die Rechtsanwendung behindern.
- Eine Anpassung des Kirchenrechts an die DS-GVO überall dort, wo nicht aus guten Gründen – nämlich kirchlichen Bedürfnissen – Abweichungen nötig sind, dient auch der einfacheren Rechtsanwendung. In vielen Konstellationen haben verantwortliche Stellen neben dem DSG-EKD gleichzeitig die DS-GVO zu beachten oder kooperieren mit anderen verantwortlichen Stellen, für die staatliches Recht – also die DS-GVO – gilt.
Um es vorwegzunehmen: Die Fortentwicklung des DSG-EKD ist gelungen. Wer sich selbst überzeugen und auf den Rechtswechsel per 1. Mai 2025 vorbereiten möchte, findet in der Beschlussvorlage der EKD-Synode ab Seite 39 eine hilfreiche Synopse zwischen Ausgangstext und Neufassung mit zugehörigen Erläuterungen. Bei der Beschlussfassung selbst wurde lediglich in § 36 Abs. 5 noch das Wort schriftlich ersetzt durch in Textform. Die meisten Änderungen sind – im besten Sinne des Wortes – redaktioneller Art: Viele Bestimmungen wurden klarer und kürzer gefasst, Widersprüche und Fehler beseitigt.
Ein sehr bitterer Wermutstropfen ist allerdings, dass man gleichzeitig mit der Annäherung an die DS-GVO (eindeutig: mehr Bürokratie, dazu sogleich) die Mindest-Datenschutz-Ressourcen einkürzt (siehe unten zu § 38). Wie im staatlichen Bereich scheint als Bürokratie-Abbau zu gelten: „Wir regeln den Datenschutz aufwändig und setzen ihn anschließend nicht um.“
Aus „welt- und kirchenfremder“ Sicht könnte man – gerade angesichts der jedem Praktiker bekannten Missstände und erheblichen Probleme bei der Anwendung der DS-GVO – bedauern, dass der Kirchengesetzgeber seine autonomen Möglichkeiten nicht mutig genutzt hat, um das Datenschutzrecht auch gegenüber der DS-GVO fortzuentwickeln. Derartige Wünsche verkennen aber wahrscheinlich die Möglichkeiten und Ziele kirchlichen Datenschutzrechts. Verbesserungen des EU-Datenschutzrechts müssen in Brüssel und in den Mitgliedstaaten erarbeitet werden.
Einige Änderungen im Überblick
Zu einzelnen Punkten:
- In § 12 DSG-EKD betreffend die Einwilligung Minderjähriger wird die aus der DS-GVO übernommene Einschränkung auf „elektronische Angebote“ herabgestuft als Anwendungsbeispiel. An dieser Stelle ist das DSG-EKD dann doch der DS-GVO voraus.
- Betroffenenrechte müssen gemäß § 16 Abs. 3 DSG-EKD nunmehr „unverzüglich, in jedem Fall innerhalb von drei Monaten nach Eingang des Antrags“ bedient werden. Dies entspricht in Summe der Frist der DS-GVO (einmonatige Bearbeitung zuzüglich zweimonatiger Verlängerung).
- In § 17 Abs. 1 DSG-EKD beugt sich der kirchliche Gesetzgeber bei der Informationspflicht gegenüber Betroffenen nun doch der Vorgabe der DS-GVO. Bisher war im Bereich der EKD die Information Betroffener nur auf Verlangen geschuldet. Wegen der – aus Sicht des Verfassers: unbegründeten Zweifel, ob dies im Einklang mit der DS-GVO stehe, wurde die Vorschrift geändert. Damit ergibt sich auch für kirchliche Stellen erheblicher Informationsaufwand ins Blaue hinein – mit zweifelhaftem Datenschutz-Effekt.
- Für Fälle automatisierter Entscheidungsfindung ist in § 17 Abs. 2 Nr. 5 DSG-EKD jetzt der Wortlaut aus Art. 13 Abs. 2 lit. f) DS-GVO übernommen und zwar – obwohl der kirchliche Gesetzgeber offenbar vom Text der DS-GVO sprachlich wenig begeistert war – in Gänze, „um an der Auslegung der DS-GVO partizipieren zu können“ (Erläuterung in der Synopse der Beschlussvorlage). Dem entspricht dann eine Ergänzung beim Auskunftsrecht, § 19 Abs. 1 Nr. 8 der Neufassung).
- In § 19 Abs. 4 DSG-EKD wurde jetzt ergänzend zum Recht auf Auskunft auch der Anspruch auf eine „Kopie der personenbezogenen Daten“ eingefügt. Dies dient wieder dem „Einklang“ mit der DS-GVO.
- Gestrichen ist – wieder mit dem Ziel der bestmöglichen Absicherung des „Einklangs“ mit der DS-GVO – die Möglichkeit der Auskunftsverweigerung bei unverhältnismäßigem Aufwand, § 19 Abs. 4 DSG-EKD a. F.
- Nach § 19 Abs. 7 DSG-EKD bleibt die Auskunftsverweigerung wegen unverhältnismäßigen Aufwands jetzt nur noch bei Verarbeitung nach § 50 DSG-EKD, also zu Archiv-, Forschungs- und statistischen Zwecken möglich. Auch diese Anpassung „Richtung DSGVO“ wird in der Praxis Mehraufwand bedeuten.
- An verschiedenen Stellen wurde das „kirchliche Interesse“ oder „wichtige kirchliche Interesse“ als Kriterium für die Datenverarbeitung oder die Einschränkung von Betroffenenrechten gestrichen, z. B. in § 22 Abs. 2 und § 24 Abs. 2 DSG-EKD.
- Ebenfalls mehrfach im Gesetz, z. B. in § 30 Abs. 3 sowie § 36 Abs. 5 DSG-EKD, ist die Schriftform durch das Erfordernis der Textform ersetzt und damit geklärt, dass auch elektronische Texte den gesetzlichen Anforderungen genügen.
- Für die Praxis wichtig und erleichternd wird in § 30 Abs. 5 DSG-EKD gestattet, dass nicht-kirchliche Auftragsverarbeiter auch ohne Unterwerfung unter die kirchliche Datenschutzaufsicht genutzt werden können.
- § 30a DSG-EKD gestattet „zentrale Verfahren“, bei denen – wiederum die kirchliche Verwaltung deutlich erleichternd – „die Verteilung der datenschutzrechtlichen Aufgaben, Befugnisse und Verantwortlichkeiten zwischen den beteiligten verantwortlichen Stellen“ kirchenrechtlich abweichend vom DSG-EKD festgelegt werden darf.
- Der – unnötige und nur historisch tradierte – Begriff der „Betriebsbeauftragten“ neben den „örtlich Beauftragten“ wurde in § 36 DSG-EKD gestrichen und ist damit endgültig Geschichte.
- In derselben Norm folgt der Kirchengesetzgeber dem Schwellwert in § 38 BDSG: Auch in kirchlichen Stellen sind künftig örtlich Beauftragte für den Datenschutz notwendig, wenn „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ betraut – nicht: beschäftigt – sind. Beim Schwellenwert und dem Abstellen auf automatisierte Verarbeitungen folgt der Kirchengesetzgeber also dem BDSG-Vorbild für nicht-öffentliche Stellen – allerdings auch für Kirchenbehörden. Ausweislich der Begründung geht er bewusst andere Wege, indem neben Beschäftigten auch ehrenamtlich Tätige berücksichtigt (mitgezählt) werden („betraut“ anstelle „beschäftigt“).
- Der Maximalbetrag für Bußgelder der Aufsichtsbehörde wurde in § 42 Abs. 5 DSG-EKD von 500.000 Euro auf 6 Millionen Euro erhöht.
- Als § 50b DSG-EKD finden sich neue Regelungen zur Kommunikation mit den Mitgliedern, auch zur Datenverwendung innerhalb der Gemeinde (bei Amtshandlungen und Jubiläen) sowie für „das Werben um persönlichen und finanziellen Einsatz für kirchliche und diakonische Zwecke“.
Fazit
Parallel zur gesetzlichen Neuregelung ergibt sich auch eine wichtige organisatorische Veränderung: Seit Jahresbeginn liegt die Datenschutzaufsicht für alle Gliedkirchen und diakonischen Werke vollständig beim Datenschutzbeauftragten der EKD. Der Internetauftritt mit zahlreichen Informationen und Arbeitshilfen zum Datenschutz der EKD findet sich unter datenschutz.ekd.de. Detaillierte und fundierte Informationen über den gesamten Gesetzgebungsprozess finden sich – wie immer bei Themen des kirchlichen Datenschutzrechts – im Datenschutz-Blog artikel91.eu.
Auf die Anwender des DSG-EKD in den verantwortlichen Stellen kommt einige Arbeit zu – bezeichnender Weise ganz überwiegend dort, wo sich das Kirchenrecht auf die DS-GVO zubewegt. Der Arbeitsschwerpunkt 2025 für örtlich Beauftragte könnte deshalb z. B. lauten: Hilfestellung geben beim Aufbau der (künftig obligatorischen) Informationstexte. Und der Appell an die verantwortlichen Stellen: Bitte nicht mit dem neuen Schwellenwert das Datenschutz-Personal abbauen. Das DS-GVO-nahe DSG-EKD verursacht mehr Arbeit als zuvor – nicht weniger. Frohes Schaffen!
Update 20. Januar 2025: Am 15. Januar 2025 wurde das gesamte EKD-Datenschutzgesetz in konsolidierter Fassung im Amtsblatt der EKD abgedruckt und ist hier abrufbar. Darüber hinaus ist die dargestellte Synopse samt Begründung vollständig – auch betreffend die letzte Änderung im Gesetzgebungsverfahren zu § 36 Abs. 5 DSG-EKD – hier veröffentlicht. Wir danken unserer Leserschaft für die eingebrachten Hinweise!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
