Während die Evaluierungsklausel in Art. 97 DS-GVO weitgehend leerläuft – weil für inhaltliche oder auch nur redaktionelle Änderungen der DS-GVO derzeit die politische Kraft fehlt – wurde das Versprechen in § 54 Abs. 4 DSG-EKD eingehalten: Die Evangelische Kirche Deutschlands hat ihr Datenschutzrecht geprüft und weiterentwickelt. Mit Beschluss der EKD-Synode vom November 2024 und mit Wirkung ab 1. Mai 2025 wurden zahlreiche Regelungen verändert. Einen Überblick über die Änderungen geben wir im nachfolgenden Blog-Beitrag.

Zu den Zielen der Reform

Das dabei verfolgte Ziel – kommuniziert in den Beratungen und erfreulicherweise auch klar erkennbar an der Novelle selbst – war ein Doppeltes: Einerseits sollten kirchliche Bedürfnisse (noch) stärker berücksichtigt werden und andererseits war der in Art. 91 DS-GVO geforderte Einklang mit den Vorgaben der DS-GVO abzusichern. Letzteres wiederum aus zwei Gründen:

• Der Einklang mit der DS-GVO ist (teilweise) Wirksamkeitsvoraussetzung für das kirchliche Recht. Diesbezügliche Unsicherheiten und Zweifel könnten die Rechtsanwendung behindern.

• Eine Anpassung des Kirchenrechts an die DS-GVO überall dort, wo nicht aus guten Gründen – nämlich kirchlichen Bedürfnissen – Abweichungen nötig sind, dient auch der einfacheren Rechtsanwendung. In vielen Konstellationen haben verantwortliche Stellen neben dem DSG-EKD gleichzeitig die DS-GVO zu beachten oder kooperieren mit anderen verantwortlichen Stellen, für die staatliches Recht – also die DS-GVO – gilt.

Um es vorwegzunehmen: Die Fortentwicklung des DSG-EKD ist gelungen. Wer sich selbst überzeugen und auf den Rechtswechsel per 1. Mai 2025 vorbereiten möchte, findet in der Beschlussvorlage der EKD-Synode ab Seite 39 eine hilfreiche Synopse zwischen Ausgangstext und Neufassung mit zugehörigen Erläuterungen. Bei der Beschlussfassung selbst wurde lediglich in § 36 Abs. 5 noch das Wort schriftlich ersetzt durch in Textform. Die meisten Änderungen sind – im besten Sinne des Wortes – redaktioneller Art: Viele Bestimmungen wurden klarer und kürzer gefasst, Widersprüche und Fehler beseitigt.

Ein sehr bitterer Wermutstropfen ist allerdings, dass man gleichzeitig mit der Annäherung an die DS-GVO (eindeutig: mehr Bürokratie, dazu sogleich) die Mindest-Datenschutz-Ressourcen einkürzt (siehe unten zu § 38). Wie im staatlichen Bereich scheint als Bürokratie-Abbau zu gelten: „Wir regeln den Datenschutz aufwändig und setzen ihn anschließend nicht um.“

Aus „welt- und kirchenfremder“ Sicht könnte man – gerade angesichts der jedem Praktiker bekannten Missstände und erheblichen Probleme bei der Anwendung der DS-GVO – bedauern, dass der Kirchengesetzgeber seine autonomen Möglichkeiten nicht mutig genutzt hat, um das Datenschutzrecht auch gegenüber der DS-GVO fortzuentwickeln. Derartige Wünsche verkennen aber wahrscheinlich die Möglichkeiten und Ziele kirchlichen Datenschutzrechts. Verbesserungen des EU-Datenschutzrechts müssen in Brüssel und in den Mitgliedstaaten erarbeitet werden.

Einige Änderungen im Überblick

Zu einzelnen Punkten:

• In § 12 DSG-EKD betreffend die Einwilligung Minderjähriger wird die aus der DS-GVO übernommene Einschränkung auf „elektronische Angebote“ herabgestuft als Anwendungsbeispiel. An dieser Stelle ist das DSG-EKD dann doch der DS-GVO voraus.

• Betroffenenrechte müssen gemäß § 16 Abs. 3 DSG-EKD nunmehr „unverzüglich, in jedem Fall innerhalb von drei Monaten nach Eingang des Antrags“ bedient werden. Dies entspricht in Summe der Frist der DS-GVO (einmonatige Bearbeitung zuzüglich zweimonatiger Verlängerung).

• In § 17 Abs. 1 DSG-EKD beugt sich der kirchliche Gesetzgeber bei der Informationspflicht gegenüber Betroffenen nun doch der Vorgabe der DS-GVO. Bisher war im Bereich der EKD die Information Betroffener nur auf Verlangen geschuldet. Wegen der – aus Sicht des Verfassers: unbegründeten Zweifel, ob dies im Einklang mit der DS-GVO stehe, wurde die Vorschrift geändert. Damit ergibt sich auch für kirchliche Stellen erheblicher Informationsaufwand ins Blaue hinein – mit zweifelhaftem Datenschutz-Effekt.

• Für Fälle automatisierter Entscheidungsfindung ist in § 17 Abs. 2 Nr. 5 DSG-EKD jetzt der Wortlaut aus Art. 13 Abs. 2 lit. f) DS-GVO übernommen und zwar – obwohl der kirchliche Gesetzgeber offenbar vom Text der DS-GVO sprachlich wenig begeistert war – in Gänze, „um an der Auslegung der DS-GVO partizipieren zu können“ (Erläuterung in der Synopse der Beschlussvorlage). Dem entspricht dann eine Ergänzung beim Auskunftsrecht, § 19 Abs. 1 Nr. 8 der Neufassung).

• In § 19 Abs. 4 DSG-EKD wurde jetzt ergänzend zum Recht auf Auskunft auch der Anspruch auf eine „Kopie der personenbezogenen Daten“ eingefügt. Dies dient wieder dem „Einklang“ mit der DS-GVO.

• Gestrichen ist – wieder mit dem Ziel der bestmöglichen Absicherung des „Einklangs“ mit der DS-GVO – die Möglichkeit der Auskunftsverweigerung bei unverhältnismäßigem Aufwand, § 19 Abs. 4 DSG-EKD a. F.

• Nach § 19 Abs. 7 DSG-EKD bleibt die Auskunftsverweigerung wegen unverhältnismäßigen Aufwands jetzt nur noch bei Verarbeitung nach § 50 DSG-EKD, also zu Archiv-, Forschungs- und statistischen Zwecken möglich. Auch diese Anpassung „Richtung DSGVO“ wird in der Praxis Mehraufwand bedeuten.

• An verschiedenen Stellen wurde das „kirchliche Interesse“ oder „wichtige kirchliche Interesse“ als Kriterium für die Datenverarbeitung oder die Einschränkung von Betroffenenrechten gestrichen, z. B. in § 22 Abs. 2 und § 24 Abs. 2 DSG-EKD.

• Ebenfalls mehrfach im Gesetz, z. B. in § 30 Abs. 3 sowie § 36 Abs. 5 DSG-EKD, ist die Schriftform durch das Erfordernis der Textform ersetzt und damit geklärt, dass auch elektronische Texte den gesetzlichen Anforderungen genügen.

• Für die Praxis wichtig und erleichternd wird in § 30 Abs. 5 DSG-EKD gestattet, dass nicht-kirchliche Auftragsverarbeiter auch ohne Unterwerfung unter die kirchliche Datenschutzaufsicht genutzt werden können.

• § 30a DSG-EKD gestattet „zentrale Verfahren“, bei denen – wiederum die kirchliche Verwaltung deutlich erleichternd – „die Verteilung der datenschutzrechtlichen Aufgaben, Befugnisse und Verantwortlichkeiten zwischen den beteiligten verantwortlichen Stellen“ kirchenrechtlich abweichend vom DSG-EKD festgelegt werden darf.

• Der – unnötige und nur historisch tradierte – Begriff der „Betriebsbeauftragten“ neben den „örtlich Beauftragten“ wurde in § 36 DSG-EKD gestrichen und ist damit endgültig Geschichte.

• In derselben Norm folgt der Kirchengesetzgeber dem Schwellwert in § 38 BDSG: Auch in kirchlichen Stellen sind künftig örtlich Beauftragte für den Datenschutz notwendig, wenn „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ betraut – nicht: beschäftigt – sind. Beim Schwellenwert und dem Abstellen auf automatisierte Verarbeitungen folgt der Kirchengesetzgeber also dem BDSG-Vorbild für nicht-öffentliche Stellen – allerdings auch für Kirchenbehörden. Ausweislich der Begründung geht er bewusst andere Wege, indem neben Beschäftigten auch ehrenamtlich Tätige berücksichtigt (mitgezählt) werden („betraut“ anstelle „beschäftigt“).

• Der Maximalbetrag für Bußgelder der Aufsichtsbehörde wurde in § 42 Abs. 5 DSG-EKD von 500.000 Euro auf 6 Millionen Euro erhöht.

• Als § 50b DSG-EKD finden sich neue Regelungen zur Kommunikation mit den Mitgliedern, auch zur Datenverwendung innerhalb der Gemeinde (bei Amtshandlungen und Jubiläen) sowie für „das Werben um persönlichen und finanziellen Einsatz für kirchliche und diakonische Zwecke“.

Fazit

Parallel zur gesetzlichen Neuregelung ergibt sich auch eine wichtige organisatorische Veränderung: Seit Jahresbeginn liegt die Datenschutzaufsicht für alle Gliedkirchen und diakonischen Werke vollständig beim Datenschutzbeauftragten der EKD. Der Internetauftritt mit zahlreichen Informationen und Arbeitshilfen zum Datenschutz der EKD findet sich unter datenschutz.ekd.de. Detaillierte und fundierte Informationen über den gesamten Gesetzgebungsprozess finden sich – wie immer bei Themen des kirchlichen Datenschutzrechts – im Datenschutz-Blog artikel91.eu.

Auf die Anwender des DSG-EKD in den verantwortlichen Stellen kommt einige Arbeit zu – bezeichnender Weise ganz überwiegend dort, wo sich das Kirchenrecht auf die DS-GVO zubewegt. Der Arbeitsschwerpunkt 2025 für örtlich Beauftragte könnte deshalb z. B. lauten: Hilfestellung geben beim Aufbau der (künftig obligatorischen) Informationstexte. Und der Appell an die verantwortlichen Stellen: Bitte nicht mit dem neuen Schwellenwert das Datenschutz-Personal abbauen. Das DS-GVO-nahe DSG-EKD verursacht mehr Arbeit als zuvor – nicht weniger. Frohes Schaffen!

Update 20. Januar 2025: Am 15. Januar 2025 wurde das gesamte EKD-Datenschutzgesetz in konsolidierter Fassung im Amtsblatt der EKD abgedruckt und ist hier abrufbar. Darüber hinaus ist die dargestellte Synopse samt Begründung vollständig – auch betreffend die letzte Änderung im Gesetzgebungsverfahren zu § 36 Abs. 5 DSG-EKD – hier veröffentlicht. Wir danken unserer Leserschaft für die eingebrachten Hinweise!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Warnung vorweg: Das folgende ist Werbung in eigener Sache, also naturgemäß nicht neutral.

Nach jahrelanger Arbeit ist im Dezember der erste und bislang einzige Kommentar zum Datenschutzgesetz der Evangelischen Kirche Deutschlands (DSG-EKD) erschienen. Er vereint 19 Autoren, darunter alle Aufsichtsbehörden der Evangelischen Kirche in Deutschland (EKD), staatliche Aufsichtsbehörden, im Kirchendatenschutz spezialisierte Berater sowie Vertreter der Kirchenverwaltung und der Wissenschaft.

Der Kommentar behandelt das Datenschutzrecht der EKD vollständig und eigenständig, verweist Leser also nicht auf die Datenschutz-Grundverordnung und deren Kommentierungen. Damit wird ein großer Vorteil des DSG-EKD und des kirchlichen Datenschutzes genutzt: Während staatliches Datenschutz-Recht über Datenschutz-Grundverordnung, Bundesdatenschutzgesetz und Landesgesetze verstreut ist – vielleicht nie so zersplittert war, wie derzeit – regeln die Kirchen den Datenschutz „in einem Guss“. Das bietet den anwendenden Personen deutlich mehr Klarheit und Übersicht.

753 Seiten kosten 119,00 Euro. Für alle im Bereich der EKD tätigen Datenschutzbeauftragten kann das Buch die tägliche Arbeit hoffentlich erleichtern und gehört sicher zu den notwendigen Mitteln, die von der jeweiligen Einrichtung zur Verfügung gestellt werden (§ 37 Abs. 1 Satz 5 DSG-EKD).

Die Evaluierung des DSG-EKD hat im vergangenen Jahr begonnen und wird im laufenden Jahr vielleicht abgeschlossen. Es wäre schön, wenn der kirchliche Gesetzgeber die hier und da in den letzten Jahren sichtbar gewordenen Verbesserungsmöglichkeiten nutzt, gleichzeitig aber den Mut findet und behält, den Datenschutz eigenständig, unter Berücksichtigung kirchlicher Besonderheiten und im besten Falle einfacher, klarer und wirksamer als in der Datenschutz-Grundverordnung zu regeln.

Alle Mitwirkenden am Kommentar freuen sich über Reaktionen aus dem Leserkreis, sei es Kritik, Lob oder eine Anregung für künftige Änderungen/Ergänzungen.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wer die Titelfrage nicht spontan beantworten kann, ist womöglich trotzdem Datenschutz-Spezialist, aber nicht aktiv im kirchlichen Bereich. Art. 91 DS-GVO enthält die „Öffnungsklausel“ der Datenschutz-Grundverordnung für das kirchliche Datenschutzrecht, hinsichtlich des materiellen Rechts in Abs. 1 und betreffend die Aufsichtsbehörden in Abs. 2.

Soweit, so einfach. Die vollständige Antwort auf die Titelfrage bereitet aber auch den Spezialisten im kirchlichen Datenschutzrecht Schwierigkeiten: Wann genau dürfen Kirchen und Religionsgemeinschaften ein eigenes Datenschutzrecht anwenden und eigene Aufsichtsbehörden einsetzen? Was die Regelungen der DSGVO genau bedeuten, wird wohl auch bei Art. 91 DS-GVO erst in den nächsten Jahren klar. Ein Schritt auf dem Weg der Klärung ist ein Urteil des Verwaltungsgerichts Hannover vom 15. Dezember 2022 (Az. 10 A1195/21).

Geklagt hat die Selbständige Evangelisch-Lutherische Kirche (SELK) mit Sitz in Hannover gegen die Landesbeauftragte für Datenschutz Niedersachsen. Die SELK ist als Körperschaft des öffentlichen Rechts anerkannt und verfügt derzeit über etwa 150 Gemeinden mit mehr als 32.000 Mitgliedern. Mit ihrer Gerichtsklage wollte die SELK – nachdem die Niedersächsische Aufsichtsbehörde sich als kontrollbefugt sah – ihr eigenes Datenschutzrecht und die eigene Datenschutzaufsicht durchsetzen. Das ist in erster Instanz misslungen; die Klage wurde vom VG Hannover abgewiesen. Wegen grundsätzlicher Bedeutung hat das Verwaltungsgericht aber eine Berufung erlaubt und Berufung wurde eingelegt. Nun wird das Thema also erneut – beim Niedersächsischen Oberverwaltungsgericht in Lüneburg – verhandelt, vielleicht (und hoffentlich) auch unter Beteiligung des Europäischen Gerichtshofs (EuGH).

Was ist daran spannend?

Art. 91 DS-GVO bezieht sich im Titel auf bestehende Datenschutzvorschriften von Kirchen und Religionsgemeinschaften. Nach Abs. 1 dürfen solche Regeln unter zwei Bedingungen weiter angewendet werden: Sie müssen „zum Zeitpunkt des Inkrafttretens dieser Verordnung“ als „umfassende Regeln“ schon existiert haben und „mit dieser Verordnung in Einklang gebracht werden“. Bei der SELK existierte seit 1993 eine Richtlinie über den Datenschutz, die zum 24. Mai 2018 gründlich überarbeitet (im Wesentlichen dem Datenschutzgesetz der Evangelischen Kirche Deutschlands angepasst) wurde. Ein Jurist wurde zum Datenschutzbeauftragten und als Aufsichtsbehörde berufen.

Nachdem die Niedersächsische Landesbeauftragte dies zunächst (2019) anerkannte, sieht sie sich seit 2020 als aufsichtszuständig an, weil Art. 91 DS-GVO nicht eingreife: Die SELK habe am25. Mai 2016 keine umfassenden Regelungen zum Datenschutz besessen.

In der Fachliteratur ist noch umstritten und ungeklärt, was unter umfassenden Regeln nach Art. 91 Abs. 1 DS-GVO zu verstehen ist und ob diese wirklich bei Inkrafttreten der DS-GVO am 24. Mai 2016 schon existieren mussten oder auch später entstehen dürfen. Für die zweite Frage ist vor allem wichtig, ob man Art. 91 DS-GVO als Bestandsschutzregel versteht – dann die extreme Bedeutung des Stichtags 24.05.2016 – oder als Schutz des Selbstbestimmungsrechts von Kirchen und Religionsgemeinschaften, auch mit Blick auf Art. 22 der EU-Grundrechte-Charta – dann wohl auch spätere Datenschutzregeln zulässig.

Für beide Auffassungen gibt es gute Gründe. Letztlich ist entscheidend, wie der EuGH die Frage beantwortet. Das VG Hannover durfte den EuGH fragen, musste dies aber nicht und hat sich – leider – gegen eine Vorlage nach Luxemburg entschieden. Nun dauert es länger bis zur abschließenden Klärung. Das Niedersächsische OVG wird hoffentlich den EuGH befragen und nicht seinerseits diese Aufgabe wieder der nächsten Instanz, dem Bundesverwaltungsgericht, zuschieben. Die Antwort des VG Hannover ist juristisch genauso gut wie die Gegenposition vertretbar; es ist aber „nur“ die Antwort eines Verwaltungsgerichts und nicht die abschließende Klärung durch den EuGH.

Nachdem das VG Hannover die Datenschutz-Richtlinien der SELK von 1993 nicht als umfassende Regeln anerkannte (nur ganz wenige Religionsgemeinschaften, vielleicht überhaupt nur die Evangelische Kirche Deutschlands und die Katholischen Bistümer in Deutschland, dürften vor Mai 2016 „umfassende Datenschutzregeln“ aufgewiesen haben), stellte sich das nächste spannende Problem: Dass die DS-GVO gilt, wenn die Ausnahme nach Art. 91 DS-GVO nicht greift, ist klar. Aber wer ist dann als Datenschutzbehörde für die SELK zuständig?

Art. 51 Abs. 1 DS-GVO überlässt den Mitgliedstaaten die Regeln zur Einrichtung und Zuständigkeit der Aufsichtsbehörden. Und in Deutschland ist dabei vieles (übrigens nicht nur für den hier behandelten Bereich) schiefgegangen. Dies beginnt schon mit der Unterscheidung von öffentlichen und nicht-öffentlichen Stellen, die es in der DS-GVO nicht gibt. Aber das wäre Stoff für einen anderen Blogbeitrag – schreiben Sie uns, falls das Thema Sie interessiert!

Eine öffentliche Stelle des Bundes – beaufsichtigt durch den Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI) – ist die SELK nach § 2 Abs. 1 und 3 BDSG jedenfalls nicht. Die Definition für öffentliche Stellen der Länder in § 2 Abs. 2 BDSG und § 1 Abs. 1 des Niedersächsischen Datenschutzgesetzes passt ebenso wenig. Als nicht-öffentliche Stelle gemäß § 2 Abs. 2 BDSG kann man die SELK als Körperschaft des öffentlichen Rechts beim besten oder schlechtesten Willen auch nicht bezeichnen. Damit greift weder die Zuständigkeitsregel für den BfDI nach § 9 Abs. 1 BDSG, noch diejenige zugunsten der Niedersächsischen Datenschutzaufsicht gemäß § 40 BDSG und § 18 i.V.m. § 1 des NDSG.

Fazit

Das VG Hannover erkennt das Problem, überlässt die Lösung aber nicht dem Gesetzgeber, sondern erklärt – sehr forsch – die SELK als Körperschaft des öffentlichen Rechts durch „unionrechtskonforme Auslegung“ von § 40 BDSG und § 22 NDSG zur nicht-öffentlichen Stelle. Den Besonderheiten der Religionsgemeinschaft könne „durch eine schonende Handhabung der Aufsicht Rechnung getragen werden“. Damit hat das VG Hannover im ersten wichtigen Punkt (Stichtag ja oder nein) den Gesetzeswortlaut strengstens befolgt und ihn im zweiten wichtigen Punkt (Aufsichtszuständigkeit) völlig beiseite geschoben. Schade. Nun gilt mindestens bis zur OVG-Entscheidung weiterhin: Abwarten. Erforderlich wäre eine EuGH-Entscheidung zu maßgeblichen Zeitpunkten bei Art. 91 Abs. 1 DSGVO und eine klarere Zuständigkeitsregelung durch den / die deutschen Gesetzgeber.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.