Nichtamtliche Begründung zum Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland
(EKD-Datenschutzgesetz - DSG-EKD) in der Bekanntmachung der Neufassung
vom 1. Januar 2013

Die technische Fortentwicklung im Bereich der elektronischen Datenübermittlung hat sich auch im kirchlichen Bereich niedergeschlagen. Sie hat zu drei Novellen beim Bundesdatenschutzgesetz (BDSG) geführt, die am 1. April 2010 und am 11. Juni 2010 in Kraft getreten sind. Sie betreffen insbesondere die Rechtsgrundlagen der Datenverarbeitung und die Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten.

Im Weiteren ist am 9. März 2010 ein Urteil des EuGH (NJW 2010 S. 1265) ergangen, dies hat eine entsprechende Fortschreibung der Datenschutzgesetze auf Bundes- und Landesebene von Nöten gemacht. In dem Urteil des EuGH wird der Bundesrepublik eine nicht mit der EU-Richtline übereinstimmende Umsetzung hinsichtlich der Unabhängigkeit der Kontrollstellen vorgehalten.

Die Kirche trifft dieses EuGH-Urteil insofern, als den Kirchen die Meldedaten zulässiger Weise nur übermittelt werden dürfen, wenn sichergestellt ist, dass ausreichende Datenschutzmaßnahmen getroffen sind. Die Feststellung hierüber trifft die zuständige Landesbehörde. Dies ist so in den Landesmeldegesetzen und im Melderechtsrahmengesetz des Bundes geregelt und wird sich in gleicher Weise im neuen Bundesmeldegesetz wiederfinden. Dem gestiegen Datenschutzniveau ist also kirchlicherseits Rechnung zu tragen, will man nicht den Zusammenbruch des kirchlichen Meldewesens, des Kirchensteuereinzugsverfahrens und des kirchlichen Mitgliedschaftsrechtes riskieren.

Darüber hinaus liegt seit dem 25. Januar 2012 ein Vorschlag der Europäischen Kommission für eine "Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung von personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)" vor. Diese EU-Rechtsverordnung wird, sobald sie verabschiedet und in Kraft gesetzt ist, in allen ihren Teilen verbindlich und gilt damit unmittelbar in jedem Mitgliedstaat der EU, insoweit auch für die Kirche. Der Zeitplan für die Umsetzung dieser EU-Verordnung sieht zurzeit wie folgt aus: Zunächst wird sich der Europäische Rat und das EU-Parlament dieses Entwurfs in seinen Ausschüssen ab März/April 2012 annehmen und mit einer entsprechenden Stellungnahme versehen. Der Rat der EU, das heißt konkret jedes Mitgliedsland der EU wird votieren und mit entsprechenden Änderungsvorschlägen aufwarten können. Das Ganze wird von der EU-Kommission ausgewertet und mit einem veränderten Verordnungsvorschlag zur erneuten Zustimmung in die EU-Gremien zurückgespielt. Dies soll innerhalb einer Jahresfrist, spätestens vor Ende der laufenden Legislaturperiode des Europäischen Parlamentes, das heißt spätestens bis Anfang 2014, zum Abschluss gebracht werden. Falls dies nicht möglich ist, müsste der gesamte Verordnungsentwurf in der sich anschließenden Legislaturperiode neu eingebracht werden.

In dem vorliegenden Entwurf der EU-Verordnung wird größtenteils auf das Bundesdatenschutzgesetz als Maßstab zurückgegriffen. Die Ausformung des Datenschutzgesetzes in der Bundesrepublik Deutschland stellt nach Auffassung der EU-Kommission das am besten ausformulierte Schutzniveau dar, dessen sich die EU-Kommission bedient hat. Darüber hinaus werden einige Bereiche, insbesondere was die Stellung und die Einbindung der Datenschutzbeauftragten und der Aufsichtsbehörden betrifft, im Sinne der o.g. EuGH-Entscheidung festgeschrieben und weiter ausgeformt. An diesen Grundsätzen wird sich nichts ändern, zumal dies durch die Rechtsprechung des EuGH weitgehend vorgegeben ist. Welche weiteren konkreten, materiellen Inhalte letztlich aus dem Verordnungsentwurf später im endgültigen Text zustehen kommen, ist zum jetzigen Zeitpunkt noch schwer abzuschätzen. Doch sieht der Entwurf in seinen Artikeln 9 und 85, sowie in seinem Erwägungsgrund 128, eine Festschreibung der bisherigen kirchlichen Position vor, die den Erhalt des eigenen kirchlichen Datenschutzes in materieller Hinsicht sowie den Erhalt der eigenen Datenschutzaufsicht festschreibt. Der Entwurf geht damit über das hinaus, was den Kirchen bisher im Bundesdatenschutzgesetz als Normierung zugestanden wurde. Hier musste immer mit dem "beredten Schweigen" des Gesetzgebers argumentieren werden, um unsere eigenständige Regelungskompetenz zu begründen.

Die Datenschutzkontrollstellen müssen ihre Aufgaben ohne jegliche unmittelbare und mittelbare Einflussnahme Dritter wahrnehmen können.

Es darf keine Fach- und Rechtsaufsicht geben.

Auch eine mögliche Dienstaufsicht darf nicht zu einer unmittelbaren oder mittelbaren Einflussnahme auf Entscheidungen der Datenschutzkontrollstellen führen.

Eine Einflussnahme seitens der kontrollierten Stellen ist auszuschließen.

Zu einer unabhängigen Amtsführung gehören ausreichende Eingriffs- und Durchsetzungsbefugnisse.

Um eine unabhängige Wahrnehmung der Tätigkeit der Datenschutzkontrollstellen zu gewährleisten, muss ihnen die notwendige Entscheidungshoheit bei Personal, Haushalt und Organisation zustehen."

Im Bericht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 14. April 2011 findet die Kirche erstmals ausdrücklich Erwähnung (S. 26):

Bei der Reflektion zum o.g. EuGH-Urteil wird ausgeführt: "darüber hinaus muss auch die autonome Datenschutzaufsicht bei den Religionsgemeinschaften und im Verwaltungsbereich der öffentlich-rechtlichen Rundfunkanstalten auf den Prüfstand, da auch hier eine völlige Unabhängigkeit im Sinne der Europäischen Vorgaben nicht gegeben ist."

Bei den Gesprächen im Bundesministerium am 12. Juli 2011 zu den kirchlichen Petita zum Entwurf des Bundesmeldegesetzes wurde hinsichtlich des kirchlichen Wunsches, hierin einen Anspruch der Kirchen auf Datenübermittlung festzuschreiben, entgegnet, dass kein expliziter Anspruch festgeschrieben wird. Es könnten sich Fallkonstellationen ergeben, die es aus datenschutzrechtlichen Gründen verbieten, entsprechende Daten an die Kirchen weiterzuleiten.

Auch die Möglichkeit der Teilnahme an einem im Entwurf zum Bundesmeldegesetzes vorgesehenen automatisierten Abrufverfahren von Meldedaten wird den Kirchen verweigert mit der Begründung, dass staatlicherseits keine Kontrollmöglichkeit bestehe, was im weiteren bei Gewährung eines direkten Zugangs der Kirchen zu den staatlichen Datenbanken mit den Daten im kirchlichen Bereich geschehe. Man habe die Befürchtung, "etwas in eine Wolke zu geben ohne Kontrollmöglichkeit".

In alldem wird die Notwendigkeit deutlich, die Unabhängigkeit der Datenschutzbeauftragten im kirchlichen Bereich gemäß den Kriterien des nationalen- und des EU-Rechtes zu erfüllen und dies nach innen und nach außen deutlich zu machen. Auch an dieser Umsetzung wird in Zukunft gemessen werden, ob die Kirchen weiterhin Meldedaten erhalten, wie es § 19 Absatz 3 des Melderechtsrahmengesetzes, bzw. § 33 Absatz 13 des Entwurfs des Bundesmeldegesetzes vorsehen, die festschreiben, dass die Kirchen die Meldedaten nur erhalten, "wenn sichergestellt ist", dass bei Ihnen "ausreichende Datenschutzmaßnahmen getroffen sind". Nach den geltenden Landesmeldegesetzen trifft diese "Feststellung hierüber die zuständige oberste Landesbehörde". Es zeichnet sich ab, dass sich das jeweilige Landesinnenministerium als oberste Landesbehörde dieser Aufgabe intensiver als bisher zuwenden wird und etwa alle zwei Jahre eine entsprechende Kontrolle vorsehen könnte. Andeutungen in dieser Hinsicht wurden an uns herangetragen. Die Notwendigkeit, datenschutzrechtlich auf der Höhe der Zeit zu sein, ist evident, will man nicht den Zusammenbruch des kirchlichen Meldewesens riskieren.

In der jetzt anstehenden Novellierung des DSG-EKD müssen zum einen die Bereiche, die durch die letzten Novellierungen des Bundesdatenschutzgesetzes, wie sie zum 1. April 2010 und zum 11. Juni 2010 in Kraft getreten sind, aufgegriffen werden. Diese Dinge stellen mehr oder weniger Selbstverständlichkeiten dar.

Hinzu tritt die Umsetzung des EuGH-Urteils vom 10. März 2010, was insbesondere in den Landesmeldegesetzen ihren Ausdruck und auch als vom Europäischen Gesetzgeber zu beachtendes Recht in der EU-Datenschutz-Grundverordnung bereits ihren Niederschlag gefunden hat. Dies betrifft hauptsächlich die Unabhängigkeit der Datenschutzkontrollstellen, für die Kirchen der kirchlichen Datenschutzbeauftragten. Dies stellt einen großen Kraftakt dar, da sich nach den eingeholten Befragungsergebnissen in den meisten Landeskirchen ein erheblicher Nachbesserungsbedarf zeigt.

Grundsätzlich kann dies auf drei unterschiedlichen Wegen erreicht werden:

Einige Landeskirchen und diakonische Werke lassen die Aufgaben der Datenschutzbeauftragten nach § 18 durch externe Personen und Stellen wahrnehmen. Dies ist solange unbedenklich, solange dies durch einen anderen kirchlichen Datenschutzbeauftragten geschieht. Unter Berücksichtigung der Vorgaben des EU-Rechtes sowie der gängigen Praxis beim Staat ist festzustellen, dass die Sicherstellung der Einhaltung des Datenschutzrechtes auf der Ebene der Beauftragten für den Datenschutz, anders als bei den örtlichen und Betriebsbeauftragten für den Datenschutz, grundsätzlich eine hoheitliche Aufgabe ist, die nicht in einen privaten Sektor ausgegliedert werden kann. Auch dürfte angesichts der zukünftig sehr viel größeren Kompetenzen der Datenschutzbeauftragten die Durchsetzung der "hoheitlichen Maßnahmen" in Form von Verwaltungsakten von privaten externen Personen und Stellen schwierig werden, zum Einen wegen der Akzeptanz, zum Anderen ist es fraglich, ob diese - allenfalls als beliehener Unternehmer - Verwaltungsakte erlassen können und dagegen der Rechtsweg eröffnet ist. Soweit in der Rechtsliteratur die Auffassung vertreten wird, dass die Datenschutzaufsicht auch durch private Externe betrieben werden kann, bezieht sich dies auf die Betriebsbeauftragten oder die örtliche Beauftragten für den Datenschutz (z.B. § 4f BDSG). Deshalb stellen die Beauftragten für den Datenschutz durchgängig bei den Bundesländern und bei dem Bundesbeauftragten für den Datenschutz eine staatliche, hoheitliche Struktur dar, der sich auch die Kirche - wie es auf staatlicher Seite geschieht – aus Gründen der Gleichwertigkeit stellen muss.

Die Ausstattung der Datenschutzbehörden auf staatlicher Seite ist - bezogen auf das Jahr 2011 - auch beim Zugrundelegen der weitaus größeren Aufgabengebiete wesentlich umfänglicher (z.B. NRW 50 Mitarbeitende, Nds. ca. 30 Stellen). EKD-weit einschließlich Diakonie kommen wir insgesamt knapp auf einen zweistelligen Wert, die die Stadt Bremen allein – wahrlich bei anderen Datenströmen - für ihren Bereich vorhält. Hamburg weist 16,7 Stellen aus, davon 13,45 Stellen als Beamte und 3,25 für Angestellte. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) weist 44 Beschäftigte, davon 8 Teilzeitkräfte auf.

Um eine eigenständige Amtsstellenstruktur zu gewährleisten, sind aufgrund datenschutzrechtlicher Erwägungen als Mindestausstattung eine halbe Stelle für den Datenschutzbeauftragten und eine viertel Mitarbeiterstelle sowie eine Schreibkraft vorzusehen. Darunter lässt sich keine sinnvolle Einheit bilden und eine unabhängige Arbeitsweise garantieren. Gleichwohl zeigt sich, dass die Schaffung solcher Kleinstbehörden in mehrfacher Zahl über die EKD verteilt, Schwierigkeiten hervorrufen wird, auch bei der einheitlichen Anwendung und Überwachung des Datenschutzes. Von daher liegt eine größtmögliche Zusammenarbeit in diesem Bereich nahe.

Bei einer Million Kirchenmitgliedern ist nach realistischer Einschätzung des Arbeitsvolumens und im Abgleich mit den Aufgaben und der Ausstattung der Landesdatenschutzbeauftragten als Mindestausstattung eine volle Stelle eines/einer Datenschutzbeauftragten und eine halbe Mitarbeiterstelle sowie eine Stelle für eine Schreibkraft vorzusehen.

Bei einer höheren Kirchenmitgliederzahl oder bei gleichzeitiger Zuständigkeit für die Diakonie, ist eine entsprechende prozentuale Aufstockung vorzunehmen. Für die Arbeitsbereiche der Diakonie sollten die überschlagmäßige Anzahl der Klientel und der Mitarbeitenden sowie die Anzahl der Einrichtungen, zugrunde gelegt werden, bei der personenbezogene Daten anfallen.

Soweit Gliedkirchen sich zur Wahrnehmung der Aufgabe des Datenschutzes zusammenschließen und größere Einheiten bilden, können erhebliche Synergieeffekte entstehen, die größten bei einer EKD-weiten Wahrnehmung: Hier könnten dann vier bis sechs dezentrale Datenschutzzentren vorgehalten werden, die eine möglichst ortsnahe Anbindung sicherstellen und einige der bisherigen Strukturen nutzen. Daneben sind die örtlichen oder die Betriebsbeauftragten für Datenschutz als Ortskräfte einzusetzen, die diese Aufgaben neben weiteren erfüllen können und nicht die ansonsten für die Datenschutzbeauftragten erforderliche Unabhängigkeit vorzuweisen haben.

Bei 23 Millionen Kirchenmitgliedern EKD-weit und unter Beibehaltung der gliedkirchlichen Einzelstruktur errechnen sich EKD-weit 23 Vollzeitstellen, 12 Mitarbeiterstellen und etwa gleich viele Sekretariats-Arbeitsplätze.

Soweit die Aufgaben gemeinschaftlich von den Gliedkirchen wahrgenommen werden, können bei Ausnutzung aller Synergieeffekte und bei der Bestellung eines gemeinsamen EKD-Datenschutzbeauftragten plus einem ständigen Vertreter neben zwei weiteren IT-Fachkräften und zwei Schreibkräften beispielsweise mit Standort Hannover bis zu sechs weitere Standorte gebildet werden. Hier wären über die EKD verteilt nochmals sechs juristische und sechs IT-Vollzeitfachkräfte neben sechs Schreibkräften anzusiedeln. Bei der Finanzierung könnte neben einem Sockelbetrag eine anteilige Kostenumlage nach den Mitgliedern nach Beschäftigtenzahlen der jeweiligen Gliedkirche vorgesehen werden, die sich damit an dem tatsächlichen Aufwand orientiert. Hierzu sind die weiteren Konzepte und die finanziellen Belastungen parallel zum Gesetzgebungsverfahren auszuarbeiten.

In der Praxis ist der Stellenwert, der der IT-Sicherheit bei den kirchlichen Stellen zugewiesen wird, höchst unterschiedlich. Es ist oft schwierig, ein angemessenes Sicherheitsniveau zu erreichen und aufrecht zu erhalten. Die Gründe dafür sind vielfältig: fehlende Ressourcen, zu knappe Budgets und nicht zuletzt die steigende Komplexität der IT-Systeme. Analog zur Entwicklung in der Informationstechnik sind die Anforderungen an IT-Sicherheit immer komplexer und umfassender geworden. Eine Vielzahl von IT-Sicherheitsprodukten und -beratern bieten unterschiedlichste Lösungen an. Da haben selbst Experten Mühe, den Überblick zu behalten.

Seitens der kirchlichen Datenschutzbeauftragten muss es deswegen bei den Prüfungen vor Ort nicht nur um die einzelnen IT-Komponenten mit mehr oder weniger abgeschlossenen Maßnahmenpakete gehen, sondern es ist ein abgeschlossenes IT-Sicherheitskonzept für die jeweilige kirchliche Stelle vorzulegen. Dabei wird der im staatlichen Bereich zu Grunde gelegte Standard herangezogen.

Seitens der Verantwortlichen aus den Leitungsorganen hört man zum Teil weit verbreitete Fehleinschätzungen zum eigenen Schutzbedarf. Die Aussage „Bei uns ist noch nie etwas passiert“ ist mutig. Die Einschätzung „Was soll bei uns schon zu holen sein, so geheim sind unsere Daten nicht“ ist in den meisten Fällen zu oberflächlich. Externe Überprüfungen decken nahezu immer ernste Schwachstellen auf und sind ein guter Schutz vor „Betriebsblindheit“. Auch die Aussage „Unsere Mitarbeiter unterliegen dem Datenschutz und sind vertrauenswürdig“ ist zwar grundsätzlich richtig, doch verschiedene Statistiken zeichnen ein anderes Bild: Die Mehrzahl der Sicherheitsverstöße wird durch Innentäter verursacht. Dabei muss nicht immer Vorsatz im Spiel sein. Auch durch Versehen, Übereifer oder Neugierde gepaart mit mangelndem Problembewusstsein (zu wenig oder keine Schulungen) entstehen manchmal große Schäden.

Sicherheit ist kein statischer Zustand, sondern ein ständiger Prozess. Für die kirchlichen Stellen sind immer wieder die folgenden Fragen zu beantworten:

Eine solche Rechtsverordnung des Rates der EKD könnte sich an den Empfehlungen des Bundesamtes für Sicherheit und Informationstechnik (BSI) zur Informationssicherheit und zum IT-Grundschutz orientieren. Dies sorgt für eine anerkannte Basis und gewährt eine größtmögliche Einheitlichkeit innerhalb der EKD. Das BSI bietet seit vielen Jahren Informationen und Hilfestellungen rund um das Thema IT-Sicherheit: Als ganzheitliches Konzept für IT-Sicherheit hat sich das Vorgehen nach IT-Grundschutz zusammen mit den IT-Grundschutz-Katalogen des BSI als Standard etabliert. Diese vom BSI seit 1994 eingeführte und weiterentwickelte Methode bietet sowohl eine Vorgehensweise für den Aufbau einer Sicherheitsorganisation als auch eine umfassende Basis für die Risikobewertung, die Überprüfung des vorhandenen IT-Sicherheitsniveaus und die Implementierung der angemessenen IT-Sicherheit. Die IT-Grundschutz-Kataloge dienen außerdem zahlreichen Unternehmen und staatlichen Behörden als wichtiges Fundament eigener Maßnahmenkataloge. Im Rahmen der Umsetzung der im IT-Sicherheitskonzept enthaltenen Maßnahmen ist zu beachten, dass die IT-Sicherheitsmaßnahmen in einem angemessenen Verhältnis zum Wert der schützenswerten Daten und IT-Systeme stehen müssen. Die Verantwortung für die IT-Sicherheit obliegt dem Leitungsorgan; daher ist das IT-Sicherheitskonzept sowie alle wesentliche Maßnahmen durch das Leitungsorgan zu beschließen.

In Satz 1 wird eine Legaldefinition normiert. Dies erlaubt, den Anwendungsbereich des Gesetzes klarer als bisher abstecken zu können. Die Zuordnungsrichtlinie der EKD leistet hierzu eine entscheidende Hilfestellung: Der Kirche und der Diakonie sind solche Werke und Einrichtungen zuzuordnen, bei denen der kirchliche oder der diakonische Zweck überwiegt.

In Satz 2 wird die Verantwortlichkeit der EKD, der Gliedkirchen und ihrer gliedkirchlichen Zusammenschlüsse für die Einhaltung der datenschutzrechtlichen Vorschriften auch der ihnen jeweils zugeordneten Werke und Einrichtungen klargestellt.

In Satz 3 wurde die bisherige Verpflichtung zur Anfertigung von Übersichten zur Geltung des kirchlichen Datenschutzes verstärkt: Aus der Soll-Vorschrift ist eine Muss-Vorschrift geworden, insbesondere vor dem Hintergrund, dass zukünftig größere Bereiche einer datenschutzrechtlichen Aufsicht unterstehen.

Absatz 5 nimmt die Regelung des BDSG (§ 1 Absatz 4) auf und bezieht es parallel zum staatlichen Verwaltungsverfahrensgesetz auf das eigenständige kirchliche Verwaltungsverfahrens- und -zustellungsgesetz. Dies hat beispielsweise zur Folge, dass bei der Ermittlung personenbezogener Daten im Rahmen des Verwaltungsverfahrens der Handlungsspielraum der kirchlichen Behörde in gleicher Weise wie der der staatlichen erheblich eingeschränkt ist:

Sie muss in aller Regel versuchen, benötigte Daten bei Betroffenen selbst zu erfragen, bevor sie dritte Informationsquellen nutzt. Vergleichbare Beschränkungen gelten auch bei der weiteren Bearbeitung des Vorgangs im Verwaltungsverfahren, etwa die Bindung der Datenverwendung an den ursprünglichen Erhebungs- bzw. Speicherungszweck oder für eine Datenübermittlung zwischen öffentlichen (kirchlichen) Stellen, auch im Rahmen der "Amtshilfe".

Ferner hat die Auskunftserteilung bzw. die Akteneinsicht zu unterbleiben, wenn sie zu einem unzulässigen Eingriff in das informationelle Selbstbestimmungsrecht des Dritten führen würde (Vgl. zum Ganzen, Simitis, BDSG, 7. Auflage 2011, zu § 1, Rdr. 191 ff).

Mit dieser detaillierten Regelung wird auch der Fortentwicklung der Informationsverarbeitungstechnologie und der Wahrung der informationellen Selbstbestimmung durch einen angemessen Interessensausgleich Rechnung getragen.

In Absatz 1 erfährt die Beobachtungserlaubnis bereits Einschränkungen, sie ist nur in Ausübung des Hausrechtes erlaubt unter dem Gesichtspunkt des Personen- und Sachschutzes und zur Überwachung von Zugangsberechtigungen. Dies alles steht unter der Voraussetzung, dass keine schutzwürdigen Interessen des Betroffenen höher zu bewerten sind.

Absatz 2 setzt der darüber hinausgehenden Videoaufzeichnung dahingehend Grenzen, dass auch sie nur unter der Voraussetzung gestattet ist, dass mit einer Verletzung der Rechtsgüter nach Absatz 1 zukünftig gerechnet werden muss und keine höher einzustufenden Interessen der Betroffenen vorliegen. Nur zur Verfolgung von Straftaten oder zur Abwehr von Gefahren für Leib, Leben oder Freiheit einer Person oder bedeutender Sach- und Vermögenswerte dürfen sie einem anderen Zweck zugeführt werden.

Absatz 3: Auf eine Videoüberwachung und -aufzeichnung ist erkennbar hinzuweisen und die verantwortliche Stelle anzuzeigen.

In Absatz 4 ist die Benachrichtigungspflicht normiert, in Absatz 5 die Löschungsverpflichtung, in Absatz 6 werden die technischen und organisatorischen Maßnahmen angesprochen, die bei einer Videoüberwachung einzuhalten sind.

Absatz 7 legt der diese Daten verarbeitenden Stelle eine umfängliche Dokumentationspflicht auf und bindet die örtlich Beauftragten bzw. die Betriebsbeauftragten für den Datenschutz nach § 22 DSG-EKD mit ein.

In Absatz 8 findet sich eine Erforderlichkeitsüberprüfung alle zwei Jahre und in Absatz 9 werden auch für Videokamera-Attrappen grundsätzliche Regelungen zur entsprechenden Anwendung gestellt.

Absatz 2 stellt für die beauftragende Stelle bei der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten klar, dass ein solcher Auftrag aus Gründen der Wahrung des hohen Datenschutzniveaus nicht außerhalb der Mitgliedsstaaten der Europäischen Gemeinschaft vergeben werden soll. Zur Überwachung dieses Standards ist die oder der Beauftragte für den Datenschutz mit verantwortlich, daher sollte ein solcher Auftrag möglichst in der Bundesrepublik Deutschland ausgeführt werden. Hier kann eine durchaus notwendige Prüfung vor Ort ohne größeren zeitlichen und finanziellen Aufwand durchgeführt werden. Soweit besondere Fallkonstellationen ausnahmsweise eine Beauftragung außerhalb der EU für notwendig erachten, stellt Satz 2 die Voraussetzungen auf, die erfüllt sein müssen. Dies sollte nach einheitlichen Kriterien erfolgen und das entsprechende Wissen wird nicht an mehreren Stellen vorzuhalten sein, sondern für alle abrufbar bei der EKD.

Absatz 3 stellt im Wesentlichen eine Übernahme der neu getroffenen Regelung in § 11 Absatz 2 des BDSG dar und legt die einzelnen Voraussetzungen fest, die bei der Auftragsdatenverarbeitung einzuhalten sind.

Absatz 7 sieht die Möglichkeit vor, dass das Recht der EKD, der Gliedkirchen oder der gliedkirchlichen Zusammenschlüsse Genehmigungen vor einer Fremdvergabe vorsehen können. In der Praxis einiger Gliedkirchen, die das Genehmigungsverfahren in ihren bisherigen Durchführungsbestimmungen vorgesehen haben, hat sich herausgestellt, dass viele Verträge mit Fremdfirmen nicht den gesetzlichen Vorgaben entsprechen und nachgebessert werden müssen. Die Betriebsbeauftragten und örtlich Beauftragten für den Datenschutz sind vielfach überfordert, die Verträge inhaltlich zu prüfen und der Leitung der kirchlichen Stelle deutlich zu machen, welche Regelungen nachzubessern oder neu aufzunehmen sind. Eine Erleichterung kann auch die Verwendung von Muster-Vereinbarungen darstellen, die die Kirchen vorgeben und so ggf. einzelnen Gemeinden oder sonstigen kirchlichen Dienststellen das Verfahren verkürzen und vereinfachen können. Wenn mit der Beauftragung eine andere kirchliche Stelle betraut wird, die der Geltung des DSG-EKD untersteht, kann von den genannten Voraussetzungen abgesehen werden.

In Absatz 1 Satz 1 verbleit es bei der bisherigen Regelung, dass sowohl die EKD als auch die Gliedkirchen für ihren Bereich jeweils Beauftragte für den Datenschutz bestellen können, soweit sie die Wahrnehmung nicht nach § 18b Absatz 1 übertragen haben. An dieser Weichenstellung wird auch in Zukunft festgehalten. Ob sich zukünftig eine eigenständige Organisationsstruktur für einzelne Gliedkirchen als sinnvoll erweist, oder ob eine starke Kooperation untereinander oder sogar die gemeinsame hoheitliche Aufgabenwahrnehmung des Datenschutzes insgesamt von der EKD anzustreben ist, bleibt damit offen. In § 18b wird dieser Grundgedanke noch einmal aufgegriffen und die hier in § 18 Absatz 1 angelegte Weichenstellung noch im Weiteren konkretisiert.

In Absatz 2 wird eine Amtszeitbegrenzung als "Soll-Vorschrift" normiert. Alle Datenschutzgesetze auf staatlicher Ebene sehen Begrenzungen vor. Darüber hinaus ist festgehalten, dass die Tätigkeit hauptberuflich auszuüben ist, das ist der Eigenständigkeit der Aufgabe geschuldet und soll verhindern, dass bei weiteren Tätigkeiten ein möglicher Interessenskonflikt auftreten kann. Soweit Nebentätigkeiten ausgeübt werden, sind diese nur dann möglich, wenn die Unabhängigkeit und die Unparteilichkeit der Aufgabenwahrnehmung des Datenschutzes dadurch nicht gefährdet werden und den Anforderungen der §§ 46 bis 48 Kirchenbeamtengesetz der EKD Rechnung getragen ist. Vergleichbare Regelungen finden sich in den Datenschutzgesetzen in Berlin (§ 22), in Brandenburg (§ 22), in Hessen (§ 21) sowie auch im BDSG (§ 23) beispielhaft wieder.

Der bisherige Absatz 2 wird zu Absatz 3 und um einen neuen Satz 2 ergänzt, der besagt, dass die Stellung des Datenschutzbeauftragten neben den bereits im Vorsatz erwähnten Sachkunde und Zuverlässigkeit auch die Befähigung zum Richteramt oder zum höheren Dienst beinhaltet und dass die entsprechende Person zur Wahrnehmung der Aufgabenfülle das Spektrum des Evangelischen Protestantismus in Deutschland nachvollziehen können muss, das heißt, aus einer Gliedkirche der EKD stammt. Hinsichtlich der Befähigung ist eine Öffnung gegeben, da nur der höhere Dienst und nicht der höhere Verwaltungsdienst vorausgesetzt wird. Eine weitere Abschwächung hin zu einer "Soll-Vorschrift" wurde vielfach abgelehnt, da weitere IT-Fachkompetenz durch die weiteren Mitarbeiter abgedeckt werden kann und soll.

In den neuen Absatz 4 wird die Anbindung an die bisherige Struktur der kirchlichen Verwaltungsämter aufgehoben und als neue Regelung die organisatorische und sachliche Unabhängigkeit festgelegt, die sich auch darin äußert, dass die Beauftragten für den Datenschutz einer eigenen Behörde vorstehen. Soweit eine Dienstaufsicht notwendig ist, darf sie die Unabhängigkeit jedoch nicht beeinträchtigen. Es finden sich vergleichbare Regelungen in BDSG und in den Landesdatenschutzgesetzen.

In Absatz 5 ist der besondere Kündigungsschutz niedergelegt. Es kann nur eine außerordentliche Kündigung erfolgen und der Kündigungsschutz wirkt auch entsprechend nach, soweit sich ein kirchliches Beschäftigungsverhältnis anschließt.

In Absatz 6 ist eine vergleichbare Regelung für beamtete Beauftragte des Datenschutzes vorgesehen, die unter den erschwerten Bedingungen des Kirchenbeamtengesetzes der EKD §§ 76, 77, 79 oder 80 und einem entsprechenden Urteil der Disziplinargerichte aus dem Dienst entfernt werden können.

Die Absätze 5 und 6 machen deutlich, dass es sich um eine hoheitliche Aufgabe handelt, die durch kirchliche Mitarbeitende oder kirchliche Stellen und nicht durch private Personen und Stellen wahrzunehmen sind (siehe auch die ausführlichen Hinweise oben unter I. 3., S. 5f).

In Absatz 7 ist die notwendige Eigenständigkeit auch der Personal- und Sachausstattung normiert, beides kann nur im Einvernehmen mit den Beauftragten für den Datenschutz geschehen. Die Haushaltsmittel sind separat auszuweisen und öffentlich.

In Absatz 8 findet die konsequente Fortentwicklung der Eigenständigkeit darin ihren Ausdruck, dass auch entsprechende Aussagegenehmigungen von Mitarbeitenden in der Datenschutzaufsichtsbehörde von den Beauftragten für den Datenschutz zu treffen sind und es wird festgestellt, dass die Beauftragten für den Datenschutz auch als oberste Dienstaufsichtsbehörde nach § 99 Verwaltungsgerichtsordnung gelten.

In Absatz 9 wird die Bestellung des Vertreters geregelt. Soweit es sich um eine Aufgabenwahrnehmung über einen größeren EKD-Bereich handelt, ist eine ständige Vertretung angezeigt, ansonsten kann eine Vertretung im Verhinderungsfalle ausreichend sein.

In Absatz 10 bleibt es bei der bisherigen Regelung (alt Abs. 7), jedoch waren die Mitarbeitenden ausdrücklich mit einzubeziehen.

Durch die neue Konzeption und Ausstattung der Datenschutzaufsicht wird diese zukünftig auch in der Lage sein, die Einhaltung der Datenschutzvorschriften allumfassend und unangekündigt untersuchen zu können. Dies war bisher so meist nicht der Fall. Das ist jedoch für eine effektive Gewährung des Datenschutzes unumgänglich.

In Absatz 2 wird das Wort "insbesondere" eingefügt, um den Beispielscharakter zu verdeutlichen; die Vorschrift ermöglicht auch eine anlasslose Überprüfung.

In Absatz 4 ist geregelt, dass Beauftragte für den Datenschutz auf Anforderung der kirchenleitenden Organe tätig werden können. Daneben ist es angezeigt, dass die frühzeitige Beteiligung, z.B. bei Stellungnahmen zu aktuellen datenschutzrelevanten Gesetzesvorhaben, genutzt werden sollte.

In Absatz 5 ist die öffentliche Darstellung der Datenschutzaufsicht in entsprechenden (Tätigkeits-)Berichten analog der Regelung des § 26 Absatz 1 Bundesdatenschutzgesetz normiert. Hier sieht der Entwurf der EU-Verordnung im Artikel 54 einen jährlichen Tätigkeitsbericht vor. Dies ist personalintensiv und war deshalb mit einer offenen Frist zu versehen.

In Absatz 10 ist die Zusammenarbeit der kirchlich Beauftragten für den Datenschutz als verpflichtend normiert und im Hinblick auf die staatlichen Beauftragten als eine Soll-Vorschrift zum Erfahrungsaustausch vorgesehen. Die Praxis hat gezeigt, dass ein regelmäßiger Erfahrungsaustausch mit allen kommunalen staatlichen Beauftragten für den Datenschutz nicht praktizierbar ist, daher kann dieser Passus gestrichen werden. Darüber hinaus ist ein neuer Satz 2 angefügt, dass auch eine Verpflichtung besteht, die einheitliche Anwendung und Durchführung des kirchlichen Datenschutzrechtes sicherzustellen. Dies wird Auswirkungen für die praktische Zusammenarbeit der Beauftragten, etwa in regelmäßigen Treffs oder im Aufbau einer zentralen Datenbank und gemeinschaftlich organisierte Fortbildungsveranstaltungen, beinhalten.

Absatz 1 beinhaltet die Vorabkontrolle, Absatz 2 die Einschränkungen sofern ein Beauftragter nach § 22 bestellt ist oder kleinere kirchliche Einrichtungen und Kirchengemeinden unter der neuen Personengrenze liegen, wie sie sie zur Zeit auch noch das BDSG vorsieht (§ 4d Abs. 3).

In Absatz 3 sind besondere Risiken benannt, bei denen eine Vorabkontrolle verpflichtend ist.

Absatz 4 regelt die Zuständigkeit der nach § 22 Beauftragten, die sich in Zweifelsfällen mit dem oder der für sie zuständigen Beauftragten für den Datenschutz (§ 18) in Verbindung setzen können.

In Absatz 1 ist die bisherige Soll-Vorschrift einer Bestellung für den Betriebsbeauftragten bzw. für den örtlich Beauftragten für den Datenschutz zu einer "Muss-Vorschrift" geändert worden. In den Gliedkirchen, in denen schon flächendeckend örtlich Beauftragte oder Betriebsbeauftragte für den Datenschutz bestellt worden sind, überwiegen die sehr positiven Erfahrungen. Der Datenschutz vor Ort erfährt einen höheren Stellenwert, da eine qualifizierte Person zu den Fragestellungen weiterhelfen kann. Auch ist das Handeln für die (landeskirchlichen) Beauftragten für den Datenschutz einfacher, da sie vor Ort Ansprechpersonen haben. Für alle Beteiligten ist es hilfreich, wenn die Qualifizierung der örtlich Beauftragten oder Betriebsbeauftragten für den Datenschutz durch Schulungen seitens der Gliedkirchen bzw. der Beauftragten für den Datenschutz geschieht. Zukünftig hat die Bestellung der örtlich Beauftragten oder Betriebsbeauftragten für den Datenschutz immer schriftlich zu erfolgen. Die bisher in Satz 2 vorgesehene Bestellung bei sechs Personen, die regelmäßig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zu tun haben, wurde auch hier, wie bereits bei § 21 Absatz 2, auf neun Personen angehoben. Gleiches sieht das Bundesdatenschutzgesetz vor (§ 4f Absatz 1 Satz 4 BDSG). Eine strengere Regelung, als das Bundesdatenschutzgesetz bei der Bestellungsverpflichtung vorsieht, erscheint nicht angebracht. Die im BDSG vorgesehene Grenze von 20 Personen betrifft nur den nicht öffentlichen (privaten) Bereich (§ 4f Absatz 1 Satz 3) und kann somit nicht für die Kirche herangezogen werden. Die Bestellung kann sich auf mehrere kirchliche Stellen beziehen, sodass auch hier eine gemeinsame Wahrnehmung zu Synergieeffekten führt. Hierzu können auch Außenstehende, Dritte, bestellt werden, die z.B. aufgrund eines Werkvertrages die Aufgaben eines Betriebsbeauftragten oder eines örtlich Beauftragten für den Datenschutz wahrnehmen. Insofern unterscheiden sie sich gravierend von den Beauftragten für den Datenschutz nach § 18.

In Absatz 3 ist die Befugnis, Auskünfte einzuholen und Einsicht in die Unterlagen zu nehmen, aufgenommen worden.

In Absatz 4 ist ebenfalls das erschwerte Kündigungsrecht wie in § 18 Absatz 5 normiert, das nur aus einem wichtigem Grund ausgeübt werden kann, der auch zu einer fristlosen Kündigung berechtigen würde. Auch hier ist im Weiteren der Kündigungsschutz mit seiner Nachwirkung fixiert, wie es in § 4f Absatz 3 Satz 5 des Bundesdatenschutzgesetzes (BDSG) seinen Ausdruck gefunden hat.

In Absatz 5 wurde zur Qualifizierung der örtlich Beauftragten oder Betriebsbeauftragten für den Datenschutz weitgehend die Regelung des § 4f Absatz 3 Satz 7 des Bundesdatenschutzgesetzes übernommen, in Anlehnung an § 19 Absatz 3 des Mitarbeitervertretungsgesetzes der EKD. Die örtlich Beauftragten oder Betriebsbeauftragten für den Datenschutz haben einen Rechtsanspruch auf Fort- und Weiterbildung, die Dienststelle hat die Kosten zu übernehmen.

Absatz 8 verweist zur Verdeutlichung darauf hin, dass die Bestellung den nach § 18 Absatz 1 Beauftragten für den Datenschutz anzuzeigen ist. Sie müssen über ihre "Ortskräfte“ im Bilde sein.

In Absatz 9 ist der Fall geregelt, dass keine Verpflichtung zur Bestellung einer örtlich Beauftragten oder Betriebsbeauftragten für den Datenschutz besteht. Da die Leitung der kirchlichen Stelle immer die Verantwortung für ein ordnungsgemäßes Handeln trägt, gilt dies erst recht für den Datenschutz. Daher verdeutlicht Abs. 9 diese Verpflichtung der Leitung der kirchlichen Stelle auf Einhaltung der Bestimmungen des Datenschutzes, sowie die ordnungsgemäße Anwendung der DV-Programme zu überwachen, für die Aufklärung und Schulung der Mitarbeitenden Sorge zu tragen. Dies gilt auch für den Fall einer vorübergehenden Vakanz, wenn zum Beispiel eine (Neu)Bestellung von örtlich Beauftragten oder Betriebsbeauftragten für den Datenschutz noch nicht erfolgt ist.