Seit geraumer Zeit ist es beschlossene Sache: Die neue EU-Datenschutzgrundverordnung (DS-GVO) ist in Kraft getreten und hat ab dem 25. Mai 2018 in Deutschland Rechtsgeltung. Damit wird der Datenschutz innerhalb der Europäischen Union erstmals vereinheitlicht.
Wie so oft, wenn ein neues Gesetz größere Änderungen mit sich bringt, herrscht auf vielen Seiten Unkenntnis und Verunsicherung. Nur 13 Prozent der Unternehmen hierzulande haben einer Umfrage des IT-Branchenverbandes Bitkom zufolge bislang in dieser Hinsicht „erste Maßnahmen begonnen oder umgesetzt“. Wer den Kopf in den Sand steckt, für den könnte es laut Bitkom teuer werden: Die Verordnung erlaubt bei Verstößen Bußgelder in Höhe von vier Prozent des Jahresumsatzes. Nach Ansicht von Bitkom drohen diesen Firmen in wenigen Monaten „Millionen-Bußgelder" (Quelle: golem.de).
Ähnlich unvorbereitet dürften die meisten deutschen Non-Profit-Organisationen sein. Es stellen sich viele Fragen: 
Rechtsanwalt Ralf Rösler ist Experte für die neue EU-Datenschutzgrundverordnung.
Foto: © SAZ/Roland SchellwaldInwieweit betrifft Non-Profit-Organisationen die DS-GVO? Wer muss was beachten beziehungsweise was sollte man darüber wissen?
Am 6. September 2017 ergriffen 18 Teilnehmer aus verschiedensten Organisationen die Chance, sich rechtzeitig auf die Änderungen vorzubereiten, die sich in den Bereichen Mailing, Online, Telefonie, Datenerfassung und Datenspeicherung ergeben. Beim Seminar „EU-Datenschutzgrundverordnung und ePrivacy“, das die Fundraising Akademie in Zusammenarbeit mit der SAZ organisiert hatte, konnten sie sich anwenderfreundlich und zielorientiert auf das neue Gesetz vorbereiten. Zwei weitere Veranstaltungen dieser Art werden noch folgen.
Das Filantro Fundraising Echo berichtete bereits in der Ausgabe 2/2017 unter der Headline „DS-GVO, ePrivacy-VO und Spendenwerbung" über die Änderungen und möchte die Leser gern auch weiterhin auf die neue EU-Datenschutzgrundverordnung vorbereiten. In diesem Bericht beschäftigen wir uns ausführlich mit den Auswirkungen auf das kirchliche Datenschutzrecht.
DS-GVO und kirchliches Datenschutzrecht
Von Rechtsanwalt Ralf Rösler
Das Bundesdatenschutzgesetz (BDSG) gilt nicht für die Kirchen aufgrund deren verfassungsrechtlich gewährleisteten Selbstverwaltungsrechts (Art. 140 des Grundgesetzes i.V.m. Art. 137 (3) der Weimarer Verfassung). Die Kirchen haben daher eigene Datenschutzregelungen geschaffen und sie unterliegen einer eigenen Datenschutzaufsicht. Für den Bereich der Evangelischen Kirche Deutschland (EKD) einschließlich der Diakonie war bisher das Kirchengesetz über den Datenschutz in der EKD (DSG-EKD) und für die Katholische Kirche einschließlich der Caritas die Anordnung über den kirchlichen Datenschutz (KDO) zu beachten. Das gilt auch für die jeweils angeschlossenen Werke und Einrichtungen.
Die EU-Datenschutzgrundverordnung (DS-GVO) ist allerdings künftig – zumindest mittelbar – auf die Kirchen anwendbar, wobei das Selbstverwaltungsrecht nach Maßgabe des Art. 91 DS-GVO erhalten bleibt.
Bestehende kirchliche Datenschutzregelungen dürfen danach „weiter angewandt werden, sofern sie mit der DS-GVO in Einklang gebracht werden“ (Art. 91 (1) DS-GVO), also dem Schutzniveau der DS-GVO ab dem 25.05.2018 in allen wesentlichen Punkten zumindest entsprechen.
Beide Kirchen kommen diesem gesetzgeberischen Auftrag nach. Die an die DS-GVO angepasste Neufassung des DSG-EKD soll am 01.01.2018 in Kraft treten und das die KDO ablösende neue Kirchliche Datenschutzgesetz (KDG) am 01.05.2018.
Ob dieser Einklang letztlich hergestellt wurde, ist nicht von einer staatlichen, sondern einer kirchlichen Aufsichtsbehörde zu beurteilen (Art. 91. (2) DS-GVO). „Wer bewacht die Wächter?", möchte man da fragen.
Erste Zweifel gibt es. Bedenklich ist etwa das sich in der Begründung zu § 29 des neuen KDG der Katholischen Kirche offenbarende Gesetzesverständnis der Auftragsverarbeitung. Dort heißt es: „Wie bereits in der noch geltenden KDO wird weiterhin der Auftragnehmer nicht als „Dritter“ bei der „Offenlegung“ personenbezogener Daten (frühere Bezeichnung: „Datenübermittlung“) angesehen. <…> Der Auftragsdatenverarbeiter ist also insoweit privilegiert, als eine Offenlegung der Daten an ihn ohne Prüfschranken erfolgen kann.“
Es gibt aber in der DS-GVO – anders als nach dem BDSG – kein Privileg der Auftrags(daten)verarbeitung (mehr), wonach die Datenübermittlung an den Auftragsverarbeiter innerhalb der EU keiner Rechtfertigung bedarf.
Der Auftragsverarbeiter ist zwar kein „Dritter“ (Art. 4 Nr. 10 DS-GVO), aber dennoch ein „Empfänger“ (Art. 4 Nr. 9 DS-GVO), wenn er Daten vom Verantwortlichen zur Verarbeitung erhält. Es kommt bei der Offenlegung (bisher „Übermittlung“) nicht mehr darauf an, ob dies gegenüber einem „Dritten“ geschieht.
So heißt es in Art. 4 DS-GVO: „Im Sinne dieser Verordnung bezeichnet der Ausdruck <…> 2. ,Verarbeitung' <…> die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung. <…> 9. ,Empfänger' eine natürliche Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.“
Die DS-GVO ist auch an dieser Stelle mit ganz neuen Augen zu sehen.
Die Datenweitergabe an den Auftragsverarbeiter muss – und kann – durch einen Erlaubnistatbestand nach Art. 6 (1) DS-GVO gerechtfertigt werden (Wahrung berechtigter Interessen).
Wer sich bei einem praxisorientierten Kompaktseminar auf die Änderungen durch die neue EU-Datenschutzgrundverordnung vorbereiten will, sollte sich jetzt diese Termine vormerken: Die Seminare finden am 8. November 2017 und am 21. März 2018 statt. Referent wird der Autor dieses Artikels Rechtsanwalt Ralf Rösler sein. Für weitere Informationen zur Veranstaltung und Anmeldung klicken Sie bitte hier.