Als externe Datenschutzbeauftragte betreuen wir unter anderem auch kirchliche Stellen. Hierbei kommt es immer wieder zu intensiven Diskussionen mit Auftragsverarbeitern, die ihr Vertragswerk (unnötiger Weise) ausschließlich auf der DSGVO fußen lassen wollen. Regelmäßig wird argumentiert, dass man sich keinesfalls „der kirchlichen Gerichtsbarkeit unterwerfen“ wolle. Das ist natürlich so (v.a. so pauschal) auch gar nicht erforderlich.
Gesamtbetrachtung der rechtlichen Situation
Das datenschutzrechtliche Verhältnis von Auftraggeber zu Auftragsverarbeiter kann eine Reihe von Besonderheiten und speziellen Situationen hervorrufen, die in der direkten Verarbeitung personenbezogener Daten durch den Verantwortlichen nicht auftreten. Darunter fällt unter anderem das Verhältnis zur Aufsichtsbehörde im Kontext der Auftragsverarbeitung. Beispielsweise ist zur Meldung von Datenschutzverletzungen (auch beim Auftragnehmer) gem. Art. 33 DSGVO der Verantwortliche zuständig, nicht der Auftragsverarbeiter.
Kirchlicher Datenschutz
Kirchen und religiösen Vereinigungen oder Gemeinschaften haben gem. Art. 91 DSGVO die Möglichkeit, eigene Datenschutzregeln zu erlassen und anzuwenden, sofern diese mit der DSGVO in Einklang gebracht werden können – ihr also nicht entgegenstehen. Darüber hinaus eröffnet die DSGVO den Kirchen die Möglichkeit, unabhängige Aufsichtsbehörden zu etablieren. Auch hier gilt, dass die Bedingungen der DSGVO erfüllt sein müssen.
In der Praxis folgt daraus, dass für die Datenverarbeitung in kirchlichen Stellen, genauer gesagt im Bereich der katholischen Kirche und der evangelischen Kirchen in Deutschland, keine Zuständigkeit der weltlichen Aufsichtsbehörden gegeben und die DSGVO nicht anwendbar ist, sondern das jeweils eigene Datenschutzrecht – hier das Gesetz über den kirchlichen Datenschutz (KDG, https://kirchlicher-datenschutz.org/) der katholischen Kirche bzw. das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD, https://www.kirchenrecht-ekd.de/document/41335) einschlägig ist. Das erscheint auf den ersten Blick unproblematisch, da ja dennoch Regeln und eine Aufsicht vorhanden sind, die analog der Vorgaben der DSGVO definiert sind bzw. handeln. Schwierig wird es immer dann, wenn Auftragsverarbeiter, die in den meisten Fällen keine kirchlichen Stellen sind und damit ausschließlich der DSGVO unterliegen, ins Spiel kommen.
Anwendung der kirchlichen Datenschutz-Vorgaben
Viele (nicht-kirchliche) Dienstleister bieten als Auftragsverarbeiter auch ihren Kunden, die dem KDG oder dem DSG-EKD unterliegen zunächst einem Auftragsverarbeitungsvertrag nach DSGVO an. Aufgrund der großen inhaltlichen Nähe der kirchlichen Datenschutzgesetze zur DSGVO ist dies grundsätzlich möglich.
Vertraglich ist es nun notwendig, eine vertragliche „Brücke“ zwischen zwei sehr nah beieinander liegenden und in der Mehrzahl der Aspekte identischen Regelwerken zu schaffen. Es geht hierbei nicht um einen in irgendeiner Form mit der Religion an sich verbundenen Vorgang oder eine allgemeine Unterwerfung unter kirchliche Gerichtsbarkeit, sondern lediglich darum, die kirchlichen Datenschutz-Normen und die Zuständigkeit der kirchlichen Datenschutzaufsicht (und damit natürlich deren Befugnisse zur Durchsetzung der jeweiligen Normen) anzuerkennen, da die kirchliche Stelle als Auftraggeber nur diesen und in der Regel nicht der DSGVO unterliegt.
Im Gegensatz zum KDG beschreibt das DSG-EKD die Anforderung explizit in § 30 Abs. 5. Es erlaubt dort ausdrücklich die Orientierung an Artikel 28 DSGVO, stellt aber klar, dass die Unterwerfung des Auftragsverarbeiters unter die kirchliche Datenschutzaufsicht zwingend erforderlich ist.
All das ist, wie erwähnt, in der Regel kein Nachteil für den Auftragsverarbeiter, da die Grundvoraussetzung für die Gültigkeit dieser kirchlichen Normen die Compliance mit der DSGVO ist. Die Formulierung mit dem eher negativ konnotierten Begriff „Unterwerfung“ ist hierbei jedoch leider kontraproduktiv.
Praktische Relevanz
Kommt es wie im obigen Beispiel zu einer Datenschutzverletzung beim Auftragsverarbeiter, obliegt die Meldepflicht gem. der DSGVO dem Verantwortlichen und nicht dem Auftragsverarbeiter. Auch hier ist in der Praxis kein Problem zu erkennen, da sowohl das KDG als auch das DSG-EKD die Regelung analog der DSGVO implementiert haben.
Ein Unterschied besteht aber dennoch in der Zuständigkeit der Aufsicht für das weitere Verfahren. Für Ermittlungen beispielsweise zu besagter Datenschutzverletzung ist nun eben nicht die Datenschutz-Aufsichtsbehörde des jeweiligen Bundeslandes zuständig, sondern die jeweilige kirchliche Datenschutzaufsicht, mit der der nicht kirchliche Auftragsverarbeiter ansonsten keinerlei Berührungspunkte hat.
Fazit
Die Unterwerfungserklärung ist bei der Ausgestaltung von Auftragsverarbeitungsverträgen nach DSGVO unter Beteiligung kirchlicher Stellen eine rechtliche Notwendigkeit.
Eine Vereinbarung zur Auftragsverarbeitung ohne die Anerkennung der jeweils relevanten kirchlichen Datenschutznorm ist daher nur zulässig, wenn beide Vertragspartner der jeweiligen kirchlichen Datenschutznorm (KDG bzw. DSG-EKD) unterliegen und der gesamte Vertrag zur Auftragsverarbeitung auf ebendieser basiert.
Sprechen wir miteinander!
Haben Sie Fragen zu Digitalisierung, Cybersicherheit oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.
Der Autor
Falk Schmidt ist Projektberater für digitale Geschäftsprozesse, Cyber Security sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.
Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.