DSG-EKD – ein erster Eindruck

Nein, natürlich bin ich kein Jurist. Dennoch riskiere ich einen laienhaften Blick auf das neue Datenschutzgesetz der EKD, das am Tag vor der DSGVO (Datenschutzgrundverordnung der EU) am 24. Mai 2018 in Kraft getreten und für alle Gliedkirchen verbindlich ist – und damit auch für die Landeskirchen, Kirchenkreise und Gemeinden. Denn als Webdisigner und ehrenamtlich Mitarbeitender einer Kirchengemeinde komme ich unweigerlich damit in Berührung und muss mich mit den Konsequenzen wohl oder übel auseinandersetzen. Und da ich nicht der einzige zu sein scheine, bei dem viele Fragen offen und Unsicherheiten bestehen bleiben, seien meine an dieser Stelle einmal etwas ausführlicher formuliert … und freue mich über jede Rückmeldung, die mir einen Erkenntnisgewinn vermittelt.

Die Diskussionen, die ich bisher mitbekommen habe, zeigen vor allem eins: Kaum einer, der an der Basis arbeitet, kann die Konsequenzen vor Ort abschätzen und einordnen. Die einen sehen schon das Ende jeglicher Öffentlichkeitsarbeit gekommen, andere warten lässig ab und ändern erst einmal gar nichts. Am einfachsten – wenn man das in diesem Zusammenhang so sagen kann – ist noch die Anpassung der Datenschutzerklärung für die eigene Website. Wenn auch manche auf den letzten Drücker, so haben doch einige Landeskirchen inzwischen Muster als Vorlagen zur Verfügung gestellt, die eine erste Hilfestellung bieten. Doch der Datenschutz und die Pflicht zur Information über die eigene Datenverarbeitung geht ja weit über die Onlinepräsenz hinaus. Denn die DSG-EKD hat den Anspruch, DSGVO-konform zu sein und umfasst damit alles, was dort an Ansprüchen und Vorgaben formuliert ist.

Dass man die DSGVO kirchlicherseits nicht einfach übernimmt, liegt an der Stellung der Kirchen in Deutschland und ihrem Recht, eigene Gesetze formulieren und ihre Einhaltung durch eine eigene Gerichtsbarkeit auch kontrollieren zu dürfen, was gegebenenfalls auch Sanktionen gegenüber jenen beinhaltet, die sich nicht daran halten. Umso mehr wären jene, die konkret mit dem DSG-EKD umgehen müssen, dankbar für möglichst eindeutige Formulierungen. Dass dies ein Gesetz, dass deutschlandweit und für die unterschiedlich geprägten Landeskirchen gelten soll, nicht durchgängig leisten kann, ist verständlich. Vielleicht wäre in diesem Fall eine Art Handreichung hilfreich, die beispielhaft Konkretionen bietet. Mancher Datenschutzbeauftragte hat dies auch versucht, wobei auch hier eine nicht unerhebliche protestantische Vielfalt zu erkennen ist.

Nun aber zum Text. Und da fällt mir gleich in der Präambel ein mir sehr einleuchtender Satz ins Auge: „Die Datenverarbeitung dient der Erfüllung des kirchlichen Auftrags.“ (Präambel Abs. 4) Das ist also die Grundlage, auf der das nun folgende Gesetzeswerk verstanden werden soll. Damit unterscheidet sich der Fokus von dem der DSGVO erheblich! Denn während das EU-Gesetz zuerst und vordergründig als Schutz- und Regelungswerk etabliert wurde, um den Missbrauch der Datenverarbeitung einzudämmen, wird diese in der DSG-EKD als positives, hilfreiches Instrument zur Auftragserfüllung der Kirche definiert! Daten zu verarbeiten – so würde ich daraus lesen – ist also ein für die Verkündigung essentieller Arbeitsvorgang. Eine vergleichbare Präambel, die eine positive Deutung der Datenverarbeitung bietet, gibt es bei der DSGVO meines Wissens nicht. Daraus folgt für mich: Das berechtigte Anliegen des Datenschutzes muss in allen Belangen abgewogen werden gegenüber dem Auftrag der Kirche, das Evangelium zu verkünden und in der Welt wirken zu lassen. Interessant wird es also an den Stellen, an dem Einschränkungen der Datenverarbeitung, die das Datenschutzgesetz vorschreibt, diesen Auftrag erschwert oder gar verhindert!

Diesbezüglich sind jene Passagen des Gesetzes spannend, die ich einmal „Öffnungsklauseln“ nennen will, weil sie meines Erachtens Spielräume eröffnen, mit einer Situation so oder eben anders umzugehen. Ein paar Beispiele mögen das verdeutlichen: In §6 heißt es: „Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:“, worauf mehrere Bedingungen genannt werden, u.a. auch diese: „die Verarbeitung ist für die Wahrnehmung einer sonstigen Aufgabe erforderlich, die im kirchlichen Interesse liegt“ (§6 Abs. 4). Oder §7: „Die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden (Zweckänderung), ist nur rechtmäßig, wenn … Grund zu der Annahme besteht, dass andernfalls die Wahrnehmung des kirchlichen Auftrages gefährdet würde“ (§7 Abs. 7). Oder §18: „Informationspflicht bei mittelbarer Datenerhebung … Von dieser Verpflichtung ist die verantwortliche Stelle befreit, … wenn durch die Auskunft die Wahrnehmung des Auftrags der Kirche gefährdet wird.“ (§18 Abs. 2) Neben der „Gefährdung des Auftrags“ ist noch ein anderer, pragmatischerer Grund für Ausnahmeregelungen gegeben: der Arbeitsaufwand. So heißt es in §17 („Informationspflicht bei unmittelbarer Datenerhebung“): „Die Absätze 1, 2 und 3 finden keine Anwendung, wenn … die Informationspflicht einen unverhältnismäßigen Aufwand erfordern würde.“ (§17 Abs. 4) Ebenso §23: „1 Die verantwortliche Stelle teilt allen Empfängern, denen personenbezogene Daten offengelegt werden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach den §§ 20 bis 22 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.“

Für mich ergeben sich hierbei mehrere Fragen. Zunächst: Wer definiert, was zur Erfüllung des Auftrags der Kirche notwendig ist und was nicht? Die Gemeinde vor Ort? Der Kirchenkreis? Die Landeskirche? Die EKD? Und kann diese Frage juristisch überhaupt beantwortet werden oder erfordert sie nicht vielmehr eine systematisch-praktisch-theologische Klärung oder zumindest eine Fundierung? Und dann: Welche Maßstäbe werden angesetzt, um eine Arbeit als angemessenen oder unangemessenen Aufwand zu deklarieren? Hängen diese vom Personalschüssel ab? Oder vom vorhandenen technischen Equipment? Gelten dann in gut ausgestatteten Kirchengemeinden oder Kirchenkreisen andere, mitunter strengere Regeln als in unterbesetzten und technisch unterversorgten Einrichtungen (Stichwort: schnelles Internet)? Ein heiß diskutiertes Thema ist in diesem Zusammenhang z.B. die Veröffentlichung von Kasual- und Geburtstagslisten im Gemeindebrief. Sie sind erfahrungsgemäß wichtig, gerade für ältere Gemeindeglieder und im ländlichen Raum. Hier geht es um Gemeindebindung, auch um den Öffentlichkeitscharakter z.B. der Taufe. Doch sind solche Listen datenschutzrechtlich zulässig? Ist eine wünschenswerte und wohl auch dem Datenschutz entsprechende proaktive Einholung der Zustimmung jeder einzelnen betroffenen Person zumutbar?

Mit solchen oder ähnlichen Fragen und den daraus resultierenden Sorgen und Ängsten schlagen sich nun Gemeindesekräterinnen, Jugendleiter, ehrenamtliche Teamer und Presbyterinnen und Pfarrstelleninhaber herum … Und was ich dabei wahrnehme, ist eine ungeheure Verunsicherung, die das kirchliche Leben und den Gemeindeaufbau zu lähmen droht. Das kann aber – siehe Präambel – nicht im Sinne des DSG-EKD sein! Umso wichtiger wäre es jetzt, so schnell wie möglich für alle Bereiche eine nachvollziehbare und verständliche Konkretisierung vorzunehmen, wie sie z.B. für den Gemeindebrief schon vorliegt (siehe: https://datenschutz.ekd.de/wp-content/uploads/2016/08/Datenschutz-im-Gemeindebrief.pdf / vielen Dank an Peter Buck für diesen Hinweis). Also z.B.: „Die EKD und ihre Gliedkirchen haben grundsätzlich das Recht, öffentlich vollzogene Kasualhandlungen im Gemeindebrief unter Nennung des Anlasses, der Namen der Betroffenen und des Datums zu veröffentlichen. Sie dokumentieren damit auch in der Öffentlichkeit das kirchliche Leben und geben so Zeugnis für die Wirksamkeit der Botschaft Jesu Christi in der Welt. Davon unberührt bleibt das Recht jedes Einzelnen, diese Veröffentlichung im Vorfeld durch eine schriftliche Erklärung zu untersagen.“ Wäre damit nicht allen geholfen?