Neuigkeiten im kirchlichen Datenschutz stehen an. Genau gesagt im katholischem Datenschutz wurde das KDG und die KDG-DVO novelliert. Der Verband der Diözesen Deutschlands hat sich auf neue Gesetzestexte geeinigt. Es ist davon auszugehen, dass die einzelnen Diözesanbischöfe das neue KDG und die neue KDG-DVO kurzfristig in Kraft setzten werden und die Regelungen wie geplant am 1. März 2026 das bisherige Recht abzulösen. Ich bin ja ein großer Fan der KDG-DVO, da diese wenigstens mit konkreten Aussagen hinsichtlich der technischen und organisatorischen Anforderungen aufwartet, was ansonsten ja im Datenschutzrecht eher Fehlanzeige ist.
Das Fazit des Art. 91 Blogs von Herrn Neumann lautet so schön (eigentlich das Fazit vom Fazit):
“In der Praxis wird das neue KDG nicht übermäßig viele Änderungen erforderlich machen – da, wo wirklich sinnvolle und praxisrelevante Änderungen sind (etwa bei der Auftragsverarbeitung und Einwilligungen) wurden die zuvor missglückten Regelungen (Beschränkung auf EWR und Schriftform) wahrscheinlich ohnehin ignoriert.”
Wo müssen wir also die wesentlichen Änderungen suchen?
§ 5: Datengeheimnis für Ehrenamtliche
Ein neuer Absatz 2 weitet die Verpflichtung auf das Datengeheimnis auch auf Ehrenamtliche aus, die mit Datenverarbeitung betraut sind. Wer schlau ist, hat das schon vorher so gehandhabt.
§ 6 Rechtmäßigkeit der Verarbeitung, § 11 besondere Kategorien
Kleinere Änderungen gibt es bein den Rechtsgrundlagen für die Verarbeitung, die aber in der Praxis eher keine große Rolle spielen werden. Nicht geändert hat sich beim berechtigten Interesse weiterhin der unsinnige Anwendungsausschluss für öffentlich-rechtlich verfasste Verantwortliche, der im kirchlichen Kontext keinen Sinn ergibt: Öffentlich-rechtlich verfasste kirchliche Rechtsträger sind, anders als staatliche Behörden, für die das berechtigte Interesse analog ausgeschlossen ist, grundrechtsberechtigt, nicht grundrechtsverpflichtet.
§ 8: Einwilligung
Bei der Einwilligung muss zwar weiterhin die Einwilligung nachgewiesen werden können, aber die grundsätzliche Schriftform bei Einwilligungen wird nicht mehr verlangt.
§ 29: Auftragsverarbeitung
Interessanter sind da schon die Regelungen zur Auftragsverarbeitung. Die doch äußerst störende Beschränkung auf den europäischen Wirtschaftsraum im KDG ist entfallen. Absatz 11, der das Verarbeitungsverbot außerhalb des EWR normiert hatte, ist ersatzlos weggefallen. Ebenso fehlt nun der alte Absatz 12, der eine analoge Anwendung der Regeln für Auftragsverarbeitung für Wartungsverträge vorsah (also quasi die BDSG-alt Regelung die es vor der DSGVO mal gab).
Im alten § 29 Abs. 9 KDG war für Auftragsverarbeitungsverträge eine schriftliche Abfassung vorgesehen, “was auch in einem elektronischen Format erfolgen kann“. Nun wurde der eindeutige Begriff “Schriftform” gewählt. Maßgeblich für die Ersetzung der Schriftform durch die elektronische Form oder die Textform sind die jeweils geltenden staatlichen Regelungen, was nun leider neue Fragen aufwerfen kann, da große Cloud-Anbieter die Schriftform häufig nicht einhalten, da sich dies mit einen Massengeschäft nicht verträgt.
§ 36: Betriebliche Datenschutzbeauftragte
Künftig sind DSB ab 20 statt 10 mit der Verarbeitung befassten Personen (also auch Ehrenamtliche) zu bestellen und es wird ausdrücklich geregelt, dass auch juristische Personen bestellt werden können, was erfreulich ist.
Geldbußen
Die Geldbußen wurden heraufgesetzt. Die neue Obergrenze liegt statt bei 500.000 Euro bei einer immer noch moderaten Summe von einer Million Euro. Für kirchliche Unternehmen, die am Wettbewerb teilnehmen, liegt die Obergrenze bei vier Prozent des Jahreseinkommens, maximal aber drei Millionen Euro. Die Teilnahme am Wettbewerb dürfte hier nicht auf rein wirtschaftliche Tätigkeit beschränkt sein.
§ 52a: Übertragung von Gottesdiensten und kirchlichen Veranstaltungen
Als innovativ darf man auch die Regelungen zur Übertragung von Gottesdiensten bezeichnen, Es gibt nicht nur eine kompakte Erlaubnisnorm , sondern auch vorgegebene Schutzpflichten: Besonders schutzwürdigen Interessen ist Rechnung zu tragen (, übertragungsfreie Bereiche sind für Gottesdienstbesucher*innen auszuweisen. Dies Regelungen betreffen meine Kunden allerdings nicht.
Wer es genauer wissen möchte, den empfehle ich den oben genannten Artikel. Auf die KDG-DVO gehe ich im nächsten Artikel ein.
