Die Kon­fe­renz der Diö­ze­san­da­ten­schutz­be­auf­trag­ten der Katho­li­schen Kir­che und der Kon­fe­renz der Beauf­trag­ten für den Daten­schutz in der Evan­ge­li­schen Kir­che in Deutsch­land haben am 21. April 2021 das „Kirch­li­che Daten­schutz­mo­dell“ (KDM) ver­ab­schie­det, mit dem das im staat­li­chen Bereich ein­ge­führ­te Standard-Datenschutzmodell (SDM) auf die gel­ten­den daten­schutz­recht­li­chen Vor­schrif­ten der katho­li­schen und evan­ge­li­schen Kir­che über­tra­gen wird.

„Nun mag sich die Über­tra­gung des SDM auf das KDM zukünf­tig der nicht völ­lig von der Hand zu wei­sen­den Kri­tik aus­ge­setzt sehen, es sei an wei­ten Stel­len ledig­lich eine Syn­op­se der betrof­fe­nen Daten­schutz­ge­set­ze.“  – Mat­thi­as Her­kert

Knapp zwei Jah­re lang arbei­te­te eine öku­me­ni­sche Arbeits­grup­pe an der Über­tra­gung des Standard-Datenschutzmodells (SDM) der staat­li­chen Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der auf die Anfor­de­run­gen des Geset­zes über den Kirch­li­chen Daten­schutz (KDG) der katho­li­schen Kir­che sowie des Kir­chen­ge­set­zes über den Daten­schutz der Evan­ge­li­schen Kir­che in Deutsch­land (DSG-EKD). Ziel war es, unter Bei­be­hal­tung der Metho­dik des SDM, die Anfor­de­run­gen der bei­den kirch­li­chen Daten­schutz­ge­set­ze in tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu über­füh­ren, wel­che die Risi­ken für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen so weit wie mög­lich aus­schlie­ßen sol­len.

Her­aus­ge­kom­men ist ein kom­ple­xes Modell, das zum einen den Auf­bau und häu­fig auch das Wor­d­ing und die Struk­tur des Standard-Datenschutzmodells über­nimmt, auf der ande­ren Sei­te durch den direk­ten Bezug auf die bei­den kirch­li­chen Daten­schutz­ge­set­ze und deren gewohn­ten Begriff­lich­kei­ten das Ver­ständ­nis und die Über­tra­gung in die Pra­xis kirch­li­cher Daten­schutz­be­auf­trag­ter durch­aus för­dern mag.

Über­sichtle­che Dar­stel­lung des KDM auf einer eige­nen Web­site

Eine ers­te Abwei­chung gegen­über dem Standard-Datenschutzmodell fin­det sich bereits in der Art der Ver­öf­fent­li­chung des Kirch­li­chen Daten­schutz­mo­dells auf einer eige­nen, über­sicht­li­chen Web­site unter der Domain kirchliches-datenschutzmodell.de. Die Dar­stel­lung der Web­site ist sehr trans­pa­rent und benut­zer­freund­lich und ermög­licht es, durch die „Mel­dun­gen aus der KDM-Werkstatt“ auch in der Wei­ter­ent­wick­lung der Inhal­te den Über­blick nicht zu ver­lie­ren.

Das Kirch­li­che Daten­schutz­mo­dell ist gut, sei­ne Bau­stei­ne sind bes­ser

Nun mag sich die Über­tra­gung des SDM auf das KDM wohl den­noch zukünf­tig der nicht völ­lig von der Hand zu wei­sen­den Kri­tik aus­ge­setzt sehen, es sei an wei­ten Stel­len ledig­lich eine Syn­op­se der betrof­fe­nen Daten­schutz­ge­set­ze. Die Ein­schät­zung greift indes zu kurz. Den neben der neu­en „Richt­li­nie zur Risi­ko­ana­ly­se und Risi­ko­be­hand­lung im Rah­men des Kirch­li­chen Daten­schutz­mo­dells“, die ent­lang bei­spiel­haf­ter per­so­nen­be­zo­ge­ner Daten einer Kin­der­ta­ges­ein­rich­tung auf­ge­baut wur­de, sind in den inzwi­schen vier Anwen­dungs­hin­wei­sen („Refe­renz­maß­nah­men“) neben einer Syn­op­se der DSGVO zum ESG-EKD und dem KDG und all­ge­mei­nen Hin­wei­se, auch gut ver­ständ­li­che und ange­nehm knap­pe Hin­wei­se zur Anwen­dung unter den jewei­li­gen kirch­li­chen Geset­zen ange­führt.

Für Daten­schutz­be­auf­trag­te, die bereits bis­lang mit dem Standard-Datenschutzmodell gear­bei­tet haben, dürf­te gera­de in die­sen Bau­stei­nen der wesent­li­che Nut­zen lie­gen.

Anfor­de­run­gen an die Aktua­li­tät im Blick behal­ten

Weni­ger ermu­ti­gend als der Blick auf die Refe­renz­maß­nah­men zum KDM ist ein Blick auf den Hin­weis zur Ver­si­ons­pfle­ge in des­sen Kapi­tel E2. Denn wäh­rend das SMD, aktu­ell in der Ver­si­on 2.0b vom 17. April 2020, lau­fend wei­ter­ent­wi­ckelt wird, ist im KDM zu lesen, dass eine kon­ti­nu­ier­li­che Über­ar­bei­tung zum Zeit­punkt der Ver­öf­fent­li­chung nicht vor­ge­se­hen, jedoch auch nicht „gänz­lich aus­ge­schlos­sen“ sei. Denn auch wenn die Ände­rungs­rhyth­men des SDM in der Ver­gan­gen­heit nicht gera­de eng waren, wür­de ein sta­ti­sches KDM gegen­über einem „dyna­mi­schen“ SDM doch wohl bereits in weni­gen Jah­ren an Bedeu­tung ver­lie­ren.

Fazit

Bei der Vor­stel­lung des Kirch­li­chen Daten­schutz­mo­dells haben die Spre­che­rin der Kon­fe­renz der Diö­ze­san­da­ten­schutz­be­auf­trag­ten Ursu­la Becker-Rathmair und der Beauf­trag­te für den Daten­schutz der EKD, Micha­el Jacob, über­ein­stim­mend dar­auf hin­ge­wie­sen, dass das KDM kirch­li­chen Stel­len und Ein­rich­tun­gen gegen­über den gro­ßen Vor­teil bie­te, „selbst Daten­schutz sys­te­ma­tisch umzu­set­zen und damit für Fra­gen und Prü­fun­gen der Daten­schutz­auf­sich­ten gut gerüs­tet zu sein“.

Die­sen Vor­satz teilt das Kirch­li­chen Daten­schutz­mo­dells zwei­fel­los mit dem (deut­lich älte­ren) Standard-Datenschutzmodell. Doch wie die­ses, muss sich auch das KDM die Kri­tik gefal­len las­sen, dass es kei­ne leich­te Kost dar­stellt und sich bei einer Lek­tü­re ohne ent­spre­chen­den daten­schutz­recht­li­chen Hin­ter­grund des Lesers einer Umset­zung in der Pra­xis kirch­li­cher Orga­ni­sa­tio­nen und Ein­rich­tun­gen nur müh­sam erschließt.

Dass das KDM den­noch eine wert­vol­le und gera­de auch wegen sei­ner Refe­renz­maß­nah­men wert­vol­le Pra­xis­hil­fe leis­ten kann, soll­te vor dem Hin­ter­grund die­ser Kri­tik nicht über­se­hen wer­den. Eine Ein­ar­bei­tung in das Modell und eine Über­tra­gung rele­van­ter Tei­le in die Pra­xis kann inter­nen Daten­schutz­be­auf­trag­ten in kirch­li­chen Orga­ni­sa­tio­nen, Gemein­den und Ein­rich­tun­gen daher sicher­lich emp­foh­len wer­den.

Was Sie noch interessieren könnte:

BEM: Betriebliches Eingliederungsmanagement

5. August 2021|

Keh­ren Arbeit­neh­mer nach län­ge­rer Krank­heit an ihren Arbeits­platz zurück, ist der Arbeit­ge­ber gesetz­lich ver­pflich­tet, mit Zustim­mung und unter Betei­li­gung […]

Ist die Nutzung eines Port-Scans strafbar?

21. Juli 2021|

Port-Scanner wie Nmap sind belieb­te Tools, um Sicher­heits­lü­cken von Netz­wer­ken im Rah­men einer Netz­werk­dia­gno­se auf­zu­spü­ren. Doch war­um könn­te sich […]

Neue Standardvertragsklauseln der EU-Kommission

30. Juni 2021|

Die EU-Kommission hat neue Stan­dard­ver­trags­klau­seln ver­ab­schie­det. Das in die Jah­re gekom­men, prä-DSGVO-Werk wur­de rund­erneu­ert. Die neu­en Klau­seln sind nicht […]

Autor des Arti­kels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter
MEHR ZUM AUTOR