Die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche und der Konferenz der Beauftragten für den Datenschutz in der Evangelischen Kirche in Deutschland haben am 21. April 2021 das „Kirchliche Datenschutzmodell“ (KDM) verabschiedet, mit dem das im staatlichen Bereich eingeführte Standard-Datenschutzmodell (SDM) auf die geltenden datenschutzrechtlichen Vorschriften der katholischen und evangelischen Kirche übertragen wird.
“„Nun mag sich die Übertragung des SDM auf das KDM zukünftig der nicht völlig von der Hand zu weisenden Kritik ausgesetzt sehen, es sei an weiten Stellen lediglich eine Synopse der betroffenen Datenschutzgesetze.“ – Matthias Herkert
Knapp zwei Jahre lang arbeitete eine ökumenische Arbeitsgruppe an der Übertragung des Standard-Datenschutzmodells (SDM) der staatlichen Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder auf die Anforderungen des Gesetzes über den Kirchlichen Datenschutz (KDG) der katholischen Kirche sowie des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD). Ziel war es, unter Beibehaltung der Methodik des SDM, die Anforderungen der beiden kirchlichen Datenschutzgesetze in technische und organisatorische Maßnahmen zu überführen, welche die Risiken für die Rechte und Freiheiten natürlicher Personen so weit wie möglich ausschließen sollen.
Herausgekommen ist ein komplexes Modell, das zum einen den Aufbau und häufig auch das Wording und die Struktur des Standard-Datenschutzmodells übernimmt, auf der anderen Seite durch den direkten Bezug auf die beiden kirchlichen Datenschutzgesetze und deren gewohnten Begrifflichkeiten das Verständnis und die Übertragung in die Praxis kirchlicher Datenschutzbeauftragter durchaus fördern mag.
Übersichtleche Darstellung des KDM auf einer eigenen Website
Eine erste Abweichung gegenüber dem Standard-Datenschutzmodell findet sich bereits in der Art der Veröffentlichung des Kirchlichen Datenschutzmodells auf einer eigenen, übersichtlichen Website unter der Domain kirchliches-datenschutzmodell.de. Die Darstellung der Website ist sehr transparent und benutzerfreundlich und ermöglicht es, durch die „Meldungen aus der KDM-Werkstatt“ auch in der Weiterentwicklung der Inhalte den Überblick nicht zu verlieren.
Das Kirchliche Datenschutzmodell ist gut, seine Bausteine sind besser
Nun mag sich die Übertragung des SDM auf das KDM wohl dennoch zukünftig der nicht völlig von der Hand zu weisenden Kritik ausgesetzt sehen, es sei an weiten Stellen lediglich eine Synopse der betroffenen Datenschutzgesetze. Die Einschätzung greift indes zu kurz. Den neben der neuen „Richtlinie zur Risikoanalyse und Risikobehandlung im Rahmen des Kirchlichen Datenschutzmodells“, die entlang beispielhafter personenbezogener Daten einer Kindertageseinrichtung aufgebaut wurde, sind in den inzwischen vier Anwendungshinweisen („Referenzmaßnahmen“) neben einer Synopse der DSGVO zum ESG-EKD und dem KDG und allgemeinen Hinweise, auch gut verständliche und angenehm knappe Hinweise zur Anwendung unter den jeweiligen kirchlichen Gesetzen angeführt.
Für Datenschutzbeauftragte, die bereits bislang mit dem Standard-Datenschutzmodell gearbeitet haben, dürfte gerade in diesen Bausteinen der wesentliche Nutzen liegen.
Anforderungen an die Aktualität im Blick behalten
Weniger ermutigend als der Blick auf die Referenzmaßnahmen zum KDM ist ein Blick auf den Hinweis zur Versionspflege in dessen Kapitel E2. Denn während das SMD, aktuell in der Version 2.0b vom 17. April 2020, laufend weiterentwickelt wird, ist im KDM zu lesen, dass eine kontinuierliche Überarbeitung zum Zeitpunkt der Veröffentlichung nicht vorgesehen, jedoch auch nicht „gänzlich ausgeschlossen“ sei. Denn auch wenn die Änderungsrhythmen des SDM in der Vergangenheit nicht gerade eng waren, würde ein statisches KDM gegenüber einem „dynamischen“ SDM doch wohl bereits in wenigen Jahren an Bedeutung verlieren.
Fazit
Bei der Vorstellung des Kirchlichen Datenschutzmodells haben die Sprecherin der Konferenz der Diözesandatenschutzbeauftragten Ursula Becker-Rathmair und der Beauftragte für den Datenschutz der EKD, Michael Jacob, übereinstimmend darauf hingewiesen, dass das KDM kirchlichen Stellen und Einrichtungen gegenüber den großen Vorteil biete, „selbst Datenschutz systematisch umzusetzen und damit für Fragen und Prüfungen der Datenschutzaufsichten gut gerüstet zu sein“.
Diesen Vorsatz teilt das Kirchlichen Datenschutzmodells zweifellos mit dem (deutlich älteren) Standard-Datenschutzmodell. Doch wie dieses, muss sich auch das KDM die Kritik gefallen lassen, dass es keine leichte Kost darstellt und sich bei einer Lektüre ohne entsprechenden datenschutzrechtlichen Hintergrund des Lesers einer Umsetzung in der Praxis kirchlicher Organisationen und Einrichtungen nur mühsam erschließt.
Dass das KDM dennoch eine wertvolle und gerade auch wegen seiner Referenzmaßnahmen wertvolle Praxishilfe leisten kann, sollte vor dem Hintergrund dieser Kritik nicht übersehen werden. Eine Einarbeitung in das Modell und eine Übertragung relevanter Teile in die Praxis kann internen Datenschutzbeauftragten in kirchlichen Organisationen, Gemeinden und Einrichtungen daher sicherlich empfohlen werden.
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]