Wir stei­gen ein mit der Novel­lie­rung des DSG-EKD. Am 01.05.2025 soll das neue Kir­chen­ge­setz über den Daten­schutz der Evan­ge­li­schen Kir­che in Deutsch­land (DSG-EKD) in Kraft treten.

Was bringt die Reform mit sich? Die evan­ge­li­sche Kir­che beab­sich­tigt mit der Reform zu mehr Har­mo­ni­sie­rung zwi­schen dem kirch­li­chen Daten­schutz­recht und der DSGVO bei­zu­tra­gen, in dem die­se nicht nur Pro­zes­se ver­ein­fa­chen, son­dern auch den Daten­schutz stär­ker an die Pra­xis anpas­sen möch­te. Dies ist mit Blick auf die Zusam­men­ar­beit mit Auf­trags­ver­ar­bei­tern durch­aus zu begrüßen.

Dar­über hin­aus soll mit der Über­ar­bei­tung eine Ver­bes­se­rung der Trans­pa­renz der Daten­ver­ar­bei­tung ein­her­ge­hen sowie eine Stär­kung der Rech­te der betrof­fe­nen Per­so­nen. In die­sem Zuge ergriff die evan­ge­li­sche Kir­che auch die Chan­ce, kirch­li­che Beson­der­hei­ten daten­schutz­recht­lich zu regeln. Die Ände­run­gen wer­den neben Aktua­li­täts­prü­fun­gen auch eini­ge Anpas­sun­gen von Unter­la­gen nach sich zie­hen. Zögern Sie nicht, fan­gen Sie recht­zei­tig mit der Anpas­sung Ihrer Daten­schutz­the­men an das neue DSG-EKD an. Ger­ne unter­stüt­zen wir Sie in der Umsetzung!

Am 28. Juni 2025 tritt das Bar­rie­re­frei­heits­stär­kungs­ge­setz (BFSG) in Kraft, wel­ches pri­va­te Unter­neh­men ver­pflich­tet, ihre ange­bo­te­nen digi­ta­len Pro­duk­te und Dienst­leis­tun­gen bar­rie­re­frei zu gestal­ten. Doch was bedeu­tet bar­rie­re­frei? Laut der Defi­ni­ti­on des § 3 Abs. 1 S. 2 BFSG sind Pro­duk­te bzw. Dienst­leis­tun­gen bar­rie­re­frei, wenn die­se für Men­schen mit Behin­de­run­gen in der all­ge­mein übli­chen Wei­se, ohne beson­de­re Erschwer­nis und grund­sätz­lich ohne frem­de Hil­fe auf­find­bar, zugäng­lich und nutz­bar sind.

 Wer ist betrof­fen? Betrof­fen sind Her­stel­ler, Impor­teu­re, Händ­ler und Erbrin­ger digi­ta­ler Pro­duk­te und Dienst­leis­tun­gen. Die bar­rie­re­freie Gestal­tung betrifft unter ande­rem Hard­ware­sys­te­me für Ver­brau­cher (z.B. Com­pu­ter, Tablets, Smart­phones), Tele­kom­mu­ni­ka­ti­ons­diens­te (z.B. Tele­fo­nie, Mes­sen­ger), Ele­men­te der Per­so­nen­be­för­de­rungs­diens­te wie z.B. Web­sei­ten, Apps oder elek­tro­ni­sche Ticket­diens­te sowie Dienst­leis­tun­gen im elek­tro­ni­schen Geschäfts­ver­kehr mit Ver­brau­chern (z.B. E‑Commerce, Online-Termin-Buchungs-Tools).

Das bedeu­tet? Zukünf­tig ist bei die­sen Pro­duk­ten und Dienst­leis­tun­gen zu gewähr­leis­ten, dass die Infor­ma­tio­nen über mehr als einen sen­so­ri­schen Kanal abge­ru­fen wer­den kön­nen, etwa schrift­lich sowie zusätz­lich über Sprach­aus­ga­be. Mit Blick auf seh­be­hin­der­te Men­schen bedeu­tet das unter ande­rem, dass die Schrift­art ange­mes­sen groß und les­bar sein muss und dass auf den Web­sites aus­rei­chend Kon­trast und Zei­len­ab­stand vor­han­den ist.

Ab dem 28.05.2025 müs­sen die im Gesetz erwähn­ten Pro­duk­te und Dienst­leis­tun­gen bar­rie­re­frei sein. Das bedeu­tet, dass sich Unter­neh­men recht­zei­tig über die ent­spre­chen­de Umset­zung infor­mie­ren und han­deln soll­ten! Das Bun­des­mi­nis­te­ri­um für Arbeit und Sozia­les hat in die­sem Zuge eine Leit­li­nie als Hil­fe­stel­lung für Unter­neh­men her­aus­ge­bracht, die Sie hier finden.

Last but not least wird der EU Data Act ab dem 12.09.2025 anwend­bar sein. Die Ver­ord­nung soll dazu die­nen, dass der Zugriff auf Daten, die durch Pro­duk­te oder ver­bun­de­ne Diens­te mit Anschluss an das Inter­net erzeugt, gesam­melt und gespei­chert wer­den, nicht nur durch Gerä­te­her­stel­ler und Cloud-Provider mög­lich ist.

Und wenn wir „Daten“ hören kann die DSGVO auch nicht weit ent­fernt sein. Und so ist es auch: Die Rege­lun­gen des Data Act sind neben den Vor­schrif­ten der DSGVO anwend­bar. Es bedarf somit einer genau­en Prüfung.

Auch wenn Ihnen eine sorg­fäl­ti­ge Prü­fung von gesetz­li­chen Anwen­dungs­be­rei­chen sicher bereits im Jahr 2024 geläu­fig ist: spä­tes­tens mit dem Data Act wird die Not­wen­dig­keit der Prü­fung noch deut­li­cher, da die Daten des Data Acts, sofern sie per­so­nen­be­zo­gen sind, gleich­zei­tig in den Anwen­dungs­be­reich der DSGVO fal­len kön­nen, sodass bei­de Rege­lun­gen zu beach­ten sind. Deut­lich wird dies nicht nur mit Blick auf die anzu­wen­den­de Rechts­grund­la­ge hin­sicht­lich per­so­nen­be­zo­ge­ner Daten, die im Data Act nicht bereit­ge­hal­ten wird, son­dern auch hin­sicht­lich mög­li­cher Aus­kunfts­an­sprü­che bzw. Daten­zu­gangs­er­su­chen im Sin­ne des Data Acts.

Der Fall­strick: Per­so­nen­be­zug oder kein Per­so­nen­be­zug – das ist hier die Frage.

Sofern Sie im Rah­men von Daten­zu­gangs­er­su­chen ein Datum als per­so­nen­be­zo­gen dekla­rie­ren, die Ein­ord­nung ver­ken­nen und dem­nach das Begeh­ren ver­wei­gern, ist ein Ver­stoß gegen den Data Act die Kon­se­quenz. Also doch lie­ber die Ein­ord­nung als nicht-personenbezogenes Datum? Die irr­tüm­li­che Ein­ord­nung als nicht-personenbezogenes Datum und die dar­an anknüp­fen­de Her­aus­ga­be bedeu­tet – Sie wer­den es schon ahnen – unter Umstän­den ein Ver­stoß gegen die DSGVO. Die­ser Fall­strick ist nicht gera­de zufrie­den­stel­lend und bedeu­tet für die Pra­xis: sorg­fäl­ti­ge Prü­fun­gen und sau­be­res Arbei­ten sind ein­mal mehr unumgänglich

Fazit

Neu­es Jahr – neue The­men und damit auch neue Auf­ga­ben, die sich dar­aus erge­ben. Um mit Struk­tur und Auf­ga­ben­klar­heit durch das neue Jahr zu schrei­ten, ist es sach­dien­lich, eine Datenschutz-Agenda zu Beginn des Jah­res zu erar­bei­ten. Die Fra­gen, die Sie sich dabei stel­len soll­ten, lau­ten: Wel­che The­men tan­gie­ren mich als Ver­ant­wort­li­cher, wie viel Zeit benö­ti­ge ich für die Umset­zung und wel­che Pro­zes­se müs­sen wann und wie aktua­li­siert werden?

Zögern Sie nicht – wir hel­fen Ihnen bei der Umset­zung sowie auch bei Ihrer indi­vi­dua­li­sier­ten Datenschutz-Agenda 2025.