Follow-up: DSG-EKD und DSGVO

desk-ekd-googleWas ist seit Inkrafttreten des neuen  Datenschutzrechtes passiert? Das Leben geht weiter. Die Anfragen werden etwas geringer. Mein Blogpost zum Datenschutzrecht hat die meisten Zugriffe von allen Artikeln in diesem Jahr. Auf der Homepage des EKD-Datenschutzbeauftragen wird das Inkrafttreten des neuen EKD-Datenschutzgesetzes immer noch für den 24.5.2018 angekündigt und unter dem Link „Datenschutzerklärung“ findet sich  eine Postkarte  zum Thema Datenschutz, die man herunterladen kann (Stand heute Vormittag, jetzt findet sich dort eine Datenschutzerklärung). Warum also die Hektik an den Tagen vor dem 25. Mai?
Wir haben eine neue Datenschutzerklärung einschließlich Transparenzpflichten am 24. Mai für die Website unserer Landeskirche online gestellt und angeboten, dass Kirchenkreise und Gemeinden sie übernehmen können. Viele haben das dankbar angenommen. Einige Kirchenkreise wollten jedoch selber eine Datenschutzerklärung erstellen. Bei einem Kirchenkreis ist sie noch nicht online, beim anderen wurde sie auf Grundlage der DSGVO und nicht des DSG-EKD erstellt.

Googles Unterwerfung?

Ich habe mir in den letzten Tagen einige Datenschutzerklärungen kirchlicher Websites angesehen und auch dort Hinweise zum Einsatz von Google Analytics gefunden. Soweit ich es sehe, ist der Einsatz von Google Analytics DSGVO-konform möglich, sofern ein Vertrag zur Auftragsverarbeitung (AVV, vormals ADV, Auftragsdatenverarbeitung) vorliegt. Auch wenn das EKD-Datenschutzgesetz Auftragsverarbeitung gemäß EU-Datenschutzgrundverordnung erlaubt, so gibt es eine zwingende Voraussetzung in §30 DSG-EKD: „Der Auftragsverarbeiter unterwirft sich der kirchlichen Datenschutzaufsicht.“ Ich bezweifele, dass Google solch eine Unterwerfungserklärung abgegeben hat. Liegt diese aber nicht vor, ist Auftragsverarbeitung nach dem EKD-Datenschutzgesetz nicht zulässig. Ob eine Webstatistik mit Google Analytics unter der Aufsicht einer staatlichen oder einer kirchlichen Datenschutzbehörde stattfindet, ist vermutlich für den tatsächlichen Schutz im Umgang mit personenbezogenen Daten irrelevant, im Zweifel hätte die staatliche Behörde sogar größere Sanktionsmöglichkeiten. Man mag es lästig und formalistisch finden, auf eine Unterwerfungserklärung zu bestehen, aber dies ist nun Konsequenz, dass es ein eigenständiges kirchliches Datenschutzrecht gibt. Persönlich glaube ich, dass man sich kirchlicherseits besser für die die Anwendung staatlichen Datenschutzrechtes entschieden hätte, aber Gesetze sind zu befolgen, ob sie einem passen oder nicht. Also brauchen wir für Datenverarbeitung eine Unterwerfungserklärung, wenn wir als Kirche Verträge nach DSVGO abschließen wollen. In der Praxis heißt das: Matomo bzw. Piwik statt Google Analytics.
Um so erfreuter war ich diese Woche, dass einer unserer Hoster solch eine Unterwerfungserklärung abgegeben hat und wir jetzt konform zum EKD-Datenschutzgesetz personenbezogene Daten (z.B. auf Webformularen) auf unseren Servern verarbeiten können.

Google-Fonts, Logfiles und Löschroutinen

Um unsere Datenschutzerklärung auch technisch korrekt abgeben zu können, mussten wir Auskünfte einholen: Wie lang genau werden Logfiles gespeichert, welche Daten enthalten sie? Ohne DSVGO hätten wir uns darum vermutlich nicht gekümmert. Bei der Durchsicht unserer Projekte fiel uns auch auf, dass einige WordPress-Themes Google-Fonts nutzen. Diese Schrifttypen haben wir nun lokal auf unserem Webserver abgelegt und so unsere örtliche Datenschutzbeauftragte zufriedengestellt. Für unseren Kalender haben wir eine Löschroutine implementiert, so dass Anmeldedaten nach Veranstaltungen routinemäßig gelöscht werden. Es gibt jedoch noch einige Punkte, die wir noch klären müssen. Beispielsweise muss der Grundsatz der Datenminimierung (§5 DSG-EKD) gegenüber Dokumentations- bzw. Rechenschaftspflichten abgewogen werden, hier müssen wir noch Abwägungsentscheidungen treffen. Auch müssen wir noch einige technische Informationen einholen. Datenschutz ist eine Daueraufgabe geworden.

Sensibilisierung für Datenschutz

Das Inkrafttreten der DSVGO bzw. des DSG-EKD hat zu einer Sensibilisierung im Umgang mit Daten geführt, dies finde ich persönlich (auch wenn es zu nicht unerheblichen Aufwänden geführt hat) im Grundsatz gut. Einfacher wäre es allerdings gewesen (hier wiederhole ich mich – dies ist meine persönliche Meinung), wenn es kein eigenständiges kirchliches Datenschutzrecht gäbe, sondern staatliches Recht für alle gelten würde, andere Kirchen in Europa haben ja auch kein eigenständiges Datenschutzrecht.

Eine Frage fürs Rechtsdezernat

Viele Fragen zum Datenschutzrecht kann ich mittlerweile beantworten, bei einer Frage musste ich jedoch passen, als eine Kollegin wissen wollte, ob sie unser Muster für eine Datenschutzerklärung nach DSG-EKD auch für die Website einer ökumenischen Sozialstation verwenden könne. Gilt evangelisches Datenschutzrecht, katholisches, beides  oder staatliches? Ich habe die Kollegin an unser Rechtsdezernat verwiesen.


Autor:in


2 Antworten zu “Follow-up: DSG-EKD und DSGVO”

  1. Hm … eigentlich kann es keine ökumenische Datenschutzerklärung geben, da es keine ökumenische Kirche und damit auch kein ökumenisches Datenschutzgesetz gibt. Abgesehen davon ist das KDSG viel strenger als das DSG-EKD.
    Zum DSG-EKD: Hier halte ich persönlich die Präambel für beachtenswert und wichtig. Es wird festgehalten, dass die Datenvberarbeitung – und nicht der Datenschutz! – zum Gelingen des kirchlichen Auftrags unabdingbar ist. Damit muss m.E. jede Datenschutzbestimmungen gegen die Notwendigkeit der Datenverarbeitung abgewogen werden und im Grunde genommen Einschränkungen sogar gerechtfertigt werden. Das ist ein ganz anderer Ansatz als bei der DSGVO. Insofern finde ich ein kirchliches Datenschutzgesetz schon wichtig und folgerichtig.

  2. Ich muss gestehen, ich bin ein Verfechter des Datenschutzes. Nicht, weil mir die Angst im Nacken sitz, sondern weil ich aus einer historischen Verantwortung heraus dafür bin, dass JEDE Person einen souveränen Umgang mit den eigenen Daten \“lernen\“ muss. Mein Vater war Insasse des Jugend-KZ in Moringen, in das er (nach eigenen Aussagen) durch den Verrat von Mitgliedern der Evangelischen Jugend, der er angehörte, eingewiesen wurde. Ich denke, Vorsicht ist IMMER geboten. Die Umsetzung der DSGVO finde ich nicht sonderlich schwer, ebenso die des DSG-EKD. Mit dem KDSG habe ich mich nicht wirklich auseinandergesetzt. Ein Großteil der – ich nenne sie mal \“Jammeranfragen\“ – die mich in den letzen Monaten beschäftigten, sind auf bereits fehlende Implementierungen eines Datenschutzsystems nach altem Recht ! zurückzuführen. Von daher begrüße ich es ausdrücklich, dass das Thema nun aktuell beleuchtet wird. Aufgabe der Kirchen ist es hier nicht nur ein gutes Vorbild zu sein, sondern auch aus christlicher Verantwortung heraus das Thema Datenverarbeitung und Datenschutz nach außen zu kommunizieren. Denn zum Gelingen einer vertrauensvollen Kommunikation ist Datenschutz eine wesentliche Voraussetzung. Eine Interessenabwägung zwischen Datenschutz und Datenverarbeitung ist nach Art. 6 (f) übrigens auch in der DSGVO enthalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.