Rechtsanwalt Dr. Klaus Lodigkeit ist nun offiziell als Datenschutzbeauftragter(TÜV) nach BDSG (neu) und DSGVO zertifiziert!…
Das Evangelische Datenschutzrecht
Was Kirchen beim Betrieb ihrer Website beachten müssen
Stellen Sie sich einen Kirchenkreis vor, der ein lebendiges Internetportal betreibt. Veranstaltungen, Terminbuchungen, Kontaktformulare, Newsletter und seelsorgerische Angebote sind nur einen Klick entfernt. Genau an diesem praktischen Beispiel führt Dr. Lodigkeit in seinem juris-Aufsatz „Eine Einführung in das Evangelische Datenschutzrecht“ in die Materie ein und zeigt, welche Daten schon beim bloßen Website-Besuch anfallen und wie die kirchlichen Besonderheiten einzuordnen sind.
Besonders bemerkenswert ist, dass der Beitrag von Dr. Lodigkeit inzwischen auch in der Rechtsprechung aufgegriffen wird. So hat sich etwa das Interdiözesane Datenschutzgericht (IDSG) in seinen Entscheidungen auf Anmerkungen von Herrn Lodigkeit gestützt. Diese Resonanz in der kirchlichen Datenschutzgerichtsbarkeit unterstreicht die fachliche Tiefe und die hohe Relevanz des Aufsatzes.
Zugleich sorgt die Praxis für Gesprächsstoff: Der Beauftragte für den Datenschutz der EKD hat ausdrücklich vor Abmahnungen wegen eingebundener Webdienste wie Google Fonts gewarnt, weil bereits beim Aufruf IP-Adressen an Drittanbieter übertragen werden können. Eine öffentlich bekannt gewordene Datenpanne bei der Kita-App „Stay Informed“ hat zudem gezeigt, wie schnell sensible Informationen über eine Fehlkonfiguration erreichbar sind.
Was heißt das für Ihre Gemeindeseite konkret? YouTube-Livestreams, eingebettete Karten, Newsletter-Tracking und US-Dienste sind nützlich, stellen aber besondere Anforderungen. Genau hier setzt das evangelische Datenschutzrecht an. Es soll die digitale Gemeindearbeit ermöglichen und gleichzeitig sensible Daten wirksam schützen. Dieser Beitrag erklärt Schritt für Schritt, welche Pflichten Sie als Betreiber haben, wann Einwilligungen sinnvoll sind, welche Verträge mit Dienstleistern nötig werden und wie Sie typische Stolperfallen vermeiden, bevor sie zum Problem werden.
Verantwortliche Stelle, Auftragsverarbeitung und Datengeheimnis
Wie im allgemeinen Datenschutzrecht gibt es auch im DSG EKD eine verantwortliche Stelle. Für den Betrieb des Portals ist der Kirchenkreis verantwortlich. Externe Rechenzentren, Hoster oder technische Betreiber können Auftragsverarbeiter sein und handeln weisungsgebunden. Zwischen Verantwortlichem und Auftragsverarbeiter ist eine Vereinbarung zur Auftragsverarbeitung erforderlich, angepasst an Schutzniveau und Art der verarbeiteten Daten. Alle bei der Verarbeitung tätigen Personen sind vor Tätigkeitsaufnahme schriftlich auf das Datengeheimnis zu verpflichten. Das betrifft auch Administratoren und Kirchenmusikadministratoren und dient der klaren Steuerung von Zugriffsrechten.
Webseitenbetrieb, personenbezogene Daten und Rechtsgrundlagen
Schon der Besuch der Website führt zur Verarbeitung personenbezogener Daten. Dazu zählen insbesondere IP-Adressen, die auf dem Webserver erfasst werden. Verarbeitung umfasst Erhebung, Organisation, Abfragen, die Verwendung und die Löschung. Sie ist grundsätzlich untersagt und nur unter den Voraussetzungen des DSG EKD zulässig. In Betracht kommen eine gesetzliche Erlaubnis, die Einwilligung oder die Wahrnehmung einer Aufgabe im kirchlichen Interesse. Für Einwilligungen gelten Transparenz und bestimmte Formerfordernisse, zudem muss ein Widerruf möglich sein.
Hosting des Kirchenservers und sensible Inhalte
Wird der Kirchenserver extern gehostet, liegt Auftragsverarbeitung vor. Relevante Daten können Namen von Anfragenden oder seelsorgerische Anliegen sein. In diesen Konstellationen ist eine Vereinbarung zu schließen, die das erforderliche Schutzniveau und die Art der Daten abbildet. Zu berücksichtigen sind besonders schutzwürdige Kategorien wie religiöse oder weltanschauliche Überzeugungen und Gesundheitsdaten. In der Praxis erfolgt eine Einwilligung häufig über eine entsprechende Check Box auf dem Portal.
Drittanbieterdienste und internationale Übermittlungen
Beim Einsatz von Diensten wie YouTube, Matterport oder Newsletter Werkzeugen können Daten in Drittländer übermittelt werden. Die frühere Angemessenheitsentscheidung EU US Privacy Shield ist durch den Gerichtshof der Europäischen Union für unwirksam erklärt worden. Standardvertragsklauseln sind mit Auftragsverarbeitern zu vereinbaren und weitergehende Prüfungen durchzuführen. Liegt keine den Anforderungen genügende Auftragsverarbeitungsvereinbarung vor, ist eine Einwilligung der jeweiligen Besucher erforderlich.
Praxisrelevanz, Aufsicht und Unterstützung
Das kirchliche Datenschutzrecht bildet einen Spiegel des allgemeinen Datenschutzrechts und stellt zugleich hohe Anforderungen, da häufig besonders sensible Daten verarbeitet werden. Erforderlich sind belastbare Verträge, die Verpflichtung auf das Datengeheimnis und gegebenenfalls die Bestellung eines Datenschutzbeauftragten. Offen bleibt, wie weitreichend die kirchliche Selbstverwaltung und die kircheneigene Aufsicht europarechtlich Bestand haben. Wenn Sie diese Punkte strukturiert angehen möchten, unterstützt Sie unsere Kanzlei Lodigkeit Rechtsanwälte mit passgenauer Analyse und Umsetzung.
Dieser Beitrag ist erschienen in: Lodigkeit, AnwZert ITR 122022 Anm. 2.
Mehr aktuelle Themen und Insights finden Sie in unserem Kanzlei-Blog unter: https://www.it-recht.net/blog/.
