Freiwillig bestellte betriebliche Datenschutzbeauftragte im kirchlichen Datenschutzrecht?
Viele Einrichtungen müssen betriebliche Datenschutzbeauftragte bestellen – bei kleineren ist das aber oft keine Pflicht. Dennoch: Betriebliche Datenschutzbeauftragte sind eine bewährte Institution, die eine große Hilfe beim Datenschutzmanagement sind. Deshalb ist es vielerorts üblich, trotz kleiner Einrichtungen freiwillig betriebliche Datenschutzbeauftragte zu ernennen.
(Foto von John auf Unsplash)
Dass das möglich ist, ist in der DSGVO eindeutig geregelt. Im kirchlichen Datenschutzrecht wird es oft genauso gehandhabt – nur: Ein genauer Blick in die kirchlichen Datenschutzgesetze zeigt, dass dort eine eindeutige Regelung fehlt. Wie man diese Lücke schließt, hat erhebliche Auswirkungen auf die Rechte und die Stellung von freiwillig bestellten bDSB.
**Inhalte** Verbergen
1 Rechtslage
1.1 DSGVO und BDSG
1.2 Kirchliches Recht
2 Argumente zur freiwilligen Bestellung
2.1 Dafür
2.2 Dagegen
2.3 Zwischenfazit
3 Rechtsfolgen
3.1 Folgen einer freiwilligen Bestellung
3.2 Wegfall der Bestellpflicht
4 Fazit
## Rechtslage
### DSGVO und BDSG
In der **DSGVO** ist die Bestellung von betrieblichen Datenschutzbeauftragten klar geregelt: Es gibt in Art. 37 Abs. 1 DSGVO einen Rahmen, wann sie verpflichtend zu bestellen sind, dazu kommt die Möglichkeit, sie freiwillig zu ernennen. Das regelt Art. 37 Abs. 4 DSGVO, zusammen mit der Öffnungsklausel für Mitgliedsstaaten, selbst zusätzliche Regelungen zur verpflichtenden Bestellung zu treffen.
Genau das hat der deutsche Gesetzgeber im **Bundesdatenschutzgesetz** mit § 38 BDSG getan. Dass es freiwillige bestellte bDSB gibt, setzt § 38 Abs. 2 BDSG voraus. Anders als bei verpflichtend bestellten gilt für sie nicht der Schutz vor Abberufung und Kündigung aus § 6 Abs. 4 BDSG.
### Kirchliches Recht
Im kirchlichen Datenschutzrecht findet sich **in beiden großen Gesetzen keine Regelung** zur freiwilligen Bestellung. Geregelt wird lediglich in den fast gleichlautenden Normen § 36 Abs. 6 DSG-EKD und § 36 Abs. 8 KDG, dass Verantwortliche die Erfüllung der Aufgaben von betrieblichen Datenschutzbeauftragten (im evangelischen Sprachgebrauch: örtlich Beauftragten) »in anderer Weise sicherzustellen« haben.
Da beide kirchlichen Datenschutzgesetze nicht von freiwilligen Bestellungen handeln, gibt es auch keine zu § 38 Abs. 2 BDSG analogen Sonderregelungen für freiwillig bestellte bDSB.
## Argumente zur freiwilligen Bestellung
### Dafür
Für die Möglichkeit, betriebliche Datenschutzbeauftragte freiwillig zu bestellen, spricht vor allem der **Verweis auf die säkulare Rechtslage**. Das kirchliche Datenschutzrecht ist durch Art. 91 Abs. 1 DSGVO zum Einklang mit der DSGVO verpflichtet; eine **europarechtskonforme Auslegung** der kirchlichen Datenschutzgesetze ist daher geboten. Um die Lücke im kirchlichen Recht zu schließen, zieht man nach dieser Auslegung die Regelung der DSGVO analog heran, die freiwillige Bestellungen kennt. Eine Analogie zu den Regelungen des BDSG als mitgliedsstaatlichem Recht ist durch eine europarechtskonforme Auslegung nicht geboten. Wo Regelungen des BDSG nicht übernommen werden, besteht keine Gefahr für den Einklang. Wo mitgliedsstaatliche Gesetzgeber frei sind, Öffnungsklauseln der DSGVO zu füllen, ist es auch der kirchliche Gesetzgeber.
Für die freiwillige Bestellung spricht auch die wohl herrschende Praxis – von kirchlichen Aufsichten hört man, dass sie davon ausgehen, dass das zulässig ist, von externen bDSB hört man, dass ihre Bestellungen auch nach den Änderungen im DSG-EKD bei Unterschreiten des neuen Schwellwerts in der Regel aufrecht erhalten wurden, und im DSG-EKD-Kommentar von Wagner ist ebenfalls von der Möglichkeit der fakultativen Bestellung zu lesen.
Zu diesem Ergebnis kann man auch kommen, wenn man den Auftrag, bei fehlender Bestellpflicht die Aufgaben von bDSB »in anderer Weise« zu erfüllen, so auslegt, dass die freiwillige Bestellung eine »andere Weise« als die Pflichtbestellung ist, um diese Aufgaben zu erfüllen.
### Dagegen
Gegen die Möglichkeit einer freiwilligen Bestellung spricht vor allem der **Wortlaut** der kirchlichen Datenschutzgesetze: Es ist jeweils die Rede davon, dass betriebliche Datenschutzbeauftragte zu bestellen sind, »wenn« die genannten Kriterien zutreffen, eine freiwillige Bestellung wird nicht erwähnt. (Ein Gegenargument: »wenn« heißt nicht notwendig »nur dann wenn«.)
Die Anforderung, die Aufgaben von bDSB »in anderer Weise« zu erfüllen, ist wohl viel eher so auszulegen, dass die Aufgaben »in anderer Weise als durch die Benennung von bDSB« zu erfüllen sind. Eine Gefahr für den Einklang besteht nicht, wenn man mit dem Einklang auf das Schutzniveau, nicht auf eine 1:1-Entsprechung aller Instrumente abhebt, die ein Gesetz bietet.
Im DSG-EKD Kommentar sprechen sich Große/Wagner zwar für die Möglichkeit einer fakultativen Benennung aus – aber nicht für eine echte freiwillige Benennung, die alle Rechtsfolgen nach sich zieht: »Für die fakultative Bestellung von örtlich Beauftragten sind die Vorgaben aus §§ 36 bis 38 DSG-EKD nicht einschlägig.« (Wagner/Große in Wagner, DSG-EKD, § 39, Rn. 90.) Der KDG-Kommentar erwähnt freiwillige Bestellungen gar nicht und scheint daher davon auszugehen, dass sie nicht möglich sind.
Die (nicht veröffentlichten) Begründungen zum KDG und seiner Novelle sowie die (veröffentlichten) Begründungen zum DSG-EKD (2017, 2024) gehen nicht auf die Möglichkeit einer freiwilligen Bestellung ein und erwähnen Art. 37 Abs. 4 DSGVO und § 38 Abs. 2 BDSG nicht.
### Zwischenfazit
Im wesentlichen stehen zwei Argumente gegeneinander: Eine europarechtskonforme weite Auslegung oder eine am Wortlaut orientierte enge Auslegung.
Im katholischen Kirchenrecht gibt es explizit festgelegte Auslegungsregeln. Legt man das KDG nach den kirchenrechtlichen Auslegungsregeln aus, ist bei klarem Wortlaut diesem Wortlaut der Vorzug zu geben (c. 17 CIC) – der Wortlaut handelt klar nur von einer verpflichtenden Bestellung. Die Regelungen über die Rechtsstellung von bDSB schränken Rechte des Verantwortlichen ein (insbesondere hinsichtlich des Direktionsrechts und durch den erhöhten Kündigungsschutz). Gesetze, die die freie Ausübung von Rechten einschränken, sind gemäß c. 18 CIC eng auszulegen – eine analoge Anwendung der für verpflichtend bestellten bDSB aufgestellten Regelungen ist damit eingeschränkt.
Bei einer europarechtskonformen Auslegung stellt sich die Frage, ob eine fehlende Möglichkeit zur freiwilligen Bestellung wirklich den Einklang gefährdet, da die Aufgaben von bDSB ja ausdrücklich in anderer Weise erfüllt werden müssen. Zudem sieht die DSGVO nicht vor, dass die Aufgaben von bDSB in anderer Weise erfüllt werden müssen, wenn keine bestellt sind – demnach gibt es durch das Fehlen der freiwilligen Bestellmöglichkeit kein schlechteres Datenschutzniveau.
Im Ergebnis spricht viel dafür, dass es tatsächlich nicht möglich ist, echte freiwillige Bestellungen vorzunehmen, also solche mit allen Rechtsfolgen einer Bestellung zu bDSB. Da aber insbesondere die Aufsichtspraxis und die übliche Vorgehensweise anders ist, dürfte offen sein, wie Gerichte die Frage bewerten würden.
## Rechtsfolgen
### Folgen einer freiwilligen Bestellung
Wenn eine **echte freiwillige Bestellung möglich** sein sollte, dann sind auch die Rechtsfolgen dieselben wie bei einer verpflichtenden Bestellung – und zwar anders als nach § 38 Abs. 2 BDSG inklusive des Abberufungs- und Kündigungsschutzes.
Wenn eine **echte freiwillige Bestellung nicht möglich** sein sollte, dann kann man zwar (mit Große/Wagner) eine Person mit Aufgaben von bDSB betrauen und diese Person »bDSB« oder »öBfD« nennen. Sie ist es aber nicht im rechtlichen Sinne und hat insbesondere nicht die Rechtsstellung aus § 37 KDG/DSG-EKD, insbesondere auch nicht den Abberufungs- und Kündigungsschutz, aber auch nicht die Weisungsfreiheit, Auskunfts- und Einsichtsrechte, das Recht auf Fortbildung, das Zeugnisverweigerungsrecht und das Beteiligungsrecht, die echte bDSB haben. (Große/Wagner empfehlen eine arbeitsvertragliche Regelung, um das zu kompensieren.)
Insbesondere für externe freiwillig bestellte bDSB stellt sich in diesem Fall die Frage, ob sie die gesetzlich festgelegte Aufgabe der Rechtsberatung im Bereich des Datenschutzrechts gemäß Rechtsdienstleistungsgesetz wahrnehmen dürfen. Dass ordentlich bestellte bDSB das dürfen, ist geklärt. Art. 39 DSGVO ist eine gesetzliche Erlaubnisnorm für eine Rechtsdienstleistung, wie sie § 3 Nr. 2 RDG verlangt (dazu ausführlich Regina Mühlich). Wenn aber freiwillig bestellte externe bDSB gar keine bDSB im Sinne des (kirchlichen) Rechts sind, dann fehlt es an dieser Erlaubnisnorm und man muss den stärker auslegungsbedürftigen § 5 Abs. 1 RDG heranziehen, der Rechtsdienstleistungen »im Zusammenhang mit einer anderen Tätigkeit, wenn sie als Nebenleistung zum Berufs- oder Tätigkeitsbild gehören«, erlaubt. Im Ergebnis dürfte man aber wohl bejahen können, dass das auch für externe freiwillig bestellte kirchliche bDSB gilt.
### Wegfall der Bestellpflicht
Was passiert, wenn eine Einrichtung die Kriterien für eine Bestellpflicht nicht mehr erfüllt? Der häufigste Fall dürfte sein, dass der Schwellwert an Personen unterschritten wird, ab der eine Bestellung erforderlich ist. Noch häufiger als durch Personalabbau dürfte das zum Inkrafttreten der jeweiligen Novellen der Fall sein: Sowohl im DSG-EKD wie im KDG wurde analog zur Reform im BDSG der Schwellwert von 10 auf 20 Personen angehoben, die mit der Datenverarbeitung beschäftigt sind.
Beide kirchlichen Gesetze haben ähnliche **Übergangsregelungen** , die bestehende Bestellungen von betrieblichen Datenschutzbeauftragten regeln. § 55 Abs. 2 DSG-EKD und § 57 KDG legen jeweils fest, dass bestehende Bestellungen fortbestehen, allerdings jeweils unter Verweis auf die neuen Regelungen. Das DSG-EKD regelt, dass »die Regelungen der §§ 36 bis 38« gelten, das KDG, dass die Bestellungen unberührt bleiben, »soweit hierbei die Regelungen der §§ 36 ff. Beachtung finden«.
Wie man diese Übergangsregelung auslegt, hängt ebenso wie die Frage nach freiwilligen Bestellung allgemein wesentlich damit zusammen, ob man eine echte freiwillige Bestellung bejaht oder nicht:
* Bejaht man sie, dann werden die bisher verpflichtend zu freiwillig bestellten bDSB, deren Rechtsstellung sich im wesentlichen nicht ändert. Insbesondere behalten sie auch, anders als unter der Geltung von § 38 Abs. 2 BDSG, ihren Schutz vor Abberufung und Kündigung.
* Verneint man die Möglichkeit der echten freiwilligen Bestellung, dann dürfte die Bestellung wegfallen, weil zu den referenzierten Bestimmungen auch der jeweilige Schwellwert gehört – dann wären die bisherigen verpflichtend bestellten bDSB von Gesetzes wegen abberufen und genössen lediglich noch den nachlaufenden Kündigungsschutz. Dieser Fall tritt allerdings nur ein, wenn die Personenzahl dauerhaft unter zwanzig fällt – beide Gesetze sprechen von »in der Regel« zwanzig Personen, kurzzeitiges Unterschreiten der Grenze durch Vakanzen, die wieder besetzt werden, ist unschädlich.
## Fazit
Das Fehlen von Regelungen zu freiwillig bestellten betrieblichen Datenschutzbeauftragten ist eine echte Lücke in den kirchlichen Datenschutzgesetzen, die erstaunlich lange – auch in den Evaluierungen – nicht aufgefallen ist.
Die herrschende Praxis ist wohl, dass regelmäßig freiwillig bDSB im kirchlichen Bereich bestellt werden. Prekär kann das werden, wenn es Konflikte über die Rechtsstellung dieser freiwillig Bestellten gibt. Bisher ist noch keine entsprechende Entscheidung (weder von den kirchlichen Datenschutz- und Verwaltungsgerichten noch von Arbeitsgerichten) bekannt.
Sinnvoll wäre es, hier die Rechtslage der staatlichen anzupassen und Art. 37 Abs. 4 DSGVO und § 38 Abs. 2 BDSG in geeigneter Form in kirchliches Recht zu überführen. Die Übernahme des Verzichts auf ein Abberufungs- und Kündigungsverbot ist sinnvoll, um durch diese einschneidende Maßnahme nicht die an sich sinnvolle und wünschenswerte freiwillige Bestellung mit zu hohen Hürden zu versehen. Eine mögliche Formulierung für einen neuen § 37 Abs. 2a KDG/§ 36 Abs. 1a DSG-EKD könnte so aussehen:
> »In anderen als den in Absatz 1 und 2/Absatz 1 genannten Fällen können kirchliche Stellen/verantwortliche Stellen einen betrieblichen Datenschutzbeauftragten oder eine betriebliche Datenschutzbeauftragte/örtlich Beauftragte ernennen. § 37 Abs. 4/§ 37 Abs. 2 findet in diesem Fall keine Anwendung.«
* teilen
* teilen
* teilen
* teilen
* teilen
* teilen
* teilen
* E-Mail
*
