Und wieso sollte man sich eigentlich unterwerfen, wenn der Auftraggeber dem kirchlichen Datenschutzrecht unterliegt? Ist das nicht ein bisschen radikal?
Die Ausgangslage
Nach Art. 91 DSGVO sind Kirchen, religiöse Vereinigungen oder Gemeinschaften berechtigt, bereits vor Einführung der DSGVO bestehende Regeln zum Datenschutz weiter anzuwenden, soweit diese mit den Regeln der DSGVO in Einklang gebracht werden können. Die DSGVO ist seit dem 25. Mai 2018 anwendbar. Davor wurde flink noch das DSG-EKD (nämlich am 15.11.2017) und das KDG (am 29.12.2017) eingeführt. Somit gilt das jeweilige kirchliche Datenschutzrecht für den kirchlichen Verantwortlichen der personenbezogene Daten verarbeitet.
Statt des Artikel 28 DSGVO ist somit der § 30 DSG-EKD oder § 29 KDG einschlägig, wenn eine Auftragsdatenverarbeitung vorliegt, bzw. sich die verantwortliche Stelle eines Dienstleisters zur Datenverarbeitung bedient.
Vertrag nach DSGVO oder KDG / DSG-EKD?
Daraus folgt aber nicht, dass der Auftragsverarbeitungsvertrag zwingend nach den Normen auszugestalten ist, denen der Verantwortliche unterliegt:
- Ist der Auftraggeber dem kirchlichen- und der Auftragnehmer dem weltlichen Datenschutzrecht unterworfen, reicht es aus, den Vertrag nach den Normen der DSGVO auszugestalten. Dann muss die kirchliche Stelle jedoch sicherstellen, dass die Durchsetzung des kirchlichen Datenschutzrechts durch die Aufsichtsbehörden möglich ist.
Hier ist dann die o.g. „Unterwerfungserklärung“ oder auch netter umschrieben, eine „Zusatzvereinbarung“ als Anlage zum Vertrag notwendig. Nicht notwendig ist diese Erklärung erst, wenn der Vertrag bereits nach den jeweiligen Normen des kirchlichen Verantwortlichen verfasst wurde, bzw. bereits hierdurch die Anwendung des kirchlichen Datenschutzrechts gesichert ist.
- Sind beide Parteien demselben kirchlichen Datenschutzrecht unterworfen muss der Vertrag auch nach den jeweiligen kirchlichen Normen geschlossen werden. Eine Unterwerfung ist nicht notwendig.
Ergebnis: Nicht Unterwerfungs- sondern Anerkennungserklärung
Eine Unterwerfungserklärung ist daher zwingend notwendig, wenn ein Vertrag nach DSGVO-Normen ausgestaltet ist und die verantwortliche Stelle dem kirchlichen und der Auftragnehmer dem weltlichen Datenschutzrecht unterliegt. Möchte sich der Auftragnehmer nicht „unterwerfen“ muss er einen Vertrag nach Normen des jeweiligen Kirchenrechts vorhalten oder den Vertrag der jeweiligen kirchlichen Stelle annehmen.
Auch wenn solch eine „Unterwerfung“ vor allem bei größeren Dienstleistern auf einen abwehrenden Reflex stößt, sollte beachtet werden, dass diese Erklärung nicht dazu dient, sich Gott, der Kirche oder einem bestimmten Glauben zu beugen. Es handelt sich hierbei auch nicht um ein Eingeständnis gegenüber dem Vertragspartner. Beabsichtigt sind damit lediglich die Aufgaben und Befugnisse der jeweiligen Aufsichtsbehörde anzuerkennen (Durchsetzung der jeweiligen Normen). Diese ähneln im Wesentlichen denen der DSGVO (wenn sie nicht sogar absolut inhaltsgleich sind).
Falls ein Dienstleister sich also weigert einen solchen Zusatz zu unterschreiben, klären Sie ihn darüber auf! Der Auftragnehmer unterwirft sich nicht, sondern erkennt die kirchlichen Datenschutzvorschriften an. Der Begriff „Anerkennungserklärung“ wäre hier also viel passender.
Es liegt in der Erklärung somit kein Statement, sondern es handelt sich um eine rechtliche Notwendigkeit.