Gegen Ende des letzten Jahres beschloss die EKD-Synode eine Änderung des evangelischen Datenschutzgesetzes. Diese Novellierung gilt seit dem 01. Mai 2025. Das evangelische Datenschutzgesetz hat sich damit an die Datenschutzgrundverordnung angenähert. Infolgedessen sind nun einige Anpassungen zu beachten, um die drastisch erhöhten Bußgelder abzuwenden. Welchen Handlungsbedarf Sie jetzt haben, wenn Sie dem evangelischen Datenschutzgesetz unterliegen, erfahren Sie hier.
Betroffenenrechte
Im Umgang mit Betroffenen müssen Sie sich mehrerer Herausforderungen stellen. Sowohl die Informationspflichten der verantwortlichen Stelle als auch das Auskunftsrecht der betroffenen Personen erfuhren eine umfassende Anpassung an die Datenschutzgrundverordnung.
Stellen Sie Datenschutzinformationen bereit.
Die größte Erneuerung besteht darin, dass den Betroffenen die Informationen zur Verarbeitung ihrer personenbezogenen Daten bereits bei Beginn der Verarbeitung beziehungsweise bei der Erhebung der personenbezogenen Daten bereitgestellt werden müssen. Und zwar unabhängig davon, ob der Betroffene diese Informationen überhaupt verlangt. Datenschutzhinweise müssen daher formuliert und zugänglich gemacht werden. Insbesondere bietet sich eine Veröffentlichung auf der Website an. Ein Medienbruch ist jedoch zu vermeiden.
Wenn Sie automatisierte Verfahren zur Verarbeitung von personenbezogenen Daten einsetzen, ist darüber in Ihren Datenschutzhinweisen zu informieren. Dasselbe gilt, wenn Sie eine gemeinsame Verantwortlichkeit bei der Verarbeitung innehaben.
Alle relevanten Punkte lassen sich detailliert in der Arbeitshilfe zur Umsetzung von Informationspflichten nachlesen. Diese wurde vom Beauftragten für den Datenschutz der EKD anlässlich der Novellierung herausgegeben.
Beantworten Sie Auskunftsersuchen zeitig.
Bezüglich des Auskunftsrechts stellt die kürzere Frist, das größte Hindernis dar. Sie müssen ein Verfahren implementieren, das eine Beantwortung von Auskunftsersuchen von betroffenen Personen binnen drei Monaten ermöglicht. Denn eine Verlängerung, wie bisher, ist nicht mehr möglich.
Die Auskunft hat gegebenenfalls die automatisierte Verarbeitung sowie ergriffene Garantien bei der Drittlandsübermittlung zu umfassen. Insbesondere ist auch eine Auskunft darüber zu erteilen, dass keine Verarbeitung personenbezogener Daten erfolgt, also eine Negativauskunft. Damit die Auskunft zügig erteilt werden kann, empfiehlt es sich Textbausteine zu den genannten Aspekten zu entwerfen.
Wenn eine Ablehnung einer Auskunft aufgrund entgegenstehender Interessen eines Dritten oder rechtlich geboten ist, müssen Sie diese Ablehnung künftig gegenüber der betroffenen Person begründen.
Darüber hinaus hat die betroffene Person ein Recht auf Kopie. Damit durch diese Kopie der Datenschutz nicht gefährdet wird, sollte ein Verfahren entwickelt werden, das Daten Dritter anonymisiert.
Entfernen Sie das kirchliche Interesse als Rechtsgrundlage.
Eine weitreichende Umstellung für die ordnungsgemäße Verarbeitung von personenbezogenen Daten liegt in dem Wegfall der Rechtsgrundlage des kirchlichen Interesses begründet. Anstelle dieser Rechtsgrundlage wurde das berechtigte Interesse eingeführt, welches dem berechtigten Interesse der Datenschutzgrundverordnung entspricht. Im Unterschied zur alten Rechtsgrundlage ist beim berechtigten Interesse eine Interessensabwägung
durchzuführen und zu dokumentieren. Daher sollten Sie alle Verarbeitungsverzeichnisse und Datenschutzhinweise dahingehend kontrollieren, dass das kirchliche Interesse als Rechtsgrundlage ersetzt und gegebenenfalls eine Interessensabwägung ergänzt wurde.
Zu beachten ist weiterhin, dass die Betroffenen der Verarbeitung aufgrund berechtigten Interesses widersprechen können. Dieser Widerspruch ist grundsätzlich nicht zwingend, stellt aber einen wichtigen Faktor zugunsten der Betroffenen in der Interessensabwägung dar. Wird jedoch ein Widerspruch gegen Direktwerbung erhoben, dann ist die Verarbeitung der personenbezogenen Daten jedenfalls zu beenden.
Einwilligung Minderjähriger ab dem 14 Lebensjahr
Das Datenschutzgesetz der evangelischen Kirche regelt jetzt ausdrücklich alle Einwilligungen von Minderjährigen. Danach können Minderjährige ab 14 Jahren selbst einwilligen. Für Minderjährige unter 14 Jahren können die Sorgeberechtigten einwilligen oder die Zustimmung zur Einwilligung des Minderjährigen erteilen. Soweit bisher Minderjährige unter 14 Jahren eine Einwilligung erteilt haben, sind nun die Zustimmungen der Sorgeberechtigten einzuholen.
Zweckänderung und Offenlegung personenbezogener Daten
Der Wortlaut der Rechtsgrundlagen zur Zweckänderung und Offenlegung personenbezogener Daten wurde erneuert. Daher sollten die Verarbeitungsverzeichnisse und gegebenenfalls. Datenschutzhinweise dahingehend überprüft werden, ob Verweise zu aktualisieren sind.
Bestellung von örtlich Beauftragten für den Datenschutz
Das Datenschutzgesetz der evangelischen Kirche sieht nun die einheitliche Bezeichnung des örtlich Beauftragten vor. Als Betriebsbeauftragte berufene Personen, werden daher künftig als örtliche Beauftragte benannt.
Neben dem veränderten Wortlaut haben sich die Voraussetzungen zur Notwendigkeit eines örtlich Beauftragten geändert. Künftig sind Sie verpflichtet einen örtlich Beauftragten zu bestellen, wenn 20 Mitarbeitende mit der automatisierten Verarbeitung von personenbezogenen Daten betraut sind, oder die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten besteht.
Automatisierte Entscheidungsfindung
Wenn ihre Verarbeitung eine automatisierte Entscheidungsfindung beinhaltet, muss sich diese nach den Voraussetzungen des § 25 a DSG-EKD richten. Insbesondere hat die betroffene Person dann weitere Rechte inne. Diese sind das Recht auf Erwirken eines menschlichen Eingriffs sowie Darlegung des eigenen Standpunktes. Die von Ihnen getroffenen technischen und organisatorischen Maßnahmen müssen diese Rechte ermöglichen und geeignet sein die Interessen der betroffenen Person zu schützen.
Auftragsverarbeitung mit nichtkirchlichen Unternehmen
Die Auftragsverarbeitung hat eine Erleichterung erfahren. So entfällt die Unterwerfung des Auftragsverarbeiter unter die kirchliche Aufsicht. Künftig können Sie mit nichtkirchlichen Auftragsverarbeitern Auftragsverarbeitungsverträge nach der DSGVO ohne diese Erklärung schließen.
Behalten Sie zentrale Verfahren im Blick.
Außerdem wurde eine Neuheit in Gestalt der zentralen Verfahren eingeführt. Diese können vom kirchlichen Gesetzgeber dahingehend definiert werden, dass Aufgaben, Befugnisse und Verantwortlichkeiten zwischen den verantwortlichen Stellen abweichend von den normierten Regelungen festgelegt werden. Derzeit ist noch kein zentrales Verfahren definiert worden, so dass zum jetzigen Zeitpunkt kein konkreter Handlungsbedarf besteht. Jedoch sollte dieser Aspekt beobachtet werden, um bei künftig definierten zentralen Verfahren schnell reagieren zu können.
Neue Rechtsgrundlage zur Kommunikation mit Mitgliedern
Die bestehende Mitgliederkommunikation wird nun im Datenschutzgesetz der evangelischen Kirche ausdrücklich erwähnt. Danach kann eine Offenlegung anlässlich von Amtshandlung und Jubiläen gemeindebezogen erfolgen. Dabei ist zu beachten, dass die Veröffentlichung im Internet nicht mehr ausschließlich gemeindebezogen ist und daher weiterhin eine Einwilligung erfordert. Weiterhin ermöglicht Ihnen diese Rechtsgrundlage die Werbung für Spenden bei den Mitgliedern, soweit diese nicht widersprochen haben.
Dementsprechend sollten Sie Verarbeitungsverzeichnisse und Datenschutzhinweise bezüglich der neuen Rechtsgrundlage aktualisieren. Und bei Spendenaufrufen ist darauf zu achten, dass die Datenschutzhinweise die Information zum Widerspruch enthalten.
Fazit
Wer bisher personenbezogenen Daten mit großer Sorgfalt verarbeitete, sieht sich nicht vor große Herausforderungen gestellt. Dann lassen sich die meisten Änderungen in die bestehenden Datenschutzstrukturen integrieren. Daher sollte besonders auf die Aktualität von Rechtsgrundlagen und auf die Fristverkürzung bei der Wahrung von Betroffenenrechten geachtet werden, um die hohen Bußgelder zu vermeiden. Bei dieser Überprüfung helfen wir Ihnen als örtlich Beauftragte gern. Weitere Informationen zu unserer Beratung zum Thema Datenschutz