Drei wichtige Hinweise zur datenschutzkonformen Nutzung
Zahlreiche kirchliche Bistümer, Dekanate und Kirchengemeinden greifen bei der Erfüllung ihrer täglichen Aufgaben auf Microsoft 365 zurück. Das Katholische Datenschutzzentrum Frankfurt hält einen datenschutzkonformen Betrieb von Microsoft 365 nur in Ausnahmefällen für möglich. Die Konferenz der deutschen Diözesandatenschutzbeauftragten der katholischen Kirche hat bisher keinen bundesweit gültigen Beschluss gefasst. Der Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland (EKD) ist mindestens skeptisch. Die weltlichen Datenschutzaufsichtsbehörden haben zuletzt eine noch negativere Einschätzung abgegeben. Entgegen diesen Bedenken haben wir in zahlreichen Implementierungsprojekten sowie im Austausch mit der Datenschutzaufsicht und Microsoft jedoch die Erfahrung gemacht, dass ein datenschutzkonformer Einsatz von Microsoft 365 durch kirchliche Stellen möglich ist.
Bei dem Einsatz von Microsoft 365 durch kirchliche Stellen sind jedoch insbesondere die folgenden Besonderheiten zu berücksichtigen:
- Kirchen und religiöse Vereinigungen dürfen eigene Datenschutzgesetze anwenden
Über Art. 91 DSGVO wird Kirchen oder religiösen Vereinigungen das Recht gewährt, eigene Regeln zum Schutz personenbezogener Daten, die bereits vor der Einführung der DSGVO galten, weiter anzuwenden. Die Sonderstellung folgt aus dem verfassungsrechtlichen Selbstverwaltungsrecht der Kirchen. Hiervon haben beispielsweise die römisch-katholische Kirche mit dem Gesetz über den Kirchlichen Datenschutz (KDG) oder die evangelische Kirche mit dem Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) Gebrauch gemacht. Allerdings müssen die jeweiligen datenschutzrechtlichen Regeln mit der DSGVO „in Einklang“ sein. - Kirchliche Datenschutzgesetze enthalten teilweise abweichende bzw. ergänzende Rechtsgrundlagen
Nach dem KDG und dem DSG-EKD ist eine Verarbeitung von Daten dann erlaubt, wenn sie das entsprechende kirchliche Datenschutzgesetz erlaubt oder wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im kirchlichen Interesse liegt. Gleichzeitig ist beispielsweise nach dem KDG die Berufung auf ein berechtigtes Interesse – parallel zu Art. 6 Abs. 1 S. 2 DSGVO – für öffentlich-rechtlich organisierte kirchliche Stellen in Erfüllung ihrer Aufgaben nicht möglich. Bezüglich der Rechtsgrundlagen sind zudem die kirchenrechtlichen Rechtsgrundlagen bis hin zu kirchenrechtlichen Verfassungen, wie dem katholischen Codex Iuris Canonici oder der Grundordnung der Evangelischen Kirche in Deutschland, zu berücksichtigen. - Kirchen und religiöse Vereinigungen haben eigene Datenschutzaufsichtsbehörden
Auch diese Möglichkeit folgt aus dem verfassungsrechtlich gewährleisteten Selbstverwaltungsrecht der Kirchen und wird in Art. 91 Abs. 2 DSGVO verbrieft. Hiervon haben unter anderem die römisch-katholische Kirche und die evangelische Kirche in Deutschland Gebrauch gemacht. Neben den Auffassungen der staatlichen Datenschutzaufsichtsbehörden – mit welchen die kirchlichen Datenschutzaufsichtsbehörden in Austausch stehen – sind daher bei einem Einsatz von Microsoft 365 insbesondere die rechtlichen Einschätzungen der jeweiligen kirchlichen Datenschutzaufsichtsbehörden zu berücksichtigen.
Fazit
Bei einem rechtskonformen Einsatz von Microsoft 365 durch kirchliche Stellen gilt es viele datenschutzrechtliche Besonderheiten zu berücksichtigen. Die damit einhergehenden Herausforderungen können kirchliche Stellen unserer Erfahrung nach am besten mit der Durchführung einer Datenschutz-Folgenabschätzung bewältigen. Weitere Informationen dazu finden Sie in unserem Onepager zum datenschutzkonformen Einsatz von Microsoft 365.
zurück