Datenschutz und Compliance: Zukunftsbausteine für kirchliche Einrichtungen und Ordensgemeinschaften

Compliance und Datenschutz – zwei Schlagworte, die ob ihrer Unbestimmtheit und  inhaltlichen Weite immer wieder für Diskussion sorgen. Brauchen wir Compliance wirklich? Was ist das eigentlich? Wie sehr ist unser Handeln durch Datenschutz tatsächlich reglementiert?  Ist Datenschutz nicht ein  regulatorisches Monster, das für die Arbeit von Einrichtungen und Orden nach innen und außen nicht eher hinderlich ist? Noch mehr Bürokratie und interne Verwaltungsprozesse? Dieser Beitrag soll aufzeigen, wie Compliance und Datenschutz in kirchlichen Einrichtungen als Instrumentarien einer modernen Führungs- und Organisationskultur begriffen werden können.

Gesellschaftlicher und technologischer Wandel sind Treiber für Compliance und Datenschutz
Compliance und Datenschutz verdanken ihren aktuellen Bedeutungszuwachs im  Bereich der Kirchen,  Ordensgemeinschaften und kirchlichen Einrichtungen grundlegenden gesellschaftlichen und regula-torischen Entwicklungen. Die Anzahl der gesetzlichen und sonstigen  Regelungen nimmt stetig zu. Die Anforderungen an Führung und Organisation werden komplexer. Kirchliche Einrichtungen und
Ordensgemeinschaften sehen sich darüber hinaus einer zunehmend kritischen Öffentlichkeit ausgesetzt. Vor dem Hintergrund von echten oder vermeintlichen Skandalen wird die Regelkonformität der Kirchen und Orden im Wissen um deren kirchliche Sonderrechte und Traditionen generell in Zweifel  gezogen. Den großen Kirchen wird vielfach unterschwellig oder explizit mangelnde Transparenz  und/ oder mangelnde Glaubwürdigkeit des eigenen Handelns unterstellt. Daher sind  kirchliche  Einrichtungen mehr denn je aufgefordert, eigenes Handeln nach innen und außen regelkonform und nachprüfbar zu gestalten. Hier greift Compliance.

Verstärkt und verschärft  wird diese Entwicklung  durch die zunehmende  Digitalisierung sämtlicher  Lebens- und Arbeitsbereiche und Kommunikationswege. Je mehr wir über ein „digitales Ich“ verfügen, desto bedeutsamer wird dessen grundrechtlich garantierter  Schutz- und Selbstbestimmungsbereich (Art. 1 und 2 GG). Gleichzeitig ist die Verwundbarkeit von Einrichtungen durch Datendiebstahl, Datenverlust oder gezielter Sabotage  („Hacking“) nicht mehr nur eine abstrakte Bedrohung, sondern  Organisationsalltag. Gezielte Hackingangriffe auf kirchliche Einrichtungen (Krankenhäuser)  gehören  hier ebenso dazu wie Datendiebstahl durch (Ex-) Mitarbeiter oder Externe. Die digitale Transformation  macht an den Pforten der kirchlichen Einrichtungen nicht halt. Datenschutz und Datensicherheit rücken  verstärkt in den Fokus der kirchlichen Selbstorganisation.

Somit sind Compliance und Datenschutz zwei tragende Säulen für die künftige Ordens- und Kirchenarbeit.

Kirchlicher Datenschutz im Spannungsfeld der EU-Datenschutzgrundverordnung                                 Neben den allgemeinen gesetzlichen Bestimmungen bilden das Kirchenrecht sowie kirchenspezifische
Vorschriften, wie das kirchliche Arbeitsrecht, den Rechtsrahmen für Kirchen, Orden und deren Einrichtungen. Hierzu zählt auch, mitunter weniger bekannt und beachtet, der Bereich des kirchlichen
Datenschutzes (im Bereich der katholischen Kirche: Anordnung über den kirchlichen Datenschutz – KDO; im Bereich der evangelischen Kirche: EKD-Datenschutzgesetz – DSG-EKD). Dieses kirchliche  Datenschutzrecht steht in einem Spannungsverhältnis zum nationalen und europäischen 
Datenschutzrecht (Bundesdatenschutzgesetz – BDSG,  Datenschutzgesetze der Länder,  EU-Datenschutzrichtlinie und ab 2018  EU-Datenschutzgrundverordnung – EU-DSGVO). Es grenzt sich in seinen kirchenspezifischen Regelungen vom „weltlichen“ Datenschutzrecht ab, während letzteres gleichwohl für die Gewährung des grundrechtlich geschützten Rechts auf informationelle Selbstbestimmung den allgemeinen (Mindest-)Schutzrahmen definiert, der auch für das kirchliche Datenschutzrecht gilt.

Die  EU-DSGVO, welche ab dem 28. Mai 2018 unmittelbar geltendes Recht werden wird, hält in Art. 91 am kirchlichen Sonderrecht fest. Sie fordert aber, dass der kirchliche Datenschutz in „Einklang“ mit der EU-DSGVO stehen muss. Kurz: Das Datenschutzsonderrecht der Kirchen hat auch künftig grundsätzlich das gleiche Schutzniveau zu garantieren, ohne die verfassungsrechtliche Sonderstellung der Kirchen zu negieren. Ergänzt wird der kirchliche Datenschutz durch eine Vielzahl datenschutzrechtlicher Bestimmungen aus dem Sozial- und Gesundheitsdatenschutz.

Was bedeutet das für kirchliche Einrichtungen und Ordensgemeinschaften? Die EU-DSGVO wird zu einer Stärkung des Datenschutzes sowie der Auskunftsrechte und pflichten führen. Der Datenschutz zielt darauf ab, Rechte von Kunden, Patienten und Dritten, aber auch von Mitarbeitern umfassend in allen Bereichen zu sichern und über technisch-organisatorische, verbindliche Vorgaben (z. B. Informations-pflichten, Verfahrensverzeichnisse, Zugriffsrechte, Speicherfristen, Datenschutzbeauftragte etc.) intern die  Durchführung und Einhaltung der entsprechenden Regelungen zu garantieren. Hierzu führt die EU-DSGVO neue Instrumentarien und Regularien ein. Die Anforderungen an Transparenz, Informationspflichten und  Datenschutzaufsicht steigen. Gleichzeitig erlaubt die EU-DSGVO in zahlreichen Öffnungsklauseln nationale ergänzende Regelungen (z. B. Art. 88 EU-DSGVO i. V. m § 32  BDSG Arbeitnehmerdatenschutz).

Damit droht das Normgefüge im Datenschutzrecht noch  komplexer zu werden.  Mit diesem neuen  datenschutzrechtlichen Gefüge wird der kirchliche Datenschutz gemäß Art. 91 EU-DSGVO in Einklang  zu bringen sein. Wie groß derAnpassungsbedarf sein wird, ist heute noch nicht klar abzusehen. Der Datenschutz in kirchlichen Einrichtungen wird sich aber zweifellos der EU-DSGVO anpassen müssen, überstrahlen doch zum Beispiel Gesundheits- und Sozialdatenschutz den Kernbereich des kirchlichen Datenschutzrechts.

Das  aufgezeigte Spannungsverhältnis und die technischgesellschaftliche Dynamik der digitalen Transformation lassen den Datenschutz zu einem prototypischen Bereich der guten Unternehmens- und Organisationsführung und damit zu einem Teil dessen werden, was man gemeinhin unter Compliance versteht.

Übergangszeitraum zur EU-DSGVO für Compliance nutzen
Im Zuge der EU-DSGVO werden die Anforderungen an die Kontrolle durch die Datenschutzbeauftragten ebenso steigen wie die Kontroll- und Nachprüfpflichten durch  die Aufsichtsbehörden. Entsprechend werden auch die kircheninternen Datenschutzaufsichten „in Einklang“ mit dem neuen Schutzniveau zu bringen sein. Kirchlichen Einrichtungen sei daher  mit  Blick  auf die Anpassungszeiträume eine  frühzeitige strukturelle Neuausrichtung geraten. Wird damit aus den Themen Datenschutz- und Datensicherheit nicht doch das gefürchtete Verwaltungsmonster? Hierauf lässt sich mit Verweis auf die Unternehmenskultur antworten: Je nach deren Ausprägung wird Datenschutz schon heute als Verhinderungs- oder Optimierungsprozess gelebt. Wer sich intensiv mit der EU-DSGVO und ihrer Genese beschäftigt, wird erkennen, dass dem künftigen Recht viele Aspekte eines Qualitäts-managements eingeschrieben sind. Diese Lesart gilt es mit Leben zu füllen. Datenschutz sollte im Eigeninteresse der Datensicherheit und Integrität ebenso wenig stiefmütterlich behandelt wie zu einem Hemmnis für die Organisationsentwicklung überdehnt werden.

Praxis Hinweis
Das  kommende Datenschutzrecht verpflichtet heute schon, zahlreiche organisationsinterne Prozesse zu überprüfen, anzupassen oder neu zu denken. Kurz: Das kommende Recht stellt auch kirchliche Organisationen auf den Prüfstand. Datenschutz und Compliance sind tiefgreifende Querschnitts-funktionen. Die regulatorische Notwendigkeit zur Anpassung und Neuausrichtung im Datenschutz bietet die einmalige Gelegenheit, abgestimmt und passgenau Compliancestrukturen in den  Organisationen aufzubauen. Beide tragenden Säulen sollten gleichzeitig aufgebaut werden, damit die Statik für die Zukunft stimmt.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Freiburg
RA
Justus Kampp
+49 (0)761 79186 45
 
Rechtsanwalt

Solidaris Rechtsanwaltsgesellschaft mbH

Kampp

Justus Kampp

  •     Studium der Rechtswissenschaften in Freiburg und Heidelberg
  •     Referent Deutscher Bundestag
  •     Handwerkskammer Freiburg
  •     Rechtsanwalt seit 2010
  •     2010 Rechtsanwalt bei Hiddemann Kleine-Cosack Rechtsanwälte
  •     seit 2016 bei der Solidaris Rechtsanwaltsgesellschaft
  •     seit 2018 abgeschlossener Fachanwaltslehrgang für Vergaberecht
  •     seit 2019 ehrenamtlicher Richter am Verwaltungsgericht der Evangelischen Kirche in Baden 


Schwerpunkte:

  •     Vergaberecht
  •     privates Bau- und Architektenrecht
  •     Immobilienrecht
  •     Mietrecht
  •     IT- und Datenschutzrecht
  •     Erbrecht


Aktivitäten

  •     Mitglied der Arbeitsgemeinschaft Bau- und Immobilienrecht im Deutschen Anwaltverein
  •     Mitglied der Deutschen Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.
  •     Mitglied im Deutschen Vergabenetzwerk

 Veröffentlichungen in der Fachpresse
2019

  • Der EuGH und die HOAI: Was nun?: Health&Care Management, 10/2019, S. 54.
  • Haftung für Heimträger: Health & Care Management, 12/2019, S. 60

Veröffentlichungen in der Fachpresse
2018

  • Alarm ist nicht gleich Alarm!: Health&Care Management, 9/2018, S. 53
  • Die Schaffung von Einzelzimmern: Health&Care Management, 6/2018, S. 53.

Veröffentlichungen in der Fachpresse
2017

  • Beachten Kliniken das Vergaberecht unzureichend?: Health&Care Management, 6/2017, S. 56.
  • Datenschutz und Compliance: Zwei Bausteine für kirchliche Einrichtungen: Neue Caritas, 3/2017.
  • Falsch gelandet: Health&Care Management, 3/2017.
  • Der "Quasi"-Öffentliche Auftraggeber, Auftraggeber dank Aufgabendelegation oder -Übernahme?: ZfBR, 8/2017, S. 772-776.

Veröffentlichungen in der Fachpresse
2016

  • Keine angemessene Räumungsfrist nach § 721 ZPO für Pflegeheime: Health&Care Management, 10/2016, S. 60.