Datenschutz und Compliance: zwei Bausteine für kirchliche Einrichtungen

Compliance ("Regeltreue") und Datenschutz - zwei Schlagworte, die ob ihrer Unbestimmtheit und inhaltlichen Weite immer wieder für Diskussionen sorgen. Brauchen wir Compliance wirklich? Was ist das eigentlich? Wie sehr ist unser Handeln durch Datenschutz tatsächlich reglementiert? Ist Datenschutz nicht ein regulato­risches Monster, das für die Arbeit von Einrichtungen und Orden nach innen und außen nicht eher hinderlich ist? Noch mehr Bürokratie und interne Verwaltungsprozesse? Dieser Beitrag soll aufzeigen, wie Com­pliance und Datenschutz in kirchlichen Einrichtungen als Instrumentarien einer modernen Führungs- und Organisationskultur be­griffen werden können (s. dazu auch den Beitrag in neue caritas Heft 22/2016, S. 22 ff.).

Der technologische Wandel fordert mehr Datenschutz

Compliance und Datenschutz verdanken ihren aktuellen Bedeutungszuwachs im Bereich der Kirchen, Ordensgemeinschaften und kirchlichen Einrichtungen grundlegenden gesellschaftlichen und regulatorischen Entwicklungen. Die Zahl der gesetzlichen und sonstigen Regelungen nimmt stetig zu. Die Anforderungen an Führung und Organisa­tion werden komplexer. Kirchliche Einrichtungen und Ordensgemeinschaften sehen sich ferner einer zunehmend kritischen Öffentlichkeit gegenüber. Vor dem Hintergrund von echten oder vermeintlichen Skandalen wird die Regelkonformität der Kirchen und Orden im Wissen um deren kirchliche Sonderrechte und Traditionen generell in Zweifel gezogen. Den großen Kirchen wird vielfach unterschwellig oder explizit mangelnde Transparenz und/oder mangelnde Glaubwürdigkeit des eigenen Handelns unterstellt. Daher sind kirchliche Einrichtungen mehr denn je aufgefordert, eigenes Handeln nach innen und außen regelkonform und nachprüfbar zu gestalten. Hier greift Compliance.

Verstärkt und verschärft wird diese Entwicklung durch die zunehmende Digitalisierung sämtlicher Lebens- und Arbeitsbereiche und Kommunikationswege. Je mehr wir über ein "digitales Ich" verfügen, desto bedeutsamer wird dessen grundrechtlich garantierter Schutz- und Selbstbestimmungsbereich (Art. 1 und 2 Grundgesetz). Gleichzeitig ist die Verwundbarkeit von Einrichtungen durch Datendiebstahl, Datenverlust oder gezielte Sabotage ("Hacking") nicht mehr nur eine abstrakte Bedrohung, sondern Orga­nisationsalltag. Gezielte Hackingangriffe auf kirchliche Einrichtungen (Krankenhäuser) gehören hier ebenso dazu wie Datendiebstahl durch (Ex-)Mitarbeiter(innen) oder Externe. Die digitale Transformation macht an den Pforten der kirchlichen Einrichtungen nicht halt. Datenschutz und Datensicherheit rü­cken verstärkt in den Fokus der kirchlichen Selbstorganisation. Somit sind Com­pliance und Datenschutz zwei tragende Säulen für die künftige Ordens- und Kirchenarbeit.

Kirchlicher Datenschutz und die neue EU-Verordnung

Neben den allgemeinen gesetzlichen Bestimmungen bilden das Kirchenrecht sowie kirchenspezifische Vorschriften wie das kirchliche Arbeitsrecht den Rechtsrahmen für Kirchen, Orden und deren Einrichtungen. Hierzu zählt auch, mitunter weniger bekannt und beachtet, der Bereich des kirchlichen Datenschutzes (im Bereich der katholischen Kirche: Anordnung über den kirchlichen Datenschutz - KDO; im Bereich der evangelischen Kirche: EKD-Datenschutzgesetz - DSG-EKD). Dieses kirchliche Datenschutzrecht steht in einem Spannungsverhältnis zum nationalen und europäischen Datenschutzrecht (Bundesdatenschutzgesetz - BDSG, Datenschutzgesetze der Länder, EU-Datenschutzrichtlinie und ab 2018 EU-Datenschutzgrundverordnung - EU-­DSGVO). Es grenzt sich in seinen kirchen­spezifischen Regelungen vom "weltlichen" Datenschutzrecht ab, während Letzteres gleichwohl für die Gewährung des grundrechtlich geschützten Rechts auf informationelle Selbstbestimmung den allgemeinen (Mindest-)Schutzrahmen definiert, der auch für das kirchliche Datenschutzrecht gilt.

Die EU-DSGVO, welche ab dem 28. Mai 2018 geltendes Recht werden wird, hält in Art. 91 am kirchlichen Sonderrecht fest, fordert aber, dass der kirchliche Datenschutz in "Einklang" mit der EU-DSGVO stehen muss. Kurz: Das Datenschutzsonderrecht der Kirchen hat auch künftig grundsätzlich das ­gleiche Schutzniveau zu garantieren, ohne die verfassungsrechtliche Sonderstellung der Kirchen zu negieren. Ergänzt wird der kirchliche Datenschutz durch eine Vielzahl datenschutzrechtlicher Bestimmungen aus dem Sozial- und Gesundheitsdatenschutz.

Was bedeutet das für kirchliche Einrichtungen und Ordensgemeinschaften? Die EU-DSGVO wird zu einer Stärkung des Datenschutzes sowie der Auskunftsrechte und -pflichten führen. Der Datenschutz zielt darauf ab, Rechte von Kunden, Patienten und Dritten, aber auch von Mitarbeitenden umfassend in allen Bereichen zu sichern und über technisch-organisatorische, verbind­liche Vorgaben (zum Beispiel Informa­tionspflichten, Verfahrensverzeichnisse, Zugriffsrechte, Speicherfristen, Datenschutzbeauftragte etc.) intern die Durchführung und Einhaltung der entsprechenden Regelungen zu garantieren. Hierzu führt die EU-DSGVO neue Instrumentarien und Regularien ein. Die Anforderungen an Transparenz, Informationspflichten und Datenschutzaufsicht steigen. Gleichzeitig erlaubt die EU-DSGVO in zahlreichen Öffnungsklauseln nationale ergänzende Regelungen (zum Beispiel Art. 88 EU-DSGVO in Verbindung ?mit § 32 BDSG Arbeitnehmer­datenschutz). Damit droht das Normgefüge im Datenschutzrecht noch komplexer zu werden. Mit diesem neuen datenschutzrechtlichen Gefüge wird der kirchliche Datenschutz gemäß Art. 91 EU-DSGVO in Einklang zu bringen sein. Wie groß der Anpassungsbedarf sein wird, ist heute noch nicht klar abzusehen. Der Datenschutz in kirchlichen Einrichtungen wird sich aber zweifellos der EU-DSGVO anpassen müssen, überstrahlen doch zum Beispiel Gesundheits- und Sozialdatenschutz den Kernbereich des kirchlichen Datenschutzrechts.

Das aufgezeigte Spannungsverhältnis und die technisch-gesellschaftliche Dynamik der digitalen Transformation lassen den Datenschutz zu einem prototypischen Bereich der guten Unternehmens- und Organisationsführung und damit zu einem Teil dessen werden, was man gemeinhin unter Compliance versteht.

Die EU-DSGVO für ­Compliance nutzen

Im Zuge der EU-DSGVO werden die Anforderungen an die Kontrolle durch die Datenschutzbeauftragten ebenso steigen wie die Kontroll- und Nachprüfpflichten durch die Aufsichtsbehörden. Entsprechend werden auch die kircheninternen Datenschutz­aufsichten in Einklang mit dem neuen Schutzniveau zu bringen sein. Kirchlichen Einrichtungen sei daher mit Blick auf die Anpassungszeiträume eine frühzeitige strukturelle Neuausrichtung geraten. Wird damit aus den Themen Datenschutz- und Daten­sicherheit nicht doch das gefürchtete Verwaltungsmonster? Hierauf lässt sich mit ­Verweis auf die Unternehmenskultur antworten: Je nach deren Ausprägung wird Datenschutz schon heute als Verhinderungs- oder Op­timierungsprozess gelebt. Wer sich intensiv mit der EU-DSGVO und ihrer Genese beschäftigt, wird erkennen, dass dem künf­tigen Recht viele Aspekte eines Qualitätsmanagements eingeschrieben sind. Diese Lesart gilt es mit Leben zu füllen. Datenschutz ­sollte im Eigeninteresse der Datensicherheit und Integrität ebenso wenig stiefmütterlich behandelt wie zu einem Hemmnis für die Organisationsentwicklung überdehnt ­wer­den.

Neuausrichtung im ­Datenschutz ist geboten

Das kommende Datenschutzrecht verpflichtet heute schon dazu, zahlreiche organisa­tionsinterne Prozesse zu überprüfen, anzupassen oder neu zu denken. Kurz: Das kommende Recht stellt auch kirchliche Organisationen auf den Prüfstand. Datenschutz und Compliance sind tiefgreifende Querschnittsfunktionen. Die regulatorische Notwendigkeit zur Anpassung und Neuausrichtung im Datenschutz bietet die einmalige Gelegenheit, abgestimmt und passgenau Compliance-Strukturen in den Organisationen zu etablieren. Beide tragenden Säulen sollten gleichzeitig aufgebaut werden, damit die Statik für die Zukunft stimmt.