Eine der kaum bekannten Besonderheiten im deutschen Datenschutzrecht stellt das Datenschutzgesetz der Evangelischen Kirche (EKD) dar. Abgesichert durch Grundgesetz und Verfassung hat die EKD das Recht, sich für bestimmte Bereiche eigene Gesetze zu geben, die gleichrangig mit analogen Bundes- und Landesgesetzen wie z. B. im Bereich des Tarifrechts und des betrieblichen Mitbestimmungsrechts in der Rechtspraxis Anwendung finden. So auch das Datenschutzgesetz der Evangelischen Kirche Deutschlands (DSG-EKD). Doch was wird nun aus dem DSG-EKD, wenn die EU-Datenschutzgrundverordnung (EU-DSGVO) ab Mai nächsten Jahres gültig wird ? Und welche Rolle spielt dann das IT-Sicherheitsgesetz mit all seinen Folgeverordnungen für Einrichtungen in Kirche und Diakonie ?
Die deutschen Kirchen haben bei der Entstehung der EU-DSGVO darauf gedrängt, dass Ihre Sonderrolle im deutschen Recht auch in der EU-DSGVO manifestiert wird. Also auch gemäß EU-DSGVO haben die deutschen Kirchen das Recht, sich ein völlig eigenständiges Datenschutzrecht zu schaffen. Allerdings gilt hier auch der Vorbehalt, dass z. B. dieses DSG-EKD in den Grundzügen die Philosophie der EU-Gesetzgebung nachbilden muss.
Da das bisherige DSG-EKD der neuen EU-DSGVO in wesentlichen Punkten noch nicht entspricht, wird zurzeit fleißig an einer Neufassung des DSG-EKD gearbeitet. Und dieses neue DSG-EKD wird nicht nur einzelne Teilbereiche im Datenschutz abdecken, für die die EU-DSGVO eine Öffnungsklausel für nationales Recht enthält wie das ab Mai nächsten Jahres gültige Bundesdatenschutzgesetz. Vielmehr wird das neue DSG-EKD in vollem Umfang alle Aspekte der EU-DSGVO eigenständig berücksichtigen, so dass es für Kirche und Diakonie nur dieses eine verbindliche Regelwerk zum Datenschutz und zur IT-Sicherheit geben wird. Die EU-DSGVO ist somit also nicht für Kirche und Diakonie anwendbar. Es ist geplant, dieses neue Kirchengesetz im November 2017 zu verabschieden, so dass es ab 1. Januar 2018 Gültigkeit haben kann.
Und welche Rolle spielt in diesem Zusammenhang das IT-Sicherheitsgesetz des Bundes? Die Zielsetzung des Bundes ist es, dass kritische Infrastrukturen in Deutschland ein Mindestmaß an verbindlichen und nachvollziehbaren Normen in der IT-Sicherheit gewährleisten. Das trifft gemäß IT-Sicherheitsgesetz im Anwendungsbereich von Kirche und Diakonie in der Regel nur auf größere Krankenhäuser zu, nämlich Einrichtungen mit mehr als 30.000 vollstationären Fällen. Hier gilt also definitiv Bundesrecht. Aber es gilt zusätzlich zum Kirchenrecht in diesem Zusammenhang. Die EKD hat in diesem Zusammenhang schon 2015 ihr Recht auf Herausgabe einer IT-Sicherheitsverordnung in Anspruch genommen. Doch worin unterscheidet diese sich vom IT-Sicherheitsgesetz des Bundes?
Die Vorschriften zur IT-Sicherheit sind in dem IT-Sicherheitsgesetz des Bundes und der IT-Sicherheitsverordnung der Kirche identisch: Es gilt, die Prinzipien des IT-Grundschutzes gemäß der Normen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) umzusetzen. Lediglich die Vorgaben für Unternehmensgrößen, die der Anwendung der IT-Sicherheitsstandards unterliegen, unterscheiden sich. Während der Bund dies z. B. für Krankenhäuser mit mindestens 30.000 vollstationären Fällen vorschreibt, sieht die EKD dieses Regelwerk für alle mittleren und größeren Unternehmen als verbindlich an, die ihre IT weitestgehend eigenständig organisieren. Und das sind z. B. im Krankenhausbereich im Kreise der Diakonie durchaus auch viel kleinere Unternehmen mit weit weniger als 30.000 vollstationären Fällen.