新教数据保护法的改革

fabiha01

秉承“进化而不是革命”的座右铭，新教教会进一步发展了其数据保护法，即“德国福音派教会数据保护教会法”（DSG-EKD）。这些变化是在 11 月 13 日于维尔茨堡举行的 EKD 主教会议上通过的。此前，该法案经过了广泛的参与过程。新教教会的目的一方面是希望通过改革达到与《通用数据保护条例》（GDPR）的接近，另一方面希望教会的特殊性能够受到数据保护法的规范。

为什么会有新教数据保护法？
GDPR 第 91（1）条的开头条款规定，教会和宗教协会在处理个人数据时可以适用保护自然人的规则。至少只要它们符合 GDPR。

新教教会于 2017 年 11 月 15 日生效的 DSG-EKD 和天主教会的“教会数据保护法”（KDG）都使用了这一开头条款。原则上，DSG-EKD 很大程度上基于 GDPR。尽管如此，为了使这些规定适应教会和执事部门，仍然存在一些差异。

这种差异在 DSG-EKD 第 39 节中尤为明显。据此，独立教会监督机构负责监督德国福音派教会、其成员教会和成员教会协会遵守数据保护的情况。因此，负责监督教会数据保护的不是联邦州的数据保护官员，而是教会自己的机构。但即使在行政结构之外，DSG-EKD 与 GDPR 也略有不同。这里特别值得注意的是 DSG-EKD 第 4 条第 2a 款，其中将教会或宗教或意识形态团体成员资格信息排除在特殊类别的个人数据范围之外（GDPR 第 9 条）。这意味着这些信息可以像普通个人数据一样进行处理。不需要具体的法律依据。

DSG-EKD 的主要变化
然而，改革的结果是，新教教会的数据保护法规已经更接近 GDPR。然而，法国商务传真列表 教会的特殊性也受到数据保护法的管制。新教教会本身特别强调了三项调整：

要求非教会处理者遵守教会数据保护法的条款被删除，且没有替代。由于 DSG-EKD（先前版本）第 30 节第 5 款第 3 句中的此条款，处理者必须接受教会数据保护监督。删除该条款后，此类提交就不再必要了。改革的序言（见附件 3 第 48 页）表明，这是为了显著简化与世俗部门处理器的合作，因为许多处理器无法提交。结果，一些适销对路的产品仍然无法被教会获得。
DSG-EKD 第 30a 节创建了一个关于中央 IT 程序的段落。这样做的目的是可以集中采购软件，然后在成员教堂内使用。此前，成员教会内部必须签订数据处理合同或共同责任合同。现在这种情况即将结束，因为新的第 30a 条 DSG-EKD 允许新教教会决定所涉及机构之间的数据保护任务、权力和责任的分配。
为此，DSG-EKD 第 50b 条制定了规范成员沟通的标准。这使得教堂可以处理来自教区会员登记册的注册数据和教堂数据，特别是与会员进行沟通。这是为了大大简化与社区成员的沟通。条例还应明确指出，成员沟通是教会的一项任务，是履行教会使命所必需的。
进一步的改变
但 DSG-EKD 也有一些其他变化。特别是，我们将在此介绍那些导致与 GDPR 进一步融合的内容。

首先，应该提到从 DSG-EKD 第 6 条第 4 款中删除了为教会利益处理数据的合法性作为法律依据。相反，如果为了保护控制者的合法利益有必要，数据处理现在是允许的，除非数据主体的利益超过控制者的利益。这改变了教会数据保护的独特功能，有利于提高透明度。现在越来越清楚的是，在这一点下，必须对受影响者的利益进行具体的平衡，而不仅要考虑教会的利益。
在信息义务的背景下，对 GDPR 进行了进一步的近似。此前，根据 DSG-EKD 第 17 条，当数据直接从数据主体收集时，仅需在数据主体要求时提供数据保护信息。 DSG-EKD 的改革现在要求在数据收集时告知数据主体。这使它更接近艺术。 13 GDPR。
与此相符的是，DSG-EKD 第 19 条现在也简化了数据主体获取信息的权利。以前，数据主体必须提出正式请求，而从现在起，无需明确请求，也可以提出信息请求。这近似于艺术。 GDPR 第 15 条是必要的，因为该段落之前的起草已经受到多次批评，并且也成为教会法庭裁决的主题。
此外，关于教会数据保护的监控也有变化。首先，放宽了 DSG-EKD 第 36 条的要求，该要求之前要求负责机构任命一名当地数据保护官。此前，如果至少有十名员工被永久委托处理个人数据，就必须任命一名数据保护官。现在这个门槛已经提高到二十。这与《联邦数据保护法》（BDSG）第 38 条相一致，该条已经将门槛提高到 20 名员工作为先决条件。
然而，随着法律的放宽，DSG-EKD 第 45 条第 5 款也对其进行了收紧。为了满足艺术的要求。根据 GDPR 第 91(2) 条规定，对于违反《教会数据保护法》的行为，DSG-EKD 第 45 条规定的罚款框架有所提高。监管机构必须确保在每个个案中施加的罚款都是有效的、适当的和具有劝阻作用的。考虑到一些教会团体产生的收入，最高 50 万欧元的罚款并不符合这些要求。因此，罚款范围现已增加至最高 600 万欧元。
结论
DSG-EKD的新规定将于2025年5月1日生效。总体而言，这次改革可以说是相当成功的。教会本身也是这么认为的。德国福音派教会数据保护官迈克尔·雅各布表示：“我们非常欢迎依法对《EKD数据保护法》做出修改和调整，这些修改和调整将服务于新教徒的利益！我们坚信，这项法律将使我们能够在未来更好地应对教会和社会服务领域的数据保护挑战，以维护数据背后的人们和负责的新教机构的利益。”

天主教会现在可能也会效仿，因为其改革 KDG 的初稿也已经公布。然而，天主教会是否会像新教教会一样遵守 GDPR 还有待观察。