kirchliches Datenschutzrecht

Datenschutzrecht für katholische und evangelische Kirchen

Personenbezogene Daten sind für die Erfüllung kirchlicher Aufgaben oftmals zwingend erforderlich. Die Kirchen verarbeiten nicht nur personenbezogene Daten ihrer Mitglieder oder Mitarbeiter, sondern teilweise hochsensible Informationen die unter die besonderen Kategorien personenbezogener Daten fallen. Dies geschieht z.B. innerhalb der kirchlichen Beratungsstellen oder in Krankenhäusern. Viele weitere kirchliche Einrichtungen wie Kindergärten und Schulen verarbeiten ebenfalls täglich verschiedene personenbezogene Daten.

Das Kirchen einen diskreten Umgang mit Daten schon lange pflegen kann man im Beichtgeheimnis erkennen. Es ist nicht unbedingt eine direkte Datenschutzvorschrift im aktuellen Sinne, kommt einer solchen aber sehr nahe.

Selbstbestimmungsrecht der Kirchen

Das Selbstbestimmungsrecht, auf das sich sowohl evangelische als auch katholische Kirche in Deutschland berufen, leitet sich aus den Artikeln 136, 137, 138, 139 und 141 der Weimarer Reichsverfassung ab. Diese Artikel sind durch den Artikel 140 des Grundgesetzes seit Mai 1949 Bestandteil ebendieses. Gestützt auf dieses Selbstbestimmungsrecht der Religionsgemeinschaften, wurde innerhalb der katholischen Kirche die „Anordnung über den kirchlichen Datenschutz“ (KDO) von der Vollversammlung des Verbandes der Diözesen Deutschlands und in der evangelischen Kirche das „Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland“ (DSG-EKD) durch die Synode der Evangelischen Kirche beschlossen.

Kirchliche Datenschutzgesetze ab Mai 2018

Sowohl die evangelische als auch die katholische Kirche haben Ihr Datenschutzrecht im Zuge der europäischen Datenschutz-Grundverordnung (DS-GVO) vollständig neu geregelt. In der katholischen Kirche wurde das Gesetz über den kirchlichen Datenschutz (KDG) und in der evangelischen Kirche ein neues Kirchengesetz über den Datenschutz in der evangelischen Kirche in Deutschland (DSG-EKD) erlassen. Die Gesetze traten am 24.05.2018 in Kraft und haben die bisherigen Datenschutzgesetze der beiden Kirchen abgelöst.

Gemeinsamkeiten

Die auffälligste Anpassung sowohl im KDG als auch im DSG-EKD ist vermutlich die strukturelle Angleichung an die DS-GVO. Mehrere Kapitelüberschriften und Begriffsdefinitionen wurden im Wortlaut übernommen. Die Grundsätze zu den Datenverarbeitungen, in denen geregelt wird wann personenbezogene Daten verarbeitet werden dürfen, sowie die Rechte der von der Datenverarbeitung betroffenen Person wurden an die Bestimmungen in der DS-GVO angepasst.

Trotz der weitgehenden Anpassungen der kirchlichen Datenschutzrechte an die DS-GVO gibt es Besonderheiten. Hierzu zählen unter anderem:

  • Einwilligung in Datenverarbeitung bedarf der Schriftform 

Im KDG findet sich im Bezug auf die Form der Einwilligung eine recht strenge Schriftformerfordernis, die in der DS-GVO nicht vorliegt.

  • Verpflichtung auf das Datengeheimnis in der Kirche 

Sowohl KDG als auch DSG-EKD fordern ausdrücklich, dass sich Personen, die personenbezogene Daten verarbeiten, auf das Datengeheimnis zu verpflichten sind. Dies gilt ebenfalls für ehrenamtliche innerhalb von kirchlichen Stellen. In der DS-GVO ist eine solche explizite Forderung nicht aufgenommen, sollte jedoch zwecks Sensibilisierung dennoch erfolgen.

  • Informationspflicht bei unmittelbarer Datenerhebung 

In der DS-GVO sind Verantwortliche verpflichtet, Betroffene unmittelbar und aktiv Informationen über die Datenverarbeitung zur Verfügung zu stellen. Diese Informationspflicht besteht sowohl im KDG als auch im DSG-EKD. Wesentlicher Unterschied des DSG-EKD zur DS-GVO ist aber, dass evangelische Einrichtungen die Informationen lediglich auf Verlangen des Betroffenen mitteilen müssen.

  • Höhe der Geldbuße bei Datenschutzverstößen

Während in der DS-GVO die maximal verhängten Bußgelder bei 4 % des weltweiten Konzernumsatzes bzw. max. 20 Millionen Euro liegen können, sind diese im KDG sowie im DSG-EKD auf 500.000 € begrenzt. Des Weiteren nimmt das KDG einige Ausnahmen im Kreis derer, gegen die ein Bußgeld verhängt werden darf, vor. Dies gilt für den Fall das diese nicht als Unternehmen am Markt teilnehmen.

  • Gerichtliche Überprüfung 

Im KDG wurde erstmals die Möglichkeit eines gerichtlichen Rechtbehelfs gegen Entscheidungen der Datenschutzaufsicht oder einen Verantwortlichen der Datenverarbeitung geschaffen. Zuständig ist das kirchliche Gericht in Datenschutzangelegenheiten. Ergänzend zum KDG wurde die Kirchliche Datenschutzgerichtsordnung (KDSGO) erlassen.