Die Evangelische Kirche und die Katholische Kirche haben in Deutschland ihr jeweils eigenes Datenschutzrecht. Wir erklären, wann das kirchliche Datenschutzrecht greift, zeigen Gemeinsamkeiten und Unterschiede zur Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) auf – und erläutern, wann Auftragsverarbeiter für die Kirche auch deren Datenschutzrecht beachten müssen.
Rechtliche Grundlagen für das kirchliche Datenschutzrecht
Durch die verfassungsrechtlich garantierte Sonderstellung der Kirchen im Zusammenspiel mit Art. 91 DSGVO gilt für die Evangelische Kirche und die Katholische Kirche in Deutschland ein eigenes Datenschutzrecht. Es regelt den Umgang mit personenbezogenen Daten innerhalb der kirchlichen Einrichtungen und stellt sicher, dass die Datenschutzprinzipien eingehalten werden, während gleichzeitig die besonderen Anforderungen und Bedürfnisse der Kirchenorganisationen berücksichtigt werden.
Das kirchliche Datenschutzrecht in Deutschland basiert auf zwei Hauptgesetzen:
- dem Kirchlichen Datenschutzgesetz (KDG) für Einrichtungen der Katholischen Kirche und
- dem Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-DSG) für die Evangelische Kirche.
Darüber hinaus trat am 1. März 2019 die Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) in Kraft. Am 26. Juni 2020 folgte die Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz der EKD (Datenschutzdurchführungsverordnung – DSVO). Beide Verordnungen beinhalten detailliertere Umsetzungsvorgaben für einzelne Paragrafen aus den beiden Hauptgesetzen.
Die Gesetze und Verordnungen sind weitgehend an die Bestimmungen der DSGVO und des BDSG angepasst und sehen auch die Einrichtung kirchlicher Aufsichtsbehörden vor.
Anwendungsbereich des kirchlichen Datenschutzes
Das KDG und das EKD-DSG sind anwendbar nicht nur auf den Bereich der sogenannten verfassten Kirche, sondern auch auf die Datenverarbeitung durch kirchliche Einrichtungen und deren Auftragsverarbeiter.
Gemäß § 4 KDG gilt das KDG für die Verarbeitung personenbezogener Daten durch folgende kirchliche Stellen:
- die Diözese, die Kirchengemeinden, die Kirchenstiftungen und die Kirchengemeindeverbände,
- den Deutschen Caritasverband, die Diözesan-Caritasverbände, ihre Untergliederungen und ihre Fachverbände ohne Rücksicht auf ihre Rechtsform,
- die kirchlichen Körperschaften, Stiftungen, Anstalten, Werke, Einrichtungen und die sonstigen kirchlichen Rechtsträger ohne Rücksicht auf ihre Rechtsform,
- jede Verarbeitung personenbezogener Daten, wenn diese im Rahmen oder im Auftrag einer kirchlichen Stelle erfolgt.
Gemäß § 2 EKD-DSG gilt das EKD-DSG für die Verarbeitung personenbezogener Daten durch folgende Stellen:
- die Evangelische Kirche in Deutschland, die Gliedkirchen und die gliedkirchlichen Zusammenschlüsse und zugeordnete Dienste, Einrichtungen und Werke,
- alle weiteren kirchlichen juristischen Personen des öffentlichen Rechts sowie die ihnen zugeordneten kirchlichen und diakonischen Dienste,
- Einrichtungen und Werke ohne Rücksicht auf deren Rechtsform (kirchliche Stelle), und die Verarbeitung personenbezogener Daten im Rahmen ihrer Tätigkeiten in deren Auftrag, unabhängig vom Ort der Verarbeitung.
Abgrenzung zwischen DSGVO und dem kirchlichen Datenschutzrecht
Die DSGVO und das BDSG gelten grundsätzlich für die Verarbeitung personenbezogener Daten in allen Bereichen in Deutschland, einschließlich der kirchlichen Organisationen. Allerdings gibt es bestimmte Bereiche, in denen das kirchliche Datenschutzrecht Vorrang vor der DSGVO und dem BDSG hat und spezifische Regelungen für den Umgang mit personenbezogenen Daten im kircheneigenen Bereich festlegt.
Je nach Tätigkeit gelten die DSGVO und das BDSG oder die kirchlichen Datenschutzgesetze, aber nie sind beide gleichzeitig anwendbar.
Kirchliche Tätigkeiten
Das kirchliche Datenschutzrecht gilt vorrangig für alle der Kirche zugeordneten Einrichtungen, sofern diese nach kirchlichem Selbstverständnis eine Tätigkeit der Kirche im karitativen oder sonst zum kirchlichen Auftrag gehörenden Bereichs wahrnehmen und erfüllen. Dies ist der Fall, wenn eine organisatorische Anbindung der Einrichtung an die Kirche besteht, z.B. der leitende Mitarbeiter des Krankenhauses gegenüber der Amtskirche verantwortlich ist auf Grund eines kirchlichen Dienstverhältnisses oder einer Rechenschaftspflicht.
Wenn eine institutionelle Verbindung zur Kirche besteht, kann vom kircheneigenen Bereich gesprochen werden. Wenn eine Einrichtung dem kirchlichen Verkündigungsauftrag dient, gilt das kirchliche Datenschutzrecht.
In der Praxis ist es oft nicht leicht, zu unterscheiden:
- Soweit es um die internen Beziehungen in kirchlichen Einrichtungen geht, gilt das innerkirchliche Recht und das kirchliche Datenschutzrecht.
- Steht die kirchliche Organisation im Außenverhältnis mit anderen privaten Organisationen im Wettbewerb, unterliegt sie in der Regel nicht dem Kirchenrecht.
Nicht-kirchliche Tätigkeiten
Wenn kirchliche Stellen in Form von privaten Wirtschaftsunternehmen (z. B. Krankenhäuser, Pflegedienste oder Kindertagesstätten) oder außerhalb des karitativen oder sonst zum kirchlichen Auftrag gehörenden Bereichs (z. B. Brauereien) tätig werden, finden die DSGVO und das BDSG Anwendung. Dann gelten sie als nichtöffentliche Stellen im Sinne von § 2 Abs. 4 BDSG.
Auch wenn Daten durch die Teilnahme der Kirche am allgemeinen Rechtsverkehr anfallen (z. B. im Rahmen der Vermietung von Wohnungen) finden die DSGVO und das BDSG Anwendung.
Eigene Regelungen des kirchlichen Datenschutzrechts
Das KDG und das EKD-DSG wurden gemäß Art. 91 DSGVO in Einklang mit der DSGVO gebracht und weisen somit eine starke Ähnlichkeit zur DGSVO auf. Dennoch ergeben sich in einigen Bereichen Unterschiede.
Verarbeitung von besonderen Kategorien personenbezogener Daten
Das KDG und das EKG-DSG enthalten spezifische Regelungen für die Verarbeitung sensibler Daten, welche die Regelungen der DSGVO und des BDSG weitergehend widerspiegeln. Mit einer Ausnahme: Die Zugehörigkeit zu einer Kirche oder Religions- oder Weltanschauungsgemeinschaft ist keine besondere Kategorie personenbezogener Daten.
Aufsichtsbehörden und Sanktionen
Für das kirchliche Datenschutzrecht sind eigene kirchliche Datenschutzaufsichtsbehörden zuständig, die die Einhaltung der Datenschutzvorschriften überwachen und bei Verstößen entsprechende Maßnahmen ergreifen können.
Bußgelder für nicht konforme Verarbeitungen, welche unter kirchliches Datenschutzrecht fallen, sind weitaus niedriger als unter der DSGVO und dem BDSG. Maximal sind Geldbußen von bis zu 500.000 Euro möglich und werden nur unter bestimmten Voraussetzungen erteilt.
Für Verarbeitungstätigkeiten der kirchlichen Einrichtungen, die unter die DSGVO und das BDSG fallen, gelten die üblichen datenschutzrechtlichen Sanktionen und Verantwortlichkeiten.
Eine Liste der Aufsichtsbehörden einschließlich derjenigen für Religionsgemeinschaften kann bei der Datenschutzkonferenz (DSK) eingesehen werden.
Datenschutzbeauftragte
Gemäß KDG und EDK-DSG ist ein Datenschutzbeauftragter zu bestellen, sofern mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Dieser Ansatz ist strenger als der des BDSG (hier: mindestens 20 Mitarbeitende).
Datenübermittlungen
Die Angemessenheitsbeschlüsse für das Datenschutzniveau in Drittstaaten der Europäischen Kommission finden auch für die kirchlichen Einrichtungen Anwendung.
Nach KDG dürfen Auftragsverarbeiter Daten allerdings nur innerhalb der Mitgliedstaaten der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeiten. Ausnahme hiervon gelten nur bei Vorliegen eines Angemessenheitsbeschlusses oder nach Genehmigung der Aufsichtsbehörden im Einzelfall.
Informationspflichten und Betroffenenrechte
Kirchliche Einrichtungen sind verpflichtet, betroffene Personen über die Verarbeitung ihrer Daten zu informieren und ihnen bestimmte Rechte, wie das Recht auf Auskunft und das Recht auf Löschung, einzuräumen. Hier bestehen große Ähnlichkeiten zu den Betroffenenrechten in der DSGVO.
Effektiver Datenschutz auch in der Kirche?
Art. 91 Abs. 1 DSGVO sieht vor, dass das kirchliche Datenschutzrecht mit der DSGVO im Einklang stehen muss. Zumindest auf dem Papier ist ein angemessener Datenschutz durch die zwingende Ähnlichkeit mit der DSGVO und dem BDSG auch innerhalb kirchlicher Einrichtungen gegeben.
Was die tatsächliche Durchsetzung der Datenschutzvorschriften anbelangt, so gibt es erhebliche Unterschiede. Dies kann ggfs. darauf zurückzuführen sein, dass die kirchlichen Aufsichtsbehörden gegenüber den eigenen konfessionellen Einrichtungen deutlich zurückhaltender agieren. Und wo kein Kläger, da kein Richter und auch kein Henker – um es mal etwas überspritzt zu formulieren.