Datenschutz Verstehen – Datenschutz in kirchlichen Organisationen
Einleitung
Datenschutz ist in einer zunehmend digitalisierten Welt ein zentrales Thema für alle Organisationen und trifft auch Kirchen und Religionsgemeinschaften. Diese haben in Deutschland seit langer Zeit eine rechtliche Sonderstellung, was auch beim Datenschutz deutlich wird und zu Unterschieden zwischen kirchlichem Datenschutz und der Datenschutz-Grundverordnung (DSGVO) führt. In diesem Blogbeitrag werden wir einen kritischen Blick auf die Hauptunterschiede zwischen den Datenschutzgesetzen, den beiden großen christlichen Konfessionen in Deutschland und der DSGVO werfen.
Was ist kirchlicher Datenschutz?
Kirchen und Religionsgemeinschaften dürfen gem. Art. 91 Abs. 1 DSGVO ein eigenes Datenschutzrecht erlassen. Die Vorgaben müssen im Einklang mit der DSGVO stehen, also umfassende Regeln zum Schutz von personenbezogenen Daten enthalten. Was genau das bedeutet und wie hoch die Anforderungen an die Datenschutzgesetze der Kirchen und Religionsgemeinschaften sind, wurde jedoch noch nicht eindeutig geklärt. Auch wann eine Religionsgemeinschaft ein eigenes Gesetz zum Datenschutz erlassen darf, ist noch unklar. Eigene Datenschutzgesetze haben neben der katholischen und der evangelischen Kirche auch die Alt-Katholiken, diverse evangelische und neuapostolische Freikirchen, die Zeugen Jehovas und einzelne jüdische Religionsgemeinschaften.
Geltung findet der kirchliche Datenschutz nur für „innerkirchliche“ Belange, also Glaubensvermittlung, karitative Einrichtungen, wie Krankenhäuser, Pflegeeinrichtungen, kirchliche Kindergärten oder Schulen, jedoch nicht für Angelegenheiten, die keinen Bezug zu kirchlichen Institutionen haben (z.B. Vermietung von Räumlichkeiten). Hier gelten die europäische DSGVO und nationale Gesetze, wie das Bundesdatenschutzgesetz (BDSG). Anwendbar ist das kirchliche Datenschutzrecht auch, wenn die Person nicht der Kirche angehört. Sie muss nur die Leistungen der kirchlichen Einrichtung in Anspruch genommen haben.
Inhalte der kirchlichen Datenschutzgesetze
Die evangelische Kirche hat zum Beispiel das Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD). Beide Regelungen, sowohl das KDG als auch das DSG-EKD, haben viele Ähnlichkeiten mit der Europäischen Datenschutz-Grundverordnung (DSGVO). Sie sind darauf ausgerichtet, die Privatsphäre der Einzelnen zu schützen, haben jedoch einige Besonderheiten und Anpassungen, die die spezifischen Bedürfnisse und Aufgaben der Kirchen berücksichtigen.
Obwohl sich die grundlegenden Prinzipien und Ziele der verschiedenen kirchlichen Datenschutzgesetze ähneln, können sie in spezifischen Bestimmungen und Anwendungen variieren. Einige der Hauptthemen, die in diesen Gesetzen geregelt werden, sind:
-
- Grundsätze des Datenschutzes: Wie Daten zu verarbeiten sind, einschließlich Fragen der Rechtmäßigkeit, Transparenz und Zweckbindung.
- Rechte der betroffenen Personen: Wie bereits erwähnt, einschließlich der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.
- Pflichten der Auftragsverarbeiter und -verantwortlichen: Zu den Pflichten gehört, sicherzustellen, dass personenbezogene Daten geschützt sind mittels Maßnahmen, die getroffen werden müssen, um dies zu gewährleisten. Auftragsverarbeiter, welche für kirchliche Organisationen verarbeiten, werden i.d.R. eine Zusatzvereinbarung erhalten zum Auftragsverarbeitungsvertrag (AVV).
- Bestellung von Datenschutzbeauftragten
- Meldepflichten bei Datenschutzverletzungen
- Aufsichtsbehörden im Datenschutz für Kirchen
Die spezifische Ausgestaltung und Regelung kann jedoch je nach Gesetz und Kirche variieren. Es ist daher ratsam, bei konkreten Fragestellungen den jeweiligen Text des entsprechenden Gesetzes zu konsultieren.
Eingeschränkte staatliche Kontrolle des kirchlichen Datenschutzes
Die Einhaltung erforderlicher Datenschutzstandard wird nicht von den staatlichen Aufsichtsbehörden kontrolliert, sondern durch eigene innerkirchliche Kontrollinstanzen. Zudem gibt es einen separaten Rechtsweg. Staatliche Gerichte lehnen detaillierte Beurteilungen von Klagen ab und prüfen lediglich eingeschränkt. Grundsätzlich muss erst der kirchliche Rechtsweg erschöpft werden, bevor ein staatliches Gericht angerufen werden kann.
Datenschutz in der Katholischen Kirche
Die Katholische Kirche in Deutschland ist eine der ältesten Institutionen des Landes und verfügt über eine umfangreiche Datenbank von Mitgliedern. Die Kirche erhebt persönliche Daten ihrer Gläubigen, um Mitgliedschaften zu verwalten, Spenden zu erfassen und Kirchensteuern einzuziehen.
Für den Datenschutz in der Katholischen Kirche ist das Gesetz über den Kirchlichen Datenschutz – römisch-katholische Kirche (KDG) maßgeblich. Das KDG ist speziell auf die Belange der Kirche zugeschnitten und enthält daher Regelungen, die in der DSGVO und dem BDSG nicht vorkommen.
Während die Datenschutzgrundsätze, die allgemeinen Grundsätze des KDG und die Vorgaben zu technischen und organisatorischen Maßnahmen zur Datensicherheit fast identisch mit der DSGVO sind, gibt es an anderen Stellen Unterschiede.
- Ein wichtiger Unterschied sowohl für das Datenschutzgesetz der Katholischen als auch der Evangelischen Kirche ist die in § 6 Abs. 1 lit. a) KDG bzw. § 6 Nr. 4 EKD-DSG festgeschriebene Rechtsgrundlage zur Datenverarbeitung aus kirchlichem Interesse.
- Die Einwilligung muss nach dem KDG grundsätzlich immer in der Schriftform erfolgen. Eine Befreiung ist nur in Ausnahmen möglich. Zudem können die Kirchen personenbezogene Daten für religiöse Zwecke verarbeiten, ohne dass die Zustimmung der betroffenen Personen erforderlich ist.
- Auch bei den Betroffenenrechten gibt es einige Ausnahmen für kirchliche Stellen. Beispielsweise muss der Informationspflicht gem. § 15 KDG nicht nachgekommen werden, wenn durch die Auskunft die Wahrnehmung des Auftrags der Kirche gefährdet wird.
- Das Recht auf Widerspruch gegenüber einer Stelle i.S.d. § 3 I lit. a) KDG besteht nicht, soweit an der Verarbeitung ein zwingendes kirchliches Interesse besteht, das die Interessen der betroffenen Person überwiegt.
- Die Kirche hat Datenschutzbeauftragte ernannt, die die Einhaltung der Datenschutzbestimmungen überwachen sollen. Im Gegensatz zur DSGVO ist die Ernennung eines Datenschutzbeauftragten für alle kirchlichen Stellen Pflicht. Dies ist ein wichtiger Schritt, um sicherzustellen, dass Daten sicher und rechtmäßig verarbeitet werden.
- Unterschiede gibt es auch bei den Bußgeldern. Die maximale Höhe beschränkt sich gemäß dem KDG auf 500.000 EUR, kirchliche Stellen sind von einer Geldbuße vollständig ausgenommen.
In den letzten Jahren hat sich die Katholische Kirche bemüht, den Datenschutz zu verbessern, insbesondere nach dem Bekanntwerden von Missbrauchsfällen, perfekt ist dieser jedoch noch nicht.
Datenschutz in der Evangelischen Kirche
Der Datenschutz in der Evangelischen Kirche wird im Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-DSG) geregelt. Das EKD-DSG ähnelt in vielerlei Hinsicht dem Datenschutzgesetz der Katholischen Kirche. Auch sie erhebt Daten zur Mitgliederverwaltung und zur Kirchenfinanzierung. Die Evangelische Kirche hat ebenfalls Schritte unternommen, um den Datenschutz zu verbessern. Wie die Katholische Kirche informiert auch die Evangelische Kirche ihre Mitglieder über den Umgang mit Daten und Datenschutzbestimmungen.
- Gesonderte Regelungen enthält das EKD-DSG zur institutionellen Aufarbeitung sexualisierter Gewalt (§ 50a), sowie für die Verarbeitung von personenbezogenen Daten durch die Medien (§ 51), bei Videoüberwachung von öffentlich zugänglichen Räumen (§ 52) und für Gottesdienste und kirchliche Veranstaltungen (§ 53).
- Bei den Betroffenenrechten unterscheidet sich das EKD-DSG zunächst von der DSGVO, dass besonders komplexe Betroffenenanfragen mit einer dreimonatigen Bearbeitungszeit beantwortet werden können und nicht mit einer einmonatigen.
- Ein Recht auf Löschung der Daten (§ 21 DSG-EKD) besteht insbesondere, wenn personenbezogene Daten bei elektronischen Angeboten, die bei Minderjährigen direkt gemacht worden sind, erhoben wurden.
- Die technischen und organisatorischen Maßnahmen sind ähnlich wie die der DSGVO, allerdings ist im EKD-DSG Näheres zur IT-Sicherheit geregelt. Die IT-Sicherheitsverordnung der evangelischen Kirchen (ITSVO-EKD) stellt hohe Anforderungen auf. Jede kirchliche Stelle muss ein IT-Sicherheitskonzept erstellen, dafür gibt es Muster und Hilfestellungen des Kirchenamtes der EKD.
- Ein Verzeichnis der Verarbeitungstätigkeiten muss nur von Stellen mit mehr als 250 Mitarbeitenden erstellt werden. Gibt es weniger Beschäftigte, muss lediglich bei der Verarbeitung von besonderen personenbezogenen Daten ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden.
- Ein Datenschutzbeauftragter muss gem. §§ 36 ff. EKD-DSG bereits benannt werden, wenn zehn Personen mit der Verarbeitung der personenbezogenen Daten betraut sind oder die Kerntätigkeit der verantwortlichen Stelle umfangreiche personenbezogene Daten verarbeitet.
- Die Bußgelder sind wie bei der katholischen Kirche auf 500.000 EUR gedeckelt. Bußgelder werden jedoch ohnehin nur fällig, wenn die angesprochene kirchliche Stelle am Wettbewerb teilnimmt.
Fazit
Der Datenschutz ist im Detail bei Kirchen in Deutschland abweichend zu den Regelungen der DSGVO. Daher sollten Unternehmen, welche für Kirchen Leistungen erbringen, sich intensiv mit diesen Gesetzen befassen. Insgesamt ist der Datenschutz in der Katholischen und Evangelischen Kirche in Deutschland in den letzten Jahren verbessert worden, aber es gibt immer noch Raum für Verbesserungen. Die Kirchen sollten weiterhin daran arbeiten, transparenter in Bezug auf ihre Datenschutzpraktiken zu sein und sicherstellen, dass die erhobenen Daten nur für legitime kirchliche Zwecke verwendet werden. Datenschutz ist nicht nur eine rechtliche Verpflichtung, sondern auch eine ethische Verantwortung gegenüber den Gläubigen.
Schon in der Weimarer Reichsverfassung war die Sonderstellung der Kirchen verankert. Vor dem EuGH ist bislang noch kein kirchen-datenschutzrechtlicher Fall gelandet. Daher bleibt unklar, ob diese Sonderstellung mit der beträchtlichen Selbstverwaltung und den eigenen Aufsichtsbehörden vor dem Gericht Bestand haben.
Schon während des Wirtschaftsrechts-Studiums entdeckte Frau Konstanze Krollpfeiffer ihr großes Interesse für den Datenschutz und arbeitete bereits als Werkstudentin bei der Keyed GmbH. Nach dem Abschluss des Studiums unterstützt sie das Team nunmehr als Junior Data Protection Consultant und betreut Kunden bei der Umsetzung datenschutzrechtlicher Vorgaben sowie bei der Etablierung datenschutzrechtlicher Standards. Durch ihre juristische sowie wirtschaftsrechtliche Ausbildung bringt Frau Krollpfeiffer dabei die notwendige Sachkenntnis mit.