winheller.com

Kirchlicher Datenschutz

Eigenes Datenschutzrecht für evangelische und katholische Kirchen

Beratung im Datenschutzrecht für Kirchen

Für die Erfüllung kirchlicher Aufgaben ist eine Verarbeitung personenbezogener Daten unerlässlich. Die Kirchen verarbeiten nicht nur personenbezogene Daten ihrer Mitglieder oder Mitarbeiter*innen, sondern teilweise hochsensible Informationen, z.B. innerhalb der kirchlichen Beratungsstellen sowie Krankenhäuser. Hinzu kommt eine Vielzahl von Einrichtungen wie konfessionelle Schulen und Kindertagesstätten, die ebenfalls tagtäglich mit personenbezogenen Daten umgehen.

Dabei hat der „diskrete“ Umgang mit Daten innerhalb der Kirche eine lange Tradition. Dies zeigt sich besonders im Beichtgeheimnis, eine der ältesten Datenschutzvorschriften, die noch heute Gültigkeit besitzt. 

Selbstbestimmungsrecht der Religionsgemeinschaften auch im Datenschutz

Ausgehend vom Beichtgeheimnis hat sich das Datenschutzrecht innerhalb der katholischen und evangelischen Kirche zu eigenständigen Sondervorschriften weiterentwickelt. Gestützt auf das Selbstbestimmungsrecht der Religionsgemeinschaften, nach dem diese das Recht haben, ihre eigenen Angelegenheiten selbständig zu verwalten, wurde innerhalb der katholischen Kirche die „Anordnung über den kirchlichen Datenschutz“ (KDO) von der Vollversammlung des Verbandes der Diözesen Deutschlands und in der evangelischen Kirche das „Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland“ (DSG-EKD) durch die Synode der Evangelischen Kirche beschlossen.

Die bisherige Rechtslage war jedoch geprägt von einem mehr oder weniger strukturierten Nebeneinander von kirchlichen und staatlichen Datenschutzgesetzen, ohne konkrete Abgrenzungsvorgaben. 

Kirchliches Datenschutzrecht und Datenschutz-Grundverordnung (DSGVO)

Durch die DSGVO wird erstmals das Zusammenspiel zwischen den bestehenden Datenschutzvorschriften der Kirchen und religiösen Vereinigungen oder Gemeinschaften und den staatlichen Datenschutzbestimmungen gesetzlich geregelt. Dies stellt für das Datenschutzrecht ein vollständiges Novum dar.

Demnach dürfen Kirchen ihre bisherigen Datenschutzregeln weiterhin anwenden, sofern diese Regeln mit der DSGVO in Einklang gebracht werden. Ein Nebeneinander kirchlicher Datenschutzgesetze und der DSGVO ist somit grundsätzlich möglich. Die katholische und evangelische Kirche haben hiervon Gebrauch gemacht und ihre bisherigen Datenschutzregelungen an die Anforderungen der DSGVO angepasst. 

Die kirchlichen Datenschutzgesetze

Durch Erlass des Gesetzes über den kirchlichen Datenschutz (KDG) hat die katholische Kirche ihr Datenschutzrecht in Übereinstimmung mit der DSGVO vollständig neu geregelt. Zudem wurde auch für den Bereich der evangelischen Kirche ein neues Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) beschlossen. Beide Gesetze traten am 24.05.2018 in Kraft und haben die bisherigen Datenschutzgesetze der beiden großen Kirchen abgelöst.

Gemeinsamkeiten der kirchlichen Datenschutzgesetze und der DSGVO

Datenschutz für Religionsgemeinschaften

Auffallend ist, dass im KDG sowie im DSG-EKD die Struktur der DSGVO weitgehend übernommen wurde. Deutlich wird dies insbesondere in der Inhaltsübersicht. Beispielsweise wurden u.a. die Kapitelüberschriften der DSGVO „Allgemeine Datenschutzbestimmungen“, „Grundsätze“, „Rechte der betroffenen Person“, „Verantwortlicher und Auftragsverarbeiter“ sowie „Pflichten des Verantwortlichen“ in das KDG überführt. Zudem wurden einige Bestimmungen der DSGVO wortwörtlich übernommen.

Aus der DSGVO wurden im KDG sowie im DSG-EKD insbesondere die Grundsätze der Datenverarbeitung übernommen, und es wurden die Rechte der Betroffenen an die Bestimmungen der DSGVO angepasst. Des Weiteren besteht ebenfalls für den Verantwortlichen die Verpflichtung, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen. Im Unterschied zur DSGVO haben die kirchlichen Einrichtungen, die dem KDG oder DSG-EKD unterfallen, hierfür bis zum 30.06.2019 Zeit.

Auch wenn die kirchlichen Datenschutzgesetze überwiegend mit den Regelungen der DSGVO in Einklang gebracht wurden, gibt es dennoch Besonderheiten.

Besonderheiten der kirchlichen Datenschutzgesetze

  • Einwilligung in Datenverarbeitung bedarf der Schriftform
    Nach katholischem Datenschutzrecht muss die Einwilligung in die Datenverarbeitung in der Regel schriftlich erfolgen, die DSGVO schreibt hingegen keine Form vor. Zwar scheint es sich beim strengen Schriftformerfordernis um einen unbeabsichtigten Fehler zu handeln, bis zu einer Korrektur sind die katholischen Stellen jedoch an diese Vorgabe gebunden.
  • Verpflichtung auf das Datengeheimnis in der Kirche
    Im KDG sowie DSG-EKD ist ausdrücklich geregelt, dass Personen, die mit der Verarbeitung von personenbezogenen Daten betraut werden, vor Beginn der Tätigkeit auf das Datengeheimnis zu verpflichten sind. Auch wenn die DSGVO keine derartige explizite Regelung kennt, ist auch für nicht konfessionelle Organisationen zu empfehlen, ihre Mitarbeiter vor der Datenverarbeitung auf die Vertraulichkeit zu verpflichten und hierdurch für den Datenschutz zu sensibilisieren.
  • Informationspflicht bei unmittelbarer Datenerhebung
    Als Ausdruck einer fairen und transparenten Verarbeitung von personenbezogenen Daten ist der Verantwortliche einer Datenverarbeitung verpflichtet, den Betroffenen aktiv, d.h. ohne besondere Aufforderung, Informationen über die Datenverarbeitung zur Verfügung zu stellen.

    Grundsätzlich besteht diese Informationspflicht auch nach dem KDG und DSG-EKD. Wesentlicher Unterschied des DSG-EKD zur DSGVO ist aber, dass evangelische Einrichtungen die Informationen lediglich auf Verlangen des Betroffenen mitteilen müssen. Auch wenn dieser Sonderweg eine Erleichterung für die evangelischen Stellen darstellt, ist dieser aus Datenschutzsicht nicht verständlich und steht wohl nicht in Einklang mit den Vorgaben der DSGVO, die eine Information bei Erhebung fordert.
  • Kirchliche Datenschutzbeauftragte
    Im Unterschied zur DSGVO sind gemäß KDG alle kirchlichen Diözesen, Kirchengemeinden, Kirchenstiftungen und Kirchengemeindeverbände unabhängig von der Zahl ihrer Mitarbeiter verpflichtet, einen betrieblichen Datenschutzbeauftragten schriftlich zu benennen. Für andere katholische Kirchenstellen, z.B. den Deutschen Caritasverband, ist eine Benennung nur bei Vorliegen bestimmter Voraussetzungen vorgeschrieben.

    Im Bereich der evangelischen Kirche gilt, dass eine Bestellung sog. örtlich Beauftragter für den Datenschutz nur dann erforderlich ist, wenn in der Regel mehr als zehn Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind.
  • Datenschutzaufsicht
    Für die Überwachung der Einhaltung der kirchlichen Datenschutzgesetze sehen das KDG sowie das DSG-EKD die Errichtung unabhängiger kirchlicher Aufsichtsbehörden vor. Als Leiter der Datenschutzaufsicht agieren hierbei die sog. Diözesandatenschutzbeauftragten bei der katholischen Kirche und die Beauftragten für den Datenschutz bei der evangelischen Kirche. Hierdurch soll eine datenschutzrechtliche Aufsicht ermöglicht werden, ohne dass eine staatliche Behörde in die internen Angelegenheiten der beiden großen Kirchen eingreift. Die Diözesandatenschutzbeauftragten werden vom Diözesanbischof als Leiter der Datenschutzaufsicht bestellt. Der Rat der Evangelischen Kirche in Deutschland bestellt den Beauftragten für den Datenschutz.

    Im Unterschied zum bisherigen kirchlichen Datenschutzrecht stellen KDG sowie DSG-EKD den jeweiligen Aufsichtsbehörden einen wesentlich größeren Umfang an Untersuchungs- und Abhilfebefugnissen zur Verfügung. Zudem können die Aufsichtsbehörden zukünftig Geldbußen verhängen.
  • Höhe der Geldbuße bei Datenschutzverstößen in der Kirche
    Weiterhin unterscheiden sich die DSGVO und die kirchlichen Datenschutzgesetze in der Höhe der maximalen Geldbuße. Beträgt die maximale Höhe der zu verhängenden Bußgelder nach der DSGVO 20 Mio. Euro, ist diese im KDG sowie im DSG-EKD auf 500.000 Euro begrenzt. Des Weiteren sieht das KDG eine Beschränkung des Kreises derer, gegen die eine Geldbuße verhängt werden kann, vor. Demnach werden keine Geldbußen gegen die Diözese, Kirchengemeinden, Kirchenstiftungen und Kirchengemeindeverbände verhängt, soweit sie nicht als Unternehmen am Markt teilnehmen.
  • Gerichtliche Überprüfung
    Im KDG wurde erstmals die Möglichkeit eines gerichtlichen Rechtbehelfs gegen Entscheidungen der Datenschutzaufsicht oder einen Verantwortlichen der Datenverarbeitung geschaffen. Zuständig ist das kirchliche Gericht in Datenschutzangelegenheiten. Ergänzend zum KDG wurde die Kirchliche Datenschutzgerichtsordnung (KDSGO) erlassen. 

Unser Leistungsangebot im kirchlichen Datenschutz

Durch die Reform des kirchlichen Datenschutzrechts wurde ein wesentlicher Beitrag geleistet, das Datenschutzniveau innerhalb der katholischen und evangelischen Kirche zu erhöhen. Zugleich stellt die Umsetzung der neuen Gesetzeslage eine enorme Herausforderung für kirchliche Einrichtungen dar. Gern unterstützen unsere erfahrenen Anwälte für Datenschutzrecht Sie u.a. bei

  • der Erstellung von kirchlichen Datenschutzkonzepten,
  • der rechtssicheren Durchführung von Fundraising-Maßnahmen,
  • der datenschutzkonformen Gestaltung von Pfarr- bzw. Gemeindebriefen oder
  • der Stellung und Schulung von Datenschutzbeauftragten. 

Ihr Anwalt für kirchlichen Datenschutz

Anwalt für kirchlichen Datenschutz berät bundesweit

Ihre Ansprechpartner für Fragen rund um das Thema Datenschutzrecht für religiöse Körperschaften sind Rechtsanwältin Olga StepanovaRechtsanwalt Per Kristian Stöcker und Wirtschaftsjuristin Stefanie Fischer. Sie erreichen uns am einfachsten per E-Mail (info@winheller.com) oder gerne auch telefonisch (069 / 76 75 77 80). Zögern Sie nicht, mit Ihren Fragen auf uns zuzugehen.

Aktuelles

1544816910 > 1548457200

Rechtsanwältin Olga Stepanova steuert ein Kapitel zum deutschen Datenschutzrecht bei.

Mehr

Veranstaltungen

Kontakt

Kontakt

Auszeichnungen

Juve Award Legal 500 Deutschland 2017 - Top 2 im Nonprofit-Sektor azur100: Top-Arbeitgeber für Juristen 2018
Focus-Spezial: Deutschlands Top-Anwälte

"Datenschutz": Die neusten Beiträge in unserem Blog

Erstes DSGVO-Bußgeld in Deutschland verhängt

- Olga Stepanova

Erstes DSGVO-Bußgeld in Deutschland verhängt

DSGVO-Verstoß: 400.000 Euro Strafe für Krankenhaus

- Olga Stepanova

DSGVO-Verstoß: 400.000 Euro Strafe für Krankenhaus

Datenschutzschulungen für NPOs – So vermeiden Sie Datenpannen

- Olga Stepanova

Datenschutzschulungen für NPOs – So vermeiden Sie Datenpannen