Bestimmte Kirchen und Religionsgemeinschaften verfügen über eigene Datenschutzgesetze und unterstehen nicht der DSGVO. Wie kirchlicher Datenschutz dennoch ein hohes Schutzniveau bietet und wie er praktisch umgesetzt werden kann, erfährst du in diesem Blogbeitrag.
Im Jahr 2018 trat in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO) in Kraft: Sie soll ein hohes Schutzniveau sicherstellen für die Verarbeitung personenbezogener Daten. Da erscheint es erstmal überraschend, dass einige Institutionen von der DSGVO ausgenommen sind. Doch genau das gilt für bestimmte Religionsgemeinschaften – das ist in Art. 91 „Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften“ festgehalten. Demzufolge dürfen Kirchen und religiöse Vereinigungen beziehungsweise Gemeinschaften, die zum Zeitpunkt des Inkrafttretens der DSGVO bereits eigenen Datenschutzregeln folgten, diese weiter anwenden.
Achtung: Damit ein kirchlicher Datenschutz Bestand haben darf, muss es ein mit der DSGVO vergleichbares Datenschutzniveau bereitstellen.
Es bestehen mehrere religiöse Gemeinschaften in Deutschland, die über eigene Datenschutzgesetze verfügen. Allein im Spektrum der römisch-katholischen Kirche existieren das „Gesetz über den Kirchlichen Datenschutz“ (KDG), die „Anordnung über den Kirchlichen Datenschutz“ (KDO) sowie die „Kirchliche Datenschutzregelung der Ordensgemeinschaft päpstlichen Rechts“ (KDR-OG) für jeweils eigene Untergruppen. Ebenso gelten im Rahmen der evangelischen Kirche neben dem hauptsächlich angewendeten „Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland“ (DSG-EKD) weitere Datenschutzgesetzgebungen, um personenbezogene Daten im kirchlichen Datenschutz gut zu schützen.
In der katholischen Kirche ist das offizielle Gesetz über den Kirchlichen Datenschutz vorherrschend – doch auch hier in mehreren Versionen. Das liegt darin begründet, dass jedes der 27 Bistümer in Deutschland über ein eigenes katholisches Datenschutzgesetz verfügt. Darüber hinaus gibt es ein eigenständiges KDG für den Verband der Diözesen Deutschland, der auf Bundesebene den weltlichen Rechtsträger der Kirche darstellt, sowie für das Militärbistum. Das hat zur Folge, dass es 29 KDGs vorliegen – die Unterschiede zwischen diesen Versionen sind dabei marginal und in der Praxis vernachlässigbar.
Das KDR-OG gilt für kirchliche Ordensgemeinschaften. Es unterscheidet sich vor allem in den genutzten Bezeichnungen vom KDG, nicht jedoch merklich inhaltlich. Die alt-katholische Kirche in Deutschland verfügt genauso über ein Datenschutzgesetz – ihr KDO entspricht hingegen fast wörtlich dem KDG.
Aufgrund der Mitgliederstärke und der Ähnlichkeit der damit zusammenhängenden kirchlichen Datenschutzgesetze konzentriert sich dieser Blogbeitrag hinsichtlich der katholischen Glaubensgemeinschaft im Folgenden auf das KDG. Weitere Informationen zum Datenschutz für die katholische Kirche finden sich auf der Website der Deutschen Bischofskonferenz.
Auf dem Gebiet der evangelischen Kirchengemeinschaften ist die Landkarte ebenfalls sehr unübersichtlich. Doch immerhin hat das DSG-EKD für alle in der evangelischen Kirche Deutschlands zusammengeschlossenen Landeskirchen Gültigkeit. Insgesamt jedoch ist die evangelische Kirche nicht nur beim kirchlichen Datenschutz deutlich aufgefächerter als ihr katholisches Gegenüber: Auch hier treten zahlreiche kleinere Regelwerke auf, die sich mehr oder weniger stark an dem DSK-EKD orientieren.
Die Datenschutzordnungen (DSO) zahlreicher freikirchlicher Verbände wie der Baptisten und der Täufer entsprechen teils wörtlich dem DSG-EKD. Diese Teile verbinden sie mit mehreren Anpassungen, die explizit für den freikirchlichen Bereich vorgenommen worden sind. Dadurch verfügen sie stets über Besonderheiten ihres eigenen kirchlichen Datenschutzes, die in Detailfragen entscheidend sein können.
Sehr ähnlich dem DSG-EKD sind die Datenschutzgesetze der Selbständigen Evangelisch-Lutherischen Kirche (SELK) und der Methodisten.
Im Bereich der evangelischen Kirche fokussiert dieser Blogbeitrag im Weiteren das maßgebliche DSG-EKD.
Neben den genannten großen kirchlichen Datenschutzgesetzen existieren noch mehrere eigenständige Lösungen, die hier nur angeschnitten werden sollen. Dazu gehört beispielsweise die neu-apostolische Kirche, deren Datenschutzrecht komplett anders aufgebaut ist als die DSGVO und selbst die anderen kirchlichen Datenschutzgesetze. Die Version des Datenschutzgesetzes der Heilsarmee wiederum entspricht vollständig der DSGVO, allerdings sind die für sie unzutreffenden Regelungen mit einem entsprechenden Kommentar versehen.
In Deutschland haben sich praktisch nur christliche Religionen eigene Datenschutzgesetze gegeben, im Gegensatz zu nicht-christlichen Religionsgemeinschaften.
Selbst wenn eine Organisation den christlichen Kirchen angehört, heißt das nicht automatisch, dass für sie das kirchliche Datenschutzrecht greift. Zählt eine Organisation hingegen zu der sogenannten verfassten Kirche, unterliegt sie in der Regel dem KDG beziehungsweise DSG-EKD – das trifft mitunter auf Gemeinden, Bistümer und Landeskirchen zu. Weniger eindeutig wird es, sobald die Organisation nicht explizit die kirchliche Mission vertritt und etwa auch wirtschaftliche Ziele verfolgt. In solchen Zweifelsfällen kann eine Kirchlichkeitsprüfung Anhalt liefern: Sie besteht aus einem Bündel an Kriterien, ist jedoch nicht standardisiert. Es bleiben also Grauzonen, ob gewisse Organisationen kirchliches Datenschutzrecht anwenden dürfen.
Eindeutig nicht unter die kirchlichen Datenschutzgesetze, sondern unter die DSGVO fallen zum Beispiel rein wirtschaftliche Organisationen. Dasselbe trifft für Verbünde aus katholischer und evangelischer Gemeinde zu, da sie nicht unter der Schirmherrschaft einer einzigen Religionsgemeinschaft stehen.
Folgende drei Anforderungen sind zentral für klerikale Organisationen in Bezug auf den kirchlichen Datenschutz:
Kirchen müssen sicherstellen und nachweisen, dass sie ihre Rechenschaftspflichten erfüllen. Zudem müssen sie stets eine Rechtsgrundlage für Datenspeicherung besitzen und vorlegen können sowie die Daten rechtzeitig im Sinne der europäischen Datenschutzprinzipien löschen. Darüber hinaus haben sie nötige technischen und organisatorische Maßnahmen (TOMs) zu etablieren.
Bei der Sicherstellung der Betroffenenrechte steht insbesondere die Informationspflicht im Mittelpunkt. Betroffene – also jene, deren Daten verarbeitet werden – besitzen nämlich ein Auskunftsrecht über Umfang, Zweck der Verarbeitung sowie über die verantwortliche Stelle.
Achtung: Katholische Stellen sind immer zur Auskunft verpflichtet, im evangelischen Datenschutzgesetz hingegen gilt die Informationspflicht nur „auf Verlangen“. In der Umsetzung des kirchlichen Datenschutzes wird trotzdem darauf geachtet, die Informationen proaktiv mitzuteilen.
Um sicherzustellen, dass personenbezogene Daten auch durch die Kirchen im Sinne des Datenschutzes verarbeitet werden, müssen diese einige Maßnahmen ergreifen, und zwar unter anderem:
Beschäftigte auf das Datengeheimnis verpflichten
Technische und organisatorische Maßnahmen (TOMs) treffen
Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sicherstellen
Auftragsverarbeitungen identifizieren und regeln
Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen
Datenschutz-Folgenabschätzung (DSFA) durchführen
Datenschutzbeauftragte benennen
Wie oben erwähnt, muss der kirchliche Datenschutz ein vergleichbares Datenschutzniveau bieten wie die DSGVO. In diesem Rahmen bestehen allerdings einige Unterschiede, die die Besonderheiten kirchlicher Organisationen widerspiegeln. Dazu zählt beispielsweise, dass das KDG die Religionszugehörigkeit nicht als besondere Kategorie personenbezogener Daten betrachtet, da diese Information ansonsten explizit zu schützen wäre – und das ist im kirchlichen Kontext kaum möglich. Ansonsten bestehen Unterschiede vor allem bei den Rollenbezeichnungen und bei der Abbildung der speziellen Strukturen der kirchlichen Verwaltung. Gewisse verantwortliche Ämter wie das des Bischofs oder des Diözesandatenschutzbeauftragten sind in weltlichen Organisationen schlichtweg nicht vorgesehen.
Analog zu ihrer eigenen Datenschutzgesetzgebung unterliegen die kirchlichen Organisationen nicht den Aufsichtsbehörden der Bundesländer, in denen sie ansässig sind – sie verfügen stattdessen über eine eigene kirchliche Datenschutzaufsicht: Diese ihnen eigenen Stellen überwachen die Umsetzung des kirchlichen Datenschutzes. Dementsprechend wenden sich Betroffene beim Thema Datenschutz für die evangelische Kirche an den Beauftragten für den Datenschutz der EKD. Für katholische Stellen wiederum stellen die regionalen Diözesandatenschutzbeauftragten der katholischen Kirche in Deutschland die relevante Instanz dar.
Kirchlicher Datenschutz ist vornehmlich aufgrund der zahlreichen unterschiedlichen Ausformungen eine komplexe Angelegenheit. Dazu kommt die Tatsache, dass zu den einzelnen Gesetzgebungen häufig noch keine oder nur unzureichende Literatur vorhanden ist. In der Praxis sollten kirchliche Organisationen daher auf Softwarelösungen setzen, die einen rechtssicheren Überblick verschaffen.
Bei caralegal haben wir eine solche Lösung entwickelt, die durch intuitive Prozesse Sicherheit im Umgang mit dem Datenschutz gibt. Wie die praktische Umsetzung des KDG mithilfe von caralegal funktionieren kann, könnt ihr in unserer Erfolgsgeschichte mit dem Konzerndatenschutzbeauftragten Dr. Niclas Krohm des Elisabeth Vinzenz Verbund (EVV) nachlesen.
Kirchlicher Datenschutz ist ein breitgefächertes Feld mit zahlreichen Unterschieden und Konditionen. Dadurch kann es durchaus schwierig sein, die geltenden Gesetze einzuhalten und ein Datenschutzniveau einzuhalten, das dem der DSGVO entspricht. Genau dort setzen wir bei caralegal an. Wir haben eine Softwarelösung entwickelt, die mit präzisen Anweisungen, Automatisierungen und benutzerfreundlichen Hilfestellungen die Umsetzung eines sicheren und intuitiven Datenschutzes im kirchlichen Raum ermöglicht.
Wenn du mehr erfahren möchtest: vereinbare ein unverbindliches Kennenlerngespräch, bei dem du erfährst, wie du mit caralegal die Vorgaben des kirchlichen Datenschutzes leicht in die Praxis umsetzen kannst.
Link kopieren