Your subscription could not be saved. Please try again.
Zum Newsletter anmelden
Your subscription has been successful.
caralegal logo

Kirchlicher Datenschutz: So sicher wie die DSGVO

Bestimmte Kirchen und Religionsgemeinschaften verfügen über eigene Datenschutzgesetze und unterstehen nicht der DSGVO. Wie kirchlicher Datenschutz dennoch ein hohes Schutzniveau bietet und wie er praktisch umgesetzt werden kann, erfährst du in diesem Blogbeitrag.

von Dennis Kurpierz, Co-Founder & COO
30. Oktober 2023
 | 
Kirchlicher Datenschutz muss besonders sorgsam gehandhabt werden.

Art. 91 DSGVO ermöglicht kirchlichen Datenschut­z

Im Jahr 2018 trat in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO) in Kraft: Sie soll ein hohes Schutzniveau sicherstellen für die Verarbeitung personenbezogener Daten. Da erscheint es erstmal überraschend, dass einige Institutionen von der DSGVO ausgenommen sind. Doch genau das gilt für bestimmte Religionsgemeinschaften – das ist in Art. 91 „Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften“ festgehalten. Demzufolge dürfen Kirchen und religiöse Vereinigungen beziehungsweise Gemeinschaften, die zum Zeitpunkt des Inkrafttretens der DSGVO bereits eigenen Datenschutzregeln folgten, diese weiter anwenden.

Achtung: Damit ein kirchlicher Datenschutz Bestand haben darf, muss es ein mit der DSGVO vergleichbares Datenschutzniveau bereitstellen.

Welche kirchlichen Datenschutz­gesetze gibt es?

Es bestehen mehrere religiöse Gemeinschaften in Deutschland, die über eigene Datenschutzgesetze verfügen. Allein im Spektrum der römisch-katholischen Kirche existieren das „Gesetz über den Kirchlichen Datenschutz“ (KDG), die „Anordnung über den Kirchlichen Datenschutz“ (KDO) sowie die „Kirchliche Datenschutzregelung der Ordensgemeinschaft päpstlichen Rechts“ (KDR-OG) für jeweils eigene Untergruppen. Ebenso gelten im Rahmen der evangelischen Kirche neben dem hauptsächlich angewendeten „Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland“ (DSG-EKD) weitere Datenschutzgesetzgebungen, um personenbezogene Daten im kirchlichen Datenschutz gut zu schützen.

„Gesetz über den Kirchlichen Datenschutz“ (KDG)

In der katholischen Kirche ist das offizielle Gesetz über den Kirchlichen Datenschutz vorherrschend – doch auch hier in mehreren Versionen. Das liegt darin begründet, dass jedes der 27 Bistümer in Deutschland über ein eigenes katholisches Datenschutzgesetz verfügt. Darüber hinaus gibt es ein eigenständiges KDG für den Verband der Diözesen Deutschland, der auf Bundesebene den weltlichen Rechtsträger der Kirche darstellt, sowie für das Militärbistum. Das hat zur Folge, dass es 29 KDGs vorliegen – die Unterschiede zwischen diesen Versionen sind dabei marginal und in der Praxis vernachlässigbar.

„Anordnung über den Kirchlichen Datenschutz“ (KDO) und „Kirchliche Datenschutzregelung der Ordens­gemeinschaft“ (KDR-OG)

Das KDR-OG gilt für kirchliche Ordensgemeinschaften. Es unterscheidet sich vor allem in den genutzten Bezeichnungen vom KDG, nicht jedoch merklich inhaltlich. Die alt-katholische Kirche in Deutschland verfügt genauso über ein Datenschutzgesetz – ihr KDO entspricht hingegen fast wörtlich dem KDG.

Aufgrund der Mitgliederstärke und der Ähnlichkeit der damit zusammenhängenden kirchlichen Datenschutzgesetze konzentriert sich dieser Blogbeitrag hinsichtlich der katholischen Glaubensgemeinschaft im Folgenden auf das KDG. Weitere Informationen zum Datenschutz für die katholische Kirche finden sich auf der Website der Deutschen Bischofskonferenz.

„Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland“ (DSG-EKD)

Auf dem Gebiet der evangelischen Kirchengemeinschaften ist die Landkarte ebenfalls sehr unübersichtlich. Doch immerhin hat das DSG-EKD für alle in der evangelischen Kirche Deutschlands zusammengeschlossenen Landeskirchen Gültigkeit. Insgesamt jedoch ist die evangelische Kirche nicht nur beim kirchlichen Datenschutz deutlich aufgefächerter als ihr katholisches Gegenüber: Auch hier treten zahlreiche kleinere Regelwerke auf, die sich mehr oder weniger stark an dem DSK-EKD orientieren.

DSO & Co.

Die Datenschutzordnungen (DSO) zahlreicher freikirchlicher Verbände wie der Baptisten und der Täufer entsprechen teils wörtlich dem DSG-EKD. Diese Teile verbinden sie mit mehreren Anpassungen, die explizit für den freikirchlichen Bereich vorgenommen worden sind. Dadurch verfügen sie stets über Besonderheiten ihres eigenen kirchlichen Datenschutzes, die in Detailfragen entscheidend sein können.

Sehr ähnlich dem DSG-EKD sind die Datenschutzgesetze der Selbständigen Evangelisch-Lutherischen Kirche (SELK) und der Methodisten.

Im Bereich der evangelischen Kirche fokussiert dieser Blogbeitrag im Weiteren das maßgebliche DSG-EKD.

Unabhängige, eigenständige Lösungen und Religions­gemeinschaften ohne Datenschutzgesetz

Neben den genannten großen kirchlichen Datenschutzgesetzen existieren noch mehrere eigenständige Lösungen, die hier nur angeschnitten werden sollen. Dazu gehört beispielsweise die neu-apostolische Kirche, deren Datenschutzrecht komplett anders aufgebaut ist als die DSGVO und selbst die anderen kirchlichen Datenschutzgesetze. Die Version des Datenschutzgesetzes der Heilsarmee wiederum entspricht vollständig der DSGVO, allerdings sind die für sie unzutreffenden Regelungen mit einem entsprechenden Kommentar versehen.

In Deutschland haben sich praktisch nur christliche Religionen eigene Datenschutzgesetze gegeben, im Gegensatz zu nicht-christlichen Religionsgemeinschaften.

Für wen gelten das KDG und das DSG-EKD?

Selbst wenn eine Organisation den christlichen Kirchen angehört, heißt das nicht automatisch, dass für sie das kirchliche Datenschutzrecht greift. Zählt eine Organisation hingegen zu der sogenannten verfassten Kirche, unterliegt sie in der Regel dem KDG beziehungsweise DSG-EKD – das trifft mitunter auf Gemeinden, Bistümer und Landeskirchen zu. Weniger eindeutig wird es, sobald die Organisation nicht explizit die kirchliche Mission vertritt und etwa auch wirtschaftliche Ziele verfolgt. In solchen Zweifelsfällen kann eine Kirchlichkeitsprüfung Anhalt liefern: Sie besteht aus einem Bündel an Kriterien, ist jedoch nicht standardisiert. Es bleiben also Grauzonen, ob gewisse Organisationen kirchliches Datenschutzrecht anwenden dürfen.

Eindeutig nicht unter die kirchlichen Datenschutzgesetze, sondern unter die DSGVO fallen zum Beispiel rein wirtschaftliche Organisationen. Dasselbe trifft für Verbünde aus katholischer und evangelischer Gemeinde zu, da sie nicht unter der Schirmherrschaft einer einzigen Religionsgemeinschaft stehen.

Was sind die wichtigsten Anforderungen für kirchliche Stellen im Datenschutz?

Folgende drei Anforderungen sind zentral für klerikale  Organisationen in Bezug auf den kirchlichen Datenschutz:

1.
Rechtmäßigkeit der Verarbeitung nachweisen

Kirchen müssen sicherstellen und nachweisen, dass sie ihre Rechenschaftspflichten erfüllen. Zudem müssen sie stets eine Rechtsgrundlage für Datenspeicherung besitzen und vorlegen können sowie die Daten rechtzeitig im Sinne der europäischen Datenschutzprinzipien löschen. Darüber hinaus haben sie nötige technischen und organisatorische Maßnahmen (TOMs) zu etablieren.

2.
Betroffenenrechte wahren

Bei der Sicherstellung der Betroffenenrechte steht insbesondere die Informationspflicht im Mittelpunkt. Betroffene – also jene, deren Daten verarbeitet werden – besitzen nämlich ein Auskunftsrecht über Umfang, Zweck der Verarbeitung sowie über die verantwortliche Stelle.

Achtung: Katholische Stellen sind immer zur Auskunft verpflichtet, im evangelischen Datenschutzgesetz hingegen gilt die Informationspflicht nur „auf Verlangen“. In der Umsetzung des kirchlichen Datenschutzes wird trotzdem darauf geachtet, die Informationen proaktiv mitzuteilen.

3.
Organisatorische Maßnahmen ergreifen

Um sicherzustellen, dass personenbezogene Daten auch durch die Kirchen im Sinne des Datenschutzes verarbeitet werden, müssen diese einige Maßnahmen ergreifen, und zwar unter anderem:

Beschäftigte auf das Datengeheimnis verpflichten

Technische und organisatorische Maßnahmen (TOMs) treffen

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sicherstellen

Auftragsverarbeitungen identifizieren und regeln

Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen

Datenschutzbeauftragte benennen

Kirchlicher Datenschutz vs. DSGVO: Welche Unterschiede existieren?

Wie oben erwähnt, muss der kirchliche Datenschutz ein vergleichbares Datenschutzniveau bieten wie die DSGVO. In diesem Rahmen bestehen allerdings einige Unterschiede, die die Besonderheiten kirchlicher Organisationen widerspiegeln. Dazu zählt beispielsweise, dass das KDG die Religionszugehörigkeit nicht als besondere Kategorie personenbezogener Daten betrachtet, da diese Information ansonsten explizit zu schützen wäre – und das ist im kirchlichen Kontext kaum möglich. Ansonsten bestehen Unterschiede vor allem bei den Rollenbezeichnungen und bei der Abbildung der speziellen Strukturen der kirchlichen Verwaltung. Gewisse verantwortliche Ämter wie das des Bischofs oder des Diözesandatenschutzbeauftragten sind in weltlichen Organisationen schlichtweg nicht vorgesehen.

Wer kontrolliert die Umsetzung des kirchlichen Datenschutzes?

Analog zu ihrer eigenen Datenschutzgesetzgebung unterliegen die kirchlichen Organisationen nicht den Aufsichtsbehörden der Bundesländer, in denen sie ansässig sind – sie verfügen stattdessen über eine eigene kirchliche Datenschutzaufsicht: Diese ihnen eigenen Stellen überwachen die Umsetzung des kirchlichen Datenschutzes. Dementsprechend wenden sich Betroffene beim Thema Datenschutz für die evangelische Kirche an den Beauftragten für den Datenschutz der EKD. Für katholische Stellen wiederum stellen die regionalen Diözesandatenschutzbeauftragten der katholischen Kirche in Deutschland die relevante Instanz dar.

Wie können Organisationen die Anforderungen des KDG bzw. DSG-EKD in der Praxis umsetzen?

Kirchlicher Datenschutz ist vornehmlich aufgrund der zahlreichen unterschiedlichen Ausformungen eine komplexe Angelegenheit. Dazu kommt die Tatsache, dass zu den einzelnen Gesetzgebungen häufig noch keine oder nur unzureichende Literatur vorhanden ist. In der Praxis sollten kirchliche Organisationen daher auf Softwarelösungen setzen, die einen rechtssicheren Überblick verschaffen. 

Bei caralegal haben wir eine solche Lösung entwickelt, die durch intuitive Prozesse Sicherheit im Umgang mit dem Datenschutz gibt. Wie die praktische Umsetzung des KDG mithilfe von caralegal funktionieren kann, könnt ihr in unserem Interview mit dem Konzerndatenschutzbeauftragten Dr. Niclas Krohm des Elisabeth Vinzenz Verbund (EVV) nachlesen.

Kirchlicher Datenschutz mit caralegal-Unterstützung – rechtskonform und intuitiv

Kirchlicher Datenschutz ist ein breitgefächertes Feld mit zahlreichen Unterschieden und Konditionen. Dadurch kann es durchaus schwierig sein, die geltenden Gesetze einzuhalten und ein Datenschutzniveau einzuhalten, das dem der DSGVO entspricht. Genau dort setzen wir bei caralegal an. Wir haben eine Softwarelösung entwickelt, die mit präzisen Anweisungen, Automatisierungen und benutzerfreundlichen Hilfestellungen die Umsetzung eines sicheren und intuitiven Datenschutzes im kirchlichen Raum ermöglicht.

Wenn du mehr erfahren möchtest: vereinbare ein unverbindliches Kennenlerngespräch, bei dem du erfährst, wie du mit caralegal die Vorgaben des kirchlichen Datenschutzes leicht in die Praxis umsetzen kannst.

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:

Auflistung der Top 5 Trends im Datenschutz 2024

Datenschutz 2024: Die Top 5 Entwicklungen

Mehr erfahren
PETs sind eine wichtige Unterstützung für deinen Datenschutz.

Privacy Enhancing Technologies für deinen Datenschutz

Mehr erfahren
Die KI-Verordnung der EU schafft einen Rahmen für KI-Innovation.

Die KI-Verordnung kommt: Aktueller Stand & To-dos für Anbieter

Mehr erfahren