Bleiben Sie öfter mal bei unseren Beiträgen zum Datenschutz in kirchlichen Einrichtungen hängen? Reifen bei Ihnen auch zunehmend die Fragen: Warum nehmen die Kirchen im Datenschutz eigentlich eine Sonderrolle ein? Und wie sieht diese Sonderrolle konkret aus? Heute bekommen Sie endlich die gesuchten Antworten.
Gilt die DSGVO auch für kirchliche Einrichtungen?
Für die Kirchen gilt die DSGVO nicht! Naja, so ganz stimmt das nicht, aber: Die DSGVO eröffnet in Art. 91 DSGVO die Möglichkeit, dass Kirchen oder religiöse Vereinigungen weiterhin ihre eigenen Datenschutzregeln anwenden dürfen, wenn diese bereits bei Inkrafttreten der DSGVO bestanden und an die Regelungen der DSGVO angepasst wurden.
Eigene Datenschutzgesetze bestehen also nur für die Religionsgemeinschaften fort, die bereits 2016 eigene Datenschutzvorschriften hatten und diese dann anhand der Vorgaben der DSGVO überarbeitet haben. Zur Erklärung: Die DSGVO ist zwar im Mai 2016 in Kraft getreten, sie ist jedoch erst seit dem 25. Mai 2018 anzuwenden.
Von dieser Möglichkeit Gebrauch gemacht haben in Deutschland sowohl die beiden großen Kirchen als auch kleinere Religionsgemeinschaften. Eine Übersicht bietet bspw. der Blog „Artikel 91“ von Felix Neumann. Auch in anderen EU-Staaten gibt es kirchliche Datenschutzgesetze. Hierzu findet sich ebenfalls eine Übersicht im „Artikel 91“-Blog.
In welchem Umfang verarbeiten die Kirchen überhaupt Daten, sodass dafür sogar eigene Gesetze notwendig sind? Tatsächlich erfolgt hier eine Datenverarbeitung „im großen Stil“, denn das Portfolio der Kirchen ist größer, als man auf den ersten Blick meint: Es umfasst neben der klassischen Kirchengemeinde auch Kindergärten, Schulen, Pflegeeinrichtungen, Beratungsstellen, Krankenhäuser und vieles andere mehr.
Schon die Datenmenge, mit denen Kirchengemeinden umgehen, ist enorm. Die Kirchengemeinden erhalten auf Grundlage von § 42 Bundesmeldegesetz (BMG) von den staatlichen Meldebehörden umfangreiche Daten der Kirchenmitglieder und übrigens auch von deren Familienangehörigen, die keiner oder einer anderen Konfession angehören. Zusätzlich dokumentieren die einzelnen Gemeinden in ihren Kirchenbüchern alle großen persönlichen Ereignisse im Leben ihrer Mitglieder, wie Taufen und Hochzeiten. Zudem werden die Daten auch weitergegeben, bspw. Daten schulpflichtiger Kinder der Kirchengemeinde an die örtliche Grundschule.
Dass Kindergärten, Pflegeeinrichtungen und gar Krankenhäuser eine ganze Menge an äußerst sensiblen Daten verarbeiten, ist selbsterklärend.
Besonderheiten des kirchlichen Rechts
Das Gesetz über den Kirchlichen Datenschutz (KDG) der Katholischen Kirche und das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) folgen im Grundverständnis und im Aufbau in weiten Teilen der DSGVO. Stellenweise gibt es jedoch konfessionelle Besonderheiten. So sehen beide Gesetze eine zusätzliche Rechtsgrundlage vor, nämlich die Datenverarbeitung im kirchlichen Interesse. Das katholische Recht ist außerdem bei Einwilligungen strenger; diese müssen (fast) immer schriftlich sein, also mit Unterschrift auf Papier. Im evangelischen Recht fällt vor allem eine sprachliche Änderung auf: Der „Datenschutzbeauftragte“ ist hier der „örtlich Beauftragte für den Datenschutz“. Datenschutzbeauftragte bzw. örtlich Beauftragte sind übrigens schon zu bestellen, wenn zehn Personen ständig personenbezogener Daten verarbeiten. Für den weltlichen Bereich wurde die entsprechende Vorschrift im BDSG mittlerweile auf 20 Personen erhöht.
Haben Kirchen eigene Aufsichtsbehörden für den Datenschutz?
Art. 91 Abs. 2 DSGVO ermöglicht es den Kirchen, eigene Aufsichtsbehörden einzurichten, was sie auch taten. Für die katholischen Bistümer gibt es fünf sogenannte Diözesandatenschutzbeauftragte (eine Übersicht finden Sie hier). Im evangelischen Bereich erfüllen diese Aufgabe eine große Aufsichtsbehörde – der Beauftragte für den Datenschutz der EKD – mit vier Außenstellen sowie eigene Aufsichtsbehörden für vereinzelte Landeskirchen.
Eigene Aufsichtsbehörden sind durchaus sinnvoll, da diese die speziellen kirchlichen Gesetze anwenden müssen und mit den Besonderheiten kirchlicher Einrichtungen besser vertraut sind als die staatlichen Aufsichtsbehörden. Die Befugnisse der kirchlichen Aufsichtsbehörden entsprechen weitestgehend denen der staatlichen Behörden. So können bspw. ebenfalls Bußgelder verhängt werden, die jedoch einen deutlich geringeren Bußgeldrahmen als die DSGVO vorsehen (maximal 500.000 Euro).
Gegen Handlungen der Aufsichtsbehörde können sich Betroffene auch im kirchlichen Bereich wehren. Im katholischen Bereich wurde dafür ein eigenes Gericht geschaffen – das Interdiözesane Datenschutzgericht als erste Instanz sowie als zweite Instanz das Datenschutzgericht der deutschen Bischofskonferenz. Für die evangelische Kirche gibt es keine speziellen Datenschutzgerichte. Hier liegt die Zuständigkeit bei den kirchlichen Verwaltungsgerichten.
Der kirchliche Datenschutz ist kein Nischenthema!
Der kirchliche Datenschutz ist gewissermaßen eine „Parallelwelt“, die sich zwar nur in Detailfragen vom weltlichen Datenschutz unterscheidet, aber diese Detailfragen haben es regelmäßig in sich. Ein Beispiel: Wann dürfen Patientendaten an einen Seelsorger weitergegeben werden, wenn die Seelsorge vom verantwortlichen katholischen Krankenhaus nicht im System der Einrichtung konzeptionell implementiert ist? Die Antwort findet sich in § 4 des Gesetzes zum Schutz von Patientendaten bei der Seelsorge in katholischen Einrichtungen des Gesundheitswesens (wir berichteten hier).
Wegen der großen Zahl an kirchlichen Einrichtungen in Deutschland, handelt es sich beim kirchlichen Datenschutz auch keinesfalls um eine unwichtige Nische und der kirchliche Datenschutz sollte in seiner Bedeutung nicht unterschätzt werden. Auch deshalb besteht unser Kirchen-Team mittlerweile aus neun Juristinnen und Juristen, die sich nur mit diesem Themengebiet des Datenschutzrechts befassen. Häufig gestellte Fragen zum Datenschutz in der Kirche und die entsprechenden Antworten finden Sie auch auf unserer FAQ-Seite zum kirchlichen Datenschutz.