Ab morgen gilt die DSGVO. Bereits heute sind das Kirchliche Datenschutzgesetz in der Diözesen- und Ordensfassung sowie das Datenschutzgesetz der evangelischen Kirche in Deutschland in Kraft getreten.
Ähnlich der DSGVO besteht auch im Anwendungsbereich dieser Gesetze die Pflicht, dass die kirchliche Einrichtung den bestellten Datenschutzbeauftragten an die zuständige Aufsichtsbehörde melden muss. Wobei, so einfach wie es klingt, ist es natürlich nicht. Der Einfachheit halber fangen wir mit der evangelischen Kirche an.
Meldepflicht in der Evangelischen Kirche
Nach § 36 Abs. 5 S. 1 DSG-EKD gilt:
„Die Bestellung […] ist der Aufsichtsbehörde und der nach dem jeweiligen Recht für die allgemeine Aufsicht zuständigen Stelle anzuzeigen; die Kontaktdaten sind zu veröffentlichen.“
Der Beauftragte für den Datenschutz der EKD ist Herr Michael Jacob, Böttcherstraße 7, 30419 Hannover. Auf dessen Webseite (https://datenschutz.ekd.de) finden sich keine Ausführungen, wie die Meldung des Datenschutzbeauftragten erfolgen soll.
Meldepflicht in der Katholischen Kirche
In der katholischen Kirche ist zunächst zwischen Orden päpstlichen Rechts und den Diözesaneinrichtungen zu unterscheiden.
Orden päpstlichen Rechts
Nach § 36 Abs. 3 KDR-OG gilt:
„Der Verantwortliche […] veröffentlicht die Kontaktdaten des betrieblichen Datenschutzbeauftragten. Die Benennung von betrieblichen Datenschutzbeauftragten […] ist der Datenschutzaufsicht anzuzeigen.“
Für die Orden päpstlichen Rechts gibt es zwei Aufsichtsbehörden:
Gemeinsamer Ordensdatenschutzbeauftragter DOK Süd (GDSB SÜD)
Herr Jupp Joachimski
Vorsitzender Richter am Bayerischen Obersten Landesgericht a.D.
Wittelsbacherring 9
53115 Bonn
Gemeinsamer Ordensdatenschutzbeauftragter
DOK Nord (GDSB Nord)
Herr RA Dieter Fuchs
Wittelsbacherring 9
53115 Bonn
Diözesanes Rechts
Richtig kompliziert wird es bei den Diözesaneinrichtungen. Das KDG differenziert in § 3 zwischen drei Arten von Einrichtungen:
- 3 Abs. 1 lit a) KDG: Diözese, Kirchengemeinden, Kirchenstiftungen und Kirchenge-meindeverbände,
- 3 Abs. 1 lit b) KDG: Deutschen Caritasverband, Diözesan-Caritasverbände, ihre Untergliede-rungen und ihre Fachverbände ohne Rücksicht auf ihre Rechtsform,
- 3 Abs. 1 lit c) KDG: kirchlichen Körperschaften, Stiftungen, Anstalten, Werke, Einrichtungen und die sonstigen kirchlichen Rechtsträger ohne Rücksicht auf ihre Rechtsform.
Kirchliche Stellen im Sinne des § 3 Absatz 1 lit. a) müssen immer einen Datenschutzbeauftragten (DSB) bestellen (§ 36 Abs. 1 KDG). Kirchliche Stellen im Sinne des § 3 Absatz 1 lit. b) und c) müssen nur unter bestimmten Voraussetzungen einen DSB bestellen (§ 36 Abs. 2 KDG).
Hinsichtlich der Meldeplficht bestimmt § 36 Abs. 4 S. 2
„Die Benennung von betrieblichen Datenschutzbeauftragten nach Absatz 1 ist der Datenschutzaufsicht anzuzeigen.“
Das heißt: Eine Meldepflicht besteht bei Diözese, Kirchengemeinden, Kirchenstiftungen und Kirchengemeindeverbänden.
Nicht zu melden sind Bestellungen beim Deutschen Caritasverband, bei Diözesan-Caritasverbänden, ihren Untergliederungen und ihren Fachverbänden ohne Rücksicht auf ihre Rechtsform, sowie kirchlichen Körperschaften, Stiftungen, Anstalten, Werken, Einrichtungen und den sonstigen kirchlichen Rechtsträgern ohne Rücksicht auf ihre Rechtsform.
Die Adressen der Diözesandatenschutzbeauftragter
Mit Ausnahme des katholischen Datenschutzzentrums finden sich keine Informationen zur Meldung auf den Webseiten. Auf der Webseite des Datenschutzzentrums findet sich der Hinweis:
„Das Katholischen Datenschutzzentrum plant die Möglichkeit einer elektronischen Meldung der notwendigen Daten über unsere Internetseite zur Verfügung zu stellen. Die Umsetzung dieser Lösung wird aber nicht vor Mai 2018 erfolgen können. Welche Daten zu melden sind und weitere Einzelheiten zum Verfahren werden wir Ihnen bis Mai 2018 noch über unsere Internetseite mitteilen.
Wir bitten Sie daher, derzeit von einer Meldung der betrieblichen Datenschutzbeauftragten abzusehen und auf die Möglichkeit einer elektronischen Meldung über die Internetseite zu warten.“
Wer jetzt noch liest, darf sich auf morgen freuen: dann kümmern wir uns um die Meldepflicht nach der DSGVO und, soviel sei verraten, es ist deutlich einfacher.
Update 24.5.2018, 21:44 Uhr
Der Diozesandatenschutzbeauftragte der (Erz-)Bistümer Hamburg, Hildesheim, Osnabrück und des Bischöflich Münsterschen Offizialats in Vechta i.O. hat auf seiner Webseite die Möglichkeit einer elektronischen Meldung geschaffen.
Das Katholische Datenschutzzentrum hat auf seiner Webseite die Möglichkeit einer elektronischen Meldung geschaffen.
Der Diözesandatenschutzbeauftragter der ostdeutschen Bistümer ermöglicht über die Webseite des Katholischen Datenschutzzentrums eine elektronische Meldung.
Update 25.05.2018 17:12
Leider hatte sich der Fehlerteufel eingeschlichen. Statt KDR-OG hatten wir KDG-OR geschrieben. Wir haben das korrigiert und bitten um Nachsicht in diesen Tagen 😉