Art. 91 der Datenschutz-Grundverordnung (DSGVO) zum Datenschutz für Kirche – Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften – erlaubt die weiterführende Anwendung von Regelungen religiöser Vereinigungen oder Gemeinschaften, sofern diese mit der DSGVO in Einklang gebracht werden.
Die Anforderungen an die Verarbeitung personenbezogener Daten auf Grund von gesetzlichen Regelungen wie dem EKD-Datenschutzgesetz (EKD-DSG) und dem Gesetz über den Kirchlichen Datenschutz (KDG) für kirchliche Einrichtungen, nicht zuletzt auch abhängig von der Struktur der Datenverarbeitung, sind sehr unterschiedlich. Zusätzlich können Bistümer und Diözesen spezifische Verordnungen erlassen, wie z.B. für Krankenhäuser in kirchlicher Trägerschaft die „Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern und Einrichtungen (PatDSO)“, oder die „Anordnung über den kirchlichen Datenschutz für die Verarbeitung personenbezogener Daten in den katholischen Schulen (KDO‑Schulen)“.
Grundlagen
Die rechtliche Sonderstellung von Kirchen in Deutschland, welche Ihnen ein Selbstbestimmungsrecht innerhalb der geltenden Gesetze einräumt, setzt sich auch im Datenschutz fort. Mit Einführung der DSGVO 2018 wurde dieses Selbstbestimmungsrecht erneut durch Artikel 91 DSGVO bestätigt. Dieser schafft eine Bestandsschutzregelung für umfassende eigene Regeln der Kirchen und Religionsgemeinschaften, wenn diese bereits bei Inkrafttreten der DSGVO bestanden und an die Regelungen der DSGVO angepasst wurden.
Anwendungsbereich des Datenschutzgesetzes bzw. Datenschutz der Kirche
Das Selbstbestimmungsrecht, welches die Grundlage eigener Gesetze bildet, gilt nur für „innerkirchliche“ Belange, in denen weltanschauliche „kircheneigene“ Aufgaben erfüllt werden, die dabei gewählte Rechtsform, z.B. GmbH, spielt keine Rolle:
- Glaubensvermittlung
- karitative Einrichtungen (Krankenhäuser, Pflegeeinrichtungen, Kindergärten, Schulen)
- Inanspruchnahme kirchlicher Leistungen, auch wenn die betroffene Person nicht der Kirche angehört
Nicht abgedeckt vom Selbstbestimmungsrecht der Kirche sind Bereiche, in denen keinerlei Bezug zu kirchlichen Institutionen besteht, in diesen Bereichen findet dann die DSGVO und das BDSG Anwendung:
- Vermietung von Räumen
- Wirtschaftsbeteiligungen an Brauereien
Besonderheiten der kirchlichen Datenschutzgesetze
Einwilligungen nur schriftlich
Anders als in der DSGVO, welche keine Form vorschreibt, muss im katholischen Datenschutzrecht eine Einwilligung in der Regel schriftlich erfolgen
Kirchliche Datenschutzbeauftragte
Im Unterschied zur DSGVO ist gemäß KDG (katholische Kirche) unabhängig von der Zahl der Mitarbeiter ein Datenschutzbeauftragter zu benennen. Die betrifft alle kirchlichen Diözesen, Kirchengemeinden, Kirchenstiftungen und Kirchengemeindeverbände. Für andere katholische Kirchenstellen, z.B. dem Deutschen Caritasverband, ist eine Benennung wiederum nur bei Vorliegen bestimmter Voraussetzungen vorgeschrieben.
Im Bereich des EKD-DSG (evangelische Kirche) ist eine Bestellung nur dann erforderlich ist, wenn in der Regel mehr als zehn Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind.
Datenschutzaufsicht und Gerichte
Kirchen und kirchliche Einrichtungen haben eigene Aufsichtsbehörden, welche die Einhaltung der kircheninternen Datenschutzgesetze überwachen:
- Katholische Kirche: Regional für mehrere Bistümer zuständig
(https://www.kath-datenschutzzentrum-ffm.de/ueber-die-konferenz/) - Evangelischen Kirche: ein zentraler Datenschutzbeauftragter (https://datenschutz.ekd.de/ueber-uns/der-beauftragte/)
Neben diesen Aufsichtsbehörden gibt es in den Datenschutzgesetzen der katholischen und evangelischen Kirche auch einen separaten Rechtsweg – die Datenschutzgerichte. Staatlichen Gerichte lehnen neben der detaillierten inhaltlichen Beurteilung der Klagen auch aufgrund dieses Rechtswegs eine Beurteilung ab, solange der kirchliche Rechtsweg nicht ausgeschöpft ist. Der Rechtsweg über die Datenschutzgerichte der Kirchen ist deswegen immer notwendig.
Datenschutz für Kirche – Geldbußen
Die Höhe der maximalen Geldbuße, welche nach DSGVO 20 Mio. Euro beträgt, wird im KDG sowie im DSG-EKD auf 500.000 Euro begrenzt. Nach KDG findet auch eine Einschränkung statt, gegen wen eine Geldbuße verhängt werden kann. So entfällt diese für die Diözese, Kirchengemeinden, Kirchenstiftungen und Kirchengemeindeverbände, sofern sie nicht als Unternehmen am Markt teilnehmen.
Nutzen Sie das PRODATIS Datenschutz Branchen Know-how
PRODATIS hilft Ihnen mit der branchenspezifischen Erfahrungen, Haftungsrisiken zu vermeiden und bietet Ihnen darüber hinaus kompetente Unterstützung bei der Planung und Umsetzung Ihrer IT-Projekte. Gern führen wir auch Mitarbeiterschulungen gezielt für Ihre Bildungseinrichtung durch, um Ihre Mitarbeiter zum Thema Datenschutz zu sensibilisieren und Sie bei der Erfüllung Ihrer gesetzlichen Pflichten zu unterstützen. So unterstützen wir Sie bei der Einhaltung der gesetzlichen Vorgaben zur Verarbeitung, Sicherung und Archivierung Ihrer Daten einschl. Dokumentationen.
