DSG-EKD: Das Datenschutzgesetz der Evangelischen Kirche

Fachbeitrag

Die Datenschutz-Grundverordnung (DSGVO) ist mittlerweile jedem ein Begriff. Doch wie sieht es mit dem evangelischen Pendant, dem DSG-EKD aus, welches die Rechte und Pflichten für die evangelischen Kirchen im Datenschutz regelt? Wir zeigen dessen Besonderheiten und Gemeinsamkeiten zur DSGVO.

Kirchlicher Datenschutz und die DSGVO

Die Kirchen genießen seit jeher eine besondere Stellung in Deutschland. Bereits in der Weimarer Verfassung von 1919 wurden den Kirchen weitreichende Befugnisse eingeräumt. So hieß es beispielsweise in Art. 137 Abs. 3 der Weimarer Verfassung:

„Jede Religionsgesellschaft ordnet und verwaltet ihre Angelegenheiten selbständig innerhalb der Schranken des für alle geltenden Gesetzes.“

Auf die Bestimmungen der Kirchenartikel der Weimarer Verfassung nimmt auch das Grundgesetz in Art. 140 GG Bezug und verankert das Kirchenrecht somit in unserer heutigen Verfassung. Aufgrund dessen sind die Kirchen befugt, eigene sie betreffende Rechtsvorschriften zu erlassen.

Auch europarechtlich genießen die Kirchen eine besondere Stellung. Art. 17 AEUV legt auf europäischer Ebene den Schutz des Religionsverfassungsrechts der Mitgliedsstaaten fest und trägt den unterschiedlichen Verhältnissen zwischen Staat und Kirche der Mitgliedstaaten Rechnung. Das hat auch Folgen für den kirchlichen Datenschutz. Nach Art. 91 DSGVO ist es den Kirchen oder religiösen Gemeinschaften erlaubt, eigene Datenschutzregelungen anzuwenden, sofern diese mit der DSGVO in Einklang gebracht werden. Mit dem DSG-EKD wird seit dem 24. Mai 2018 dieses Recht umgesetzt.

Für wen gilt das Datenschutzgesetz der evangelischen Kirche?

Der Anwendungsbereich des DSG-EKD ist gemäß § 2 Abs.1 S.1 DSG-EKD für alle kirchlichen Stellen eröffnet. Dies umfasst die

  • Evangelische Kirche in Deutschland,
  • die Gliedkirchen,
  • gliedkirchliche Zusammenschlüsse sowie
  • alle weiteren kirchlichen juristischen Personen des öffentlichen Rechts und die ihnen zugeordneten kirchlichen und diakonischen Dienste, Einrichtungen und Werke.

Hierbei kann es sich um Gemeinden, Kindertagesstätten, Kirchenkreise, Diakoniestationen, diakonische Einrichtungen und kirchliche Stiftungen, aber auch Pflegeheime oder Krankenhäuser handeln. Diese werden meist in den Rechtsformen eines eingetragenen Vereins oder einer gemeinnützigen GmbH organisiert, welche ebenfalls dem Kirchenrecht unterliegen.

Regelungen des EKD-Datenschutzgesetz im Vergleich zur DSGVO

Grundsätzlich lässt sich sagen, dass das EKD-Datenschutzgesetz eine starke Ähnlichkeit zur DGSVO aufweist. Insofern wurde das DSG-EKD in Einklang mit der DSGVO gebracht. Dennoch ergeben sich in einigen Bereichen Unterschiede aufgrund der besonderen Schutzwürdigkeit der verarbeiteten Daten und der Art der Datenverarbeitung.

Rechtsgrundlagen

Zunächst gilt für die Datenverarbeitung durch kirchliche Stellen im evangelischen Datenschutzgesetz ebenfalls der Grundsatz des Verbots mit Erlaubnisvorbehalt. Demnach ist jede Verarbeitung personenbezogener Daten grundsätzlich verboten, es sei denn, sie wird durch eine rechtliche Grundlage legitimiert. In § 6 DSG-EKD sind diese Rechtsgrundlagen aufgeführt. Somit kann beispielsweise die Einwilligung der betroffenen Person (§ 6 Nr. 2 DSG-EKD), die Erfüllung eines Vertrages (§ 6 Nr. 5 DSG-EKD) oder das berechtigte Interesse (§ 6 Nr. 8 DSG-EKD) wie auch in Art. 6 DSGVO einschlägig sein. Zudem gilt die Besonderheit, dass kirchliche Interessen und Aufsichtspflichten eine besondere Beachtung finden wie in § 6 Nr. 3 und 4 DSG-EKD.

Betroffenenrechte

Wie auch in der DSGVO bietet das DSG-EKD einen umfassenden Katalog zu den Rechten der Betroffenen in Kapitel 3 des Datenschutzgesetz der Evangelischen Kirche. Dabei entsprechen die einzelnen Rechte denen der DSGVO:

  • Informationspflichten (§§ 17, 18, 23 DSG-EKD)
  • Auskunftsrecht der betroffenen Person (§ 19 DSG-EKD)
  • Berichtigung (§ 20 DSG-EKD)
  • Löschung (§ 21 DSG-EKD)
  • Einschränkung der Verarbeitung (§ 22 DSG-EKD)
  • Datenübertragbarkeit (§ 24 DSG-EKD)
  • Widerspruchsrecht (§ 25 DSG-EKD) sowie
  • Beschwerderecht bei der zuständigen Aufsichtsbehörde (§ 46 Abs.1 DSG-EKD) wie beispielsweise bei dem Beauftragten für den Datenschutz der EKD (BfD EKD)

Wichtig ist jedoch zu beachten, dass das DSG-EKD – im Gegensatz zur einmonatigen Frist der DSGVO – für die Beantwortung von Betroffenenanfragen eine dreimonatige Bearbeitungszeit einräumt.

Verzeichnis von Verarbeitungstätigkeiten

Die Datenschutz-Grundverordnung sieht in Art. 30 DSGVO vor, dass Unternehmen und Einrichtungen mit weniger als 250 Mitarbeitern ihre Datenverarbeitungen nicht in einem Verzeichnis der Verarbeitungstätigkeiten dokumentieren müssen. Jedoch gilt die weitere Einschränkung, dass die Datenverarbeitungen dieser Unternehmen nur gelegentlich erfolgen dürfen, kein Risiko für die Rechte und Freiheiten der Betroffenen darstellen und es werden keine sensiblen Daten nach Art. 9 oder Art. 10 DSGVO verarbeitet. Insofern werden Unternehmen sich dieser Dokumentationspflicht selten entledigen können.

Etwas besser sieht es für die evangelischen Kirchenstellen aus. Nach § 31 Abs. 5 DSG-EKD müssen kirchliche Stellen mit weniger als 250 Beschäftigten kein Verzeichnis von Verarbeitungstätigkeiten führen. Werden von diesen sensible personenbezogener Daten verarbeitet, müssen lediglich diejenigen Datenverarbeitungen in einem Verzeichnis dokumentiert werden, die eine Verarbeitung besonderer Kategorien personenbezogener Daten umfassen.

Bußgelder

Die Ahndung von Datenschutzverstößen unter dem DSG-EKD unterscheidet sich hingegen deutlich von der DSGVO. Nach § 45 DSG-EKD können Geldbußen bis zu 500.000 Euro von der zuständigen Aufsichtsbehörde verhängt oder für den Wiederholungsfall angedroht werden. Dies gilt jedoch nur, wenn die angesprochene kirchliche Stelle als Unternehmen am Wettbewerb teilnimmt.

Die DSGVO sieht hingegen ein abschreckendes Bußgeld von bis zu 20 Mio. oder 4 % des weltweit erzielten Jahresumsatzes vor, jedenfalls für Unternehmen. Behörden und andere öffentliche Stellen sind ebenfalls von den Bußgeldern der DSGVO ausgenommen, sofern sie nicht am am Wettbewerb teilnehmen.

Datenschutzbeauftragter

Gemäß § 36 Abs. 1 DSG-EKD besteht eine Pflicht zur Bestellung einer oder eines örtlich Beauftragten für den Datenschutz, wenn in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind oder die Kerntätigkeit der verantwortlichen Stelle in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht. Damit gleicht die Personengrenze für die Bestellung eines örtlich Beauftragten für den Datenschutz, dem alten Schwellenwert für Datenschutzbeauftragte im BDSG. Die Bestellung des örtlich Beauftragten für den Datenschutz kann sich auf mehrere verantwortliche Stellen erstrecken.

Die IT-Sicherheit in der Evangelischen Kirche

In der derzeit geltenden Fassung regelt § 27 DSG-EKD die Implementierung angemessener technischer und organisatorischer Maßnahmen, die sich nach dem Stand der Technik richten sollen. Dies entspricht den Vorgaben des Art. 32 DSGVO. Darüber hinaus verpflichtet der Absatz 6 Verantwortliche Stellen, die IT-Sicherheit zu gewährleisten. Das Nähere regelt hier die IT-Sicherheitsverordnung (ITSVO-EKD) der evangelischen Kirchen.

Die hohen Anforderungen an die IT-Sicherheit sorgen bei vielen Kirchengemeinden oder sonstigen Stellen von kirchlichen Trägern oftmals für Kopfschmerzen. Aufgrund der Sensibilität der Daten oder der – nicht seltenen – Verarbeitung von Daten Minderjähriger ist die Notwendigkeit technischer und organisatorischer Maßnahmen jedoch nicht zu unterschätzen. Daher ist es folgerichtig, dass ausnahmslos jede kirchliche Stelle nach § 1 Abs. 2 ITSVO-EKD ein IT-Sicherheitskonzept erstellen und pflegen muss. Dazu hat das Kirchenamt der EKD Muster und Hilfestellungen für kleine sowie mittlere und große Einrichtungen veröffentlicht.

Aufsichtsbehörde: Die Beauftragten für den Datenschutz in der EKD

Die Einhaltung des Datenschutzes muss nicht nur für den weltlichen Bereich gewährleistet werden. Auch für die kirchlichen Stellen werden Datenschutzaufsichtsbehörden benötigt, dessen Stellung und Aufgaben sich für die Evangelische Kirche nach den §§ 39 ff. DSG-EKD richten. Zu den Aufgaben des Beauftragten für den Datenschutz in der EKD (BfD EKD) gehört beispielsweise die Beratung der kirchlichen und diakonischen Stellen zu rechtlichen und technischen Fragen rund um den Datenschutz, die Bearbeitung von Beschwerden von Betroffenen sowie die Weiterbildung für die bestellten örtlich Beauftragten für den Datenschutz. Darüber hinaus kann der BfD EKD nach § 43 Abs. 4 DSG-EKD eine gesetzkonforme Möglichkeit zur Datenübermittlung in Drittländer prüfen und hierzu beraten.

In der Vergangenheit wurden beispielsweise Voraussetzungen für die Nutzung von Microsoft Cloud-Diensten durch den BfD EKD aufgestellt, unter denen eine Nutzung der Dienste mit dem Datenschutzrecht zu vereinbaren sei, sowie eine Stellungnahme zum Einsatz von Messenger-Diensten von 2017 mit einer Ergänzung von 2018. In ihr riet die Aufsichtsbehörde explizit von dem Einsatz von WhatsApp ab, u.a. da eine Übermittlung der Daten in Länder außerhalb der EU stattfindet. Wir berichteten in einem zeitlichen Zusammenhang ebenfalls über die erheblichen Datenschutz-Risiken beim Einsatz von WhatsApp im Unternehmen. Bezüglich des Einsatzes von Videokonferenzsystemen aus Drittländern rät der BfD EKD ebenfalls ab – Anbieter wie Zoom haben also keine Chance. Stattdessen sollen vorrangig selbst entwickelte Lösungen, Open Source Softwares oder zumindest europäische Anbieter verwendet werden. Zu Themen wie diesen und vielen weiteren geben die Aufsichtsbehörden Gutachten und Stellungnahmen ab (§ 43 Abs. 4 DSG-EKD).

Ausreichender Datenschutz in der evangelischen Kirche?

Es zeigt sich, dass das DSG-EKD grundsätzlich nicht stark von der DSGVO abweicht. Auch die evangelischen Kirchen sind bestrebt, einen hohen Schutz für personenbezogene Daten zu garantieren. Dennoch zeigt sich, dass es in der Praxis – wie bei vielen Unternehmen – am gelebten Datenschutz hapert. Schwierigkeiten ergeben sich hier durch die dürftig vorhandene Literatur oder gerichtlichen Auseinandersetzung zum kirchlichen Datenschutz, sodass in vielen Bereichen immer noch Unsicherheit herrscht. Zudem zeigt sich wie im weltlichen Datenschutz: Ohne Enforcement erzielt man nur schleppend Compliance. Dass kirchliche Stellen wie Behörden nur Empfänger eines Bußgeldes sein können, wenn sie am Wettbewerb teilnehmen, schränkt die Durchsetzbarkeit der Regeln enorm ein. Bußgelder bei der Evangelischen Kirche bleiben bisher noch ein Fremdwort.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. Vielen Dank für den kompakten und instruktiven Überblick! Ein Hinweis noch zum letzten Satz; dort heißt es, dass Bußgelder für die Evangelische Kirche wie bei der Katholischen Kirche noch Fremdwörter blieben. Tatsächlich sind noch keine Bußgelder im Bereich des DSG-EKD bekannt. Die Transparenz bei den katholischen Aufsichten in dieser Hinsicht ist auch ausbaubar, allerdings sind doch einige verhängte Bußgelder durch Mitteilungen in Tätigkeitsberichten und Entscheidungen der kirchlichen Datenschutzgerichte bekannt. Das bisher höchste bekannte katholische Bußgeld wurde laut aktuellem Tätigkeitsbericht vom Katholischen Datenschutzzentrum Frankfurt verhängt. Bekannt ist allerdings leider nur, dass es in fünfstelliger Höhe war. Grundsätzlich trifft die Einschätzung aber zu: Nach Auswertung aller katholischen Aufsichtsberichte dürfte die Anzahl der bislang verhängten Geldbußen sehr gering sein, wahrscheinlich sogar nur im zweistelligen Bereich.

    • Wir freuen uns über das Lob und den Hinweis. Wir haben uns jetzt dazu entschieden, den Seitenhieb auf die Katholische Kirche im letzten Satz zu streichen, um nicht durch weitere Ausführungen vom ursprünglichen Thema abzuschweifen.

  2. Bußgelder bei Kirchen und Behörden macht nicht wirklich Sinn, da sie letztendlich der Steuerzahler bezahlt. Hier könnte mMn nur eine persönliche Haftung, natürlich mit deutlich geringerer Bußgeldhöhe z.B. max 2 Jahresgehälter, die gewünschte Compliance bringen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.