Die Harmonisierung des Datenschutzrechts durch die DSGVO (2018) hatte auch für Kirchen und religiöse Gemeinschaften unmittelbare Folgen. Das kirchliche Selbstbestimmungsrecht ermöglichte es der katholischen Kirche in Deutschland, mit dem Gesetz über den Kirchlichen Datenschutz (KDG) eigene Regelungen zu schaffen. Dieser Beitrag dient als Kurzüberblick zu den maßgeblichen Besonderheiten und gesetzlichen Standards.
Der Inhalt im Überblick
Kirchlicher Datenschutz im Einklang mit der DSGVO
Erwägungsgrund 165 und Art. 91 DSGVO ermöglichen Kirchen die Schaffung spezifischer Datenschutzregeln, die jedoch die DSGVO-Vorgaben einhalten müssen. Von dieser Ermächtigung wurde Gebrauch gemacht. Das KDG ist das zentrale Datenschutzgesetz der katholischen Kirche in Deutschland und regelt seit 2018 den Umgang mit personenbezogenen Daten in allen katholischen Einrichtungen auf Grundlage kirchlicher und europäischer Datenschutzvorgaben.
Grundsätze der Datenverarbeitung
Das KDG verfolgt das Ziel, die Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere das Recht auf Schutz personenbezogener Daten – bei deren Verarbeitung innerhalb der katholischen Kirche zu wahren und zu schützen. Es soll sicherstellen, dass personenbezogene Daten rechtmäßig, transparent und zweckgebunden verarbeitet werden und damit ein mit der DSGVO vergleichbares Datenschutzniveau im kirchlichen Bereich gewährleisten. Datenminimierung, Speicherbegrenzung und Integrität sind zentrale Prinzipien des KDG und ergeben sich aus § 7 KDG.
Auch bei der Verarbeitung von personenbezogenen Daten durch kirchliche Stellen gilt das Verbot mit Erlaubnisvorbehalt. In § 6 KDG werden zahlreiche Rechtsgrundlagen aufgezählt, die eine Datenverarbeitung rechtfertigen können. Rechtmäßig ist die Datenverarbeitung beispielsweise, wenn das KDG oder eine andere kirchliche oder staatliche Rechtsvorschrift die Verarbeitung erlaubt oder anordnet oder die betroffene Person in die Verarbeitung einwilligt, § 8 KDG.
Viele der in § 6 KDG aufgeführten Rechtsgrundlagen ähneln denen in Art. 6 DSGVO.
Informationspflichten und Betroffenenrechte
Das KDG enthält Regelungen zu den Informationspflichten und den Rechten der Betroffenen. Während § 14 KDG vergleichbar mit Art. 12 DSGVO allgemeine Formvorschriften zur Weitergabe der Informationen an den Betroffenen enthält, regeln die §§ 15 und 16 KDG entsprechend den Art. 13 und 14 DSGVO den Umfang der Pflichten bei einer unmittelbaren bzw. mittelbaren Datenerhebung. Die weiteren Betroffenenrechte sind, wie in der DSGVO, in den nachfolgenden Vorschriften zu finden (§§ 27-25 KDG).
Führen eines Verarbeitungsverzeichnisses
Auch das Führen eines Verarbeitungsverzeichnisses ist im KDG vorgeschrieben. Es unterscheidet, angelehnt an die DSGVO, zwischen dem Verarbeitungsverzeichnis für Verantwortliche und für Auftragsverarbeiter (§ 31 Abs.1 und Abs.2 KDG). Die Pflicht gilt nach § 31 Abs. 5 KDG zunächst nur für Unternehmen oder Einrichtungen, die 250 oder mehr Beschäftigte haben. Eine Pflicht zur Führung der Verzeichnisse besteht auch bei weniger als 250 Mitarbeitenden, wenn:
- durch die Verarbeitung die Rechte und Freiheiten der betroffenen Personen gefährdet werden,
- die Verarbeitung nicht nur gelegentlich erfolgt oder
- die Verarbeitung besondere Datenkategorien beinhaltet.
Die Aufsichtsbehörden interpretieren die Ausnahme restriktiv, um Lücken im Datenschutz zu vermeiden und sehen die Befreiung von der VVT-Pflicht nach Art. 30 Abs. 5 DSGVO in der Praxis häufig als nicht anwendbar an, da bereits die regelmäßige Verarbeitung von Gesundheitsdaten (z. B. durch AU-Bescheinigungen) oder Lohnabrechnungsdaten (die oft indirekt auf Konfessionszugehörigkeiten hinweisen) besondere Kategorien personenbezogener Daten i. S. d. § 11 KDG berührt.
Bestellung eines DSB
Die KDG schreibt die Bestellung eines betrieblichen Datenschutzbeauftragten für die Diözese, die Kirchengemeinden, die Kirchenstiftungen und die Kirchengemeindeverbände gem. § 36 Abs.1 S.1 KDG zwingend vor. Das bedeutet, dass die Bestellung in diesen Fällen unabhängig von der konkreten Mitarbeiterzahl der Stellen erforderlich ist.
Für Einrichtungen – wie den Deutschen Caritasverband oder Diözesan-Caritasverbände – besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten nur bei Vorliegen bestimmter Kriterien. Dies gilt insbesondere, wenn die Kerntätigkeit der kirchlichen Stelle die Verarbeitung besonderer Datenkategorien nach § 12 KDG (z. B. Gesundheitsdaten) umfasst oder mindestens zehn Mitarbeitende kontinuierlich mit der Bearbeitung personenbezogener Daten betraut sind – einschließlich solcher, die ausschließlich in der Aktenverwaltung tätig sind. Die Neuregelung in § 36 Abs. 2 KDG erfasst dabei explizit Personen, die sich „ständig mit der Verarbeitung“ befassen, während die frühere Vorgabe in § 20 Abs. 2 KDO lediglich bei „automatisierter Datenerhebung/-nutzung durch mehr als zehn Personen“ eine Bestellungspflicht auslöste.
Weitere Regelungskomplexe und anwendbare Vorschriften
Das KDG enthält auch zu zahlreichen weiteren Regelungskomplexen Vorschriften, die die Anforderungen der DSGVO berücksichtigen. Dazu zählt beispielsweise die Auftragsverarbeitung (§ 29 KDG), die Vornahme einer Datenschutz-Folgeabschätzung (§ 35 KDG) und die erweiterten Maßnahmen der Datenschutzaufsicht bei Verstößen (§ 47 KDG).
Neben dem KDG existieren im katholischen Bereich weitere Vorschriften, die den Datenschutz ergänzen oder spezielle Bereiche regeln. Dazu zählen beispielsweise besondere kirchliche Regelungen zum Beicht- und Seelsorgegeheimnis, spezifische Datenschutzbestimmungen in einzelnen Bistümern – etwa zum Schutz von Patientendaten in katholischen Krankenhäusern – sowie dienstrechtliche Schweigepflichten für Mitarbeitende, wie sie etwa in den Arbeitsvertragsrichtlinien (AVR-Caritas) festgelegt sind. Auch staatliche Vorschriften, etwa die strafrechtliche Schweigepflicht nach § 203 StGB, gehen dem KDG in bestimmten Fällen vor.
Diese Vorschriften sorgen dafür, dass der Datenschutz in der katholischen Kirche umfassend und differenziert geregelt ist und sowohl kirchliche als auch staatliche Anforderungen berücksichtigt werden.
Eigene Datenschutzgerichtsbarkeit
Die katholische Kirche in Deutschland verfügt über eine eigene Datenschutzgerichtsbarkeit, die auf ihrem verfassungsrechtlich garantierten Selbstbestimmungsrecht und dem besonderen Mandat des Apostolischen Stuhls basiert. Die kirchliche Datenschutzgerichtsbarkeit besteht aus zwei Instanzen: dem Interdiözesanen Datenschutzgericht (IDSG) als erster Instanz mit Sitz in Köln und dem Datenschutzgericht der Deutschen Bischofskonferenz als zweiter Instanz in Bonn.
Diese Gerichte sind zuständig für die Überprüfung von Entscheidungen der kirchlichen Datenschutzaufsichten sowie für gerichtliche Rechtsbehelfe von betroffenen Personen gegen Verantwortliche oder Auftragsverarbeiter innerhalb der Kirche. Die katholische Datenschutzgerichtsbarkeit ist damit ein eigenständiges System, das dem unionsrechtlichen Rahmen der EU-DSGVO entspricht, aber zunächst innerkirchliche Rechtswege vorsieht, bevor staatliche Gerichte angerufen werden können.
Nicht alles Neu macht das KDG
Das Kriterium des „Einklangs“ hat in der Praxis einen großen Vorteil: Das katholische Datenschutzrecht in Deutschland bietet ein eigenständiges, jedoch an die DSGVO angepasstes Regelwerk, das die besonderen Anforderungen kirchlicher Arbeit berücksichtigt. Es schützt die Rechte der Betroffenen umfassend und wird kontinuierlich weiterentwickelt, um aktuellen gesellschaftlichen und technischen Herausforderungen gerecht zu werden.
Sie haben die Evangelische Kirche übersehen. Das Kirchengesetz über den Datenschutz gibt es seit 1977. Es wurde 1994, 2002 und 2013 jeweils aktualisiert. Betriebsbeauftragte du örtlich Beauftragte für den Datenschutz gibt es schon lange. Seit 2015 auch den Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland (EKD) in Hannover. Seine Stelle berät und beaufsichtigt die örtlich Beauftragten.
Auch hier wurde das neue EKD-Datenschutzgesetz – DSG-EKD am 15. November 2017 beschlossen. „In Wahrnehmung des (verfassungsrechtlich garantierten) Rechts stellt dieses Kirchengesetz den Einklang mit der Datenschutz-Grundverordnung her und regelt die Datenverarbeitung im kirchlichen und diakonischen Bereich.“
https://www.kirchenrecht-ekd.de/document/39740
https://datenschutz.ekd.de
Arbeitshilfen und Schulungsangebote u.a. gibt es hier
Vielen Dank für den Hinweis zu den Arbeitshilfen. Wir haben die Evangelische Kirche natürlich nicht übersehen. Der vorliegende Beitrag zeigt den Umsetzungsbedarf des kirchlichen Datenschutz lediglich exemplarisch am KDG. Die evangelische Kirche ist in gleicher Weise mit der Umsetzung der Datenschutz-Grundverordnung konfrontiert und hat deswegen – wie von ihnen geschrieben – ebenfalls ein neues Datenschutzgesetz beschlossen.
Hallo,
werden Krankenhäuser in Trägerschaft der katholischen Kirche eigentlich auch von irgendeiner Behörde geprüft? Ich arbeite in einem kath. Krankenhaus und hier gibt es keinen Datenschutz.
In diesem Fall wäre die zuständige Behörde der Diözesandatenschutzbeauftragte des jeweiligen Bistums. Eine Übersicht über deren Anschriften für Hinweise und Beschwerden finden Sie hier.
Mein kath. Arbeitgeber (Bildungsinstitut) hat allen Mitarbeiter eine neue zu unterschreibenden Verschwiegenheitserklärung vorgelegt.
Neben der üblichen Belehrung über die strafrechtliche Folgen bei fahrlässigem oder groben Verstoß beinhaltet diese Erklärung auch eine Übernahmeverpflichtung des Mitarbeiters bei zivilrechtlichen Schadensersatzforderung gegen den Arbeitgeber bis zu 500.000 €.
In dem Falle kann der Arbeitgeber eine entsprechende Schadensersatzforderung an ihn an den betreffenden Mitarbeiter weiterleiten. Interessanterweise hält die MAV diese „neue“ Regelung für in Ordnung.
Ist eine private Schadensersatzpflicht wirklich mit dem KDG vereinbar.?
Der Schwerpunkt dieser Frage liegt vor allem im Zivil- und Arbeitsrecht.
Leider können wir im Rahmen der Beantwortung der Kommentare zu den Blogartikeln nicht auf arbeitsrechtliche bzw. zivilrechtliche Fragestellungen eingehen. Vielen Dank für Ihr Verständnis.
Wie sieht es mit der Veröffentlichung von Kindernamen bei der Erstkommunion aus, die dann noch mit einem Gruppenbild in Verbindung gebracht werden. Ist so etwas in Ordnung und wird da eine Einverständniserklärung erforderlich?
Für die Veröffentlichung von Fotos und Namen von Kindern im Rahmen der Erstkommunion ist in der Regel eine Einwilligung erforderlich.
Mein Kind wird von einer Frühförderstelle betreut und bekommt dort Therapie. Ich muss eine Datenschutzerklärung unterschreiben, ansonsten kann keine Therapie statt finden. Wenn ich die Unterschrift widerrufe, wird ebenfalls Therapie abgebrochen – ist das rechtens??
Danke
Frühförderstellen verarbeiten neben normalen personenbezogenen Daten auch besondere Kategorien personenbezogener Daten (insbesondere Gesundheitsdaten). Die Voraussetzungen, unter denen Gesundheitsdaten verarbeitet werden dürfen, sind wesentlich strenger als die Voraussetzungen für die Verarbeitung gewöhnlicher personenbezogener Daten. Eine Möglichkeit, die die Frühförderstelle zur Verarbeitung von Gesundheitsdaten befugt, ist die Einwilligung der betroffenen Person bzw. der Erziehungsberechtigten (Art. 9 Abs. 2 lit. a DSGVO oder in der entsprechenden Norm der evangelischen oder katholischen Kirche). Eine datenschutzrechtliche Einwilligungserklärung kann jederzeit widerrufen werden. Ist einer Frühförderstelle die Durchführung ihrer Tätigkeiten nicht mehr möglich, weil die erforderlichen Informationen nach widerrufener Einwilligungserklärung nicht mehr erhobene werden dürfen, kann die Frühförderstelle ihre Arbeit nicht fortsetzen.
Da der Bereich der Frühförderung ausführlich in den Sozialgesetzbüchern geregelt ist und die durch die Frühförderstelle erhobenen Daten als Sozialdaten dem Sozialgeheimnis unterfallen, wäre, im Falle der Inanspruchnahme der Leistungen einer Frühförderstelle, die Verarbeitung der für die Frühförderung erforderlichen Gesundheitsdaten voraussichtlich sogar auch ohne vorherige Einwilligung zulässig – was im Einzelfall zu prüfen wäre.
Die Geschäftsführerin als Verantwortlicher oder Auftragsverarbeiter beim Sozialdienst katholischer Frauen e.V. (SkF) hat von einem anderen, ein gegen die guten Sitten sittenwidriges Rechtsgeschäft angenommen (§ 48 Abs. 2 Satz 3 VwVfG) und die Betroffenenrechte (Kapitel 3 KDG/DSGVO) der betroffenen Person und des minderjährigen Kindes ausgeschlossen. Aufgrund der unbefugten Offenlegung und dem unbefugten Zugang zu personenbezogenen Daten wurde ich und mein Sohn in den eigenen Grundrechten und Grundfreiheiten verletzt. Datenschutzverletzung nach Artikel 4 Nr. 12 DSGVO.
Vielen Dank für Ihr Interesse an unseren Artikeln und den persönlichen Erfahrungsbericht. Vorsorglich weisen wir darauf hin, dass wir keine Rechtsberatung über diesen Blog vornehmen, und empfehlen Ihnen, sich bei Bedarf an entsprechende Stellen zu wenden.