Die Vereinheitlichung des Datenschutzrechts durch die Datenschutz-Grundverordnung (DSGVO) wirkt sich auch auf die Kirche und religiöse Vereinigungen aus. Mit dem folgenden Beitrag geben wir einen kurzen Überblick über das Kirchliche Datenschutzgesetz (KDG) der katholischen Kirche.
Kirchlicher Datenschutz im Einklang mit der DSGVO
Kirchen und religiösen Vereinigungen oder Gemeinschaften dürfen nach Art. 91 DSGVO und Erwägungsgrund 165 umfassende Regelungen zum Datenschutz erlassen. Die Regelungen müssen allerdings im Einklang mit der Datenschutz-Grundverordnung stehen. Um die Anforderung zu erfüllen hat die katholische Kirche am 20.11.2017 die Inkraftsetzung des neuen Kirchlichen Datenschutzgesetzes (KDG) beschlossen, das am 24.5.2018 in Kraft tritt. Es löst die bisherige Anordnung über den kirchlichen Datenschutz (KDO) ab und berücksichtigt alle Neuerung des künftigen europäischen Datenschutzrechts. Für die Dienststellen und Einrichtungen ist damit ein hoher Anpassungsbedarf verbunden. Im Folgenden gehen wir auf einige Regelungskomplexe näher ein.
Bestellung eines Datenschutzbeauftragten
Die Kirchliche Datenschutzgesetz schreibt die Bestellung eines betrieblichen Datenschutzbeauftragten für die Diözese, die Kirchengemeinden, die Kirchenstiftungen und die Kirchengemeindeverbände gem. § 36 Abs.1 S.1 KDG zwingend vor. Das bedeutet, dass die Bestellung in diesen Fällen unabhängig von der konkreten Mitarbeiterzahl der Stellen erforderlich ist.
Für andere kirchliche Stellen wie z.B. den Deutschen Caritasverband und die Diözesan-Caritasverbände ist die Bestellung hingegen nur unter bestimmten Voraussetzungen vorgeschrieben. Erforderlich ist eine Bestellung beispielsweise, wenn die Kerntätigkeit der kirchlichen Stelle in der Verarbeitung besonderer Kategorien von personenbezogener Daten besteht oder wenn mindestens zehn Personen mit der Verarbeitung personenbezogener Informationen beschäftigt sind. Anders als nach bisherigem Recht zählen zu den Personen auch solche Mitarbeiter, die nur in der Aktenverwaltung tätig sind. Denn § 36 Abs.2 KDG spricht von Personen, die sich „ständig mit der Verarbeitung personenbezogener Daten beschäftigen“ wohingegen die bisherige Regelung in § 20 Abs.2 KDO eine Bestellung eines Datenschutzbeauftragten nur bei einer „automatisierten Datenerhebung, -verarbeitung oder -nutzung mehr als zehn Personen“ forderte.
Die Bestellpflicht hat sich somit auch im kirchlichen Bereich erheblich erweitert.
Verzeichnis der Verarbeitungstätigkeiten
In Angleichung an die Datenschutz-Grundverordnung unterscheidet auch das Kirchliche Datenschutzgesetz zwischen dem Verarbeitungsverzeichnis für Verantwortliche und für Auftragsverarbeiter (§ 31 Abs.1 und Abs.2 KDG). Die Pflicht gilt nach § 31 Abs.5 KDG zunächst nur für Unternehmen oder Einrichtungen, die 250 oder mehr Beschäftigte haben. Eine Pflicht zur Führung der Verzeichnisse besteht auch bei weniger als 250 Mitarbeitern, wenn durch die Verarbeitung die Rechte und Freiheiten der betroffenen Personen gefährdet werden, die Verarbeitung nicht nur gelegentlich erfolgt oder die Verarbeitung besondere Datenkategorien beinhaltet.
Außerhalb des kirchlichen Bereichs zeichnet sich bereits ab, dass die Aufsichtsbehörden selten von einer Befreiung zur Führung des Verzeichnisses ausgehen. Begründet wird dies damit, dass es im Rahmen von Beschäftigungsverhältnissen regelmäßig zur Verarbeitung von Gesundheitsdaten (z.B. in Zusammenhang mit AU-Bescheinigungen) kommt und somit fast immer auch besondere Kategorien personenbezogener Daten verarbeitet werden. Diese Auffassung lässt sich voraussichtlich auch auf den kirchlichen Bereich übertragen. Es bleibt aber abzuwarten, wie sich die kirchlichen Aufsichtsorgane hierzu positionieren.
Rechtsgrundlagen zur Verarbeitung personenbezogener Daten
Auch bei der Verarbeitung von personenbezogenen Daten durch kirchliche Stellen gilt das Verbot mit Erlaubnisvorbehalt. In § 6 KDG werden zahlreiche Rechtsgrundlagen aufgezählt, die eine Datenverarbeitung rechtfertigen können. Rechtmäßig ist die Datenverarbeitung z.B. wenn das KDG oder eine andere kirchliche oder staatliche Rechtsvorschrift die Verarbeitung erlaubt oder anordnet oder die betroffene Person in die Verarbeitung einwilligt. Viele der dort aufgeführten Rechtsgrundlagen ähneln denen in Art. 6 DSGVO.
Informationspflichten und Betroffenenrechte
Zur Angleichung an die Vorgaben der Datenschutz-Grundverordnung enthält auch das Kirchliche Datenschutzgesetz Regelungen zu den Informationspflichten und den Rechten der Betroffenen. Während § 14 KDG vergleichbar mit Art. 12 DSGVO allgemeine Formvorschriften zur Weitergabe der Informationen an den Betroffenen enthält, regeln die §§ 15 und 16 KDG entsprechend den Art. 13 und 14 DSGVO den Umfang der Pflichten bei einer unmittelbaren bzw. mittelbaren Datenerhebung.
In den §§ 17 bis 25 KDG finden sich die Betroffenenrechte. Es fand in diesem Zusammenhang eine erhebliche Ausweitung in Übereinstimmung mit der DSGVO statt. Zu den Betroffenenrechten gehört u.a. das Recht auf Auskunft (§ 17 KDG), das Recht auf Berichtigung (§ 18 KDG) und das Recht auf Löschung (§ 19 KDG).
Weitere Regelungskomplexe
Das Kirchliche Datenschutzgesetz enthält auch zu zahlreichen weiteren Regelungskomplexen Vorschriften, die die Anforderungen der Datenschutz-Grundverordnung berücksichtigen. Dazu zählt beispielsweise
- die Auftragsverarbeitung (§ 29 KDG),
- die Vornahme einer Datenschutz-Folgeabschätzung (§ 35 KDG) und
- die erweiterten Maßnahmen der Datenschutzaufsicht bei Verstößen (§ 47 KDG).
Viel Anpassungsbedarf
Das neue kirchliche Datenschutzgesetz bringt eine Vielzahl von Aufgaben für den kirchlichen Bereich mit sich. Zur Vorbereitung auf die neue Gesetzeslage hat der Arbeitskreis der Diözesandatenschutzbeauftragten zahlreiche Praxishilfen erstellt. Diese Leitlinien können bei der Umsetzung der vielen Anforderungen unterstützen.
Über den Autor
Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:
Sie haben die Evangelische Kirche übersehen. Das Kirchengesetz über den Datenschutz gibt es seit 1977. Es wurde 1994, 2002 und 2013 jeweils aktualisiert. Betriebsbeauftragte du örtlich Beauftragte für den Datenschutz gibt es schon lange. Seit 2015 auch den Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland (EKD) in Hannover. Seine Stelle berät und beaufsichtigt die örtlich Beauftragten.
Auch hier wurde das neue EKD-Datenschutzgesetz – DSG-EKD am 15. November 2017 beschlossen. „In Wahrnehmung des (verfassungsrechtlich garantierten) Rechts stellt dieses Kirchengesetz den Einklang mit der Datenschutz-Grundverordnung her und regelt die Datenverarbeitung im kirchlichen und diakonischen Bereich.“
https://www.kirchenrecht-ekd.de/document/39740
https://datenschutz.ekd.de
Arbeitshilfen und Schulungsangebote u.a. gibt es hier
Vielen Dank für den Hinweis zu den Arbeitshilfen. Wir haben die Evangelische Kirche natürlich nicht übersehen. Der vorliegende Beitrag zeigt den Umsetzungsbedarf des kirchlichen Datenschutz lediglich exemplarisch am KDG. Die evangelische Kirche ist in gleicher Weise mit der Umsetzung der Datenschutz-Grundverordnung konfrontiert und hat deswegen – wie von ihnen geschrieben – ebenfalls ein neues Datenschutzgesetz beschlossen.
Hallo,
werden Krankenhäuser in Trägerschaft der katholischen Kirche eigentlich auch von irgendeiner Behörde geprüft? Ich arbeite in einem kath. Krankenhaus und hier gibt es keinen Datenschutz.
In diesem Fall wäre die zuständige Behörde der Diözesandatenschutzbeauftragte des jeweiligen Bistums. Eine Übersicht über deren Anschriften für Hinweise und Beschwerden finden Sie hier.
Mein kath. Arbeitgeber (Bildungsinstitut) hat allen Mitarbeiter eine neue zu unterschreibenden Verschwiegenheitserklärung vorgelegt.
Neben der üblichen Belehrung über die strafrechtliche Folgen bei fahrlässigem oder groben Verstoß beinhaltet diese Erklärung auch eine Übernahmeverpflichtung des Mitarbeiters bei zivilrechtlichen Schadensersatzforderung gegen den Arbeitgeber bis zu 500.000 €.
In dem Falle kann der Arbeitgeber eine entsprechende Schadensersatzforderung an ihn an den betreffenden Mitarbeiter weiterleiten. Interessanterweise hält die MAV diese „neue“ Regelung für in Ordnung.
Ist eine private Schadensersatzpflicht wirklich mit dem KDG vereinbar.?
Der Schwerpunkt dieser Frage liegt vor allem im Zivil- und Arbeitsrecht.
Leider können wir im Rahmen der Beantwortung der Kommentare zu den Blogartikeln nicht auf arbeitsrechtliche bzw. zivilrechtliche Fragestellungen eingehen. Vielen Dank für Ihr Verständnis.
Wie sieht es mit der Veröffentlichung von Kindernamen bei der Erstkommunion aus, die dann noch mit einem Gruppenbild in Verbindung gebracht werden. Ist so etwas in Ordnung und wird da eine Einverständniserklärung erforderlich?
Für die Veröffentlichung von Fotos und Namen von Kindern im Rahmen der Erstkommunion ist in der Regel eine Einwilligung erforderlich.
Mein Kind wird von einer Frühförderstelle betreut und bekommt dort Therapie. Ich muss eine Datenschutzerklärung unterschreiben, ansonsten kann keine Therapie statt finden. Wenn ich die Unterschrift widerrufe, wird ebenfalls Therapie abgebrochen – ist das rechtens??
Danke
Frühförderstellen verarbeiten neben normalen personenbezogenen Daten auch besondere Kategorien personenbezogener Daten (insbesondere Gesundheitsdaten). Die Voraussetzungen, unter denen Gesundheitsdaten verarbeitet werden dürfen, sind wesentlich strenger als die Voraussetzungen für die Verarbeitung gewöhnlicher personenbezogener Daten. Eine Möglichkeit, die die Frühförderstelle zur Verarbeitung von Gesundheitsdaten befugt, ist die Einwilligung der betroffenen Person bzw. der Erziehungsberechtigten (Art. 9 Abs. 2 lit. a DSGVO oder in der entsprechenden Norm der evangelischen oder katholischen Kirche). Eine datenschutzrechtliche Einwilligungserklärung kann jederzeit widerrufen werden. Ist einer Frühförderstelle die Durchführung ihrer Tätigkeiten nicht mehr möglich, weil die erforderlichen Informationen nach widerrufener Einwilligungserklärung nicht mehr erhobene werden dürfen, kann die Frühförderstelle ihre Arbeit nicht fortsetzen.
Da der Bereich der Frühförderung ausführlich in den Sozialgesetzbüchern geregelt ist und die durch die Frühförderstelle erhobenen Daten als Sozialdaten dem Sozialgeheimnis unterfallen, wäre, im Falle der Inanspruchnahme der Leistungen einer Frühförderstelle, die Verarbeitung der für die Frühförderung erforderlichen Gesundheitsdaten voraussichtlich sogar auch ohne vorherige Einwilligung zulässig – was im Einzelfall zu prüfen wäre.