Headergrafik See

–––

Kirchlicher Datenschutz

––– Die tägliche Arbeit in einer Kirchengemeinde sowie in anderen kirchlichen Institutionen und Einrichtungen bringt die Verarbeitung einer Vielzahl personenbezogener Daten mit sich. So verarbeiten die Kirchen etwa personenbezogene Daten ihrer Amtsträger, Mitglieder, Beschäftigten, Ehrenamtlichen und Spender*innen.

Aber auch personenbezogene Daten von Kindern und Eltern in kirchlichen Kindertageseinrichtungen und Schulen sowie teilweise hochsensible Daten von Patient*innen in kirchlichen Krankenhäusern und Beratungsstellen werden verarbeitet. Vor diesem Hintergrund wird klar, dass Datenschutz und Datensicherheit in kirchlichen Institutionen und Einrichtungen von besonderer Bedeutung sind. Zu beachten ist dabei, dass sowohl die katholische als auch die evangelische Kirche in Deutschland eigene Datenschutzvorschriften erlassen haben und die europäische Datenschutzgrundverordnung (DSGVO) sowie das deutsche Bundesdatenschutzgesetz (BDSG) nur eingeschränkt Anwendung finden.

In den folgenden Abschnitten gehen wir auf Hintergründe und Besonderheiten des kirchlichen Datenschutzes in Deutschland ein und erläutern, wie wir Sie mit unserer langjährigen Erfahrung im kirchlichen Datenschutz unterstützen können.

Zielgruppe

  • Institutionen und Einrichtungen der evangelischen und katholischen Kirche, die Beratung im kirchlichen Datenschutz benötigen.
  • Kirchliche Stellen, die einen Datenschutzbeauftragten bestellen müssen.
  • Interne und externe Datenschutzbeauftragte einer kirchlichen Stelle, die sich Unterstützung in (datenschutz-)rechtlichen Fragestellungen wünschen.

Wie helfen wir Ihnen weiter?

Obwohl die Einhaltung der kirchlichen Datenschutzvorschriften eine hohe Bedeutung hat, ist uns bewusst, dass der Schwerpunkt Ihrer Arbeit in anderen Bereichen liegt. Wir fokussieren uns daher auf eine professionelle und effiziente Beratung mit klaren Empfehlungen, die auch für Nicht-Juristen verständlich sind.
Dabei bieten wir Ihnen unter anderem folgende Leistungen:

  • Professionelle datenschutzrechtliche Beratung durch eine zugelassene Rechtsanwaltsgesellschaft
  • Beratung in speziellen Fragen des kirchlichen Datenschutzrechts
  • Übernahme der Position als externer Datenschutzbeauftragter
  • Unterstützung des internen Datenschutzbeauftragten
  • Erstellung oder Optimierung eines individuellen und effizienten Datenschutzkonzepts
  • Bereitstellung datenschutzrechtlicher Dokumentationen
  • Erstellung von Richtlinien zu Datenschutz und Datensicherheit
  • Durchführung von Schulungen und Vorträgen zum kirchlichen Datenschutz
  • Unterstützung bei der Kommunikation mit den kirchlichen Aufsichtsbehörden
  • Erstellung einer Datenschutzerklärung für die Website
  • Rechtssichere Durchführung von Fundraising-Maßnahmen
  • Datenschutzkonforme Umsetzung von Pfarr- und Gemeindebriefen
  • Unterstützung bei der Umsetzung von gesetzlichen Änderungen
Eine Frau am Smartphone und Berge

Ihre Vorteile durch eine anwaltliche Beratung für kirchlichen Datenschutz

  • Kompetenz und langjährige Erfahrung im kirchlichen Datenschutz
  • Erfüllung der Anforderungen des kirchlichen Datenschutzes
  • Der Einsatz eines neutralen Beraters vermeidet Interessenkonflikte
  • Eine Bildung unnötiger interner Strukturen entfällt
  • Es entstehen keine zusätzlichen Aus- und Fortbildungskosten
  • Berücksichtigung der Besonderheiten Ihrer kirchlichen Einrichtung
  • Handlungsraum für neue Ideen
  • Effiziente und nachhaltige Lösungen
  • Rechtssicherheit über die Zulässigkeit aktueller und künftiger Handlungen
  • Perspektivenwechsel
  • Aktuelles Know-how je nach Bedarf abrufbereit
  • Risikominimierung von Datenpannen
  • Aufdeckung von Schwachstellen
  • Hilfestellung bei schwierigen Fragen außerhalb des Tagesgeschäfts
  • Kurzfristige Hilfestellung bei akuten Problemen
  • Kalkulierbare Kosten per pauschaler oder einzelfallbezogener Leistungsabrechnung
  • Auch für Nicht-Juristen verständliche und praktisch anwendbare Arbeitshilfen für den täglichen Einsatz
  • Praxiserfahrung auch in angrenzenden Rechtsgebieten
  • Erfahrung in der Kommunikation mit den Aufsichtsbehörden

–––

Im Rahmen unserer Leistungen bieten wir Ihnen ab sofort eine anwaltliche Beratung rund um das Thema kirchliches Datenschutzrecht an.

–––

Welche Datenschutzgesetze gibt es in der Evangelischen Kirche?

––– Am 24. Mai 2018 ist das neue Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) in Kraft getreten, das als übergeordnetes Gesetz für evangelische Kirchen Geltung hat. Ergänzende Regelungen, die von einzelnen Gliedkirchen erlassen werden, müssen an dieses Gesetz angepasst werden.

–––

Welche Datenschutzgesetze gibt es in der Katholischen Kirche?

––– Im Bereich der Katholischen Kirche ist das Gesetz über den Kirchlichen Datenschutz (KDG) die wichtigste Rechtsquelle des kirchlichen Datenschutzrechts.

Es ist ebenfalls am 24. Mai 2018 in Kraft getreten und ersetzt die zuvor geltende Anordnung über den kirchlichen Datenschutz (KDO). Auch die Durchführungsverordnung zur KDO wurde abgelöst durch die neue Durchführungsverordnung zum KDG, welche zum 01.03.2019 in Kraft trat.

–––

Für wen gilt das kirchliche Datenschutzrecht?

––– Für die Evangelischen Kirche schreibt § 2 Abs.1 S.1 DSG-EKD vor, dass das DSG-EKD Anwendung findet auf die Verarbeitung personenbezogener Daten durch:

  • die Evangelische Kirche in Deutschland,
  • die Gliedkirchen und die gliedkirchlichen Zusammenschlüsse,
  • alle weiteren kirchlichen juristischen Personen des öffentlichen Rechts sowie die ihnen zugeordneten kirchlichen und diakonischen Dienste, Einrichtungen und Werke ohne Rücksicht auf deren Rechtsform.

––– Im Bereich der Katholischen Kirche findet das KDG gemäß § 3 Abs.1 KDG Anwendung auf die Verarbeitung personenbezogener Daten durch folgende kirchliche Stellen:

  • die Diözese, die Kirchengemeinden, die Kirchenstiftungen und die Kirchengemeindeverbände,
  • den Deutschen Caritasverband, die Diözesan-Caritasverbände, ihre Untergliederungen und ihre Fachverbände ohne Rücksicht auf ihre Rechtsform,
  • die kirchlichen Körperschaften, Stiftungen, Anstalten, Werke, Einrichtungen und die sonstigen kirchlichen Rechtsträger ohne Rücksicht auf ihre Rechtsform.

–––

In welchem Verhältnis stehen DSGVO und kirchlicher Datenschutz?

––– Im Hinblick auf das verfassungsrechtlich garantierte Selbstbestimmungsrecht der öffentlich-rechtlichen Kirchen in Deutschland (Art. 140 GG i.V.m. Art. 137 Abs.3 WRV) gelten die europäischen und nationalen Vorschriften für die Kirchen nur sehr eingeschränkt.

Art. 91 Abs.1 DSGVO gestattet den Kirchen und anderen Religionsgemeinschaften die Beibehaltung des eigenen Datenschutzrechts, wenn schon zum Zeitpunkt des Inkrafttretens der DSGVO ein eigenes umfassendes Datenschutzrecht bestanden hat und dieses in Einklang mit der DSGVO gebracht wird.

In Deutschland verfügten sowohl die katholische als auch die evangelische Kirche zum Zeitpunkt des Inkrafttretens der DSGVO über umfassende Regelungen im Datenschutz. Allerdings mussten die bisherigen Regelungen überarbeitet und so an die DSGVO angepasst werden, dass sie im Einklang mit der DSGVO stehen.

–––

Warum sind eigene kirchliche Gesetze zum Datenschutz nötig?

––– Die eigenen Vorschriften der evangelischen und katholischen Kirche zum kirchlichen Datenschutz sind Ausdruck des Selbstbestimmungsrechts der öffentlich-rechtlich organisierten Kirchen (Art. 140 GG i.V.m. Art. 137 Abs.3 WRV).

Gleichzeitig erfüllen sie die besonderen Anforderungen der Kirchen. Die Kirchen verfügen nicht nur über eine komplexe, vom Staat unabhängige Struktur, sondern verarbeiten auch personenbezogene Daten in vielen Situationen, die sich vom weltlichen Leben unterscheiden. Dies umfasst beispielsweise die Seelsorge, die Verlesung von Daten in Gottesdiensten, die Amtshandlungen und unzählige kirchliche Einrichtungen wie Krankenhäuser, Kindertages- und Pflegeeinrichtungen sowie kirchliche Hilfswerke. Auf die besonderen Anforderungen und Strukturen kann am besten durch ein eigenes kirchliches Gesetz zum Datenschutz eingegangen werden, das die besonderen Verarbeitungssituationen aufgreift und Regelungen trifft, die an die Bedürfnisse und Strukturen der Kirchen angepasst sind.

–––

Ist der kirchliche Datenschutz ernst zu nehmen?

––– In den kirchlichen Institutionen und Einrichtungen werden mit Bereichen wie Kinder und Jugendliche, Trauungen und religiöse Bekenntnisse, aber auch Seelsorge und Trauerbegleitung oftmals hochsensible Themen behandelt.

Die dabei verarbeiteten Daten und besonders die dahinterstehenden Personen verdienen daher einen besonderen Schutz. Schließlich dient der kirchliche Datenschutz im Kern der freien Entfaltung der Persönlichkeit eines jeden Menschen. Aus den besonderen Verarbeitungssituation im kirchlichen Leben wird deutlich, dass ein eigenes Gesetz zum kirchlichen Datenschutz nicht nur sinnvoll und nötig ist, sondern auch ernst zu nehmen und unbedingt einzuhalten ist. Teilweise sind die Regelungen der kirchlichen Datenschutzgesetze auch strenger als die Vorgaben der DSGVO.

–––

Müssen die Kirchen einen Datenschutzbeauftragten bestellen?

––– Mit der Einführung der neuen kirchlichen Datenschutzgesetze kann sich mitunter auch die Verpflichtung zur Bestellung eines Datenschutzbeauftragten erheblich erweitert haben.

So schreibt § 36 Abs.1 S.1 KDG für den Bereich der Katholischen Kirche vor, dass alle kirchlichen Diözesen, die Kirchengemeinden, die Kirchenstiftungen und die Kirchengemeindeverbände einen Datenschutzbeauftragten benennen müssen. Dies gilt unabhängig von der Zahl ihrer Mitarbeiter. Andere kirchliche Stellen, z.B. der Caritasverband und kirchliche Stiftungen, müssen einen Datenschutzbeauftragten benennen, wenn:

  • sich bei ihnen in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen,
  • ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder
  • ihre Kerntätigkeit in der umfangreichen Verarbeitung von Daten gemäß §§ 11, 12 KDG besteht.

 

Gemäß § 36 Abs.5 KDG kann auch ein externer Berater als Datenschutzbeauftragter benannt werden.

Im Bereich der Evangelischen Kirche ist gemäß § 36 Abs.1 S.1 DSG-EKD bei einer verantwortlichen Stelle ein Datenschutzbeauftragter zu bestellen, wenn:

  • in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind oder
  • die Kerntätigkeit der verantwortlichen Stelle in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht.

 

Auch hier ist die Beauftragung eines externen Beraters als Datenschutzbeauftragter möglich (§ 36 Abs.5 S.2 DSG-EKD).

–––

Welche Aufsichtsbehörden sind zuständig?

––– Die Benennung eines EU-Vertreters schließt gemäß Art. 27 Abs.5 DSGVO nicht aus, dass erforderliche rechtliche Schritte unmittelbar gegen den Verantwortlichen oder den Auftragsverarbeiter gerichtet werden.

Das Vorhandensein eines EU-Vertreters berührt die Verantwortung und Haftung der datenverarbeitenden Stelle nicht. Betroffene Personen und Aufsichtsbehörden haben bei Datenschutzverletzungen somit die Wahl, ob sie sich an den EU-Vertreter oder den Verantwortlichen oder Auftragsverarbeiter selbst wenden.

Setzt sich der EU-Vertreter nach Art. 27 DSGVO jedoch über das Mandat des beauftragenden außereuropäischen Unternehmens hinweg, macht er sich im Innenverhältnis haftbar. Der Auftraggeber muss sich das Handeln seines Vertreters im Außenverhältnis allerdings zurechnen lassen. Dies gilt auch für zivilrechtliche Schadensersatzansprüche von betroffenen Personen. Der EU-Vertreter nach Art. 27 DSGVO selbst ist nur dann Adressat aufsichtsbehördlicher Bußgelder, wenn er selbst gegen das Datenschutzrecht verstößt.

–––

Welche Konsequenzen drohen, wenn ein erforderlicher EU-Vertreter nach Art. 27 DSGVO nicht benannt wird?

––– Art. 91 Abs.2 DSGVO sieht die Möglichkeit einer speziellen Datenschutzaufsicht vor. KDG und DSG-EKD schreiben eine Einrichtung kirchlicher Aufsichtsbehörden vor.

Dies soll eine unabhängige Datenschutzaufsicht ermöglichen, ohne dass der Staat in die internen kirchlichen Angelegenheiten eingreift. An die Aufsichtsbehörden kann man sich mit Anfragen und Beschwerden datenschutzrechtlicher Art wenden. Bei der Katholischen Kirche agieren die Diözesandatenschutzbeauftragten als Leiter der Datenschutzaufsicht (§ 42 Abs.1 KDG). Bei der Evangelischen Kirche haben die Beauftragten für den Datenschutz die Leitung der Datenschutzaufsicht inne (§ 39 Abs.1 DSG-EKD).

–––

Welche Geldbußen drohen bei Verstößen gegen den kirchlichen Datenschutz?

––– Auch im Bereich des kirchlichen Datenschutzes drohen bei einem Verstoß gegen die einschlägigen kirchlichen Datenschutzvorschriften empfindliche Geldbußen. Allerdings fallen diese niedriger aus als in der DSGVO.

So ist im Bereich des kirchlichen Datenschutzes das maximale Bußgeld einheitlich auf 500.000 EUR begrenzt (§ 45 Abs.5 DSG-EKD bzw. § 51 Abs.5 KDG). Außerdem schränken die kirchlichen Datenschutzvorschriften den Kreis der Adressaten der Geldbußen ein. Gemäß § 51 Abs.6 KDG werden keine Geldbußen gegen öffentlich-rechtlich verfasste kirchlichen Stellen verhängt, es sei denn, sie nehmen als Unternehmen am Wettbewerb teil. Im Bereich der Evangelischen Kirche werden Geldbußen nur verhängt, wenn die verantwortliche Stelle als Unternehmen am Wettbewerb teilnimmt (§ 45 Abs.1 S.2 DSG-KD).

–––

Im Rahmen unserer Leistungen bieten wir Ihnen ab sofort eine anwaltliche Beratung rund um das Thema kirchliches Datenschutzrecht an.