Datenschutz in der Kirche – geht es darum mögliche Datenschutzsünden zu beichten? In der Theorie ist das denkbar, in der Praxis dürfte das weniger bedeutend sein. Für die Kirchen in Deutschland gelten selbstverständlich auch Datenschutzgesetze. Das Beichtgeheimnis ist dabei eine spezielle Regelung. Wenn kirchliche Stellen personenbezogene Daten verarbeiten, so müssen sie sich ebenfalls an kirchliches Datenschutzgesetz halten. Welche sind das genau?
Gilt die DS-GVO für kirchliche Stellen?
Wer kirchliche Stellen im Datenschutz betreut, hört von Mitarbeitenden immer wieder die Aussage, dass „man sich ja an die Datenschutz-Grundverordnung (DS-GVO) halten müsse“. Das stimmt so nur teilweise. Auch das Bundesdatenschutzgesetz (BDSG) findet für kirchliche Einrichtungen keine direkte Anwendung. In der DS-GVO gibt es den Artikel 91 mit Regelungen zu Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Religionsgemeinschaften. Sofern diese bereits eigene Datenschutzregeln hatten bevor die DS-GVO in Kraft trat, so dürfen sie diese weiterhin anwenden. Grundbedingung ist, dass sie im Einklang mit der DS-GVO sind.
Für die Evangelische Kirche gilt das DSG-EKD – für die Katholische Kirche das KDG
Sowohl die Evangelische Kirche in Deutschland als auch die Bistümer der Katholischen Kirche in Deutschland sind dem nachgekommen und passten ihre bestehenden Regelungen an die DS-GVO an. Für die Evangelische Kirche in Deutschland gilt das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) und für die Katholische Kirche in Deutschland mit den Diözesen das Gesetz über den Kirchlichen Datenschutz (KDG). Beide Gesetze lehnen sich inhaltlich stark an die DS-GVO an. Der Aufbau ist in beiden Fällen sehr ähnlich und die wesentlichen Bestimmungen entsprechen weitestgehend der DS-GVO. Die Fragen, für wen bzw. für welche Stellen die beiden Gesetze gelten, haben wir in Lexikonbeiträgen zum DSG-EKD und zum KDG beantwortet.
Warum gibt es überhaupt eigene kirchliche Datenschutzgesetze?
Dieses besondere Privileg geht auf die Weimarer Reichsverfassung bzw. offiziell die Verfassung des Deutschen Reichs (WRV) zurück. Die Religionsgesellschaften dürfen nach Art. 137 Abs. 3 WRV ihre Angelegenheiten selbständig innerhalb der geltenden Gesetze regeln. Somit darf die Kirche auch heute noch den Datenschutz unter Berücksichtigung der DS-GVO selbst regeln. Wer mehr über die Kirchengerichtsbarkeit in der Evangelischen Kirche erfahren möchte, findet hier einen hilfreichen Beitrag.
Was schützen das DSG-EKD und das KDG?
Beide Gesetze haben den gleichen Zweck: Personen davor zu schützen, dass kirchliche Stellen wie die Diakonie oder Caritasverbände ihre Daten fehlerhaft verarbeiten und dadurch ihre Persönlichkeitsrechte verletzen. So verarbeiten kirchliche Stellen Daten von Betroffenen wie z.B. eigenen Bediensteten, Mitgliedern oder sonstigen Personen, mit denen sie in Kontakt sind. Die beiden Gesetze beinhalten vielfältige Anforderungen. Die jeweilige Kirche bzw. die kirchlichen Stellen und Landeskirchen müssen diese beachten. Je nach Art der kirchlichen Stelle kann es sich um kirchliche Angebote wie Gottesdienst, Seelsorge, Taufe, Bibelstunden, Kommunionsunterricht oder pastorale, soziale, diakonisch-caritative oder kulturelle Angebote handeln. Um sicherzustellen, dass bei all diesen Angeboten der Datenschutz gewährleistet ist, beinhalten die genannten Gesetze vielfältige Anforderungen, welche die jeweilige Kirche bzw. die kirchlichen Stellen beachten müssen.
Welche Datenschutzanforderungen gelten für kirchliche Stellen?
Sowohl evangelische als auch die katholischen Stellen wie z.B. Gemeinden, Stiftungen, Vereine, Diakonische Einrichtungen oder Einrichtungen der Caritas müssen zahlreiche Datenschutzanforderungen in ihren Organisationen umsetzen. Im Folgenden listen wir wesentliche Anforderungen auf. Dabei handelt es jedoch nicht um eine vollständige Auflistung.
1. Rechtmäßigkeit sicherstellen und dokumentieren
In allen Datenverarbeitungsvorgängen (z.B. Spendenabwicklung, Umgang mit Mitgliederdaten, Pflege des Taufregisters, jegliche Erbringung pastoraler, sozialer, diakonisch-caritativer oder kultureller Dienstleistung) müssen kirchliche Stellen sicherstellen, dass sie ihre Rechenschaftspflichten einhalten. Sie müssen nachweisen, dass sie eine Rechtsgrundlage für die Datenverarbeitungen vorweisen können und Daten nur für definierte Zwecke verarbeiten. Zusätzlich müssen sie sicherstellen, dass sie nur die erforderlichen Daten verarbeiten und dass diese richtig sind. Außerdem sind sie verpflichtet, diese zu löschen, wenn der Zweck entfallen oder die Aufbewahrungsfristen abgelaufen sind und die Verarbeitungsvorgänge durch technische und organisatorische Maßnahmen abzusichern. Zum Nachweis dieser Pflichten empfiehlt sich die schriftliche Dokumentation.
2. Betroffenenrechte sicherstellen
Eine weitere Anforderung für den Datenschutz in der Kirche besteht darin, die Betroffenenrechte sicherzustellen. Die Betroffenen sind die Personen, deren Daten kirchliche Stellen verarbeiten. Sie genießen besondere Rechte. Dazu zählen
- die transparente Information bei einer unmittelbaren Datenerhebung, z.B. beim Eintritt in die Kirche oder wenn sich jemand für ein Angebot anmeldet,
- die Information darüber, welche verantwortliche Stelle die Daten der Betroffenen verarbeitet,
- zu welchen Zwecken dies geschieht,
- an wen sie Daten ggf. weitergeben,
- wie lange sie Daten speichern,
- welche Rechte Betroffene im Datenschutz haben,
- der Hinweis, ob die Daten gesetzlich oder vertraglich vorgeschrieben bereitzustellen sind und welche Folgen es hätte, wenn sie die Daten nicht bereitstellen.
Zu erwähnen ist, dass im DSG-EKD diese Informationspflichten nur „auf Verlangen“ bereitzustellen sind, während katholische Stellen immer dazu verpflichtet sind. Die Ansprechpartner der evangelischen Datenschutzaufsicht empfehlen in Veranstaltungen für Datenschutzbeauftragte, die Informationspflichten wie in der DS-GVO oder im KDG proaktiv zu erfüllen.
Als weitere Anforderung der Betroffenenrechte müssen kirchliche Stellen die Betroffenen auch bei mittelbaren Datenerhebungen, d.h. wenn sie Daten nicht direkt bei ihnen erheben, informieren. Außerdem sind sie verpflichtet, Anfragen zum Umgang mit Daten von Betroffenen innerhalb eines Monats bzw. in komplexen Fällen in bis zu drei Monaten zu beantworten (Auskunftsrecht). Falsche Daten müssen kirchliche Stellen berichtigen oder sogar löschen, wenn bestimmte Anforderungen erfüllt sind. In speziellen Fällen können Betroffene auch eine Einschränkung von bestimmten Verarbeitungsvorgängen verlangen. Wenn ihr Anliegen berechtigt ist, müssen die kirchlichen Stellen dem folgen. Außerdem ist sicherzustellen, dass sie auf Anfrage der Betroffenen Daten herausgeben können und diese an andere Stellen auf Wunsch der Betroffenen übertragen oder Widersprüche gegen bestimmte Verarbeitungsvorgänge berücksichtigen.
3. Organisationsverpflichtungen sicherstellen
Der Zweck des DSG-EKD und des KDG besteht wie oben genannt darin, die Personen vor einem fehlerhaften Umgang mit ihren Daten zu schützen, wenn kirchliche Stellen diese verarbeiten. Das kann nur gelingen, wenn die Organisationen hierzu verschiedene Anforderungen umsetzen. Dazu zählen:
Beschäftigte aufs Datengeheimnis verpflichten
Evangelische und katholische Stellen müssen ihre Beschäftigten auf das Datengeheimnis verpflichten und diese für einen sorgfältigen Umgang mit personenbezogenen Daten sensibilisieren. Entsprechende Muster sind für evangelische Stellen hier und für katholische Stellen hier zu finden.Technische und organisatorische Maßnahmen treffen
Zusätzlich zur Verpflichtung der Beschäftigten auf das Datengeheimnis müssen kirchliche Stellen interne Maßnahmen im Bereich der Technik und der Organisation zum Schutz personenbezogener Daten treffen. Dies können z.B. Schließ- und Berechtigungskonzepte, Passwort- und Protokollierungsregelungen oder Vorgaben zur Entsorgung von Unterlagen sein. Bei diesen Maßnahmen müssen sie berücksichtigen, welche Risiken für Betroffene bei einer Datenverarbeitung bestehen und welche Eintrittswahrscheinlichkeit für eine Datenpanne droht.Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sicherstellen
In allen Verarbeitungsvorgängen gilt es, wann immer möglich, IT-Komponenten so auszuwählen, dass Technik den Umgang mit personenbezogenen Daten schützt. So könnten kirchliche Stellen z.B. darauf achten, dass sie Multifunktionsdrucker beschaffen, die eine automatische Löschfunktion aller ausgeführten Druckaufträge sicherstellen. Oder eine Kirchengemeinde kann darauf achten, dass Berechtigungen in der neuen Mitgliederverwaltungssoftware nur so vergeben sind, dass die Anwenderinnen nur auf die Daten zugreifen können, die sie für ihre Arbeit benötigen. Dies entspricht datenschutzfreundlichen Voreinstellungen, welche eine weitere Anforderung an kirchliche Stellen sind.Auftragsverarbeitungen identifizieren und regeln
Eine weitere Anforderung für evangelische und kirchliche Stellen besteht darin, Datenschutzvereinbarungen mit Dienstleistern zu treffen. Dies ist insbesondere dann erforderlich, wenn diese weisungsbezogen arbeiten und der Auftraggeber die Leistungserbringung überwacht. Ein Beispiel hierfür ist ein IT-Dienstleister, der das IT-Netzwerk wartet oder auch ein Softwaredienstleister, der eine wichtige Software als Software-as-a-Service anbietet. In diesen Fällen ist eine Vereinbarung zur Auftragsverarbeitung abzuschließen. Hinweise hierzu, welche Regelungen zu treffen sind und was Mustervereinbarungen enthalten müssen, finden Sie für evangelische Stellen hier und für katholische Stellen hier.Verzeichnis von Verarbeitungstätigkeiten erstellen
Kirchliche Stellen müssen ein Verzeichnis aller Verarbeitungstätigkeiten (Verfahrensverzeichnis) führen, d.h. aller Prozesse, in denen sie personenbezogene Daten verarbeiten. In § 31 DSG-EKD bzw. KDG sind die Pflichtinhalte genannt. Laut dem Gesetzestext gilt diese Pflicht nur für Stellen, die mehr als 250 Personen beschäftigen. Im DSG-EKD gilt die Pflicht auch für kleinere evangelische Stellen, wenn diese besonders schützenswerte Daten, wie z.B. Gesundheitsdaten, verarbeiten. Für katholische Stellen ist die Pflicht noch etwas umfassender, da sie auch dann gilt, wenn sie regelmäßig Daten verarbeiten und daraus Risiken für Betroffene drohen. Da nahezu jede Datenverarbeitung Restrisiken birgt, ist die Pflicht sehr weit auszulegen. Außerdem sollten die Verarbeitungstätigkeiten grundsätzlich geprüft und in diesem Verzeichnis dokumentiert werden, da sich damit die Rechenschaftspflichten viel leichter erfüllen lassen. Ein Muster für ein Verzeichnis von Verarbeitungstätigkeiten für evangelische Stellen finden Sie hier und für katholische Stellen hier.Datenschutz-Folgenabschätzung durchführen
Für besonders risikobehaftete Verarbeitungsvorgänge, wie z.B. Videoüberwachung oder aus Sicht der kirchlichen Aufsichtsbehörden für neue Technologien wie Videokonferenzsoftware oder generell Softwareanwendungen, ist eine Datenschutz-Folgenabschätzung durchzuführen. Durch eine umfassende Prüfung von Datenschutz- und IT-Sicherheitsanforderungen soll diese spezielle Prüfung dabei helfen, potentielle Risiken für die Persönlichkeitsrechte vor dem Einsatz der Technik zu erkennen und Maßnahmen zur Risikovermeidung bzw. -reduzierung zu identifizieren, um diese dann umzusetzen. Eine Arbeitshilfe zur Durchführung einer Datenschutz-Folgenabschätzung in evangelischen Stellen finden Sie hier und für katholische Stellen hier.Datenschutzbeauftragte benennen
Sowohl für evangelische als auch katholische Stellen besteht die Pflicht, ab einer bestimmten Größe einen Datenschutzbeauftragten zu benennen. Das DSG-EKD bezeichnet diese als örtlich beauftragte Datenschutzbeauftragte und im KDG als betriebliche Datenschutzbeauftragte. Dies gilt grundsätzlich, wenn mehr als zehn Personen regelmäßig personenbezogene Daten verarbeiten oder Datenverarbeitung eine Kerntätigkeit ist (z.B. ein kirchliches Rechenzentrum). Auch wenn eine Stelle besonders risikobehaftete Verarbeitungen durchführt, muss ein Datenschutzbeauftragter benannt sein. Informationen zur Benennung in evangelischen Stellen finden Sie hier und für katholische Stellen hier.
Wie oben bereits erwähnt, sind hier die wichtigsten Aufgaben genannt, das ist jedoch keine abschließende Auflistung.
Wer überwacht, ob kirchliche Stellen kirchliches Datenschutzgesetz einhalten?
Die kirchlichen Stellen unterliegen einer eigenen Kontrolle und nicht den Aufsichtsbehörden der jeweiligen Bundesländer. Spezielle kirchliche Aufsichtsbehörden überwachen, wie Kirchen die Datenschutzanforderungen des DSG-EKD oder des KDG einhalten. Für die evangelischen kirchlichen Stellen gibt es den Beauftragten für den Datenschutz EKD und für die katholischen Stellen die regionalen Datenschutzaufsichten mit den Diözesandatenschutzbeauftragten.
Welche Bußgelder drohen bei Datenschutzverstößen?
Die Aufsichtsbehörden können die kirchlichen Stellen bei Datenschutzverletzungen mit Bußgeldern betrafen. Bei Verstößen können sie Geldbußen von bis zu 500.000 € verhängen. Das Höchstmaß für Bußgelder im kirchlichen Bereich ist geringer als Bußgelder, die Behörden für nicht-öffentlichen Stellen aussprechen können.
Wir freuen uns, dass wir Ihnen in diesem Beitrag einen Überblick über den Datenschutz in der Kirche bzw. den kirchlichen Stellen geben konnten. Melden Sie sich gerne mit Kommentaren zu Ihren Fragen!
Sie haben Fragen, wie Sie Datenschutz in Ihrer kirchlichen Stelle umsetzen können? Sie benötigen einen örtlichen oder einen betrieblichen Datenschutzbeauftragten? Melden Sie sich gerne und wir finden gemeinsam heraus, wie wir Sie unterstützen können!
Weitere Hilfreiche Links:
- Webauftritt des Beauftragten für den Datenschutz der EKD (BfD EKD)
- Gesetzestext des DSG-EKD
- Fachinformationssystem Kirchenrecht der Evangelischen Kirche in Deutschland
- Webauftritt der Konferenz der Diözesandatenschutzbeauftragten
Verfasser: Julian Häcker, 29.03.2021, zuletzt aktualisiert am 30.06.2022
Bild von MichaelGaida auf Pixabay