DSGVO vs. Kirchendatenschutz - zwei Richtlinien, ein Ziel

DSGVO vs. Kirchendatenschutz - zwei Richtlinien, ein Ziel

Die Datenschutz-Grundverordnung ist seit dem 25.05.2018 das Regelwerk im Bereich des Datenschutzes. Die Datenschutz-Grundverordnung (kurz: DSGVO) ist eine Verordnung des Europäischen Parlaments und des Rates, die die Regeln zur Verarbeitung personenbezogener Daten durch nicht-öffentliche (private Unternehmen) und öffentliche Stellen (Behörden) EU-weit im Zeitalter der Digitalisierung vereinheitlicht.

Neben den Unternehmen, Vereinen und Institutionen gibt es auch noch Kirchen, die zur Erfüllung Ihrer Aufgaben personenbezogene Daten verarbeiten. Die Kirchen verarbeiten nicht nur einfache personenbezogene Daten ihrer Mitglieder:innen, sondern teilweise auch besondere Kategorien personenbezogener Daten wie zum Beispiel in Krankenhäusern und Pflegeheimen. Die Kirche ist zudem auch Träger vieler Schulen und Kindertagesstätten, in denen zur Erfüllung der Aufgaben personenbezogene Daten verarbeitet werden müssen.

Exkurs: Die Stellung der Kirche

Die Kirche nimmt in unserem System eine besondere Rolle ein, denn das verfassungsrechtlich garantierte Selbstbestimmungsrecht aus Art. 140 GG in Verbindung mit Art. 137 WRV räumt den Kirchen das Recht und die Freiheiten ein, ihre Angelegenheiten selbst durch kirchliche Gesetze zu ordnen. Grenzen gibt es nur innerhalb der Schranken der für alle geltenden Gesetze, d. h. kirchliche Gesetze dürfen nicht durch das Grundgesetz erlaubtes Handeln verbieten oder verbotene Handlungen erlauben. Schließlich führt das Errichten einer eigenen kirchlichen Gerichtsbarkeit nicht zu einer Verdrängung des staatlichen Rechtsschutzes. Die Kirchen mit ihren Selbstbestimmungen sind in das weltliche Verfassungsgefüge eingeordnet.

Voraussetzung für die Einordnung in das weltliche Verfassungsgefüge ist, dass die Kirche die Werte und Auszeichnungen der staatlichen Justiz, die fundamentalen Rechtsprinzipien, einhält.

Wir betreuen auch Institutionen mit kirchlichem Träger! Kontaktieren Sie und gerne.

DSGVO und die Kirche

Die DSGVO harmonisiert das Datenschutzrecht auf europäischer Ebene. Fraglich erscheint nun, inwiefern die DSGVO auch von Kirchen beachtet und umgesetzt werden muss. Die Kirche hat mit der Einführung des Beichtgeheimnisses schon früh unter Beweis gestellt, dass sie mit personenbezogenen Daten "diskret" umgehen können. Das Beichtgeheimnis ist eine der ältesten Datenschutzvorschriften, die bis heute noch Gültigkeit besitzt. Das Beichtgeheimnis ist in der Tat nichts anderes als in der staatlichen Verfassungsordnung unser heutiges Datengeheimnis, auf das viele Arbeitnehmer verpflichtet werden.

So hat sich, ausgehend vom Beichtgeheimnis, das Datenschutzrecht der evangelischen und katholischen Kirche immer weiterentwickelt bis hin zu eigenständigen Sondervorschriften. Als nun Vertreter unterschiedlicher Bereiche 2012 Verhandlungen um ein neues Datenschutzgesetz in Europa aufnahmen, wollte man die Kirchen und sonstige religiöse Vereinigungen in das einheitliche Datenschutzrecht miteinbeziehen. So wird durch die DSGVO erstmals das Zusammenspiel zwischen den bestehenden Datenschutzvorschriften der Kirchen, religiösen Vereinigungen oder Gemeinschaften und den staatlichen Datenschutzbestimmungen gesetzlich geregelt - ein absolutes Novum.

Die DSGVO steht demnach an oberster Stelle der Datenschutzgesetze. Die Kirchen dürfen, wie jeder Mitgliedsstaat, ihre eigenen Datenschutzvorschriften anwenden, sofern diese Regelungen im Einklang mit der DSGVO stehen. In einer Hierarchie steht der Kirchendatenschutz mit dem Bundesdatenschutzgesetz auf einer Stufe. So mussten ab dem Anwendungszeitpunkt der DSGVO auch beim kirchlichen Datenschutz neue Gesetze erlassen werden.

Die katholische Kirche hat ihre Vorschriften zum Datenschutz mit Einführung der DSGVO einmal komplett überarbeitet und den Vorschriften der DSGVO im Gesetz über den kirchlichen Datenschutz (KDG) angepasst. Die evangelische Kirche hat mit Ihrem Gesetz "Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD)" ebenfalls ein neues Gesetz erlassen.

Gemeinsamkeiten und Unterschiede

Auf Grund dessen, dass die DSGVO im Einklang mit den kirchlichen Datenschutzgesetzen stehen soll bzw. die kirchlichen mit der DSGVO, erkennt man die Struktur der DSGVO in beiden kirchlichen Gesetzen. Begrifflichkeiten und Regelungen wurden teilweise wortwörtlich in das kirchliche Datenschutzgesetz überführt. Anforderungen bei der Umsetzung des Gesetzes sind somit die Gleichen.

Trotz der vielen Gemeinsamkeiten gibt es vier nennenswerte Besonderheiten:

  • Schriftformerfordernis
    Die katholische Kirche schreibt bei der Einholung einer Einwilligung die Schriftform vor. Die DSGVO hingegen lässt die Form den Verantwortlichen offen.
  • Verpflichtung auf das Datengeheimnis
    In der DSGVO findet man keine ausdrückliche Regelung, die den Verantwortlichen dazu verpflichtet, Personen vor Beginn der Tätigkeit auf das Datengeheimnis zu verpflichten. Der Grundsatz aus Art. 5 DSGVO (Wahrung der Vertraulichkeit) kommt dem Datengeheimnis aber sehr nahe. Sowohl die evangelische als auch katholische Kirche haben mit ihren Gesetzen geregelt, dass Personen, die mit der Verarbeitung von personenbezogenen Daten betraut werden, vor Beginn der Tätigkeit auf das Datengeheimnis verpflichtet werden müssen. In den kirchlichen Gesetzen wird das Datengeheimnis beim Namen genannt.
  • Benennung eines Datenschutzbeauftragten
    Bei den Kirchen müssen alle katholischen Kirchenstellen unabhängig ihrer Mitarbeiterzahl einen betrieblichen Datenschutzbeauftragten schriftlich benennen. Bei den evangelischen Kirchenstellen muss ein Datenschutzbeauftragter benannt werden, wenn in der Regel mindestens zehn Personen mit der Verarbeitung der personenbezogenen Daten betraut sind. Im Vergleich, die DSGVO schreibt eine Benennung eines Datenschutzbeauftragten vor, wenn in der Regel zwanzig Personen mit der Verarbeitung der personenbezogenen Daten betraut sind.
  • Höhe der Geldbußen
    Ein nennenswerter Unterschied liegt in der Höhe der Geldbußen, die durch den Kirchendatenschutz und durch die DSGVO verhängt werden können. Beträgt die maximale Höhe der zu verhängenden Bußgelder nach der DSGVO 20 Mio. EUR oder 4% des weltweilt erzielten Jahresumsatz, so ist dieses im katholischen und evangelischen Datenschutz auf 500.000 EUR begrenzt.

DSGVO Datenschutzrecht Kirchendatenschutz evangelisch katholisch

Maren Kübler

Maren Kübler

Datenschutz­beauftragte

veröffentlicht am

26. August 2021

Lernen wir uns kennen!

Sie haben Anmerkungen oder Fragen zum Thema? Oder benötigen Sie unsere Expertise? Kontaktieren Sie uns mit Ihrem Anliegen, wir freuen uns auf den gemeinsamen Austausch.

VELIT Consulting GmbH & Co. KG

Weitere Artikel lesen

In unserem Blog behandeln wir topaktuelle Themen rund um den Datenschutz und unsere Arbeit. Bleiben Sie immer informiert.

Die fünf Umsetzungsschwierigkeiten der DSGVO für Unternehmen

30. September 2021

Die fünf Umsetzungsschwierigkeiten der DSGVO für Unternehmen

GAIA-X: Eine europäische Dateninfrastruktur

28. Juli 2021

GAIA-X: Eine europäische Dateninfrastruktur

Webseiten-Tracking mit einem rechtskonformen Cookie-Banner verbessern

30. Juni 2021

Webseiten-Tracking mit einem rechtskonformen Cookie-Banner verbessern