Kirchlicher Datenschutz im Zeichen der DSGVO

Datenschutz

von Dorothee Steckel

Immer wieder überrascht die Aussage, dass Kirchen ihr eigenes Datenschutzgesetz haben. Öffentlich-rechtlichen Religionsgemeinschaften steht das Recht zu, ihre Angelegenheiten innerhalb der Schranken der für alle geltenden Gesetze selbständig zu ordnen und zu verwalten (Art. 140 GG). Hierzu gehört auch das Datenschutzrecht, für das insbesondere die katholische und die evangelische Kirche eigene Gesetze geschaffen haben.

Die DSGVO legt in Art. 91 DSGVO fest, dass bestehende kirchliche Datenschutzgesetze weiterhin gelten. Diese müssen aber mit der DSGVO „in Einklang gebracht“ werden und alle Aspekte der DSGVO umfassen, ergänzt um Besonderheiten des kirchlichen Datenschutzes (bspw. Kirchengemeinden, Seelsorge, etc.).

Die Kirchen haben dies zum Anlass genommen, um ihre Datenschutzgesetze vollkommen neu zu erarbeiten. Geregelt ist der Datenschutz im katholischen Bereich im Gesetz über den Kirchlichen Datenschutz (KDG) und im evangelischen Umfeld durch das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD). Dabei wurde die Struktur der DSGVO weitestgehend übernommen, was zur Folge hat, dass auch das Inhaltsverzeichnis und viele Überschriften identisch sind. Zu großen Teilen sind Bestimmungen (bspw. Grundsätze der Datenverarbeitung) sogar wortgleich übernommen. Übrigens ist es ein Novum im Datenschutzrecht, dass durch die DSGVO, das Zusammenwirken zwischen Staat und Kirche bzw. religiösen Vereinigungen/Gemeinschaften gesetzlich geregelt ist.

Die markantesten Unterschiede zwischen den kirchlichen und weltlichen Datenschutzregelungen:

  • Die Verpflichtung auf das Datengeheimnis, welche im Gegensatz zur DSGVO, die diesen Begriff nicht kennt, bei beiden Kirchen schriftlich erfolgen muss (§ 26 DSG-EKD, § 5 KDG).
  • Datenpannen sind im Rahmen der DSGVO (Art. 33) und des KDG (§ 33) innerhalb von 72 Stunden zu melden. Das DSG-EKD (§ 32) schreibt lediglich eine „unverzügliche“ Meldung, ohne genaue Zeitangabe vor.
  • Die Ev. Kirche regelt in § 30 DSG-EKD die Ausgestaltung der Auftragsverarbeitung. Im Gegensatz zum KDG räumt das DSG-EKD in § 30 Absatz 5 die Möglichkeit ein, die Regelungen zur Auftragsverarbeitung aus der DSGVO übernehmen zu können, wenn der Auftragsverarbeiter über eine Zusatzvereinbarung anerkennt, sich der kirchlichen Datenschutzaufsicht zu unterwerfen.
  • Eine andere, nicht unerhebliche Abweichung ist bei den Reaktionsfristen zu Auskunftsersuchen zu finden. Während die DSGVO hier eine Frist von einem Monat vorsieht und das KDG diesen Zeitrahmen übernommen hat, sieht das DSG-EKD hingegen eine Frist von drei Monaten vor (§ 16 Abs. 3 DSG-EKD).
  • Bei den Sanktionsmöglichkeiten (Bußgelder) im Rahmen von Datenschutzverstößen wurde durch die Schaffung eines Rechtsweges und der damit verbundenen eigenen Gerichtsbarkeit die Möglichkeit geschaffen, Datenschutzverstöße in der Kirche zu sanktionieren. Im Gegensatz zur Bußgeldhöhe im weltlichen Umfeld von bis zu 20 Mio. € bzw. 4% des Jahresumsatzes, ist nun bei den Kirchen ein Bußgeld von bis zu 500.000 € für kirchliche Stellen (§ 51 Abs. 5 KDG, § 45 Abs. 5 DSG-EKD), die am Wettbewerb teilnehmen (bspw. Diakoniestationen oder KiTa-Einrichtungen), möglich. Als Begründung für die doch geringere Höhe, wird angegeben, dass die zu erwartende Umsatzhöhe von kirchlichen Einrichtungen im Gegensatz zu privatwirtschaftlichen Stellen deutlich geringer ausfällt.

Wichtig zu wissen ist, dass im kirchlichen Umfeld  weitere Regelungen, die den Datenschutz betreffen,  zu beachten sind. Hierbei sind insbesondere die IT-Sicherheitsverordnung (ITSVO-EKD) der ev. Kirche oder die Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) der kath. Kirche zu nennen. In der ITSVO-EKD finden sich Regelungen zur IT-Sicherheit und zum Einsatz von IT, die auch beim Umgang mit personenbezogenen Daten zu beachten sind. Hiermit soll sichergestellt werden, dass die erhobenen bzw. verarbeiteten Daten vor unberechtigtem Zugriff, vor unerlaubten Änderungen und vor Verlust geschützt werden. Wichtigstes Element der KDG-DVO ist, dass jeder Verantwortliche ein Datenschutzkonzept vorhalten muss. Die inhaltlichen Anforderungen ergeben sich durch eine Analyse der Datenverarbeitung sowie einer Einordnung in eine Datenschutzklasse. Hieraus wird ein entsprechendes Schutzniveau abgeleitet, dass die zu treffenden Maßnahmen zum Schutz der Daten beschreibt.

Zurück