Ausgangspunkt: DSGVO und kirchliche Eigenordnung im Datenschutz
Seit Geltung der Datenschutz-Grundverordnung (DSGVO) stellt sich auch für Kirchen und kirchliche Einrichtungen die Frage, nach welchen Regelwerken die Verarbeitung personenbezogener Daten zu beurteilen ist. Zu berücksichtigen ist dabei, dass Religionsgemeinschaften in Deutschland unter bestimmten Voraussetzungen ein verfassungsrechtlich geschütztes Selbstbestimmungsrecht ausüben. Dieses betrifft auch den Umgang mit personenbezogenen Daten, soweit kirchliche Stellen in eigener Verantwortung handeln.
Verfassungsrechtlicher Rahmen des kirchlichen Selbstbestimmungsrechts
Gewährleistung durch staatliches Recht
Das kirchliche Selbstbestimmungsrecht ist als staatlich anerkannte Rechtsposition in der deutschen Rechtsordnung verankert. Es eröffnet Religionsgemeinschaften die Möglichkeit, ihre Angelegenheiten innerhalb der Grenzen des für alle geltenden Gesetzes eigenständig zu ordnen und zu verwalten. Dazu kann auch gehören, interne Datenschutzregelungen für den kirchlichen Bereich zu erlassen und anzuwenden.
Reichweite und Begrenzung
Die Selbstordnung bedeutet keine generelle Freistellung von Datenschutzanforderungen. Maßgeblich ist, in welchen Bereichen kirchliche Stellen tätig werden, welche Datenverarbeitungsvorgänge betroffen sind und ob die jeweiligen Regelungen den unionsrechtlichen Vorgaben, insbesondere den Voraussetzungen der DSGVO, genügen.
DSGVO: Öffnung für kirchliche Datenschutzregelungen
Fortgeltung eigener Datenschutzordnungen unter Voraussetzungen
Die DSGVO trägt dem Umstand Rechnung, dass Kirchen und religiöse Vereinigungen bereits vor ihrem Inkrafttreten Datenschutzvorschriften anwenden konnten. Unter bestimmten Bedingungen ermöglicht die DSGVO, dass solche Regelungen weitergeführt werden, sofern sie an die DSGVO angepasst sind und in ihrem Anwendungsbereich institutionell getragen werden.
Erforderlichkeit einer unabhängigen Aufsicht
Ein wesentliches Element ist die Existenz einer unabhängigen Datenschutzaufsicht innerhalb der jeweiligen Religionsgemeinschaft. Die DSGVO knüpft die Anerkennung kirchlicher Datenschutzregime daran, dass eine der staatlichen Aufsicht funktional entsprechende Kontrolle gewährleistet ist.
Kirchliche Datenschutzgesetze in Deutschland
Katholischer Bereich: KDG
Für den katholischen Raum besteht in Deutschland ein eigenes Datenschutzrecht, das als Kirchliches Datenschutzgesetz (KDG) ausgestaltet ist. Es regelt die Verarbeitung personenbezogener Daten durch kirchliche Stellen und enthält Bestimmungen, die an die Systematik der DSGVO angelehnt sind, ohne identisch zu sein.
Evangelischer Bereich: DSG-EKD
Im evangelischen Bereich gilt ein eigenes Datenschutzrecht der Evangelischen Kirche in Deutschland (DSG-EKD). Auch dieses Regelwerk enthält Vorgaben zu Rechtmäßigkeit, Transparenz, Betroffenenrechten sowie organisatorischen und technischen Anforderungen, die in einer eigenständigen kirchenrechtlichen Normsetzung geordnet sind.
Anwendungsbereich: Welche Stellen und Vorgänge erfasst sind
Kirchliche Stellen und Einrichtungen
Kirchliche Datenschutzregelungen sind typischerweise auf kirchliche Stellen sowie deren Einrichtungen ausgerichtet, etwa Verwaltungen, Gemeinden oder sonstige kirchlich getragene Organisationseinheiten. Ob im Einzelfall kirchliches Datenschutzrecht oder unmittelbar die DSGVO maßgeblich ist, hängt insbesondere von der rechtlichen Einordnung der handelnden Stelle und dem konkreten Verarbeitungskontext ab.
Verhältnis zu staatlichen Regelungen
Kirchliche Regelwerke bestehen nicht losgelöst von der DSGVO. Ihre Anwendung setzt voraus, dass sie im Ergebnis ein Datenschutzniveau gewährleisten, das mit den unionsrechtlichen Anforderungen vereinbar ist. Daneben können bei bestimmten Sachverhalten ergänzende staatliche Normen berührt sein, etwa in Bereichen, die nicht dem kirchlichen Binnenrecht zugeordnet werden.
Betroffenenrechte, Pflichten und Durchsetzung im kirchlichen Datenschutz
Grundstruktur vergleichbar, aber eigenständig geregelt
Kirchliche Datenschutzordnungen enthalten typischerweise Regelungen zu Auskunft, Berichtigung, Löschung sowie zu weiteren Rechten betroffener Personen. Ebenso werden Pflichten verantwortlicher Stellen adressiert, etwa hinsichtlich Dokumentation und Datensicherheit. Die konkrete Ausgestaltung und Begrifflichkeit folgt jedoch dem jeweiligen kirchlichen Regelungssystem.
Aufsicht und Rechtsbehelfe
Die Kontrolle erfolgt im kirchlichen Datenschutzrecht über kirchliche Aufsichtsinstanzen. Auch Verfahren zur Prüfung von Beschwerden sind vorgesehen. Damit wird die Durchsetzung der Datenschutzanforderungen innerhalb des kirchlichen Rahmens organisiert, ohne dass dies zwingend mit staatlichen Behördenstrukturen identisch sein muss.
Einordnung und Hinweis zu Informationsgrundlagen
Dieser Beitrag stellt eine allgemeine Darstellung des Zusammenspiels von DSGVO und kirchlichem Datenschutzrecht dar. Er ersetzt keine Prüfung konkreter Sachverhalte. Soweit in der öffentlichen Berichterstattung einzelne Vorgänge oder Konflikte diskutiert werden, ist im Einzelfall auf die jeweiligen Primärquellen abzustellen; bei nicht rechtskräftig festgestellten Vorwürfen gilt im Übrigen die Unschuldsvermutung.
Überleitung: Klärungsbedarf bei Schnittstellen und Zuständigkeiten
In der Praxis stellen sich insbesondere an Schnittstellen – etwa bei Kooperationen kirchlicher Einrichtungen mit Dritten oder bei der Zuordnung einzelner Verarbeitungsvorgänge – regelmäßig Abgrenzungsfragen, die nur anhand der konkreten Organisationsstruktur und des jeweiligen Regelungsregimes eingeordnet werden können. Wenn Sie hierzu eine Einordnung wünschen, finden Sie nähere Informationen zur Rechtsberatung im Datenschutz durch MTR Legal Rechtsanwälte.
