Das katholische kirchliche Datenschutzrecht: Das KDG im Fokus

Die Harmonisierung des Datenschutzrechts durch die DSGVO (2018) hatte auch für Kirchen und religiöse Gemeinschaften unmittelbare Folgen. Das kirchliche Selbstbestimmungsrecht ermöglichte es der katholischen Kirche in Deutschland, mit dem Gesetz über den Kirchlichen Datenschutz (KDG) eigene Regelungen zu schaffen. Dieser Beitrag dient als Kurzüberblick zu den maßgeblichen Besonderheiten und gesetzlichen Standards.

Kirchlicher Datenschutz im Einklang mit der DSGVO

Erwägungsgrund 165 und Art. 91 DSGVO ermöglichen Kirchen die Schaffung spezifischer Datenschutzregeln, die jedoch die DSGVO-Vorgaben einhalten müssen. Von dieser Ermächtigung wurde Gebrauch gemacht. Das KDG ist das zentrale Datenschutzgesetz der katholischen Kirche in Deutschland und regelt seit 2018 den Umgang mit personenbezogenen Daten in allen katholischen Einrichtungen auf Grundlage kirchlicher und europäischer Datenschutzvorgaben.

Grundsätze der Datenverarbeitung

Das KDG verfolgt das Ziel, die Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere das Recht auf Schutz personenbezogener Daten – bei deren Verarbeitung innerhalb der katholischen Kirche zu wahren und zu schützen. Es soll sicherstellen, dass personenbezogene Daten rechtmäßig, transparent und zweckgebunden verarbeitet werden und damit ein mit der DSGVO vergleichbares Datenschutzniveau im kirchlichen Bereich gewährleisten. Datenminimierung, Speicherbegrenzung und Integrität sind zentrale Prinzipien des KDG und ergeben sich aus § 7 KDG.

Auch bei der Verarbeitung von personenbezogenen Daten durch kirchliche Stellen gilt das Verbot mit Erlaubnisvorbehalt. In § 6 KDG werden zahlreiche Rechtsgrundlagen aufgezählt, die eine Datenverarbeitung rechtfertigen können. Rechtmäßig ist die Datenverarbeitung beispielsweise, wenn das KDG oder eine andere kirchliche oder staatliche Rechtsvorschrift die Verarbeitung erlaubt oder anordnet oder die betroffene Person in die Verarbeitung einwilligt, § 8 KDG.
Viele der in § 6 KDG aufgeführten Rechtsgrundlagen ähneln denen in Art. 6 DSGVO.

Informationspflichten und Betroffenenrechte

Das KDG enthält Regelungen zu den Informationspflichten und den Rechten der Betroffenen. Während § 14 KDG vergleichbar mit Art. 12 DSGVO allgemeine Formvorschriften zur Weitergabe der Informationen an den Betroffenen enthält, regeln die §§ 15 und 16 KDG entsprechend den Art. 13 und 14 DSGVO den Umfang der Pflichten bei einer unmittelbaren bzw. mittelbaren Datenerhebung. Die weiteren Betroffenenrechte sind, wie in der DSGVO, in den nachfolgenden Vorschriften zu finden (§§ 27-25 KDG).

Führen eines Verarbeitungsverzeichnisses

Auch das Führen eines Verarbeitungsverzeichnisses ist im KDG vorgeschrieben. Es unterscheidet, angelehnt an die DSGVO, zwischen dem Verarbeitungsverzeichnis für Verantwortliche und für Auftragsverarbeiter (§ 31 Abs.1 und Abs.2 KDG). Die Pflicht gilt nach § 31 Abs. 5 KDG zunächst nur für Unternehmen oder Einrichtungen, die 250 oder mehr Beschäftigte haben. Eine Pflicht zur Führung der Verzeichnisse besteht auch bei weniger als 250 Mitarbeitenden, wenn:

• durch die Verarbeitung die Rechte und Freiheiten der betroffenen Personen gefährdet werden,
• die Verarbeitung nicht nur gelegentlich erfolgt oder
• die Verarbeitung besondere Datenkategorien beinhaltet.

Die Aufsichtsbehörden interpretieren die Ausnahme restriktiv, um Lücken im Datenschutz zu vermeiden und sehen die Befreiung von der VVT-Pflicht nach Art. 30 Abs. 5 DSGVO in der Praxis häufig als nicht anwendbar an, da bereits die regelmäßige Verarbeitung von Gesundheitsdaten (z. B. durch AU-Bescheinigungen) oder Lohnabrechnungsdaten (die oft indirekt auf Konfessionszugehörigkeiten hinweisen) besondere Kategorien personenbezogener Daten i. S. d. § 11 KDG berührt.

Bestellung eines DSB

Die KDG schreibt die Bestellung eines betrieblichen Datenschutzbeauftragten für die Diözese, die Kirchengemeinden, die Kirchenstiftungen und die Kirchengemeindeverbände gem. § 36 Abs.1 S.1 KDG zwingend vor. Das bedeutet, dass die Bestellung in diesen Fällen unabhängig von der konkreten Mitarbeiterzahl der Stellen erforderlich ist.

Für Einrichtungen – wie den Deutschen Caritasverband oder Diözesan-Caritasverbände – besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten nur bei Vorliegen bestimmter Kriterien. Dies gilt insbesondere, wenn die Kerntätigkeit der kirchlichen Stelle die Verarbeitung besonderer Datenkategorien nach § 12 KDG (z. B. Gesundheitsdaten) umfasst oder mindestens zehn Mitarbeitende kontinuierlich mit der Bearbeitung personenbezogener Daten betraut sind – einschließlich solcher, die ausschließlich in der Aktenverwaltung tätig sind. Die Neuregelung in § 36 Abs. 2 KDG erfasst dabei explizit Personen, die sich „ständig mit der Verarbeitung“ befassen, während die frühere Vorgabe in § 20 Abs. 2 KDO lediglich bei „automatisierter Datenerhebung/-nutzung durch mehr als zehn Personen“ eine Bestellungspflicht auslöste.

Weitere Regelungskomplexe und anwendbare Vorschriften

Das KDG enthält auch zu zahlreichen weiteren Regelungskomplexen Vorschriften, die die Anforderungen der DSGVO berücksichtigen. Dazu zählt beispielsweise die Auftragsverarbeitung (§ 29 KDG), die Vornahme einer Datenschutz-Folgeabschätzung (§ 35 KDG) und die erweiterten Maßnahmen der Datenschutzaufsicht bei Verstößen (§ 47 KDG).

Neben dem KDG existieren im katholischen Bereich weitere Vorschriften, die den Datenschutz ergänzen oder spezielle Bereiche regeln. Dazu zählen beispielsweise besondere kirchliche Regelungen zum Beicht- und Seelsorgegeheimnis, spezifische Datenschutzbestimmungen in einzelnen Bistümern – etwa zum Schutz von Patientendaten in katholischen Krankenhäusern – sowie dienstrechtliche Schweigepflichten für Mitarbeitende, wie sie etwa in den Arbeitsvertragsrichtlinien (AVR-Caritas) festgelegt sind. Auch staatliche Vorschriften, etwa die strafrechtliche Schweigepflicht nach § 203 StGB, gehen dem KDG in bestimmten Fällen vor.

Diese Vorschriften sorgen dafür, dass der Datenschutz in der katholischen Kirche umfassend und differenziert geregelt ist und sowohl kirchliche als auch staatliche Anforderungen berücksichtigt werden.

Eigene Datenschutzgerichtsbarkeit

Die katholische Kirche in Deutschland verfügt über eine eigene Datenschutzgerichtsbarkeit, die auf ihrem verfassungsrechtlich garantierten Selbstbestimmungsrecht und dem besonderen Mandat des Apostolischen Stuhls basiert. Die kirchliche Datenschutzgerichtsbarkeit besteht aus zwei Instanzen: dem Interdiözesanen Datenschutzgericht (IDSG) als erster Instanz mit Sitz in Köln und dem Datenschutzgericht der Deutschen Bischofskonferenz als zweiter Instanz in Bonn.

Diese Gerichte sind zuständig für die Überprüfung von Entscheidungen der kirchlichen Datenschutzaufsichten sowie für gerichtliche Rechtsbehelfe von betroffenen Personen gegen Verantwortliche oder Auftragsverarbeiter innerhalb der Kirche. Die katholische Datenschutzgerichtsbarkeit ist damit ein eigenständiges System, das dem unionsrechtlichen Rahmen der EU-DSGVO entspricht, aber zunächst innerkirchliche Rechtswege vorsieht, bevor staatliche Gerichte angerufen werden können.

Nicht alles Neu macht das KDG

Das Kriterium des „Einklangs“ hat in der Praxis einen großen Vorteil: Das katholische Datenschutzrecht in Deutschland bietet ein eigenständiges, jedoch an die DSGVO angepasstes Regelwerk, das die besonderen Anforderungen kirchlicher Arbeit berücksichtigt. Es schützt die Rechte der Betroffenen umfassend und wird kontinuierlich weiterentwickelt, um aktuellen gesellschaftlichen und technischen Herausforderungen gerecht zu werden.