Kirchliches Datenschutzgesetz (KDG) – Neue Gebote der katholischen Kirche

Fachbeitrag

Die Vereinheitlichung des Datenschutzrechts durch die Datenschutz-Grundverordnung (DSGVO) wirkt sich auch auf die Kirche und religiöse Vereinigungen aus. Mit dem folgenden Beitrag geben wir einen kurzen Überblick über das Kirchliche Datenschutzgesetz (KDG) der katholischen Kirche.

Kirchlicher Datenschutz im Einklang mit der DSGVO

Kirchen und religiösen Vereinigungen oder Gemeinschaften dürfen nach Art. 91 DSGVO und Erwägungsgrund 165 umfassende Regelungen zum Datenschutz erlassen. Die Regelungen müssen allerdings im Einklang mit der Datenschutz-Grundverordnung stehen. Um die Anforderung zu erfüllen hat die katholische Kirche am 20.11.2017 die Inkraftsetzung des neuen Kirchlichen Datenschutzgesetzes (KDG) beschlossen, das am 24.5.2018 in Kraft tritt. Es löst die bisherige Anordnung über den kirchlichen Datenschutz (KDO) ab und berücksichtigt alle Neuerung des künftigen europäischen Datenschutzrechts. Für die Dienststellen und Einrichtungen ist damit ein hoher Anpassungsbedarf verbunden. Im Folgenden gehen wir auf einige Regelungskomplexe näher ein.

Bestellung eines Datenschutzbeauftragten

Die Kirchliche Datenschutzgesetz schreibt die Bestellung eines betrieblichen Datenschutzbeauftragten für die Diözese, die Kirchengemeinden, die Kirchenstiftungen und die Kirchengemeindeverbände gem. § 36 Abs.1 S.1 KDG zwingend vor. Das bedeutet, dass die Bestellung in diesen Fällen unabhängig von der konkreten Mitarbeiterzahl der Stellen erforderlich ist.

Für andere kirchliche Stellen wie z.B. den Deutschen Caritasverband und die Diözesan-Caritasverbände ist die Bestellung hingegen nur unter bestimmten Voraussetzungen vorgeschrieben. Erforderlich ist eine Bestellung beispielsweise, wenn die Kerntätigkeit der kirchlichen Stelle in der Verarbeitung besonderer Kategorien von personenbezogener Daten besteht oder wenn mindestens zehn Personen mit der Verarbeitung personenbezogener Informationen beschäftigt sind. Anders als nach bisherigem Recht zählen zu den Personen auch solche Mitarbeiter, die nur in der Aktenverwaltung tätig sind. Denn § 36 Abs.2 KDG spricht von Personen, die sich „ständig mit der Verarbeitung personenbezogener Daten beschäftigen“ wohingegen die bisherige Regelung in § 20 Abs.2 KDO eine Bestellung eines Datenschutzbeauftragten nur bei einer „automatisierten Datenerhebung, -verarbeitung oder -nutzung mehr als zehn Personen“ forderte.

Die Bestellpflicht hat sich somit auch im kirchlichen Bereich erheblich erweitert.

Verzeichnis der Verarbeitungstätigkeiten

In Angleichung an die Datenschutz-Grundverordnung unterscheidet auch das Kirchliche Datenschutzgesetz zwischen dem Verarbeitungsverzeichnis für Verantwortliche und für Auftragsverarbeiter (§ 31 Abs.1 und Abs.2 KDG). Die Pflicht gilt nach § 31 Abs.5 KDG zunächst nur für Unternehmen oder Einrichtungen, die 250 oder mehr Beschäftigte haben. Eine Pflicht zur Führung der Verzeichnisse besteht auch bei weniger als 250 Mitarbeitern, wenn durch die Verarbeitung die Rechte und Freiheiten der betroffenen Personen gefährdet werden, die Verarbeitung nicht nur gelegentlich erfolgt oder die Verarbeitung besondere Datenkategorien beinhaltet.

Außerhalb des kirchlichen Bereichs zeichnet sich bereits ab, dass die Aufsichtsbehörden selten von einer Befreiung zur Führung des Verzeichnisses ausgehen. Begründet wird dies damit, dass es im Rahmen von Beschäftigungsverhältnissen regelmäßig zur Verarbeitung von Gesundheitsdaten (z.B. in Zusammenhang mit AU-Bescheinigungen) kommt und somit fast immer auch besondere Kategorien personenbezogener Daten verarbeitet werden. Diese Auffassung lässt sich voraussichtlich auch auf den kirchlichen Bereich übertragen. Es bleibt aber abzuwarten, wie sich die kirchlichen Aufsichtsorgane hierzu positionieren.

Rechtsgrundlagen zur Verarbeitung personenbezogener Daten

Auch bei der Verarbeitung von personenbezogenen Daten durch kirchliche Stellen gilt das Verbot mit Erlaubnisvorbehalt. In § 6 KDG werden zahlreiche Rechtsgrundlagen aufgezählt, die eine Datenverarbeitung rechtfertigen können. Rechtmäßig ist die Datenverarbeitung z.B. wenn das KDG oder eine andere kirchliche oder staatliche Rechtsvorschrift die Verarbeitung erlaubt oder anordnet oder die betroffene Person in die Verarbeitung einwilligt. Viele der dort aufgeführten Rechtsgrundlagen ähneln denen in Art. 6 DSGVO.

Informationspflichten und Betroffenenrechte

Zur Angleichung an die Vorgaben der Datenschutz-Grundverordnung enthält auch das Kirchliche Datenschutzgesetz Regelungen zu den Informationspflichten und den Rechten der Betroffenen. Während § 14 KDG vergleichbar mit Art. 12 DSGVO allgemeine Formvorschriften zur Weitergabe der Informationen an den Betroffenen enthält, regeln die §§ 15 und 16 KDG entsprechend den Art. 13 und 14 DSGVO den Umfang der Pflichten bei einer unmittelbaren bzw. mittelbaren Datenerhebung.

In den §§ 17 bis 25 KDG finden sich die Betroffenenrechte. Es fand in diesem Zusammenhang eine erhebliche Ausweitung in Übereinstimmung mit der DSGVO statt. Zu den Betroffenenrechten gehört u.a. das Recht auf Auskunft (§ 17 KDG), das Recht auf Berichtigung (§ 18 KDG) und das Recht auf Löschung (§ 19 KDG).

Weitere Regelungskomplexe

Das Kirchliche Datenschutzgesetz enthält auch zu zahlreichen weiteren Regelungskomplexen Vorschriften, die die Anforderungen der Datenschutz-Grundverordnung berücksichtigen. Dazu zählt beispielsweise

  • die Auftragsverarbeitung (§ 29 KDG),
  • die Vornahme einer Datenschutz-Folgeabschätzung (§ 35 KDG) und
  • die erweiterten Maßnahmen der Datenschutzaufsicht bei Verstößen (§ 47 KDG).

Viel Anpassungsbedarf

Das neue kirchliche Datenschutzgesetz bringt eine Vielzahl von Aufgaben für den kirchlichen Bereich mit sich. Zur Vorbereitung auf die neue Gesetzeslage hat der Arbeitskreis der Diözesandatenschutzbeauftragten zahlreiche Praxishilfen erstellt. Diese Leitlinien können bei der Umsetzung der vielen Anforderungen unterstützen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. Sie haben die Evangelische Kirche übersehen. Das Kirchengesetz über den Datenschutz gibt es seit 1977. Es wurde 1994, 2002 und 2013 jeweils aktualisiert. Betriebsbeauftragte du örtlich Beauftragte für den Datenschutz gibt es schon lange. Seit 2015 auch den Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland (EKD) in Hannover. Seine Stelle berät und beaufsichtigt die örtlich Beauftragten.
    Auch hier wurde das neue EKD-Datenschutzgesetz – DSG-EKD am 15. November 2017 beschlossen. „In Wahrnehmung des (verfassungsrechtlich garantierten) Rechts stellt dieses Kirchengesetz den Einklang mit der Datenschutz-Grundverordnung her und regelt die Datenverarbeitung im kirchlichen und diakonischen Bereich.“
    https://www.kirchenrecht-ekd.de/document/39740
    https://datenschutz.ekd.de

    Arbeitshilfen und Schulungsangebote u.a. gibt es hier

    • Vielen Dank für den Hinweis zu den Arbeitshilfen. Wir haben die Evangelische Kirche natürlich nicht übersehen. Der vorliegende Beitrag zeigt den Umsetzungsbedarf des kirchlichen Datenschutz lediglich exemplarisch am KDG. Die evangelische Kirche ist in gleicher Weise mit der Umsetzung der Datenschutz-Grundverordnung konfrontiert und hat deswegen – wie von ihnen geschrieben – ebenfalls ein neues Datenschutzgesetz beschlossen.

  2. Hallo,
    werden Krankenhäuser in Trägerschaft der katholischen Kirche eigentlich auch von irgendeiner Behörde geprüft? Ich arbeite in einem kath. Krankenhaus und hier gibt es keinen Datenschutz.

    • In diesem Fall wäre die zuständige Behörde der Diözesandatenschutzbeauftragte des jeweiligen Bistums. Eine Übersicht über deren Anschriften für Hinweise und Beschwerden finden Sie hier.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.