Kirchlicher Datenschutz
Praxisratgeber
Auch im kirchlichen Engagement müssen Datenschutzvorgaben beachtet werden. Für kirchliche Vereine und Organisationen kommt zu den üblichen Pflichten, wie in unserem Basiswissen beschrieben, oft noch eine besondere Schwierigkeit dazu: Manche Kirchen und Religionsgemeinschaften wenden nicht die Datenschutzgrundverordnung (DSGVO) direkt an, sondern haben ein eigenes kirchliches Datenschutzrecht. Dieses gilt nicht nur für Gemeinden und die oberen kirchlichen Ebenen, sondern muss in der Regel auch in kirchlichen Vereinen statt der DSGVO angewendet werden.
Wie weiter unten im Abschnitt Kirchliche Regelungen ausgeführt wird, ist dies vor allem im Bereich der beiden großen christlichen Kirchen relevant. Für Ehrenamtliche im christlichen Bereich kommen damit zusätzliche Datenschutz-Aufgaben im Vergleich zu rein "weltlichen" Vereinen dazu: Sie müssen klären, ob für sie kirchliches Recht gilt, und welche Besonderheiten und Abweichungen von der DSGVO dieses Recht vorsieht. Auch bei der Zusammenarbeit mit anderen Organisationen und Dienstleistern gibt es Dinge, die zusätzlich beachtet werden müssen.
Europarechtliche Grundlagen für kirchliches Datenschutzrecht
Allgemeine Regelungen
Die DSGVO selbst hat nur eine spezielle Regelung für den kirchlichen Bereich: Während unter normalen Umständen Daten über religiöse Überzeugungen zu den besonders zu schützenden "besonderen Kategorien personenbezogener Daten" gehören (Art. 9 Abs. 1 DSGVO), die nur unter sehr strengen Bedingungen überhaupt verarbeitet werden dürfen, gibt es für Religionsgemeinschaften eine Ausnahme: Religiös ausgerichtete Stellen dürfen Daten über religiöse Überzeugungen von aktuellen oder ehemaligen Mitgliedern und Personen, mit denen die Organisation regelmäßig Kontakt hat, intern wie "normale" personenbezogene Daten verarbeiten (Art. 9 Abs. 2 lit. d) DSGVO).
Das bedeutet nicht, dass aus religiösen Gründen erforderliche Datenverarbeitung über diesen Spezialfall hinaus gar nicht oder nur mit expliziter Einwilligung möglich ist. In der Europäischen Grundrechtecharta ist genauso wie das Grundrecht auf Datenschutz (Art. 8 GRCh) auch das Grundrecht auf Religionsfreiheit (Art. 10 GRCh) festgelegt – im Zweifelsfall müssen diese beiden Grundrechte abgewogen werden. Dazu kommt, dass Art. 17 AEUV, einer der grundlegenden Rechtstexte der EU, das jeweilige Staat-Kirche-Verhältnis in den EU-Mitgliedsstaaten schützt. Die traditionell weit ausgelegte institutionelle Religionsfreiheit, die Kirchen und Religionsgemeinschaften in Deutschland genießen, wird durch das EU-Recht grundsätzlich also nicht bedroht.
Art. 91 DSGVO ermöglicht ein eigenes Datenschutzrecht
Schon auf Grundlage dieser EU-Rechtsakte ist es für Kirchen und Religionsgemeinschaften also möglich, ihre besonderen religiösen Erfordernisse mit den Bestimmungen des Datenschutzes in Einklang zu bringen. Darüber hinaus gibt es – wenn auch unter sehr engen Bedingungen – die Möglichkeit, dass Religionsgemeinschaften ein eigenes Datenschutzrecht anwenden. Geregelt ist das in Art. 91 DSGVO: "Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften" ist er überschrieben. Dem Wortlaut nach ermöglicht er nur solchen Gemeinschaften eigenes Datenschutzrecht, die schon vor Inkrafttreten der DSGVO umfassende Datenschutzregelungen hatten, also vor Mai 2016. Diese Gemeinschaften sind verpflichtet, ihr eigenes Recht in Einklang mit den Wertungen der DSGVO zu bringen: Kirchliches Datenschutzrecht darf also das Datenschutzniveau nicht willkürlich senken, bestenfalls aus spezifisch religiösen Gründen sind Abweichungen nach unten zulässig – eine Regelung, die Taufbücher von Lösch- und Widerspruchsrechten ausnimmt, wäre ein wohl zulässiges Beispiel.
Das Kriterium des "Einklangs" hat in der Praxis einen großen Vorteil: Die meisten Religionsgemeinschaften haben die DSGVO in weiten Teilen fast wörtlich übernommen. Auch wenn es kaum Literatur zu den kirchlichen Datenschutzgesetzen gibt , können für ihre Auslegung in der Regel auch Kommentare, Fachliteratur und Gerichtsentscheidungen zur DSGVO herangezogen werden.
Art. 91 Abs. 2 DSGVO regelt, dass auch Religionsgemeinschaften mit eigenem Datenschutzrecht einer Datenschutzaufsicht unterliegen müssen. Es ist allerdings möglich, dass diese nicht von den staatlichen Behörden ausgeübt wird, sondern von "spezifischen" Aufsichten. Theoretisch ist denkbar, dass diese Aufsichten spezielle für Kirchen zuständige staatliche Behörden sind. Praktisch ist es aber so, dass diese Regelung so interpretiert und angewandt wird, dass die Religionsgemeinschaften selbst kirchliche Aufsichtsbehörden einrichten – diese müssen allerdings alle Anforderungen erfüllen, die die DSGVO auch an die regulären staatlichen stellt.
Leider regelt Art. 91 DSGVO nicht alles, was wünschenswert wäre: So gibt es keine expliziten Regeln dazu, wie gerichtliche Rechtsbehelfe im kirchlichen Datenschutz aussehen. In der Praxis wird das so gehandhabt, dass die zuständige kirchliche Gerichtsbarkeit oder Schlichtungsstelle zuständig ist. Im römisch-katholischen Bereich wurden dazu von der Kirche eine eigene Datenschutzgerichtsbarkeit mit zwei Instanzen eingerichtet, im landeskirchlich-evangelischen Bereich sind die allgemeinen kirchlichen Verwaltungsgerichte der Landeskirchen und der EKD zuständig. Bei Freikirchen sind jeweils die Kirchenordnungen daraufhin zu prüfen, ob und welche Gremien für Rechtsbehelfe zuständig sind. Staatliche Gerichte kommen nur dann zum Zug, wenn der kirchliche Rechtsweg ausgeschöpft ist. Eine Klage muss sich also immer erst an das zuständige kirchliche Gericht wenden.
Abweichend davon haben die kirchlichen Rechtssysteme in der Regel keine Kompetenz, Schadensersatz zu verhängen, obwohl die kirchlichen Gesetze wie die DSGVO Schadensersatzansprüche bei Datenschutzverletzungen vorsehen. Hier kann direkt bei staatlichen Gerichten geklagt werden, entweder vor dem Amtsgericht, oder in arbeitsrechtlichen Konflikten vor dem Arbeitsgericht.
Art. 91 DSGVO sieht außerdem weder eine Anmeldepflicht für kirchlichen Datenschutz noch Mechanismen vor, wie rechtlich geprüft wird, ob die kirchliche Eigenregelungen den Vorgaben der DSGVO entsprechen. Das erste führt dazu, dass keine vollständige Liste aller kirchlichen Datenschutzgesetze und -aufsichten bekannt ist. Es ist für jede Gemeinschaft einzeln zu prüfen, ob sie von Art. 91 DSGVO Gebrauch macht. Das zweite führt zu der Unklarheit, wie Betroffene bei Zweifeln an den kirchlichen Gesetzen vorgehen können. Letzten Endes müsste der Europäische Gerichtshof mit der Frage befasst werden, ob eine kirchliche Regelung den Anforderungen der DSGVO entspricht; die kirchlichen Gerichte dürfen in der Regel selbst keine Normen überprüfen. Sehr wohl dürften sie aber dem EuGH Fragen zum Europarecht vorliegen.
Kirchliche Regelungen
Wie viele und welche Religionsgemeinschaften eigenes Datenschutzrecht, ist nicht umfassend bekannt. Neben den beiden großen Kirchen in Deutschland wenden mindestens 15 Gemeinschaften eigene Regelungen an. Dabei ist auffällig, dass lediglich christliche Kirchen von den Möglichkeiten von Art. 91 DSGVO Gebrauch machen. Auch international ist das so: Europaweit ist keine einzige nichtchristliche Religionsgemeinschaft mit eigenem Datenschutzrecht bekannt. Mit Ausnahme von Deutschland, Polen und Österreich ist es sogar nur die katholische Kirche, die sich eigene Regelungen gegeben hat. Lediglich in Polen gibt es eine orthodoxe Kirche mit Datenschutzrecht, ansonsten beschränkt sich die kirchliche Datenschutzlandschaft auf Kirchen westlicher Tradition.
Die beiden großen kirchlichen Datenschutzregime sind das römisch-katholische und das evangelisch-landeskirchliche. Während innerhalb der Evangelischen Kirche in Deutschland (EKD) das einheitliche Datenschutzgesetz DSG-EKD gilt, wird das katholische "Gesetz über den kirchlichen Datenschutz" (KDG) aufgrund kirchenrechtlicher Bestimmungen in jedem Bistum einzeln, aber weitgehend wortgleich, erlassen. Zu den 27 diözesanen KDGs kommt ein KDG für die Militärseelsorge und den Verband der Diözesen Deutschlands, den Rechtsträger der katholischen Kirche auf Bundesebene. Für diejenigen Orden, die direkt dem Papst unterstehen – dazu gehören die großen bekannten Orden wie die Benediktiner und Jesuiten – gibt es außerdem die "Kirchliche Datenschutzregelung der Ordensgemeinschaften" (KDR-OG), die formal von jedem einzelnen Orden erlassen wurde, in der Praxis aber in allen Gemeinschaften identisch ist. Die KDR-OG tauscht einige Begriffe im Vergleich zum KDG aus, ist ansonsten aber identisch aufgebaut. Alle römisch-katholischen Regelungen sind so kompatibel, dass gemeinsame Datenschutzaufsichten möglich sind und auch mit regionaler Zuständigkeit errichtet wurden. Die kirchliche Datenschutzgerichtsbarkeit, die aus dem Interdiözesanen Datenschutzgericht (IDSG) als erste Instanz und dem Datenschutzgericht der Deutschen Bischofskonferenz (DSG-DBK) besteht, ist für Fälle zu allen römisch-katholischen Datenschutzgesetzen in Deutschland zuständig.
Beide großen Datenschutzregime, das römisch-katholische wie das landeskirchliche, strahlen in ihre jeweilige konfessionelle Nachbarschaft aus. Im katholischen Bereich lehnt sich die "Bischöfliche Verordnung über den kirchlichen Datenschutz" (KDO) des alt-katholischen Bistums stark ans KDG an, weitere Kirchen aus der katholischen Tradition mit eigenem Datenschutzrecht sind nicht bekannt.
Die meisten der Kirchen aus der protestantischen Konfessionsfamilie lehnen sich mehr oder weniger stark an das DSG-EKD an. Teils gibt es sehr enge Anlehnungen, teils freiere Umsetzungen. Einige freikirchliche Verbände haben in Anlehnung an das DSG-EKD für ihre meist "Datenschutzordnung" (DSO) genannten Gesetze zudem eine eigene Vorlage zugrunde gelegt, die freikirchliche Besonderheiten, insbesondere die Frage nach der Zuordnung von Einrichtungen zur jeweiligen Freikirche, eigenständig regelt.
Schließlich gibt es noch Gemeinschaften, deren Regelungen deutlich von den großen Gesetzesfamilien abweichen. Dabei gibt es sehr eigenständige Lösungen wie in der Neuapostolischen Kirche oder bei den Zeugen Jehovas, aber auch die Variante der Heilsarmee, die die DSGVO weitgehend wörtlich und inklusive der Nummerierung der Artikel übernommen hat, wobei nicht benötigte Artikel der DSGVO als nicht mit Inhalt besetzt gekennzeichnet werden.
Einige der Religionsgemeinschaften stellen eigenes Informationsmaterial zu ihren Regelungen bereit, das sich allerdings meist auf Musterformulare beschränkt. Literatur zu den kleineren Gemeinschaften ist quasi nicht vorhanden. Aufgrund des von der DSGVO geforderten Einklangs können Informationen zur DSGVO sinngemäß hinzugezogen werden, außerdem ist die Literatur zu den beiden großen Regelungskreisen der römisch-katholischen und der landeskirchlich-evangelischen Kirchen für die daran angelehnten Regelungen sinngemäß anwendbar.
Welches Recht gilt?
Eindeutige Fälle
Die Frage, ob und welches kirchliche Datenschutzrecht gilt, kann gerade bei mit der Kirche verbundenen Vereinen bisweilen nicht ganz einfach entschieden werden. Einfach ist die Zuordnung immer im engsten Kreis der verfassten Kirche, also bei den Einrichtungen der Kirchenleitung (Bistum, Landeskirche, Kirchenamt …) und bei den einzelnen Gemeinden. (Einzelne freikirchliche Gesetze gestatten Gemeinden aber eine Wahlmöglichkeit, statt des kirchlichen Gesetzes die DSGVO anzuwenden.)
Klar ist auch, dass rechtlich unselbständige Teile von Stellen der verfassten Kirche ebenfalls dem jeweiligen kirchlichen Datenschutzrecht unterliegen: Organe und Gremien wie Kirchenvorstände, Pfarrgemeinderäte, Jugendgruppen einer Gemeinde, aber auch Elternbeiräte an gemeindlichen Kindertagesstätten sind in der Regel keine eigenen datenschutzrechtlichen Verantwortliche und unterliegen dem jeweiligen kirchlichen Datenschutzrecht.
Eindeutig sind auch die Fälle, in denen Datenschutzgesetze bestimmte Einrichtungstypen explizit aufzählen. Das KDG benennt etwa Einrichtungen des Caritasverbands, das DSG-EKD solche des Diakonischen Werks.
Kein kirchlicher Datenschutz trotz Kirchennähe
Kein kirchlicher Datenschutz wird dann angewandt, wenn die Religionsgemeinschaft, der sich eine Einrichtung zuordnet, kein eigenes Datenschutzrecht hat. Das gilt beispielsweise für alle jüdischen und muslimischen Gemeinschaften, aber auch für orthodoxe christliche Kirchen. Genauso ist es bei "echten" ökumenischen Einrichtungen, in denen keine der beteiligten Religionsgemeinschaften die Federführung hat. In organisatorisch "unechten" ökumenischen Einrichtungen, die zwar gemeinschaftsübergreifend kooperieren, in denen aber eine Gemeinschaft rechtlich die Federführung hat, etwa durch eine Satzungsregelung, gilt das Datenschutzrecht der beherrschenden Gemeinschaft.
Kirchliches Recht wird außerdem nicht in rein wirtschaftlichen Einrichtungen angewandt, selbst wenn sie vollständig in kirchlichem Besitz sind. Beispiele dafür sind kirchliche Energieeinkaufsgesellschaften, deren einzige Aufgabe die Beschaffung von Energie auf dem Markt und die anschließende Versorgung kirchlicher Einrichtungen ist, nicht aber caritiative und diakonische Einrichtungen wie Krankenhäuser, die zwar auf dem Markt agieren, deren Zielsetzung aber aus den Grundsätzen der Glaubensgemeinschaft folgt. Fördervereine, die sich auf eine rein finanzielle Förderung beschränken, sind nach Ansicht mancher Autor*innen ebenfalls als rein wirtschaftlich einzustufen und daher nicht im Bereich des kirchlichen Rechts. Hier kommt es aber auf die genaue Zielsetzung an, die oft neben der rein materiellen Förderung auch aus ideellen kirchlichen Zielen besteht.
Besondere Zuordnungsregeln
Je nach kirchlichem Gesetz gibt es auch rechtliche Grenzfälle, in denen die Zuordnung nicht offensichtlich ist. Im Bereich der EKD regelt ein eigenes "Zuordnungsgesetz", wie Einrichtungen offiziell und mit rechtlichen Konsequenzen zu kirchlichen werden; außerdem legt das DSG-EKD fest, dass die zuständige oberste Ebene eine Liste der Einrichtungen zu führen hat, in denen das DSG-EKD gilt. Ähnliche Regelungen gibt es in manchen freikirchlichen Gesetzen, die bestimmen, dass die jeweilige Datenschutzordnung nur in Einrichtungen gilt, die in den offiziellen Jahrbüchern der Gemeinschaft als kirchlich benannt werden. Andere freikirchliche Regelungen sehen vor, dass der Vorstand einer Einrichtung gegenüber der Kirchenleitung erklären muss, dass die Einrichtung sich den kirchlichen Regeln unterwirft; in der Regel muss die Kirchenleitung diesen Erklärungen zustimmen.
Kirchlichkeitsprüfung
Im katholischen Bereich kann die Zuordnung besonders schwierig werden. Das KDG regelt zwar, dass es auch in allen "kirchlichen Rechtsträger ohne Rücksicht auf ihre Rechtsform" gilt. Wie diese Bestimmung aber auszulegen ist, ist nicht geklärt. Nach katholischem Verständnis ist die Vereinigungsfreiheit in kirchlichen Vereinen ein Grundrecht der Gläubigen, zugleich gibt es keine Pflicht, dass solche Vereinigungen eine besondere kirchliche Rechtsform annehmen. Gerade im ehrenamtlich geprägten Bereich von Vereinen mit kirchlicher Nähe und Zielsetzung liegen oft Fälle vor, in denen nicht klar ist, ob der Verein auch im Sinne des KDG ein "kirchlicher Rechtsträger" ist. Die Frage, ob derartige Vereine eine der definierten kirchlichen Rechtsformen haben müssen (das sind private und öffentliche kanonische Vereine), oder ob bereits ein Zusammenschluss ohne kirchliche Rechtsform (sogenannte "freie Zusammenschlüsse von Gläubigen") genügt, ist kirchenrechtlich noch nicht geklärt.
Ob eine Einrichtung in dem Sinne kirchlich ist, dass sie kirchlichem Recht und damit dem KDG unterfällt, wird nach den Kriterien der "Kirchlichkeitsprüfung" bewertet, die die Deutsche Bischofskonferenz zur Verfügung stellt. Dabei gibt es aber keine klaren Entscheidungsregeln, sondern nur den Hinweis, dass jeweils im Einzelfall geklärt werden muss, ob in der Gesamtschau der Kriterien eine hinreichende Kirchlichkeit gegeben ist. Die Kriterien lassen sich dabei in die drei Kategorien Teilhabe am kirchlichen Auftrag, organisatorische Verbundenheit und wirtschaftliche Zielsetzung aufteilen.
Der letzte Punkt wurde bereits angesprochen: Rein wirtschaftlich tätige Einrichtungen unterfallen nicht dem kirchlichen Recht. Bei der Zielsetzung muss überprüft werden, ob auf Grundlage des Vereinszwecks oder eines Auftrags der kirchlichen Obrigkeit eine Kirchlichkeit vorliegt. Eine organisatorische Verbundenheit zeigt sich in personellen Verknüpfungen von Organen der Einrichtung (Vorstand, Aufsichtsrat) mit kirchlichen Stellen und Amtsträgern, Aufsichts- und Mitwirkungsrechten (beispielsweise Genehmigungsvorbehalte für Satzungsänderungen durch die Kirche) oder finanziellen Zuwendungen von der Kirche. Ein deutliches Zeichen für eine Kirchlichkeit sind auch entsprechende explizite Satzungsregelungen, die kirchliches Recht für anwendbar erklären, eindeutig ist die Festlegung eines kirchlichen vereinsrechtlichen Status, der eine kirchliche Rechtspersönlichkeit einschließt, also die Form eines privaten rechtsfähigen oder öffentlichen kanonischen Vereins.
Im Zweifel empfiehlt es sich, so weit es möglich ist, die Kriterien der Kirchlichkeitsprüfung für die jeweilige Stelle zusammenzutragen und die potentiell zuständige kirchliche Aufsicht und die relevante obere kirchliche Ebene um eine Einschätzung zu bitten.
So kompliziert die Zuordnung auch sein kann: Ein Fehler bei der Zuordnung dürfte aufgrund des Einklangs zwischen kirchlichem Datenschutzrecht und der DSGVO in der Regel keine schlimmen Konsequenzen haben. Auch bei Unklarheiten ist eines sicher: Einen datenschutzfreien Raum gibt es nicht, es gilt in jedem Fall ein Datenschutzgesetz. Sollte in Ausnahmefällen das potentiell einschlägige kirchliche Datenschutzgesetz eine von der DSGVO abweichende Regelung vorsehen, stellt es in der Regel keine große Belastung dar, freiwillig das stärkere Schutzniveau der DSGVO oder des kirchlichen Datenschutzgesetzes zu erfüllen.
Typische inhaltliche Besonderheiten in kirchlichen Datenschutzgesetzen
Angesichts von mehr als 15 verschiedenen Gesetzen ist eine Analyse jedes einzelnen Gesetzes mit seinen Abweichungen nicht praktikabel. Synopsen von DSGVO und KDG oder DSG-EKD gibt es in der Fachliteratur (z. B. Golland: Kirchliches Datenschutzrecht, Frankfurt am Main, 2. Aufl. 2020). Die Abweichungen und Besonderheiten der kirchlichen Datenschutzgesetze konzentrieren sich in der Regel auf einige Bereiche des Rechts, für die es sich lohnt, eine Sensibilität zu entwickeln.
Fast alle kirchlichen Datenschutzgesetze nehmen die bloße Information über eine Zugehörigkeit zu einer Religionsgemeinschaft aus den besonderen Kategorien personenbezogener Daten heraus. Solche Informationen dürfen – falls erforderlich – also wie "normale" personenbezogene Daten verarbeitet werden. Wichtig ist dabei, dass Informationen über religiöse Überzeugungen trotz der Ausnahme für die Zugehörigkeit auch im kirchlichen Datenschutz zu den besonderen Kategorien zählen. Daten zu religiösen Überzeugungen sind beispielsweise Informationen über Kirchgang oder vertretene Glaubenspositionen.
Teilweise erhebliche Abweichungen bestehen bei den Rechtsgrundlagen, die eine Verarbeitung personenbezogener Daten ermöglichen. Üblich ist eine eigene Rechtsgrundlage, die eine Verarbeitung im "kirchlichen Interesse" erlaubt; dabei ist allerdings nicht geklärt, wie kirchliches Interesse auszulegen ist. Vertreten werden sehr weitreichende Positionen, die alle in Ausübung kirchlicher Grundvollzüge – nach beispielsweise katholischem Verständnis Verkündigung, Gottesdienst und tätige Nächstenliebe – darunter fassen will, aber auch engere, die kirchliches Interesse nur da sehen, wo durch die zuständige kirchliche Obrigkeit explizit Zielsetzungen festgelegt sind, beispielsweise in Form von Verordnungen oder anderen verbindlichen Anweisungen. In der Praxis dürfte es sich gerade im ehrenamtlichen Bereich empfehlen, auf die Rechtsgrundlage "kirchliches Interesse" zu verzichten. Gerade im Bereich des DSG-EKD und seiner Ableger kann das aber schwierig werden: Dort ist bei der Rechtsgrundlage "berechtigtes Interesse" ausgeschlossen, die Interessen der verantwortlichen Stelle selbst in die Interessensabwägung einfließen zu lassen. Damit fällt die ansonsten übliche Möglichkeit, etwa Marketingmaßnahmen oder die Veröffentlichung von Fotos zu rechtfertigen, weg. Die EKD-Aufsicht, der Beauftragte der EKD für den Datenschutz, vertritt allerdings mittlerweile die Position, dass eine Kombination aus den Rechtsgrundlagen des kirchlichen und des berechtigten Interesses wie das berechtigte Interesse der DSGVO angewandt werden kann – eine Auslegung, der im Geltungsbereich des DSG-EKD gefolgt werden kann. Ob andere Aufsichten im Geltungsbereich ähnlicher Gesetze aber zum gleichen Ergebnis kommen, ist nicht sicher.
Einwilligungen sind grundsätzlich wie in der DSGVO geregelt. Abweichend davon legt das KDG fest, dass sie grundsätzlich die Schriftform erfordern, "soweit nicht wegen besonderer Umstände eine andere Form angemessen ist". In der Praxis wird diese Regelung so ausgelegt, dass die "besonderen Umstände" weit gefasst werden und sich nicht nur auf Ausnahmesituationen beziehen. Insbesondere ist es üblich, dass in online erteilten Einwilligungen kein Problem gesehen wird. Bei den besonderen Regelungen für die Einwilligung von Minderjährigen in Bezug auf "Dienste der Informationsgesellschaft" haben die einzelnen Religionsgemeinschaften sehr unterschiedliche Regeln. Insbesondere das Alter, ab dem Minderjährige selbst in die Verarbeitung bei solchen Diensten einwilligen können, variiert je nach Situation und Gesetz zwischen 0 und 16 Jahren.
Eine weitere Besonderheit ist die explizite Nennung anderer Gesetze als Rechtsgrundlage, die die DSGVO nicht kennt. Die Rechtsgrundlage "anderes Gesetz" führt dazu, dass grundsätzlich jedes kirchliche Gesetz eine Datenverarbeitung rechtfertigen kann. Gerade im katholischen Bereich wurden auf dieser Grundlage eine Vielzahl von Spezial-Datenschutzregelungen etwa zur Seelsorge in Krankenhäusern oder zum Schuldatenschutz erlassen, die teilweise nur in einzelnen Bistümern gelten. Im evangelischen Bereich gibt es eine vergleichbare gesetzgeberische Tätigkeit nur in der Bremischen Landeskirche. Statt Spezialgesetzen hat das DSG-EKD den Weg gewählt, besondere Verarbeitungssituationen im Gesetz selbst zu regeln. Das sind vor allem eine Rechtsgrundlage für das Streaming von kirchlichen Veranstaltungen und eine Rechtsgrundlage für die Datenweitergabe zur institutionalisierten Aufarbeitung sexualisierter Gewalt.
Meist regeln die kirchlichen Datenschutzgesetze explizit, dass das Seelsorge- und Beichtgeheimnis weiterhin gilt – das wäre aber ohnehin so, da diese durch höherrangiges kirchliches Recht und auch durch staatliches (Straf-)Recht geschützt sind.
Ansonsten sind besondere kirchliche Verarbeitungssituationen kaum explizit geregelt. Stattdessen gibt es an vielen Stellen der Gesetze Einschränkungen und Ausnahme aufgrund von "kirchlichen Interessen". Auch hier gilt, dass noch unklar ist, wie dieser unbestimmte Rechtsbegriff in der Praxis auszulegen ist.
Die Betroffenenrechte sind aufgrund des Erfordernisses des Einklangs grundsätzlich auch im kirchlichen Bereich vorhanden. Sie werden aber in der Regel durch kirchliches Interesse eingeschränkt. Im Bereich des DSG-EKD kommt dazu, dass Datenschutzinformationen erst auf Verlangen ausgehändigt werden müssen – es wäre also zulässig, eine Webseite ohne Datenschutzerklärung zu veröffentlichen. Da die Informationen aber auf Verlangen herausgegeben werden müssen, empfiehlt es sich nicht, von dieser Möglichkeit des DSG-EKD Gebrauch zu machen. Das DSG-EKD ist außerdem insofern weniger betroffenenfreundlich, als dass es Verantwortlichen längere Fristen für die Erteilung von Auskünften zugesteht. Statt einem Monat wie in der DSGVO haben Verantwortliche im DSG-EKD drei Monate Zeit, um Informationsbegehren zu erfüllen.
Deutlich besser gestellt sind alle kirchlichen Verantwortlichen auch bei den Bußgeldern: Die werden in der Summe auf in der Regel höchstens 500.000 Euro begrenzt, Millionenbeträge, wie sie nach der DSGVO möglich sind, stehen also nicht im Raum – auch nicht für die großen kirchlichen Krankenhauskonzerne, die teilweise Milliardenumsätze verzeichnen. Dazu kommt, dass viele kirchliche Stellen gleich ganz von Bußgeldern ausgenommen sind: Im katholischen Bereich die öffentlich-rechtlich organisierten, also Gemeinden und Bistümer sowie manche Orden, im Bereich des DSG-EKD können Bußgelder zwar gegen alle Stellen verhängt werden, aber nur in Fällen, in denen diese wirtschaftlich tätig sind.
Zusammenarbeit über Gesetze hinweg
In der Praxis besonders folgenreich sind die besonderen kirchlichen Anforderungen an Auftragsverarbeitungsverträge. Diese müssen Bezug auf kirchliches Recht und die Zuständigkeit der kirchlichen Aufsicht nehmen – das ist oft eine Herausforderung, weil AV-Verträge von Dienstleistern in der Regel Standardtexte sind, die für einzelne Auftraggeber nicht verändert werden. Im katholischen Bereich geben sich die Datenschutzaufsichten damit zufrieden, wenn wenigstens in einem Beiblatt zum Vertrag auf das kirchliche Recht verwiesen wird. Im evangelischen Bereich braucht es eine formale Erklärung, dass sich der Auftragsverarbeiter der kirchlichen Aufsicht unterwirft. Ansonsten ist katholische Auftragsverarbeitung komplizierter: Sie ist nicht in beliebigen Ländern zulässig, sondern nur in denen, in denen die DSGVO gilt oder in dem die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat, außerdem sieht das KDG zusätzliche Punkte im AV-Vertrag vor, die nach DSGVO nicht genannt werden müssen.
Eine weitere Form der Zusammenarbeit ist die "gemeinsame Verantwortlichkeit" – wenn mehrere Stellen gemeinsam datenschutzrechtlich verantwortlich sind. Wie die DSGVO sehen auch die kirchlichen Gesetze vor, dass bei solchen Fällen eine Vereinbarung über die Verteilung der jeweiligen Rechte und Pflichten vorzunehmen ist. Leider geht kein kirchliches Gesetz darauf ein, was das in Fällen bedeutet, in denen mehrere verschiedene Datenschutzgesetze im Spiel sind. Dieser Fall kommt in fast jeder Organisation schon dadurch vor, dass bei einer Facebook-Seite eine gemeinsame Verantwortlichkeit von Facebook und dem Seitenbetreiber vorliegt.
Zu den verschiedenen datenschutzrechtlichen Problemen, die eine Facebook-Seite mit sich bringt, kommt im kirchlichen Bereich so eine weitere hinzu: Das von Facebook angebotene Musterformular zur gemeinsamen Verantwortlichkeit geht natürlich nicht darauf ein, dass kirchliche Stellen einem anderen Gesetz und einer anderen Aufsicht unterliegen. Gemeinsame Verantwortlichkeit liegt aber oft auch bei Kooperationen vor, etwa wenn katholische und evangelische Pfadfinder*innen ein gemeinsames Zeltlager anbieten. Hier bietet es sich an, sich in der Vereinbarung über die gemeinsame Verantwortlichkeit freiwillig auf das jeweilige strengere Datenschutzniveau zu verpflichten, also beispielsweise trotz der Möglichkeiten des DSG-EKD wie von KDG und DSGVO vorgesehen eine Datenschutzerklärung vorab zur Verfügung zu stellen. Leider gibt es für gesetzesübergreifende gemeinsame Verantwortlichkeit noch keine Musterformulare.
Verhältnismäßig einfach ist es, wenn für ökumenische Kooperationen neue Rechtsträger gegründet werden: Wie oben schon dargelegt, gilt dort entweder das Datenschutzrecht der beherrschenden Organisation, oder es gilt die DSGVO.
Fazit
Dass manche Kirchen und Religionsgemeinschaften eigenes Datenschutzrecht anwenden, stellt gerade im Ehrenamt eine zusätzliche Herausforderung beim ohnehin anspruchsvollen Thema Datenschutz dar. Diese Herausforderung lässt sich aber in der Praxis gut bewältigen: Der von den kirchlichen Gesetzen geforderte Einklang bewirkt, dass die Gesetze nicht übermäßig von der DSGVO abweichen und Literatur und Hilfestellungen aus dem staatlichen Bereich auch im kirchlichen sinngemäß verwendet werden können. Mit einer gewissen Sensibilität dafür, wo mit Abweichungen zu rechnen ist, kann auch in kirchlichen Vereinen ein gutes Datenschutzmanagement aufgebaut werden.
Schließlich ist es hilfreich, dass im kirchlichen Datenschutz niemand allein ist: Das jeweilige Recht gilt für alle kirchlichen Einrichtungen, es gibt also immer andere, die man fragen kann. Darüber hinaus sollten auch die Kirchenleitungen in die Verantwortung genommen werden: Diese haben schließlich aktiv entschieden, eine eigene Regelung statt der allgemeingültigen DSGVO anzuwenden. Damit stehen sie auch in der Pflicht, die ihnen zugeordneten Einrichtungen bei der Anwendung ihres eigenen Gesetzes zu unterstützen.
Aufzeichnung des Webinar "Besonderheiten im Bereich kirchlichen Engagements" zum Nachschauen
Autor: Felix Neumann