Mit ihren Millionen von Mitgliedern gehören die Kirchen in Deutschland traditionell zu den größten Datenverarbeitern. Neben den Daten ihrer Mitglieder verarbeiten sie auch viele weitere sensible Daten der ihnen zugehörigen Kindergärten, Krankenhäuser und anderen sozialen Einrichtungen. Nach Art. 91 DSGVO kommt den Kirchen eine datenschutzrechtliche Sonderstellung zu. Hiernach dürfen sie ihre eigenen datenschutzrechtlichen Regeln schaffen und anwenden, solange sie mit der DSGVO in Einklang stehen.

Kirchlicher Datenschutz in Deutschland

Die katholische Kirche hat zu diesem Zweck das Gesetz über den Kirchlichen Datenschutz (KDG), die evangelische Kirche das Kirchengesetz über den Datenschutz der evangelischen Kirche in Deutschland (DSG-EKD) an die Anforderungen der DSGVO angepasst.
Für Dich als Betroffene_n ergeben sich hieraus eine Reihe von Fragen.

Welche Rechte stehen mir als Betroffene_r kirchlicher Datenverarbeitung zu?

Die Datenschutzgesetze der Kirchen ähneln der DSGVO in Inhalt und Struktur weitestgehend. Wenn die Kirche oder eine ihr zugehörige Stelle Deine Daten verarbeitet, muss sie sich genauso wie andere Verantwortliche an die Grundsätze der Rechtmäßigkeit der Verarbeitung halten, die kirchlichen Regelungen sind insoweit dem Art. 6 der DSGVO nachgebildet. Auch die anderen Grundsätze der Datenverarbeitung wurden aus der Verordnung übernommen, lediglich in Detailfragen gibt es kleinere Abweichungen. So muss etwa die Einwilligung in die Datenverarbeitung nach dem KDG in der Regel schriftlich erfolgen.

Auch die Ansprüche, die Du geltend machen kannst, gleichen denen in der DSVGO. Dir stehen nach beiden Kirchengesetzen wie gewohnt ein Auskunftsanspruch, ein Recht auf Löschung sowie ein Recht auf Berichtigung zu. Ein Unterschied zum Löschungsanspruch der DSGVO besteht in den Kirchengesetzen darin, dass bei einem durch die Art der Speicherung bedingtem unverhältnismäßig hohen Aufwand beim Löschen der Daten ein Recht auf Einschränkung der Verarbeitung an die Stelle des Rechts auf Löschung tritt. Das bedeutet konkret, dass deine Daten dann nur noch mit Deiner Einwilligung, zur Geltendmachung Deiner Ansprüche oder wegen eines anderen wichtigen kirchlichen Interesses verarbeitet werden dürfen, aber nicht gelöscht werden müssen.

An wen wende ich mich mit meinem Anliegen?

Die Kirchen haben sich in den §§ 36 ff. ihres jeweiligen Gesetzes verpflichtet, betriebliche bzw. örtliche Datenschutzbeauftragte zu benennen. Diese Beauftragten sollen Dir bei der Geltendmachung deiner Rechte als Ansprechpartner dienen. Dies gilt für die Katholische Kirche zumindest für alle Diözesen, Kirchengemeinden, Kirchenstiftungen und für die sonstigen kirchlichen Stellen beim Vorliegen bestimmter Voraussetzungen. Die evangelische Kirche muss Beauftragte benennen, wenn mehr als zehn Personen mit der Datenverarbeitung vertraut sind. Es besteht eine Pflicht zur Veröffentlichung der Kontaktdaten der Beauftragten.

Und wenn ich eine Beschwerde habe?

Neben diesen ortsgebundenen Beauftragten haben die Kirchen jeweils unabhängige Datenschutzbehörden geschaffen, an die sich Betroffene mit Beschwerden wenden können. Diese Stellen sind befugt, Bußgelder und andere Sanktionen zu verhängen. Im Bereich der katholischen Kirche sind jeweils die Diözesandatenschutzbeauftragten für die Leitung der Datenschutzaufsicht zuständig. Die evangelische Kirche hat einen zentralen Datenschutzbeauftragten ernannt, an den viele Landeskirchen und Diakonien die Datenschutzaufsicht übertragen haben. Welche Behörde konkret zuständig ist, hängt vom Sitz der Kirche ab. Informationen hierzu finden sich auf den Internetseiten der Kirchen. Du kannst auch unseren Datenschutz-Aufsichtsbehörden-Finder verwenden.

Solltest Du Dich durch eine Entscheidung der Datenschutzaufsicht in Deinen Rechten verletzt sehen, kannst du nach § 47 Abs. 1 DSG-EKD Klage bei den zuständigen Verwaltungsgerichten der Landeskirche erheben. Eine solche Vorschrift enthält das KDG nicht. Nach der neusten Rechtsprechung des Bundesverwaltungsgerichts1 steht dir jedoch gegen kirchliche Entscheidungen dieser Art grundsätzlich der Rechtsweg zu den Verwaltungsgerichten offen. Die katholische Kirche hat zudem eine Datenschutzgerichtsordnung (KDSGO) erlassen, wonach Du innerhalb der Kirchengerichtsbarkeit durch zwei Instanzen gehen kannst. Dieses Gericht kann allerdings keine Zwangsvollstreckung anordnen und eignet sich somit nur bedingt zur effektiven Rechtsdurchsetzung.

Aktuell können wir auf Datenanfragen.de leider noch keine Datenschutzanfrage bei einer Kirche für Dich generieren, wir arbeiten jedoch darauf hin, Dir in Zukunft auch dieses Angebot zur Verfügung zu stellen.


  1. BVerwG NvwZ 2014, 1101, 1104 ↩︎

geschrieben von Lars (Humboldt Law Clinic Internetrecht, Berlin)
am
veröffentlicht unter: Creative Commons Namensnennung 4.0 International Lizenz

Titelfoto angepasst nach: „empty church seats“ von Anna Gru (Unsplash-Lizenz)