Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Kirchen, Religionsgemeinschaften und kirchliche Einrichtungen

Die Kirchen und andere Religionsgemeinschaften verarbeiten u. a. personenbezogene Daten ihrer Amtsträger, ihrer Mitglieder und sonstigen Mitarbeiter. Dazu können Daten von Spendern kommen sowie von Personen, die in kirchlichen Einrichtungen pastoraler, sozialer, diakonisch-caritativer oder kultureller Art betreut werden. Die verfassungsrechtliche Sonderstellung der Kirchen führt beim anwendbaren Datenschutzrecht zu Besonderheiten.

es ist die Vorderansicht des Berliner Doms abgebildet
Quelle: ©Kurt Hochrainer - stock.adobe.com

Zwischen der verfassungsrechtlich garantierten Sonderstellung der Kirchen und dem staatlichen Datenschutzrecht besteht ein Spannungsverhältnis. Die Frage nach dem anwendbaren Datenschutzrecht ist daher nicht immer einfach zu beantworten.

Kirchen und Religionsgemeinschaften

Mit Blick auf die verfassungsrechtlich garantierte Sonderstellung von Religionsgemeinschaften kann sich eine solche darauf berufen, dass für sie ein eigenes Datenschutzrecht gilt. Das ist dann möglich, wenn dieses Datenschutzrecht die Voraussetzungen des Art. 91 Abs. 1 Datenschutz-Grundverordnung (DSGVO) erfüllt. Diese Regelung setzt voraus, dass die Religionsgemeinschaft zum Zeitpunkt des Inkrafttretens der DSGVO, d. h. zum 25. Mai 2016, umfassende Regeln zum Schutz natürlicher Personen bei der Datenverarbeitung angewandt hat und diese Regeln mit der DSGVO in Einklang gebracht wurden. Art. 91 Abs. 1 DSGVO räumt nur für diesen Fall einen Bestandsschutz für das bestehende Recht der Religionsgemeinschaft ein.

Zudem dürfen diese Institutionen nach Art. 91 Abs. 2 DSGVO eigene unabhängige Datenschutzaufsichtsbehörden einrichten. Diese Voraussetzungen treffen in Deutschland zumindest auf die römisch-katholische Kirche und diejenigen Kirchen und Einrichtungen zu, für die das Datenschutzgesetz der Evangelischen Kirche in Deutschland gilt. Denn die Evangelische Kirche in Deutschland hat mit dem Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-DSG) und die römisch-katholische Kirche in Deutschland hat mit dem Gesetz über den Kirchlichen Datenschutz (KDG) eigene Datenschutzvorschriften erlassen. Diese sind weitgehend an die Bestimmungen der DSGVO und des Bundesdatenschutzgesetzes (BDSG) angepasst und sehen auch die Einrichtung kirchlicher Datenschutzbeauftragter vor. Die Kontaktdaten der kirchlichen Datenschutzbeauftragten sind:

Evangelische Kirche:

Der Beauftragte für den Datenschutz der EKD
Lange Laube 20
30159 Hannover

Tel.: (0511) 768128-0
E-Mail: info@datenschutz.ekd.de

www.datenschutz.ekd.de

Katholische Kirche:

Für den Bereich der Katholischen Kirche ist die Zuständigkeit auf die Bistümer wie folgt verteilt:

  • Ostdeutsche Bistümer
    Berlin, Dresden-Meißen, Erfurt, Görlitz, Magdeburg
  • Norddeutsche Bistümer
    Hamburg, Hildesheim, Osnabrück, Münster (niedersächsischer Teil)
  • Nordrhein-Westfälische Bistümer
    Aachen, Essen, Köln, Münster (nordrhein-westfälischer Teil), Paderborn
  • Bayerische Bistümer
    Augsburg, Bamberg, Eichstätt, München-Freising, Passau, Regensburg, Würzburg
  • Mittel- und Südwestdeutsche Bistümer
    Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer, Trier

Eine Übersicht mit den Zuständigkeiten sowie die Kontaktdaten der einzelnen Datenschutzaufsichten der Katholischen Kirche in Deutschland finden Sie auf der Website der deutschen Bischofskonferenz.

Darüber hinaus kann es noch weitere Kirchen oder religiöse Vereinigungen geben, die legitimerweise ein eigenes Datenschutzrecht mit eigener Datenschutzaufsicht haben. Sollten Sie als Vertreter(in) einer Kirche oder einer religiösen Vereinigung oder Gemeinschaft davon ausgehen, die Voraussetzungen des Art. 91 DSGVO zu erfüllen, wird darum gebeten, sich unter Darlegung der entsprechenden Voraussetzungen (Bestehen der datenschutzrechtlichen Regelungen zum 25. Mai 2016, Anpassung dieser Regelungen an die DSGVO, Anforderungen an die datenschutzrechtliche Aufsicht gemäß Kapitel VI DSGVO) an die für das Sitzland zuständige Aufsichtsbehörde zu wenden. Diese wird das Vorliegen der Voraussetzungen des Artikels 91 DSGVO prüfen und Sie sowie die übrigen Aufsichtsbehörden über das Ergebnis dieser Prüfung informieren. Sofern die Voraussetzungen erfüllt sind, werden die Datenschutzaufsichtsbehörden des Bundes und der Länder eine Beteiligung im Sinne von § 18 Abs. 1 Satz 4 Bundesdatenschutzgesetz (BDSG) sicherstellen.

Datenschutz in kirchlichen Einrichtungen

Zur Einordnung kirchlicher Einrichtungen außerhalb des unmittelbaren innerkirchlichen Bereichs in das Regelungssystem des Datenschutzrechts ist die Frage zu klären, wann DSGVO und BDSG gelten und wann der Anwendungsbereich des kirchlichen Datenschutzrechts eröffnet ist. Zunächst ist festzuhalten, dass sowohl das EKD-DSG als auch das KDG nicht nur auf den Bereich der sogenannten verfassten Kirche, sondern auch auf die Datenverarbeitung durch kirchliche Einrichtungen anwendbar sind. Ausschlaggebend ist hierbei, dass die von der Datenverarbeitung betroffene Person die Leistungen der kirchlichen Einrichtung in Anspruch genommen hat. Sie muss nicht selbst der Kirche angehören.

Auf den ersten Blick gelten DSGVO und BDSG immer dann, wenn öffentlich-rechtliche Religionsgemeinschaften in Form von privaten Wirtschaftsunternehmen (z. B. Krankenhäuser, Pflegedienste oder Kindertagesstätten) tätig werden, weil es sich in diesem Fall um nichtöffentliche Stellen im Sinne von § 2 Abs. 4 BDSG handelt. Mit Blick auf das verfassungsrechtlich garantierte Selbstbestimmungsrecht von Religionsgemeinschaften ist jedoch eine differenzierte Betrachtungsweise notwendig:

Privatrechtliches Handeln der Kirchen als kircheneigene Angelegenheit unterliegt grundsätzlich nicht der DSGVO und dem BDSG

Auch bei einem Handeln der Kirche im privaten Bereich muss danach unterschieden werden, ob es sich bei dieser Tätigkeit um eine kircheneigene Angelegenheit handelt oder nicht. Das Selbstverwaltungsrecht erstreckt sich nämlich auf alle der Kirche in bestimmter Weise zugeordneten Einrichtungen ohne Rücksicht auf ihre Rechtsform. Voraussetzung ist nur, dass diese nach kirchlichem Selbstverständnis ihrem Zweck oder ihrer Aufgabe entsprechend berufen sind, ein Stück Auftrag der Kirche wahrzunehmen und zu erfüllen. Die Zugehörigkeit der Einrichtung zur Kirche wird auch nicht dadurch aufgehoben, dass sich die Kirche einer Organisationsform des staatlichen Rechts bedient. Erst recht würde dies im Falle einer organisatorischen Anbindung der Einrichtung an die Kirche deutlich, wenn beispielsweise leitende Mitarbeiter des Krankenhauses gegenüber der Amtskirche verantwortlich wären, sei es auf Grund eines kirchlichen Dienstverhältnisses, sei es auf Grund einer Rechenschaftspflicht. Fazit: Ist die Tätigkeit einer Einrichtung dem kirchlichen Verkündigungsauftrag zuzurechnen, gilt ausschließlich das kirchliche Datenschutzrecht.

Privatrechtliches Handeln der Kirchen in den übrigen Aufgaben unterliegt der DSGVO und dem BDSG

Etwas anderes muss gelten, wenn die Kirchen außerhalb des karitativen oder sonst zum kirchlichen Auftrag gehörenden Bereichs in Formen des Privatrechts tätig werden (z. B. Brauereien) oder wenn Daten durch die Teilnahme am allgemeinen Rechtsverkehr anfallen (z. B. im Rahmen der Vermietung von Wohnungen). In diesen Fällen ist die Anwendbarkeit der DSGVO und des BDSG ohne Zweifel zu bejahen. Wenn eine institutionelle Verbindung zur Kirche völlig fehlt, kann nicht mehr vom kircheneigenen Bereich gesprochen werden. Dies ist bei eigenständigen Praxen, die sich nur in das kirchliche Krankenhaus eingemietet haben, ebenso der Fall wie bei externen Firmen, die privatwirtschaftliche Dienstleistungen erbringen. Für diese Einrichtungen müssen die DSGVO und das BDSG ausnahmslos gelten. Für die Übermittlung von Daten durch den kircheneigenen Teil des Krankenhauses an diese Einrichtungen gilt allerdings noch das kirchliche Datenschutzrecht.