Die Beauftragte für den Datenschutz und die Informationsfreiheit

Kirchliche Einrichtungen

Wenn öffentlich-rechtliche Religionsgemeinschaften in Form von privaten Wirtschaftsunternehmen (z.B. Krankenhäuser) tätig werden, ist die Frage nach der Anwendbarkeit des Bundesdatenschutzgesetzes nicht einfach zu beantworten.

Die Einordnung kirchlicher Einrichtungen außerhalb des unmittelbaren innerkirchlichen Bereichs in das Regelungssystem des Datenschutzrechts bereitet rechtliche Probleme, weil die Reichweite der staatlichen und der kirchlichen Datenschutzbeatimmungen auf den ersten Blick nicht klar ist. Art. 91 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) erlaubt den Kirchen und Religionsgemeinschaften die Beibehaltung eigenen Datenschutzrechts, wenn bislang ein umfassendes Datenschutzrecht bestanden hat. Zudem dürfen diese Institutionen nach Art. 91 Abs. 2 DSGVO eigene unabhängige Datenschutzbehörden einrichten. Das beantwortet aber noch nicht die Frage, wann die DSGVO und das neue BDSG gelten und wann der Anwendungsbereich des eigenen kirchlichen Datenschutzrechts eröffnet ist.

Auf den ersten Blick gelten DSGVO und BDSG immer dann, wenn öffentlich-rechtliche Religionsgemeinschaften in Form von privaten Wirtschaftsunternehmen (z.B. Krankenhäuser) tätig werden, weil es sich in diesem Fall um nicht-öffentliche Stellen i.S.v. § 1 Abs. 1 Satz 2 BDSG handelt.

Spannungsverhältnis zwischen der verfassungsrechtlich garantierten Sonderstellung der Kirchen und dem staatlichen Datenschutzrecht

Privatrechtliches Handeln der Kirchen als kircheneigene Angelegenheit unterliegt grundsätzlich nicht dem BDSG

Dieser Auffassung kann aber mit Blick auf das verfassungsrechtlich garantierte Selbstbestimmungsrecht von Religionsgemeinschaften zumindest teilweise nicht gefolgt werden. Vielmehr ist eine differenzierte Betrachtungsweise angebracht. Auch bei einem Handeln der Kirche im privaten Bereich muss danach unterschieden werden, ob es sich bei dieser Tätigkeit um eine kircheneigene Angelegenheit handelt oder nicht. Das Selbstbestimmungsrecht erstreckt sich nämlich auf alle der Kirche in bestimmter Weise zugeordneten Einrichtungen ohne Rücksicht auf ihre Rechtsform, wenn sie nach kirchlichem Selbstverständnis ihrem Zweck oder ihrer Aufgabe entsprechend berufen sind, ein Stück Auftrag der Kirche wahrzunehmen und zu erfüllen. So ist gerade die karitative Betätigung ein wesentliches Element des christlichen Bekenntnisses. Krankenpflege wie auch Kinderbetreuung werden deshalb von den Kirchen als maßgeblicher Teil der Religionsausübung verstanden (BVerfGE 53, 366, 402). Die Zugehörigkeit der Einrichtung zur Kirche wird auch nicht dadurch aufgehoben, dass sich die Kirche einer Organisationsform des staatlichen Rechts bedient. Erst recht würde dies im Falle einer organisatorischen Anbindung der Einrichtung an die Kirche deutlich, wenn beispielsweise leitende Mitarbeiter des Krankenhauses gegenüber der Amtskirche verantwortlich wären, sei es auf Grund eines kirchlichen Dienstverhältnisses, sei es auf Grund einer Rechenschaftspflicht.

Privatrechtliches Handeln der Kirchen in den übrigen Aufgaben unterliegt der DSGVO und dem BDSG

Etwas anderes muss gelten, wenn die Kirchen außerhalb des karitativen oder sonst zum kirchlichen Auftrag gehörenden Bereichs in Formen des Privatrechts tätig werden (z.B. Brauereien) oder wenn Daten durch die Teilnahme am allgemeinen Rechtsverkehr anfallen (z.B. im Rahmen der Vermietung von Wohnungen). In diesen Fällen ist die Anwendbarkeit der DSGVO und des BDSG ohne Zweifel zu bejahen. In den Fällen, in denen eine institutionelle Verbindung zur Kirche völlig fehlt, kann nicht mehr vom kircheneigenen Bereich gesprochen werden. Dies ist bei eigenständigen Praxen, die sich nur in das kirchliche Krankenhaus eingemietet haben, ebenso der Fall wie bei externen Firmen, die privatwirtschaftliche Dienstleistungen erbringen. Für diese Einrichtungen müssen die DSGVO und das BDSG ausnahmslos gelten. Für die Übermittlung von Daten durch den kircheneigenen Teil des Krankenhauses an diese Einrichtungen gilt allerdings noch das kirchliche Datenschutzrecht.