Kirchliches Datenschutzrecht: Was Unternehmen wissen müssen.
Wer mit Caritas, Diakonie, kirchlichen Krankenhäusern oder Bildungseinrichtungen zusammenarbeitet, begegnet einem eigenen Datenschutzregime. Was gilt für Auftragsverarbeiter, Datenaustausch und Beschwerderechte?
Art. 91 DSGVO: Das kirchliche Datenschutzprivileg.
Kirchliche Einrichtungen sind in Deutschland ein wirtschaftlich bedeutender Sektor. Die Caritas ist mit rund 700.000 Beschäftigten einer der größten privaten Arbeitgeber des Landes. Hinzu kommen Krankenhäuser, Pflegeeinrichtungen, Kitas, Schulen und Bildungseinrichtungen in kirchlicher Trägerschaft. Wer mit diesen Organisationen als Lieferant, Dienstleister oder Auftragsverarbeiter zusammenarbeitet, begegnet einem eigenen Datenschutzregime.
Die DSGVO enthält in Art. 91 eine Ausnahmeregelung: Kirchen und Religionsgemeinschaften, die zum Zeitpunkt des Inkrafttretens der DSGVO bereits über ein umfassendes und grundrechtskonformes Datenschutzrecht verfügten, dürfen dieses beibehalten. In Deutschland gilt das für die katholische Kirche (KDG) und die evangelische Kirche (DSG-EKD).
Die materiellen Anforderungen sind weitgehend identisch mit der DSGVO. Für Unternehmen, die mit kirchlichen Einrichtungen zusammenarbeiten, ändern sich aber Zuständigkeiten, Aufsichtsbehörden und Durchsetzungswege erheblich. Das hat praktische Konsequenzen für Verträge, Audits und Beschwerderechte.
Das kirchliche Datenschutzprivileg gilt nur für Religionsgemeinschaften, die vor dem 25. Mai 2018 bereits über ein eigenständiges, umfassendes Datenschutzrecht verfügten. Eine Neugründung einer Religionsgemeinschaft nach diesem Datum würde Art. 91 DSGVO nicht mehr für sich beanspruchen können.
Wer hat eigenes Datenschutzrecht?
Status in Deutschland nach aktuellem Stand.
Katholische Kirche
Kirchliches Datenschutzgesetz (KDG)
Das KDG ist seit dem 24. Mai 2018 in Kraft und gilt für alle Einrichtungen im Bereich der Deutschen Bischofskonferenz: Bistümer, Pfarreien, Ordensgemeinschaften, Caritas-Verbände, katholische Schulen, Krankenhäuser und sonstige kirchliche Rechtsträger.
Das KDG orientiert sich strukturell stark an der DSGVO, enthält aber kirchenspezifische Regelungen, etwa zur Verarbeitung von Religionszugehörigkeitsdaten innerhalb der Kirche.
Evangelische Kirche
Datenschutzgesetz der EKD (DSG-EKD)
Das DSG-EKD gilt für alle Einrichtungen im Bereich der Evangelischen Kirche in Deutschland: Landeskirchen, Kirchengemeinden, Diakonisches Werk, evangelische Schulen, Krankenhäuser und sonstige diakonische Träger.
Auch das DSG-EKD folgt der Struktur der DSGVO weitgehend und ergänzt kirchenspezifische Regelungen, insbesondere zum Umgang mit Mitgliederdaten und seelsorgerlichen Inhalten.
Jehovas Zeugen
Eigene Datenschutzregelungen (umstritten)
Die Jehovas Zeugen haben eigene interne Datenschutzregelungen entwickelt und in verschiedenen Ländern den Anspruch auf Art. 91-Privilegierung erhoben. Ihr Status ist nach dem EuGH-Urteil C-25/17 von 2018 erheblich komplexer geworden.
Der EuGH hat entschieden, dass die Datenschutzrichtlinie (und damit sinngemäß die DSGVO) auch auf die Hausbesuchstätigkeit der Zeugen anwendbar ist, bei der Mitglieder Notizen über Nichtmitglieder anfertigen.
Andere Religionsgemeinschaften
DSGVO gilt unmittelbar
Islamische Organisationen, jüdische Gemeinden, buddhistische und hinduistische Gemeinschaften sowie andere Religionsgemeinschaften in Deutschland verfügen in aller Regel nicht über ein eigenständiges Datenschutzrecht im Sinne von Art. 91 DSGVO.
Für sie gilt die DSGVO unmittelbar. Zuständige Aufsichtsbehörde ist die jeweilige staatliche Datenschutzbehörde des Bundeslandes.
Wann gilt kirchliches Recht, wann die DSGVO?
Die Abgrenzung hängt von drei Faktoren ab: der verarbeitenden Stelle, dem Zweck der Verarbeitung und der betroffenen Person. Die folgende Tabelle gibt einen strukturierten Überblick.
| Konstellation | Anzuwendendes Recht | Aufsicht |
|---|---|---|
| Bistum verarbeitet Mitgliederdaten für Pfarrarbeit | KDG | Diözesaner Datenschutzbeauftragter |
| Kirchengemeinde EKD verarbeitet Spenderdaten | DSG-EKD | Kirchliche Datenschutzaufsicht |
| Caritas-GmbH betreibt ein Pflegeheim (Patientendaten) | KDG (h. M., soweit kirchlicher Träger) | Diözesaner Datenschutzbeauftragter |
| Kirchliche Einrichtung sendet Werbung an Nichtmitglieder | Strittig | Ungeklärt. Staatliche DPA beanspruchen Zuständigkeit. |
| IT-Dienstleister verarbeitet im Auftrag eines Bistums | DSGVO | Staatliche Datenschutzbehörde |
| Kirchliche Einrichtung als eigenständige AG ohne Kirchenbezug | DSGVO | Staatliche Datenschutzbehörde |
| Islamischer Verein verarbeitet Mitgliederdaten | DSGVO | Staatliche Datenschutzbehörde |
| Pfarreiwebsite mit Google Analytics | DSGVO (faktisch, da externer Dienst) | Staatliche Datenschutzbehörde |
Nichtmitglieder: Wo können sie sich beschweren?
Die kirchliche Datenschutzprivilegierung des Art. 91 DSGVO ist historisch durch die besondere Beziehung zwischen Kirche und ihren Mitgliedern gerechtfertigt. Dieser Rechtfertigungsgrund entfällt, wenn kirchliche Einrichtungen Daten von Personen verarbeiten, die der jeweiligen Gemeinschaft nicht angehören.
In der Praxis bedeutet das: Ein nicht-konfessionell gebundener Patient in einem Caritas-Krankenhaus wird auf den diözesanen Datenschutzbeauftragten verwiesen, wenn er eine datenschutzrechtliche Beschwerde einreicht. Das ist eine kircheninterne Stelle ohne staatliche Durchsetzungsmacht. Ob das mit Art. 77 DSGVO (Recht auf Beschwerde bei einer staatlichen Behörde) vereinbar ist, ist rechtlich ungeklärt.
In der deutschen Rechtswissenschaft wird überwiegend vertreten, dass staatliche Datenschutzbehörden zumindest dann Zuständigkeit besitzen müssen, wenn ausschließlich Nichtmitglieder betroffen sind. Eine höchstrichterliche Entscheidung steht aus.
Der Europäische Gerichtshof hat am 10. Juli 2018 entschieden, dass die Datenschutzrichtlinie (heute DSGVO) auf die Hausmissionstätigkeit der Jehovas Zeugen anwendbar ist. Konkret ging es um die Praxis, bei Hausbesuchen Notizen über besuchte Personen anzufertigen, also Nichtmitglieder.
Der EuGH stellte fest: Die Gemeinde als Organisation ist gemeinsam mit den einzelnen Predigern als Verantwortliche im Sinne des Datenschutzrechts anzusehen. Die religiöse Haushaltsmission fällt nicht unter die Haushaltsausnahme des Art. 2 Abs. 2 lit. c DSGVO.
Das Urteil wird in Deutschland als Argument dafür herangezogen, dass staatliche Aufsichtsbehörden bei der Verarbeitung von Nichtmitgliederdaten durch Religionsgemeinschaften jedenfalls Eingriffskompetenzen besitzen müssen.
Für kirchliche Einrichtungen in der Praxis bedeutet das: Wer regelmäßig mit Nichtmitgliedern in Kontakt tritt, also Pflegeheime, Krankenhäuser, Kitas oder gemeinnützige Einrichtungen, sollte nicht allein auf die kircheneigene Aufsicht vertrauen, sondern datenschutzrechtliche Standards einhalten, die auch einer staatlichen Prüfung standhalten würden.
Wo die Abgrenzung besonders schwierig ist.
Sechs Konstellationen, die in der Praxis regelmäßig zu Unsicherheiten führen.
Caritas und Diakonie als GmbH
Wird eine kirchliche Einrichtung als eigenständige GmbH ohne direkte kirchliche Trägerschaft betrieben, gilt tendenziell die DSGVO. Bei formeller Einbindung in den kirchlichen Verbund bleibt KDG oder DSG-EKD maßgeblich. Die Organisationsform entscheidet.
Pfarreiwebsites mit externen Diensten
Setzt eine Kirchengemeinde Google Analytics, YouTube-Einbettungen oder Newsletter-Dienste ein, unterliegt die Datenverarbeitung durch diese externen Anbieter der DSGVO. Die Gemeinde als Verantwortliche trägt dafür die Verantwortung gegenüber staatlichen Behörden.
Auftragsverarbeitung für kirchliche Stellen
Ein IT-Unternehmen, das für ein Bistum Mitgliederdaten verarbeitet, ist selbst kein kirchlicher Verantwortlicher und unterliegt der DSGVO. Der Auftragsverarbeitungsvertrag zwischen Bistum und Dienstleister bewegt sich damit in zwei verschiedenen Rechtsregimen.
Mitarbeiterdaten bei kirchlichen Arbeitgebern
Kirchliche Einrichtungen als Arbeitgeber verarbeiten auch Daten von Mitarbeitern ohne Kirchenzugehörigkeit. Das KDG enthält zwar Arbeitnehmerdatenschutzregelungen, aber die Frage der Beschwerdezuständigkeit bei Nichtmitgliedern bleibt auch hier ungeklärt.
Direktwerbung an Außenstehende
Versendet eine kirchliche Einrichtung Spendenaufrufe oder Informationsmaterial an Personen außerhalb der eigenen Gemeinschaft, sind diese Empfänger Nichtmitglieder. Hier sind die Argumente für staatliche Aufsichtszuständigkeit besonders stark.
Kirchliche Schulen und Kitas
Schüler und Kita-Kinder sind häufig keine Kirchenmitglieder. Die Verarbeitung ihrer Daten durch konfessionelle Bildungseinrichtungen ist einer der praktisch bedeutsamsten Fälle, in denen die Nichtmitgliederfrage relevant wird.
Datentransfers nach Rom: der Vatikan als Drittstaat.
Ein in der Praxis kaum diskutierter Punkt betrifft Transfers personenbezogener Daten an den Heiligen Stuhl und die vatikanischen Behörden. Bistümer, Ordensgemeinschaften und kirchliche Einrichtungen in Deutschland übermitteln regelmäßig Personalakten, Mitgliederdaten und Finanzdaten nach Rom.
Da der Vatikan kein EU-Mitgliedstaat und kein Teil des Europäischen Wirtschaftsraums ist, handelt es sich formal um einen Drittlandtransfer im Sinne von Art. 44 DSGVO. Für KDG-pflichtige Einrichtungen tritt an diese Stelle § 13 KDG, der inhaltlich dasselbe vorschreibt.
Der Heilige Stuhl hat im Jahr 2022 ein eigenes Datenschutzgesetz erlassen. Dieses bietet einen grundlegenden Rahmen, wurde jedoch von der EU-Kommission nicht als gleichwertiges Schutzniveau im Sinne eines Angemessenheitsbeschlusses anerkannt.
Kirchliche Einrichtungen, die regelmäßig Daten nach Rom übermitteln, sollten intern prüfen, ob geeignete Garantien im Sinne von § 13 KDG (analog Art. 46 DSGVO) vorliegen. In vielen Fällen wird man sich auf Art. 49 Abs. 1 lit. d KDG beziehen, wonach Übermittlungen aus wichtigen öffentlichen Interessen oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen zulässig sind.
Eine förmliche Dokumentation dieser Transfers, insbesondere für regelmäßige Personalakten-Übermittlungen, ist bislang die Ausnahme. Angesichts des steigenden Datenschutzbewusstseins auch innerhalb kirchlicher Strukturen empfiehlt sich eine entsprechende Prüfung.
Wohin können Betroffene sich wenden?
Die Aufsichtsstruktur im kirchlichen Datenschutz ist gegliedert und für Außenstehende oft schwer zu durchschauen.
Katholische Kirche. Jede Diözese hat einen eigenen Datenschutzbeauftragten (Diözesaner Datenschutzbeauftragter). Beschwerden richten sich zunächst an diesen. Auf nationaler Ebene gibt es den Katholischen Datenschutzbeirat, der übergeordnete Fragen koordiniert. Staatliche Datenschutzbehörden haben nach kirchlicher Rechtsauffassung keine Zuständigkeit für KDG-pflichtige Verarbeitungen.
Evangelische Kirche. Jede Gliedkirche der EKD hat eine eigene Kirchliche Datenschutzaufsicht (KDA). Für Einrichtungen der EKD insgesamt gibt es den Beauftragten für den Datenschutz der EKD. Die Zuständigkeitsabgrenzung zu staatlichen Behörden entspricht der der katholischen Kirche.
Jehovas Zeugen. Die Gemeinschaft verfügt über eigene interne Datenschutzstrukturen. Die Frage, ob staatliche Datenschutzbehörden für Beschwerden von Nichtmitgliedern zuständig sind, ist nach dem EuGH-Urteil C-25/17 ungeklärt. Mehrere staatliche Aufsichtsbehörden in Europa haben hier Zuständigkeit beansprucht.
Andere Gemeinschaften. Islamische Vereine, jüdische Gemeinden und sonstige Religionsgemeinschaften ohne eigenes Datenschutzrecht fallen in die Zuständigkeit der staatlichen Datenschutzbehörden der Bundesländer.
Wer eine Beschwerde gegen eine kirchliche Einrichtung einreichen möchte und der jeweiligen Konfession nicht angehört, kann trotz der beschriebenen Abgrenzungsfragen auch die staatliche Datenschutzbehörde des zuständigen Bundeslandes kontaktieren. Diese kann die Beschwerde an die kirchliche Datenschutzaufsicht weiterleiten oder, wenn Zuständigkeit bejaht wird, selbst tätig werden. Eine höchstrichterliche Klärung, welcher Weg vorrangig ist, steht in Deutschland noch aus.
Was Unternehmen in der Zusammenarbeit mit kirchlichen Einrichtungen beachten sollten.
Kirchliches Datenschutzrecht ist ein rechtlich anerkanntes Parallelregime mit ähnlichen materiellen Standards wie die DSGVO, aber anderen Zuständigkeiten und Durchsetzungswegen. Für Unternehmen, die mit kirchlichen Organisationen zusammenarbeiten, ergeben sich daraus folgende Kernpunkte:
- Als Auftragsverarbeiter für eine kirchliche Einrichtung unterliegen Sie selbst der DSGVO. Ihr Vertragspartner auf Auftraggeber-Seite unterliegt KDG oder DSG-EKD. Für den Auftragsverarbeitungsvertrag gilt: Die inhaltlichen Anforderungen sind vergleichbar, die formelle Grundlage ist eine andere.
- Audits bei kirchlichen Einrichtungen sollten die kirchliche Aufsichtsstruktur kennen. Zuständig ist nicht die staatliche Datenschutzbehörde, sondern der jeweilige diözesane oder kirchliche Datenschutzbeauftragte.
- Wenn Ihre Mitarbeiter, Kunden oder Nutzer Daten an kirchliche Träger übermitteln und dort ein Problem entsteht, ist der Beschwerdeweg ein anderer als bei nicht-kirchlichen Unternehmen.
- Bei Nichtmitgliedern Ihrer eigenen Kunden, die von kirchlichen Einrichtungen betroffen sind, sind staatliche Datenschutzbehörden unter Umständen doch zuständig. Dieser Punkt ist höchstrichterlich ungeklärt.
- Kirchliche Einrichtungen, die externe Software oder Dienste Ihres Unternehmens einsetzen, bleiben selbst nach KDG oder DSG-EKD verantwortlich. Ihre Pflichten als Anbieter richten sich nach der DSGVO.