8.1 Datenschutz
Inhaltsverzeichnis
- 1. Hinführung
- 2. Datenschutzrechtliche Vorschriften in der Diözese Rottenburg-Stuttgart
- 2.1 Materielles Datenschutzrecht: Gesetz über den Kirchlichen Datenschutz (KDG)
- 2.2 Stabsstelle Datenschutz als betrieblicher Datenschutzbeauftragter
- 2.3 Katholisches Datenschutzzentrum in Frankfurt a. M. als Diözesandatenschutzbeauftragter – Datenschutzaufsicht
- 2.4 Formelles Datenschutzrecht: Kirchliche Datenschutzgerichtsordnung (KDSGO)
- 2.5 Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO)
- 2.6 Verpflichtung auf den Datenschutz – Verpflichtungserklärungen
- Fußnoten
1. Hinführung
Das Grundgesetz ermöglicht den Kirchen durch das verfassungsrechtlich garantierte Selbstbestimmungsrecht, ihre eigenen Angelegenheiten selbstständig zu ordnen und zu verwalten (Art. 140 GG i. V. m. Art. 137 Abs. 3 WRV). Das Datenschutzrecht fällt in den Bereich dieser kirchlichen Selbstverwaltung.
Die Europäische Datenschutz-Grundverordnung (DSGVO)[1], die in Deutschland als unmittelbar geltendes Recht Anwendung findet, enthält deshalb in ihrem Art. 91 Abs. 1 die Ausnahmeregelung, dass wenn eine Kirche oder religiöse Vereinigung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung von Daten anwendet, diese Regeln weiter angewandt werden dürfen, wenn sie mit dieser Verordnung in Einklang gebracht werden. Die DSGVO gewährt also der kirchlichen Selbstbestimmung Raum im Datenschutzrecht, fordert allerdings, dass auf ihrer Grundlage ein dem weltlichen gleichwertiger Datenschutz gewährleistet werden muss.
Zugeordnete Dokumente
- Gesetz über den kirchlichen Datenschutz (KDG)
- Gesetz zur Regelung des Rechtsinstruments nach § 29 Gesetz über den Kirchlichen Datenschutz (KDG) im Bereich der Diözese Rottenburg-Stuttgart
- Verordnug zur Durchführung des Gesetzes zur Regelung des Rechtsinstruments nach § 29 Gesetz über den Kirchlichen Datenschutz (KDG) im Bereich der Diözese Rottenburg-Stuttgart vom 01.04.2022
- Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO)
- Erlass des Generalvikars zum Gesetz über den Kirchlichen Datenschutz (KDG) für die haupt- und nebenamtlichen sowie die ehrenamtlichen Mitarbeitenden kirchlicher Stellen gemäß § 3 Abs. 1 a) KDG
- Erlass des Generalvikars zum Gesetz über den Kirchlichen Datenschutz (KDG) für die Mitarbeitenden der Kurie
- Gesetz über das Verwaltungsverfahren im kirchlichen Datenschutz
- Öffentlich-rechtliche Vereinbarung über die Errichtung der Datenschutzstelle des gemeinsamen Diözesandatenschutzbeauftragten für die (Erz-)Diözesen Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer, Trier
- Geschäftsordnung für den Koordinierungsausschuss der Datenschutzstelle des gemeinsamen Diözesandatenschutzbeauftragten für die (Erz-)Diözesen Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer, Trier
- Ordnung zum Schutz personenbezogener Daten bei der Durchführung von Fundraisingmaßnahmen
- Datenschutz bei der Übermittlung personenbezogener Daten über Telefaxgeräte
- Normen zur Regelung von Einsichts- und Auskunftsrechten für die Kommission zur Aufarbeitung von sexuellem Missbrauch
- Ordnung zur Regelung von Einsichts- und Auskunftsrechten für die Kommissionen zur Aufarbeitung von sexuellem Missbrauch Minderjähriger und schutz- oder hilfebedürftiger Erwachsener in Bezug auf Personalaktendaten von Beschäftigten (OAK-DRS)
- Rahmenordnung über die Führung von Personalakten und Verarbeitung von Personalaktendaten von Klerikern und Kirchenbeamten (Personalaktenordnung)
Der zentrale Normenkomplex des kirchlichen Datenschutzrechts ist das Gesetz über den Kirchlichen Datenschutz (KDG)[2]. Dieses wurde am 20. November 2017 von der Vollversammlung des Verbandes der Diözesen Deutschlands einstimmig beschlossen und durch bischöfliches Dekret für die Diözese Rottenburg-Stuttgart zum 24. Mai 2018 in Kraft gesetzt.[3] Es löste die bis dahin geltende „Anordnung über den kirchlichen Datenschutz (KDO)“[4] aus dem Jahr 2003 ab und setzte so die Europäische Datenschutz-Grundverordnung um.
Die vorliegende Kommentierung beschränkt sich auf einen Überblick über die wichtigsten datenschutzrechtlichen Regelungen[5], die in der Diözese Rottenburg-Stuttgart in Umsetzung des KDG erlassen wurden. Auf die Einzelvorschriften des KDG wird hierbei nicht im Detail eingegangen.
2. Datenschutzrechtliche Vorschriften in der Diözese Rottenburg-Stuttgart
2.1 Materielles Datenschutzrecht: Gesetz über den Kirchlichen Datenschutz (KDG)
Das „Gesetz über den Kirchlichen Datenschutz“ enthält, neben grundsätzlichen Regelungen wie beispielsweise den Vorschriften hinsichtlich der Verpflichtung auf das Datengeheimnis (§ 5 KDG) und der Rechtmäßigkeit der Verarbeitung personenbezogener Daten (§ 6 KDG), Normen, die sich einerseits mit den Pflichten des Verantwortlichen (§§ 14 ff. KDG) und andererseits mit den Rechten der betroffenen Personen (§§ 17 ff. KDG) befassen. Neben Regelungen zu technischen und organisatorischen Maßnahmen (§ 26 KDG), Auftragsverarbeitung (§ 29 KDG), der Pflicht des Verantwortlichen zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (§ 31 KDG) und zum Umgang mit Datenpannen (§ 33 KDG) werden die Rechtsstellung und Aufgaben des betrieblichen Datenschutzbeauftragten (§§ 36 ff. KDG) sowie Rechtsstellung und Aufgaben der Datenschutzaufsicht (§§ 42 ff. KDG) geregelt.
Schließlich werden das Recht auf Beschwerde (§ 48 KDG), der gerichtliche Rechtsbehelf (§ 49 KDG) sowie Haftungsfragen und Sanktionen (§ 50 f. KDG) normiert. Es schließen sich Vorschriften für besondere Verarbeitungssituationen, wie beispielsweise der Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses an (§§ 52 ff. KDG).
2.2 Stabsstelle Datenschutz als betrieblicher Datenschutzbeauftragter
Gemäß § 36 Abs. 1 KDG müssen u. a. Diözesen, Kirchengemeinden und -verbände sowie Kirchenstiftungen als kirchliche Stellen im Sinne des § 3 Abs. 1a KDG schriftlich eine/n betriebliche/n Datenschutzbeauftragte/n benennen. Dieselbe Verpflichtung besteht unter bestimmten Voraussetzungen (§ 36 Abs. 2 KDG) auch für weitere kirchliche Stellen wie etwa den Deutschen Caritasverband, die diözesanen Caritasverbände, kirchliche Stiftungen und andere kirchliche Rechtsträger ohne Rücksicht auf ihre Rechtsform (§ 3 Abs. 1b und c KDG). Dabei kann für mehrere kirchliche Stellen auch ein/e gemeinsame/r betriebliche/r Datenschutzbeauftragte/r benannt werden (§ 36 Abs. 3 KDG). Mit dem „Erlass zur Einrichtung der Stabsstelle Datenschutz im Bischöflichen Ordinariat der Diözese Rottenburg-Stuttgart"[6] hat der Generalvikar die Stabsstelle Datenschutz zu einer solch gemeinsamen betrieblichen Datenschutzbeauftragten für alle kirchlichen Stellen nach § 3 Abs. 1a KDG gemacht, d. h. für die Diözese, die Kirchengemeinden und -stiftungen, die Gesamtkirchengemeinden, Dekanate und Zweckverbände sowie Rechtspersonen und andere Einrichtungen der Kirchengemeinden, Gesamtkirchengemeinden und Dekanate.[7]
Die Aufgabe der Stabsstelle Datenschutz ist es, in ihrem Zuständigkeitsbereich auf die Einhaltung des KDG und anderer datenschutzrechtlicher Vorschriften hinzuwirken. Ziffer 3 des o. g. Erlasses führt zu ihrer Rechtsstellung und ihren Aufgaben aus:
„Betroffene Personen können sich jederzeit und unmittelbar an sie wenden. Sie hat die für den Datenschutz Verantwortlichen zu beraten und die bei der Verarbeitung personenbezogener Daten tätigen Personen zu unterrichten und zu schulen. Ihre Rechtsstellung, ihre Aufgaben und Pflichten sowie die Anforderungen an ihre Tätigkeit im Einzelnen ergeben sich aus dem KDG, insbesondere aus dessen §§ 36 bis 38.“
2.3 Katholisches Datenschutzzentrum in Frankfurt a. M. als Diözesandatenschutzbeauftragter – Datenschutzaufsicht
Die Datenschutzaufsicht wacht gemäß § 44 Abs. 1 KDG über die Einhaltung der datenschutzrechtlichen Vorschriften. Sie klärt außerdem die Öffentlichkeit über Risiken, Vorschriften, Garantien und Rechte der Datenverarbeitung auf (§ 44 Abs. 3a KDG), berät kirchliche Einrichtungen über administrative und legislative datenschutzrechtliche Maßnahmen (§ 44 Abs. 3b KDG) und ist für Beschwerden Betroffener zuständig (§ 44 Abs. 3e KDG).[8] Die in § 3 Abs. 1 KDG genannten kirchlichen Stellen müssen im Rahmen ihrer Zuständigkeit den Weisungen der Datenschutzaufsicht Folge leisten, die Datenschutzaufsicht bei der Erfüllung ihrer Aufgaben unterstützen und Datenschutzüberprüfungen durch die Datenschutzaufsicht zulassen (§ 44 Abs. 1a-c KDG).
Der Leiter der Datenschutzaufsicht wird gemäß § 42 Abs. 1 Satz 1 KDG vom Diözesanbischof als Diözesandatenschutzbeauftragter bestellt. Hierbei ist die Bestellung für mehrere Diözesen gemäß § 42 Abs. 1 Satz 3 KDG zulässig. Die (Erz-)Bistümer Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier haben von dieser Möglichkeit Gebrauch gemacht und einen gemeinsamen Diözesandatenschutzbeauftragten ernannt, das Katholische Datenschutzzentrum (KDSZ) in Frankfurt a. M.[9] Das KDSZ ist Körperschaft des öffentlichen Rechts.
2.4 Formelles Datenschutzrecht: Kirchliche Datenschutzgerichtsordnung (KDSGO)
In prozessualer Hinsicht wird das KDG durch die Kirchliche Datenschutzgerichtsordnung (KDSGO) ergänzt.[10] Sie wurde von der Deutschen Bischofskonferenz aufgrund eines besonderen Mandats des Apostolischen Stuhles gemäß can. 455 § 1 CIC erlassen, um einen wirksamen gerichtlichen Rechtsschutz auf dem Gebiet des Datenschutzes herzustellen und zu gewährleisten.
Mit Genehmigung der Apostolischen Signatur wurde als erste Instanz ein interdiözesanes Datenschutzgericht mit Sitz in Köln (can. 1423 § 1 CIC) sowie als zweite Instanz ein Datenschutzgericht der Deutschen Bischofskonferenz mit Sitz in Bonn (can. 1439 § 1 CIC) errichtet. Beide kirchlichen Gerichte in Datenschutzangelegenheiten sind zuständig für die Überprüfung von Entscheidungen der Datenschutzaufsichten der Katholischen Kirche in Deutschland sowie für gerichtliche Rechtsbehelfe der betroffenen Person gegen den Verantwortlichen oder den kirchlichen Auftragsverarbeiter. Eine Überprüfung von Rechtsnormen daraufhin, ob sie mit höherrangigem Recht vereinbar sind (sog. Normenkontrollverfahren) findet hierbei nicht statt.
2.5 Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO)
Zur Anpassung weiterer datenschutzrechtlicher Regelungen wurde aufgrund des § 56 KDG durch den Generalvikar die Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO)[11] erlassen. Sie trat in der Diözese Rottenburg-Stuttgart zum 1. März 2019 in Kraft.
Die Durchführungsverordnung enthält konkretisierende Regelungen beispielsweise zum Verzeichnis von Verarbeitungstätigkeiten (§ 1 KDG-DVO), zum Datengeheimnis (§§ 2 f. KDG-DVO) sowie zu den technischen und organisatorischen Maßnahmen (§§ 4 ff. KDG-DVO). Zudem werden Maßnahmen des Verantwortlichen und des Mitarbeiters (§§ 15 ff. KDG-DVO) sowie Regelungen zu besonderen Gefahrenlagen (§§ 18 ff. KDG-DVO), wie beispielsweise die Nutzung privater IT-Geräte zu dienstlichen Zwecken oder die Übermittlung personenbezogener Daten per Fax, normiert.
2.6 Verpflichtung auf den Datenschutz – Verpflichtungserklärungen
Ebenfalls aufgrund des § 56 KDG hat der Generalvikar zwei Durchführungsbestimmung erlassen, die einerseits die schriftliche Verpflichtung der haupt-, nebenamtlichen und ehrenamtlichen Mitarbeitenden Diözese, der Kirchengemeinden und -verbände sowie der Kirchenstiftungen[12] auf das Datengeheimnis und die Einhaltung der einschlägigen Datenschutzregelungen regeln sowie andererseits die schriftliche Verpflichtung der Mitarbeitenden der Kurie[13] auf das Datengeheimnis und die Einhaltung der einschlägigen Datenschutzregelungen. Entsprechende bisherige Verpflichtungserklärungen nach § 4 der durch das KDG abgelösten Anordnung über den Kirchlichen Datenschutz (KDO) bleiben wirksam (§ 3 Abs. 3 S. 2 KDG-DVO).
Autorin: Tanja Johner-Camaj, zuletzt aktualisiert am: 01.04.2022.
Fußnoten
[1] Vgl. Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), in: ABl. der Europäischen Union 59 (2016) L119, 1–88. Die DSGVO trat am 25. Mai 2016 in Kraft und gilt seit dem 25. Mai 2018 in der Europäischen Union als unmittelbares Recht. Zum Inkrafttreten vgl. Peter Gola, Kommentar zur DSGVO, 22018, Einleitung Rn. 19. Zum Zeitpunkt der Gültigkeit vgl. Art. 99 Abs. 2 Satz 1 DSGVO sowie Gola, Einleitung Rn. 19. Zur unmittelbaren Wirkung vgl. Art. 99 Abs. 2 Satz 1 DSGVO sowie Gola, Art. 99 Rn. 11.
[2] Vgl. Gesetz über den Kirchlichen Datenschutz (KDG) in der Fassung des einstimmigen Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 20. November 2017, in: ABl. Rottenburg-Stuttgart 62 (2018) 69–94.
[3] Vgl. Dekret des Bischofs zur Inkraftsetzung des Gesetzes über den kirchlichen Datenschutz (KDG) für die Diözese Rottenburg-Stuttgart, in: ABl. Rottenburg-Stuttgart 62 (2018) 69.
[4] Vgl. Anordnung über den kirchlichen Datenschutz (KDO) 2003 in der Fassung des Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 23. Juni 2003, mit den redaktionellen Berichtigungen vom 18. August 2003 – Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Fassung des Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 23. Juni 2003, mit den redaktionellen Berichtigungen vom 18. August 2003, in: ABl. Rottenburg-Stuttgart 47 (2003) 629–641, zuletzt geändert durch: Novellierung der Anordnung über den Kirchlichen Datenschutz (KDO), in: ABl. Rottenburg-Stuttgart 58 (2014) 111 f. Vollständige Fassung: Anordnung über den Kirchlichen Datenschutz (KDO) in der Fassung des Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 18.11.2013, in: ABl. Rottenburg-Stuttgart 58 (2014) 112–123.
[5] Für eine detaillierte Kommentierung unter Berücksichtigung des neuesten Stands von Rechtsprechung, Literatur und Auslegungsfragen zum KDG vgl. Gernot Sydow (Hg.), Kirchliches Datenschutzrecht. Handkommentar (NomosKommentar), Baden-Baden 2020.
[6] Vgl. Erlass zur Einrichtung der Stabsstelle Datenschutz im Bischöflichen Ordinariat der Diözese Rottenburg-Stuttgart, in: ABl. Rottenburg-Stuttgart 62 (2018) 360 f.
[7] Vgl. § 2 Abs. 2 Satz 2 des Erlasses zur Einrichtung der Stabsstelle Datenschutz (Anm. 6).
[8] Zu allen weiteren Aufgaben der Datenschutzaufsicht und zu weiteren Details bzgl. der genannten Aufgaben vgl. § 43 KDG.
[9] Vgl. Öffentlich-rechtliche Vereinbarung über die Errichtung der Datenschutzstelle des gemeinsamen Diözesandatenschutzbeauftragten für die (Erz-)Diözesen Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer, Trier, in: ABl. Rottenburg-Stuttgart 61 (2017) 135 f.; Geschäftsordnung für den Koordinierungsausschuss der Datenschutzstelle des gemeinsamen Diözesandatenschutzbeauftragten für die (Erz-)Diözesen Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer, Trier, in: ABl. Rottenburg-Stuttgart 61 (2017) 136–138; Gemeinsame Datenschutzstelle und gemeinsame Diözesandatenschutzbeauftragte der (Erz-)Diözesen Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier, in: ABl. Rottenburg-Stuttgart 62 (2018) 94.
[10] Vgl. Kirchliche Datenschutzgerichtsordnung (KDSGO), in: ABl. Rottenburg-Stuttgart 62 (2018) 192–196.
[11] Vgl. Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) in der Fassung des einstimmigen Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 19. November 2018, in: ABl. Rottenburg-Stuttgart 63 (2019) 3–10.
[12] Vgl. Erlass des Generalvikars zum Gesetz über den Kirchlichen Datenschutz (KDG) für die haupt- und nebenamtlichen sowie die ehrenamtlichen Mitarbeitenden kirchlicher Stellen gemäß § 3 Abs. 1 a) KDG, in: ABl. Rottenburg-Stuttgart 63 (2019) 166–169.
[13] Vgl. Erlass des Generalvikars zum Gesetz über den Kirchlichen Datenschutz (KDG) für die Mitarbeitenden der Kurie, in: ABl. Rottenburg-Stuttgart 63 (2019) 170.