Kirchliches Datenschutzrecht: KDG und DSG-EKD im Vergleich zur DSGVO
Das Kirchliche Datenschutzgesetz (KDG) und das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) regeln den Schutz personenbezogener Daten innerhalb der katholischen und evangelischen Kirche in Deutschland.
Die Gesetze sind speziell auf die Bedürfnisse und Strukturen kirchlicher Einrichtungen zugeschnitten. Im Vergleich zur Datenschutz-Grundverordnung (DSGVO) gelten das KDG und das DSG-EKD nur für kirchliche Institutionen, während die DSGVO allgemeine Vorschriften für alle Unternehmen und Organisationen in der EU festlegt.
Warum gilt die DSGVO nicht unmittelbar für Kirchen?
Nach Artikel 91 DSGVO dürfen Kirchen und religiöse Gemeinschaften ihre eigenen Datenschutzregelungen anwenden, sofern diese im Wesentlichen den Vorgaben der DSGVO entsprechen. Diese Regelung erkennt die historische Selbstbestimmung der Kirchen an, die auch durch das Grundgesetz (Artikel 140 GG i.V.m. Artikel 137 Absatz 3 der Weimarer Reichsverfassung) gestützt wird. Diese Verfassungsregelung erlaubt es den Kirchen, ihre internen Angelegenheiten, einschließlich des Datenschutzes, eigenständig zu regeln.
Kernpunkte des Kirchlichen Datenschutzrechts
- Anwendungsbereich: Das kirchliche Datenschutzrecht gilt für alle kirchlichen Einrichtungen und Organisationen der katholischen und evangelischen Kirche in Deutschland und orientiert sich in vielen Aspekten an der DSGVO, berücksichtigt aber die besonderen Bedürfnisse und Anforderungen der kirchlichen Verwaltung.
- Auftragsverarbeitung: Wie in der DSGVO erfordert auch kirchliche Datenschutzrecht einen Vertrag zur Auftragsverarbeitung. Dieser muss jedoch zusätzlich den kirchlichen Datenschutzvorgaben entsprechen, die durch kirchliche Datenschutzbeauftragte überwacht werden. Ein sorgfältig ausgearbeiteter Auftragsverarbeitungsvertrag ist daher entscheidend, um die Einhaltung der datenschutzrechtlichen Vorschriften sicherzustellen.
- Rechte der Betroffenen: Das Kirchenrecht garantiert den betroffenen Personen ähnliche Rechte wie die DSGVO, einschließlich des Rechts auf Auskunft, Berichtigung und Löschung ihrer Daten. Die kirchliche Regelung legt jedoch besonderen Wert darauf, diese Rechte im Einklang mit den kirchlichen Werten und Vorgaben umzusetzen.
- Aufsichtsbehörden: Im Gegensatz zur staatlichen Aufsicht unter der DSGVO erfolgt die Überwachung durch spezielle kirchliche Datenschutzstellen, die sicherstellen, dass die kirchlichen Regelungen eingehalten werden. Diese kirchlichen Datenschutzaufsichtsbehörden fungieren unabhängig und stellen die Durchsetzung des Datenschutzes innerhalb der kirchlichen Strukturen sicher.
- Bußgelder und Sanktionen: Während die DSGVO mit hohen Geldstrafen droht, sind die Sanktionen im kirchlichen Datenschutzrecht oft spezifisch auf kirchliche Gegebenheiten und die innerkirchliche Disziplin ausgelegt. Sanktionen sollen in erster Linie dazu dienen, Verstöße zu beheben und die Einhaltung der Vorschriften zu fördern.
Praktische Umsetzung in kirchlichen Einrichtungen
Kirchliche Einrichtungen sollten ihre Datenschutzpraktiken regelmäßig überprüfen, um sicherzustellen, dass sie den Anforderungen des kirchlichen Datenschutzrechts entsprechen. Dies schließt die Schulung der Mitarbeiter, die Einführung geeigneter technischer und organisatorischer Maßnahmen sowie die Dokumentation der Datenschutzprozesse ein. Die enge Zusammenarbeit mit kirchlichen Datenschutzbeauftragten ist dabei unerlässlich, um eine korrekte Umsetzung der Vorschriften zu gewährleisten.
Sowohl das Kirchenrecht als auch die DSGVO haben das Ziel, den Schutz personenbezogener Daten zu gewährleisten. Für kirchliche Einrichtungen ist es jedoch unerlässlich, die spezifischen Vorgaben des kirchlichen Datenschutzrechts zu beachten und in ihre Datenschutzpraxis zu integrieren.
Ein rechtskonformer Auftragsverarbeitungsvertrag, der den speziellen Anforderungen entspricht, ist daher unverzichtbar für ein effektives Datenschutzmanagement innerhalb der Kirche. Durch die Beachtung der kirchlichen Vorschriften und die Zusammenarbeit mit den kirchlichen Datenschutzaufsichtsbehörden können Einrichtungen sicherstellen, dass sie ihre Verantwortung zum Schutz personenbezogener Daten ernst nehmen und umsetzen.
Synopse
Begriff | Fundstelle DSGVO | Fundstelle KDG | Fundstelle EKD-DSG |
---|---|---|---|
Verarbeitung | Art. 4 Abs. 2 DSGVO | § 4 Nr. 2 KDG | § 4 Nr. 2 EKD-DSG |
Einwilligung | Art. 4 Abs. 11, Art. 7 DSGVO | § 6, § 8 KDG | § 6, § 7 EKD-DSG |
Verantwortlicher | Art. 4 Abs. 7 DSGVO | § 4 Nr. 9 KDG | § 4 Nr. 9 EKD-DSG |
Auftragsverarbeitung | Art. 4 Abs. 8, Art. 28 DSGVO | § 29, § 30 KDG | § 30, § 31 EKD-DSG |
Auftragsverarbeitungsvertrag | Art. 28 DSGVO | § 30 KDG | § 31 EKD-DSG |
Verzeichnis der Verarbeitungstätigkeiten | Art. 30 DSGVO | § 31 KDG | § 32 EKD-DSG |
Datenschutz-Folgenabschätzung | Art. 35 DSGVO | § 34 KDG | § 34 EKD-DSG |
Datenschutzbeauftragter | Art. 37–39 DSGVO | § 36, § 38 KDG | § 36, § 38 EKD-DSG |
Betroffenenrechte | Art. 12–23 DSGVO | § 17–27 KDG | § 17–28 EKD-DSG |
Recht auf Löschung | Art. 17 DSGVO | § 23 KDG | § 22 EKD-DSG |
Recht auf Auskunft | Art. 15 DSGVO | § 17 KDG | § 18 EKD-DSG |
Technische und organisatorische Maßnahmen (TOM) | Art. 32 DSGVO | § 26 KDG | § 26 EKD-DSG |
Zweckbindung | Art. 5 Abs. 1 Buchst. b DSGVO | § 6 Abs. 1 KDG | § 5 Abs. 1 EKD-DSG |
Datensicherheit | Art. 32 DSGVO | § 26 KDG | § 26 EKD-DSG |
Meldepflicht bei Verstößen | Art. 33, Art. 34 DSGVO | § 39 KDG | § 39 EKD-DSG |
Bußgelder | Art. 83 DSGVO | § 48 KDG | § 46 EKD-DSG |
Aufsichtsbehörden | Art. 51–59 DSGVO | § 42, § 43 KDG | § 41, § 42 EKD-DSG |