Nachfolgend finden Sie eine Auswahl der häufigsten Fragen zum kirchlichen Datenschutz.
Häufige Fragen
Welches Recht wendet die Katholische Kirche zum Schutz personenbezogener Daten an?
Für die deutschen Bistümer der Katholischen Kirche gilt das „Gesetz über den kirchlichen Datenschutz (KDG)“, das am 24. Mai 2018 in Kraft getreten ist. Es soll innerhalb der nächsten drei Jahre überprüft werden. Darüber hinaus gilt die schon im Jahre 2015 erlassene Durchführungsverordnung (KDO-DVO), soweit ihre Regelungen nicht im Widerspruch zum neuen Recht stehen. Ihre Weitergeltung ist bis zum 30.06.2019 befristet. Diese Zeit bleibt, um eine neue Durchführungsverordnung zu schaffen. Die Bistümer sind also sehr aktiv darum bemüht, ein zeitgemäßes Datenschutzrecht zu schaffen, das den Schutz der Menschen in den Vordergrund stellt.
Gilt die Europäische Datenschutzgrundverordnung auch für kirchliche Einrichtungen?
Nein. Die DSGVO hat in Art. 91 festgelegt, dass religiöse Vereinigungen oder Gemeinschaften, die schon bisher nach nationalem Recht eigene Datenschutzregeln hatten, diese auch weiter anwenden können, wenn sie mit der DSGVO in Einklang gebracht werden. Auf die Katholische Kirche trifft diese Voraussetzung zu.
Was hat die Europäische Union veranlasst, hier einen Sonderweg zu ermöglichen?
Die Katholische Kirche gehört in Deutschland zu den staatlich anerkannten Religionsgesellschaften. Ihr steht daher nach Art. 137 Abs. 3 der Weimarer Reichsverfassung (WRV) in Verbindung mit Art. 140 des Grundgesetzes ein verfassungsmäßig garantiertes Selbstverwaltungsrecht zu. In Art. 137 III WRV heißt es:
Jede Religionsgesellschaft ordnet und verwaltet ihre Angelegenheiten selbständig innerhalb der Schranken des für alle geltenden Gesetzes. Sie verleiht ihre Ämter ohne Mitwirkung des Staates oder der bürgerlichen Gemeinde.
Die von der Verfassung gewollte Trennung von Kirche und Staat beinhaltet eben auch, dass die Kirche von Staatsaufsicht frei zu bleiben hat. Eine Kontrolle kirchlicher Datenverarbeitung durch staatliche Aufsichtsinstanzen wäre hiermit nicht vereinbar. Noch wichtiger, als diese Überlegung ist aber, dass das Verhältnis der Kirche zu ihren Mitgliedern auf Gemeinschaft (Communio) und Geschwisterlichkeit beruht und nicht wie im Bereich staatlichen Verwaltungsrechts auf dem Verhältnis der Über- und Unterordnung. Daher hat die Kirche im Datenschutz - wie auch im Arbeitsrecht - das Recht auf einen eigenständigen "Dritten Weg".
Der deutsche Gesetzgeber hat dem bisher Rechnung getragen. Das abgelöste Bundesdatenschutzgesetz war nach der Regelung in § 1 Abs. 2 BDSG nur auf öffentliche Stellen des Bundes und der Länder (soweit sie Bundesrecht ausführen), auf Organe der Rechtspflege und Private anwendbar. Die Kirchen, die von Art. 137 Abs. 5 WRV als öffentlich-rechtliche Religionsgesellschaften anerkannt sind - hierzu gehören auch die Bistümer der Katholischen Kirche - fallen also nicht hierunter.
Die teilweise geäußerte Meinung, privatrechtlich organisierte Einrichtungen der Kirche, also eingetragene Vereine, zivilrechtliche Stiftungen, etc. müssten jedoch das BDSG anwenden, stand im Widerspruch zur Rechtsprechung des Bundesverfassungsgerichts. Danach nehmen auch zivilrechtlich organisierte Einrichtungen am Selbstverwaltungsrecht der Kirche teil. Es kommt nur darauf an, dass diese nach ihrem eigenen Selbstverständnis zur Kirche gehören und ein Stück des kirchlichen Auftrags mit verwirklichen.
vgl. BVerfG, Beschluss der 1. Kammer des Zweiten Senats vom 18. September 1998 - 2 BvR 1476/94 (Goch-Beschluss)
Die Europäische Union hat sich dieser Auffassung angeschlossen. In Art. 17 Absatz 1 des Vertrages über die Arbeitsweise der Europäischen Union hat sie ihr Verhältnis zu den Religionsgesellschaften wie folgt formuliert:
Die Union achtet den Status, den Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren Rechtsvorschriften genießen, und beeinträchtigt ihn nicht.
Die verfassungsrechtliche Stellung der Kirchen in Deutschland als öffentlich-rechtliche und vom Staat unabhängige Religionsgesellschaften wird daher auch auf europäischer Ebene geachtet. Unter der Rücksichtnahme auf dieses Verständnis ist dann auch in Art. 91 DSGVO ein Sonderweg für die Kirchen ermöglicht worden.
Die Katholische Kirche hat ihr bis Mai 2018 bestehendes Recht im Sinne der Datenschutzgrundverordnung geändert und insoweit mit ihr in Einklang gebracht. Für den Datenschutz in katholisch kirchlichen Einrichtungen gilt daher allein das durch die Bistümer verkündete „Gesetz über den kirchlichen Datenschutz (KDG)“.
Was unterscheidet das Beichtgeheimnis von dem Datengeheimnis?
Die Regelung des Beichtgeheimnisses
Alles, was der Büßer in der sakramentalen Beichte dem Priester offenbart, gilt als nur Gott gegenüber gesagt. Der Priester hat insoweit nur Stellvertreterfunktion. Das Bußsakrament macht daher nur Sinn, wenn das Gesagte auch zwischen Gott und dem Menschen vertraulich bleibt.
Das Beichtgeheimnis ist kirchenrechtlich in canon 983, 984 Codex Iuris Canonici (CIC) geregelt. Danach ist es dem Beichtvater (Priester) streng verboten, über die Sünden des Büßers in irgendeiner Form zu sprechen, ihn in sonst einer Form zu verraten oder die Kenntnis seiner Sünden bei der Leitung einer Gemeinde oder einer anderen kirchlichen Einrichtung zu verwenden. Der Bruch des Beichtgeheimnisses führt nach can. 1388 § 1 CIC zur Exkommunikation.
Die Verpflichtung zur Wahrung des Beichtgeheimnisses trifft aber nicht nur den Beichtvater, sondern auch einen Dolmetscher, falls ein solcher zugezogen wurde und jede andere Person, die zufällig oder willentlich vom Inhalt der Beichte erfahren hat. Eine Verletzung dieser Pflicht hat auch für diesen Personenkreis gravierende Folgen: nach can. 1388 § 2 CIC sind sie "mit einer gerechten Strafe zu bestrafen, nicht ausgeschlossen die Exkommunikation".
Die Regelung des Datengeheimnisses
Natürlich kommen im fachlichen Bereich tätige Mitarbeiter immer wieder mit personenbezogenen Daten in Berührung, soweit diese zur Erfüllung ihrer dienstlichen Aufgaben notwendig sind. Sie gehören zum Kreis der Verantwortlichen im Sinne von § 4 Nr. 9 KDG. Der Schutz der Intimsphäre der betroffenen Personen kann in diesen Fällen nur dann gewährleistet werden, wenn mit ihnen vertraulich umgegangen wird. § 5 KDG untersagt daher, diese Daten in unbefugter Weise zu verarbeiten. Eine förmliche Verpflichtung auf die Einhaltung der Datenschutzvorschriften und besonders die Verpflichtung zur Wahrung des Datengeheimnisses soll dies sicherstellen. Hierdurch werden die Mitarbeiter zugleich auf die besondere Bedeutung dieser Verpflichtung und die Folgen ihrer Verletzung hingewiesen. Darüber hinaus schafft sie die Gelegenheit, die betroffenen Personen mit den bestehenden Datenschutzregeln vertraut zu machen.
Die Verpflichtungserklärung ist von allen bei der Datenverarbeitung tätigen Personen abzugeben. Dabei kommt es nicht darauf an, ob diese haupt-, neben- oder ehrenamtlich tätig sind. Entscheidend ist allein, dass sie mit personenbezogenen Daten in Berührung kommen.
Der Unterschied zwischen beiden Regelungen
§ 5 KDG verlangt nicht nur, dass mit den Daten vertraulich umgegangen wird, sondern untersagt auch die unbefugte Verarbeitung der Informationen, einschließlich ihrer Erhebung, Erfassung, der Organisation, dem Ordnen, sowie ihrer Speicherung, Anpassung, Veränderung, dem Auslesen, Abfragen und der Offenlegung durch Übermittlung oder Verbreitung.
Das Datengeheimnis hat daher einen sehr viel breiteren Anwendungsbereich als das Beichtgeheimnis.
Was sind betriebliche Datenschutzbeauftragte?
Gewährleistung des Datenschutzes auf doppelter Ebene
Die betrieblichen Datenschutzbeauftragten haben einen bedeutenden Anteil an der doppelten Absicherung der Rechte der betroffenen Personen. Auf der einen Seite soll durch die Schaffung von Aufsichtsbehörden (Diözesandatenschutzbeauftragte) die Einhaltung der Vorschriften durch die Verantwortlichen gewährleistet werden. Anderseits steht natürlich fest, dass dies bei der Vielzahl der zu überwachenden Stellen nicht in einem vollständigen Umfange möglich sein wird. Aus diesem Grund ist zu gewährleisten, dass die Verantwortlichen von Anfang an datenschutzrechtliche Vorschriften sowohl bei der Organisation ihrer Einrichtung, wie auch bei der Schaffung eigener Angebote und der Erstellung von Produkten beachten.
Wer muss einen betrieblichen Datenschutzbeauftragten bestellen?
Die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten ist in § 36 Absatz 1 und 2 KDG geregelt. Es wird dabei unterschieden zwischen kirchlichen Stellen nach § 3 Absatz 1 lit. a) KDG, das sind die Diözesen, Kirchengemeinden, Kirchenstiftungen und Kirchengemeindeverbände und den sonstigen kirchlichen Rechtsträgern, die unter § 3 Absatz 1 lit. b) und c) KDG aufgeführt sind. Hierunter fallen beispielsweise alle Einrichtungen der Caritas.
Im zuerst genannten Fall ist die Bestellung eines betrieblichen Datenschutzbeauftragten vorzunehmen, ohne dass es hierfür auf die Zahl der in der Datenverarbeitung tätigen Personen ankommt.
Aber auch kirchliche Einrichtungen, die nicht hierunter fallen, haben einen Datenschutzbeauftragten zu bestellen, wenn eine der nachfolgenden drei Voraussetzungen gegeben ist:
- Bei ihnen sind mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt. Hierbei sind auch ehrenamtliche Helfer mitzuzählen.
- Die Kerntätigkeit ihrer Arbeit in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht.
- Die Kerntätigkeit ihrer Arbeit besteht in der Verarbeitung besonderer Kategorien personenbezogener Daten, zu denen beispielsweise Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung, weltanschauliche Überzeugungen, politische Meinungen und anderes gehören. vgl. § 4 Nr. 2 KDG, § 11 KDG
Im Ergebnis haben schon mittelgroße Einrichtungen, die mehr als 10 Personen in der Datenverarbeitung beschäftigen und Einrichtungen, die Menschen unter der Verwendung besonderer Kategorien von Daten betreuen, ebenfalls einen Betriebsbeauftragten zu bestellen. Diese Verpflichtung gilt daher auch für Dienststellen der Ehe-, Familien- und Lebensberatung sowie Pflegeeinrichtungen, Krankentransportdienste, Behindertenheime, psychiatrische Hilfsdienste, betreutes Wohnen und viele andere, wobei die Zahl derjenigen, die regelmäßig personenbezogen Daten verarbeiten, in diesem Fall keine Rolle spielt.
In diesen Fällen ist aus Sicht des Gesetzgebers die Beschäftigung einer speziellen Person, die über Fachwissen im Datenschutzrecht und der Datenschutzverfahren verfügt, erforderlich.
Aufgaben des betrieblichen Datenschutzbeauftragten
Die Aufgaben des Betriebsbeauftragten sind in § 38 KDG benannt. Besonders wichtig ist dabei, dass er durch sein Fachwissen und Kompetenz auf die Einhaltung der gesetzlichen Vorschriften innerhalb des Betriebes hinwirkt. Hierzu stehen ihm als Möglichkeiten zur Verfügung
- den Verantwortlichen zu unterrichten und zu beraten,
- sich in Zweifelsfällen an die Datenschutzaufsicht zu wenden,
- den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung auf Anfrage zu unterstützen und zu beraten,
- die Mitarbeiter in der Datenverarbeitung mit den bestehenden Vorschriften vertraut zu machen,
- als Ansprechpartner für betroffene Personen zur Verfügung zu stehen.
Damit er dieses leisten kann, hat ihn der Verantwortliche frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden und ihn bei der Erfüllung seiner Aufgaben zu unterstützen. Er ist in diesem Verantwortungsbereich nicht an Weisungen gebunden und genießt Kündigungsschutz für die Dauer seiner Beauftragung und im Anschluss hieran noch für ein weiteres Jahr.
Was sind Diözesandatenschutzbeauftragte?
Nach § 42 Abs. 1 des Gesetzes über den kirchlichen Datenschutz (KDG) bestellt jeder Bischof für den Bereich seines Bistums einen Diözesandatenschutzbeauftragten. Er soll zuverlässig und sachkundig sein, die Befähigung zum Richteramt haben und der Katholischen Kirche angehören. Er ist auf die gewissenhafte Erfüllung seiner Pflichten und auf die Einhaltung kirchlichen Rechts sowie das für die Kirche geltende staatliche Recht zu verpflichten. Seine Bestellung kann nur bei Vorliegen schwerwiegender Gründe widerrufen werden.
Aufgaben und Unabhängigkeit
Seine grundlegende Aufgabe besteht nach § 44 Abs. 1 KDG darin, über die Einhaltung der Vorschriften dieses Gesetzes zu wachen. Er ist also für den kirchlichen Bereich die zuständige Aufsichtsbehörde. Er kann alle Maßnahmen nach § 47 ff. KDG bis hin zur Festsetzung von Geldbußen nach § 51 KDG ergreifen, um das Recht auf informationelle Selbstbestimmung betroffener Menschen zu schützen. Er ist von den kontrollierten Einrichtungen zu unterstützen. Seinen Anweisungen ist Folge zu leisten (§ 44 Abs. 2 lit. a) KDG).
Damit er dieser Aufgabe gerecht werden kann, gewährt ihm das Gesetz vollständige Unabhängigkeit. Er kann nicht aus seinem Amt entlassen werden, ist an Weisungen nicht gebunden und übt seine Tätigkeit in sachlicher und organisatorischer Unabhängigkeit aus. Natürlich ist er hauptamtlich tätig und darf andere Tätigkeiten nur ausüben, wenn sie seine Unabhängigkeit und Überparteilichkeit nicht gefährden. Auch bei der Auswahl seiner Mitarbeiter sind ihm nach § 43 Abs. 4, 5 KDG eigenständige Entscheidungen möglich. Hierdurch wird gewährleistet, dass seine Aufgabenerfüllung nicht durch behindernde Personalentscheidungen beeinträchtigt werden können.
Insbesondere sind die nachfolgenden Aufgaben in §§ 44 bis 47 KDG festgelegt:
- Die Öffentlichkeit über Risiken der Datenverarbeitung zu informieren.
- Kirchliche Einrichtungen über gesetzliche und organisatorische Maßnahmen zum Datenschutz zu beraten.
- Verantwortliche und Auftragsverarbeiter datenschutzrechtlich zu sensibilisieren.
- Die Bearbeitung von Eingaben und Beschwerden Betroffener.
- Überwachung der Einhaltung von Datenschutzvorschriften.
- Die Beanstandung von Verstößen gegen Datenschutzvorschriften.
- Eine Anordnung von Maßnahmen zur Beseitigung von Mängeln und Widerherstellung eines rechtmäßigen Zustands gegenüber der datenverarbeitenden Stelle.
- Die Abgabe von Empfehlungen zur Verbesserung des Datenschutzes und Untersuchungen über die Anwendung des Gesetzes.
- Die Erstellung von Listen der Verarbeitungsarten, für die eine Folgenabschätzung durchzuführen ist.
- Zusammenarbeit mit anderen kirchlichen Beauftragten für den Datenschutz.
- Zusammenarbeit mit den staatlichen Beauftragten für den Datenschutz.
- Die jährliche Erstellung eines Tätigkeitsberichts, der die wesentlichen Maßnahmen und Entwicklungen auf dem Gebiet des Datenschutzes sowohl im kirchlichen, wie auch im nichtkirchlichen Bereich darstellt.
Organisation der kirchlichen Datenschutzaufsicht
Nach § 42 Abs. 1 Satz 3 KDG können mehrere Bistümer einen gemeinsamen Datenschutzbeauftragten bestellen. Von dieser Möglichkeit haben inzwischen alle Diözesen in Deutschland Gebrauch gemacht. Daher bestehen fünf Aufsichtsbehörden, die für die Einhaltung des Datenschutzes in den Bistümern tätig sind. Hierzu gibt unsere Anschriftenliste einen vollständigen Überblick. Ein Blick auf die Karte der deutschen Bistümer mit der farblichen Kennzeichnung der Zuständigkeitsbereiche schafft darüber hinaus auch optisch Klarheit.
Die Zuständigkeit des Diözesandatenschutzbeauftragten erstreckt sich auch auf Orden, die nach bischöflichem Recht errichtet worden sind, nicht jedoch auf die Orden päpstlichen Rechts. Diese Orden haben aber auf Empfehlung der Deutschen Ordensobernkonferenz (DOK) jeweils das KDG in Kraft gesetzt und zwischenzeitlich zwei eigene Datenschutzbeauftragte ernannt. Für den nördlichen Teil Deutschlands ist Rechtsanwalt Dieter Fuchs in Düsseldorf und für den südlichen Teil, der frühere Vorsitzende Richter am Bayerischen Obersten Landesgericht, Herr Jupp Joachimski bestellt worden. Aufgrund der Fülle der Orden in diesem Land ist es nicht möglich an dieser Stelle sämtliche Aufsichtsinstanzen in diesem Bereich aufzulisten. Eine genaue Information wird Ihnen aber bei Aufruf des Internetangebotes der Deutschen Ordensobernkonferenz zuteil.
An wen muss ich mich wenden, wenn ich mich über die Verarbeitung meiner Daten beschweren will?
Für die Geltendmachung der eigenen Rechte stehen zwei Wege zur Verfügung.
- Die Vorschrift des § 37 Absatz 3 KDG legt ausdrücklich fest, dass sich betroffene Personen unmittelbar an den betrieblichen Datenschutzbeauftragten wenden können. Auf diese Weise wird eine Klärung auf unterster Ebene, nämlich durch einen Mitarbeiter der betroffenen Einrichtung ermöglicht. In vielen Fällen führt dieser Weg zu einer schnellen und unkomplizierten Lösung. Der Betriebsbeauftragte ist für die Beachtung datenschutzrechtlicher Vorschriften ausgebildet, unabhängig von den Weisungen seines Auftraggebers und bemüht, das Vertrauen in die Tätigkeit der Einrichtung durch Herstellung eines datenschutzgerechten Verhaltens herzustellen und zu erhalten.
- Führen die Gespräche mit der Einrichtung und dem betrieblichen Datenschutzbeauftragten nicht zum Erfolg, so besteht die Möglichkeit, den Diözesandatenschutzbeauftragten als Aufsichtsbehörde einzuschalten. Dieser ist nach § 44 Abs. 3 lit. e) KDG verpflichtet, sich mit Beschwerden betroffener Personen zu befassen. Hierzu wird er die jeweilige Einrichtung zur Stellungnahme auffordern und nach einer möglichen weiteren Prüfung und Untersuchung eine Entscheidung über die Berechtigung der Beschwerde treffen. Sollte die Beschwerde zu Recht erfolgt sein, so kann er gegen die Einrichtung besondere Maßnahmen ergreifen, die eine ordnungsgemäße Organisation für die Zukunft sicherstellen und in schwerwiegenden Fällen auch ein Bußgeld nach § 51 KDG festsetzen. Es liegt nahe davon auszugehen, dass hier der Eingriff in die Organisation auf Seiten der Einrichtung sehr viel schwerer wiegt, als nach dem vorher Gesagten. Daher wird jede Einrichtung bemüht sein, eine Problemlösung mit der betroffenen Person herbeizuführen.
Für welchen Weg man sich entscheiden sollte, ist von den jeweiligen Umständen abhängig, um die es geht. Liegt aus Sicht des Betroffenen ein Fall vor, der sich bei gutem Einvernehmen auf beiden Seiten kurzfristig lösen lässt, wird sicherlich die Lösung der Nummer eins in Betracht kommen. Bei schwerwiegenderen Fragen, bei denen zudem auf beiden Seiten erhebliche Differenzen zu Tage treten, werden beide Seiten eine generelle Klärung der Sache durch die Aufsichtsbehörde bevorzugen. Letztendlich aber obliegt es der betroffenen Person zu entscheiden, für welchen Weg sich dieser entscheidet.
Kommt aus Sicht der Beteiligten keine befriedigende Lösung zustande, so steht ihnen nach § 49 KDG ein gerichtlicher Rechtsbehelf gegen den Bescheid der Datenschutzaufsicht zur Verfügung. Das Verfahren hierzu ist in der „Kirchlichen Datenschutzgerichtsordnung (KDSGO)“ geregelt, welche Sie unter folgendem Link für Ihr jeweiliges Bistum herunterladen können: https://www.kdsa-nord.de/recht
Wie kommt die Kirche an meine Daten?
Um zu erfahren, wer Mitglied der Katholischen Kirche ist, sind wir auf die Hilfe der staatlichen Meldestellen angewiesen. Das Bundesmeldegesetz (BMG) sieht daher vor, dass den öffentlich-rechtlichen Religionsgesellschaften zur Erfüllung ihrer Aufgaben u.a. folgende Daten übermittelt werden dürfen:
- Familienname, frühere Namen, Doktorgrad, Ordensname, Künstlername, Geburtsdatum und Geburtsort, Angaben zum gesetzlichen Vertreter, Geschlecht, derzeitige Staatsangehörigkeiten, Religionszugehörigkeit, Derzeitige Anschriften, Haupt- und Nebenwohnung, frühere Anschriften, Tag des Ein- und Auszugs, Familienstand, beschränkt auf die Angabe, ob verheiratet oder eine Lebenspartnerschaft führend oder nicht; zusätzlich bei Verheirateten oder Lebenspartnern: Tag der Eheschließung oder Begründung der Lebenspartnerschaft, Zahl der minderjährigen Kinder, Auskunftssperren nach § 51 und bedingte Sperrvermerke nach § 52 sowie Sterbedatum und Sterbeort
Zu diesen von den Einwohnermeldeämtern übermittelten Daten (sog. "kommunaler Datensatz") kommen nach § 5 der Anordnung über das kirchliche Meldewesen (KMAO) noch die von der Kirche selbst erhobenen Daten aus den Kirchenbüchern (Matrikeldaten) hinzu. So werden auch Sakramentsspendungen wie die Taufe, Firmung, Erstkommunion, kirchliche Eheschließung, Priesterweihe und Profess in der Datei gespeichert. Der Gesamtdatenbestand bildet das Gemeindemitgliederverzeichnis und damit die Grundlage für die seelsorgerische Arbeit in den Gemeinden. Aber auch das Bistum kann die Daten für seine Aufgabenerfüllung nutzen. Jede Kirchengemeinde ist verpflichtet, ihren Mitgliedern Auskunft über die dort gespeicherten Daten zu erteilen.
Darüber hinaus erheben kirchliche Einrichtungen in einer Vielzahl von Fällen Daten unmittelbar beim Betroffenen selbst. Hierzu verwenden sie in der Regel Fragebögen, die von den jeweiligen Personen selbst ausgefüllt werden (Aufnahmebogen, Personalbogen, etc.). Dabei müssen die Grundsätze aus § 15 KDG beachtet werden. Die betroffene Person muss in verständlicher Weise über die Zwecke der Erhebung und über die Personen, die mit der Verarbeitung beauftragt sind sowie eine geplante Offenlegung unterrichtet werden.
Für welche Zwecke dürfen diese Daten verarbeitet werden?
Das Bundesmeldegesetz (BMG) sieht in § 42 Abs. 1 vor, dass den öffentlich-rechtlichen Religionsgesellschaften die Daten "zur Erfüllung ihrer Aufgaben, nicht jedoch zu arbeitsrechtlichen Zwecken" übermittelt werden. Diese Aufgaben werden nicht namentlich benannt oder im Einzelnen aufgelistet. Die Kirche darf daher die Daten für alle rechtmäßig von ihr ausgeübten Tätigkeiten verwenden. Das gilt vor allem für den Bereich ihrer drei Grunddienste, die Verkündigung, die Liturgie und die Caritas. Ausdrücklich ausgenommen sind arbeitsrechtliche Zwecke, wie insbesondere Bewerbungsverfahren.
Nach § 5 der Anordnung über das kirchliche Meldewesen (KMAO) sind das Bistum und die Kirchengemeinden zur Führung des Gemeindemitgliederverzeichnisses befugt, die Kirchengemeinden sogar verpflichtet. Eine generelle Weitergabe von Meldedaten an andere kirchliche Stellen ist nach der KMAO nicht vorgesehen.
Von den Dienststellen und Einrichtungen selbst erhobene Daten dürfen ebenfalls nur für den Zweck verwendet werden, der bei ihrer Erhebung dem Betroffenen gegenüber angegeben worden ist. Sollen sie ausnahmsweise, unter der Anwendung von § 6 Abs. 2 KDG, auch für andere Zwecke verarbeitet werden, so ist der Betroffene nach § 15 Abs. 3 KDG hierüber zu informieren.
Dürfen sie auch an außenstehende Dritte weitergegeben werden?
Grundsätze
Die Weitergabe von personenbezogenen Daten wird heute vom Kirchlichen Datenschutzgesetz (KDG) in Anlehnung an die Datenschutzgrundverordnung als „Offenlegung“ bezeichnet. Wann Daten offengelegt werden dürfen, ist in den Vorschriften des § 9 (Offenlegung gegenüber kirchlichen und öffentlichen Stellen) und des § 10 (Offenlegung gegenüber nicht kirchlichen und nicht öffentlichen Stellen) geregelt. Diese Regelungen stellen dabei einerseits auf den Aspekt der Notwendigkeit zur Erfüllung der Aufgaben der offenlegenden oder empfangenen Stelle und andererseits auf die Bindung an den ursprünglichen Verarbeitungszweck ab. Anders ausgedrückt, dürfen Informationen über die betroffene Person nur dann weitergegeben werden, wenn dies dem gleichen Zweck dient, für den sie erhoben worden sind. Und das darf auch nur dann geschehen, wenn hierfür eine Notwendigkeit für die ordnungsgemäße Erfüllung der Aufgaben besteht. Hierdurch wird der Grundsatz aufrechterhalten, dass jeder Betroffene die Möglichkeit haben muss, zu erkennen, welche Stellen seine Daten zu welchem Zweck verarbeiten.
Verantwortung
Die Verantwortung hierfür ist von der offenlegenden Stelle zu tragen. Nur dann, wenn die Weiterleitung auf ein Ersuchen des Empfängers erfolgt, liegt die Verantwortung bei ihm. Dabei muss die abgebende Stelle aber überprüfen, ob die Anforderung tatsächlich im Rahmen des Aufgabenkreises des Empfängers liegt. An öffentliche Stellen außerhalb der Kirche ist zudem die Offenlegung nur dann zulässig, wenn sichergestellt ist, dass diese ebenfalls ausreichende Datenschutzmaßnahmen getroffen haben.
Nutzung
Die offengelegten Daten dürfen nur für die Zwecke verarbeitet werden, für die sie übermittelt worden sind. Im Falle der Weitergabe an nicht kirchliche und nicht öffentliche Stellen ist der Empfänger hierauf hinzuweisen. Dadurch soll sichergestellt werden, dass die betroffene Person nur einer solchen Verarbeitung ihrer Daten ausgesetzt wird, die rechtmäßig zu einem bestimmten Zweck erfolgt.
Wo kann ich erfahren, welche Daten über mich vorliegen und verarbeitet werden?
Das jedem Menschen zustehende Recht zu erfahren, welche Daten über ihn an welcher Stelle und zu welchem Zweck verarbeitet werden, ist in § 17 KDG niedergelegt. Danach ist dieser Anspruch gegenüber dem Verantwortlichen geltend zu machen. § 4 Nr. 9 definiert den Verantwortlichen als den Menschen oder die Dienststelle/Einrichtung, die über die Mittel der Datenverarbeitung entscheidet. Das bedeutet, dass sich der Betroffene immer an die Person oder Stelle wenden muss, bei der die Informationen über ihn vorliegen. Folgende Beispiele verdeutlichen dies.
- So bekommt jeder, der wissen will, welche Daten seine Kirchengemeinde über ihn zur Verfügung hat, die Auskunft über das betreffende Pfarrbüro.
- Der Klient einer Caritasdienstelle wird vor Ort über den Inhalt und den Umfang des Datensatzes über seine Person unterrichtet.
- Auch eine Schule muss den Schüler und die Sorgeberechtigten über die gespeicherten Informationen unterrichten.
Ungeeignet ist die Anfrage beim Diözesandatenschutzbeauftragten, da dieser nicht über die verarbeiteten Daten verfügt. Sollte sich eine Einrichtung jedoch weigern, Auskunft zu erteilen, ist er der richtige Ansprechpartner für eine Beschwerde.
Die Auskunftserteilung erfolgt nur auf Verlangen der betroffenen Person. Sie ist in der Regel unentgeltlich. Nur dann, wenn weitere Kopien über die erforderliche Anzahl hinaus erbeten werden, kann hierfür ein angemessenes Entgelt in Rechnung gestellt werden.
Welche Rechte habe ich gegenüber dem verantwortlichen Datenverarbeitern?
Auch das Gesetz über den Kirchlichen Datenschutz (KDG) hat die Rechte der betroffenen Personen, entsprechend der Datenschutzgrundverordnung (DSGVO), eingehend und ausführlich in den §§ 14 bis 25 KDG geregelt. Hier können nur die wichtigsten Aspekte diesbezüglich dargestellt werden.
- Neu ist hierbei, dass die betroffene Person in transparenter, verständlicher und leicht zugänglicher Form über alle Teile der Datenverarbeitung zu unterrichten ist, die sie betreffen. Diese Verpflichtung bezieht sich auf die Datenerhebung, das ihm zustehende Auskunftsrecht, die Möglichkeiten der Berichtigung, Löschung und Sperrung der Daten wie auch auf sein Widerspruchsrecht und das neu geschaffene Recht auf Datenübertragbarkeit.
- Wie bisher besteht ein Auskunftsrecht über die verarbeiteten Daten, ihre Verarbeitungszwecke, die Dauer ihrer Nutzung, ihrer Offenlegung gegenüber Dritten und die Möglichkeit, Beschwerde bei der Aufsichtsbehörde einzulegen.
- Hält der Betroffene den Datenbestand zu seiner Person nicht für erforderlich oder ist er der Meinung er sei unvollständig oder falsch hat er das Recht insoweit eine Löschung oder Berichtigung zu verlangen. Bei Unstimmigkeiten über diesen Punkt ist eine Einschränkung der Datenverarbeitung (früher „Sperrung“) vorzunehmen.
- In vielen Fällen besteht auch ein Widerspruchsrecht gegen die Verarbeitung der eigenen Daten. Insbesondere wenn diese für Werbung oder Fundraising benötigt werden. Aber auch besondere persönliche Situationen können ein Widerspruchsrecht begründen.
- Jeder Betroffene hat zudem das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden. Das so genannte „Profiling“ ist nur in wenigen Ausnahmefällen, die in § 24 Absatz 2 KDG benannt sind, zulässig.
- Neu geschaffen wurde weiterhin das Recht auf Datenübertragbarkeit. Damit besteht für Jeden die Möglichkeit, seinen Datenbestand auf einen anderen Anbieter zu übertragen. Hierdurch wird ein Wechsel des Dienstleisters wesentlich leichter ermöglicht. Voraussetzung hierfür ist die Verarbeitung auf Grund einer Einwilligung des Betroffenen und der Verarbeitung durch automatisierte Verfahren.
- Schließlich ist jeder Betroffene nach § 34 Absatz 1 KDG zu benachrichtigen, wenn eine Verletzung datenschutzrechtlicher Anforderungen ein hohes Risiko für seine persönlichen Rechte und Freiheiten zur Folge haben kann.
Was passiert bei einem Kirchenaustritt mit meinen Daten?
Das Kirchenaustrittsverfahren ist landesrechtlich geregelt. Die nachstehende Übersicht gibt einen Überblick für den norddeutschen Raum:
- Bremen, Kirchensteuergesetz - (KiStG)
- Hamburg, Gesetz über den Austritt aus Religionsgesellschaften des öffentlichen Rechts
- Mecklenburg-Vorpommern, Kirchensteuergesetz Mecklenburg-Vorpommern (KiStG M-V)
- Niedersachsen, Kirchenaustrittsgesetz (KiAustrG)
- Schleswig-Holstein, Kirchenaustrittsgesetz (KiAustrG)
Für die Datenverarbeitung muss zwischen der Eintragung im Taufregister und der Berücksichtigung im elektronischen Melderegister unterschieden werden.
Aufgrund der schriftlichen Benachrichtigung durch die zuständige Stelle, wird das für den Ausgetretenen bestehende Taufregister ermittelt und um die Eintragung des Kirchenaustritts ergänzt. Das Taufregister über eine Person wird grundsätzlich dort geführt, wo der Betroffene getauft wurde (= Geburtsort). Dabei kann es sich um die Pfarrei handeln, in deren Bezirk die Eltern zum Zeitpunkt der Geburt ihren Wohnsitz hatten oder das Geburtskrankenhaus gelegen war. Eine Vernichtung des Taufregisters findet nicht statt. Es ist eine Gesamturkunde, die in ihrem Bestand zu schützen ist.
Darüber hinaus ist der Erhalt der Eintragung aus folgenden Gründen erforderlich:
- Zur Verhinderung weiterer Sakramentsspendungen (die Taufe ist allen christlichen Konfessionen gemeinsam und kann nur einmal gespendet werden);
- weil nur so verhindert werden kann, dass der Ausgetretene weitere Sakramente empfängt (z.B. Ehesakrament);
- weil die Möglichkeit eines späteren Wiedereintritts in die Kirche oder einer Konversion besteht.
Der Kirchenaustritt führt auch zu einer Änderung des Melderegisters. Von den Meldebehörden erhält die Kirche regelmäßig einen Änderungsdienst, der auch die Kirchenaustritte berücksichtigt. Aufgrund dieser Meldung wird dann das Gemeindemitgliederverzeichnis nach § 4 KMAO berichtigt. Der Ausgetretene wird also im kirchlichen Meldewesen nicht mehr erfasst!
Dürfen meine Daten an einen Krankenhausseelsorger weitergegeben werden?
Die seelsorgliche Betreuung Kranker gehört zu den zentralen Aufgaben der Kirche. Gemäß Art. 140 des Grundgesetzes i. V. m. Art. 141 der Verfassung des Deutschen Reiches vom 11. August 1919 sind die öffentlich-rechtlichen Religionsgesellschaften daher zur Vornahme seelsorgerischer Handlungen in Krankenhäusern zuzulassen, wobei jeder Zwang fernzuhalten ist.
Angesichts dieser verfassungsrechtlichen Garantie begegnet es weder datenschutzrechtlichen noch strafrechtlichen Bedenken, wenn die Konfessionszugehörigkeit eines stationär in das Krankenhaus eingelieferten Patienten bei der Aufnahme erfragt und den kirchlichen Stellen mitgeteilt wird. Wichtig ist hierbei jedoch,
- dass auf die Freiwilligkeit der Angabe hingewiesen wird.
- der Patient in die Weitergabe an den zuständigen Krankenhausseelsorger einwilligt.
Nur auf diese Weise kann dem verfassungsrechtlichen Gebot, „jeden Zwang fernzuhalten“, entsprochen werden.
Sofern der Patient aufgrund eines besonderen Umstandes nicht nach seiner Konfessionszugehörigkeit befragt werden kann, seine Zugehörigkeit aber der Krankenhausverwaltung bekannt ist, bestehen keine Bedenken, wenn auf den mutmaßlichen Willen des Betroffenen abgestellt wird. Hinweise auf den mutmaßlichen Willen des Patienten können sich aus der Befragung von Angehörigen oder aus einem mitgeführten kirchlichen Notfallpass oder ähnlichem ergeben.
Abweichungen können sich in den (Erz-)Bistümern ergeben, welche ein "Gesetz zum Schutz von Patientendaten bei der Seelsorge in katholischen Einrichtungen des Gesundheitswesens" (Seelsorge-PatDSG) erlassen haben. Dies ist derzeit im Erzbistum Hamburg der Fall. Das Seelsorge-PatDSG können Sie hier herunterladen: https://www.kdsa-nord.de/recht_erzbistum_hamburg
Kann ich Auskunft aus kirchlichen Archiven erhalten?
Das kirchliche Archivrecht ist durch die "Anordnung über die Sicherung und Nutzung der Archive der Katholischen Kirche (Kirchliche Archivanordnung - KAO)" vom 01.03.2014 neu geregelt worden. Dabei ist die bisher bestehende Vorschrift des § 6 KAO-alt über die "Nutzung kirchlichen Archivguts durch Dritte" ersatzlos gestrichen worden. Nach ihr war eine Auskunft oder Einsicht in Archivunterlagen Dritter nur bei Vorliegen eines berechtigten Interesses möglich. Als Beispiele hierfür waren die Nutzungen für amtliche, wissenschaftliche, heimatkundliche, familiengeschichtliche oder pädagogische Zwecke benannt worden.
Die neue KAO kommt dem Interesse der Allgemeinheit sehr viel stärker entgegen. Schon in der Präambel wird festgestellt:
Die Archive der katholischen Kirche dokumentieren das Wirken der Kirche und erfüllen als Gedächtnis der Kirche sowie der Gesellschaft und als Teil ihrer Kulturgüter eine wichtige pastorale Funktion. Sie dienen der Erforschung der Geschichte der Kirche, ihrer Verwaltung und der Rechtssicherung. Im Interesse der geschichtlichen Wahrheit werden die kirchlichen Archive nach Maßgabe dieser Anordnung für eine Nutzung geöffnet.
In Folge dessen werden die Nutzungsmöglichkeiten durch § 8 Abs. 1 allen interessierten Personen ermöglicht. Zu beachten sind dabei aber die in §§ 9 und 10 KAO-2014 festgelegten Schutzfristen und die Regeln zum Erhalt des Archivguts in einem ordnungsgemäßen Zustand. § 8 Abs. 1 KAO-2014 bestimmt:
Die Nutzung von Archivgut erfolgt nach Maßgabe dieser Anordnung und der auf ihrer Grundlage zu erlassenden Benutzungsordnung, soweit aufgrund anderer Rechtsvorschriften nichts anderes bestimmt wird.
In zwei Fällen weist die KAO-2014 noch auf besondere Möglichkeiten hin. Nach § 5 Abs. 4 KAO leisten die kirchlichen Archive im Rahmen ihrer Möglichkeiten Öffentlichkeitsarbeit. Das kann auch durch die Zusammenarbeit mit Einrichtungen der Bildung, der Wissenschaft und der Medien erfolgen. Wie die Zusammenarbeit erfolgt, kann im Einzelfall mit den entsprechenden Institutionen festgelegt werden. Hierbei wird im Gegensatz zu einer genauen Festlegung der Auskunfts- und Einsichtsrechte sowie der Möglichkeit Kopien zu erhalten, vielmehr auf eine individuelle Absprache gesetzt, die der jeweiligen Situation angemessen ist.
Darüber hinaus ist den Betroffenen nach § 8 Abs. 5 KAO auf Antrag Auskunft aus dem Archivgut zu erteilen oder Einsicht hierin zu gewähren. Das gilt in erster Linie für die Informationen, die sich auf deren Person beziehen. Eingeschlossen sind aber auch Archivunterlagen über die Angehörigen, mit denen in direkter Linie eine Verwandtschaft besteht (Kinder, Eltern, Großeltern, .. nicht jedoch Onkel, Tanten, Cousinen, Cousins, usw.).
Zu den in § 8 Abs. 1 genannten gesetzlichen Einschränkungen gehört auch das Adoptionsgeheimnis. Dieses wird durch § 1758 des Bürgerlichen Gesetzbuchs (BGB) geschützt. Hier hat der Gesetzgeber bestimmt:
[1] Tatsachen, die geeignet sind, die Annahme und ihre Umstände aufzudecken, dürfen ohne Zustimmung des Annehmenden und des Kindes nicht offenbart oder ausgeforscht werden, es sei denn, dass besondere Gründe des öffentlichen Interesses dies erfordern.
[2] Absatz 1 gilt sinngemäß, wenn die nach § 1747 erforderliche Einwilligung erteilt ist. Das Vormundschaftsgericht kann anordnen, dass die Wirkungen des Absatzes 1 eintreten, wenn ein Antrag auf Ersetzung der Einwilligung eines Elternteils gestellt worden ist.
Eine Auskunftserteilung aus kirchlichen Archivalien darf daher niemals zu einer Aufdeckung von Adoptionsverhältnissen führen, ohne dass die schriftliche Zustimmung der Adoptiveltern und des Kindes vorliegen. Leben die Adoptiveltern nicht mehr, so ist eine Auskunftserteilung auf Dauer unmöglich. In jüngster Zeit haben die Gerichte ein Recht des volljährigen Adoptivkindes auf Auskunft über seine leiblichen Eltern anerkannt. Ein solches Recht besteht jedoch nur im Verhältnis zu den Adoptiveltern. Verweigern diese die Angabe, so kann das Kind auf Auskunftserteilung klagen. Liegt eine rechtskräftige Entscheidung zugunsten des Kindes vor, so bestehen keine Bedenken, diesem bei der Ermittlung seiner leiblichen Eltern behilflich zu sein. Auch hier ist jedoch zu berücksichtigen, dass dies in erster Linie die Aufgabe der staatlichen Standes- und Jugendämter ist.