Einführung in Kirchliches Datenschutzrecht

Kirchliche Einrichtungen wie Pfarreien, Kindergärten, Schulen, Krankenhäuser oder soziale Dienste verarbeiten täglich eine Vielzahl personenbezogener Daten. Anders als staatliche Stellen und Unternehmen in der Privatwirtschaft wenden sie dabei eigene Datenschutzgesetze an:

  • Katholische Kirche: Gesetz über den Kirchlichen Datenschutz (KDG)
  • Evangelische Kirche: Datenschutzgesetz der EKD (DSG-EKD)

Diese Regelungen orientieren sich an der Datenschutz-Grundverordnung (DSGVO), enthalten jedoch eigene Besonderheiten.


Rechtliche Ausgangslage und Besonderheiten

Die Grundlage für kirchliche Datenschutzregelungen findet sich in Art. 91 DSGVO. Er erlaubt es Kirchen, bereits bestehende umfassende Datenschutzordnungen beizubehalten, sofern diese mit der DSGVO in Einklang stehen. Diese Abweichungen sind Ausdruck des verfassungsrechtlich garantierten Selbstbestimmungsrechts der Kirchen und betreffen sowohl die organisatorischen Strukturen als auch inhaltliche Regelungen. Damit ist sichergestellt, dass kirchliche Einrichtungen datenschutzrechtlich eigenständig, aber dennoch europarechtskonform handeln.

Kirchliche Datenschutzgesetze wie das KDG (katholisch) und das DSG-EKD (evangelisch) orientieren sich eng an der DSGVO, unterscheiden sich aber in einigen wesentlichen Punkten.

a) Kirchliche Aufsichtsbehörden

Während in der staatlichen Sphäre die Landes- und Bundesdatenschutzbeauftragten zuständig sind, verfügen die Kirchen über eigene, unabhängige Datenschutzaufsichten.

  • Katholische Kirche: Diözesandatenschutzbeauftragte in den einzelnen Bistümern bzw. Bundesländern.
  • Evangelische Kirche: Beauftragte für den Datenschutz (BfD EKD) mit regionalen Stellen.

Diese Aufsichtsbehörden haben vergleichbare Befugnisse wie staatliche Stellen, z. B. Kontrolle, Anordnung, Bußgelder, handeln aber innerhalb der kirchlichen Rechtsordnung.

b) Beschäftigtendatenschutz und Loyalitätsanforderungen

  • Eigenständige Rechtsgrundlagen:
    • Katholisch: Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses, § 53 KDG; insbesondere Daten über die Religionszugehörigkeit, religiöse Überzeugung und Erfüllung von Loyalitätsobliegenheiten (bspw. nach der Grundordnung des kirchlichen Dienstes) sind explizit genannt.
    • Evangelisch: Verarbeitung personenbezogener Daten bei Dienst- und Arbeitsverhältnissen, § 49 DSG-EKD; relativ feinteilig aufgeteilte Vorschrift, die verschiedene Fälle im Rahmen des Beschäftigungsverhältnisses, insbesondere die Verarbeitung von Gesundheitsdaten, regelt.
  • Religionszugehörigkeit kann z. B. für die Besetzung von Stellen relevant sein, insbesondere in pastoralen oder erzieherischen Berufen.
  • Loyalitätsobliegenheit, z. B. Zugehörigkeit zur Kirche oder Beachtung kirchlicher Werte, sind in den kirchlichen Datenschutzgesetzen ausdrücklich berücksichtigt.

c) Spezielle Regelungen für besondere Datenverarbeitungen

  • Seelsorge und Beichtgeheimnis: Daten aus seelsorgerischen Gesprächen oder Beichten genießen einen besonders hohen Schutz. Sie unterliegen nicht nur dem Datenschutzrecht, sondern auch dem kirchlichen Amtsgeheimnis.
  • Veröffentlichungen in Pfarrbriefen oder auf Websites: Für Namen, Fotos oder Geburtstagslisten gibt es oft strengere Vorgaben. In vielen Fällen ist eine schriftliche Einwilligung erforderlich, auch wenn die DSGVO hier eine Abwägung mit berechtigtem Interesse zulassen würde.
  • Verarbeitung von Religionsdaten: Da die Zugehörigkeit zu einer Konfession ein sensibles Datum im Sinne von Art. 9 DSGVO ist, sehen KDG und DSG-EKD teils abweichende Vorgaben für deren Verarbeitung vor.

d) Sanktionen und Verfahren

Die kirchlichen Datenschutzgesetze enthalten eigene Bußgeldregelungen. Im Unterschied zur DSGVO, die Geldbußen bis zu 20 Millionen Euro vorsieht, sind die Sanktionsrahmen in der kirchlichen Praxis teilweise niedriger angesetzt. Dennoch drohen empfindliche Maßnahmen wie:

  • Anordnungen zur sofortigen Datenlöschung
  • Untersagung bestimmter Verarbeitungsvorgänge
  • Abmahnungen gegenüber Einrichtungen

e) Dokumentationspflichten

Zwar gelten die DSGVO-Grundsätze auch im kirchlichen Datenschutz, z. B. Rechenschaftspflicht, Verzeichnis der Verarbeitungstätigkeiten, doch wurden diese in den kirchlichen Gesetzen teilweise praxisnäher ausgestaltet. Besonders im sozialen Bereich (Caritas, Diakonie) gibt es abgestufte Anforderungen, die auf die Realität kleiner Einrichtungen eingehen.


Relevante Praxisbeispiele

Kirchliche Einrichtungen sind in sehr unterschiedlichen Bereichen tätig, von der Seelsorge über Bildungsarbeit bis hin zu sozialen Diensten wie Kindergärten, Krankenhäusern oder Pflegeeinrichtungen. Daraus ergeben sich spezifische Anwendungsfälle, die in der Praxis immer wieder besondere datenschutzrechtliche Bedeutung haben. Die nachfolgende Auflistung ist nicht abschließend.

a) Kindergärten und Schulen

  • Gesundheitsdaten: Informationen über Allergien, chronische Erkrankungen oder Impfungen von Kindern zählen zu den sensiblen Daten und dürfen nur mit klarer Rechtsgrundlage verarbeitet werden.
  • Fotos und Öffentlichkeitsarbeit: Bilder von Kindergartenfesten oder Schulaufführungen dürfen in Pfarrbriefen oder auf Webseiten nur veröffentlicht werden, wenn eine schriftliche Einwilligung der Eltern (bzw. ab einem bestimmten Alter der Kinder selbst) vorliegt.
  • Kommunikation mit Eltern: Der Einsatz von Messenger-Diensten wie WhatsApp ist problematisch. Empfohlen werden datenschutzkonforme Alternativen wie Threema oder spezielle Schul-/Kita-Messenger.

b) Pflegeeinrichtungen und Krankenhäuser

  • Patientendaten: In kirchlichen Krankenhäusern oder Pflegeheimen fallen besonders sensible Gesundheitsdaten an. Hier gelten strenge Anforderungen an Vertraulichkeit, Zugriffskontrolle und Verschlüsselung.
  • Dokumentationssysteme: Elektronische Pflegedokumentationen müssen durch technische und organisatorische Maßnahmen abgesichert werden, um Missbrauch oder unbefugte Zugriffe zu verhindern.
  • Seelsorge: Gespräche mit Patienten oder Bewohnern unterliegen einem besonderen Vertrauensschutz. Daten daraus dürfen nicht in Dokumentationen übernommen werden, wenn nicht ausdrücklich gewünscht.

c) Pfarrgemeinden und kirchliche Öffentlichkeitsarbeit

  • Pfarrbriefe und Aushänge: Namen von Jubilaren, Taufen, Hochzeiten oder Verstorbenen dürfen nur mit Einwilligung veröffentlicht werden.
  • Webseiten und Social Media: Gerade hier ist die Reichweite hoch. Fotos von Gottesdiensten oder Gemeindefesten dürfen nicht ohne dokumentierte Einwilligung online gestellt werden.
  • Videoübertragungen von Gottesdiensten: Immer beliebter, aber rechtlich anspruchsvoll. Es müssen Kamerawinkel gewählt werden, die Besucher nicht ohne deren Zustimmung erkennbar zeigen.

d) Spendenwesen und Mitgliederverwaltung

  • Spenderdaten: Bankverbindungen, Spendenhöhe und Verwendungszweck dürfen ausschließlich für Spendenzwecke genutzt werden.
  • Zuwendungsbescheinigungen: Erfordern eine saubere Dokumentation, gleichzeitig müssen unnötige Daten vermieden werden.
  • Kirchensteuer und Mitgliedschaft: Die Religionszugehörigkeit ist eine besonders sensible Information. Ihre Verarbeitung durch Kirchen und staatliche Stellen, z. B. Finanzämter, erfolgt auf spezieller Rechtsgrundlage.

e) Ehrenamt und interne Kommunikation

  • Ehrenamtliche Mitarbeiter in Chören, Jugendgruppen oder Pfarrgemeinderäten haben oft Zugriff auf personenbezogene Daten, z. B. Teilnehmerlisten. Hier müssen sie auf Verschwiegenheit verpflichtet und geschult werden.
  • E-Mail-Verteiler: Häufiger Fehler in der Praxis: offene Verteiler, bei denen alle Empfänger die Adressen anderer sehen. Korrekt ist die Nutzung von BCC oder datenschutzkonformen Mailinglisten-Tools.

Unsere Leistungen als Rechtsanwaltskanzlei und Datenschutzbeauftragte

Kirchliche Einrichtungen bewegen sich im Spannungsfeld zwischen DSGVO und den eigenen kirchlichen Datenschutzgesetzen (KDG, DSG-EKD). Das führt in der Praxis oft zu Unsicherheiten, da insbesondere die Anforderungen je nach Art der Einrichtung (Pfarrei, Kita, Krankenhaus, Pflegeeinrichtung, Schule, Ordensgemeinschaft, Caritas, Diakonie etc.) stark variieren können. Wir unterstützen Sie dabei, diese komplexen Vorgaben rechtssicher, pragmatisch und mit Blick auf Ihre individuellen Strukturen umzusetzen.

  1. Rechtliche Beratung und Begleitung
    • Analyse der geltenden Rechtsgrundlagen (DSGVO, KDG, DSG-EKD)
    • Klärung von Abgrenzungsfragen, z. B. wann staatliche oder kirchliche Aufsichtsbehörden zuständig sind.
    • Prüfung von internen Prozessen wie Mitgliederverwaltung, Spendenwesen oder Öffentlichkeitsarbeit
    • Beratung im Umgang mit Aufsichtsbehörden und bei Beschwerden von Betroffenen
  2. Datenschutz-Compliance in der Praxis
    • Erstellung oder Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten
    • Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen (DSFA), z. B. bei Videoüberwachung, digitalen Dokumentationssystemen oder Cloud-Lösungen
    • Entwicklung von Lösch- und Archivierungskonzepten, die kirchliche Vorgaben berücksichtigen.
    • Erstellung maßgeschneiderter Datenschutzerklärungen für Webseiten, Pfarrbriefe oder Online-Übertragungen
  3. Externe Datenschutzbeauftragte
    Viele kirchliche Einrichtungen sind verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen. Wir übernehmen diese Funktion für Sie als betrieblichen (KDG) bzw. örtlichen (DSG-EKD) DSB:
    • Erstellung oder Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten
    • Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen (DSFA), z. B. bei Videoüberwachung, digitalen Dokumentationssystemen oder Cloud-Lösungen
    • Entwicklung von Lösch- und Archivierungskonzepten, die kirchliche Vorgaben berücksichtigen
    • Erstellung maßgeschneiderter Datenschutzerklärungen für Webseiten, Pfarrbriefe oder Online-Übertragungen
  4. Schulung und Sensibilisierung
    Datenschutz lebt von Bewusstsein und konsequenter Anwendung. Wir bieten:
    • Schulungen für Mitarbeitende und Ehrenamtliche, praxisnah und verständlich.
    • Spezielle Trainings für Leitungsteams, IT-Verantwortliche oder Öffentlichkeitsarbeit.
    • Entwicklung von leicht verständlichen Merkblättern und Leitfäden (z. B. Umgang mit Fotos, sichere E-Mail-Kommunikation, Messenger-Nutzung).
  5. Unterstützung bei IT- und Digitalisierungsprojekten
    • Prüfung von Auftragsverarbeitungsverträgen (z. B. mit Cloud- oder Softwareanbietern)
    • Beratung zu technischen und organisatorischen Maßnahmen (TOMs) nach Art. 32 DSGVO
    • Begleitung bei der Einführung neuer Systeme, z. B. Mitgliederverwaltungsprogramme, digitale
      • Spendenplattformen oder elektronische Patientenakten./li>

+49 911 7903034

info@it-rechtsberater.de


© 2025 IT Rechtsberater – Datenschutzbeauftragter. All rights reserved. Impressum I Datenschutzerklärung