Ist der kirchliche Datenschutz schwächer? Die wichtigsten Antworten

Warum gibt es ein eigenes kirchliches Datenschutzgesetz?

Anzeige

Vor kurzem warf die katholische Datenschutzaufsicht dem Bistum Münster vor, bei der Missbrauchs-Aufarbeitung kirchliche Datenschutzregeln verletzt zu haben. Also ist klar: Die katholische Kirche in Deutschland regelt den Datenschutz in einem eigenen Gesetz. Wieso ist das erlaubt? Warum soll ein kirchliches Recht neben dem staatlichen nötig sein? Gilt das staatliche Datenschutzrecht nicht für die Kirche? Wir klären die wichtigsten Fragen.

Warum gilt für die katholische Kirche ein eigenes Datenschutzrecht?

Die EU erlaubt in Artikel 91 der Datenschutz-Grundverordnung (DSGVO) Religionsgemeinschaften in allen EU-Staaten, „unter den dort genannten Bedingungen eigene Regelungen zur Verarbeitung personenbezogener Daten weiterhin anzuwenden“, sagt Steffen Pau zu „Kirche-und-Leben.de“. Er ist Diözesandatenschutzbeauftragter der fünf nordrhein-westfälischen Bistümer, darunter Münster, und leitet deren gemeinsame Datenschutzaufsicht, das Katholische Datenschutzzentrum (KDSZ) in Dortmund.

Kirchliche Regeln gab es in Deutschland schon vor der DSGVO – die „Anordnung für den kirchlichen Datenschutz“. Sie bestand, weil das Grundgesetz den Kirchen Selbstverwaltungsrecht zugesteht, sie ihre Angelegenheiten im Rahmen der allgemeinen Gesetze also selbst regeln dürfen. Das tun sie etwa auch beim Arbeitsrecht. Die Kirche passte ihre Datenschutzregeln schließlich an die DSGVO an – Ergebnis ist das Kirchliche Datenschutzgesetz (KDG).

Reicht die DSGVO nicht aus, die doch für alle gelten müsste?

Jurist Pau betont, das KDG sichere ein Schutzniveau für personenbezogene Daten, das der DSGVO entspricht. Deshalb gilt laut Deutscher Bischofskonferenz für die „verfasste Kirche“ das KDG – und nicht die EU-Verordnung, nicht das Bundesdatenschutzgesetz.

Ans KDG halten müssen sich Bistümer, Pfarreien, Caritas, Ordensgemeinschaften, kirchliche Körperschaften, Stiftungen, Werke und Einrichtungen. Pau sagt, die Gesetz-Ausnahme respektiere die Religionsfreiheit, die auch in der EU ein geschütztes Grundrecht sei.

Wo unterscheiden sich KDG und DSGVO?

Die meisten Regelungen der DSGVO wurden wörtlich ins KDG übernommen. Abweichungen gibt es, wo kirchliche Besonderheiten dies nötig machen.

Die Internetseite der Bischofskonferenz nennt zum Beispiel die Religionszugehörigkeit. Die DSGVO zählt sie zur „besonderen Kategorie personenbezogener Daten“. Solche sensiblen Daten sind unter anderem auch politische Meinungen und biometrische Informationen. Ihre Verarbeitung ist den Angaben zufolge „grundsätzlich unzulässig“ oder „nur unter bestimmten sehr engen Voraussetzungen zulässig“ – dazu zählt die Einwilligung der betreffenden Person. Das KDG hingegen fasst die Religionszugehörigkeit nicht in die besondere Kategorie, weil die Zugehörigkeit zur katholischen Kirche zu den „grundlegenden personenbezogenen Daten“ gehört, mit denen die Kirche umgeht.

Auch sind Bußgelder im KDG bei 500.000 Euro gedeckelt. Grund sei, dass „der Umsatz der meisten kirchlichen Einrichtungen deutlich geringer“ sei als bei privaten Konzernen. Hier hat die DSGVO nicht zuletzt Daten-Giganten wie Facebook und Google im Auge. Zudem gibt es eine kircheneigene Datenschutzaufsicht, für die – entsprechend DSGVO – größtmögliche Unabhängigkeit festgeschrieben ist.

Welche Klagemöglichkeiten gibt es im KDG – und wer fällt Urteile?

Wenn eine Person meint, mit ihren Daten sei nicht angemessen umgegangen worden, und wenn der Fall nicht im Gespräch zu klären ist, ist eine Beschwerde bei der kirchlichen Datenschutzaufsicht möglich. Für die NRW-Bistümer ist das Katholische Datenschutzzentrum in Dortmund zuständig. Es gab jüngst einer Person Recht, die moniert hatte, wie das Bistum Münster im Zug der Aufarbeitung sexualisierter Gewalt Forschenden der Universität Münster kirchliche Akten zugänglich gemacht hatte. Gegen einen Bescheid können beide Parteien Rechtsmittel einlegen. Das Bistum Münster hat das getan, um sich erläutern zu lassen, wo genau der Fehler im Umgang mit den Akten lag.

Zwei Gerichte entscheiden in Streifragen – das Interdiözesane Datenschutzgericht mit Sitz in Köln und in zweiter Instanz das Datenschutzgericht der Deutschen Bischofskonferenz mit Sitz in Bonn. Widerspruch gegen ein Urteil ist also möglich. Beide Gerichte sind für alle 27 Bistümer zuständig. Das soll laut Bischofskonferenz für eine bundesweit einheitliche Rechtsprechung sorgen. Die Gerichte wurden mit Genehmigung des Vatikans von den Bischöfen eingerichtet. Bischöfe gehören ihnen aber nicht an, sondern externe Fachleute wie Richter und andere Juristen auf staatlichem und kirchlichem Gebiet.