Hintergrundgrafik intersoft consulting services AG
Weiter zum Inhalt
Datenschutzberatung

Datenschutz der Kirche

Wir beraten Sie im Umgang mit personenbezogenen Daten in der Kirche mit Spezialwissen und Rechtskenntnis.

Ihre Vorteile

Überzeugen Sie sich von den Vorteilen einer Zusammenarbeit.

  • Spezialwissen in Kirchengesetzen

    Wir verfügen über tiefe Rechtskenntnis im Datenschutzrecht der katholischen Kirche (KDG) und dem Datenschutzrecht der Evangelischen Kirche (DSG-EKD).

  • Langjährige Branchenerfahrung

    Durch unsere langjährige Erfahrung in der Datenschutzberatung von Kirchen schöpfen Sie von praxisbewährten Lösungen für Ihre Vorhaben.

  • Bundesweit tätig

    Wir sind ganz in Ihrer Nähe mit unseren Standorten in Hamburg, Berlin, Köln, Frankfurt, Stuttgart und München.

Der Datenschutz in der Kirche

Kirchliches Datenschutzrecht im Einklang mit der DSGVO

Aufgrund des verfassungsrechtlich gewährleisteten Selbstbestimmungsrechts der Kirche konnten Religionsgemeinschaften in Deutschland ihre Angelegenheiten auch im Bereich Datenschutz bisher selbstständig regeln. Auch nach der Einführung der europäischen Datenschutz-Grundverordnung (DSGVO) bleibt für Religionsgemeinschaften die Möglichkeit, ihre Angelegenheiten im Bereich Datenschutz der Kirche selbstständig zu regeln, grundsätzlich erhalten. Artikel 91 der DSGVO sieht vor, dass die Kirchen oder religiösen Vereinigungen, die bereits zum Zeitpunkt des Inkrafttretens der Datenschutz-Grundverordnung umfassende Regelungen zum Datenschutz anwendeten, diese weiterhin anwenden dürfen. Weitere Voraussetzung ist, dass die bestehenden Regelungen im Bereich Datenschutz der Kirche in Einklang mit der DSGVO gebracht werden.

Sowohl die Katholische als auch die Evangelische Kirche in Deutschland verfügten zum Zeitpunkt des Inkrafttretens der DSGVO am 24. Mai 2016 über umfassende Regelungen im Datenschutz. So fanden sich bereits die datenschutzrechtlichen Regelungen der Katholischen Kirche in der Anordnung über den Kirchlichen Datenschutz (KDO), diejenigen der Evangelischen Kirche im Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD). Beide Gesetze im Datenschutz der Kirche wurden vor der Anwendbarkeit der Datenschutz-Grundverordnung am 25. Mai 2018 umfassend überarbeitet, um in Einklang mit den Regelungen der DSGVO gebracht zu werden. Durch die Überarbeitungen der kirchlichen Datenschutzgesetze findet ein großer Teil der Vorgaben der DSGVO in ähnlicher Weise Anwendung auf kirchliche Einrichtungen.

Maßgeschneiderte Lösungen für Ihre Fragestellungen

Durch jahrelange Erfahrung im Bereich Datenschutz der Kirche, insbesondere durch die Stellung von externen Betriebsbeauftragten für den Datenschutz, kennen wir die Besonderheiten der unterschiedlichen gesetzlichen Anforderungen, mit denen die katholischen (Erz-)Bistümer und die evangelischen Landeskirchen sowie deren Dekanate konfrontiert werden. In der Funktion des externen Betriebsbeauftragen für den Datenschutz haben wir Einrichtungen aus dem Bereich Kirche und Diakonie in der Übergangszeit von der Anordnung über den kirchlichen Datenschutz und dem alten EKD-Datenschutzgesetz zum neuen Datenschutzrecht der Kirchen, KDG und DSG-EKD, begleitet. Dabei beraten wir Sie stets unter Berücksichtigung der Besonderheiten Ihrer kirchlichen Einrichtung. Die datenschutzrechtlichen Vorgaben spielen eine elementare Rolle beim Umgang mit allen Arten personenbezogener Daten. Uns ist jedoch bewusst, dass die Beachtung der einschlägigen Vorgaben im Datenschutz für Sie zwar durchaus wichtig ist, der Schwerpunkt Ihrer Tätigkeiten aber in anderen Bereichen liegt.

Gemeinsam mit unseren kirchlichen Datenschutz-Experten gelingt die Verarbeitung personenbezogener Daten in Übereinstimmung mit den Datenschutzbestimmungen der jeweiligen Kirche sowie weiteren relevanten Normen des Datenschutzes. In der Datenschutzberatung behalten wir die eigentlichen Aufgaben Ihrer Einrichtung stets im Blick.

So können wir Sie unterstützen

  • Planung und Durchführung von kirchlichen Datenschutz-Checks
  • Stellung eines externen Betriebsbeauftragten für den Datenschutz (Datenschutzbeauftragter Kirche)
  • Erstellung oder Optimierung von kirchlichen Datenschutzkonzepten
  • Durchführung von Schulungsmaßnahmen und Vorträgen zum Datenschutz
  • Beratung in speziellen kirchlichen Datenschutzfragen
  • Datenschutzrecht der Katholischen Kirche (KDG)
  • Datenschutzrecht der Evangelischen Kirche (DSG-EKD)
Hintergrundgrafik intersoft consulting services AG
Datenschutz-Profis: alle Branchen, alle Unternehmensstrukturen. Hier unverbindlich anfragen

Datenschutzrecht der Katholischen Kirche

Gesetz über den Kirchlichen Datenschutz (KDG)

Bis zum 24. Mai 2018 war das Datenschutzrecht der Katholischen Kirche in Deutschland in der Anordnung über den Kirchlichen Datenschutz (KDO) geregelt. Seit dem 24. Mai 2018 finden sich die maßgeblichen Vorschriften zum Datenschutz im Gesetz über den Kirchlichen Datenschutz (KDG). Für die Ordensgemeinschaft päpstlichen Rechts finden sich entsprechende Regelungen in der kirchlichen Datenschutzregelung der Ordensgemeinschaft päpstlichen Rechts (KDR-OG). Das Gesetz enthält umfangreiche Regelungen dazu, unter welchen Voraussetzungen die Verarbeitung personenbezogener Daten zulässig ist. Zudem sieht das Gesetz vor, dass bestimmte kirchliche Stellen einen betrieblichen Datenschutzbeauftragten benennen müssen und, dass ein Mindestmaß datenschutzrechtlicher Dokumentationen zu erstellen ist. Das gilt beispielsweise für das Verzeichnis von Verarbeitungstätigkeiten und in bestimmten Fällen auch für die Durchführung von Datenschutz-Folgenabschätzungen.

Weitere zur Durchführung des KDG erforderliche Regelungen finden sich in der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO). In der KDG-DVO finden sich konkretisierende Regelungen insbesondere zu Themen wie dem Verzeichnis von Verarbeitungstätigkeiten, der Verpflichtung von Mitarbeitern und weiteren Personen auf das Datengeheimnis oder den technischen und organisatorischen Maßnahmen, die zum Schutz von personenbezogenen Daten zu treffen sind. Die Einhaltung der Vorschriften des Gesetzes über den Datenschutz der Kirche wird von insgesamt fünf unabhängigen Datenschutzaufsichtsbehörden überwacht. Für Streitigkeiten in datenschutzrechtlichen Angelegenheiten wurde außerdem eine eigene Gerichtsbarkeit geschaffen. Die relevanten Vorschriften zur kirchlichen Gerichtsbarkeit in Datenschutzangelegenheiten finden sich in der Kirchlichen Datenschutzgerichtsordnung (KDSGO).

Datenschutzrecht der Evangelischen Kirche

Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD)

Die maßgeblichen Regelungen zum Datenschutz in der Evangelischen Kirche in Deutschland finden sich im Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) vom 15. November 2017. Das am 24. Mai 2018 in Kraft getretene DSG-EKD regelt maßgeblich, unter welchen Voraussetzungen die Verarbeitung personenbezogener Daten zulässig ist. Ergänzt wird das DSG-EKD durch weitere Durchführungsgesetze und -verordnungen der einzelnen Landeskirchen, die weitere Regelungen zum Umgang mit personenbezogenen Daten enthalten. In der IT-Sicherheitsverordnung (ITSVO-EKD) finden sich zudem Regelungen zur IT-Sicherheit und zum Einsatz von IT, die auch beim Umgang mit personenbezogenen Daten zu beachten sind. Mit Hilfe der ITSVO-EKD soll sichergestellt werden, dass die mit Informationstechnik erhobenen oder verarbeiteten Daten insbesondere vor unberechtigtem Zugriff, vor unerlaubten Änderungen und vor der Gefahr des Verlustes geschützt werden.

Über die Einhaltung der datenschutzrechtlichen Vorgaben wachen unabhängige Aufsichtsbehörden, die jeweils von den Gliedkirchen und den gliedkirchlichen Zusammenschlüssen für ihren Bereich errichtet werden. Kirchliche Stellen, bei denen in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind, oder deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) besteht, haben zudem einen örtlich Beauftragten für den Datenschutz zu bestellen.

Weitere Informationen

Wir sagen Ihnen, was Sie im Datenschutz der Kirche beachten sollten.

Auch andere kirchliche Stellen wie zum Beispiel Krankenhäuser, Kindergärten, Schulen oder Verbände unterliegen entweder dem KDG oder dem DSG‑EKD. Daneben können Bistümer und Diözesen spezifische Ver- oder Anordnungen erlassen, die beim Datenschutz zu beachten sind. So etwa für Krankenhäuser in kirchlicher Trägerschaft die „Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern und Einrichtungen (PatDSO)“, oder die „Anordnung über den kirchlichen Datenschutz für die Verarbeitung personenbezogener Daten in den katholischen Schulen (KDO‑Schulen)“. Dabei ist zu beachten, dass Einrichtungen kirchlicher Träger nicht nur dem Datenschutzgesetz der Kirche unterliegen, sondern auch staatliche Gesetze berücksichtigen müssen. Dies gilt beispielsweise für die Bereiche, in denen kirchliche Einrichtungen der staatlichen Refinanzierung unterliegen. Hier sind beim Datenschutz die besonderen Vorgaben der Sozialgesetzbücher oder etwa die Geheimhaltungspflicht nach § 203 StGB einschlägig. Weitere relevante Vorschriften finden sich auch in den Schul- oder Kita-Gesetzen der Länder.

Daneben stellen sich spezifische Fragen im Datenschutz. In Kindergärten in kirchlicher Trägerschaft werden eine große Menge an Daten von Kindern unter 16 Jahren verarbeitet. Diese gelten als besonders schutzbedürftig, was sich auch in den Datenschutzgesetzen niederschlägt. So sind beispielsweise besondere strenge Voraussetzungen zu beachten, wenn Video- und Bildaufnahmen Minderjähriger angefertigt und veröffentlicht werden sollen. Ein weiterer datenschutzrechtlicher Dauerbrenner neben dem Anfertigen und Veröffentlichen von Fotos ist der Einsatz von WhatsApp. Sowohl die katholische als auch die evangelische Datenschutzaufsicht haben sich bereits deutlich gegen eine Nutzung des Messengers zu dienstlichen Zwecken ausgesprochen.

Wie staatliche Einrichtungen unter den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG), sind auch kirchliche Einrichtungen unter bestimmten Voraussetzungen dazu verpflichtet, einen betrieblichen Datenschutzbeauftragten oder einen örtlich Beauftragten für den Datenschutz zu benennen. Unter welchen Voraussetzungen die Benennung eines betrieblichen Datenschutzbeauftragten oder eines örtlich Beauftragten für den Datenschutz erforderlich ist, ist in den kirchlichen Datenschutzgesetzen unterschiedlich geregelt.

Datenschutzbeauftragter nach katholischem Recht

Katholische Einrichtungen haben unter den Voraussetzungen des § 36 KDG einen betrieblichen Datenschutzbeauftragten zu benennen. Für die Diözese, die Kirchengemeinden, die Kirchenstiftungen und die Kirchengemeindeverbände gilt dies unabhängig von der Anzahl der beschäftigten Mitarbeiter oder der konkreten Art der Datenverarbeitung.

Andere kirchliche Stellen im Sinne des KDG und der KDR‑OG haben einen betrieblichen Datenschutzbeauftragten zu benennen, wenn

  • bei ihnen in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen sind,
  • die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Der betriebliche Datenschutzbeauftragte ist schriftlich zu benennen. Außerdem ist die Benennung des betrieblichen Datenschutzbeauftragten der zuständigen Datenschutzaufsicht anzuzeigen. Die Meldung ist in der Regel über die Webseiten der zuständigen Datenschutzaufsichtsbehörden möglich.

Datenschutzbeauftragter nach evangelischem Recht

Gemäß den Bestimmungen § 36 DSG‑EKD haben evangelische Einrichtungen einen örtlich Beauftragten für den Datenschutz zu bestellen, wenn

  • bei ihnen in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind, oder
  • die Kerntätigkeit der verantwortlichen Stelle in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht.

Der örtlich Beauftragte für den Datenschutz ist schriftlich zu bestellen und der zuständigen Aufsichtsbehörde zu melden.

Bilder sagen oft mehr als 1.000 Worte. Gerade im Bereich der Öffentlichkeitsarbeit spielt das Anfertigen und Veröffentlichen von Fotos eine große Rolle. Mit der Hilfe von Fotos lässt sich wesentlich einfacher über die Tätigkeiten kirchlicher Einrichtungen berichten, als mit umständlichen Beschreibungen. Durch die weite Verbreitung von Smartphones ist heutzutage eine Kamera auch stets zur Hand. Dabei wird nur allzu oft vergessen, dass es sich bei Aufnahmen, auf denen Personen erkennbar abgebildet sind, um personenbezogene Daten handelt und der Datenschutz zu beachten ist.

Die Konferenz der Diözesandatenschutzbeauftragten (katholische Datenschutzaufsichtsbehörden) hat sich in unterschiedlichen Beschlüssen und Stellungnahmen zu der Frage geäußert, unter welchen Voraussetzungen das Anfertigen und Veröffentlichen von Fotos datenschutzrechtlich zulässig sein kann. Neben einem Beschluss zur Veröffentlichung von Fotos von Kindern und Jugendlichen unter 16 Jahren, nachdem für die Veröffentlichung von Fotos Minderjähriger grundsätzlich eine Einwilligung der Erziehungsberechtigten für das jeweilige Bild erforderlich ist, haben die Datenschutzaufsichtsbehörden auch Erläuterungen zu Fragen des Umgangs mit Bildern und Fotografien veröffentlicht. In den Erläuterungen wird ausgeführt, in welchen Situationen Fotos unter welchen Voraussetzungen angefertigt und veröffentlicht werden dürfen.

Auch die Konferenz der Beauftragten für den Datenschutz in der EKD (evangelische Aufsichtsbehörden) hat eine Entschließung zur Veröffentlichung von Fotos von Kindern im Internet veröffentlicht. Nach der Entschließung der Aufsichtsbehörden ist eine Einwilligung der Erziehungsberechtigten jeweils für das konkrete Bild erforderlich, wenn eine Veröffentlichung im Internet erfolgen soll. Die Entschließung der evangelischen Aufsichtsbehörden und der Beschluss der katholischen Datenschutzaufsichtsbehörden stimmen insoweit überein.

Hintergrundgrafik intersoft consulting services AG
Vertrauen auch Sie einem der führenden Dienstleister im Datenschutz. Hier unverbindlich anfragen

Kompetenz von mehr als 70 Consultants

Mehr als 70 Beraterinnen und Berater liefern passende Lösungen für Ihr Unternehmen.

Aufgelistet finden Sie Zertifikate und Mitgliedschaften der Unternehmensgruppe, die unseren hohen Anspruch belegen.

Nach Verbandskriterien des BvD verpflichtet

Nach Verbandskriterien des BvD verpflichtet

intersoft consulting services ist mit ihren externen Datenschutzbeauftragten nach den Verbandskriterien „Fachkunde“ und „Zuverlässigkeit“ des Berufsverband der Datenschutzbeauftragten e.V. (BvD) verpflichtet. Die Kriterien gewährleisten ein hohes und konstantes Datenschutzniveau.

CIPM-Zertifizierung

CIPM-Zertifizierung

Berater der intersoft consulting services AG sind durch die International Association of Privacy Professionals (IAPP) zum Certified Information Privacy Manager (CIPM) zertifiziert worden. Die CIPM ist die einzige weltweit akkreditierte Zertifizierung im Datenschutzmanagement und bildet Ansprechpartner mit hoher Expertise für das Tagesgeschäft in allen Belangen des Datenschutzes aus. Die Zertifizierung ist zudem ISO akkreditiert (ISO 17024:2012).

ISO 9001 zertifiziert

ISO 9001 zertifiziert

Mit der Zertifizierung seines Qualitätsmanagements nach ISO 9001 dokumentiert die intersoft consulting services AG ihr Streben nach stetiger Verbesserung der Dienstleistungen, Prozesse und Kosteneffizienz, um die Zufriedenheit von Kunden und Mitarbeitern weiter zu erhöhen.
Zertifikat öffnen

Deutsche Vereinigung für Datenschutz e.V. (DVD)

Deutsche Vereinigung für Datenschutz e.V. (DVD)

Die DVD verfolgt das Ziel, die Interessen von Bürgerinnen und Bürgern in allen Fragen des Datenschutzes, der Datenverarbeitung und der Datensicherung wahrzunehmen. Die Mitgliedschaft ermöglicht uns den Zugang zu umfangreichem Fachwissen und Netzwerkmöglichkeiten in der Datenschutzwelt.

Hamburger Datenschutzgesellschaft e.V. (HDG)

Hamburger Datenschutzgesellschaft e.V. (HDG)

Die “Hamburger Gesellschaft zur Förderung des Datenschutzes e.V.” wurde als Forum für den Datenschutz von Vertreterinnen und Vertreter aus Wirtschaft, Wissenschaft und Medien gegründet. Als Mitglied beim HDG wirken wir aktiv an der Weiterentwicklung von Datenschutzthemen mit.

CIPP/E-Zertifizierung

CIPP/E-Zertifizierung

Berater der intersoft consulting services AG sind durch die International Association of Privacy Professionals (IAPP) zum Certified Information Privacy Professional (CIPP/E) zertifiziert worden. Das Zertifikat ist ANSI- und ISO-konform (ISO 17024) und weist den Berater aus, über anerkannte Qualifikationen im europäischen Datenschutzbereich zu verfügen.

Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)

Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)

Als gemeinnütziger Verein setzt sich die GDD für einen angemessenen, vertretbaren und technisch umsetzbaren Datenschutz ein. Ihr Zweck besteht darin, datenverarbeitende Stellen bei der Bearbeitung und Erfüllung von rechtlichen, technischen und organisatorischen Anforderungen in Bezug auf Datenschutz und Datensicherheit zu unterstützen. Wir engagieren uns im ERFA-Kreis Nord und schätzen den fachlichen Austausch.

ISO 27001 zertifiziert

ISO 27001 zertifiziert

Mit der Zertifizierung ihres Informationssicherheits-managementsystems (ISMS) nach ISO 27001 dokumentiert die intersoft consulting services AG ihre Fähigkeit, Vertraulichkeit, Integrität und Verfügbarkeit der ihr anvertrauten Informationen zu wahren. Die Kunden können damit auf eine angemessene Steuerung von Risiken vertrauen.
Zertifikat öffnen

  • Volljuristen (2 Staatsexamina), darunter promovierte Rechtsanwälte
  • Fachanwälte für IT‑Recht, gewerblichen Rechtsschutz, Urheber- und Medienrecht, Versicherungsrecht und Sozialrecht
  • Master of Laws in IT‑Recht, Medienrecht, Immaterialgüterrecht, Gewerblichen Rechtsschutz und Recht des geistigen Eigentums
  • Bachelor of Laws für Informationsrecht und Wirtschaftsrecht
  • ISO 27701 Lead Implementer
  • TÜV‑zertifizierte Datenschutzbeauftragte und Datenschutzauditoren
  • Certified Information Privacy Manager (CIPM), Certified Information Privacy Professional (CIPP/E)
  • IT‑Compliance-Manager (ISACA) und Compliance-Officer (TÜV)
  • Datenschutzbeauftragte nach Verbandkriterien verpflichtet (BvD)
  • BSI-zertifizierte Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz
  • ISO/IEC 27001 Lead Auditor, ISO/IEC 27001 Implementer, ISO/IEC 27001 Practitioner
  • GIAC Certified Forensic Examiner, GIAC Certified Forensic Analyst, GIAC Battlefield Forensics and Acquisition
  • IT-Sicherheitsbeauftragte (TÜV)
  • Business Continuity Manager (TÜV)
  • Informatiker und Wirtschaftsinformatiker
  • Master of Science Informationsmanagement
  • Bachelor of Science Informatik
  • Cyber Security Practitioner (ISACA), IT Information Security Practitioner (ISACA)
  • Cloud Information Security (ISO 27017/27018)

Referenzen

Wir beraten deutschlandweit hunderte Unternehmen und sind daher in allen Branchen vertreten. Dies ist nur ein Auszug unserer Referenzen.

Gemeinsamer Bundesausschuss
Mann + Hummel
SYZYGY
GWH Wohnungsgesellschaft
Panasonic Electric Works Europe
Porsche Consulting
Tourismusverband Hamburg
IQTIG Institut für Qualitätssicherung und Transparenz im Gesundheitswesen

Standorte

Standorte
Mit bundesweiten Niederlassungen sind wir auch in Ihrer Nähe vertreten.

Kontaktieren Sie uns

Hintergrundgrafik intersoft consulting services AG
Vertriebsleiterin Julia Reiter
Julia Reiter
Vertriebsleiterin
Gern beantworten wir Ihre Fragen oder erstellen Ihnen ein individuelles Angebot. Hier unverbindlich anfragen

PDF-Download

NEWSLETTERInfos zum Unternehmenkostenlose WebinareFachbeiträge