Ihre Vorteile
-
Spezialwissen in Kirchengesetzen
Wir verfügen über tiefe Rechtskenntnis im Datenschutzrecht der katholischen Kirche (KDG) und dem Datenschutzrecht der Evangelischen Kirche (DSG-EKD).
-
Langjährige Branchenerfahrung
Durch unsere langjährige Erfahrung in der Datenschutzberatung von Kirchen schöpfen Sie von praxisbewährten Lösungen für Ihre Vorhaben.
-
Bundesweit tätig
Wir sind ganz in Ihrer Nähe mit unseren Standorten in Hamburg, Berlin, Köln, Frankfurt, Stuttgart und München.
Der Datenschutz in der Kirche
Aufgrund des verfassungsrechtlich gewährleisteten Selbstbestimmungsrechts der Kirche konnten Religionsgemeinschaften in Deutschland ihre Angelegenheiten auch im Bereich Datenschutz bisher selbstständig regeln. Auch nach der Einführung der europäischen Datenschutz-Grundverordnung (DSGVO) bleibt für Religionsgemeinschaften die Möglichkeit, ihre Angelegenheiten im Bereich Datenschutz der Kirche selbstständig zu regeln, grundsätzlich erhalten. Artikel 91 der DSGVO sieht vor, dass die Kirchen oder religiösen Vereinigungen, die bereits zum Zeitpunkt des Inkrafttretens der Datenschutz-Grundverordnung umfassende Regelungen zum Datenschutz anwendeten, diese weiterhin anwenden dürfen. Weitere Voraussetzung ist, dass die bestehenden Regelungen im Bereich Datenschutz der Kirche in Einklang mit der DSGVO gebracht werden.
Sowohl die Katholische als auch die Evangelische Kirche in Deutschland verfügten zum Zeitpunkt des Inkrafttretens der DSGVO am 24. Mai 2016 über umfassende Regelungen im Datenschutz. So fanden sich bereits die datenschutzrechtlichen Regelungen der Katholischen Kirche in der Anordnung über den Kirchlichen Datenschutz (KDO), diejenigen der Evangelischen Kirche im Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD). Beide Gesetze im Datenschutz der Kirche wurden vor der Anwendbarkeit der Datenschutz-Grundverordnung am 25. Mai 2018 umfassend überarbeitet, um in Einklang mit den Regelungen der DSGVO gebracht zu werden. Durch die Überarbeitungen der kirchlichen Datenschutzgesetze findet ein großer Teil der Vorgaben der DSGVO in ähnlicher Weise Anwendung auf kirchliche Einrichtungen.
Durch jahrelange Erfahrung im Bereich Datenschutz der Kirche, insbesondere durch die Stellung von externen Betriebsbeauftragten für den Datenschutz, kennen wir die Besonderheiten der unterschiedlichen gesetzlichen Anforderungen, mit denen die katholischen (Erz-)Bistümer und die evangelischen Landeskirchen sowie deren Dekanate konfrontiert werden. In der Funktion des externen Betriebsbeauftragen für den Datenschutz haben wir Einrichtungen aus dem Bereich Kirche und Diakonie in der Übergangszeit von der Anordnung über den kirchlichen Datenschutz und dem alten EKD-Datenschutzgesetz zum neuen Datenschutzrecht der Kirchen, KDG und DSG-EKD, begleitet. Dabei beraten wir Sie stets unter Berücksichtigung der Besonderheiten Ihrer kirchlichen Einrichtung. Die datenschutzrechtlichen Vorgaben spielen eine elementare Rolle beim Umgang mit allen Arten personenbezogener Daten. Uns ist jedoch bewusst, dass die Beachtung der einschlägigen Vorgaben im Datenschutz für Sie zwar durchaus wichtig ist, der Schwerpunkt Ihrer Tätigkeiten aber in anderen Bereichen liegt.
Gemeinsam mit unseren kirchlichen Datenschutz-Experten gelingt die Verarbeitung personenbezogener Daten in Übereinstimmung mit den Datenschutzbestimmungen der jeweiligen Kirche sowie weiteren relevanten Normen des Datenschutzes. In der Datenschutzberatung behalten wir die eigentlichen Aufgaben Ihrer Einrichtung stets im Blick.
So können wir Sie unterstützen
- Planung und Durchführung von kirchlichen Datenschutz-Checks
- Stellung eines externen Betriebsbeauftragten für den Datenschutz (Datenschutzbeauftragter Kirche)
- Erstellung oder Optimierung von kirchlichen Datenschutzkonzepten
- Durchführung von Schulungsmaßnahmen und Vorträgen zum Datenschutz
- Beratung in speziellen kirchlichen Datenschutzfragen
- Datenschutzrecht der Katholischen Kirche (KDG)
- Datenschutzrecht der Evangelischen Kirche (DSG-EKD)
Datenschutzrecht der Katholischen Kirche
Bis zum 24. Mai 2018 war das Datenschutzrecht der Katholischen Kirche in Deutschland in der Anordnung über den Kirchlichen Datenschutz (KDO) geregelt. Seit dem 24. Mai 2018 finden sich die maßgeblichen Vorschriften zum Datenschutz im Gesetz über den Kirchlichen Datenschutz (KDG). Für die Ordensgemeinschaft päpstlichen Rechts finden sich entsprechende Regelungen in der kirchlichen Datenschutzregelung der Ordensgemeinschaft päpstlichen Rechts (KDR-OG). Das Gesetz enthält umfangreiche Regelungen dazu, unter welchen Voraussetzungen die Verarbeitung personenbezogener Daten zulässig ist. Zudem sieht das Gesetz vor, dass bestimmte kirchliche Stellen einen betrieblichen Datenschutzbeauftragten benennen müssen und, dass ein Mindestmaß datenschutzrechtlicher Dokumentationen zu erstellen ist. Das gilt beispielsweise für das Verzeichnis von Verarbeitungstätigkeiten und in bestimmten Fällen auch für die Durchführung von Datenschutz-Folgenabschätzungen.
Weitere zur Durchführung des KDG erforderliche Regelungen finden sich in der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO). In der KDG-DVO finden sich konkretisierende Regelungen insbesondere zu Themen wie dem Verzeichnis von Verarbeitungstätigkeiten, der Verpflichtung von Mitarbeitern und weiteren Personen auf das Datengeheimnis oder den technischen und organisatorischen Maßnahmen, die zum Schutz von personenbezogenen Daten zu treffen sind. Die Einhaltung der Vorschriften des Gesetzes über den Datenschutz der Kirche wird von insgesamt fünf unabhängigen Datenschutzaufsichtsbehörden überwacht. Für Streitigkeiten in datenschutzrechtlichen Angelegenheiten wurde außerdem eine eigene Gerichtsbarkeit geschaffen. Die relevanten Vorschriften zur kirchlichen Gerichtsbarkeit in Datenschutzangelegenheiten finden sich in der Kirchlichen Datenschutzgerichtsordnung (KDSGO).
Datenschutzrecht der Evangelischen Kirche
Die maßgeblichen Regelungen zum Datenschutz in der Evangelischen Kirche in Deutschland finden sich im Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) vom 15. November 2017. Das am 24. Mai 2018 in Kraft getretene DSG-EKD regelt maßgeblich, unter welchen Voraussetzungen die Verarbeitung personenbezogener Daten zulässig ist. Ergänzt wird das DSG-EKD durch weitere Durchführungsgesetze und -verordnungen der einzelnen Landeskirchen, die weitere Regelungen zum Umgang mit personenbezogenen Daten enthalten. In der IT-Sicherheitsverordnung (ITSVO-EKD) finden sich zudem Regelungen zur IT-Sicherheit und zum Einsatz von IT, die auch beim Umgang mit personenbezogenen Daten zu beachten sind. Mit Hilfe der ITSVO-EKD soll sichergestellt werden, dass die mit Informationstechnik erhobenen oder verarbeiteten Daten insbesondere vor unberechtigtem Zugriff, vor unerlaubten Änderungen und vor der Gefahr des Verlustes geschützt werden.
Über die Einhaltung der datenschutzrechtlichen Vorgaben wachen unabhängige Aufsichtsbehörden, die jeweils von den Gliedkirchen und den gliedkirchlichen Zusammenschlüssen für ihren Bereich errichtet werden. Kirchliche Stellen, bei denen in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind, oder deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) besteht, haben zudem einen örtlich Beauftragten für den Datenschutz zu bestellen.
Weitere Informationen
Wir sagen Ihnen, was Sie im Datenschutz der Kirche beachten sollten.
Auch andere kirchliche Stellen wie zum Beispiel Krankenhäuser, Kindergärten, Schulen oder Verbände unterliegen entweder dem KDG oder dem DSG‑EKD. Daneben können Bistümer und Diözesen spezifische Ver- oder Anordnungen erlassen, die beim Datenschutz zu beachten sind. So etwa für Krankenhäuser in kirchlicher Trägerschaft die „Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern und Einrichtungen (PatDSO)“, oder die „Anordnung über den kirchlichen Datenschutz für die Verarbeitung personenbezogener Daten in den katholischen Schulen (KDO‑Schulen)“. Dabei ist zu beachten, dass Einrichtungen kirchlicher Träger nicht nur dem Datenschutzgesetz der Kirche unterliegen, sondern auch staatliche Gesetze berücksichtigen müssen. Dies gilt beispielsweise für die Bereiche, in denen kirchliche Einrichtungen der staatlichen Refinanzierung unterliegen. Hier sind beim Datenschutz die besonderen Vorgaben der Sozialgesetzbücher oder etwa die Geheimhaltungspflicht nach § 203 StGB einschlägig. Weitere relevante Vorschriften finden sich auch in den Schul- oder Kita-Gesetzen der Länder.
Daneben stellen sich spezifische Fragen im Datenschutz. In Kindergärten in kirchlicher Trägerschaft werden eine große Menge an Daten von Kindern unter 16 Jahren verarbeitet. Diese gelten als besonders schutzbedürftig, was sich auch in den Datenschutzgesetzen niederschlägt. So sind beispielsweise besondere strenge Voraussetzungen zu beachten, wenn Video- und Bildaufnahmen Minderjähriger angefertigt und veröffentlicht werden sollen. Ein weiterer datenschutzrechtlicher Dauerbrenner neben dem Anfertigen und Veröffentlichen von Fotos ist der Einsatz von WhatsApp. Sowohl die katholische als auch die evangelische Datenschutzaufsicht haben sich bereits deutlich gegen eine Nutzung des Messengers zu dienstlichen Zwecken ausgesprochen.
Wie staatliche Einrichtungen unter den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG), sind auch kirchliche Einrichtungen unter bestimmten Voraussetzungen dazu verpflichtet, einen betrieblichen Datenschutzbeauftragten oder einen örtlich Beauftragten für den Datenschutz zu benennen. Unter welchen Voraussetzungen die Benennung eines betrieblichen Datenschutzbeauftragten oder eines örtlich Beauftragten für den Datenschutz erforderlich ist, ist in den kirchlichen Datenschutzgesetzen unterschiedlich geregelt.
Datenschutzbeauftragter nach katholischem Recht
Katholische Einrichtungen haben unter den Voraussetzungen des § 36 KDG einen betrieblichen Datenschutzbeauftragten zu benennen. Für die Diözese, die Kirchengemeinden, die Kirchenstiftungen und die Kirchengemeindeverbände gilt dies unabhängig von der Anzahl der beschäftigten Mitarbeiter oder der konkreten Art der Datenverarbeitung.
Andere kirchliche Stellen im Sinne des KDG und der KDR‑OG haben einen betrieblichen Datenschutzbeauftragten zu benennen, wenn
- bei ihnen in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen sind,
- die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Der betriebliche Datenschutzbeauftragte ist schriftlich zu benennen. Außerdem ist die Benennung des betrieblichen Datenschutzbeauftragten der zuständigen Datenschutzaufsicht anzuzeigen. Die Meldung ist in der Regel über die Webseiten der zuständigen Datenschutzaufsichtsbehörden möglich.
Datenschutzbeauftragter nach evangelischem Recht
Gemäß den Bestimmungen § 36 DSG‑EKD haben evangelische Einrichtungen einen örtlich Beauftragten für den Datenschutz zu bestellen, wenn
- bei ihnen in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind, oder
- die Kerntätigkeit der verantwortlichen Stelle in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht.
Der örtlich Beauftragte für den Datenschutz ist schriftlich zu bestellen und der zuständigen Aufsichtsbehörde zu melden.
Bilder sagen oft mehr als 1.000 Worte. Gerade im Bereich der Öffentlichkeitsarbeit spielt das Anfertigen und Veröffentlichen von Fotos eine große Rolle. Mit der Hilfe von Fotos lässt sich wesentlich einfacher über die Tätigkeiten kirchlicher Einrichtungen berichten, als mit umständlichen Beschreibungen. Durch die weite Verbreitung von Smartphones ist heutzutage eine Kamera auch stets zur Hand. Dabei wird nur allzu oft vergessen, dass es sich bei Aufnahmen, auf denen Personen erkennbar abgebildet sind, um personenbezogene Daten handelt und der Datenschutz zu beachten ist.
Die Konferenz der Diözesandatenschutzbeauftragten (katholische Datenschutzaufsichtsbehörden) hat sich in unterschiedlichen Beschlüssen und Stellungnahmen zu der Frage geäußert, unter welchen Voraussetzungen das Anfertigen und Veröffentlichen von Fotos datenschutzrechtlich zulässig sein kann. Neben einem Beschluss zur Veröffentlichung von Fotos von Kindern und Jugendlichen unter 16 Jahren, nachdem für die Veröffentlichung von Fotos Minderjähriger grundsätzlich eine Einwilligung der Erziehungsberechtigten für das jeweilige Bild erforderlich ist, haben die Datenschutzaufsichtsbehörden auch Erläuterungen zu Fragen des Umgangs mit Bildern und Fotografien veröffentlicht. In den Erläuterungen wird ausgeführt, in welchen Situationen Fotos unter welchen Voraussetzungen angefertigt und veröffentlicht werden dürfen.
Auch die Konferenz der Beauftragten für den Datenschutz in der EKD (evangelische Aufsichtsbehörden) hat eine Entschließung zur Veröffentlichung von Fotos von Kindern im Internet veröffentlicht. Nach der Entschließung der Aufsichtsbehörden ist eine Einwilligung der Erziehungsberechtigten jeweils für das konkrete Bild erforderlich, wenn eine Veröffentlichung im Internet erfolgen soll. Die Entschließung der evangelischen Aufsichtsbehörden und der Beschluss der katholischen Datenschutzaufsichtsbehörden stimmen insoweit überein.
Kompetenz von mehr als 70 Consultants
- Volljuristen (2 Staatsexamina), darunter promovierte Rechtsanwälte
- Fachanwälte für IT‑Recht, gewerblichen Rechtsschutz, Urheber- und Medienrecht, Versicherungsrecht und Sozialrecht
- Master of Laws in IT‑Recht, Medienrecht, Immaterialgüterrecht, Gewerblichen Rechtsschutz und Recht des geistigen Eigentums
- Bachelor of Laws für Informationsrecht und Wirtschaftsrecht
- ISO 27701 Lead Implementer
- TÜV‑zertifizierte Datenschutzbeauftragte und Datenschutzauditoren
- Certified Information Privacy Manager (CIPM), Certified Information Privacy Professional (CIPP/E)
- IT‑Compliance-Manager (ISACA) und Compliance-Officer (TÜV)
- Datenschutzbeauftragte nach Verbandkriterien verpflichtet (BvD)
- BSI-zertifizierte Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz
- ISO/IEC 27001 Lead Auditor, ISO/IEC 27001 Implementer, ISO/IEC 27001 Practitioner
- GIAC Certified Forensic Examiner, GIAC Certified Forensic Analyst, GIAC Battlefield Forensics and Acquisition
- IT-Sicherheitsbeauftragte (TÜV)
- Business Continuity Manager (TÜV)
- Informatiker und Wirtschaftsinformatiker
- Master of Science Informationsmanagement
- Bachelor of Science Informatik
- Cyber Security Practitioner (ISACA), IT Information Security Practitioner (ISACA)
- Cloud Information Security (ISO 27017/27018)
Referenzen
Standorte
Kontaktieren Sie uns
PDF-Download