Während seit Jahren über die DSGVO gestritten wird, haben die Kirchen ihre eigenen Datenschutzgesetze. Im Gespräch erklärt der Journalist Felix Neumann, wie es dazu kam, wo im Alltag kirchliches Datenschutzrecht eine Rolle spielt und warum Gemeinden keine Bußgelder für Datenschutzverstöße befürchten müssen.
Herr Neumann, in Ihrem Blog "Artikel91.eu" informieren Sie über Entwicklungen im kirchlichen Datenschutzrecht. Wer interessiert sich für so ein Thema?
Felix Neumann: Da bei mir natürlich alles datensparsam eingestellt ist, kann ich nicht auswerten, wer genau meinen Blog besucht. Ich weiß aber, wer mich kontaktiert. Das sind zum einen Menschen, die zum Beispiel für Kirchengemeinden als Datenschutzbeauftragte arbeiten. Zum anderen sind es Menschen, die mit kirchlichem Datenschutz in ihrem Arbeitsalltag konfrontiert sind
Inwiefern?
Das fängt an bei den Mitgliedern der großen christlichen Kirchen. Aber es geht noch viel weiter: Patientinnen und Patienten in kirchlichen Krankenhäusern, Eltern und Kinder in kirchlichen Kitas und Beschäftigte von kirchlichen Pflegeeinrichtungen: Ihre personenbezogenen Daten werden alle auf Grundlage von kirchlichem Datenschutzrecht verarbeitet.
Warum gibt es überhaupt ein eigenes kirchliches Datenschutzrecht?
Als in den Siebzigern in Deutschland die ersten Datenschutzgesetze erlassen wurden, adressierte das Gesetz staatliche Stellen und private Stellen, also etwa Unternehmen und Vereine. Unter beides fallen Kirchen als Körperschaften des öffentlichen Rechts nicht: Sie sind weder staatliche noch private Stellen.
Warum wurden die Kirchen bei dem Gesetz nicht mitbedacht?
Wahrscheinlich hat der Gesetzgeber die Kirchen schlicht vergessen. Die Kirchen haben sich dann dazu entschieden, diese Lücke mit eigenem Datenschutzrecht auszufüllen. Nicht, weil sie Datenschutz so super finden, sondern weil im Bundesmeldegesetz steht, dass sie die Melderegisterdaten nur bekommen, wenn sie ein angemessenes Datenschutzniveau garantieren. Und diese Daten brauchen sie für ihre Mitgliedschaftsdatenbanken.
Durch die DSGVO wurde kirchliches Datenschutzrecht dann auch auf europäischer Ebene verankert.
Die CDU-geführte Bundesregierung hat während der Verhandlungen über die DSGVO auf EU-Ebene dafür geworben, dass der heutige Artikel 91 in die Verordnung aufgenommen wird. Dort wird erstmals formell festgeschrieben, dass Kirchen unter bestimmten Bedingungen ein eigenes Datenschutzrecht haben dürfen.
Welche Bedingungen sind das?
Die Kirchen mussten schon vor Inkrafttreten der DSGVO ein eigenes Datenschutzgesetz haben. Und es muss im Einklang mit den Regelungen der DSGVO sein. Was das im Detail bedeutet, darüber kann man lange diskutieren. Es hat aber im Ergebnis dazu geführt, dass sich die Datenschutzgesetze der evangelischen und katholischen Kirche sehr eng an der DSGVO orientieren.
Trotzdem gibt es einige Besonderheiten.
Das sind eher Regelungen, die es den Kirchen einfacher machen, mit speziellen kirchlichen Situationen umzugehen. Es gibt zum Beispiel eigene Rechtsgrundlagen für das Livestreamen von Gottesdiensten und Regelungen, wie Landeskirchen zentrale IT-Verfahren vorgeben können. Diese Regelungen senken grundsätzlich nicht das Datenschutzniveau im Vergleich zur DSGVO ab. Eine Ausnahme davon sind die Bußgelder.
Warum?
Sie sind niedriger als unter der DSGVO und manche Bereiche sind ganz von Bußgeldern ausgenommen. Im evangelischen und katholischen Datenschutzrecht gibt es zum Beispiel keine Bußgelder für Körperschaften des öffentlichen Rechts. Also ist es egal, was eine Gemeinde oder eine Pfarrei macht – die evangelische und katholische Aufsicht kann kein Bußgeld verhängen.
Kontrollieren sich die Kirchen mit ihren eigenen, kirchlichen Datenschutzaufsichten nicht selbst?
Institutionell sehe ich keine Defizite bei der kirchlichen Aufsicht. Sie nehmen ihre Aufgaben sehr kompetent wahr und werden innerhalb der Kirchen auch als unabhängige Aufsichtsbehörde sehr ernst genommen und respektiert. Die kirchlichen Aufsichten haben auch einen großen Vorteil.
Welchen?
Sie kennen die kirchlichen Institutionen sehr genau. Zum Beispiel führt die jeweilige Landeskirche ein Register aller kirchlichen Einrichtungen, das die Aufsicht verwenden kann. Sie kennt also alle von ihr beaufsichtigten Institutionen. Das hat keine staatliche Aufsichtsbehörde. Ein Problem ist die kirchliche Aufsicht allerdings bei der Aufarbeitung sexualisierter Gewalt in der Kirche. Es ist eine große Hürde, sich als Opfer sexualisierter Gewalt in der Kirche an eine kirchliche Behörde zu wenden. Sie kann noch so unabhängig sein – es wirkt so, als ob die Täterorganisation das Gegenüber ist.
Wir haben jetzt viel über die katholische und evangelische Kirche gesprochen. Welche Glaubensgemeinschaften haben noch ein eigenes Datenschutzrecht?
Früher gab es noch zwei jüdische Gemeinden, deren Datenschutzregelungen waren aber ganz offensichtlich nicht mit der DSGVO vereinbar. Heute gibt es vor allem sehr viele evangelische Freikirchen, die sich in aller Regel am evangelischen Datenschutzgesetz orientieren. Spannender sind die wirklich speziellen Datenschutzgesetze. Zum Beispiel haben die Zeugen Jehovas ein sehr eigenständiges Datenschutzgesetz, das vor allem unter Aussteigern sehr umstritten ist und bei dem unklar ist, ob es den Anforderungen von Art. 91 gerecht wird.
Ist kirchliches Datenschutzrecht ein deutsches Phänomen?
In dieser Breite wie in Deutschland gibt es das kirchliche Datenschutzrecht nur in Polen. Polen ist das einzige Land in der EU neben Deutschland, in dem auch nicht-katholische Kirchen ein eigenes Datenschutzgesetz haben. Die katholische Kirche hat noch in mehreren anderen europäischen Ländern ein eigenes Datenschutzrecht.
Sie schreiben Ihren Blog in Ihrer Freizeit. Was treibt Sie an?
Irgendjemand muss hier für Transparenz sorgen, das ist ein Beitrag zur kirchlichen Rechtskultur. Oft wissen nicht einmal die Synoden, was sie da genau an Gesetzen beschließen und was für Konsequenzen sie haben.
Felix Neumann ist Journalist und Herausgeber von "Artikel91.eu – Datenschutz in Kirchen und Religionsgemeinschaften".
