Bei Datenschutz denkt man nicht als erstes an die Kirchen. Doch haben die beiden großen christlichen Kirchen in Deutschland parallel zur DS-GVO ein eigenes Datenschutzreglement aufgesetzt. Für die katholische Kirche in Deutschland das "Gesetz über den Kirchlichen Datenschutz" (KDG), das alle 27 Diözesen wortgleich in Kraft gesetzt haben; für die evangelische Kirche das "Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland" (DSG-EKD).
Seit dem 30. April 2024 gibt es sogar im Staat Vatikanstadt mit dem "N. DCLVII Regolamento Generale sulla protezione dei Dati personali" erstmals ein eigenes Datenschutzgesetz. Das Gesetz betrifft ausschließlich das staatliche Handeln im kleinsten Staat der Welt mit seinen etwa 600 Einwohnern. Der Heilige Stuhl und die Römische Kurie, also die Gesamtheit der Dikasterien (Behörden) und Einrichtungen, die dem Papst bei der Ausübung des obersten Hirtenamts behilflich sind, sind nicht Adressat des Datenschutzgesetzes. Für die römisch-katholische Kirche gilt dagegen der Codex Iuris Canonici (CIC). Regelungen mit Bezügen zum Datenschutz sind dort insbesondere der Schutz der Intimsphäre, das Beichtgeheimnis oder die Amtsverschwiegenheit.
Noch mögen predigende Roboter in der Zukunft liegen, doch schon jetzt verarbeiten die beiden christlichen Kirchen eine Vielzahl von Daten – nicht nur ihrer Mitglieder, sondern auch die Daten von Beschäftigten, Ehrenamtlichen, etc.
DS-GVO erlaubt Kirchen eigenes Datenschutzrecht
Bisher war für die Kirche im Hinblick auf ihre Datenschutzgesetzgebung allein maßgebend, dass sie ihr Selbstbestimmungsrecht innerhalb der Schranken des für alle geltenden Gesetzes gemäß Art. 140 GG i.V.m. Art. 137 Abs. 3 S. 2 WRV ausüben konnte. Das fand auch auf europarechtlicher Ebene Beachtung. Mit Art. 17 AEUV "achtet" die Union "den Status, den die Kirchen und religiösen Vereinigungen oder Gemeinschaften in den Mitgliedstaaten genießen, und beeinträchtigt ihn nicht."
Folglich räumt seit ihrem Inkrafttreten auch die DS-GVO in Art. 91 Abs. 1 den Kirchen und Religionsgesellschaften unter bestimmten Voraussetzungen die Möglichkeit ein, eigene Datenschutzgesetze zu verabschieden. Damit hat sich der Fokus verschoben: Nun konturiert die DS-GVO den Rahmen des Selbstbestimmungsrechts aus Art. 140 GG i.V.m. Art. 137 Abs. 3 WRV. Durch Art. 91 DS-GVO werden die Kirchen und Religionsgesellschaften zum ersten Mal auf europäischer Ebene im Sekundärrecht implementiert.
Viele europäische Mitgliedstaaten – vornehmlich solche mit größeren katholischen Bevölkerungsanteilen – haben die Gelegenheit genutzt und ein eigenes Datenschutzrecht auf den Weg gebracht. So verfügen außerhalb Deutschlands u.a. die Bistümer in Polen, Italien, Spanien, Portugal, Österreich und der Slowakei sowie die Erzbischöfe von Malta und Luxemburg über kirchliche Datenschutzregeln. Dagegen regelt in Frankreich mit der strikten Trennung von Staat und Kirchen nur eine Bestimmung im französischen Ausführungsgesetz zur DS-GVO, dass die Kirchen und andere Religionsgesellschaften Daten zur Religionszugehörigkeit speichern dürfen.
"Öffnungsklausel mit Fußfessel"
Die Konzeption des Art. 91 DS-GVO beschreibt eine zweistufige Öffnung oder, anders ausgedrückt, eine "Öffnungsklausel mit Fußfessel". Sofern das Staatskirchenrecht des jeweiligen Mitgliedstaates ein eigenes Datenschutzrecht der Kirchen und Religionsgemeinschaften zulässt, wird der Gestaltungsspielraum auf der zweiten Stufe eingeschränkt.
Die Kirche darf danach die umfassenden Regeln zum Schutz natürlicher Personen bei der Verarbeitung nur weiter anwenden, wenn sie diese mit der DS-GVO "in Einklang" gebracht hat. "In Einklang bringen" erfordert keine gleichgeartete Regelungskonzeption im Sinne einer wortgetreuen Übernahme der Verordnungsregelung in das Kirchenrecht. Europäische und kirchliche Regelungen müssen einander nicht vollständig entsprechen, anderenfalls würde Art. 91 DS-GVO leerlaufen.
Die Kirchen müssen aber die Vorgaben der DS-GVO umsetzen, sonst verlieren sie ihr Recht auf Regulierung ihrer eigenen Angelegenheiten. Dem kirchlichen Gesetzgeber bleibt zwar ein gewisser Gestaltungsspielraum, denn für den "Einklang" reicht die Wesensgleichheit der kirchlichen und staatlichen Regelungen, er darf aber das Schutzniveau zum staatlichen Datenschutz nicht unterschreiten. Daher muss ein den staatlichen Regelungsstrukturen entsprechendes gleichwertiges, nicht notwendig gleichartiges kirchliches Datenschutzrecht geschaffen werden. Das bedeutet, dass unter Beachtung des gesamten gleichgerichteten Wertungsgefüges die Kirchen inhaltlich eigenständige Wege auf dem Gebiet des Datenschutzes gehen können.
Unabhängige Aufsicht über kirchlichen Datenschutz
Um ihre legitimen Eigeninteressen im Rahmen kirchlicher Selbstverwaltung und Selbstverantwortung nicht gegenüber staatlicher Aufsicht zu verlieren, implementiert die Kirche entsprechend Art. 91 Abs. 2 DSGVO eigene Aufsichten. Denn eine noch so strenge Rechtsbindung wäre wenig wert, wenn es an einer unabhängigen Kontrolle mangelte.
Im Bereich der katholischen Kirche Deutschlands gibt es beispielsweise fünf Aufsichten, die teilweise als eigene Körperschaft des öffentlichen Rechts firmieren: Das Katholische Datenschutzzentrum mit Sitz in Dortmund für die fünf nordrhein-westfälischen (Erz-)Bistümer und die Katholischen Datenschutzzentren Bayern für die sieben bayerischen Diözesen sowie Frankfurt a.M. für die (Erz-)Bistümer Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier. Darüber hinaus gibt es den Diözesandatenschutzbeauftragten der ostdeutschen Bistümer und des Katholischen Militärbischofs sowie den Diözesandatenschutzbeauftragten des Erzbistums Hamburg, der Bistümer Hildesheim, Osnabrück und des Bischöflich Münsterschen Offizialats in Vechta i. O.
Datenschutz als kirchliches Zukunfts-Thema?
Die Kirche hat es verstanden, mittels ihres Selbstbehauptungswillens und gestützt auf die organisatorische Autonomie und Verwaltung ihrer eigenen Angelegenheiten ein eigenes Datenschutzreglement zu etablieren. Doch drängt sich hier die Frage auf, ob nicht gerade die Kirchen sich nicht nur mit dem "Können" begnügen sollten, sondern auch das "Sollen" in den Blick nehmen müssen. Will die Kirche nicht ihre Selbstbestimmung ausschließlich durch Anpassung ausüben, so müsste sie sich den datenschutzrechtlichen Schutzzwecken nach ihrem Selbstverständnis in besonderer Weise annehmen. Gerade das Datenschutzrecht bezogen auf den Schutz der einzelnen Persönlichkeit verkörpert fundamentale (christliche) Werte und eignet sich besonders zur Positionierung im Staat-Bürger-Verhältnis.
Hier könnte sie ein Profil herausarbeiten, das sich am Glauben und daraus abgeleiteten Maßstäben orientiert. Es gilt, Leitlinien zu entwickeln, die es der Kirche ermöglichen, ein Datenschutzrecht zu etablieren, das die Privatheit des Einzelnen schützt und gleichzeitig die Gemeinschaft als christliches Prinzip in den Blick nimmt. Dafür muss die Kirche zunächst ein Bewusstsein für die Freiräume bilden, die ihr zur Verfügung stehen und die in den Grenzen der datenschutzrechtlichen Wertvorstellungen der DS-GVO ausgefüllt werden können.
Dr. Michaela Hermes, LL.M. ist die betriebliche Datenschutzbeauftragte der Erzdiözese München und Freising, Rechtsanwältin und Fachanwältin für Medizinrecht.