Kirchliche und kirchennahe Einrichtungen, Träger und Vereine unterliegen in Deutschland kirchlichen Datenschutzgesetzen – jedenfalls bei einer Zugehörigkeit zu den Kirchen, die gemäß Art. 91 DSGVO eigenes Datenschutzrecht anwenden. So weit, so einfach?
In der Praxis zeigt sich regelmäßig, dass die Beantwortung dieser Fragestellung weitaus komplexer ist, als es auf den ersten Blick erscheint. Häufig kann selbst die verantwortliche Stelle nur schwer beurteilen, ob sie dem kirchlichen Datenschutz unterliegt oder nicht und fragt folgerichtig Ihren Datenschutzbeauftragten um Rat. Bisweilen landet die Frage nach der Zuordnung sogar vor staatlichen Gerichten: Dem OLG Hamm zufolge findet das kirchliche Datenschutzrecht Anwendung und nicht die DSGVO, wenn die Datenverarbeitung im Kernbereich karitativer Tätigkeit betroffen ist.
Im Laufe der Jahre hat es sich bewährt, diese Einschätzung checklistenartig vorzunehmen, wobei die verantwortliche Stelle aus unterschiedlichen Blickpunkten betrachtet und ihr Verhältnis zur Kirche genau beleuchtet wird. Je nachdem, welche Punkte die Einrichtung hierbei erfüllen, erheben sich unterschiedlich stark ausgeprägte Anhaltspunkte, die für oder gegen die Anwendung des kirchlichen Selbstbestimmungsrechts sprechen.
Dieser Beitrag soll Einblick und möglicherweise Hilfestellung geben, diese zugegeben nicht alltägliche, aber doch regelmäßig auftauchende Fragestellung zu beantworten. Da der Autor schwerpunktmäßig in Einrichtungen des Gesundheits- und Sozialwesens tätig ist, sind ihm diese Fragestellungen unter anderem bei konfessionellen Krankenhauskonzernen, aber auch bei ökumenischen Sozialstationen oder Trägervereinen von Kindertageseinrichtungen begegnet.
Eindeutige Fälle
Regelmäßig lässt sich die Frage eindeutig beantworten, wenn die verantwortliche Stelle Mitglied im Diakonischen Werk bzw. Mitglied eines Caritasverbandes ist und eine Anwendung der jeweiligen Arbeitsvertragsrichtlinien der Diakonie oder des Caritasverbandes erfolgt. Diese Fälle sind in den jeweiligen Datenschutzgesetzen ausdrücklich geregelt (§ 2 Abs. 1 DSG-EKD und § 3 Abs. 1 lit. b) KDG). Ebenfalls eindeutig lässt sich die die Zuordnung vornehmen, sofern es sich um verantwortliche Stellen der verfassten Kirche (Bistümer, Landeskirchenämter, Kirchengemeinden etc.) handelt. Rechtlich unselbständige Teile von verantwortlichen Stellen der verfassten Kirche sind in der Regel keine eigenen datenschutzrechtlichen Verantwortliche und unterliegen ebenfalls dem jeweiligen kirchlichen Datenschutzrecht: Kirchenvorstände, Pfarrgemeinderäte, Jugendgruppen einer Gemeinde, aber auch Elternbeiräte an gemeindlichen Kindertagesstätten.
Auch eine Nachfrage, ob die Einrichtung in den jeweiligen Zuordnungslisten (gemäß § 2 Abs. 1 S. 3 DSG-EKD) geführt werden oder ob eine Kirchlichkeitsprüfung (wie vom Verband der Diözesen Deutschlands in seiner Datenschutz-FAQ geschildert) mit positivem Ausgang erfolgt ist, kann eindeutige Hinweise liefern.
Abwägungsfälle
Häufig geben also Organisation und Struktur der verantwortlichen Stelle Aufschluss darüber, ob diese dem kirchlichen Selbstbestimmungsrecht unterliegt. Ein weiterer Blick sollte daher auf die Gesellschafter gerichtet werden. Ein Blick in die aktuelle Satzung oder den Gesellschaftsvertrag der verantwortlichen Stelle kann zudem hilfreich erscheinen, da sich hier ein Verweis auf die zuständige Finanzaufsicht finden lässt. Obliegt diese z. B. dem Ortsbischof oder dem Landeskirchenamt, ist es naheliegend, dass die Datenschutzaufsicht und somit auch das anwendbare Datenschutzrecht diesem folgen sollte.
Ein weiterer Ansatzpunkt kann das Stiftungsgesetz des jeweiligen Bundeslandes sein, in dem die verantwortliche Stelle ihren Sitz hat, da hier ebenfalls Hinweise über die Zugehörigkeit zu finden sein können. Hieraus lässt sich beispielsweise ableiten, welche Voraussetzungen erfüllt sein müssen, um das Vorliegen einer kirchlichen Stiftung zu bejahen. Hat hier in der Vergangenheit bereits eine diesbezügliche Prüfung z. B. durch das zuständige Finanzamt oder die zuständige Stiftungsaufsicht stattgefunden, lässt sich daraus ableiten, ob das Kirchenrecht Anwendung finden kann.
Ebenfalls zu berücksichtigen ist das jeweilige Selbstverständnis der verantwortlichen Stelle sowie etwaige Verflechtungen der Organe mit der Amtskirche, da sich aus diesen häufig gute Anhaltspunkte zur Beantwortung der Frage finden lassen. Prüfen Sie hierbei, wie sich die verantwortliche Stelle selbst sieht. Welchem Träger oder welcher Konfession fühlt sie sich zugehörig? Auf welcher Basis wurde die Einrichtung gegründet?
Wird anhand der oben genannten Prüfungspunkte festgestellt, dass die verantwortliche Stelle einem kirchlichen Datenschutzgesetz unterliegt, sind damit nicht alle möglichen Probleme automatisch aus dem Weg geräumt. Folgende Fallkonstellation könnte sich im Bereich der Kirche unter anderem ergeben.
Fallbeispiel: KDG oder KDR-OG?
Ein katholischer Krankenhauskonzern wurde mit der Frage konfrontiert, ob dieser dem KDG oder der KDR-OG zuzuordnen ist, also ob er der bischöflichen Gesetzgebung unterliegt oder in den Zuständigkeitsbereich eines Ordens päpstlichen Rechts fällt. Obwohl im Rahmen der Zugehörigkeitsprüfung eine enge Abstimmung sowohl mit dem Diözesandatenschutzbeauftragten als auch dem zuständigen Ordensdatenschutzbeauftragten erfolgte, konnte eine tatsächliche Zuordnung erst nach mehreren Monaten erfolgen. Dies lag vor allem an der Historie des Krankenhauskonzerns sowie der gesellschaftsrechtlichen Konstrukte. Zu klären ist in einem solchen Fall z. B. die Frage, welche tatsächlichen Zugriffe die beteiligten Religionsgemeinschaften auf die Geschäftstätigkeit haben. Am Ende eines intensiven Prozesses stand eine pragmatische Lösung: Anhand der zuständigen Finanzaufsicht wurde die Datenschutzaufsicht abgeleitet und in diesem Zusammenhang eine genaue Zuordnung festgelegt.
Ausblick
Das Dilemma der Beurteilung kirchlicher Zugehörigkeit wird ein Thema sein, dass zahlreiche Beteiligte auch in den nächsten Jahren weiterhin begleiten wird. Anhand der oben genannten Prüfungspunkte lassen sich zumindest Leitlinien ableiten, die bei der Beurteilung der Frage hilfreich sein können. Trotzdem zeigt sich in der Praxis, dass sich dennoch nicht alle Fragen konsequent beantworten lassen.
Zwar geben auch die Kirchen, insbesondere die katholische Kirche, anhand von Kriterien vor, wann eine Einrichtung kirchlichem Recht unterliegt. Allerdings fehlt es hierbei an einer genauen Vorgabe, wie viele Kriterien zur Bejahung der Frage erfüllt sein müssen. Daher bleibt erwartbar, dass auch in Zukunft eine entsprechende, möglicherweise sehr aufwendige Einzelfallprüfung fester Bestandteil der Beurteilung bleiben wird.
Verantwortliche Stellen sollten zudem genau prüfen, ob Sie dem kirchlichen Selbstbestimmungsrecht oder den staatlichen Regelungen unterliegen. Schließlich entscheidet sich hieran auch welche Aufsichtsbehörde zuständig ist und wie u.a. mit Bußgeldern und Sanktionen (in der Zukunft) umzugehen ist.