Externer Datenschutzbeauftragter für Kirchen und Gemeinden
Warum brauchen Kirchen und kirchliche Einrichtungen einen Datenschutzbeauftragten?
Kirchen und kirchliche Einrichtungen unterliegen einem einzigartigen Dual-Regime im Datenschutz: Neben der DSGVO gelten die kircheneigenen Datenschutzgesetze – das Gesetz über den Kirchlichen Datenschutz (KDG) für die katholische Kirche und das Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD) für die evangelische Kirche. Dieses kirchliche Selbstbestimmungsrecht ist in Art. 91 DSGVO ausdrücklich anerkannt und verlangt von kirchlichen Einrichtungen eigene, unabhängige Datenschutzaufsichtsstrukturen.
Kirchengemeinden, Bistümer, Landeskirchen, Diözesen und alle zugehörigen Einrichtungen – von Kindertagesstätten über Schulen bis hin zu Krankenhäusern und Beratungsstellen – verarbeiten höchst sensible personenbezogene Daten. Dazu zählen Gemeindemitgliederdaten, Informationen über religiöse Überzeugungen, Seelsorgedaten, Kirchensteuerdaten und Spenderdaten. Der Schutz dieser Daten erfordert spezialisiertes Wissen an der Schnittstelle von kirchlichem und staatlichem Datenschutzrecht.
Ein externer Datenschutzbeauftragter mit Erfahrung im kirchlichen Datenschutzrecht unterstützt Ihre Gemeinde oder Einrichtung dabei, sowohl die kirchenrechtlichen als auch die staatlichen Anforderungen zuverlässig zu erfüllen und das besondere Vertrauensverhältnis zu Gemeindemitgliedern zu schützen.
Typische Datenschutz-Herausforderungen in Kirchen und Gemeinden
Dual-Regime: KDG und DSG-EKD neben der DSGVO
Die größte Besonderheit im kirchlichen Datenschutz ist das Nebeneinander verschiedener Rechtsregime. Katholische Einrichtungen unterliegen dem KDG mit eigener Aufsichtsbehörde (Diözesandatenschutzbeauftragte), evangelische Einrichtungen dem DSG-EKD mit den Beauftragten für den Datenschutz der EKD. Für nicht-kirchliche Aktivitäten – etwa gewerbliche Vermietung von Gemeinderäumen oder wirtschaftliche Geschäftsbetriebe – gilt hingegen die DSGVO direkt. Die korrekte Abgrenzung der Rechtsregime ist wichtig und erfordert fundierte Kenntnisse beider Systeme.
Seelsorgegeheimnis und besondere Vertraulichkeit
Das Seelsorgegeheimnis genießt in allen Konfessionen höchsten Schutz. Informationen aus Seelsorgegesprächen, Beichten und seelsorgerlicher Begleitung dürfen unter keinen Umständen in allgemeine Dateisysteme einfließen. Technische und organisatorische Maßnahmen müssen eine strikte Trennung zwischen Seelsorgedaten und Verwaltungsdaten gewährleisten. Dies betrifft auch digitale Kommunikationswege wie E-Mail und Messenger-Dienste, die für seelsorgerliche Kontakte verwendet werden.
Gemeindemitgliederdaten und Kirchensteuer
Kirchengemeinden führen umfangreiche Mitgliederverzeichnisse mit Tauf-, Konfirmations- und Traudaten, Familienzugehörigkeiten und Kontaktinformationen. Die Weitergabe von Kirchensteuerdaten an Finanzbehörden und die Verarbeitung von Spenderdaten für Zuwendungsbestätigungen erfordern jeweils eigene Rechtsgrundlagen und transparente Information der Betroffenen.
Ehrenamtliche und Gemeindeöffentlichkeit
Ein Großteil der kirchlichen Arbeit wird von Ehrenamtlichen getragen, die ebenfalls an Datenschutzpflichten gebunden sind. Veröffentlichungen in Gemeindebriefen, auf Webseiten und in sozialen Medien – einschließlich Fotos von Gemeindeveranstaltungen, Taufen oder Konfirmationen – bedürfen einer sorgfältigen datenschutzrechtlichen Prüfung und im Regelfall einer Einwilligung der abgebildeten Personen.
DSGVO-Checkliste für Kirchen und kirchliche Einrichtungen
- Bestimmung des anwendbaren Rechtsregimes (KDG, DSG-EKD oder DSGVO) für jede Verarbeitungstätigkeit dokumentiert
- Verzeichnis der Verarbeitungstätigkeiten gemäß § 31 KDG bzw. § 31 DSG-EKD erstellt und aktuell gehalten
- Technische Trennung von Seelsorgedaten und Verwaltungsdaten implementiert
- Datenschutzhinweise für Gemeindemitglieder, Spender und Veranstaltungsteilnehmer bereitgestellt
- Einwilligungsformulare für Fotos und Veröffentlichungen in Gemeindebriefen und sozialen Medien erstellt
- Auftragsverarbeitungsverträge mit IT-Dienstleistern, Druckereien und Cloud-Anbietern abgeschlossen
- Datenschutzschulungen für hauptamtliche und ehrenamtliche Mitarbeiter durchgeführt
- Löschkonzept für Gemeindemitgliederdaten bei Kirchenaustritt implementiert
- Meldewege für Datenschutzverletzungen an die kirchliche Aufsichtsbehörde etabliert
- Regelungen für die Nutzung privater Endgeräte durch Ehrenamtliche (BYOD) getroffen
Was kostet ein externer Datenschutzbeauftragter für Kirchen?
Die Kosten für einen externen kirchlichen Datenschutzbeauftragten richten sich nach der Größe der Gemeinde oder Einrichtung, der Anzahl der Verarbeitungstätigkeiten und der Komplexität des anwendbaren Rechtsregimes. Kleine Kirchengemeinden können mit monatlichen Kosten ab 300 Euro rechnen. Größere Einrichtungen wie Dekanate, kirchliche Schulen oder Träger sozialer Einrichtungen benötigen eine umfangreichere Betreuung.
Ein externer DSB bietet gegenüber einer internen Lösung den Vorteil der Unabhängigkeit und vermeidet Interessenkonflikte, die in kleineren Gemeinden mit begrenztem Personal besonders häufig auftreten. DATUREX verfügt über fundierte Kenntnisse sowohl des KDG als auch des DSG-EKD und kann Einrichtungen beider Konfessionen gleichermaßen kompetent betreuen.
§ 38 BDSG und die Auswirkung auf kirchliche Einrichtungen
Für kirchliche Einrichtungen, die dem KDG oder dem DSG-EKD unterliegen, gilt § 38 BDSG nicht direkt. Stattdessen enthalten die kirchlichen Datenschutzgesetze eigene Benennungspflichten: § 36 KDG verpflichtet katholische Einrichtungen zur Benennung eines betrieblichen Datenschutzbeauftragten, wenn mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Das DSG-EKD sieht in § 36 eine vergleichbare Regelung vor.
Für gemischte Einrichtungen – etwa eine kirchliche Stiftung mit gewerblichem Wirtschaftsbetrieb – können sowohl die kirchlichen Benennungspflichten als auch § 38 BDSG parallel gelten. In der Praxis empfiehlt es sich, einen Datenschutzbeauftragten zu benennen, der beide Rechtsregime abdeckt und als einheitlicher Ansprechpartner für die kirchliche und die staatliche Aufsichtsbehörde fungiert.
Datenschutz-Folgenabschätzung (DSFA) für Kirchen und Gemeinden
Auch kirchliche Einrichtungen müssen in bestimmten Fällen eine Datenschutz-Folgenabschätzung durchführen. Das KDG regelt dies in § 35 KDG, das DSG-EKD in § 34 DSG-EKD – jeweils in enger Anlehnung an Art. 35 DSGVO. DSFA-pflichtig sind insbesondere die umfangreiche Verarbeitung religiöser Daten, die systematische Überwachung kirchlicher Räumlichkeiten durch Videokameras und die Einführung neuer digitaler Gemeinde-Apps oder Online-Gottesdienstplattformen.
DATUREX unterstützt Sie bei der Identifikation DSFA-pflichtiger Verarbeitungen, der methodischen Durchführung der Risikoanalyse und der Dokumentation der Ergebnisse gemäß den Anforderungen der jeweils zuständigen kirchlichen Datenschutzaufsichtsbehörde.
Häufige Fragen: Datenschutzbeauftragter für Kirchen und Gemeinden
Gilt die DSGVO für Kirchengemeinden?
Für die kirchliche Kerntätigkeit gelten die kircheneigenen Datenschutzgesetze (KDG für die katholische Kirche, DSG-EKD für die evangelische Kirche) anstelle der DSGVO. Dieses Privileg ist in Art. 91 DSGVO verankert und setzt voraus, dass die kirchlichen Regelungen ein angemessenes Datenschutzniveau gewährleisten. Für rein wirtschaftliche Tätigkeiten der Kirche, die nicht zum kirchlichen Auftrag gehören, kann jedoch die DSGVO direkt gelten.
Was ist der Unterschied zwischen KDG und DSG-EKD?
Das KDG orientiert sich stark an der DSGVO und verwendet ähnliche Begrifflichkeiten und Strukturen. Das DSG-EKD weicht in einigen Punkten stärker von der DSGVO ab, etwa bei den Rechtsgrundlagen für die Verarbeitung und den Informationspflichten. Beide Gesetze etablieren eigene, von den staatlichen Behörden unabhängige Aufsichtsstrukturen mit eigenen Bußgeldkompetenzen.
Dürfen Fotos von Gemeindefesten veröffentlicht werden?
Die Veröffentlichung von Fotos aus dem Gemeindeleben erfordert grundsätzlich eine Einwilligung der abgebildeten Personen. Bei Kindern und Jugendlichen ist die Einwilligung der Erziehungsberechtigten erforderlich. Für große öffentliche Veranstaltungen kann unter Umständen das Kunsturhebergesetz (KUG) eine Grundlage bieten, sofern keine Einzelpersonen im Vordergrund stehen. Empfehlenswert ist in jedem Fall eine dokumentierte Einwilligungserklärung.
Wie werden Seelsorgedaten geschützt?
Seelsorgedaten unterliegen dem Seelsorge- und Beichtgeheimnis und genießen den höchstmöglichen Schutz. Sie dürfen nicht in Gemeinde-Dateisystemen gespeichert, nicht an Dritte weitergegeben und nicht für Verwaltungszwecke verwendet werden. Digitale Kommunikationsmittel für seelsorgerliche Gespräche müssen Ende-zu-Ende-verschlüsselt sein. Der Datenschutzbeauftragte hat keinen Zugang zu Seelsorgedaten.
Kostenlose Erstberatung für Kirchen und Gemeinden
Sie möchten wissen, wie DATUREX Ihre Kirchengemeinde oder kirchliche Einrichtung beim Datenschutz unterstützen kann? In einer kostenlosen Erstberatung klären wir das für Sie anwendbare Rechtsregime, identifizieren datenschutzrechtliche Handlungsfelder und zeigen Ihnen pragmatische Lösungen auf, die sowohl den kirchenrechtlichen Anforderungen als auch dem Gemeindealltag gerecht werden. Kontaktieren Sie uns für ein unverbindliches Gespräch – wir betreuen kirchliche Einrichtungen in Dresden und ganz Sachsen.
Unsere Datenschutz-Leistungen für Kirchen und kirchliche Einrichtungen
- Stellung des externen betrieblichen Datenschutzbeauftragten gemäß § 36 KDG oder § 36 DSG-EKD
- Beratung zur Abgrenzung von KDG/DSG-EKD und DSGVO bei gemischten Einrichtungen
- Erstellung von Datenschutzkonzepten für Kirchengemeinden, Dekanate und kirchliche Träger
- Schulung von haupt- und ehrenamtlichen Mitarbeitern im kirchlichen Datenschutz
- Durchführung von Datenschutz-Folgenabschätzungen gemäß KDG/DSG-EKD
- Prüfung von Auftragsverarbeitungsverträgen mit IT-Dienstleistern und Cloud-Anbietern
- Beratung zum Schutz des Seelsorgegeheimnisses in digitalen Umgebungen
- Unterstützung bei Anfragen der kirchlichen Datenschutzaufsichtsbehörde
Verwandte Branchen
Informieren Sie sich auch über unsere Datenschutzlösungen für verwandte Branchen:
Datenschutz-Leistungen der DATUREX GmbH
Profitieren Sie von unserer branchenspezifischen Datenschutz-Expertise:
- Datenschutzberatung – DSGVO-Compliance individuell umsetzen
- Externer Datenschutzbeauftragter – Ab 250 €/Monat
- Verarbeitungsverzeichnis – Professionell erstellen und pflegen
- TOM Datenschutz – Technisch-organisatorische Maßnahmen
- Datenschutz-Schulungen – Mitarbeiter sensibilisieren
Häufig gestellte Fragen
Braucht mein Unternehmen einen Datenschutzbeauftragten?
Wenn mindestens 20 Personen ständig mit personenbezogenen Daten arbeiten, besondere Datenkategorien verarbeitet werden oder eine Datenschutz-Folgenabschätzung erforderlich ist, müssen Sie einen DSB bestellen.
Was kostet ein externer Datenschutzbeauftragter?
Bei der DATUREX GmbH beginnen die Kosten ab 250 €/Monat als Pauschale. Darin enthalten sind alle gesetzlichen Pflichtaufgaben, Schulungen und laufende Beratung. Alle Preise im Überblick →
Was passiert bei einem Datenschutzverstoß?
Bußgelder bis zu 20 Millionen Euro oder 4% des Jahresumsatzes drohen. Dazu kommen Reputationsschäden und mögliche Schadensersatzansprüche Betroffener.
Kostenlose Erstberatung
Zertifizierte Datenschutzexperten. DATUREX GmbH, Dresden.
Telefon: 0351 / 79593513