Das Datenschutzrecht hat sich zu einer zentralen Rechtsdisziplin des digitalen Zeitalters entwickelt und ist insbesondere für die Regelung der Privatsphäre, die Durchsetzung der informationellen Selbstbestimmung und den Schutz personenbezogener Daten im digitalen Raum unentbehrlich. Seine Wurzeln in Europa reichen zurück in die 1970er Jahre, doch erst mit der Einführung der EU-Datenschutzgrundverordnung (DSGVO) im Jahr 2018 erfuhr es eine signifikante Aufwertung. Diese Entwicklung setzte sich in der Schweiz mit dem Inkrafttreten des grundlegend revidierten schweizerischen Datenschutzgesetzes (DSG) im September 2023 fort. Doch trotz seiner Prominenz bleibt ein tieferes Verständnis der komplexen und technischen Aspekte des Datenschutzrechts für viele Menschen unzugänglich. Nicht selten wird das Datenschutzrecht auch als Innovationshemmnis wahrgenommen.[1]
Ist die Annahme, dass das Datenschutzrecht eine Barriere für Innovation darstellt, wirklich begründet? Dies dürfte vor allem dann der Fall sein, wenn es an Wissen und Orientierung im Umgang mit den datenschutzrechtlichen Bestimmungen mangelt. Denn die Konsequenzen von Datenschutzverletzungen sind gravierend und können zu erheblichen finanziellen Strafen führen. So sieht die DSGVO für bestimmte Verstösse Geldbussen von bis zu 20.000.000 Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr vor (Art. 83 Abs. 5 DSGVO). Die hohen möglichen Bussgelder sollen abschreckend wirken und die Einhaltung der Datenschutzvorschriften sicherstellen.[2] Die gesetzgebenden Organe machen damit auch deutlich, dass Digitalisierung und Datenschutz in einer Organisation Hand in Hand gehen müssen.
Um das Datenschutzrecht effektiv zu managen, sind folgende Schritte zentral: Je nach Sachlage müssen Datenschutzbeauftragte bestellt werden, die gemäss Art. 37 DSGVO für die Einhaltung der datenschutzrechtlichen Bestimmungen sorgen. Darüber hinaus ist die Implementierung von technischen Vorkehrungen unerlässlich. Hervorzuheben sind die Konzepte Privacy by Design und Privacy by Default nach Art. 25 DSGVO, die eine Einbettung des Datenschutzes in die technische Entwicklung und durch datenschutzfreundliche Voreinstellungen vorsehen. Diese Ansätze dienen der präventiven Vermeidung von Datenschutzverstössen und unterstreichen die Notwendigkeit, den Datenschutz von Anfang an in die Produkt- und Prozessentwicklung zu integrieren. Des Weiteren sind Massnahmen zu treffen, die der Umsetzung der Grundsätze der Datensicherheit, der Datenminimierung und der Transparenz gemäss Art. 32 Abs. 5 lit. c und a DSGVO dienen. Ebenso wichtig ist ein durchdachter Plan für den Fall einer Datenschutzverletzung, ergänzt durch regelmässige Schulungen und weitere Sensibilisierungsmassnahmen für alle Mitarbeiter:innen.[3]
Die Umsetzung von Datenschutzvorkehrungen in einer Organisation erfordert einen tiefgreifenden organisatorischen Wandel, der Digitalisierung und Datenschutz als untrennbare Bestandteile der Unternehmensführung betrachtet. Mit anderen Worten: Datenschutz ist „Chefsache“.[4] Ein solcher Ansatz fördert nicht nur die Compliance und schützt vor potenziellen Risiken, sondern positioniert den Datenschutz als integralen Bestandteil der Identität der Organisation, was letztlich dazu beiträgt, das Vertrauensverhältnis zwischen der Organisation und ihrer Zielgruppe zu stärken. Gerade für kirchliche und religiöse Einrichtungen, die regelmässig mit sensiblen personenbezogenen Daten umgehen, kommt diesem Vertrauen eine herausragende Bedeutung zu.
Datenschutzrecht und seine Fundamente
Das Datenschutzrecht stellt ein Instrument dar, um die Privatsphäre und das Recht auf Datenschutz zu gewährleisten. Die Bedeutung dieser Grundrechte wird auf höchster Ebene der Normenhierarchie unterstrichen, namentlich in der Charta der Grundrechte der Europäischen Union (GRC), der Europäischen Menschenrechtskonvention (EMRK) und für die Schweiz in der Bundesverfassung (BV). Diese Bestimmungen sind u.a. darauf ausgerichtet, die informationelle Selbstbestimmung[5] im Zeitalter der Digitalisierung zu sichern.
Die Entwicklung des Datenschutzrechts, beginnend mit dem weltweit ersten Datenschutzgesetz in Hessen (1970), spiegelt auch die zunehmende Sorge der Bevölkerung vor einer allgegenwärtigen Überwachung und dem Missbrauch persönlicher Daten wider. Diese Sorgen, oft als „Orwellsche Visionen“[6] beschrieben, haben im Laufe der Zeit nur an Relevanz gewonnen, insbesondere angesichts der technologischen Fortschritte in Bereichen wie Big Data, künstliche Intelligenz und maschinelles Lernen.
Die Herausforderungen, die sich aus der digitalen Transformation ergeben, insbesondere die Risiken weitreichender Persönlichkeitsverletzungen und die potenzielle Realisierung des „gläsernen Bürgers“ durch die unkontrollierte Sammlung und Analyse grosser Mengen personenbezogener Daten, betonen die kritische Rolle des Datenschutzrechts.[7] In diesem Kontext ist das Datenschutzrecht ein entscheidender Faktor, um solche Risiken zu minimieren und die persönliche Freiheit und Autonomie der Individuen in der digitalen Ära zu gewährleisten.
Rechtslage in Deutschland im kirchlichen Kontext
Um ihren Auftrag zu erfüllen, muss die Kirche kommunizieren, was sie zu einer Kommunikationsgemeinschaft macht.[8] Die Pastoralinstruktion[9] „Communio et Progressio“ betont die zentrale Rolle der Kommunikation und hebt Jesus Christus als den „Meister der Kommunikation“ hervor. [10] Um in ihrer kommunikativen Funktion wirksam sein zu können, ist die Kirche auf die Verarbeitung von Daten, insbesondere der Daten ihrer Mitglieder, angewiesen. Diese Datenverarbeitung dient der Information, Führung und Unterstützung der Gläubigen in ihren geistlichen Bedürfnissen. Bereits in den Anfängen der Datenschutzüberlegungen in Deutschland wurde diese Notwendigkeit für den kirchlichen Betrieb berücksichtigt. So wurde in § 10 Abs. 2 des ersten deutschen Datenschutzgesetzes die Übermittlung personenbezogener Daten an Kirchen als rechtlich zulässig festgelegt, was die besondere Stellung der Kirchen im Kontext des Datenschutzes unterstreicht und ihre Fähigkeit zur Erfüllung ihres Auftrags unterstützt.
Die besondere Beziehung zwischen dem kirchlichen Auftrag und dem Umgang mit personenbezogenen Daten in Deutschland wird durch die Anerkennung des Datenschutzrechts als „innerkirchliche Angelegenheit“ in den 1970er Jahren verdeutlicht. Diese Anerkennung ermöglichte es den Kirchen, insbesondere der Evangelischen Kirche in Deutschland (EKD), eigene Datenschutzvorschriften zu erlassen und somit ein spezifisches „Datenschutzregime“ zu etablieren. Ein markantes Beispiel hierfür ist das Kirchengesetz über den Datenschutz vom 10. November 1977, durch das die EKD ihr eigenes Datenschutzsystem schuf. Die Befugnis zur Regelung des Datenschutzes innerhalb der Kirchen erlaubt eine teilweise flexible Handhabung der Datenschutzanforderungen, die auf die besonderen Bedürfnisse kirchlicher Einrichtungen zugeschnitten ist. Diese Autonomie erstreckt sich auf eine Vielzahl kirchlicher Organisationen und Vereinigungen, unabhängig von deren spezifischer Rechtsform. Entscheidend für die Anwendung kirchlicher Datenschutzvorschriften auf diese Einrichtungen ist deren Rolle im Rahmen des kirchlichen Auftrags sowie die Intensität ihrer institutionellen Verbindung mit der Kirche.[11] Dazu gehören etwa kirchliche Spitäler und vergleichbare Sozialeinrichtungen, obwohl sie privatrechtlich organisiert sind.[12]
Auf europäischer Ebene wird das Selbstbestimmungsrecht der Kirchen im Bereich des Datenschutzrechts ebenfalls respektiert. Dies zeigt sich insbesondere in der bereits erwähnten DSGVO. So ermöglicht Art. 91 DSGVO es den Kirchen, eigene Datenschutzregeln zu erlassen, vorausgesetzt, diese stehen in Einklang mit den allgemeinen Grundsätzen der DSGVO. Davon haben sowohl die evangelische (DSG-EKD)[13] als auch die katholische (KDG)[14] Kirche Gebrauch gemacht.
Ein signifikanter Aspekt dieser kirchlichen Datenschutzgesetze ist der deutlich mildere Umgang mit Bussgeldern im Vergleich zur DSGVO. Während die DSGVO Bussgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vorsehen kann, begrenzen das KDG und das DSG-EKD die Bussgelder auf maximal 500.000 Euro. Darüber hinaus ermöglichen die kirchlichen Datenschutzgesetze eine massgeschneiderte Regelung von kirchenspezifischen Tätigkeiten. Ein Beispiel hierfür ist die Regelung der Aufzeichnung und Übertragung von Gottesdiensten und anderen kirchlichen Veranstaltungen im § 53 DSG-EKD. Diese Vorschrift erlaubt solche Aufzeichnungen und Übertragungen unter der Bedingung, dass die Teilnehmenden angemessen über Art und Umfang der Massnahmen informiert werden. Das kirchliche Datenschutzrecht kann auch zur kirchlichen Selbstpositionierung dienen. So betont § 50a DSG-EKD, dass die Kirche ein überragendes Interesse an der institutionellen Aufarbeitung sexualisierter Gewalt hat.
Rechtslage in der Schweiz im kirchlichen Kontext
Die Datenschutzlandschaft in der Schweiz spiegelt die föderale Struktur des Landes wider, bei der sowohl auf Bundesebene als auch auf kantonaler Ebene unterschiedliche Datenschutzgesetze Anwendung finden. Das Bundesdatenschutzgesetz regelt spezifisch die Verarbeitung personenbezogener Daten durch Bundesorgane (Art. 2 Abs. 1 lit. b DSG), während die kantonalen Datenschutzgesetze – wie das Beispiel des Informations- und Datenschutzgesetzes des Kantons Zürich (§ 2 IDG ZH)[15] zeigt – die Anforderungen für kantonale Organe festlegen.
Gemäss Art. 72 Abs. 1 BV fällt die Regelung des Verhältnisses von Kirche und Staat in die Zuständigkeit der Kantone. Für die öff.-rechtl. anerkannten Kirchen gelten daher in erster Linie die kantonalen Bestimmungen. So sieht beispielsweise in Art. 23 Abs. 1 der Kirchenordnung (KO) der ev.-ref. Landeskirche des Kantons Zürich vor, dass sich die Bearbeitung und Bekanntgabe von Informationen, Personendaten und besonderen Personendaten durch die Kirche nach kantonalem Recht richtet.
Auch in der Schweiz haben die Kirchen die Möglichkeit, eigene Reglemente für den Datenschutz zu erlassen, um ihre besonderen Aufgaben und Anforderungen zu berücksichtigen. Ein Beispiel hierfür ist das Kirchliche Datenschutz-Reglement[16] im Kanton Zürich. Diese Regelungen ermöglichen es den Kirchen, ihre spezifischen Datenschutzbedürfnisse im Einklang mit den kantonalen Gesetzen und unter Berücksichtigung ihres Selbstbestimmungsrechts zu adressieren. Dadurch können sie einen angemessenen Datenschutz gewährleisten, der sowohl den rechtlichen Anforderungen als auch den besonderen Bedürfnissen ihrer Gemeinschaften entspricht.
Sensible Daten und ehrenamtliche Mitarbeit
Wie bereits erwähnt, bearbeiten die Kirchen Personendaten mit religiösem Bezug. Diese werden in der Schweiz als besonders schützenswerte Personendaten (Art. 5 lit. c DSG) und in der DSGVO als besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) bezeichnet. Die Bearbeitung dieser Datenkategorie hat grundsätzlich zu unterbleiben und ist nur unter bestimmten Voraussetzungen zulässig, z.B. bei Vorliegen einer Einwilligung der betroffenen Person (Art. 6 Abs. 7 lit. a DSG; Art. 9 Abs. 2 lit. a DSGVO). Der besondere Schutz ergibt sich daraus, dass mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte der betroffenen Personen verbunden sein können (vgl. Erwägungsgrund 51 DSGVO).
Religiöse Personendaten umfassen sowohl Informationen, die die Glaubensrichtung einer Person offenbaren, als auch solche, die Aufschluss über die praktische Ausübung dieses Glaubens geben.[17] Der Fall einer Kirchgemeinde im Kanton Zürich während der COVID-Pandemie ist ein anschauliches Beispiel für die besondere Schutzwürdigkeit religiöser Personendaten und die niedrige Schwelle für ihre Qualifizierung. Aufgrund von Beschränkungen bei der Anzahl der Gottesdienstbesucher:innen musste eine Kirchgemeinde ein Online-Terminplanungs-Tool („Doodle“) für die Voranmeldung verwenden. Die Offenlegung der Namen der Teilnehmenden in diesem Tool stellte eine Verarbeitung religiöser Personendaten dar, da sie Rückschlüsse auf die Religionszugehörigkeit und -ausübung der Personen zuliess. Die zuständige Datenschutzbeauftragte (Kanton Zürich) reagierte darauf und verwies auf die Verwendung von Pseudonymen oder Initialen als Massnahme zum Schutz der Privatsphäre der Kirchgänger:innen.[18]
Der Umgang mit sensiblen privaten Informationen hat allerdings im kirchlichen Kontext eine lange Tradition. So ist das Beichtgeheimnis, das erstmals 1215 auf dem IV. Laterankonzil formuliert wurde, ein zentrales Element der röm.-kath. Glaubenspraxis und hat sich im Laufe der Jahrhunderte weiterentwickelt und verstärkt.[19] Heute wird das Beichtgeheimnis im geltenden Codex Iuris Canonici (CIC) von 1983 unter Can. 983 festgehalten. Diese Bestimmung betont die Unverletzlichkeit des Beichtgeheimnisses und verbietet streng die Preisgabe des Inhalts der Beichte. Das Geheimnis erstreckt sich auf jegliches Wissen, das aufgrund des Bekenntnisses erlangt wird.[20] Demgegenüber regelt bspw. die EKD das Seelsorgegeheimnis im Kirchengesetz zum Schutz des Seelsorgegeheimnisses (SeelGG). Dieses Gesetz dient einerseits dem Schutz der Seelsorge und andererseits der Wahrung der Definitionshoheit über die Seelsorge im staatlichen Recht (§ 1 SeelGG).
Das Beicht- und Seelsorgegeheimnis wird in Ländern wie der Schweiz und Deutschland auch durch das säkulare Strafrecht geschützt. In der Schweiz ist dies in Art. 321 Abs. 1 StGB geregelt, in Deutschland sind § 383 ZPO, § 53 StPO und § 139 StGB einschlägig. Diese strafrechtlichen Regelungen zur Schweigepflicht dienen vor allem dem Schutz des Vertrauens in bestimmte Berufsgruppen, hier konkret in Geistliche.
Ein weiterer wichtiger Aspekt in der Diskussion um den Datenschutz im kirchlichen Kontext ist die Rolle der Ehrenamtlichen. Kirchen unterscheiden sich von vielen anderen Organisationen durch die enge Einbindung von Ehrenamtlichen in ihre Arbeit. Diese Ehrenamtlichen spielen eine zentrale Rolle in der Gemeindearbeit und können dabei häufig mit sensiblen personenbezogenen Daten in Berührung kommen. Es ist daher von entscheidender Bedeutung, dass auch sie in Datenschutzschulungen einbezogen werden. Dies gilt auch für urheberrechtliche und andere relevante digitale Kompetenzen. Ein Mangel an fundierten Kenntnissen kann sich negativ auf ihre Fähigkeit auswirken, im Rahmen ihrer Rolle effektiv zu handeln, und kann sogar rechtliche Risiken für die kirchlichen Organisationen mit sich bringen. Es ist daher von entscheidender Bedeutung, dass die Kirchen angemessene Ressourcen und Unterstützung bereitstellen, um sicherzustellen, dass ihre ehrenamtlichen Mitarbeiter im Umgang mit personenbezogenen Daten und anderen relevanten rechtlichen Aspekten sowohl kompetent als auch selbstbewusst sind.
Schluss
Insgesamt lässt sich feststellen, dass Datenschutzrecht eine herausragende Rolle in der „digitalisierten Gesellschaft“ einnimmt. Während die Komplexität und die technischen Aspekte des Datenschutzrechts für viele eine Hürde darstellen mögen, ist eine fundierte Auseinandersetzung und Umsetzung unerlässlich, um Grundrechte zu wahren. Die Einhaltung des Datenschutzes ist nicht nur eine gesetzliche Verpflichtung, sondern trägt auch massgeblich zur Stärkung des Vertrauensverhältnisses zwischen Organisationen und ihren Zielgruppen bei. Kirchen stehen dabei vor der speziellen Herausforderung, die Balance zwischen dem Schutz sensibler personenbezogener Daten und der Erfüllung ihres Auftrags zu finden. Die „Privilegierung“ der Kirchen im Datenschutzrecht erlaubt ihnen, massgeschneiderte Datenschutzregelungen zu etablieren, die ihre besonderen Bedürfnisse berücksichtigen. Gleichwohl verlangt diese Privilegierung eine verantwortungsvolle Anwendung und Einhaltung der allgemeinen Datenschutzstandards. Die Einbeziehung von Ehrenamtlichen in Datenschutzschulungen und die Sensibilisierung für den Umgang mit sensiblen Daten sind dabei essenziell.
Quellenverzeichnis
Anke Hans Ulrich/Wall Heinrich de/Heinig Hans Michael (Hrsg.), Handbuch des evangelischen Kirchenrechts, 1. Aufl., Tübingen 2016.
Aymans Winfried, Kanonisches Recht: Lehrbuch aufgrund des Codex Iuris Canonici. Bd. 3. Verkündigungsdienst und Heiligungsdienst, Paderborn 2007.
Datenschutz Dr, Das älteste Datenschutzgesetz der Welt, 2020, https://www.dr-datenschutz.de/das-aelteste-datenschutzgesetz-der-welt-von-prof-dr-datenschutz/, (abgerufen am 6. Dezember 2023).
Hoeren Thomas, Kirchlicher Datenschutz nach der Datenschutzgrundverordnung, in: Neue Zeitschrift für Verwaltungsrecht (NVwZ) 6/2018, S. 373 ff.
Kühling Jürgen/Klar Manuel/Sackmann Florian, Datenschutzrecht, Heidelberg 2021.
Reinnarth Jörg/Schuster Claus/Möllendorf Jan/Lutz André, Chefsache Digitalisierung 4.0, Wiesbaden 2018.
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter 1045/2020.
Sachse Annette, Aufdecken oder Bewahren?, Wege zum Menschen 70 (2018) S. 48 ff.
Weber Rolf H., Datenschutz – Zum Aufstieg einer neuen Rechtsdisziplin, Editions Weblaw, Bern 2015.
Stiftung Datenschutz, Umgang mit Datenschutzverletzungen, https://stiftungdatenschutz.org/ehrenamt/praxisratgeber/praxisratgeber-detailseite/umgang-mit-datenschutzverletzungen-1-265m (abgerufen am 6. Dezember 2023).
Weckbrodt Heiko, Bitkom: Datenschutz-Grundverordnung ist Innovationsbremse, 2023, https://oiger.de/2023/05/21/bitkom-datenschutz-grundverordnung-ist-innovationsbremse/186836, (abgerufen am 6. Dezember 2023).
Ziekow Arne, Datenschutz-Grundverordnung und kirchenrechtliche Adaption, in: Zeitschrift für evangelisches Kirchenrecht (ZevKR) 63 (2018) S. 390 ff.
[1] Weckbrodt.
[2] Rosenthal, S. 65.
[3] Stiftung Datenschutz.
[4] Anspielung auf den Titel des Buches von Reinnarth/Schuster/Möllendorf/Lutz.
[5] vgl. BVerfG, Urteil des Ersten Senats vom 15. Dezember 1983 – 1 BvR 209/83 -, Rn. 1-215.
[6] Dr. Datenschutz.
[7] Kühling/Klar/Sackmann, S. 3.
[8] Arne Ziekow, § 28, Daten und Datenschutz, Meldewesen und Archivwesen, 962-997 in: Handbuch des evangelischen Kirchenrechts, ed. by Hans Ulrich Anke, Heinrich de Wall, and Hans Michael Heinig, 1st edn (Tübingen: Mohr Siebeck, 2016), p. XXII, 1165, S. 963.
[9] Eine Pastoralinstruktion ist ein offizielles Dokument der röm.-kath. Kirche, das von einem kirchlichen Amtsträger oder einem kirchlichen Gremium veröffentlicht wird. Ziel einer solchen Instruktion ist es, Richtlinien und Anweisungen für bestimmte Aspekte des kirchlichen Lebens und der pastoralen Praxis zu geben.
[10] Päpstliche Kommission für die Instrumente der sozialen Kommunikation, Pastoralinstruktion „communio et progressio“ über die Instrumente der sozialen Kommunikation, veröffentlicht im Auftrag des II. Vatikanischen Ökumenischen Konzils, Rn. 11.
[11] Ziekow, S. 403-404.
[12] Hoeren, S. 373.
[13] Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD) vom 15. November 2017 (ABl. EKD S. 353, berichtigt 2018, S. 35 und 2018 S. 215), zuletzt geändert durch Gesetzesvertretende Verordnung vom 24. Juni 2021 (Art. 1, ABl. EKD S. 158) und durch Kirchengesetz vom 9. November 2022 (ABl. EKD S. 156).
[14] Gesetz über den Kirchlichen Datenschutz (KDG) in der Fassung des einstimmigen Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 20. November 2017.
[15] Gesetz über die Information und den Datenschutz (IDG) SR 170.4.
[16] Kirchliches Datenschutz-Reglement (15./6. Dezember 1999 und 23. Mai 2000) SR 180.7.
[17] Kühling/Klar/Sackmann, S. 143.
[18] Tätigkeitsbericht 2020 der Datenschutzbeauftragte des Kantons Zürich, S. 27.
[19] Sachse, S. 51.
[20] Aymans, S. 303.
Blogbeitrag von Ramazan Özgü, UFSP-Projekt 10 Rechtsregeln und Regelungskonzeptionen für den Gebrauch von Informationstechnologie im Kirchen- und Staatskirchenrecht in der Schweiz, in Österreich und in Deutschland
