Natürlich befassen sich auch Kirchen mit sensiblen personenbezogenen Daten, so dass der Datenschutz für Kirchen nicht ignoriert und ein kirchlicher Datenschutzbeauftragter extern oder intern bestellt werden sollte. Aufgrund der Trennung von Kirche und Staat und dem darauf basierenden Selbstverwaltungsrecht der Kirchen, gelten das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze nicht für kirchliche Einrichtungen. Die Kirchen haben das Recht eigene Datenschutz-Gesetze sowie Durchführungsverordnungen zu bestimmen, daher hat die Evangelische Kirche Deutschland (EKD) das Kirchengesetz über den Datenschutz in der EKD (DSG-EKD) und die katholische Kirche die Anordnung über den kirchlichen Datenschutz (KDO) erlassen.
Ihr externer Datenschutzbeauftragter informiert im Folgenden über den Datenschutz für Kirchen und erklärt, wann ein interner kirchlicher Datenschutzbeauftragter bzw. ein externer kirchlicher Datenschutzbeauftragter bestellt werden sollte.
Sowohl das DSG-EKD als auch die KDO unterscheiden sich in der Umsetzung für einen Datenschutzbeauftragten nicht stark von den staatlichen Datenschutzregelungen bzw. denen für Behörden und Unternehmen. Beide kirchlichen Regelungen legen fest, dass es die Position „kirchlicher Datenschutzbeauftragter“ auf zwei Ebenen gibt.
Datenschutz für Kirchen – Kirchlicher Datenschutzbeauftragter der ersten Ebene
Zunächst gibt es die Datenschutzbeauftragten, welche für einen jeweiligen Verwaltungsbezirk innerhalb der Kirchen zuständig sind. Im DSG-EKD werden diese lediglich als Datenschutzbeauftragte bezeichnet und sind für eine Gliedkirche bzw. einen gliedkirchlichen Zusammenschluss zuständig. Als Besonderheit gibt es auch einen Datenschutzbeauftragten für die EKD insgesamt, diesem kommt allerdings keine übergeordnete Stellung zu, er ist vielmehr für die gesamtkirchlichen Einrichtungen zuständig.
In der katholischen Kirche entsprechen diese Positionen den Diözesandatenschutzbeauftragten, deren Zuständigkeitsbereich in dem eines Bistums liegt.
Beiden Regelungen ist gemein, dass die Amtszeit vier bis acht Jahre betragen soll, aber erneute Bestellungen derselben Person zulässig sind. Ein kirchlicher Datenschutzbeauftragter kann auch für mehrere Bereiche tätig sein und es ist auch ein Vertreter zu bestellen. Der Datenschutzbeauftragte bzw. Diözesandatenschutzbeauftragte darf insoweit auch andere Tätigkeiten ausüben, sofern diese das Vertrauen in seine Unabhängigkeit und Unparteilichkeit als kirchlicher Datenschutzbeauftragter nicht gefährden. Vergleichbare Vorgaben ergeben sich auch aus dem Bundesdatenschutzgesetz. So darf z. B. der Geschäftsführer eines Unternehmens nicht gleichzeitig Datenschutzbeauftragter (DSB) sein. Die Unabhängigkeit wäre in diesem Fall klar gefährdet, denn der „Geschäftsführer-DSB“ kann sich schlecht selbst kontrollieren.
Genauso, wie bei behördlichen / betrieblichen Datenschutzbeauftragten, sieht der Datenschutz für Kirchen vor, dass der Datenschutzbeauftragte bzw. Diözesandatenschutzbeauftragte die nötige Fachkunde und Zuverlässigkeit für die Tätigkeit als kirchlicher Datenschutzbeauftragter besitzt. Darüber hinaus muss er Mitglied der jeweiligen Kirche sein. Laut DSG-EKD muss der Datenschutzbeauftragte die Befähigung zum Richteramt oder zum höheren Dienst besitzen. Der Diözesandatenschutzbeauftragte soll die Befähigung zum Richteramt haben. Beide stehen ihrer jeweiligen Behörde vor, sind nicht weisungsgebunden, zur Verschwiegenheit verpflichtet und sachlich und organisatorisch unabhängig.
Das DSG-EKD gewährt dem Datenschutzbeauftragten während seiner Amtszeit und bis ein Jahr nach seiner Amtszeit Kündigungsschutz. Auch hier findet sich eine klare Paralelle zum Bundesdatenschutzgesetz. Ausnahmen bilden bei einem Datenschutzbeauftragten im Arbeitsverhältnis eine Kündigung aus wichtigem Grund und bei einem Datenschutzbeauftragten im Kirchenbeamtenverhältnis das Vorliegen von §§ 76, 77, 79 oder 80 Kirchenbeamtengesetz der EKD. Die KDO unterscheidet begrifflich zwischen dem Widerruf der Bestellung zum Diözesandatenschutzbeauftragten und der Kündigung des zugrundeliegenden Arbeitsverhältnisses. Für beides gilt allerdings, dass ein Grund vorliegen muss, der bei einem Richter auf Lebenszeit dessen Entlassung aus dem Dienst rechtfertigen würde oder der nach der Grundordnung des kirchlichen Dienstes im Rahmen kirchlicher Arbeitsverhältnisse eine Kündigung rechtfertigen würde. Im Übrigen gilt der Kündigungsschutz auch hier bis ein Jahr nach Beendigung der Amtszeit.
Die Aufgaben des Datenschutzbeauftragten bzw. Diözesandatenschutzbeauftragten bestehen wie beim staatlichen Datenschutzbeauftragten im Wesentlichen darin, die Einhaltung und Umsetzung der Datenschutzvorschriften zu überwachen. Außerdem soll er mit den Datenschutzbeauftragten der anderen kirchlichen Stellen und den Datenschutzbeauftragten der staatlichen Stellen zusammenarbeiten. Im Übrigen räumen sowohl das DSG-EKD als auch die KDO Auskunfts- und Einsichtsrechte bezüglich aller Unterlagen und Akten über die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten ein.
Datenschutz für Kirchen – Kirchlicher Datenschutzbeauftragter der zweiten Ebene
Die zweite Ebene der Datenschutzbeauftragten bilden in der evangelischen Kirche die Betriebsbeauftragten und örtlich Beauftragen für Datenschutz. Der Unterschied dieser beiden liegt lediglich darin, ob die kirchliche Einrichtung eine eigene Rechtspersönlichkeit besitzt (Betriebsbeauftragter) oder nicht (örtlich Beauftragter).
Sie sollen schriftlich bestellt werden, wenn regelmäßig mehr als neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind. In der katholischen Kirche können kirchliche Stellen gem. § 1 Abs. 2 KDO, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, einen betrieblichen Datenschutzbeauftragten schriftlich bestellen. Sind mehr als zehn Personen damit befasst, soll ein betrieblicher Datenschutzbeauftragter bestellt werden. Auch eine externe Person kann betrieblicher Datenschutzbeauftragter (externer Datenschutzbeauftragter) werden.
Darüber hinaus kann ein Betriebsbeauftragter, örtlich Beauftragter bzw. betrieblicher Datenschutzbeauftragter auch für mehrere Stellen tätig werden. Er muss die nötige Fachkunde und Zuverlässigkeit besitzen, ist nicht weisungsgebunden und darf aufgrund seiner Amtsausübung nicht benachteiligt werden. Dementsprechend gilt ein Kündigungsschutzrecht bis ein Jahr nach Beendigung des Amtes, mit Ausnahme des Vorliegens eines wichtigen Grundes für die Kündigung. Der Betriebsbeauftragte bzw. örtlich Beauftragte hat Auskunfts- und Einsichtsrechte, aber auch eine Verschwiegenheitspflicht. In beiden Regelungen ist festgehalten, dass die verantwortliche Stelle die Teilnahme an Fort- und Weiterbildungen auf ihre Kosten ermöglichen muss.
Ein kirchlicher Datenschutzbeauftragter der zweiten Ebene sollte ebenfalls auf die Einhaltung der Datenschutzvorschriften hinwirken und die kirchliche Stelle bei der Umsetzung unterstützen. Insbesondere überwacht er die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme und sensibilisiert die bei der Verarbeitung personenbezogener Daten tätigen Personen bezüglich der relevanten Datenschutzbestimmungen.