Kirchlicher Datenschutz nach EU-DSGVO scheint auf den ersten Blick ein Thema nur für besonders fromme Menschen zu sein. Ein „gewöhnliches Kirchenmitglied“ hat damit doch nichts zu tun, und jemand, der aus der Kirche ausgetreten ist, schon gar nicht? Urteilen Sie nicht voreilig! Denn auch Ungläubige können beispielsweise in ein kirchlich geführtes Krankenhaus kommen. Und schon haben sie mit dem kirchlichen Datenschutz zu tun.
Freiheit von Glauben und Religion
 |
| EU-DSGVO und Kirchlicher Datenschutz - auch für Ungläubige |
Mit Religion und Kirchen haben Sie nichts am Hut? Das ist Ihr gutes Recht. Denn in Deutschland herrscht Freiheit des Glaubens und der Religion. Dazu gehört auch die Freiheit, sich damit nicht zu befassen oder beispielsweise die großen Kirchen ausdrücklich abzulehnen.
Nutzung kirchlicher Einrichtungen – Kindergarten, Krankenhaus & Co.
Dennoch lassen sich Kontakte mit kirchlichen Einrichtungen manchmal schlicht nicht vermeiden. Bei kirchlichen Kindergärten mag dies noch möglich sein. Denn schließlich können Sie Ihr Kind auch anderswo betreuen lassen.
Bei der Einlieferung in ein kirchliches Krankenhaus nach einem Unfall wird es schon schwieriger. Kaum jemand wird sich dagegen wehren, wenn er dort schnelle Hilfe erhält. Und das Unternehmen, in dem Sie tätig sind, wird Aufträge von Kirchen im Normalfall auch nicht ablehnen.
Umgang mit personenbezogenen Daten
Oft genug geht es dann nicht ohne personenbezogene Daten. Am Beispiel des kirch-lichen Krankenhauses wird das besonders deutlich. Natürlich dokumentieren kirchliche Krankenhäuser die Behandlung eines Patienten nach denselben Maßstäben wie andere Krankenhäuser auch. Sie verfügen also über Gesundheitsdaten und weitere persönliche Daten (etwa Name und Anschrift) des Patienten – mag er nun Kirchenmitglied sein oder nicht.
Rolle der Datenschutz-Grundverordnung
Damit stellt sich die Frage, welche Regeln in Kirchen für den Schutz personenbezogener Daten gelten. Müssen Kirchen schlicht und einfach die Europäischen Datenschutzgrundverordnung (EU-DSGVO) beachten? Oder dürfen sie eigene Regeln schaffen? Dürfen solche Regeln möglicherweise sogar der EU-DSGVO widersprechen?
Eigene Datenschutzregelungen von Kirchen
Die letzte Frage ist mit einem klaren Nein zu beantworten. Die EU-DSGVO lässt nicht zu, dass sich Kirchen eigenes Recht schaffen, das der EU-DSGVO widerspricht. Aber bekanntlich sind viele Regeln der EU-DSGVO sehr allgemein. An dieser Stelle bestehen Handlungsspielräume. Die EU-DSGVO sagt dies in Art. 91 sinngemäß so: Kirchen und religiöse Vereinigungen dürfen eigene Datenschutzregelungen haben. Sie müssen aber umfassend sein und außerdem mit der EU-DSGVO in Einklang stehen.
Kaum inhaltliche Überraschungen
Entsprechend wenige Überraschungen bietet der Text kirchlicher Datenschutzgesetze. Er stimmt weitgehend mit der EU-DSGVO überein. Das könnte den Eindruck vermitteln, als sei das ganze Thema nur etwas für Spezialisten. Denn wenn am Ende dasselbe herauskommt, kann es letztlich ja gleichgültig sein, welcher Paragraf aus welchem Gesetz angewandt wird, oder?
Eigene Datenschutzaufsicht von Kirchen
Diese Schlussfolgerung wäre voreilig. Das zeigt sich spätestens, wenn sich ein Betroffener über Datenschutzverstöße beschweren will. Angenommen, der Betroffene ist ein Patient, der in einem kirchlichen Krankenhaus behandelt worden ist. Er muss sich mit seiner Beschwerde an die Datenschutzaufsicht der Kirche wenden, zu der das Krankenhaus gehört. Staatliche Datenschutzaufsichtsbehörden sind in diesem Fall nicht zuständig. Dies gilt unabhängig davon, ob der Patient selbst der Kirche angehört oder nicht. Es genügt, dass er die Dienste einer kirchlichen Einrichtung in Anspruch genommen hat. Damit gelten für ihn die kirchlichen Datenschutzregelungen.
Ungewohnt, aber konsequent
Das mag ungewohnt wirken. Ob es im Ergebnis stört, ist eine andere Frage. Das wäre wohl nur der Fall, wenn das Ergebnis anders ausfällt als sonst, weil eine kirchliche Einrichtung mit im Spiel ist. Genau dies kann allerdings durchaus vorkommen! Deutlich zeigt sich dies wieder am Beispiel des kirchlichen Krankenhauses.
Angenommen, jemand wird in einem „gewöhnlichen“ Krankenhaus behandelt. Und weiter angenommen, es gibt für dieses Krankenhaus einen Krankenhaus-Seelsorger. Dann darf dieser Seelsorger nur dann über den Aufenthalt eines Patienten im Krankenhaus informiert werden, wenn der Patient damit ausdrücklich einverstanden ist.
Liegt derselbe Patient dagegen in einem kirchlichen Krankenhaus, sieht die Sache völlig anders aus. Vom Selbstverständnis einer solchen Einrichtung her ist es völlig in Ordnung, dass ein Seelsorger auch unaufgefordert einmal vorbeischaut und dabei den Namen des Patienten kennt. Aufdrängen wird er seine Dienste aber natürlich nicht.
Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!
Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.
 |
| Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen |
Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.
Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.
Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. Das dauert nur wenige Minuten.
Ich freue mich auf Ihre Anfragen.
Ihr Thomas Ströbele
