Datenschutz in kirchlichen Einrichtungen

Die EU-Datenschutz-Grundverordnung (DSGVO) hat letztlich alle Unternehmen vor besondere und vor allem neue Herausforderungen gestellt.

Das klar erklärte Ziel war und ist die Vereinheitlichung des Umgangs mit personenbezogenen Daten auf europäischer Ebene.

Auch für soziale Dienste und Einrichtungen der Kirchen, wie Diakonie und Caritas, haben sich aufgrund der DSGVO einige Änderungen ergeben. Allerdings sind hier Besonderheiten gegenüber sonstigen Unternehmen und Einrichtungen zu beachten, die ihre Grundlage in eigenen kirchlichen Datenschutzgesetzen haben.

Wir wollen hier einen Einblick in die Herausforderungen geben und Ansätze zur Bewältigung aufzeigen.

Grundlagen und Herausforderungen

Die DSGVO hat den Kirchen in Art. 91 DSGVO die Freiheit zugestanden, eigene Regelungen zum Datenschutz anzuwenden, soweit diese zum Zeitpunkt des Inkraftretens der DSGVO bereits angewendet werden und in Einklang mit der DSGVO sind.

Die Vorschrift lautet in Absatz 1:

„Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden.“

Der Grund für diese Ausnahme ist letztlich in dem verfassungsmäßigen Rang der Kirchen und religiösen Vereinigungen zu suchen. Dies wird entsprechend in Erwägungsgrund 165 der DSGVO klargestellt:

„Im Einklang mit Artikel 17 AEUV achtet diese Verordnung den Status, den Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren bestehenden verfassungsrechtlichen Vorschriften genießen, und beeinträchtigt ihn nicht.“

Die evanglische Kirche sowie die katholische Kirche haben in Deutschland von der Möglichkeit dieser Ausnahme Gebrauch gemacht.

Um den Anforderungen des Art. 91 DSGVO gerecht zu werden, hat die evanglische Kirche am 15.11.2017 ein neues Datenschutzgesetz – das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) – beschlossen, welches die vorherige Regelung ablösen sollte und am 24.05.2018 in Kraft trat. Einen Tag vor Inkrafttreten der DSGVO also.

Die katholische Kirche hat die Inkraftsetzung eines neuen Datenschutzgesetzes – des Gesetzes über den Kirchlichen Datenschutz (KDG) – am 20.11.2017 beschlossen. Auch dieses sollte die bisherigen Regelungen zum Datenschutz ersetzen und trat ebenso am 24.05.2018 in Kraft.

Beide Gesetze orientieren sich im Wesentlichen an der DSGVO und gewähren entsprechende Rechte bzw. regeln entsprechende Pflichten der verantwortlichen Stellen, mit Besonderheiten aufgrund des kirchlichen Hintergrunds. Insgesamt führen diese Gesetze dazu, dass auch die kirchlichen Einrichtungen – ebenso wie sonstige Unternehmungen – nicht verschont bleiben vor einigem Anpassungsbedarf.

Die Herausforderung in kirchlichen Einrichtungen liegt dabei insbesondere in der Vielschichtigkeit der betriebenen Einrichtungen. So finden sich – wenngleich nicht stets „unter einem Dach“ – innerhalb einer verantwortlichen Stelle häufig Angebote vieler verschiedener Branchen. Die kirchlichen Einrichtungen betreiben in einer Gesamtbetrachtung vielfach – aber nicht ausschließlich – Kindertagesstätten und Kindergärten, Pflege- und Unterstützungseinrichtungen, existenzsichernde Einrichtungen, Beratungsdienste für viele Lebensbereiche und Angebote für Menschen mit Behinderung.

Nicht nur haben kirchliche Einrichtungen teilweise mehrere hundert Mitarbeiter, diese kommen bei ihrer Arbeit auch mit höchst sensiblen Daten in Kontakt und verarbeiten diese (zwangsläufig) in großem Umfang. Angefangen von Daten minderjähriger Betroffener sind dies letztlich vor allem Gesundheitsdaten.

Typische Problemfelder in Kindertagesstätten und Kindergärten sind etwa die Verarbeitung von Bildern der betreuten Kinder und Einwilligungen der Eltern mit der zusätzlichen Fragestellung, wie eine Einwilligung bei getrennten Eltern mit gemeinsamem Sorgerecht behandelt werden muss.

Gesundheitsdaten

Soweit es um Gesundheitsdaten geht, sind die kirchlichen Einrichtungen mit Unternehmen des Gesundheitswesens zu vergleichen. Auch diese sind erheblich gefordert die Anforderungen an eine rechtmäßige Verarbeitung personenbezogener Daten umzusetzen und letztlich auch nachweisen zu können.

Hintergrund ist der besondere Schutz von Gesundheitsdaten auch im kirchlichen Datenschutzrecht.

So gilt für die evanglische Kirche und ihre Einrichtungen:

§ 13 Absatz 1 des DSG-EKD regelt:

„Besondere Kategorien personenbezogener Daten dürfen nicht verarbeitet werden.“

Als „besondere Kategorien personenbezogener Daten“ definiert § 4 Nr. 2 DSG-EKD vergleichbar mit Art. 9 Absatz 1 DSGVO:

„a) alle Informationen, aus denen religiöse oder weltanschauliche Überzeugungen einer natürlichen Person hervorgehen, ausgenommen Angaben über die Zugehörigkeit zu einer Kirche oder einer Religions- oder Weltanschauungsgemeinschaft,
b) alle Informationen, aus denen die rassische und ethnische Herkunft, politische Meinungen oder die Gewerkschaftszugehörigkeit einer natürlichen Person hervorgehen,
c) genetische Daten,
d) biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
e) Gesundheitsdaten,
f) Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.“
Gesundheitsdaten definiert § 4 Nr. 23 DSG-EKD als
„Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;“
Für die katholische Kirche und deren Einrichtungen gilt:
§ 11 Absatz 1 KDG regelt:

„Die Verarbeitung besonderer Kategorien personenbezogener Daten ist untersagt.“

Als „besondere Kategorien personenbezogener Daten“ definiert § 4 Nr. 2 KDG vergleichbar mit Art. 9 Absatz 1 DSGVO:

„Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Die Zugehörigkeit zu einer Kirche oder Religionsgemeinschaft ist keine besondere Kategorie personenbezogener Daten.“

Gesundheitsdaten sind gemäß § 4 Nr. 17 KDG

„Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;“

Sowohl im Falle der evanglischen, wie auch der katholischen Kirche übernimmt man das Prinzip des „Verbots mit Erlaubnisvorbehalt“ aus der DSGVO, d.h. die Verarbeitung dieser besonderen Kategorien von personenbezogenen Daten ist tatsächlich grundsätzlich verboten, soweit sie nicht ausnahmsweise erlaubt ist.

Das klingt zunächst sehr kompliziert, wird jedoch verständlicher in Kenntnis des mit Art. 9 Absatz 2 DSGVO im ersten Satz vergleichbaren § 13 Absatz 2 DSG-EKD und § 11 Absatz 2 KDG, die Ausnahmen von dem grundsätzlichen Verbot aufzählen, wenn sie regeln:

„Abweichend von Absatz 1 dürfen besondere Kategorien personenbezogener Daten verarbeitet werden, wenn“ (§ 13 Abs. 2DSG-EKD)

„Absatz 1 gilt nicht in folgenden Fällen:“ (§ 11 Abs. 2 KDG)

Besonders relevante Ausnahmen sind dabei die informierte Einwilligung der von der Datenverarbeitung betroffenen Person sowie die Verarbeitung zum Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik oder der Versorgung und Behandlung im Gesundheitsbereich aufgrund eines Vertrags mit einer Person eines Gesundheitsberufs.

Digitalisierung und Datenübermittlung

Digitalisierung PflegeheimDarüber hinaus macht die fortschreitende Digitalisierung selbstverständlich auch vor kirchlichen Einrichtungen keinen Halt. In vielen Fällen sind die Einrichtungen etwa auch mit weiteren verantwortlichen Stellen, etwa Behörden und Ämtern, vernetzt. Hier etwa müssen klare Regeln definiert werden.

Darüber hinaus werden zunehmend digitale Patientenakten geführt, mit all ihren Vorteilen, aber eben auch Risiken für und Anforderungen an die IT-Sicherheit.

Schließlich sind in vielen Fällen ein Auseinanderfallen von betroffener Person und Kostenträger (hier häufig etwa städtische Träger) zu beachten, aber auch Fragen der Vor-, Mit- und Nachbehandlung betroffener Personen und der Zulässigkeit von Datenübermittlungen an bzw. zwischen verschiedenden beteiligten Stellen.

Nicht zuletzt geht es vielfach um Fragen der Zulässigkeit der Nutzung von Messenger-Diensten, wie WhatsApp. Dies nicht lediglich in der Jugend(sozial)arbeit.

Auswirkungen

Gerade im Zusammenhang mit der Verarbeitung von Gesundheitsdaten können Datenschutzverstöße oder Datenpannen für betroffene Personen zu erheblichen negativen Auswirkungen und Schäden führen.

Man denke an das Bekanntwerden ggf. sensibler Diagnosen. So etwa einer HIV-Erkrankung einer betroffenen Person, die die Leistungen einer Aidsberatungsstelle in Anspruch nimmt oder nahm. Auch die Tatsache einer laufenden Behandlung als solche kann sich entsprechend negativ auswirken.

Insgesamt gelten daher gerade für verantwortliche Stellen, die entsprechend sensible Daten wie Gesundheitsdaten verarbeiten, hohe Datenschutzanforderungen. Verantwortliche und Mitarbeiter sollten insoweit in besonderem Maße für die Belange des Datenschutzes sensibilisiert sein. Betroffene Personen müssen zutreffend über die Datenverarbeitung informiert werden, ggf. sind Einwilligungen von diesen einzuholen.

Der Weg zu einem gesetzeskonformen Datenschutz in kirchlichen Einrichtungen

1. Verträge, Formulare und Informationen

Prüfen Sie Ihre verwendeten Unterlagen. Informieren Sie Ihre Patienten/Kunden datenschutzkonform über die Art und Weise der Datenverarbeitung in Ihrer Einrichtung. Passen Sie Ihre Unterlagen, Formblätter ggf. an.

2. Einwilligungen

Halten Sie Einwilligungen vor, soweit erforderlich.

3. Maßnahmen der Datensicherheit

Prüfen Sie die in Ihrer Einrichtung eingesetzten Maßnahmen der Datensicherheit.

Die kirchlichen Datenschutzgesetze haben von der DSGVO den sogenannten „risikobasierten Ansatz“ übernommen, d.h. die einzusetzenden Maßnahmen im Hinblick auf den Datenschutz müssen sich an dem Risiko für die Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen orientieren.

Um dieses Risiko einschätzen zu können und zu klären, ob die angewendeten Maßnahmen ausreichend sind, müssen zunächst die Datenverarbeitung und ihre Zwecke beschrieben werden.

Hier hat sich letztlich die Bearbeitung in 4 Phasen etabliert, die wir auch in der Beratung unserer Kunden aus dem Bereich der kirchlichen Einrichtungen durchlaufen:

a. Beschreibung der durchgeführten Datenverarbeitungen und ihr Zweck

Es wird geprüft und beschrieben auf welche Weise Daten, speziell sensible Daten wie Gesundheitsdaten, verarbeitet werden und zu welchem Zweck. Hier spielt der Umfang der Datenverarbeitung ebenso eine Rolle, wie die technische Umsetzung.

b. Prüfung der Erforderlichkeit einzelner Verarbeitungsvorgänge sowie ihrer Verhältnismäßigkeit

Die Datenschutzgesetze der Kirchen regeln nunmehr ebenso wie die DSGVO die Grundsätze der Datenverarbeitung. Einer dieser Grundsätze behandelt die Datenminimierung. Gemeint ist, dass Daten einerseits dem Zweck nach angemessen verarbeitet werden sowie auf das für den Zweck notwendige Maß beschränkt werden. Das heißt letztlich nichts anderes, als dass nur die Daten verarbeitet werden sollen (und dürfen), die auch tatsächlich benötigt werden.

Es ist daher zu prüfen, ob einzelne Verarbeitungsvorgänge in ihrem Umfang erforderlich und angemessen sind unter Berücksichtigung des damit verfolgten Zwecks. Insbesondere sollten sich Mitarbeiter und Mitarbeiterinnen durchaus die Frage stellen, ob einzelne erhobene Daten, insbesondere aber nicht ausschließlich Gesundheitsdaten, im Rahmen ihrer täglichen Arbeit tatsächlich erforderlich sind oder ob auf die Erhebung und Speicherung einzelner Datenkategorien ggf. sogar ohne Auswirkungen verzichtet werden kann.

c. Einschätzung des Risikos und Überprüfung der angewendeten Maßnahmen

Nach Beschreibung der Verarbeitungen und Überprüfung der Erforderlichkeit können die Risiken für die Rechte und Freiheiten der betroffenen Personen bewertet werden. Hierbei bewegt man sich in einer sogenannten Risikomatrix aus der Schwere des möglichen Schadens und der Eintrittswahrscheinlichkeit eines solchen Schadens.

Hiernach müssen die angewendeten Maßnahmen zum Datenschutz anhand des Risikos überprüft werden.

d. Änderung bestehender oder Planung neuer Maßnahmen

Ergibt die Prüfung, dass die derzeit angewendeten Maßnahmen nicht ausreichen, so sind diese abzuändern und/oder neue Maßnahmen zu planen.

Profitieren Sie von unserer Erfahrung!

Wir verfügen über eine Spezialisierung und umfangreiche Erfahrung im Bereich des Datenschutzes kirchlicher Einrichtungen. Insbesondere sind DSG-EKD und KDG keine Fremdworte für uns.

Geschäftsführer und Datenschutzbeauftragter DSB-TÜV Christoph Schmitt betreut und berät verantwortliche Stellen mit kirchlichem Kontext mit etwa 1000 Mitarbeitern und einer Vielzahl verschiedener Einrichtungen.

Wir unterstützen Sie bei der Analyse und Prüfung Ihrer vorhandenen Datenschutzsituation und der Umsetzung eines gesetzeskonformen Datenschutzkonzepts.

Nehmen Sie Kontakt mit uns auf! Gerne besprechen wir gemeinsam mit Ihnen Ihren Bedarf und machen Ihnen ein Angebot hinsichtlich einer Datenschutzberatung bis hin zur Übernahme des Amts des externen Datenschutzbeauftragten.