Häufig gestellte Fragen – neues Kirchliches Datenschutzgesetz (KDG)

Das Gesetz über den Kirchlichen Datenschutz (KDG), das zum 24. Mai 2018 in allen deutschen (Erz-)Diözesen in Kraft getreten ist, und die EU-Datenschutzgrundverordnung (EU-DSGVO), die seit dem 25. Mai 2018 gilt, werfen zahlreiche Fragen auf. Nachfolgend werden häufig gestellte Fragen und die dazugehörigen Antworten zusammengestellt.

Es wird jedoch ausdrücklich darauf hingewiesen, dass die nachfolgenden Antworten und Empfehlungen nur vorläufiger Natur sein können. Das neue Datenschutzrecht (KDG, EU-DSGVO) ist erst seit Kurzem in Kraft. Mit Blick auf die noch zu erfolgende Abstimmung der deutschen und/oder europäischen und/oder kirchlichen Aufsichtsbehörden sowie die zukünftige Rechtsprechung sind Änderungen und Anpassungen möglich.

Mehr lesen
  • Broschüre: Kirchliches Datenschutzrecht
    Hg. vom Sekretariat der Deutschen Bischofskonferenz. Arbeitshilfen Nr. 320. Bonn 2021

    Die Broschüre enthält den Wortlaut des Gesetzes über den Kirchlichen Datenschutz (KDG) und der Durchführungsverordnung zum KDG, der Kirchlichen Datenschutzgerichtsordnung (KDSGO), des Gesetzes zum Schutz von Patientendaten bei der Seelsorge in katholischen Einrichtungen des Gesundheitswesens und weiterer wichtiger Normen zum Kirchlichen Datenschutzrecht.
1. Warum hat die Katholische Kirche auf Grundlage der EU-Datenschutz-Grundverordnung (EU-DSGVO) mit dem KDG ein eigenes Gesetz entwickelt?

Als staatlich anerkannter Religionsgemeinschaft steht der Katholischen Kirche ein verfassungsmäßig garantiertes Selbstverwaltungsrecht zu. Dieses Recht umfasst die Befugnis, ihre Angelegenheiten selbständig innerhalb der Schranken des für alle geltenden Gesetzes zu ordnen und zu verwalten. Dem trägt Art. 91 EU-DSGVO Rechnung, der es den Kirchen ermöglicht, bestehende (kirchliche) Datenschutzvorschriften weiter anzuwenden, wenn sie mit der EU-DSGVO in Einklang gebracht werden.

Mit der Anordnung über den kirchlichen Datenschutz (KDO) bestanden zum Zeitpunkt des Inkrafttretens der EU-DSGVO bereits umfassende kircheneigene Regeln zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Um das kirchliche Datenschutzrecht weiterhin aufrechterhalten zu können, ist die KDO mit der EU-DSGVO in Einklang gebracht worden. Ergebnis dieses Prozesses ist das KDG.

3. Gelten die EU-DSGVO und das Bundesdatenschutzgesetz für die Katholische Kirche?

Die EU-DSGVO und das Bundesdatenschutzgesetz (BDSG) gelten nicht für die Katholische Kirche, zumindest nicht für den verfasst-kirchlichen Bereich und die Einrichtungen, die vom organisatorischen Geltungsbereich des § 3 KDG erfasst sind. Die Katholische Kirche hat von ihrem in Art. 91 EU-DSGVO verankerten Recht Gebrauch gemacht und die bereits bestehenden datenschutzrechtlichen Regelungen in Einklang mit der EU-DSGVO gebracht. Für kirchliche Einrichtungen gilt das KDG.

4. Für welche Einrichtungen der Katholischen Kirche gilt das KDG?

Der organisatorische Geltungsbereich des KDG ergibt sich aus § 3 KDG. Danach gilt das KDG für die Verarbeitung personenbezogener Daten durch den verfasst-kirchlichen Bereich, also die Diözesen, die Kirchengemeinden, die Kirchenstiftungen und die Kirchengemeindeverbände. Es gilt ferner für den Deutschen Caritasverband, die Diözesan-Caritasverbände, ihre Untergliederungen und ihre Fachverbände ohne Rücksicht auf ihre Rechtsform sowie für die kirchlichen Körperschaften, Stiftungen, Anstalten, Werke, Einrichtungen und die „sonstigen kirchlichen Rechtsträger“ ohne Rücksicht auf ihre Rechtsform. Hierzu zählen auch die Orden bischöflichen Rechts.

Insbesondere bei den „sonstigen kirchlichen Rechtsträgern“ besteht im Einzelfall Unklarheit darüber, ob es sich um eine kirchliche Einrichtung im Sinne des § 3 Abs. 1 lit. c) KDG handelt. Erforderlich ist eine entsprechende einzelfallbezogene Prüfung. Anhaltspunkte für die Kirchlichkeit einer Einrichtung sind zum Beispiel:

  • Die Einrichtung steht unter der Verwaltung und Aufsicht kirchlicher Organe oder ist organisatorisch und/oder institutionell mit der Kirche verbunden.
  • Der Kirche werden per Satzung bestimmte Einflussrechte eingeräumt oder die Möglichkeit der Einflussnahme ergibt sich aus der personellen Besetzung der Einrichtungsgremien (z. B. im Aufsichtsrat).
  • Leitende Mitarbeiter der Einrichtung sind gegenüber der Amtskirche verantwortlich.
  • Die Religionsgemeinschaft hat einen ordnenden und verwaltenden Einfluss auf die Einrichtung.
  • Es liegt eine dokumentierte Anerkennung durch den Bischof vor.
  • Die Kirche finanziert die Einrichtung zu einem nicht unerheblichen Teil.
  • Die Einrichtung verfolgt kirchliche Zwecke.
  • Die Einrichtung verpflichtet sich vertraglich gegenüber der Kirche, bzgl. dieser Ziele kirchlichen Weisungen nachzukommen.

Dabei entscheidet im Ergebnis eine Gesamtschau der aufgezählten und ggf. weiterer Anhaltspunkte, nicht das Vorliegen oder Nichtvorliegen eines einzelnen Kriteriums.

2. Wo finde ich das KDG?

Das Gesetz über den Kirchlichen Datenschutz für den Verband der Diözesen Deutschlands und die Dienststellen und Einrichtungen der Deutschen Bischofskonferenz (KDG-VDD) in der Fassung des Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 23.04.2018 findet sich unter
„Verband der Diözesen Deutschlands/Dokumente“

Es ist veröffentlicht im Amtsblatt für das Erzbistum München und Freising vom 31. Mai 2018.

Das von den Diözesanbischöfen für ihre jeweilige (Erz-)Diözese erlassene KDG ist in den entsprechenden Amtsblättern der (Erz-)Diözesen veröffentlicht. Es findet sich auf den Webseiten der (Erz-)Diözesen und/oder auf den Webseiten der jeweiligen Datenschutzbeauftragten – Links hierzu finden Sie ebenfalls unter
„Verband der Diözesen Deutschlands/Dokumente“

5. Gilt das KDG auch für die Ordensgemeinschaften?

Das KDG gilt für die Ordensgemeinschaften bischöflichen Rechts. Sie unterliegen der Aufsicht der Diözesandatenschutzbeauftragten.

Für Ordensgemeinschaften päpstlichen Rechts gilt die Kirchliche Datenschutzregelung der Ordensgemeinschaft päpstlichen Rechts (KDR-OG) in der Fassung des Vorstandsbeschlusses des DOK Deutschen Ordensobernkonferenz e. V. vom 30. Januar 2018. Aufsicht über die Orden päpstlichen Rechts haben die Gemeinsamen Ordensdatenschutzbeauftragten der DOK (GDSB DOK).

Nähere Informationen sind über die Deutsche Ordensobernkonferenz (DOK) zu erhalten unter
www.orden.de/ueber-die-dok

6. Gilt das KDG auch für die Katholische Militärseelsorge?

Das KDG gilt in sinngemäßer Anwendung und vollumfänglich für die Katholische Militärseelsorge, insbesondere für die Rechtsträger, die dem Katholischen Militärbischof für die Deutsche Bundeswehr zugeordnet sind (vgl. Verordnungsblatt des Katholischen Militärbischofs für die Deutsche Bundeswehr vom 1. Juli 2018).

7. Inwiefern weichen EU-DSGVO und KDG voneinander ab?

Die EU-DSGVO und das KDG sind zu einem großen Teil wortgleich. Um den erforderlichen Einklang mit der Verordnung herzustellen, sind die meisten Regelungen der EU-DSGVO wörtlich übernommen worden. Abweichungen ergeben sich in der Regel dort, wo kirchliche Interessen und Aufgaben eine Rolle spielen, kirchliche Strukturen Änderungen erforderlich machen oder kirchliche Besonderheiten zu berücksichtigen sind.

So wurde beispielsweise die Zugehörigkeit zu einer Kirche oder Religionsgemeinschaft, die nach der EU-DSGVO unter die besonderen Kategorien personenbezogener Daten zu fassen ist, im KDG ausdrücklich aus den besonderen Kategorien personenbezogener Daten herausgenommen. Würde es sich bei der Zugehörigkeit zur Katholischen Kirche, bei der es sich um eines der grundlegenden personenbezogenen Daten handelt, die im Bereich der katholischen Kirche verarbeitet werden, um eine besondere Kategorie personenbezogener Daten handeln, wäre eine Verarbeitung grundsätzlich unzulässig bzw. nur unter bestimmten sehr engen Voraussetzungen zulässig.

An zahlreichen Stellen, z. B. bei der Frage der Rechtmäßigkeit der Verarbeitung personenbezogener Daten, finden „kirchliche Interessen“ oder der „Auftrag der Kirche“ ausdrückliche Erwähnung. 

Die Höhe der Geldbußen bei Verstößen gegen das KDG weicht deutlich von den in der EU-DSGVO vorgesehenen Höhen der Geldbußen ab. Während die EU-DSGVO je nach Art des Verstoßes Geldbußen in Höhe von bis zu 10.000.000 Euro/ 20.000.000 Euro bzw. von bis zu 2 Prozent/4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vorsieht, betragen Geldbußen nach dem KDG höchstens 500.000 Euro. Hintergrund dieser Abweichung ist, dass der Umsatz der meisten kirchlichen Einrichtungen deutlich geringer ist als bei staatlichen oder privatwirtschaftlichen Unternehmen. 

Darüber hinaus dürfen gegen kirchliche Stellen, soweit sie im weltlichen Rechtskreis öffentlich-rechtlich verfasst sind, keine Geldbußen verhängt werden. Dies gilt allerdings nicht, soweit sie als Unternehmen am Wettbewerb teilnehmen. Das BDSG enthält eine insoweit vergleichbare Vorschrift in § 43 Abs. 3 BDSG, als dort festgelegt ist, dass gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Abs. 1 BDSG keine Geldbußen verhängt werden.

Abweichungen ergeben sich beispielsweise auch hinsichtlich der Datenschutzaufsicht: Die §§ 42 ff. KDG schreiben unter Berücksichtigung der kircheneigenen Strukturen eine kircheneigene Datenschutzaufsicht vor, die allerdings den Vorgaben der EU-DSGVO entspricht und für die das KDG insbesondere eine größtmögliche Unabhängigkeit der Datenschutzaufsicht festschreibt.

8. Ist das KDG strenger als die EU-DSGVO (insbesondere bei Einwilligungen)?

Die Behauptung, das KDG sei strenger als die EU-DSGVO, wird häufig insbesondere mit Blick auf die Einwilligung getroffen.

Zutreffend ist, dass das KDG im Gegensatz zur EU-DSGVO in § 8 Abs. 2 ausdrücklich die Schriftform der Einwilligung fordert. Allerdings findet sich ebendort die Einschränkung „soweit nicht wegen besonderer Umstände eine andere Form angemessen ist“. Damit sind durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss. Wichtig ist, dass es sich um eine „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung [handelt], mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ (vgl. Definition der Einwilligung in § 4 Ziffer 13. KDG).

Darüber hinaus schreibt auch die EU-DSGVO in Art. 7 vor, dass der Verantwortliche nachweisen muss, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Wie soll dieser Nachweis erfolgen, wenn die Einwilligung nicht schriftlich erfolgt? Das KDG wollte mit seiner Forderung einer schriftlichen Einwilligung nicht von der EU-DSGVO abweichen und strenger sein als diese, sondern lediglich konkreter und damit anwenderfreundlicher.

Dass das KDG strenger sei als die EU-DSGVO wird häufig auch im Zusammenhang mit der Veröffentlichung von Fotos behauptet. Ob diese Behauptung zutrifft, lässt sich derzeit angesichts der heftigen Debatte um dieses Thema und die dadurch ausgelösten Unsicherheiten auch im weltlichen Bereich nicht abschließend beurteilen (vgl. Frage 15). Jedenfalls sieht § 2 Abs. 2 KDG vor, dass besondere kirchliche oder besondere staatliche Rechtsvorschriften auf personenbezogene Daten einschließlich deren Veröffentlichung angewandt werden können. Dies gilt allerdings nur für den Fall, wenn sie das Datenschutzniveau des KDG nicht unterschreiten.

9. Für die Verarbeitung welcher Daten gilt das KDG?

Das KDG gilt ausschließlich für die Verarbeitung personenbezogener Daten. Dabei handelt es sich um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Einzelangaben über persönliche oder sachliche Verhältnisse sind beispielsweise Name, Alter, Familienstand, Geburtsdatum, Anschrift, Telefonnummer, E-Mail-Adresse, Konto- oder Kreditkartennummer, Kfz-Kennzeichen, Personalausweisnummer, Sozialversicherungsnummer, aber auch Vorstrafen, genetische Daten und Krankendaten sowie Werturteile, zum Beispiel Zeugnisse. Die Angaben müssen sich auf einen lebenden Menschen beziehen.

Um Angaben über eine bestimmte Person handelt es sich, wenn die Daten mit dem Namen der betroffenen Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug zu einer bestimmten Person unmittelbar herstellen lässt.

Bestimmbar ist eine Person dann, wenn ihre Identität unmittelbar oder mittels Zusatzwissen festgestellt werden kann.

Einzelangaben über juristische Personen, z. B. zu Kapitalgesellschaften, Vereinen, Stiftungen, sind keine personenbezogenen Daten und unterfallen daher nicht dem KDG. Dies gilt auch für Bilanzzahlen, Geschäftsgeheimnisse etc.

10. Was sind sensible personenbezogene Daten?

Sensible personenbezogene Daten, auch „besondere Kategorien personenbezogener Daten“ genannt, sind personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Sensible personenbezogene Daten sind in besonderer Weise schützenswert. Ihre Verarbeitung ist grundsätzlich untersagt. Ausnahmen regelt § 11 Abs. 2 KDG.

Abweichend vom weltlichen Recht gehört die Zugehörigkeit zu einer Kirche oder Religionsgemeinschaft nach dem KDG nicht in die „besondere Kategorie personenbezogener Daten“.

11. Was bedeutet „Verarbeitung“?

Der Begriff der „Verarbeitung“ personenbezogener Daten ist sehr umfassend. Er meint jeden denkbaren Umgang mit personenbezogenen Daten, also das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

12. Wann ist die Verarbeitung personenbezogener Daten rechtmäßig?

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten. Sie ist nur dann rechtmäßig, wenn ein Rechtfertigungsgrund vorliegt (sog. Verbot mit Erlaubnisvorbehalt).

Rechtfertigungsgründe, die die Verarbeitung personenbezogener Daten rechtmäßig machen, finden sich in § 6 Abs. 1 KDG. Es sind unter anderem:

  • Ein Gesetz oder eine andere kirchliche oder staatliche Rechtsvorschrift erlaubt die Verarbeitung oder ordnet die Verarbeitung personenbezogener Daten an.
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im kirchlichen Interesse liegt.
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person (…) überwiegen.
  • Die Verarbeitung ist zur Erfüllung eines Vertrages erforderlich.
  • Die betroffene Person hat in die Verarbeitung der sie betreffenden personenbezogenen Daten eingewilligt.
13. Für wen gilt das Medienprivileg des § 55 KDG?

Art. 85 EU-DSGVO enthält keine eigenständige Regelung des Medienprivilegs, sondern lediglich einen Auftrag an die Mitgliedstaaten der Europäischen Union, sofern erforderlich durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang zu bringen. Ein regelmäßiger Vorrang der Presse-, Rundfunk- und Medienfreiheit soll demnach nicht festgeschrieben werden. Stattdessen ist ein angemessener Ausgleich zwischen den o. g. Grundrechten anzustreben, wenn diese in Widerstreit geraten. Dabei ist dem Recht auf freie Meinungsäußerung Rechnung zu tragen; Begriffe wie „Journalismus“, die sich auf diese Freiheit beziehen, sind weit auszulegen: Im Zweifel sind z. B. auch Blogger und andere von diesem journalistischen Privileg geschützt.

Dem Regelungsauftrag des europäischen Rechts ist der kirchliche Gesetzgeber mit § 55 KDG nachgekommen: Diese Norm regelt, dass die Vorschriften des KDG nur eingeschränkt gelten, soweit personenbezogene Daten von kirchlichen Stellen ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken verarbeitet werden. Die gewählte Terminologie entstammt dem früheren Bundesdatenschutzgesetz (vgl. § 41 BDSG a.F.).  Der Bundesgerichtshof (BGH) hat hierzu in seiner sogenannten Spickmich-Entscheidung vom 23. Juni 2009 (VI ZR 196/08) ausgeführt, dass von einer journalistisch-redaktionellen Gestaltung erst ausgegangen werden kann, „wenn die meinungsbildende Wirkung für die Allgemeinheit prägender Bestandteil des Angebots und nicht nur schmückendes Beiwerk ist“.

Vor diesem Hintergrund sind insbesondere Beiträge klassischer kirchlicher Medienunternehmen (z. B. „Domradio“) unter § 55 KDG zu fassen. In der Regel dürften auch die Kerntätigkeiten der kirchlichen Pressestellen unter § 55 KDG fallen.

Ob dies generell auch für kirchliche „Kommunikationsabteilungen“ angenommen werden kann, dürfte im Einzelfall nicht funktions- bzw. stellenbezogen, sondern beitragsbezogen zu beurteilen sein: Letztlich wird es wohl darauf ankommen, ob der einzelne Beitrag als journalistisch-redaktionell im Sinne der vorgenannten BGH-Rechtsprechung zu verstehen und insbesondere für einen unbestimmten öffentlichen Personenkreis bestimmt ist. Vor diesem Hintergrund ist auch nicht ausgeschlossen, dass Pfarrbriefe § 55 KDG unterfallen. Hier dürfte es entscheidend darauf ankommen, ob diese sich im Einzelfall lediglich an die Gemeindemitglieder oder an einen öffentlichen, unbestimmbaren Personenkreis richten.

In Bezug auf die anzusetzenden Maßstäbe wird auf die Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 9. November 2017 hingewiesen, in der der Gesetzgeber zwar aufgefordert wird, über Art. 85 EU-DSGVO Ausnahmen oder Abweichungen von den Regelungen der EU-DSGVO für journalistische Tätigkeiten zu schaffen. Es müsse jedoch sichergestellt werden, dass nicht „die Grundsätze des Datenschutzes im Journalismus in weitem Umfang ausgeschlossen werden“ oder „die Verarbeitung personenbezogener Daten durch Hilfsunternehmen zu undifferenziert vom Geltungsbereich der DSGVO ausgenommen wird, ohne dass diese Aktivitäten unmittelbar der journalistischen Tätigkeit dienen“.

14. Unter welchen Voraussetzungen sind Anfertigung und Verbreitung (Veröffentlichung) von Fotos möglich?

Fotos, auf denen Personen erkennbar sind, enthalten stets personenbezogene Daten. Dies gilt auch dann, wenn das Foto ohne Namen veröffentlicht wird, denn auch in diesem Fall ist die abgebildete Person – zumindest für einzelne Betrachter – identifizierbar.

Erfolgt die Anfertigung und die Verbreitung von Fotos durch eine natürliche Person in Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, ist der Anwendungsbereich des KDG nicht eröffnet. Anderes gilt, wenn das Fotografieren oder die Verbreitung der Fotos im Rahmen der Tätigkeit eines Verantwortlichen oder eines Auftragsverarbeiters erfolgt.

Das KDG enthält – wie die EU-DSGVO – keine ausdrückliche Regelung für den Umgang mit Personenfotos. Beide gehen davon aus, dass die allgemeinen Regelungen zur Verarbeitung personenbezogener Daten ausreichen, um Fragen rund um die Anfertigung und Verbreitung von Fotos zu beantworten.

Im Einzelnen:

  • Anfertigung (Erhebung und Speicherung) von Fotos:
    Das Fotografieren als solches ist gemäß § 6 Abs. 1 KDG nur zulässig, wenn der Abgebildete eingewilligt hat oder einer der anderen Rechtfertigungsgründe des § 6 Abs. 1 KDG dies erlaubt (vgl. Frage 13). Mit Blick auf den organisatorischen Aufwand und die rechtlichen Anforderungen an eine wirksame Einwilligung erscheint es vorzugwürdig, die Verarbeitung (hier die Anfertigung eines Fotos) – wenn möglich – auf die Wahrnehmung einer Aufgabe, die im kirchlichen Interesse liegt (vgl. § 6 Abs. 1 lit. f) KDG) oder auf eine Abwägung der schutzwürdigen Interessen der Beteiligten nach § 6 Abs. 1 lit. g) KDG zu stützen.

    Einwilligungen für Datenverarbeitungsmaßnahmen einzuholen, die bereits aufgrund einer anderen gesetzlichen Erlaubnis möglich sind, ist nicht zu empfehlen.

    Zu den berechtigten Interessen im Sinne des § 6 Abs. 1 lit. g) zählen nicht nur rechtliche, sondern auch tatsächliche, wirtschaftliche oder ideelle Interessen. Gegen das berechtigte Interesse ist das schutzwürdige Interesse der betroffenen Person im konkreten Einzelfall abzuwägen. Dabei gilt: Je intensiver der Eingriff in die Interessen oder Grundrechte der betroffenen Person ist, desto stärker sind die Rechte und Interessen der betroffenen Person zu berücksichtigen.
  • Verbreitung/Übermittlung (Veröffentlichung) von Fotos:
    Mit Blick auf die Verbreitung von Fotos durch Verbreitung/Übermittlung z. B. durch Veröffentlichung auf einer Webseite oder in Informationsbroschüren, besteht vielfach die Sorge, dass Fotos zukünftig nur noch mit Einwilligung aller abgebildeten Personen verbreitet werden dürfen. Dies ist in dieser Allgemeinheit nicht zutreffend.

    Vor Geltung der EU-DSGVO und des KDG wurde die Frage der Verbreitung von Fotos speziell durch §§ 22 und 23 Kunst- und Urhebergesetz (KUG) geregelt. Ob das KUG neben EU-DSGVO und KDG anwendbar bleibt, ist eine aktuell heftig diskutierte Rechtsfrage. Während das Bundesinnenministerium die Auffassung vertritt, für die Veröffentlichung von Fotografien bleibe das KUG auch unter der ab dem 25. Mai 2018 anwendbaren Datenschutz-Grundverordnung erhalten, haben sich die unabhängigen Datenschutzbehörden des Bundes und der Länder noch nicht abschließend positioniert. Das OLG Köln hat in einer aktuellen Entscheidung (Beschluss vom 18. Juni 2018, AZ 15 W 27/18) den Standpunkt vertreten, dass Art. 85 EU-DSGVO zugunsten der Verarbeitung für journalistische Zwecke von der EU-DSGVO abweichende nationale Gesetze erlaubt; das KUG gelte damit weiter. Offen bleibt allerdings, was für die Verbreitung von Bildnissen im nicht-journalistischen Bereich gelten soll.

    Nach § 22 KUG ist für die Verbreitung von Fotos eine Einwilligung der abgebildeten Person erforderlich. Einwilligung bedeutet, dass die Zustimmung der abgebildeten Person vor Veröffentlichung eingeholt werden muss. Sollte die rechtzeitige Einholung der Einwilligung versäumt worden sein, liegt zwar ein Rechtsverstoß vor, nichtsdestotrotz kann die betroffene Person auch nachträglich noch um Zustimmung gebeten werden und kann diese Zustimmung auch nachträglich noch erfolgen.

    Von der Grundregel des § 22 KUG enthält § 23 KUG diverse Ausnahmen: Bildnisse aus dem Bereich der Zeitgeschichte, Bilder, auf denen die Person nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen, Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben, und Bildnisse, die nicht auf Bestellung angefertigt sind, sondern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient, dürfen ohne Einwilligung verbreitet werden.

    Wer diese Maßstäbe beachtet, darf grundsätzlich davon ausgehen, dass er damit auch die Vorgaben des KDG erfüllt. Zwar enthält § 2 Abs. 2 KDG den Hinweis, dass die Vorschriften des KDG besonderen kirchlichen oder staatlichen Rechtsvorschriften dann vorgehen, wenn diese das Datenschutzniveau des KDG unterschreiten. Ob dies – wie teilweise vertreten wird – im Verhältnis zum KUG der Fall ist, weil z. B. die Einwilligung nach dem KDG schriftlich zu erfolgen hat, die Einwilligung nach dem KUG nicht notwendigerweise Schriftform verlangt, sei dahingestellt: Denn auch nach dem KDG kann wegen besonderer Umstände eine andere Form der Einwilligung angemessen sein. Von jeder Person eine schriftliche Einwilligungserklärung zu verlangen, nur um fotografieren und das Foto veröffentlichen zu dürfen, dürfte schon praktisch eine erhebliche Schwierigkeit darstellen bzw. organisatorisch in vielen Fällen unmöglich sein. Eine andere Form der Einwilligung aufgrund besonderer Umstände liegt insofern nahe. 

    Auch im Zusammenhang mit der Veröffentlichung von Fotos stellen sich die formalen Fragen zur Einwilligung nur dann, wenn nicht einer der weiteren Rechtfertigungsgründe für die rechtmäßige Verarbeitung personenbezogener Daten greift, die § 6 Abs. 1 KDG bereithält und die z.B. im Zusammenhang mit der Wahrnehmung einer Aufgabe, die im kirchlichen Interesse liegt, oder im Rahmen einer Interessenabwägung, bei der die Form der Veröffentlichung eine besondere Rolle spielt, die Verbreitung von Fotos zulässt. Selbst wenn die Ausnahmen vom Einwilligungserfordernis, die bisher in § 23 KUG geregelt waren, sowie die damit einhergehende ergangene Rechtsprechung keine unmittelbare Anwendung mehr fänden, dürften diese im Rahmen einer Interessenabwägung weiterhin berücksichtigt werden, solange keine klare anderslautende gesetzliche Regelung getroffen wird.
  • Minderjährigenschutz:
    In § 6 Abs. 1 lit. g) KDG ist parallel zur EU-DSGVO geregelt, dass im Rahmen der erforderlichen Abwägung von einer überwiegenden Schutzbedürftigkeit der Betroffeneninteressen insbesondere dann auszugehen ist, wenn es sich bei der betroffenen Person um einen Minderjährigen handelt. Bei Minderjährigen unter 16 Jahren gehen EU-DSGVO und KDG von einer besonderen Schutzbedürftigkeit aus.
    Gleichwohl hat die Konferenz der Diözesandatenschutzbeauftragten ihren Beschluss vom 18. April 2018, wonach zumindest für die Veröffentlichung von Bildern von Kindern bis zur Vollendung des 16. Lebensjahres die vorherige Einwilligung der Sorgeberechtigten unter Vorlage der jeweils zur Veröffentlichung vorgesehenen Bilder einzuholen ist, aufgehoben und durch einen neuen Beschluss ersetzt: Gemäß Beschluss der Konferenz vom 4. April 2019 ist es für die Rechtmäßigkeit der Erhebung und Speicherung von Bildern von Kindern und Jugendlichen nicht mehr zwingend erforderlich, dass eine Einwilligung der Sorgeberechtigten vorliegen muss. Rechtsgrundlage für die Erhebung und Speicherung von Bildern kann auch – nach erfolgter Abwägung – das berechtigte Interesse nach § 6 Abs. 1 lit. g) KDG sein. Die Interessenabwägung ist vor der Erhebung und Speicherung von Bildern durchzuführen. Relevant sein können u.a. das Alter des Kindes, der Zweck der Verarbeitung, die Gruppengröße, die Eingriffsintensität sowie die Wahrscheinlichkeit des Eintritts eines Schadens.

    Für den Fall, dass die Bilder durch Übermittlung/Verbreitung verarbeitet werden sollen, ist es o.g. Beschluss zufolge in der Regel erforderlich, dass die Sorgeberechtigten einwilligen. Ausnahmen können sich ergeben, wenn ein berechtigtes Interesse im Sinne des § 6 Abs. 1 lit. g) KDG vorliegt. Im Rahmen der durchzuführenden Interessenabwägung können die Grundsätze des § 23 KUG herangezogen werden; die Interessen der Kinder und Jugendlichen haben besondere Berücksichtigung zu finden.
    Im Zusammenhang mit den Modalitäten der Einwilligung sieht die Konferenz es als ausreichend an, wenn die Einwilligung für konkret benannte Veranstaltungen vor bzw. bei Beginn des Schul- oder Kitajahres für das jeweilige Jahr eingeholt wird; sie kann unmittelbar im Anmeldeprozess oder am ersten Schul- oder Kitatag eingeholt werden. Entsprechendes lässt sich auf andere Veranstaltungen wie Jugendfreizeiten, Kommunion- oder Firmvorbereitung etc. übertragen. Das Erfordernis, dass zum Zeitpunkt der Einwilligung das konkrete Bild vorgelegt werden muss, entfällt.

    Zu berücksichtigen ist, dass ein Rückgriff auf das berechtigte Interesse oder eine andere Rechtsgrundlage dann ausgeschlossen ist, wenn die Bilder aufgrund einer Einwilligung verarbeitet werden sollen und die betroffene Person bzw. der Sorgeberechtigte die Einwilligung nicht erklärt hat, nicht wirksam erklärt hat oder ein Widerruf der Einwilligung erfolgt ist.
  • Information der betroffenen Personen:
    Sowohl bei der Anfertigung als auch bei der Veröffentlichung von Fotos sind die Informationspflichten nach den §§ 14 ff. KDG zu erfüllen.

    Sofern mit einer Einwilligung in die Anfertigung bzw. die Veröffentlichung gearbeitet wird, sind die betroffenen Personen im Vorfeld der Einwilligung unter anderem darüber zu informieren, für welchen Zweck die Fotos angefertigt werden, ob und wenn ja, wo eine Veröffentlichung geplant ist und an wen sich die Betroffenen bei Datenschutzfragen (z. B. Löschung) wenden können.

    Bei Anfertigung bzw. Veröffentlichung von Fotos aufgrund eines berechtigten Interesses sind folgende Punkte zu beachten:
    Wenn bei bestimmten Veranstaltungen eine unüberschaubar große Menge von Menschen fotografiert wird, erfolgt dies in der Regel nicht mit Kenntnis derer, die fotografiert werden. Die nach § 15 Abs. 1 bis 3 KDG bestehende Informationspflicht kann nach § 15 Abs. 4 KDG ausnahmsweise zurücktreten, wenn die Informationserteilung einen unverhältnismäßigen Aufwand erfordern würde. Bei der Beurteilung sind die Umstände des Einzelfalls maßgeblich. Die Informationspflicht kann auch zurücktreten, wenn das Interesse der betroffenen Person an der Informationserteilung nach den Umständen des Einzelfalls als gering einzustufen ist.

    Grundsätzlich sollte sichergestellt werden, dass z. B. im Rahmen von Einladungen oder durch Hinweisschilder bei einer Veranstaltung alle notwendigen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form mitgeteilt werden. Dies kann sowohl durch den Fotografen als auch durch den Verantwortlichen erfolgen. Ist eine solche Information aufgrund der Struktur der Veranstaltung nicht möglich, kann von dem Vorliegen des Ausnahmetatbestands „unverhältnismäßiger Aufwand“ gemäß § 15 Abs. 4 KDG ausgegangen werden.  

    Wird demgegenüber eine überschaubare Menge von Personen fotografiert, hat der Verantwortliche den Informationspflichten nach den §§ 14 bis 16 KDG nachzukommen.
15. Ist Live-Streaming zulässig?

Im Zusammenhang mit Live-Streaming dürften vergleichbare Erwägungen wie bei der Fertigung und der Verbreitung von Fotos gelten. Live-Streaming-Beiträge, die durch klassische kirchliche Medienunternehmen erfolgen, dürften vom Presseprivileg des § 55 KDG gedeckt sein.

Ist die Anwendung von § 55 KDG zu verneinen, kann mit dem Instrument der Einwilligung gearbeitet werden. Dabei erscheint es vertretbar, über die Anwendung des § 8 Abs. 2 KDG zu einem Verzicht auf das Schriftlichkeitserfordernis zu gelangen. Das setzt aber voraus, dass auf den Umstand der Übertragung an allen Eingängen zu der Veranstaltung gut sichtbar schriftlich hingewiesen wird und für Personen, die nicht abgebildet werden möchten, übertragungsfreie Bereiche eingerichtet werden. Hinsichtlich etwaiger im Altarraum eingesetzter Minderjähriger (z. B. Messdiener) dürfte, sofern diese das 16. Lebensjahr noch nicht vollendet haben, die Einholung einer schriftlichen Einwilligung der Sorgeberechtigten aus Gründen des Minderjährigenschutzes geboten sein. Bei der Kameraführung sollte darauf geachtet werden, dass nicht einzelne Besucher des Gottesdienstes im Fokus stehen. Dies gilt insbesondere für bestimmte höchstpersönliche Situationen (Kommunionempfang, inniges Gebet, sichtbare emotionale Reaktionen, etc.).

Als möglicherweise geeignetere Alternative zur Einwilligung bieten sich weitere Grundlagen einer rechtmäßigen Datenverarbeitung:

In Betracht kommt möglicherweise der Rechtfertigungsgrund des § 6 Abs. 1 lit. f) KDG: Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im kirchlichen Interesse liegt. Angeführt werden können an dieser Stelle beispielsweise pastorale und seelsorgerliche Aufgaben. 

Zulässig sein könnte das Live-Streaming auch aufgrund „berechtigter Interessen des Verantwortlichen oder eines Dritten“ (§ 6 Abs. 1 lit. g) KDG). Das legitime Interesse eines kirchlichen Verantwortlichen an einem Live-Streaming wird man möglicherweise bejahen können. Ob die erforderliche Interessenabwägung zugunsten des Verantwortlichen ausfällt, hängt sicherlich nicht zuletzt von der ausreichenden Information der Gottesdienstbesucher bzw. der Veranstaltungsbesucher, der Kameraführung, der Zurverfügungstellung übertragungsfreier Bereiche etc. ab.

16. Ist WhatsApp zulässig?

Der Messengerdienst WhatsApp ist aus verschiedenen Gründen nicht datenschutzkonform:

Zum einen erfolgt bei WhatsApp eine Datenspeicherung in den USA und damit außerhalb der Europäischen Union und des europäischen Wirtschaftsraums, was nach dem KDG nur unter bestimmten engen Voraussetzungen zulässig ist.

Zum anderen greift WhatsApp auf sämtliche Adressdaten zu, die der Nutzer von WhatsApp gespeichert hat, ohne dass entsprechende Einwilligungen dieser dritten Personen vorliegen.

Schließlich verlangt WhatsApp selbst, dass bei unter 16-Jährigen die Erziehungsberechtigten der Nutzung von WhatsApp zustimmen. Wörtlich heißt es in den Nutzungsbedingungen von WhatsApp: „Wenn du in einem Land in der Europäischen Region lebst, musst du mindestens 16 Jahre alt sein, um unsere Dienste zu nutzen … Wenn du nicht alt genug bist, um in deinem Land berechtigt zu sein, unseren Bedingungen zuzustimmen, muss dein Erziehungsberechtigter in deinem Namen unseren Bedingungen zustimmen. …“ Erfahrungsgemäß nutzen viele Jugendliche, die noch nicht 16 Jahre alt sind, WhatsApp. Dass ein Erziehungsberechtigter den Bedingungen von WhatsApp zugestimmt hat, wird häufig nicht der Fall bzw. kaum nachprüfbar sein, was die Kommunikation mit Minderjährigen unter 16 Jahren über WhatsApp auch aus diesem Grund rechtlich unzulässig machen dürfte.

Es gibt jedoch mehrere Alternativen zu WhatsApp, die datenschutzkonform sind und für eine Kommunikation zur Verfügung stehen.

17. Ist für die Übersendung eines Newsletters von allen Abonnenten eine neue Einwilligung einzuholen?

Das kommt auf die Umstände an. Wurde der Newsletter aktiv abonniert oder ist bereits eine Einwilligung in den Versand erfolgt, ist eine erneute Einwilligung nicht erforderlich. Möglicherweise kann ein Newsletterversand auch mit „berechtigtem Interesse“ begründet werden. Bei Vereinen ist der Newsletter in der Regel Teil der Mitgliedschafts-Dienstleistungen und damit zur Erfüllung eines Vertrages erforderlich und erlaubt.

Wurde der Newsletter nicht aktiv abonniert, sollte, wenn kein anderer Rechtfertigungsgrund des § 6 KDG greift, eine Einwilligung eingeholt werden.

Empfehlenswert ist es, im Newsletter auf eine einfache Möglichkeit der Abbestellung hinzuweisen. In den Fällen, in denen eine Abbestellung erfolgt, sollten die Daten dann auch wirklich gelöscht werden, sofern sie nicht noch für andere Zwecke (etwa Mitgliederverwaltung) benötigt werden.

18. Wie kann man sich wehren, wenn man der Ansicht ist, dass die Verarbeitung der personenbezogenen Daten nicht rechtmäßig erfolgt?

Zunächst sollte versucht werden, eine Klärung mit der die Daten verarbeitenden Stelle herbeizuführen. Zu diesem Zweck kann man sich an den Betrieblichen Datenschutzbeauftragten wenden, sofern ein solcher benannt ist, ansonsten an den Verantwortlichen.

Im Übrigen hat jede betroffene Person das Recht auf Beschwerde bei der Datenschutzaufsicht. Darüber hinaus besteht das Recht auf einen gerichtlichen Rechtsbehelf.

Auch gegen einen sie betreffenden Bescheid der Datenschutzaufsicht hat die betroffene Person das Recht auf einen gerichtlichen Rechtsbehelf.

19. Welches Gericht ist zuständig?

Zuständig sind die kirchlichen Gerichte in Datenschutzangelegenheiten: Erste Instanz ist das Interdiözesane Datenschutzgericht, zweite Instanz ist das Datenschutzgericht der Deutschen Bischofskonferenz.

Nähere Informationen finden sich unter „Kirchliche Gerichte in Datenschutzangelegenheiten“.