Ab dem 1. Mai 2025 tritt eine überarbeitete Fassung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) in Kraft. Diese Reform bringt wesentliche Anpassungen, um das kirchliche Datenschutzrecht stärker an die Datenschutz-Grundverordnung (DSGVO) anzugleichen. Betroffen sind insbesondere kirchliche Institutionen sowie Unternehmen und Dienstleister, die mit diesen Einrichtungen zusammenarbeiten. Was genau hinter den Änderungen des DSG-EKD steckt, welche Akteure betroffen sind und welche konkreten Schritte nun erforderlich sind, wird im Folgenden erläutert.
Was ist das DSG-EKD?
Das Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD) regelt die Verarbeitung personenbezogener Daten innerhalb der evangelischen Kirche und ihrer angeschlossenen Organisationen. Da kirchliche Einrichtungen in Deutschland von der allgemeinen DSGVO abweichen können, unterliegt die Verarbeitung personenbezogener Daten innerhalb der Kirche speziellen, auf diese Praxis zugeschnittenen Regelungen. Das DSG-EKD orientiert sich dabei grundsätzlich an den Vorgaben der DSGVO, beinhaltet jedoch spezifische Anpassungen für den kirchlichen Kontext.
Wer ist betroffen?
Das DSG-EKD gilt für alle kirchlichen Stellen, einschließlich Landeskirchen, Kirchengemeinden, diakonischen Einrichtungen, kirchlichen Stiftungen sowie weiteren evangelischen Organisationen. Auch Unternehmen und Dienstleister, die personenbezogene Daten im Auftrag kirchlicher Stellen verarbeiten, sind betroffen. Hierzu zählen unter anderem IT-Dienstleister, Berater oder Anbieter von Cloud-Lösungen.
Welche wesentlichen Änderungen bringt das DSG-EKD mit sich?
- Anpassung der Rechtsgrundlagen:
Die Struktur und Terminologie des DSG-EKD wird stärker an die DSGVO angelehnt. Ein zentraler Punkt ist die Abschaffung der bisherigen Rechtsgrundlage des „kirchlichen Interesses“. Stattdessen orientieren sich die Erlaubnistatbestände nun an den Vorgaben der DSGVO, insbesondere an den berechtigten Interessen. - Stärkung der Betroffenenrechte:
Die Rechte der betroffenen Personen werden weiter gestärkt. Besonders hervorzuheben ist die Erweiterung der Informationspflichten und Auskunftsrechte: Künftig müssen Betroffene bereits bei der Datenerhebung umfassend informiert werden, ohne dass sie dies explizit anfordern müssen. Darüber hinaus erhalten die Betroffenen ein stärkeres Auskunftsrecht. Besonders relevant ist die Einführung eines klaren Rechts auf Kopie der gespeicherten personenbezogenen Daten gemäß Art. 15 DSGVO. Die Informationspflichten werden ebenfalls ausgeweitet, sodass kirchliche Stellen nun umfassender über die Verarbeitung personenbezogener Daten informieren müssen. - Erhöhung der Bußgelder:
Bisher waren die Bußgelder im kirchlichen Datenschutzrecht vergleichsweise niedrig. Mit der Reform wird die maximale Bußgeldhöhe auf bis zu sechs Millionen Euro angehoben, um die Sanktionen an das Niveau der DSGVO anzupassen und die Durchsetzung der Datenschutzvorgaben zu stärken. - Einführung zentraler IT-Verfahren:
Mit § 30a DSG-EKD wird es nun möglich, innerhalb einer Gliedkirche zentrale IT-Systeme zu nutzen, ohne dass jede einzelne kirchliche Stelle separate Auftragsverarbeitungsverträge abschließen muss. Dies reduziert den bürokratischen Aufwand und vereinfacht die Administration. - Streichung der „Unterwerfungsklausel“:
Die bisherige Verpflichtung für nicht-kirchliche Auftragsverarbeiter, sich der kirchlichen Datenschutzaufsicht zu unterwerfen, entfällt. Dies erleichtert die Zusammenarbeit mit externen Dienstleistern, da diese nicht mehr der kirchlichen Aufsicht unterstehen müssen. - Regelungen zur Mitgliederkommunikation:
Ein neu eingeführter Paragraph definiert klare Vorgaben zur Kommunikation zwischen kirchlichen Stellen und ihren Mitgliedern, um den Datenschutz zu gewährleisten und gleichzeitig eine effiziente Informationsübermittlung zu ermöglichen.
Welche Konsequenzen ergeben sich für Unternehmen und kirchliche Einrichtungen?
Kirchliche Stellen und ihre Dienstleister sollten ihre Datenschutzprozesse überprüfen und gegebenenfalls an die neuen Regelungen anpassen. Insbesondere Unternehmen, die IT-Dienstleistungen erbringen oder personenbezogene Daten für kirchliche Einrichtungen verarbeiten, sollten ihre Verträge sowie internen Abläufe hinsichtlich der neuen Vorgaben prüfen. Die strengeren Bußgeldregelungen machen eine rechtzeitige und präzise Umsetzung der Datenschutzanforderungen noch wichtiger.
Fazit
Das neue Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD), das ab dem 1. Mai 2025 in Kraft tritt, bringt wesentliche Änderungen im kirchlichen Datenschutzrecht mit sich. Die Anpassungen dienen vor allem dazu, das Gesetz stärker an die Datenschutz-Grundverordnung (DSGVO) anzupassen und die Durchsetzung der Datenschutzanforderungen zu verbessern. Besonders betroffen sind kirchliche Einrichtungen und deren Dienstleister, die nun ihre Datenschutzprozesse überprüfen und gegebenenfalls anpassen müssen. Unternehmen, die mit kirchlichen Stellen zusammenarbeiten, sollten ihre Verträge und internen Abläufe auf die neuen Regelungen hin überprüfen, um Bußgelder zu vermeiden und die Anforderungen effizient umzusetzen. Eine frühzeitige Vorbereitung auf die Änderungen ist entscheidend, um den administrativen Aufwand zu reduzieren und gleichzeitig den Datenschutz zu gewährleisten.
Kommen Sie bei Fragen dazu gerne auf uns zu – wir stehen Ihnen für weitergehende Informationen und Unterstützung zur Verfügung.
Folgende Beiträge könnten Sie auch interessieren: