Nachfolgend finden Sie eine Auswahl der häufigsten Fragen zum kirchlichen Datenschutz.

Für die deutschen Bistümer der Katholischen Kirche gilt das „Gesetz über den kirchlichen Datenschutz (KDG)“, das am 24. Mai 2018 erstmals in Kraft getreten ist und zum 1. März 2026 novelliert wurde. Darüber hinaus gilt die Durchführungsverordnung zum KDG (KDG-DVO) vom 19. November 2018, die ebenfalls mit Wirkung zum 1. März 2026 neu gefasst wurde.

Gilt die Europäische Datenschutzgrundverordnung auch für kirchliche Einrichtungen?
Nein. Die DSGVO hat in Art. 91 festgelegt, dass religiöse Vereinigungen oder Gemeinschaften, die schon bisher nach nationalem Recht eigene Datenschutzregeln hatten, diese auch weiter anwenden können, wenn sie mit der DSGVO in Einklang gebracht werden. Auf die Katholische Kirche trifft diese Voraussetzung zu.

Was hat die Europäische Union veranlasst, hier einen Sonderweg zu ermöglichen?
Die Katholische Kirche gehört in Deutschland zu den staatlich anerkannten Religionsgesellschaften. Ihr steht daher nach Art. 137 Abs. 3 der Weimarer Reichsverfassung (WRV) in Verbindung mit Art. 140 des Grundgesetzes (GG) ein verfassungsmäßig garantiertes Selbstverwaltungsrecht zu. In Art. 137 III WRV heißt es:

Jede Religionsgesellschaft ordnet und verwaltet ihre Angelegenheiten selbständig innerhalb der Schranken des für alle geltenden Gesetzes. Sie verleiht ihre Ämter ohne Mitwirkung des Staates oder der bürgerlichen Gemeinde.

Die von der Verfassung gewollte Trennung von Kirche und Staat beinhaltet eben auch, dass die Kirche von Staatsaufsicht frei zu bleiben hat. Eine Kontrolle kirchlicher Datenverarbeitung durch staatliche Aufsichtsinstanzen wäre hiermit nicht vereinbar. Noch wichtiger als diese Überlegung ist aber, dass das Verhältnis der Kirche zu ihren Mitgliedern auf Gemeinschaft (Communio) und Geschwisterlichkeit beruht und nicht wie im Bereich staatlichen Verwaltungsrechts auf dem Verhältnis der Über- und Unterordnung. Daher hat die Kirche im Datenschutz – wie auch im Arbeitsrecht – das Recht auf einen eigenständigen „Dritten Weg“.

Der deutsche Gesetzgeber hat dem bisher Rechnung getragen. Das abgelöste Bundesdatenschutzgesetz war nach der Regelung in § 1 Abs. 2 BDSG nur auf öffentliche Stellen des Bundes und der Länder (soweit sie Bundesrecht ausführen), auf Organe der Rechtspflege und Private anwendbar. Die Kirchen, die von Art. 137 Abs. 5 WRV als öffentlich-rechtliche Religionsgesellschaften anerkannt sind – hierzu gehören auch die Bistümer der Katholischen Kirche – fallen also nicht hierunter.

Die teilweise geäußerte Meinung, privatrechtlich organisierte Einrichtungen der Kirche, also eingetragene Vereine, zivilrechtliche Stiftungen, etc. müssten jedoch das BDSG anwenden, stand im Widerspruch zur Rechtsprechung des Bundesverfassungsgerichts. Danach nehmen auch zivilrechtlich organisierte Einrichtungen am Selbstverwaltungsrecht der Kirche teil. Es kommt nur darauf an, dass diese nach ihrem eigenen Selbstverständnis zur Kirche gehören und ein Stück des kirchlichen Auftrags mit verwirklichen.
vgl. BVerfG, Beschluss der 1. Kammer des Zweiten Senats vom 18. September 1998 – 2 BvR 1476/94 (Goch-Beschluss)

Die Europäische Union hat sich dieser Auffassung angeschlossen. In Art. 17 Absatz 1 des Vertrages über die Arbeitsweise der Europäischen Union hat sie ihr Verhältnis zu den Religionsgesellschaften wie folgt formuliert:

Die Union achtet den Status, den Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren Rechtsvorschriften genießen, und beeinträchtigt ihn nicht.

Die verfassungsrechtliche Stellung der Kirchen in Deutschland als öffentlich-rechtliche und vom Staat unabhängige Religionsgesellschaften wird daher auch auf europäischer Ebene geachtet. Unter der Rücksichtnahme auf dieses Verständnis ist dann auch in Art. 91 DSGVO ein Sonderweg für die Kirchen ermöglicht worden.

Die Katholische Kirche hat ihr bis Mai 2018 bestehendes Recht im Sinne der Datenschutzgrundverordnung geändert und insoweit mit ihr in Einklang gebracht. Für den Datenschutz in katholisch kirchlichen Einrichtungen gilt daher allein das durch die Bistümer verkündete „Gesetz über den kirchlichen Datenschutz (KDG)“.

Die Regelung des Beichtgeheimnisses
Alles, was der Büßer in der sakramentalen Beichte dem Priester offenbart, gilt als nur Gott gegenüber gesagt. Der Priester hat insoweit nur Stellvertreterfunktion. Das Bußsakrament macht daher nur Sinn, wenn das Gesagte auch zwischen Gott und dem Menschen vertraulich bleibt.

Das Beichtgeheimnis ist kirchenrechtlich in canon 983, 984 Codex Iuris Canonici (CIC) geregelt. Danach ist es dem Beichtvater (Priester) streng verboten, über die Sünden des Büßers in irgendeiner Form zu sprechen, ihn in sonst einer Form zu verraten oder die Kenntnis seiner Sünden bei der Leitung einer Gemeinde oder einer anderen kirchlichen Einrichtung zu verwenden. Der Bruch des Beichtgeheimnisses führt nach can. 1388 § 1 CIC zur Exkommunikation.
Die Verpflichtung zur Wahrung des Beichtgeheimnisses trifft aber nicht nur den Beichtvater, sondern auch einen Dolmetscher, falls ein solcher zugezogen wurde und jede andere Person, die zufällig oder willentlich vom Inhalt der Beichte erfahren hat. Eine Verletzung dieser Pflicht hat auch für diesen Personenkreis gravierende Folgen: nach can. 1388 § 2 CIC sind sie „mit einer gerechten Strafe zu bestrafen, nicht ausgeschlossen die Exkommunikation“.

Die Regelung des Datengeheimnisses
Natürlich kommen im fachlichen Bereich tätige Mitarbeiter immer wieder mit personenbezogenen Daten in Berührung, soweit diese zur Erfüllung ihrer dienstlichen Aufgaben notwendig sind. Sie gehören zum Kreis der Verantwortlichen im Sinne von § 4 Nr. 9 KDG. Der Schutz der Intimsphäre der betroffenen Personen kann in diesen Fällen nur dann gewährleistet werden, wenn mit ihnen vertraulich umgegangen wird. § 5 KDG untersagt daher, diese Daten in unbefugter Weise zu verarbeiten. Eine förmliche Verpflichtung auf die Einhaltung der Datenschutzvorschriften und besonders die Verpflichtung zur Wahrung des Datengeheimnisses soll dies sicherstellen. Hierdurch werden die Mitarbeiter zugleich auf die besondere Bedeutung dieser Verpflichtung und die Folgen ihrer Verletzung hingewiesen. Darüber hinaus schafft sie die Gelegenheit, die betroffenen Personen mit den bestehenden Datenschutzregeln vertraut zu machen.

Die Verpflichtungserklärung ist von allen bei der Datenverarbeitung tätigen Personen abzugeben. Dabei kommt es nicht darauf an, ob diese haupt-, neben- oder ehrenamtlich tätig sind. Entscheidend ist allein, dass sie mit personenbezogenen Daten in Berührung kommen.

Der Unterschied zwischen beiden Regelungen
5 KDG verlangt nicht nur, dass mit den Daten vertraulich umgegangen wird, sondern untersagt auch die unbefugte Verarbeitung der Informationen, einschließlich ihrer Erhebung, Erfassung, der Organisation, dem Ordnen, sowie ihrer Speicherung, Anpassung, Veränderung, dem Auslesen, Abfragen und der Offenlegung durch Übermittlung oder Verbreitung.

Das Datengeheimnis hat daher einen sehr viel breiteren Anwendungsbereich als das Beichtgeheimnis.

Gewährleistung des Datenschutzes auf doppelter Ebene
Die betrieblichen Datenschutzbeauftragten haben einen bedeutenden Anteil an der doppelten Absicherung der Rechte der betroffenen Personen. Auf der einen Seite soll durch die Schaffung von Aufsichtsbehörden (Diözesandatenschutzbeauftragte) die Einhaltung der Vorschriften durch die Verantwortlichen gewährleistet werden. Anderseits steht natürlich fest, dass dies bei der Vielzahl der zu überwachenden Stellen nicht in einem vollständigen Umfange möglich sein wird. Aus diesem Grund ist zu gewährleisten, dass die Verantwortlichen von Anfang an datenschutzrechtliche Vorschriften sowohl bei der Organisation ihrer Einrichtung, wie auch bei der Schaffung eigener Angebote und der Erstellung von Produkten beachten.

Wer muss einen betrieblichen Datenschutzbeauftragten bestellen?
Die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten ist in § 36 Absatz 1 und 2 KDG geregelt. Es wird dabei unterschieden zwischen kirchlichen Stellen nach § 3 Absatz 1 lit. a) KDG, das sind die Diözesen, Kirchengemeinden, Kirchenstiftungen und Kirchengemeindeverbände und den sonstigen kirchlichen Rechtsträgern, die unter § 3 Absatz 1 lit. b) und c) KDG aufgeführt sind. Hierunter fallen beispielsweise alle Einrichtungen der Caritas.

Im zuerst genannten Fall ist die Bestellung eines betrieblichen Datenschutzbeauftragten vorzunehmen, ohne dass es hierfür auf die Zahl der in der Datenverarbeitung tätigen Personen ankommt.

Aber auch kirchliche Einrichtungen, die nicht hierunter fallen, haben einen Datenschutzbeauftragten zu bestellen, wenn eine der nachfolgenden drei Voraussetzungen gegeben ist:

  • Bei ihnen sind mindestens zwanzig Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt. Hierbei sind auch Ehrenamtliche mitzuzählen.
  • Die Kerntätigkeit ihrer Arbeit besteht in der Durchführung von Verarbeitungsvorgängen, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht.
  • Die Kerntätigkeit ihrer Arbeit besteht in der Verarbeitung besonderer Kategorien personenbezogener Daten, zu denen beispielsweise Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung, weltanschauliche Überzeugungen, politische Meinungen und anderes gehören. vgl. § 4 Nr. 2 KDG, § 11 KDG

Im Ergebnis haben schon mittelgroße Einrichtungen, die mehr als 20 Personen in der Datenverarbeitung beschäftigen und ebenfalls Einrichtungen, die Menschen unter der Verwendung besonderer Kategorien von Daten betreuen, einen betrieblichen Datenschutzbeauftragten zu bestellen. Diese Verpflichtung gilt daher insbesondere für Dienststellen der Ehe-, Familien- und Lebensberatung sowie Pflegeeinrichtungen, Krankentransportdienste, Behindertenheime, psychiatrische Hilfsdienste, betreutes Wohnen und viele andere, wobei die Zahl derjenigen, die regelmäßig personenbezogen Daten verarbeiten, in diesem Fall keine Rolle spielt.

In solchen Fällen ist aus Sicht des Gesetzgebers unabhängig von der Mitarbeiterzahl die Beschäftigung einer speziellen Person, die über Fachwissen im Datenschutzrecht und der Datenschutzverfahren verfügt, erforderlich.

Aufgaben des betrieblichen Datenschutzbeauftragten
Die Aufgaben des betrieblichen Datenschutzbeauftragten sind in § 38 KDG benannt. Besonders wichtig ist dabei, dass er durch sein Fachwissen und seine Kompetenz auf die Einhaltung der gesetzlichen Vorschriften innerhalb des Betriebes hinwirkt. Hierzu stehen ihm als Möglichkeiten zur Verfügung

  • den Verantwortlichen zu unterrichten und zu beraten,
  • sich in Zweifelsfällen an die Datenschutzaufsicht zu wenden,
  • den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung auf Anfrage zu unterstützen und zu beraten,
  • die bei der Datenverarbeitung tätigen Personen mit den bestehenden Vorschriften vertraut zu machen,
  • als Ansprechpartner für betroffene Personen zur Verfügung zu stehen (§ 37 Abs. 3 KDG).

Damit er dieses leisten kann, hat ihn der Verantwortliche frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden und ihn bei der Erfüllung seiner Aufgaben zu unterstützen. Er ist in diesem Verantwortungsbereich nicht an Weisungen gebunden und genießt Kündigungsschutz für die Dauer seiner Beauftragung und im Anschluss hieran noch für ein weiteres Jahr.

Nach § 42 Abs. 2 des Gesetzes über den kirchlichen Datenschutz (KDG) bestellt jeder Bischof für den Bereich seines Bistums einen Diözesandatenschutzbeauftragten. Er soll zuverlässig und sachkundig sein, die Befähigung zum Richteramt haben und der Katholischen Kirche angehören. Er ist auf die gewissenhafte Erfüllung seiner Pflichten und auf die Einhaltung kirchlichen Rechts sowie das für die Kirche geltende staatliche Recht zu verpflichten. Seine Bestellung kann nur bei Vorliegen schwerwiegender Gründe widerrufen werden.

Aufgaben und Unabhängigkeit
Seine grundlegende Aufgabe besteht nach § 44 Abs. 1 KDG darin, über die Einhaltung der Vorschriften dieses Gesetzes zu wachen. Er ist also für den kirchlichen Bereich die zuständige Aufsichtsbehörde. Er kann alle Maßnahmen nach § 47 ff. KDG bis hin zur Festsetzung von Geldbußen nach § 51 KDG ergreifen, um das Recht auf informationelle Selbstbestimmung betroffener Menschen zu schützen. Er ist von den kontrollierten Einrichtungen zu unterstützen. Seinen Anweisungen ist Folge zu leisten (§ 46 lit. a) KDG).

Damit er dieser Aufgabe gerecht werden kann, gewährt ihm das Gesetz vollständige Unabhängigkeit. Er kann nicht aus seinem Amt entlassen werden, ist an Weisungen nicht gebunden und übt seine Tätigkeit in sachlicher und organisatorischer Unabhängigkeit aus. Natürlich ist er hauptamtlich tätig und darf andere Tätigkeiten nur ausüben, wenn sie seine Unabhängigkeit und Überparteilichkeit nicht gefährden. Auch bei der Auswahl seiner Mitarbeiter sind ihm nach § 42 Abs. 5, 6 KDG eigenständige Entscheidungen möglich. Hierdurch wird gewährleistet, dass seine Aufgabenerfüllung nicht durch behindernde Personalentscheidungen beeinträchtigt werden können.

Insbesondere sind die nachfolgenden Aufgaben in §§ 44 bis 47 KDG festgelegt:

  • Die Öffentlichkeit über Risiken der Datenverarbeitung zu informieren.
  • Kirchliche Einrichtungen über gesetzliche und organisatorische Maßnahmen zum Datenschutz zu beraten.
  • Verantwortliche und Auftragsverarbeiter datenschutzrechtlich zu sensibilisieren.
  • Die Bearbeitung von Eingaben und Beschwerden betroffener Personen.
  • Die Überwachung der Einhaltung von Datenschutzvorschriften.
  • Untersuchungen durchzuführen in Form von Datenschutzüberprüfungen, u. a mittels Zugangs zu allen Informationen, zu den Räumen und den Datenverarbeitungsanlagen und -geräten des Verantwortlichen.
  • Geeignete Abhilfemaßnahmen zu treffen, z. B. durch eine Warnung hinsichtlich drohender Verstöße, eine Verwarnung für festgestellte Verstöße, durch konkrete Anweisungen oder Anordnungen zur Herstellung eines gesetzeskonformen Zustands und das Verhängen einer Beschränkung oder Verbots einer Datenverarbeitung.
  • Die Erstellung von Listen der Verarbeitungsarten, für die eine Datenschutz-Folgenabschätzung durchzuführen ist.
  • Zusammenarbeit mit anderen kirchlichen Datenschutzaufsichten.
  • Zusammenarbeit mit den staatlichen Datenschutzaufsichten.
  • Die jährliche Erstellung eines Tätigkeitsberichts, der auch die wesentlichen Maßnahmen und Entwicklungen auf dem Gebiet des Datenschutzes sowohl im kirchlichen, wie auch im nichtkirchlichen Bereich darstellt.

Organisation der kirchlichen Datenschutzaufsicht
Nach § 42 Abs. 4 Satz 2 KDG können mehrere Bistümer einen gemeinsamen Datenschutzbeauftragten bestellen. Von dieser Möglichkeit haben alle Diözesen in Deutschland Gebrauch gemacht. Daher bestehen fünf Aufsichtsbehörden, die für die Einhaltung des Datenschutzes in den Bistümern tätig sind. Hierzu gibt unsere Anschriftenliste einen vollständigen Überblick. Ein Blick auf die Karte der deutschen Bistümer mit der farblichen Kennzeichnung der Zuständigkeitsbereiche schafft darüber hinaus auch optisch Klarheit.

Die Zuständigkeit des Diözesandatenschutzbeauftragten erstreckt sich auch auf Orden, die nach bischöflichem Recht errichtet worden sind, nicht jedoch auf die Orden päpstlichen Rechts. Diese Orden haben aber auf Empfehlung der Deutschen Ordensobernkonferenz (DOK) jeweils die Kirchliche Datenschutzregelung der Ordensgemeinschaft päpstlichen Rechts (KDR-OG) in Kraft gesetzt. die dem KDG entspricht und zwischenzeitlich drei gemeinsame Ordensdatenschutzbeauftragte ernannt. Für den nördlichen Teil Deutschlands ist Rechtsanwalt Dieter Fuchs, für die Mitte Deutschlands ist die Richterin am Oberlandesgericht München Frau Christine Haumer und für den südlichen Teil ist der frühere Vorsitzende Richter am Bayerischen Obersten Landesgericht, Herr Jupp Joachimski bestellt worden. Aufgrund der Fülle der Orden in diesem Land ist es nicht möglich, an dieser Stelle sämtliche Aufsichtsinstanzen in diesem Bereich aufzulisten. Eine genaue Information wird Ihnen aber bei Aufruf des Internetangebotes der Deutschen Ordensobernkonferenz zuteil.

Für die Geltendmachung der eigenen Rechte stehen zwei Wege zur Verfügung.

  1. Die Vorschrift des § 37 Absatz 3 KDG legt ausdrücklich fest, dass sich betroffene Personen unmittelbar an den betrieblichen Datenschutzbeauftragten wenden können. Auf diese Weise wird eine Klärung auf unterster Ebene, nämlich durch einen Mitarbeiter der betroffenen Einrichtung oder einen eng angebundenen extern beauftragten Dienstleister ermöglicht. In vielen Fällen führt dieser Weg zu einer schnellen und unkomplizierten Lösung. Der betriebliche Datenschutzbeauftragte ist für die Beachtung datenschutzrechtlicher Vorschriften ausgebildet, unabhängig von den Weisungen seines Auftraggebers und bemüht, das Vertrauen in die Tätigkeit der Einrichtung durch Herstellung eines datenschutzgerechten Verhaltens herzustellen und zu erhalten.
  2. Führen die Gespräche mit der Einrichtung und dem betrieblichen Datenschutzbeauftragten nicht zum Erfolg, so besteht die Möglichkeit, den Diözesandatenschutzbeauftragten als Aufsichtsbehörde einzuschalten. Dieser ist nach § 44 Abs. 2 lit. e) KDG verpflichtet, sich mit Beschwerden betroffener Personen zu befassen. Hierzu wird er die jeweilige Einrichtung zur Stellungnahme auffordern und nach einer möglichen weiteren Prüfung und Untersuchung eine Entscheidung über die Berechtigung der Beschwerde treffen. Sollte die Beschwerde zu Recht erfolgt sein, so kann er gegen die Einrichtung besondere Maßnahmen ergreifen, die eine ordnungsgemäße Organisation für die Zukunft sicherstellen und in schwerwiegenden Fällen auch ein Bußgeld nach § 51 KDG festsetzen.

Es liegt nahe, davon auszugehen, dass sich im zweiten Fall Aufwand und Umfang der Untersuchung für die Einrichtung erhöht. Daher wird jede Einrichtung bemüht sein, eine Problemlösung mit der betroffenen Person herbeizuführen.

Für welchen Weg man sich entscheiden sollte, ist von den jeweiligen Umständen abhängig, um die es geht. Liegt aus Sicht der betroffenen Person ein Fall vor, der sich bei gutem Einvernehmen auf beiden Seiten kurzfristig lösen lässt, wird sicherlich der erste o. g. Weg in Betracht kommen. Bei schwerwiegenderen Fragen, bei denen zudem auf beiden Seiten erhebliche Differenzen zu Tage treten, werden beide Seiten eine generelle Klärung der Sache durch die Aufsichtsbehörde bevorzugen. Letztendlich aber obliegt es der betroffenen Person zu entscheiden, für welchen Weg sich diese entscheidet.

Kommt aus Sicht der Beteiligten keine befriedigende Lösung zustande, so steht ihnen nach § 49 KDG ein gerichtlicher Rechtsbehelf gegen den Bescheid der Datenschutzaufsicht zur Verfügung. Das Verfahren hierzu ist in der „Kirchlichen Datenschutzgerichtsordnung (KDSGO)“ geregelt, welche Sie unter folgendem Link für Ihr jeweiliges Bistum herunterladen können: https://www.kdsa-nord.de/rechtliches/

Um zu erfahren, wer Mitglied der Katholischen Kirche ist, sind wir auf die Hilfe der staatlichen Meldestellen angewiesen. Das Bundesmeldegesetz (BMG) sieht daher vor, dass den öffentlich-rechtlichen Religionsgesellschaften zur Erfüllung ihrer Aufgaben u. a. folgende Daten übermittelt werden dürfen:

  • Familienname, frühere Namen, Vornamen unter Kennzeichnung des gebräuchlichen Vornamens, Doktorgrad, Ordensname, Künstlername, Geburtsdatum und Geburtsort, Angaben zum gesetzlichen Vertreter, Geschlecht, derzeitige Staatsangehörigkeiten, Religionszugehörigkeit, derzeitige Anschriften, Haupt- und Nebenwohnung, letzte frühere Anschrift, Tag des Ein- und Auszugs, Familienstand, beschränkt auf die Angabe, ob verheiratet oder eine Lebenspartnerschaft führend oder nicht; zusätzlich bei Verheirateten oder Lebenspartnern: Tag der Eheschließung oder Begründung der Lebenspartnerschaft, Zahl der minderjährigen Kinder, Auskunftssperren nach § 51 und bedingte Sperrvermerke nach § 52 sowie Sterbedatum und Sterbeort, Daten über Familienangehörige.

Zu diesen von den Einwohnermeldeämtern übermittelten Daten (sog. „kommunaler Datensatz“) kommen nach § 5 der Anordnung über das kirchliche Meldewesen (KMAO) noch die von der Kirche selbst erhobenen Daten aus den Kirchenbüchern (Matrikeldaten) hinzu. So werden auch Sakramentsspendungen wie die Taufe, Firmung, Erstkommunion, kirchliche Eheschließung, Priesterweihe und Profess in der Datei gespeichert. Der Gesamtdatenbestand bildet das Gemeindemitgliederverzeichnis und damit die Grundlage für die seelsorgerische Arbeit in den Gemeinden. Aber auch das Bistum kann die Daten für seine Aufgabenerfüllung nutzen. Jede Kirchengemeinde ist verpflichtet, ihren Mitgliedern Auskunft über die dort gespeicherten Daten zu erteilen.

Darüber hinaus erheben kirchliche Einrichtungen in einer Vielzahl von Fällen Daten unmittelbar bei der betroffenen Person selbst. Hierzu verwenden sie in der Regel Fragebögen, die von den jeweiligen Personen selbst ausgefüllt werden (Aufnahmebogen, Personalbogen, etc.). Dabei müssen die Grundsätze aus § 15 KDG beachtet werden. Die betroffene Person muss in verständlicher Weise über die Zwecke der Erhebung und über die Personen, die mit der Verarbeitung beauftragt sind sowie eine geplante Offenlegung unterrichtet werden.

Das Bundesmeldegesetz (BMG) sieht in § 42 Abs. 1 vor, dass den öffentlich-rechtlichen Religionsgesellschaften die Daten „zur Erfüllung ihrer Aufgaben, nicht jedoch zu arbeitsrechtlichen Zwecken“ übermittelt werden. Diese Aufgaben werden nicht namentlich benannt oder im Einzelnen aufgelistet. Die Kirche darf daher die Daten für alle rechtmäßig von ihr ausgeübten Tätigkeiten verwenden. Das gilt vor allem für den Bereich ihrer drei Grunddienste, die Verkündigung, die Liturgie und die Caritas. Ausdrücklich ausgenommen sind arbeitsrechtliche Zwecke, wie insbesondere Bewerbungsverfahren.

Nach § 5 der Anordnung über das kirchliche Meldewesen (KMAO) sind das Bistum und die Kirchengemeinden zur Führung des Gemeindemitgliederverzeichnisses befugt, die Kirchengemeinden sogar verpflichtet. Eine generelle Weitergabe von Meldedaten an andere kirchliche Stellen ist nach der KMAO nicht vorgesehen.

Von den Dienststellen und Einrichtungen selbst erhobene Daten dürfen ebenfalls nur für den Zweck verwendet werden, der bei ihrer Erhebung der betroffenen Person gegenüber angegeben worden ist. Sollen sie ausnahmsweise, unter der Anwendung von § 6 Abs. 2 KDG, auch für andere Zwecke verarbeitet werden, so ist die betroffene Person nach § 15 Abs. 3 KDG hierüber zu informieren.

Grundsätze
Die Weitergabe von personenbezogenen Daten wird heute vom Kirchlichen Datenschutzgesetz (KDG) in Anlehnung an die Datenschutzgrundverordnung als „Offenlegung“ bezeichnet. Wann Daten offengelegt werden dürfen, ist in den Vorschriften des § 6 und 11 KDG(geregelt. Diese Regelungen stellen dabei einerseits auf den Aspekt der Notwendigkeit zur Erfüllung der Aufgaben der offenlegenden Stelle und andererseits auf die Bindung an den ursprünglichen Verarbeitungszweck ab. Anders ausgedrückt, dürfen Informationen über die betroffene Person nur dann weitergegeben werden, wenn dies dem gleichen Zweck dient, für den sie erhoben worden sind. Und das darf auch nur dann geschehen, wenn hierfür eine Notwendigkeit für die ordnungsgemäße Erfüllung der Aufgaben besteht. Hierdurch wird der Grundsatz aufrechterhalten, dass jede betroffene Person die Möglichkeit haben muss, zu erkennen, welche Stellen seine Daten zu welchem Zweck verarbeiten.
Das jedem Menschen zustehende Recht zu erfahren, welche Daten über ihn an welcher Stelle und zu welchem Zweck verarbeitet werden, ist in § 17 KDG niedergelegt. Danach ist dieser Anspruch gegenüber dem Verantwortlichen geltend zu machen. § 4 Nr. 9 definiert den Verantwortlichen als den Menschen oder die Dienststelle/Einrichtung, die über die Zwecke und Mittel der Datenverarbeitung entscheidet. Das bedeutet, dass sich die betroffene Person immer an die Person oder Stelle wenden muss, bei der die Informationen über ihn vorliegen. Folgende Beispiele verdeutlichen dies.

  • So bekommt jeder, der wissen will, welche Daten seine Kirchengemeinde über ihn zur Verfügung hat, die Auskunft z. B. über das betreffende Pfarrbüro.
  • Der Klient einer Caritasdienststelle wird vor Ort über den Inhalt und den Umfang des Datensatzes über seine Person unterrichtet.
  • Schüler und Sorgeberechtigte erhalten Auskunft über die gespeicherten Informationen unmittelbar bei der besuchten Schule.
  • Patienten eines Krankenhauses wenden sich z.B. direkt an die Krankenhausleitung.

Ungeeignet ist die Anfrage beim Diözesandatenschutzbeauftragten, da dieser nicht über die verarbeiteten Daten verfügt. Sollte sich eine Einrichtung jedoch weigern, Auskunft zu erteilen, ist er der richtige Ansprechpartner für eine Beschwerde.

Die Auskunftserteilung erfolgt nur auf Verlangen der betroffenen Person. Sie ist in der Regel unentgeltlich. Nur dann, wenn weitere Kopien über die erforderliche Anzahl hinaus erbeten werden, kann hierfür ein angemessenes Entgelt in Rechnung gestellt werden.

Das Gesetz über den Kirchlichen Datenschutz (KDG) hat die Rechte der betroffenen Personen, entsprechend der Datenschutzgrundverordnung (DSGVO), eingehend und ausführlich in den §§ 14 bis 25 KDG geregelt. Hier können nur die wichtigsten Aspekte diesbezüglich dargestellt werden.

  • Die betroffene Person ist in transparenter, verständlicher und leicht zugänglicher Form über alle Teile der Datenverarbeitung zu unterrichten, die sie betreffen. Diese Verpflichtung bezieht sich auf die Modalitäten der Datenverarbeitung (Rechtsgrundlagen, Zwecke, Dauer etc.), das Bestehen des Auskunftsrechts, die Möglichkeiten der Berichtigung, Löschung und Sperrung der Daten wie auch auf das Widerspruchsrecht und das Recht auf Datenübertragbarkeit.
  • Die betroffene Person hat ein Auskunftsrecht über ihre verarbeiteten Daten, die Verarbeitungszwecke, die Dauer ihrer Nutzung, ihrer Offenlegung gegenüber Dritten und die Möglichkeit, Beschwerde bei der Aufsichtsbehörde einzulegen.
  • Hält die betroffene Person den Datenbestand zu ihrer Person nicht für erforderlich oder ist sie der Meinung er sei unvollständig oder falsch, hat sie das Recht, insoweit eine Löschung oder Berichtigung zu verlangen. Bei Unstimmigkeiten über diesen Punkt ist eine Einschränkung der Datenverarbeitung (früher „Sperrung“) vorzunehmen.
  • In vielen Fällen besteht auch ein Widerspruchsrecht gegen die Verarbeitung der eigenen Daten. Insbesondere wenn diese für Werbung oder Fundraising benötigt werden. Aber auch besondere persönliche Situationen können ein Widerspruchsrecht begründen.
  • Jede betroffene Person hat zudem das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden. Das so genannte „Profiling“ ist nur in wenigen Ausnahmefällen, die in § 24 Absatz 2 KDG benannt sind, zulässig.
  • Mit dem Recht auf Datenübertragbarkeit besteht für Jeden die Möglichkeit, seinen Datenbestand auf einen anderen Anbieter zu übertragen. Hierdurch wird ein Wechsel des Dienstleisters wesentlich leichter ermöglicht. Voraussetzung hierfür ist die Verarbeitung auf Grund einer Einwilligung der betroffenen Person und der Verarbeitung durch automatisierte Verfahren.
  • Schließlich ist jede betroffene Person nach § 34 Absatz 1 KDG zu benachrichtigen, wenn eine Verletzung datenschutzrechtlicher Anforderungen ein hohes Risiko für ihre persönlichen Rechte und Freiheiten zur Folge haben kann.
Das Kirchenaustrittsverfahren ist landesrechtlich geregelt. Die nachstehende Übersicht gibt einen Überblick für den norddeutschen Raum:

  • Bremen, Kirchensteuergesetz – (KiStG)
  • Hamburg, Gesetz über den Austritt aus Religionsgesellschaften des öffentlichen Rechts
  • Mecklenburg-Vorpommern, Kirchensteuergesetz Mecklenburg-Vorpommern (KiStG M-V)
  • Niedersachsen, Kirchenaustrittsgesetz (KiAustrG)
  • Schleswig-Holstein, Kirchenaustrittsgesetz (KiAustrG)

Für die Datenverarbeitung muss zwischen der Eintragung im Taufregister und der Berücksichtigung im elektronischen Melderegister unterschieden werden.

Aufgrund der schriftlichen Benachrichtigung durch die zuständige Stelle, wird das für den Ausgetretenen bestehende Taufregister ermittelt und um die Eintragung des Kirchenaustritts ergänzt. Das Taufregister über eine Person wird grundsätzlich dort geführt, wo der Betroffene getauft wurde (= Geburtsort). Dabei kann es sich um die Pfarrei handeln, in deren Bezirk die Eltern zum Zeitpunkt der Geburt ihren Wohnsitz hatten oder das Geburtskrankenhaus gelegen war. Eine Vernichtung des Taufregisters findet nicht statt. Es ist eine Gesamturkunde, die in ihrem Bestand zu schützen ist.

Darüber hinaus ist der Erhalt der Eintragung aus folgenden Gründen erforderlich:

  • Zur Verhinderung weiterer Sakramentsspendungen (die Taufe ist allen christlichen Konfessionen gemeinsam und kann nur einmal gespendet werden);
  • weil nur so verhindert werden kann, dass der Ausgetretene weitere Sakramente empfängt (z.B. Ehesakrament);
  • weil die Möglichkeit eines späteren Wiedereintritts in die Kirche oder einer Konversion besteht.

Der Kirchenaustritt führt auch zu einer Änderung des Melderegisters. Von den Meldebehörden erhält die Kirche regelmäßig einen Änderungsdienst, der auch die Kirchenaustritte berücksichtigt. Aufgrund dieser Meldung wird dann das Gemeindemitgliederverzeichnis nach § 4 KMAO berichtigt. Der Ausgetretene wird also im kirchlichen Meldewesen nicht mehr erfasst!

Die seelsorgliche Betreuung Kranker gehört zu den zentralen Aufgaben der Kirche. Gemäß Art. 140 des Grundgesetzes i. V. m. Art. 141 der Verfassung des Deutschen Reiches vom 11. August 1919 sind die öffentlich-rechtlichen Religionsgesellschaften daher zur Vornahme seelsorgerischer Handlungen in Krankenhäusern zuzulassen, wobei jeder Zwang fernzuhalten ist.

Angesichts dieser verfassungsrechtlichen Garantie haben inzwischen alle (Erz-)Bistümer im Zuständigkeitsbereich der KDSA Nord ein Gesetz zum Schutz von Patientendaten bei der Seelsorge in katholischen Einrichtungen des Gesundheitswesens (Seelsorge-PatDSG) erlassen, das von diesem Leitgedanken getragen ist und die Voraussetzungen sowie den Umfang der Datenweitergabe regelt.

Die jeweiligen Regelungen können Sie hier herunterladen:

Erzbistum Hamburg: https://www.kdsa-nord.de/rechtliches/

Bistum Osnabrück: Kirchliches Amtsblatt Osnabrück Nr. 2 vom 28. Februar 2022, S. 27

Bistum Hildesheim: Kirchlicher Anzeiger 2026, Br. 4 / 15.04.2026; S. 161

Bischöfliches Münstersches Offizialat in Vechta: Kirchliches Amtblatt Münster 2021 Nr. 3, S. 176