Neues evangelisches Datenschutzgesetz gilt

Seit dem 01.05.2025 gilt ein neues evangelisches Datenschutzgesetz. Konkret geht es um die dritte Novelle des Kirchengesetzes über den Datenschutz der evangelischen Kirche in Deutschland (DSG-EKD). Das von der EKD-Synode im November 2024 beschlossene Änderungsgesetz bringt eine Reihe teils tiefgreifender Anpassungen mit sich. Ziel ist eine stärkere Angleichung an die Datenschutzgrundverordnung (DSGVO) sowie eine praktikablere Handhabung im kirchlichen Alltag. Für Unternehmen, Einrichtungen und Körperschaften im Geltungsbereich des DSG-EKD besteht damit konkreter Handlungsbedarf.

Kirchliches Datenschutzrecht

Kirchliche Datenschutzrecht regelt die Verarbeitung personenbezogener Daten durch Kirchen und ihre Einrichtungen eigenständig auf Grundlage des Selbstverwaltungsrechts der Kirchen nach Art. 140 GG i. V. m. Art. 137 WRV. Anstelle der DSGVO gelten in Kirchen eigenständige Datenschutzgesetze. Dies ist aufgrund der Öffnungsklausel des Art. 91 Abs. 1 DSGVO zulässig. In der evangelischen Kirche ist das das DSG-EKD und in der katholischen Kirche das Gesetz über den kirchlichen Datenschutz (KDG).

Beide Regelwerke orientieren sich inhaltlich eng an der DSGVO, enthalten aber eigene Regelungen etwa zur Aufsicht, zu Rechtsgrundlagen oder zur Rolle kirchlicher Datenschutzbeauftragter. So sichern nach dem DSG-EKD statt den Datenschutzbehörden unabhängige kirchliche Aufsichtsbehörden die Einhaltung des Datenschutzes. Im Übrigen gelten hiernach Informationen über Religions- und Weltanschauungsgemeinschaften nicht als besonders schützenswerte Daten. Nun gilt ab dem 1. Mai 2025 ein neues evangelisches Datenschutzgesetz.

Wegfall des kirchlichen Interesses als eigene Rechtsgrundlage

Eine der markantesten Änderungen betrifft die bisher im DSG-EKD eigenständige Rechtsgrundlage „kirchliches Interesse“. Diese entfällt ersatzlos. Stattdessen orientiert sich das Gesetz nun enger an der DSGVO mit der Rechtsgrundlage des berechtigten Interesses.

Erhöhte Transparenzpflichten

Zudem sind zukünftig Datenschutzinformationen nicht mehr erst auf Nachfrage zur Verfügung zu stellen, sondern müssen bereits im Zeitpunkt der Datenerhebung bereitgestellt werden. Zudem müssen Verantwortliche auf automatisierte Entscheidungen sowie auf Modelle gemeinsamer Verantwortlichkeit von Beginn an hinweisen. Im Zusammenhang mit automatisierten Datenverarbeitungen sind örtliche Beauftragte auch erst ab einer Zahl von 20 Personen zu bestellen und nicht mehr schon ab 10 Personen. Für kleinere kirchliche Einrichtungen kann dies eine spürbare Entlastung bedeuten.

Verkürzte Fristen für Betroffenenrechte

Auch bei der Umsetzung von Betroffenenrechten folgt das DSG-EKD nun näher dem Vorbild der DSGVO. Die bisherige Möglichkeit, die Frist bei komplexen Anfragen zu verlängern, entfällt. Es bleibt bei einer starren Maximalfrist von drei Monaten, innerhalb derer sämtliche datenschutzrechtlichen Anfragen zu beantworten sind. Neu eingeführt wurden dabei das Recht auf Negativauskunft – also die Bestätigung, dass keine Daten verarbeitet werden – sowie ein Anspruch auf Erhalt einer Kopie der verarbeiteten Daten. Auch können Betroffene nun das Auskunftsrecht auch ohne einen förmlichen Antrag geltend machen.

Einwilligung von Minderjährigen

Bezüglich der Einwilligung Minderjähriger bezogen sich die Vorschriften bislang ausschließlich auf elektronische Angebote. Künftig gelten die Anforderungen unabhängig vom Kommunikationskanal. Mit Eintritt der Religionsmündigkeit ab dem 14. Lebensjahr können Minderjährige außerdem nun eine datenschutzrechtliche Einwilligung eigenständig erteilen.

Lockerungen bei Formvorschriften

Für das Beschäftigungsverhältnis gelten ebenfalls Erleichterungen. Einwilligungen von Mitarbeitenden müssen nicht länger in Schriftform erteilt werden, sodass die Textform ausreicht. Auch für Auftragsverarbeitungsverträge genügt es, wenn die Parteien diese in Textform schließen. Nichtkirchliche Auftragsverarbeiter sollen zukünftig nicht mehr unter das DSG-EKD fallen. Das erleichtert insbesondere digitale Prozesse im Personalbereich und kann zur Entbürokratisierung beitragen. Es ermöglicht im Übrigen den Kirchen einen vereinfachten Zugang zu marktgängigen Produkten.

Fazit

Mit der Dritten Novelle des DSG-EKD gilt ein neues evangelisches Datenschutzgesetz. Hiermit findet eine deutlich stärkere Angleichung an die DSGVO statt. Gleichzeitig bringt die Reform willkommene Erleichterungen, etwa bei Formvorgaben oder der Auftragsverarbeitung. Für Verantwortliche besteht nun akuter Handlungsbedarf: Informationspflichten, Einwilligungsformulare, Betroffenenprozesse sowie Verträge mit Dienstleistern sollten geprüft und aktualisiert werden. Als Externe Datenschutzbeauftragte helfen wir Ihnen hierbei weiter.