Mit unserem Datenschutz Newsletter erhalten Sie aktuelle Informationen regelmäßig bequem in Ihr Postfach!
Anwendungsbereich
Der Anwendungsbereich des kirchlichen Datenschutzgesetzes ist grundsätzlich auf kirchliche Tätigkeiten beschränkt, bezieht aber auch privatrechtliche Tätigkeiten wie beispielsweise den Deutschen Caritasverband mit ein.
Gemeinsamkeiten
Die Ähnlichkeiten beider Gesetze zeigen sich bereits in der Inhaltsübersicht. Viele Kapitel, wie beispielsweise “Allgemeine Bestimmungen”, “Grundsätze” oder “Rechte der betroffenen Personen” sind im KGD beinahe 1:1 aus der DSGVO übernommen. Nach dem neuen KDG müssen alle kirchlichen Stellen einen Datenschutzbeauftragten ernennen. Zusätzlich wurden der Datenschutz durch technische und organisatorische Maßnahmen wie auch die Betroffenenrechte in das KDG übernommen.
Unterschiede
Der größte Unterschied liegt in der Höhe der möglichen Bußgelder. Während die DSGVO als Höchstgrenze eine Summe von 20 Mio. Euro (bzw. 4% des Jahresumsatzes) festgelegt hat, so beschränkt sich die maximale Geldbuße gemäß KDG auf 500.000 Euro. Kirchliche Stellen sind dabei von Geldbußen ausgenommen. Zusätzlich sind unter anderem folgende Unterschiede (nicht abschließend) zu erwähnen:
- Die Anforderungen an eine Einwilligung sind beim KDG auch höher. Nur in Ausnahmefällen soll eine Einwilligung von der Schriftform befreit sein
- Im Gegenzug zur DSGVO gibt es gesonderte Regelungen zur Videoüberwachung und für die Verarbeitung von Beschäftigtendaten
- Das aus dem alten BDSG bekannte Datengeheimnis wird im Gegensatz zur DSGVO im KDG explizit geregelt
- Das KDG stellt genauere Anforderungen an die Datenminimierung (Pseudonymisierung und Anonymisierung)
Vergleich Artikel aus der DSGVO mit Paragraphen aus dem KDG
Nachfolgend finden Sie eine Liste der Artikel der DSGVO mit den jeweils entsprechenden Paragraphen aus dem KDG. Zu beachten ist, wie bereits eingangs erwähnt, dass es inhaltliche Unterschiede in den jeweiligen Gesetzestexten gibt.
| Kapitel | DSGVO | KDG |
| Allgemeine Bestimmungen | ||
| Gegenstand und Ziele | Art. 1 DSGVO | §1 KDG |
| Sachlicher Anwendungsbereich | Art. 2 DSGVO | §2 KDG |
| Räumlicher Anwendungsbereich | Art. 3 DSGVO | §3 KDG |
| Begriffsbestimmungen | Art. 4 DSGVO | §4 KDG |
| Grundsätze | ||
| Grundsätze für die Verarbeitung personenbezogener Daten | Art. 5 DSGVO | §7 KDG |
| Rechtmäßigkeit der Verarbeitung | Art. 6 DSGVO | §6 KDG |
| Rechtmäßigkeit durch Einwilligung | Art. 6 Abs. 1 lit. a DSGVO | §6 Abs. 1 lit. b KDG |
| Erfüllung eines Vertrags | Art. 6 Abs. 1 lit. b DSGVO | §6 Abs. 1 lit. c KDG |
| Erfüllung einer rechtlichen Verpflichtung | Art. 6 Abs. 1 lit. c DSGVO | §6 Abs. 1 lit. d KDG |
| Schutz lebenswichtiger Interessen | Art. 6 Abs. 1 lit. d DSGVO | §6 Abs. 1 lit. e KDG |
| Wahrnehmung einer Afgabe im öffentlichen Interesse | Art. 6 Abs. 1 lit. e DSGVO | §6 Abs. 1 lit. f KDG |
| Berechtigtes Interesse | Art. 6 Abs. 1 lit. f DSGVO | §6 Abs. 1 lit. g KDG |
| Bedingungen für die Einwilligung | Art. 7 DSGVO | §8 KDG |
| Verarbeitung besonderer Kategorien personenbezogener Daten | Art. 9 DSGVO | §11 KDG |
| Verarbeitung nach Einwilligung | Art. 9 Abs. 2 lit. a DSGVO | §11 Abs. 2 lit. a KDG |
| Verarbeitung gemäß Arbeitsrecht oder Recht der sozialen Sicherheit | Art. 9 Abs. 2 lit. b DSGVO | §11 Abs. 2 lit. b KDG |
| Schutz lebenswichtiger Interessen | Art. 9 Abs. 2 lit. c DSGVO | §11 Abs. 2 lit. c KDG |
| Geeignete Garantien von Stiftungen, Vereinigungen oder Organisationen | Art. 9 Abs. 2 lit. d DSGVO | §11 Abs. 2 lit. d KDG |
| Durch den Betroffenen öffentlich gemachte Daten | Art. 9 Abs. 2 lit. e DSGVO | §11 Abs. 2 lit. e KDG |
| Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen | Art. 9 Abs. 2 lit. f DSGVO | §11 Abs. 2 lit. f KDG |
| Auf Grundlage des Unionsrechts oder Rechts eines Mitgliedsstaats | Art. 9 Abs. 2 lit. g DSGVO | §11 Abs. 2 lit. g KDG |
| Zum Zweck der Gesundheitsvorsorge oder Arbeitsmedizin | Art. 9 Abs. 2 lit. h DSGVO | §11 Abs. 2 lit. h KDG |
| Aus Gründen des öffentlichen Interesses | Art. 9 Abs. 2 lit. i DSGVO | §11 Abs. 2 lit. i KDG |
| Archiv- und Forschungszwecke | Art. 9 Abs. 2 lit. h DSGVO | §11 Abs. 2 lit. h KDG |
| Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten | Art. 10 DSGVO | §12 KDG |
| Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist | Art. 11 DSGVO | §13 KDG |
| Rechte der betroffenen Personen | ||
| Allgemeines zur Information Betroffener und zu Betroffenenrechten | Art. 12 DSGVO | §14 KDG |
| Informationspflichten bei Datenerhebung | Art. 13 DSGVO | §15 KDG |
| Informationen bei indirekter Erhebung | Art. 14 DSGVO | §16 KDG |
| Recht auf Auskunft | Art. 15 DSGVO | §17 KDG |
| Recht auf Berichtigung | Art. 16 DSGVO | §18 KDG |
| Recht auf Löschung | Art. 17 DSGVO | §19 KDG |
| Recht auf Einschränkung der Verarbeitung | Art. 18 DSGVO | §20 KDG |
| Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung | Art. 19 DSGVO | §21 KDG |
| Recht auf Datenübertragbarkeit | Art. 20 DSGVO | §22 KDG |
| Widerspruchsrecht | Art. 21 DSGVO | §23 KDG |
| Automatisierte Entscheidungen im Einzelfall einschließlich Profiling | Art. 22 DSGVO | §24 KDG |
| Verantwortlicher und Auftragsverarbeiter | ||
| Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen | Art. 25 DSGVO | §27 KDG |
| Gemeinsame Verantwortliche | Art. 26 DSGVO | §28 KDG |
| Regelungen zur Auftragsverarbeitung | Art. 28 DSGVO | §29 KDG |
| Verarbeitung unter Aufsicht des Verantwortlichen oder des Auftragsverarbeiters | Art. 29 DSGVO | §30 KDG |
| Verzeichnis von Verarbeitungstätigkeiten | Art. 30 DSGVO | §31 KDG |
| Zusammenarbeit mit der Aufsichtsbehörde | Art. 31 DSGVO | §32 KDG |
| Sicherheit der Verarbeitung (Technische und organisatorische Maßnahmen) | Art. 32 DSGVO | §26 KDG |
| Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde | Art. 33 DSGVO | §33 KDG |
| Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person | Art. 34 DSGVO | §34 KDG |
| Datenschutzfolgenabschätzung | ||
| Regelungen zur Datenschutz-Folgenabschätzung | Art. 35 DSGVO | §35 KDG |
| Vorherige Konsultation | Art. 36 DSGVO | §35 KDG |
| Datenschutzbeauftragter | ||
| Benennung eines Datenschutzbeauftragten | Art. 37 DSGVO | §36 KDG |
| Stellung des Datenschutzbeauftragten | Art. 38 DSGVO | §37 KDG |
| Aufgaben des Datenschutzbeauftragten | Art. 39 DSGVO | §38 KDG |
| Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen | ||
| Allgemeine Grundsätze der Datenübermittlung | Art. 44 DSGVO | §39 KDG |
| Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses | Art. 45 DSGVO | §40 DKG |
| Datenübermittlung vorbehaltlich geeigneter Garantien | Art. 46 DSGVO | §40 KDG |
| Ausnahmen für bestimmte Fälle | Art. 49 DSGVO | §41 KDG |
| Rechtsbehelfe, Haftung und Sanktionen | ||
| Recht auf Beschwerde bei einer Aufsichtsbehörde | Art. 77 DSGVO | §48 KDG |
| Recht auf gerichtlichen Rechtsbehelf gegen Aufsichtsbehörde | Art. 78 DSGVO | §49 KDG |
| Recht auf gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter | Art. 79 DSGVO | §49 KDG |
| Haftung und Schadensersatz | Art. 82 DSGVO | §50 KDG |
| Allgemeine Bedingungen für Verhängung von Geldbußen | Art. 83 DSGVO | §51 KDG |
| Sanktionen | Art. 84 DSGVO | §51 KDG |
Mit unserem Datenschutz Newsletter erhalten Sie aktuelle Informationen regelmäßig bequem in Ihr Postfach!
Daniel Steffen ist zertifizierter Datenschutzbeauftragter (DSB-TÜV) und Auditor (DSA-TÜV) und berät deutschlandweit Unternehmen in den Bereichen Datenschutz und Informationssicherheit.
Hinweis
Dieser Artikel wurde auf Basis der aktuell verfügbaren Literatur erstellt. Er dient als erste Einschätzung von potentiellen Problemen innerhalb der Datenschutzgrundverordnung (DSGVO). Es wird darauf hingewiesen, dass viele der hier behandelten Probleme noch nicht abschließend, insbesondere durch höchstrichterliche Rechtsprechungen, geklärt wurden und teilweise auch noch keine Stellungnahmen der Landesdatenschutzbehörden vorliegen, weshalb zu einigen Punkten unterschiedliche Auffassungen vertreten werden. Ich übernehme daher keine Haftung auf Richtigkeit und Vollständigkeit. Insbesondere ist darauf hinzuweisen, dass jeder Fall gesondert zu prüfen ist und keine individuelle Rechtsberatung ersetzt.
Weitere Artikel im Datenschutz-Blog
Sie benötigen einen externen Datenschutzbeauftragten für Ihr Unternehmen?
Wir beraten Sie gerne. Kontaktieren Sie uns und fordern Sie ein unverbindliches Angebot an.
