虽然GDPR的数据保护原则、一般原则以及数据安全的技术和组织措施的要求与GDPR几乎相同,但在其他领域也存在差异。
天主教和新教教会的数据保护法的一个重要区别是,为教会利益处理数据的法律基础,如 KDG 第 6 节第 1 款 a)和 EKD-DSG 第 6 节第 4 项所述。
根据 GDPR,同意必须始终以书面形式给出。只有在特殊情况下才有可能豁免。此外,教会可以在未经数据主体同意的情况下出于宗教目的处理个人数据。
教会团体对受影响者的权利也有一些例外。例如,如果信息会危及教会使命的实现,则无需遵守《KDG》第 15 条规定的提供信息的义务。
如果数据处理中存在令人信服的教会利益,且该利益超过了数据主体的利益,则不存在根据 KDG 第 3 条 I 款 a) 项规定反对当局处理的权利。
教会已任命数据保护官来监督数据保护法规的遵守情况。与 GDPR 相反,所有教会机构都必须任命一名数据保护官。这是确保数据安全合法处理的重要一步。
罚款金额也存在差异。根据 KDG 的规定,最高金额限制为50 万欧元;教会团体完全免于罚款。
近年来,天主教会一直努力加强数据保护,特别是在滥用案件曝光后,但还不够完善。
福音派教会的数据保护受德国福音派教会数据保护教会法 (EKD-DSG) 的管制。EKD-DSG 在许多方面与天主教会的数据保护法相似。它还收集有关会员管理和教会融资的数据。福音派教会也采取了措施加强数据保护。与天主教会一样,新教教会也会向其成员告知数据处理和数据保护法规。
EKD-DSG 包含针对性暴力的机构处理(§50a)、媒体对个人数据的处理(§51)、公共场所的视频监控(§52)以及教堂服务和教堂活动(§53)的单独规定。
在数据主体的权利方面,EKD-DSG 与 GDPR 的不同之处在于,特别复杂的数据主体请求可以在三个月的处理时间内得到答复,而不是一个月的处理时间。
如果个人数据是在直接向未成年人提供的电子服务中收集的,则存在删除数据的权利(第 21 条 DSG-EKD)。
尽管 EKD-DSG 对IT 安全进行了进一步的细节规 台湾号码资料 定,但其技术和组织措施与 GDPR 类似。新教教会的 IT 安全法规(ITSVO-EKD)设定了很高的标准。每个教会都必须创建一个 IT 安全概念;EKD 教会办公室为此提供模板和帮助。
只有拥有超过 250 名员工的实体才必须制定加工活动登记册。如果员工较少,则仅在处理特殊个人数据时才需要创建处理活动登记册。
根据 EKD-DSG 第 36 条及以下条款,如果委托十人处理个人数据或负责机构的核心活动处理大量个人数据,则必须任命一名数据保护官。
与天主教会一样,罚款上限为50 万欧元。然而,只有当涉事教会参与比赛时才会被罚款。
结论
具体而言,德国教堂的数据保护法规与GDPR的规定有所不同。因此,为教堂提供服务的公司应该仔细研究这些法律。总体来看,德国天主教和新教教会的数据保护近年来有所改善,但仍有改进空间。教会应继续努力提高其数据保护实践的透明度,并确保所收集的数据仅用于合法的教会目的。数据保护不仅是一项法律义务,也是对信徒的道德责任。
教堂的特殊地位早已在魏玛宪法中得到确立。到目前为止,欧洲法院尚未受理任何教堂数据保护案件。因此,尚不清楚这一拥有相当大自主管理权和监督权的特殊职位是否能在法庭上站得住脚。