Die DSGVO-Landkarte hat nicht viele weiße Flecken in West- und Mitteleuropa – einer davon ist der Vatikanstaat. In den EWR-Staaten Island, Liechtenstein und Norwegen gilt die Verordnung, für die Schweiz, Andorra, die Färöer und die britischen Kronbesitzungen Guernsey, Jersey und die Isle of Man gibt es Angemessenheitsbeschlüsse der EU-Kommission. (Noch nicht viele weiße Flecke, muss es eigentlich ganz richtig heißen, solange die Folgen des Brexit nicht absehbar sind.)
Drittland mit allen Folgen und ohne Ausweg sind nur drei souveräne Staaten: Monaco, San Marino – und eben der Vatikan. Mitten in Rom gibt es ein paar Quadratmeter (scheinbar) DSGVO-freien Raum. Was im Staat der Vatikanstadt an Datenschutz gilt, ist gar nicht so einfach herauszufinden. Die im Netz verfügbare Gesetzessammlung des Vatikanstaats jedenfalls nennt kein Datenschutz-Gesetz.
(Einen Überblick über kirchliches Datenschutzrecht in verschiedenen EU-Mitgliedstaaten gibt es in der Rechtssammlung, Artikel sind erschienen zu Italien, Österreich und Polen sowie zur Lage im Drittland Vatikanstaat.)
Gilt italienisches Datenschutzrecht?
Die Frage, ob vielleicht italienisches Datenschutzrecht gilt, hat der Jurist und Kirchenrechtler Dario Morelli schon 2012 in einem Aufsatz in „Stato, Chiese e pluralismo confessionale“ bearbeitet. Traditionell ist das vatikanische Rechtssystem außerhalb des Kirchenrechts eng mit dem italienischen verbunden. 2008 verfügte der damalige Papst Benedikt XVI. das Gesetz Nr. LXXI, »Legge sulle fonti del diritto« (LFD, »Gesetz über die Rechtsquellen«). Art. 12 LFD legt fest, dass auf neun benannten Gebieten das italienische Recht automatisch gilt, das am 1. Januar 2009 in Kraft war (dem Datum des Inkrafttretens des LFD), inklusive völkerrechtlicher Verträge, immer unter dem Vorbehalt, dass das so inkludierte Recht mit dem Kirchenrecht nicht in Konflikt steht. Zu den benannten Rechtsgebieten gehört auch „Telekommunikation und damit zusammenhängende Dienste, sowohl für Festnetz als auch mobile Netze, mit allen Komponenten“. Nicht geregelt ist, ob das italienische Gesetz nach Außerkrafttreten auch im Vatikan nicht mehr angewandt wird.
Morelli kommt zu dem Schluss, dass das italienische Datenschutzrecht demnach anwendbar sei – allerdings nur in den auf Telekommunikation bezogenen Inhalten, nicht in Gänze. Zudem fand die Analyse vor Geltung der DSGVO statt, das italienische Datenschutzgesetz, das 2009 galt, wurde daher durch die unmittelbare Geltung der DSGVO ersetzt.
Auch wenn bis zur DSGVO das italienische Datenschutzgesetz teilweise angewendet worden wäre – heute kann es nicht mehr herangezogen werden.
Gilt das Datenschutzrecht der italienischen Bischofskonferenz?
Die italienische Bischofskonferenz hat in Einklang mit Art. 91 DSGVO ein eigenes Datenschutzrecht erlassen (»Decreto generale sulle Disposizioni per la tutela del diritto alla buona fama e alla riservatezza«).
Der Vatikanstaat liegt auf dem Gebiet des Bistums Rom. Das Bistum Rom gehört zur italienischen Bischofskonferenz. Case closed? Nein. Tatsächlich gelten die Beschlüsse der italienischen Bischofskonferenz nicht für den Vatikanstaat. Der Vatikan ist gegenüber dem Bistum Rom exemt, er untersteht auch nicht dem Kardinalvikar von Rom (der im wesentlichen alle Aufgaben wahrnimmt, die anderswo der Diözesanbischof hat), sondern dem Vikar des Papstes für die Vatikanstadt.
Das italienische katholische Datenschutzrecht gilt also nicht im Vatikanstaat.
Gibt es Datenschutz im Kirchenrecht?
Einerseits muss das Kirchenrecht als Pionier des Datenschutzes gelten: Das Beichtgeheimnis ist eine der ältesten datenschutzrechtlichen Regelungen. Andererseits ist das Kirchenrecht weit davon entfernt, sich intensiv zu Datenschutz und informationeller Selbstbestimmung zu äußern. Immer wieder wird in der Literatur (und außerhalb Deutschlands auch in der datenschutzrechtlichen kirchlichen Gesetzgebung) auf can. 220 CIC verwiesen. (Eine ausführliche Beschäftigung aus kirchenrechtlicher Sicht mit can. 220 als Datenschutznorm leistete Thomas Hoeren im bereits 1986 erschienenen ersten Beiheft zum Münsterischen Kommentar zum CIC, »Kirchen und Datenschutz«(Affiliate link), S. 129–183.)
Niemand darf den guten Ruf, den jemand hat, rechtswidrig schädigen und das persönliche Recht eines jeden auf den Schutz der eigenen Intimsphäre verletzen.
can. 220 CIC/1983
Das war es dann auch mit allgemeinem Datenschutz im Kirchenrecht abseits von Beicht- und Amtsgeheimnis – auf jeden Fall wohl nicht genug, um in den Genuss eines Angemessenheitsbeschlusses der EU-Kommission zu kommen. (Laut einer Sprecherin der Kommission hat der Vatikanstaat auch keinen beantragt.) Anders als San Marino und Monaco gehört der Heilige Stuhl auch nicht zu den Unterzeichnern der Europäischen Datenschutzkonvention, was sich laut Erwägungsgrund 105 der DSGVO positiv auf Angemessenheitsbeschlüsse auswirken sollte. (Dazu aktuell auch Carlo Piltz und Philipp Quiel.)
Immerhin hat Papst Johannes Paul II. 2005 ein Archivgesetz für den Heiligen Stuhl erlassen, in dem Persönlichkeitsschutz eine Rolle spielt (Art. 25 und Art. 42 Nr. 2). Das klingt schon fast nach DSGVO: »Die Verarbeitung personenbezogener Daten und der sie enthaltenden Dokumente muss so erfolgen, dass die Achtung der Menschenrechte, Grundfreiheiten und der Würde des Menschen gewährleistet ist.« (Art. 25)
Dennoch – ein Datenschutzrecht hat der Vatikan weder im Kirchenrecht noch in den Gesetzen des Vatikanstaats. Laut Informationen des Päpstlichen Rats für die Gesetzestexte gibt es aber derzeit eine vatikanische Arbeitsgruppe, die sich mit Datenschutz beschäftigt.
Fazit – was heißt das für die Praxis?
Trotz alledem wird auch im Vatikan teilweise die DSGVO angewandt – aufgrund des Marktortprinzips (Art. 3 Abs. 2 DSGVO) findet die Verordnung auch da Anwendung, wo in Drittstaaten Daten von Menschen in der EU für Waren und Dienstleistungen verarbeitet werden. Mehrere vatikanische Internetangebote haben Datenschutzerklärungen mit Bezug auf die DSGVO, so etwa die Apostolische Bibliothek, die Abteilung für Flüchtlinge und Migrant*innen des Dikasteriums für die ganzheitliche Entwicklung des Menschen, die Elemosineria Apostolica und der Peterspfennig.
Anders sieht es aus für in der EU ansässige Verantwortliche, die Daten in den Vatikan exportieren wollen. (Ob und wie das vorkommt, ist ungewiss, die vatikanische Tech- und Startupszene ist sehr übersichtlich – selbst Kommunikation innerhalb des Bistums Roms gibt es aufgrund der exemten Stellung des Vatikans kaum.) Datenschutzrechtlich – und zwar nach europäischem wie nach kirchlichem Recht – ist der Vatikanstaat ein Drittland ohne Angemessenheitsbeschluss. Wer personenbezogene Daten in den Vatikan exportieren will, braucht also die üblichen Sicherheitsmaßnahmen: Binding Corporate Rules etwa oder Standardvertragsklauseln. Für den Vatikan spricht, dass es wohl sehr wenig staatliche Überwachung gibt, dagegen, dass es in einer letztlich absolutistischen Monarchie ohne Checks and balances und fast komplett ohne einschlägige Gesetzgebung fraglich ist, ob die von der DSGVO geforderten »geeigneten Garantien« bestehen. Dann aber besteht immer noch die Möglichkeit, über Art. 49 DSGVO »Ausnahmen für bestimmte Fälle« geltend zu machen. (Im Detail erklärt ein Kurzpapier der Datenschutzkonferenz die verschiedenen Möglichkeiten.)
Im deutschen Gesetz über den kirchlichen Datenschutz (KDG) gibt es zudem noch die (mutmaßlich europarechtswidrige) Regelung, dass Datenübertragungen in ein Drittland auch dann zulässig sind, wenn »der Verantwortliche oder der Auftragsverarbeiter nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, davon ausgehen kann, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.« (§ 40 Abs. 2 lit. b KDG) Und die dürften aus kirchlicher Sicht ja wohl bestehen: Hier gilt apostolisches Ehrenwort.