Der Warschauer Europarechtler Bernard Łukańko hat die bisher wohl ausführlichste Studie zum kirchlichen Datenschutzrecht im Rahmen des Art. 91 DSGVO veröffentlicht: »Kościelne modele ochrony danych osobowych«(Affiliate Link) (»Kirchliche Datenschutzmodelle«) analysiert auf 352 Seiten sowohl Art. 91 DSGVO, der Religionsgemeinschaften ein eigenes Datenschutzrecht und eigene Datenschutzaufsichten zugesteht, als auch die Umsetzung dieser Möglichkeit durch polnische Kirchen im Vergleich vor allem mit dem Datenschutzrecht der beiden großen deutschen Kirchen.
Trotz des Fokus auf das Recht der polnischen Kirchen lohnt sich die Lektüre auch außerhalb Polens – wenn man denn polnisch versteht. Eine Übersetzung gibt es bisher nicht.
Auch ohne Polnischkenntnisse ist das Werk zumindest als Steinbruch nützlich: Łukańko arbeitet sich sehr sorgfältig durch die mittlerweile doch einigermaßen umfangreiche, zumeist deutschsprachige Literatur zum kirchlichen Datenschutzrecht, die Fußnoten und das Literaturverzeichnis geben einen hervorragenden Überblick über den Stand der Forschung.
(Einen Überblick über kirchliches Datenschutzrecht in verschiedenen EU-Mitgliedstaaten gibt es in der Rechtssammlung, Artikel sind erschienen zu Italien, Österreich und Polen sowie zur Lage im Drittland Vatikanstaat.)
Zunächst wird der zwar knappe, im Detail oft interpretationsoffene Art. 91 DSGVO sorgfältig Wort für Wort seziert und analysiert. Łukańko plädiert dabei dafür, dass nicht Mitgliedsstaaten, sondern die Religionsgemeinschaften selbst Adressat der Ermächtigungsgrundlage sind, er betont, dass nicht nur öffentlich-rechtlich organisierte Gemeinschaften davon Gebrauch machen können, argumentiert in der Frage, wann Regeln »umfassend« sind, dafür, dass das nicht als »vollständig« zu interpretieren sei.
Kritisch sieht er die Regelung, dass Religionsgemeinschaften »zum Zeitpunkt des Inkrafttretens dieser Verordnung« bereits entsprechende Regeln anwenden müssen. Hier verweist er auf die polnische Pfingstkirche, die ihr Datenschutzgesetz erst danach verabschiedet hat, und plädiert mit Verweis auf die gemäß Art. 17 AEUV nicht anzutastende Stellung der Religionsgemeinschaften in den Mitgliedsstaaten dafür, dass hier dennoch ein gültiges Gesetz vorliegt. (Das dürfte auch eine für manche deutsche Religionsgemeinschaft nützliche Argumentation sein – es soll auch Bistümer geben, die das KDG erst rückwirkend in Kraft gesetzt haben.)
Kritisch merkt Łukańko an, dass in der DSGVO kein Kontrollverfahren vorgesehen ist, mit dem überprüft werden kann, ob ein kirchliches Datenschutzgesetz den Anforderungen von Art. 91 genügt. Hier verweist er auf das Vertragsverletzungsverfahren, das dazu herangezogen werden könnte.
Lesenswert ist die Argumentation, wie die DSGVO-Anforderung des »Einklangs« zu interpretieren sei. Der Autor wendet sich gegen eine enge Auslegung, die keinerlei Abweichungen nach oben oder unten zulässt, und plädiert stattdessen für eine Berücksichtigung des kirchlichen Propriums: Der kirchliche Gesetzgeber müsse zwar »Ziele, Grundsätze und Leitideen der DSGVO beibehalten«. Gleichzeitig dürfte er aber auch die jeweiligen Werte der Religionsgemeinschaft berücksichtigen: »Nach dieser – zutreffenden – Position ist es zulässig, einen strengeren Standard als die DSGVO anzusetzen, während die Zulässigkeit eines niedrigeren Standards (beispielsweise durch den Ausschluss des Rechts auf Vergessenwerden in Bezug auf die Eintragung von Sakramenten in Kirchenbüchern ) einer intensiven Rechtfertigung mit theologischen Argumenten bedarf.«
Für solche Abweichungen bieten verschiedene polnische Datenschutzgesetze Beispiele: Neben den schon erwähnten Kirchenbüchern haben die evangelischen Kirchen etwa eine Regelung, derzufolge es eigene Rechtsgrundlagen gibt, die die Abbildung von Geistlichen bei liturgischen und anderen öffentlichen Handlungen erlauben.
Insgesamt hat Łukańko sechs kirchliche Datenschutzgesetze in Polen untersucht, die er nach der Systematik der DSGVO vorstellt und analysiert. Immer wieder legt er dabei sowohl KDG als auch DSG-EKD zum Vergleich daneben. Diese rechtsvergleichenden Kapitel sind ausgesprochen instruktiv, geben sie doch einen interessanten Einblick, wie in anderen Ländern kirchlicher Datenschutz umgesetzt wird. Dabei können durchaus auch Impulse für die deutsche kirchliche Gesetzgebung entstehen: Bedenkenswert ist etwas das von einigen (in Polen allerdings sehr kleinen) evangelischen Kirchen eröffnete Modell einer überkonfessionellen Datenschutzaufsicht; hier könnten Synergieeffekte auch in Deutschland gehoben werden. Andere Regelungen wie die zu Kirchenbüchern fehlen im KDG, während das DSG-EKD nur auf ein Weiterbestehen der bestehenden Regeln hinweist. Gerade mi Blick auf das Recht auf Vergessenwerden wäre eine explizite Thematisierung im Datenschutzrecht sicher hilfreich.
Fazit
Łukańko hat die wohl umfangreichste Studie zu Art. 91 DSGVO und seiner Umsetzung in nationales Recht vorgelegt. Die Monographie dürfte als Standardwerk zu Art. 91 und seinen Folgen gelten. Dem Untersuchungsgegenstand geschuldet liegt der Fokus auf Polen; aufgrund der maßgeblichen Rolle Deutschlands und der deutschen Rechtswissenschaft kann man aber auch mit einem rein auf Deutschland und seine kirchlichen Datenschutzgesetze bezogenen Interesse das Buch mit Gewinn lesen. Leider liegt es bisher nur in polnischer Sprache vor. Ein deutschsprachiger Aufsatz Łukańkos erschien ebenfalls 2019 in der Zeitschrift für evangelisches Kirchenrecht: »Die kircheninternen Datenschutzordnungen der Evangelisch-Reformierten Kirche in der Republik Polen und der Evangelisch-Augsburgerischen Kirche in der Republik Polen« (ZEvKR 64 (2019), S. 67–78.).