Grundsätzlich hatten alle Kirchen und Religionsgemeinschaften die Möglichkeit, ein eigenes Datenschutzrecht gemäß Art. 91 DSGVO anzuwenden – welche das sind, ist nicht immer einfach herauszufinden, und oft herrscht selbst bei den bekannten (ich weiß momentan von 15 Gemeinschaften) nicht die höchste Transparenz. Anders sieht es beim Bund Freikirchlicher Pfingstgemeinden (BFP) aus: Die Datenschutzaufsicht betreibt eine Infoseite und der Tätigkeitsbericht ist öffentlich zugänglich.
Das erklärte Ziel des Datenschutzbeauftragten des Bundes ist es, »das ›Gütesiegel‹ eines angemessenen Datenschutzniveaus« zu sichern, so der Bericht – »immer in dem Wissen, dass es um Menschen geht, die Gott uns anvertraut hat«. Der im September veröffentlichte Tätigkeitsbericht für 2018 und 2019 bietet einen interessanten Einblick in Arbeitsweise und Struktur des Datenschutzes in einer kleineren Religionsgemeinschaft – und birgt sehr besondere Ausnahmeregeln.
Aufsichtstätigkeit
Die aufsichtsführende Stelle des BFP ist zuständig für 860 Gemeinden sowie 11 Bundeswerke und 6 beständige Einrichtungen mit insgesamt 181.200 Mitgliedern. Zum Datenschutzbeauftragten wurde 2015 Pastor Daniel Aderhold für eine fünfjährige Amtszeit bestellt, der sein Amt in Teilzeit ausübt mit Dienstsitz an der BFP-Geschäftsstelle in Erzhausen (Niedersachsen) und zugleich Pressesprecher des BFP ist. Die Datenschutzaufsicht hat – neben den Alt-Katholiken meines Wissens als einzige kleinere Gemeinschaft – einen eigenen Webauftritt.
| Jahr | 2018 | 2019 | 2020 |
| Anfragen | 300 | 140 | |
| Beschwerden | 3 | 2 | 2 |
| Meldungen von Datenpannen | 2 | 0 | 0 |
| Bußgelder | 0 | 0 | 0 |
Im Berichtszeitraum sind mehrere Hundert Anfragen bei der Aufsicht eingegangen. Beschwerden und Meldungen blieben jeweils im einstelligen Bereich. Die Pannen sind die üblichen: irrtümlicher E-Mail-Versand und fehlerhafte Sortierung von Post durch einen Dienstleister. Bußgelder wurden nach Auskunft des Beauftragten bisher keine verhängt. Die Zahlen wirken zwar niedrig – vergleicht man sie aber beispielsweise mit den Diözesandatenschutzbeauftragten für Bayern und die Südwest-Bistümer, die in ihren Berichten Zahlen angegeben haben und die für eine ungleich größere Zahl an Einrichtungen zuständig sind, sind die BFP-Zahlen in einem erwartbaren Rahmen; die hohe Zahl der Anfragen (höher als in den katholischen Berichten) zeugt von einem erstaunlich hohen Problembewusstsein. Auf Anfrage teilte der Beauftragte mit, dass typische Themen Fragen »rund um die Aufbewahrungsfristen ›kirchlicher Daten‹« seien, die sowohl bei verantwortlichen Stellen wie betroffenen Stellen oft unklar seien – auch das findet man in den Berichten anderer kirchlicher Aufsichten immer wieder.
Besonderheiten im Datenschutzrecht des BFP
Die ernsthafte Beschäftigung mit dem Thema Datenschutz zeigt sich oft bereits in der verwendeten Rechtsgrundlage: Während viele kleinere Gemeinschaften im wesentlichen das Datenschutzgesetz der EKD abschreiben, macht der BFP – der sich auch am DSG-EKD orientiert – sich an vielen Stellen die Mühe eigener Formulierungen und Regelungen in seiner Datenschutzordnung (BFP-DSO).
Deutlich wird das beispielsweise am § 2 BFP-DSO »Aufgabe des Datenschutzes«, der kompakt einige Grundsätze und Verhaltensregeln zum Umgang mit personenbezogenen Daten inklusive der Verpflichtung auf das Datengeheimnis regelt. Gegenüber anderen Datenschutzgesetzen fällt eine eigene Ausnahmeregelung, derzufolge das »Recht der Pastoren und der freikirchlichen Mitarbeiter, in Wahrnehmung ihres Seelsorgeauftrages eigene Aufzeichnungen zu führen und zu diesen Zwecken zu verwenden« vom Datenschutzrecht unberührt bleiben. (Ob diese Regelung europarechtskonform ist, kann man mit Blick auf das Zeugen-Jehovas-Urteil des EuGH kritisch hinterfragen.)
Die Datenschutzaufsicht, die im BFP »aufsichtsführende Stelle« heißt und an deren Spitze ein »Beauftragter des Bundes« steht, geht strukturell auf die ehrenamtliche Prägung der Gemeinschaft ein: Es besteht die Möglichkeit, in der Regel ehrenamtliche weitere Personen zur Unterstützung der aufsichtsführenden Stelle zu berufen. Auch die Regeln zu den »örtlich Beauftragten für Datenschutz« (den betrieblichen Datenschutzbeauftragten) gehen auf die Struktur ein: Berufen werden müssen sie für Gemeinden und Werke, in denen mindestens zehn Personen ständig personenbezogene Daten verarbeiten. Das gilt aber nur für Gemeinden mit mehr als 50 Mitgliedern. Örtlich Beauftragte sind außerdem zu bestellen, wenn die Kerntätigkeit der verantwortlichen Stelle aus umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten besteht. Im Vergleich zur DSGVO gibt es keine Regelung, die einen bDSB vorschreibt, wenn die Kerntätigkeit »in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen« (Art. 37 Abs. 1 lit. b) DSGVO); ein Fall, der wohl für den BFP nicht als einschlägig erachtet wurde.
Die interessanteste Abweichung von anderen Datenschutzgesetzen ist die optionale Geltung der BFP-DSO für verantwortliche Stellen: »Für rechtlich selbstständige Gemeinden und Einrichtungen im Bund gilt diese Datenschutzordnung, soweit sie nicht (a) durch Erklärung gegenüber dem Präsidium des Bundes die Geltung ablehnen und (b) den Datenschutz für ihren Tätigkeitsbereich in einer dieser Datenschutzordnung vergleichbaren Form regeln sowie deren Durchführung sicherstellen.« (§ 1 Abs. 3 BFP-DSO) Damit wären sowohl eigene Datenschutzordnungen wie eine Anwendung der DSGVO denkbar. Laut Tätigkeitsbericht hat keine Stelle diese Ausnahmeregelung in Anspruch genommen.
Diese große Freiheit wirft interessante rechtliche Probleme auf: Schon der Opt-out aus dem eigenen Datenschutzrecht zugunsten der unmittelbaren Geltung der DSGVO ist in Art. 91 DSGVO nicht geregelt; das scheint aber zumindest unproblematisch denkbar – schließlich wird so ein unstreitig zulässiges Regelwerk angewendet, und warum sollten Religionsgemeinschaften auch auf immer ihr Privileg nutzen müssen. Kritischer ist die Möglichkeit einer komplett eigenen Regelung. Art. 91 DSGVO hebt eigentlich nicht auf eine bedingungslose eigene Rechtssetzungsbefugnis von Religionsgemeinschaften ab, sondern regelt dem Wortlaut nach, dass kircheneigene Regeln weiter angewendet werden dürfen, wenn sie »zum Zeitpunkt des Inkrafttretens dieser Verordnung« schon angewendet wurden. Der Wortlaut schließt eine Einführung nach dem Stichtag eigentlich aus, dem folgt auch zu großen Teilen die Kommentarliteratur (so zum Beispiel Herbst in Kühling/Buchner, DSGVO(Affiliate Link) Art. 91 RN 13; Gola in ders., DSGVO(Affiliate Link), Art. 91 RN 1, 17). Dagegen vertritt Ansgar Hense im DSGVO-Kommentar von Sydow (Affiliate Link) die Ansicht, dass die Interpretation als »bloße Bestandschutzregelung« problematisch sei: »Soweit die Auffassung vertreten wird, dass damit auch Religionsgesellschaften in Deutschland, die bis jetzt untätig geblieben sind, der Weg zur Schaffung eines eigenen Datenschutzrechts verschlossen bleibt, so ist dies religionsverfassungsrechtlich und europarechtlich – etwa hinsichtlich des Art. 17 Abs. 1 AEUV – durchaus mehr als fragwürdig.« (RN 14) Solange keine BFP-Gemeinde diese Regelung anwendet, wird diese Frage wohl ungeklärt bleiben. Der BFP selbst hat für seine DSO jedenfalls unstreitig alle Anforderungen erfüllt: Sie besteht seit 2015 und wurde am 7. Februar 2018 an die DSGVO angepasst.
Zusammenarbeit mit anderen Aufsichtsbehörden
Dass es neben römisch-katholischem und evangelisch-landeskirchlichem Datenschutzrecht noch anderes Eigendatenschutzrecht gibt, ist wenig im Blick (selbst weite Teile der Kommentarliteratur schreiben, dass es nur KDG und DSG-EKD gebe). Der Tätigkeitsbericht geht darauf ein und mahnt mit Blick auf § 18 Abs. 1 BDSG (wo die Zusammenarbeit der verschiedenen Aufsichtsbehörden in Deutschland geregelt wird) an, dass die Behörden der kleineren Gemeinschaften nicht angemessen gehört werden: »Hier ist aber unklar bzw. nicht geregelt, wie dieser Austausch geschehen soll, wenn die jeweiligen Aufsichtsbehörden von den kirchlichen Aufsichtsstellen keine Kenntnis haben oder sich ein[sic] der Aufsichtsbehörden der ›Großkirchen‹ zum vermeintlichen ‚Sprecher‘ der anderen (Frei-)Kirchen oder Religionsgemeinschaft erklärt«, kritisiert der Bericht.
Die eingeforderte Regelung gibt es zwar gesetzlich nicht. 2019 hat jedoch die Datenschutzkonferenz einen allerdings generell restriktiven »Beschluss zur Beteiligung der spezifischen Aufsichtsbehörden gem. § 18 Abs. 1 Satz 4 BDSG an der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder in Angelegenheiten der EU« getroffen, der im wesentlichen regelt, wo die spezifischen Aufsichtsbehörden überall nicht mitberaten sollen. Darin ist aber auch geregelt, dass es zweimal im Jahr ein Treffen zum »Informations- und Erfahrungsaustausch« auf Einladung des Bundesdatenschutzbeauftragten und des Vorsitzenden der Datenschutzkonferenz geben soll. 2019 soll von der Datenschutzkonferenz an die Religionsgemeinschaften die Aufforderung ergangen sein, sich zu melden.
Fazit
Gegenüber dem Datenschutzrecht kleiner Gemeinschaften gibt es Vorbehalte – das merkt man, wenn man mit Aufsichten der großen Kirchen und der Länder darüber spricht. Mit religiöser Pluralität tut man sich in Deutschland oft schwer. Umso wichtiger ist es, dass sich kleinere Gemeinschaften professionell aufstellen, wenn sie von den Möglichkeiten des Art. 91 Gebrauch machen. Beim BFP scheint das, geht man nach der Außendarstellung, so zu sein.
Neben der Aufsicht des Alt-Katholischen Bistums ist die BFP-Aufsicht die einzige von mir angefragte, die inhaltlich auf eine Presseanfrage eingegangen ist. Die alt-katholische und die BFP-Aufsicht sind auch die einzigen mir bekannten mit einer informativen Webpräsenz. (Eine angefragte Gemeinschaft hat sich sogar auf »Datenschutz« berufen, der es verbiete, Informationen zur Tätigkeit der Aufsicht herauszugeben.)
Der Bericht selbst birgt keine Überraschungen – auch den BFP beschäftigen demnach dieselben Datenschutz-Fragen wie andere Religionsgemeinschaften. Interessant sind die Gestaltungsmöglichkeiten, die die BFP-DSO den einzelnen Gemeinden bietet – in der Hoffnung, dass ein so kreativer Umgang europarechtskonform ist.