In Berlin, Hessen, Nordrhein-Westfalen und Niedersachsen haben die Landesdatenschutzaufsichten Zweifel an der eigenen Datenschutzgesetzgebung verschiedener Religionsgemeinschaften. Auf Anfrage von »Artikel 91« haben die Behörden angegeben, das Datenschutzrecht kleinerer Religionsgemeinschaften auf die Erfüllung der europarechtlichen Anforderungen zu überprüfen. Laut einem Sprecher der nordrhein-westfälischen Aufsicht sei es sowohl beim Katholischen Bistum der Alt-Katholiken in Deutschland sowie bei der Neuapostolischen Kirche Westdeutschland (NAK) »fraglich, ob das eigene Datenschutzrecht die Anforderungen des Art. 91 (1) DS-GVO« erfüllt. Im äußersten Fall könnte das dazu führen, dass die betroffenen Gemeinschaften die DSGVO anwenden müssen und ihre eigenen Aufsichten keine Rechtsgrundlage haben. Inwiefern das mit dem grundgesetzlich (und europarechtlich) verbürgten Selbstverwaltungsrecht der Kirchen vereinbar wäre, ist noch nicht abzusehen.
Mit Verweis auf das laufende Verfahren wollten die Berliner und die niedersächsische Landesdatenschutzbeauftragten keine näheren Angaben zu den Zweifeln und zu den betroffenen Religionsgemeinschaft machen. Auch aus Hessen gibt es keine Angabe zu den betroffenen Gemeinschaften.
Auf Anfrage bestätigte allerdings der Datenschutzbeauftragte der Selbständigen Evangelisch-Lutherischen Kirche (SELK), Jochen Springer, dass die niedersächsische Aufsicht »die vorläufige Auffassung vertritt, dass die SELK nicht zum Kreis der Berechtigten nach Art. 91 DSGVO zählt und hierüber voraussichtlich demnächst eine gerichtliche Entscheidung eingeholt werden muss«. Auch andere Landesdatenschutzaufsichten hätten bei kleineren Gemeinschaften ähnliche Nachfragen gestellt, »die auf eine Aberkennung der kirchlichen Selbstverwaltungsrechte in Datenschutzfragen abstellen«, so Springer.
Die NAK Westdeutschland wurde laut ihrem Sprecher Frank Schuldt bisher vom Landesdatenschutzbeauftragten nicht über die Einschätzung als »fraglich« informiert. »Allerdings schreibt dieser ja auch, dass die Prüfung der Behörde noch nicht abgeschlossen ist und es sich nur um eine vorläufige Einschätzung handelt. Wenn es konkrete Bedenken geben sollte, bin ich zuversichtlich, dass sich diese ausräumen und klären lassen«, so Schuldt.
Die Bewertung als »fraglich« bedeutet laut dem Sprecher der NRW-Behörde, dass es sich um einen Zwischenstand handle, »weil wir bisher nicht feststellen konnten, dass alle Voraussetzungen des Art. 91 DS-GVO erfüllt sind«. Die Anforderungen der DSGVO an ein eigenes Datenschutzrecht für Religionsgemeinschaften besagen, dass ein eigenes Recht dann weiter angewendet werden darf, wenn es »umfassend« ist und zum Zeitpunkt des Inkrafttretens der DSGVO bereits angewendet wurde und »in Einklang« mit der DSGVO gebracht wird. Die nordrhein-westfälische Aufsicht habe bereits mit Fällen zu tun gehabt, in denen es unklar war, ob die Regeln bereits vor Inkrafttreten der DSGVO angewendet wurden und ob sie als »umfassend« angesehen werden können. Auch der hessische DSB weist darauf hin, dass problematisch vor allem Fälle von Gemeinschaften seien, die in Deutschland unter das Kirchenprivileg fallen, vor Inkrafttreten der DSGVO aber keine umfassenden datenschutzrechtlichen Regeln hatten.
Außerdem sei es laut dem NRW-DSB »häufig« fraglich, ob eine Untergliederung in den Anwendungsbereich der kirchlichen Regeln fällt, etwa bei Krankenhäusern und Senioreneinrichtungen, sowie »gelegentlich« im organisatorischen Bereich einer Religionsgemeinschaft. Zahlen zur Häufigkeit derartiger Fälle würden nicht erhoben, so der Sprecher. Zweifel zur Zugehörigkeit werden in den Gesetzen der großen Kirchen unterschiedlich gelöst: Gemäß § 2 Abs. 1 DSG-EKD führen EKD und Landeskirchen Listen der zugehörigen Einrichtungen. Das römisch-katholische KDG trifft keine explizite Regelung, hier müssen die Kriterien der »Kirchlichkeitsprüfung« angewandt werden.
Laut Behördenaussagen gibt es keine Zweifel über die Datenschutzregeln von Religionsgemeinschaften bei den Landesdatenschutzaufsichten in Baden-Württemberg, Bayern, Brandenburg, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt, Schleswig-Holstein und Thüringen, auch dem Bundesdatenschutzbeauftragten (in dessen Zuständigkeit allerdings auch keine Religionsgemeinschaften fallen) sind keine derartigen Fälle bekannt. Die bremische Aufsicht hatte zwar schon Fälle mit Bezug zu Religionsgemeinschaften zu bearbeiten, hat aber »ressourcenbedingt« die Voraussetzung von Art. 91 DSGVO nicht überprüft. [Ergänzung, 20. November 2020] Hamburg prüft derzeit noch Beschwerden zu Datenverarbeitungen von Religionsgemeinschaften, die nicht zuständigkeitshalber weitergegeben werden konnten. [/Ergänzung] Mecklenburg-Vorpommern hat auf Presseanfragen bisher nicht reagiert.
Was das EU-Recht von kirchlichem Datenschutzrecht verlangt
Die Anforderungen des Art. 91 Abs. 1 DSGVO sind in einigen Aspekten derzeit noch interpretationsoffen; Gerichtsentscheidungen dazu sind bisher nicht bekannt. Zur Auslegung von »umfassend« und »in Einklang« gibt es verschiedene Ansichten; insbesondere die Frage, unter welchen Bedingungen das Datenschutzrecht einer Religionsgemeinschaft nach oben oder unten von den Wertungen der DSGVO abweichen darf, wird unterschiedlich beantwortet.
Auch die scheinbar klare Festlegung, dass die Öffnungsklausel nur für Gemeinschaften greift, die bereits vor Inkrafttreten der DSGVO ein eigenes Datenschurecht angewendet haben, wird hinterfragt. Während die Datenschutzkonferenz die Regelung dem Wortlaut nach als reinen Bestandsschutz interpretiert, argumentiert etwa Ansgar Hense im DSGVO-Kommentar von Sydow(Affiliate Link), dass diese Auslegung »durchaus fragwürdig« sei, schon weil das Inkrafttreten der DSGVO bereits auf den 24. Mai 2016 datiert ist und damit kaum Spielraum für die Mitgliedsstaaten bestand, entsprechende staatskirchenrechtliche Regelungen zu treffen. Eine »derart religionsfreiheitsunfreundliche Auslegung« sei weder mit dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV), der EU-Grundrechtecharta noch mit der Europäischen Menschenrechtskonvention zu vereinen. Art. 17 Abs. 1 AEUV legt fest, dass die EU den Status der Religionsgemeinschaften in den Mitgliedsstaaten achtet und nicht beeinträchtigt. Ein reiner Bestandsschutz ohne die Möglichkeit, dass Religionsgemeinschaften nach Inkrafttreten der DSGVO eigenes Datenschutzrecht setzen, sei damit nicht zu vereinbaren.
Zumindest was den zeitlichen Aspekt angeht, scheinen die fraglichen Regelwerke den Bedingungen des Art. 91 Abs. 1 DSGVO zu entsprechen. Das Bistum der Alt-Katholiken hat seit mindestens 1982 eine Datenschutzordnung, die 2016 und am 24. Mai 2018 in neuer Fassung in Kraft gesetzt wurde. Die Richtlinie zum Datenschutz in der SELK vom 24. Mai 2018 ersetzte eine Richtlinie von 1993; zwar wurde die Richtlinie 2018 zunächst nur vorläufig von der Kirchenleitung in Kraft gesetzt und erst 2019 von der Synode dauerhaft beschlossen. Ein europarechtliches Hindernis sollte das allerdings nicht darstellen – die innere Organisation einer Religionsgemeinschaft ist ihre eigene Angelegenheit; insbesondere kann man der SELK hier auch keinen Legitimitätsmangel ihrer internen Abläufe von außen konstatieren, wenn es völlig unstreitig ist, dass etwa in der katholischen Kirche der Diözesanbischof alleiniger Gesetzgeber ist. Die Richtlinie der NAK Westdeutschland trat zum 1. Mai 2018 in Kraft und ersetzte eine bereits bestehende Richtlinie.
In der Sache ist es mangels Rechtsprechung sehr schwer, anhand der jeweiligen Gesetzestexte eine Einschätzung zu treffen, ob die Regelwerke die Anforderungen an »umfassende« Regeln und Einklang mit den Wertungen der DSGVO erfüllen. Die KDO der Alt-Katholik*innen ebenso wie die Richtlinie der SELK (RDS-SELK) orientieren sich beide an der Struktur der DSGVO, teilweise lassen sich Nähen zu den römisch-katholischen und landeskirchlichen Gesetzen erkennen. Die SELK trifft einige Regelungen, die auf die besondere Situation einer kleinen, ehrenamtlich getragenen und wenig vermögenden Gemeinschaft angepasst ist. Eine Informationspflicht entsteht gemäß RDS-SELK nicht schon bei Erhebung, sondern erst auf Anfrage (praktisch: es braucht zum Beispiel keine »Datenschutzerklärungen« auf Webseiten). Hier kann man streiten, ob das noch das Erfordernis des »Einklangs« erfüllt. Dafür spräche, den risikobasierten Ansatz der DSGVO starkzumachen: Der Datenschutzbeauftragte der SELK argumentiert auf Anfrage durchaus überzeugend, dass damit lediglich eine kirchliche Adaptierung der sehr von wirtschaftlichen Organisationsstrukturen geprägten Systematik der DSGVO vorliege. Die auf den ersten Blick vorliegenden Abschwächungen würden demnach tatsächlich eine bessere Umsetzbarkeit und so einen höheren tatsächlichen Datenschutz bedeuten.
Die Richtlinie zum Datenschutz der NAK Westdeutschland ist deutlich kompakter als andere Eigengesetze; einige Standards wie die Rechtsgrundlagen der Verarbeitung werden kaum ausgeführt, stattdessen wird festgelegt, dass »Mitglieder der Neuapostolischen Kirche Westdeutschland […] mit Unterschrift auf dem Mitgliedsdatenblatt bei der Heiligen Versiegelung oder Konfirmation ihr Einverständnis zur kirchlichen Erhebung, Verarbeitung und Nutzung ihrer personenbezogenen Daten« erklären – ein deutlicher Unterschied zur Systematik der DSGVO und anderer Regelwerke. Bei der NAK Westdeutschland dürften sich die deutlichsten Anfragen an den umfassenden Charakter und den Einklang mit der DSGVO stellen.
Fazit
Für die betroffenen Gemeinschaften ist die Lage misslich – gerade kleine Gemeinschaften haben nicht dieselben Ressourcen für komplizierte Rechtsstreitigkeiten wie große Kirchen mit ihren Rechtsabteilungen. Nach welchen Kriterien die Gemeinschaften ausgewählt wurden, ob etwa konkrete Beschwerden den Ausschlag gegeben haben, ist nicht ersichtlich – mit Alt-Katholik*innen und SELK trifft es zudem zwei Gemeinschaften, die trotz ihrer geringen Größe sehr professionell aufgestellt sind und ausweislich der veröffentlichten Informationen zu ihrem Datenschutzmanagement und der transparenten Kommunikation ihrer Aufsichten zu denjenigen kleinen Gemeinschaften gehören dürften, in denen der eigene Datenschutz mit am besten umgesetzt wird.
Für die Rechtsfortbildung dürften die Verfahren aber viel bringen – noch ist die religionsfreiheitsfreundliche Auslegung von Hense in der Literatur eine Minderheitenmeinung. Von einer Klärung der materiellen Anforderungen an kirchliches Datenschutzrecht, um »im Einklang« mit der DSGVO zu stehen, dürften alle Religionsgemeinschaften profitieren, auch die großen, und die Wechselwirkungen zwischen Art. 91 DSGVO und dem staatskirchenrechtlichen Rahmen des Grundgesetzes sind auch noch nicht ausgelotet. Sowohl beim KDG wie beim DSG-EKD steht die erste Evaluierung in den kommenden Jahren an – bisher konnte dabei nur spekuliert werden, welche Spielräume tatsächlich bestehen. Die eine oder andere Schleife über den EuGH sollte aber eingeplant werden – vielleicht wird es doch erst die zweite Evaluierungsrunde, bei der alle von den zu erwartenden Verfahren profitieren können.