Die Datenschutzaufsichten von Bund und Ländern stehen in Deutschland ihren kirchlichen Pendants eher kritisch gegenüber. Zumindest wollen sie die Beteiligung überschaubar halten – das war schon bekannt. Über einen Informationsfreiheitsantrag per »Frag den Staat« habe ich bisher unveröffentlichte Dokumente zum Verhältnis und zum Umgang mit den sogenannten »spezifischen« Aufsichtsbehörden (das sind neben den kirchlichen auch die der Medien) bekommen. Herausgegeben wurden die Unterlagen vom Landesdatenschutzbeauftragte von Rheinland-Pfalz, der 2019 den Vorsitz in der Datenschutzkonferenz hatte. Die Datenschutzkonferenz selbst ist leider rechtlich nicht so verfasst, dass man dort direkt IFG-Anfragen stellen könnte.
Inhaltlich gibt es keine großen Überraschungen – aber man kann sehr deutlich ablesen, wie holprig die Zusammenarbeit mit den spezifischen Aufsichtsbehörden ist: Die Dokumente zeigen, wie groß die Skepsis der staatlichen Aufsichten ist und wie gering sie die Beteiligung an ihrer Arbeit halten wollen.
Was bisher bekannt war
Größere Tagesordnungspunkte zu den spezifischen Datenschutzaufsichten gab es auf der 96. (7. und 8. November 2018 in Münster), der 1. Zwischenkonferenz 2019 (29. Januar 2019) und der 97. Konferenz (3. und 4. April 2019 auf dem Hambacher Schloss). Bei der 96. Konferenz wurden zwei Arbeitsaufträge an den AK Grundsatz vergeben, darunter der, die Anforderungen an spezifische Aufsichtsbehörden der Religionsgemeinschaften zu klären, um anerkannt zu werden. Ein Beschlussvorschlag »Beteiligung der spezifischen Aufsichtsbehörden; Teilnahme an Sitzungen der DSK« wurde abgelehnt.
Bei der Zwischenkonferenz 2019 wurden einige Beschlüsse gefällt, die letztlich in den beiden Beschlüssen der 97. Konferenz »zur Beteiligung der spezifischen Aufsichtsbehörden gem. § 18 Abs. 1 Satz 4 BDSG an der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder in Angelegenheiten der EU« (datiert auf 13. Mai 2019) und »zu spezifischen Aufsichtsbehörden« (datiert auf 12. August 2019) mündeten. Aus diesen Beschlüssen ging schon hervor, dass die Voraussetzungen des Artikel 91 DSGVO eng und wörtlich interpretiert werden und die Beteiligung in EU-Angelegenheiten aufs nötigste begrenzt und nur bei besonderer Betroffenheit stattfinden soll.
Was Neues bekannt wurde – Ergebnisse der IFG-Anfrage
Durch die Informationsfreiheitsanfrage wurden insgesamt sechs bisher unbekannte Dokumente öffentlich:
- ein Schreiben an die spezifischen Aufsichtsbehörden mit Einladung zur Beteiligung an der Evaluierung der DSGVO (keine überraschenden Inhalte)
- Zwei Beratungs- und Empfehlungsdokumente des AK Grundsatz zu den Anforderungen an spezifische Aufsichtsbehörden und zu ihrer Einbindung in EU-Fragen
- Anlagen 7, 8 und 9 zum Protokoll der 96. Datenschutzkonferenz. Die Anlagen 7 und 8 sind die ausformulierten Aufträge, die dann in die Beschlüsse und weiteren Beratungen mündeten. Anlage 9 ist der von der DSK deutlich abgelehnte Antrag.
Erhellend ist die Klärung der Frage, welche Anforderungen Religionsgemeinschaften
erfüllen müssen, um der Aufsicht durch unabhängige Aufsichtsbehörden, die spezifischer Art sein können, zu unterliegen – mithin: Wann sie ein eigenes Datenschutzrecht gemäß Art. 91 Abs. 1 DSGVO anwenden dürfen. Das Papier ist die Grundlage für den späteren DSK-Beschluss und zeichnet noch einmal genauer nach, wie es zu der strikten Auslegung kam: »Nach dem klaren Wortlaut der Vorschrift wird hier allein auf bestehende Regelungen Bezug genommen«, argumentiert der AK Grundsatz. Es entspreche nämlich der Intention des Gesetzgebers, dass auch Religionsgemeinschaften der DSGVO unterfallen sollen, Art. 91 DSGVO sei eine reine Bestandsschutzregelung. Auf gegenteilige Meinungen unter Hinweis auf die EU-Grundrechtecharta und Art. 17 AEU-Vertrag, der den rechtlichen Status der Religionsgemeinschaften in den Mitgliedsstaaten sichert, wird verwiesen, sie werden aber nicht für beachtlich gehalten: »Da es sich bei Artikel 91 um eine reine Bestandsschutzregelung handelt, sieht BfDI den Gleichheitsgrundsatz nicht als verletzt und mithin auch keine etwaige Unvereinbarkeit mit Art. 17 AEUV für gegeben an. Grundsätzlich behandelt die DSGVO alle Religionsgemeinschaften gleich, indem sie diese der uneingeschränkten Anwendung der DSGVO und damit auch der Aufsicht durch die (staatlichen) Aufsichtsbehörden i. S. v. Art. 51 DSGVO unterwirft. Art. 91 DSGVO schützt lediglich solche Religionsgemeinschaften, die bereits nach bisherigem Recht ein autonomes Datenschutzregime hatten.« (Gegenteilige Meinungen vertreten etwa Ansgar Hense sowie Martini/Botta.) Interessant ist auch, dass dort ausführlich nur auf die Bestandsschutzregelung eingegangen wird – die Frage, wann Datenschutzrecht »umfassend« und »in Einklang« mit der DSGVO steht, wird nur gestreift, aber nicht ausgeführt.
Das zweite Dokument aus dem AK Grundsatz ist weniger ergiebig. Interessant darin ist vor allem die rudimentäre Teilnehmendenliste für das Treffen von DSK-Vertreter*innen und spezifischen Aufsichtsbehörden: Genannt werden öffentlich-rechtlicher Rundfunk, Landesmedienanstalten, Deutscher Presserat, EKD und Katholische Kirche – also keine der kleineren Gemeinschaften mit eigenen Aufsichten wie etwa die Alt-Katholische Kirche oder der Bund Freikirchlicher Pfingstgemeinden. Benannt wird auch die Schwierigkeit, den Überblick zu behalten: »Die AB von Bund und Ländern können allerdings nur solche spezifischen AB beteiligen, von deren Existenz sie wissen.« Angesichts der engen Auslegung von Art. 91 DSGVO bestehe aber »ohnehin nur eine geringe Wahrscheinlichkeit, dass neben der EKD und den katholischen Kirchen eine größere Anzahl weiterer Religionsgemeinschaften die Voraussetzungen erfüllen«. (Bei der 97. Konferenz wurde die Idee einer Registrierungsmöglichkeit für Religionsgemeinschaften verworfen, m.W. hat nur NRW einen entsprechenden Aufruf öffentlich gemacht.)
Deutlich abgelehnt mit 2 Ja- und 15 Nein-Stimmen wurde die Anlage 9 zum Protokoll der 96. DSK. Über die Gründe steht zwar nichts im Protokoll; angesichts des Inhalts des Beschlussvorschlags lässt sich aber die Stimmung gegenüber einer institutionellen Beteiligung der spezifischen Aufsichtsbehörden über informelle Gesprächsrunden und das gesetzliche Minimum hinaus ablesen. Zwar hielt der Beschlussvorschlag deutlich fest, dass es keine Verpflichtung zur Einbeziehung gebe. Aber: »Als Zeichen der kooperativen Zusammenarbeit und Aufgeschlossenheit strebt die DSK an, eine von spezifischen Aufsichtsbehörden aus den Bereichen Kirchen und Medien aus deren Reihen zu benennende Delegation von 2 (3) Vertretern mit Gaststatus an Sitzungen der DSK teilnehmen zu lassen („Delegationslösung“).«
(Noch nicht beantwortet wurde der zweite Teil der IFG-Anfrage: Die Protokolle der Treffen mit den spezifischen Aufsichten stehen noch aus, weil hier ein Drittbeteiligungsverfahren nötig ist.)
Fazit
Angesichts der Veröffentlichungen der DSK sind die nun öffentlich gemachten Dokumente keine große Überraschung. Sie zeigen aber noch einmal deutlich die Skepsis der staatlichen Behörden, mit (nicht nur) kirchlichen zusammenzuarbeiten – und durch die enge Interpretation des Art. 91 DSGVO ihren Anspruch auf eine Zuständigkeit auch für die meisten Religionsgemeinschaften.
Nicht nur zwischen den Zeilen war auch in Äußerungen kirchlicher Aufsichten schon etwas Unmut über die mangelnde Beteiligung herauszulesen. »Eine [über die Mitarbeit in Arbeitsgruppen] hinausgehende grundsätzliche Beteiligung der eigenständigen kirchlichen Aufsichtsbehörden [in der DSK] ist nach wie vor noch nicht umgesetzt. Hieran wird, auch in Abstimmung mit den anderen spezifischen Aufsichtsbehörden, noch zu arbeiten sein«, hieß es 2018 im Tätigkeitsbericht der Katholischen Datenschutzaufsicht Nord. Auch der EKD-Datenschutzbeauftragte sprach in seinem Bericht für 2017/2018 von »mehrere[n] Bemühungen […], zukünftig von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) stärker beteiligt zu werden. Eine konkrete Mitwirkung in der Konferenz konnte bislang nicht erreicht werden.«
Immerhin steht die Gültigkeit des römisch-katholischen und landeskirchlichen Datenschutzrechts nicht in Frage. (Zumindest, was die im Gesetz genannten Termine angeht – zum Inhalt der Gesetze gibt es keine Äußerungen.) Für kleinere Gemeinschaften sieht das ganz anders aus. Dass die DSK-Beschlüsse nicht nur starke Worte sind, zeigte vor einigen Wochen bereits die Recherche zu den Zweifeln, die einige Aufsichten am Recht mancher kleinerer Religionsgemeinschaften haben. Voraussichtlich 2021 sind die ersten Verfahren zu erwarten – und dann wird sich zeigen, ob die enge Auslegung als Bestandsschutzregelung zu halten ist oder sich die religionsfreiheitsfreundliche Position mit Verweis auf Grundrechtecharta und AEU-Vertrag durchsetzen wird.