Unter der Lupe: Kirchliche Datenschutzaufsicht DSGVO-konform?

Grundsätzlich ist es um die kirchliche Datenschutzaufsicht gut bestellt: Zweifel daran, dass das kirchliche Datenschutzregime bei den großen Kirchen trägt, werden in der Praxis kaum geäußert. Eine Presseanfrage bei den staatlichen Aufsichten jedenfalls hat im vergangenen Jahr keinen Konfliktfall mit einer römisch-katholischen oder landeskirchlich-evangelischen Aufsicht ans Licht gebracht.

Dennoch gibt es auch immer wieder Zeichen dafür, dass die von Art. 91 Abs. 2 DSGVO geforderte Erfüllung der Bedingungen, die auch den staatlichen Behörden auferlegt sind, nicht immer ganz klar ist. In den letzten Monaten hörte man etwa den Hilfeschrei aus Bayern ob der prekären finanziellen und personellen Ausstattung der katholischen Datenschutzaufsicht, und angesichts des Tätigkeitsberichts der Südwest-Diözesandatenschutzbeauftragten mit minimalen Fallzahlen kann man die Frage stellen, ob kirchliche Stellen hier nicht eine besonders zahme Aufsicht bekommen. (Leider halten sich die kirchlichen Aufsichten nicht an das Tätigkeitsberichtsmuster der staatlichen Datenschutzkonferenz und geben überhaupt nur sehr selten Zahlen an – daher ist hier eine Vergleichbarkeit schwierig.)

Könnte sich das zum Problem für die kirchlichen Aufsichten entwickeln? Und was würde überhaupt passieren, wenn kirchliche Aufsichten nicht die Anforderungen der DSGVO erfüllen?

Ganz pragmatisch lässt sich zunächst feststellen: Bei aller Skepsis der staatlichen Datenschützer*innen scheint es doch Konsens zu sein, dass die Aufsichten der großen Kirchen ihre Sache im Großen und Ganzen schon richtig machen (auch wenn man im Gespräch mit Verantwortlichen aus den kirchlichen Aufsichten doch bisweilen eine gewisse Nervosität wahrnimmt, nur ja in allen Handlungen einen möglichst großen Einklang mit den staatlichen Einschätzungen herzustellen).

BayLDA sieht keinen Handlungsbedarf

»Für das BayLDA besteht kein Anlass, sich mit dieser Frage zu befassen«, antwortete der Präsident des Bayerischen Landesamts für Datenschutzaufsicht Michael Will kurz und knapp auf die Anfrage, ob angesichts des Ressourcenmangels bei der katholischen bayerischen Aufsicht Handlungsbedarf für seine Behörde bestehe. Der bayerische Diözesandatenschutzbeauftragte hatte in seinem jüngsten Tätigkeitsbericht festgestellt, dass seine Ausstattung »nicht zur Erfüllung der Mindestanforderungen des KDG« ausreiche.

Zur Frage, ob die katholische Aufsicht nach Einschätzung des BayLDA die Anforderungen der DSGVO erfülle, und was im Konfliktfall passiere, wurde nur verklausuliert geantwortet: »Etwaige Zuständigkeitsabgrenzungen bei nicht öffentlichen Stellen, die sich auf eine Trägerschaft durch Kirchen, religiösen Vereinigungen oder Gemeinschaften und in deren Konsequenz auf eine gesonderte Datenschutzaufsicht berufen, berücksichtigen bei Gewährleistung eigenständiger Datenschutzregeln im Sinne des Art. 91 Abs. 1 DS-GVO in Übereinstimmung mit Art. 91 Abs. 2 DS-GVO lediglich, ob eine unabhängige Datenschutzaufsicht gewährleistet ist, die insgesamt die in Kapitel VI der DS-GVO aufgestellten Anforderungen erfüllt.« Das öffnet immerhin die Tür einer Kontrolle im Konfliktfall.

Zweifel in der Rechtswissenschaft

Weniger zurückhaltend zeigt sich die Rechtswissenschaft. Die wohl deutlichste Kritik an der Leistungsfähigkeit der kirchlichen Aufsichten – und zwar prinzipiell und nicht anhand der faktischen Ausstattung und Tätigkeit – äußert Achim Seifert in seiner Kommentierung von Art. 91 im DSGVO-Kommentar von Simitis(Affiliate Link) (Rnn. 27–30). Er schildert unter anderem Defizite bei den Instrumenten der Aufsicht und bei Durchsetzungsmöglichkeit von Entscheidungen, mahnt aber etwa auch die aus seiner Sicht europarechtswidrige nur zweijährliche Rechenschaftspflicht im evangelischen Datenschutzrecht an. Die Defizite hält er für so schwerwiegend, »dass sie nicht die in Kapitel VI der DSGVO niederlegten Bedingungen erfüllen, wie Abs. 2 dies verlangt«. Insoweit bestehe ein »erheblicher Nachholbedarf des kirchlichen Datenschutzrechts«.

Das Problem: Art. 91 Abs. 2 DSGVO regelt zwar, dass kirchliche Aufsichten die staatlichen Standards erfüllen müssen – aber nicht, wie das wer überprüfen kann. Seifert geht von einer subsidiären Zuständigkeit der räumlich zuständigen staatlichen Aufsicht aus. (Beim BayLDA ging nach deren Auskunft allerdings bisher noch keine Beschwerde gegen kirchliche Verantwortliche ein.)

Eine Überprüfung über den kirchlichen Rechtsweg scheint nicht realistisch; hier fehlt den kirchlichen Gerichten wohl die Kompetenz und wahrscheinlich der Wille dazu (auch wenn eventuell eine Vorlage zum EuGH möglich wäre). Der realistischste Weg hin zu einer Überprüfung einer kirchlichen Datenschutzaufsicht wäre damit die Beschwerde bei einer staatlichen Aufsicht unter der Angabe, man zweifle an der Erfüllung der Anforderungen der DSGVO durch die kirchliche Aufsicht. Auch wenn die staatlichen Aufsichten gerade wenig Enthusiasmus zeigen, in diesen Konflikt zu gehen: Hier wäre dann wohl eine gerichtliche Klärung, in der sich letzten Endes der EuGH äußern müsste, möglich.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.