Die Datenschutzkonferenz des Bundes und der Länder treffen sich regelmäßig mit den spezifischen Datenschutzaufsichten – das sind die der Medien und der Religionsgemeinschaften. Was dort besprochen wurde, blieb bisher vor der Öffentlichkeit verborgen. Eine erfolgreiche Informationsfreiheitsanfrage beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, der 2019 den Vorsitz in der DSK hatte, bringt nun ans Licht, was dort besprochen wurde.
Zwei Protokolle der Treffen vom 21. Mai und 15. Oktober 2019 sind nun öffentlich, geschwärzt wurden nur die Namen der Teilnehmenden. Ganz heiße Neuigkeiten stehen nicht in den Protokollen – nur die restriktive und wenig religionsfreiheitsfreundliche Auslegung von Art. 91 DSGVO auch durch die spezifischen Aufsichten überrascht.
Dissens gibt es zwischen den staatlichen und den spezifischen Aufsichtsbehörden darüber, wie stark die spezifischen bei der Arbeit der Datenschutzkonferenz zu beteiligen sind. Das zeigte sich auch schon in den zuvor per Informationsfreiheitsgesetz befreiten Protokollen. Die staatlichen tendieren dazu, das eher restriktiv zu handhaben, das ging schon aus den Ergebnissen einer vorigen Informationsfreiheitsanfrage hervor. Im Protokoll vom 21. Mai betont der Rundfunkdatenschutzbeauftragte, dass die spezifischen Aufsichten rechtlich ebenso unabhängig seien wie die staatlichen. »Aus dem Begriff ›spezifisch‹ könne dabei nicht hergeleitet werden, dass eine Zusammenarbeit nur dann stattzufinden habe, wenn es um ›spezifische‹ Fragen gehe; vielmehr müsse sich eine solche auf sämtliche Themen beziehen, mit denen sich parallel sowohl die staatlichen wie auch die ›spezifischen‹ Aufsichtsstellen befassten«, so das Protokoll. Im Ergebnis gibt es besseren Informationsfluss, einen Mailverteiler und die Möglichkeit zur Mitarbeit in Arbeitskreisen der DSK.
Angesprochen wird auch die Aufforderung an weitere spezifische Aufsichtsbehörden nach Art. 91 DSGVO, sich zu melden. In der Mai-Sitzung wurde das angekündigt, in der Oktober-Sitzung gab es erste Ergebnisse: Nur im Saarland hat sich eine Aufsicht gemeldet, die nun auf ihre Erfüllung der Voraussetzungen geprüft wird.
Restriktive Auslegung von Art. 91 DSGVO
Interessant ist dabei die Auslegung von Art. 91 DSGVO: »Die Teilnehmer sind sich in diesem Zusammenhang einig, dass es sich bei Art. 91 DS-GVO um einen Bestandsschutz handelt, d.h. die betroffene Weltanschauungs- oder Glaubensgemeinschaft muss bereits vor dem 25.05.2016 ein Datenschutzrecht besessen haben.« Diese dem Wortlaut entsprechende Interpretation als reine Bestandsschutzregelung hielt der Europarechtler Gernot Sydow im Interview für klar europarechtswiedrig. Besonders solidarisch ist das von den großen Kirchen nicht – anwesend waren, geht man nach den protokollierten Wortmeldungen, nur die Aufsicht der EKD und ein katholischer Diözesandatenschutzbeauftragter.
Ansonsten gab es vor allem einen Austausch über Sachthemen. Die Vertreter*innen der Kirchen sprachen unter anderem Probleme mit MS Office 365, Datenschutz-Folgenabschätzungen und den aktuellen Stand der Bußgelder an. Der Beauftragte für den Datenschutz der EKD berichtete davon, dass noch eine weitere Konsolidierung der evangelischen Aufsicht geplant ist. 16 der 20 Landeskirchen und neun diakonische Werke hatten zum Protokollzeitpunkt dem BfD-EKD die Aufsicht übertragen. Zudem plane er ein Konzept zur effektiven Datenschutzkontrolle, was durch die vielen zu beaufsichtigenden Stellen anspruchsvoll sei: »Aufgrund der Vielzahl der zu kontrollierenden Stellen (15.000 Kirchengemeinden, 20 Landeskirchen und 33.000 diakonische Einrichtungen) handle es sich hierbei jedoch um eine enorme Herausforderung«, steht im Protokoll.
Fazit
Transparenz ist immer noch harte Arbeit. Die Informationsfreiheitsfrage hat Monate bis zur ihrer Beantwortung gebraucht – dabei sind die Inhalte nicht übermäßig geheimhaltungsbedürftig. Hier wäre eine generelle Veröffentlichung von Protokollen wünschenswert.
Denn inhaltlich sind die geheimen Protokolle so spannend nicht – etwas ernüchternd ist, dass die anwesenden spezifischen Aufsichten zwar für ihre Beteiligungsrechte eintreten, aber auch die kirchlichen Aufsichten nicht für eine religionsfreiheitsfreundliche Auslegung von Art. 91 DSGVO eintreten.