Die Europäische Union ist nicht unbedingt dafür bekannt, besonders religiös musikalisch zu sein. Dass das europäische Datenschutzrecht eine eigene Ausnahme für Kirchen und Religionsgemeinschaften hat, ist daher nicht selbstverständlich – selbst wenn die europäischen Verträge eigentlich Religionsfreiheit und die hergebrachten Selbstverwaltungsrechte der Kirchen in den Mitgliedsstaaten achten.
Klar ist: Ohne die Lobbytätigkeit der Kirchen und ohne großen Einsatz der deutschen Bundesregierung hätte es Art. 91 DSGVO (im Entwurfsstadium Art. 85) nicht in die DSGVO geschafft. Wie es dazu gekommen ist und was den Kirchen sonst noch wichtig gewesen ist, zeigen zwei erfolgreiche Informationsfreiheitsanfragen beim Justizministerium und bei der Europäischen Kommission.
Bei beiden Behörden habe ich allgemein nach Lobbytätigkeiten im Zusammenhang mit Datenschutz von Religionsgemeinschaften angefragt. Es zeigte sich: Datenschutz-Lobbyismus ist eine christliche Sache, in der EU sogar eine rein katholische. (Allerdings sind auch die christlichen Kirchen besonders etabliert und gut organisiert – insofern ist die Überraschung nicht allzu groß, dass es keine Angaben anderer Religionsgemeinschaften gab.)
Die EU-Kommission hat ausschließlich Eingaben der COMECE, der Kommission der europäischen Bischofskonferenzen, vorliegen. Ans Justizministerium hatten sich das Katholische Büro und der Bevollmächtigte des Rates der EKD gewandt, beim Gesprächskreis »Staat-Kirche« der beiden Berlin-Vertretungen der Kirchen mit dem Ministerium stand von 2014 bis 2018 Datenschutz auf der Tagesordnung. (2014, 2016 und 2018 die DSGVO, 2017 Kirchlicher Datenschutz. Leider habe ich nur die Tagesordnungen erhalten; eine weitere Informationsfreiheitsanfrage ist raus.)
Ansonsten ist beim Justizministerium nur eine Bitte um ein Gespräch des Bunds der Deutschen Katholischen Jugend (BDKJ) eingegangen im Nachgang des Beschlusses »Daten schützen, Jugendarbeit stützen« der BDKJ-Hauptversammlung 2019, dessen Vorbereitung seitens des Ministeriums in den erhaltenen Unterlagen ausführlich dokumentiert ist. (Weitgehend unspektakulär; viel Beschwichtigung, dass alles nicht so schlimm sei, und das Kunsturheberrechtsgesetz sei weiterhin in Verbindung mit Art. 85 DSGVO anzuwenden – aber sehr lesenswert, um die Arbeitsweise von Ministerien transparenter zu machen.)
(Leider antwortet das Bundesjustizministerium per schwarzweißer Papierkopie – das ist mit Blick auf die fehlenden Farben der Aktenvermerke inhaltlich ärgerlich und führt dazu, dass ich die 50 erhaltenen Seiten noch nicht alle digitalisiert habe.)
Lobbytätigkeit der katholischen Kirche bei der EU
Konsultation zum Gesamtkonzept für den Datenschutz (2011)
Mit Datum vom 14. November 2011 beteiligte sich die COMECE an der Konsultation zum Gesamtkonzept für den Datenschutz in der Europäischen Union (COM (2010) 609 final). Öffentlich sollte der Beitrag übrigens nicht werden: Die COMECE bat, den Beitrag nicht zu veröffentlichen und vertraulich zu behandeln.
Gleich der erste Punkt war ein Hinweis auf Art. 17 AEU-Vertrag – also den Schutz für den Status von Religionsgemeinschaften in den Mitgliedsstaaten – verbunden mit dem Vorschlag, den auch im Bereich des Datenschutzes zu referenzieren. Der Schwerpunkt der Eingabe liegt aber auf genetischen Daten. Hier spricht sich die COMECE deutlich für eine Aufnahme unter die besonders geschützten Kategorien personenbezogener Daten aus, um Diskriminierung und Stigmatisierung vorzubeugen, insbesondere mit Blick auf die Verhinderung von Eugenik.
Interessant ist die explizite Ausdehnung auch auf ungeborenes Leben: »Schließlich ist es wichtig, den Einzelnen gegen all diese Bedrohungen zu schützen. Es ist von größter Wichtigkeit, die verletzlichsten Glieder der menschlichen Gemeinschaft – die ungeborenen Menschen, in vivo wie in vitro – vor derartigen Bedrohungen zu schützen.«
Beitrag zur Evaluierung der DSGVO (2020)
Gut zehn Jahre später, im April 2020, ziehen die europäischen Bischöfe ein positives Fazit bei der ersten Evaluierung der DSGVO. Die Verordnung habe »ohne Zweifel dazu beigetragen, Datenschutzkultur und Bewusstsein für Datenschutz zu stärken«, auch wenn der direkte EU-Durchgriff durch eine Verordnung auch Schwierigkeiten mit sich gebracht habe. Wichtig ist der COMECE vor allem die Berücksichtigung der Religionsfreiheit, allen voran bei der Aufzeichnung von Daten zu Sakramenten. Dass der Schutz der Kirchenbücher vor dem Recht auf Vergessen wichtig ist, zeigte sich bereits in dem kompakten Aktenvermerk zu einem Treffen mit Kommissionsvertreter*innen am 21. Mai 2019. In der Rückmeldung zur Evaluierung schlägt die COMECE vor, in Art. 17 Abs. 3 DSGVO zum Recht auf Löschung neben Ausnahmen zur Ausübung des Rechts auf freie Meinungsäußerung und Information auch Ausnahmen für die Religionsfreiheit zu ergänzen, »in Anbetracht dessen, dass beide Grundfreiheiten vom Europäischen Gerichtshof für Menschenrechte zu den Grundlagen einer demokratischen Gesellschaft gezählt werden«. Bei den besonderen Bedingungen für Archivzwecke (Art. 89 DSGVO) wird vorgeschlagen, private Archive – dazu gehören kirchliche Archive – automatisch als im öffentlichen Interesse liegend zu betrachten. Vermisst wird ein besonderer Schutz von Berufsgeheimnisträger*innen, um die Einhaltung des Seelsorgegeheimnisses zu garantieren.
Ein zentraler Punkt ist die Auseinandersetzung mit Art. 91 DSGVO. Die COMECE betont hier noch einmal, dass die Öffnungsklausel für kirchliches Datenschutzrecht nicht nur mit Blick auf einen Mitgliedsstaat hin verfasst ist, sondern unionsweit dem Schutz dem Selbstverwaltungsrecht der Kirchen dient. Die Bischöfe legen ihren eigenen Interpretationsschlüssel vor und verorten Art. 91 DSGVO in der Normenhierarchie: An der Spitze der Schutz des Grundrechts auf Religionsfreiheit auch in seiner institutionellen Dimension, dann Art. 17 AEU-Vertrag. Dabei spricht sich die Stellungnahme dafür aus, nicht den Verweis auf Verfassungsrecht (wie in DSGVO-Erwägungsgrund 165) als maßgeblich zu betrachten, sondern allgemein das Recht der Mitgliedsstaaten, wie in Art. 17 AEU-Vertrag, um auch dort kirchliches Selbstverwaltungsrecht zu erfassen, wo es einfachgesetzlich geschützt ist.
Zu zwei Aspekten von Art. 91 DSGVO gibt die Stellungnahme Voten ab: die Formulierung »umfassende Regeln« sei bewusst statt »Gesetz« gewählt, so dass es nicht ein einziges, einheitliches Gesetz braucht, um die DSGVO-Anforderungen zu erfüllen. (Das ist im deutschen kirchlichen Recht relevant angesichts der vielen Nebengesetze zum KDG.) Außerdem äußert auch die COMECE Kritik an der Formulierung als bloße Bestandsschutzregelung: »Unsere Ansicht nach ist es willkürlich, das Bestehen umfassender Regeln zum Datenschutz an einen bestimmten Zeitpunkt zu knüpfen«, so die Stellungnahme.
Der Beitrag zur Evaluierung verbleibt zu großen Teilen im direkt kirchenrelevanten Bereich. Nur an zwei Punkten werden auch allgemeine Anmerkungen gemacht: Kritisch gesehen wird, dass der besondere Schutz von Minderjährigen nur bei Online-Angeboten explizit geregelt ist; die Bischöfe wünschen sich eine eigene Rechtsgrundlage »Einwilligung durch Personensorgeberechtigte« (»consent by the holder of parental responsibility over the child«). Eher pragmatisch ist die Kritik an den umfassenden Auskunftsrechten, die gerade kleinen Organisationen hohe Bürokratiekosten aufbürden.
Katholisches Büro und Bevollmächtigter der EKD für den Kirchenartikel
Am 13. November 2014 haben sich der Bevollmächtigte des Rates der EKD, Prälat Martin Dutzmann, und der Leiter des Katholischen Büros, Prälat Karl Jüsten, in gleichlautenden Briefen bei der Bundeskanzlerin und den Ministern für Inneres (de Maizière), Justiz (Maas) und Wirtschaft (Gabriel) für den damals noch unter Art. 85 zu findenden »Kirchenartikel« in der DSGVO eingesetzt.
In der Woche zuvor hatte die Datenschutzarbeitsgruppe der EU-Mitgliedsstaaten (DAPIX) gegen die Bemühung der deutschen Delegation für eine Streichung des Kirchenartikels votiert. Dagegen protestieren die Kirchen-Lobbyisten: »Artikel 85 ist für die Kirchen von zentraler Bedeutung«, heißt es in dem Brief. »Diese Norm soll den Erhalt eines eigenen kirchlichen Datenschutzrechts und einer kircheneigenen Datenschutzaufsicht auch bei Geltung der Datenschutzgrundverordnung erhalten.«
Ohne eine Ausnahme für Kirchen drohten »ein Bruch deutschen Verfassungsrechts sowie ein Verstoß gegen europäisches Primärrecht, i.e. Artikel 17 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV)«. Das kirchliche Datenschutzrecht wird als »zentraler Bestandteil des verfassungs- und mittlerweile europarechtlich garantierten kirchlichen Selbstbestimmungsrecht und Ausdruck der Trennung von Kirche und Staat« bezeichnet. Daher sei der »Kirchenartikel« auch eine Wasserscheide im europäischen Recht: Erstmals nach dem Inkrafttreten des Vertrags von Lissabon werde sich zeigen, ob neu entstehendes Europarecht tatsächlich mitgliedsstaatliches Staatskirchenrecht achtet, wie von Art. 17 AEU-Vertrag gefordert – und auch mit der nuklearen Option wird gewunken: Ohne Selbstbestimmungsrecht drohten zudem »schwerwiegende Verwerfungen zwischen dem deutschen Verfassungs- und dem europäischen Gemeinschaftsrecht«, bis hin zu Folgen, »vor denen das Bundesverfassungsgericht bereits gewarnt hat« (nämlich im Lissabon-Urteil).
Die Antwort des Innenministers Thomas de Maizière (»Sehr geehrter Herr Prälat, lieber Bruder Jüsten«) fällt knapp und wohlwollend aus: »Wie Sie wissen, hat die Bundesregierung sich seit Beginn der Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO) für die Belange der Kirchen eingesetzt.« Am 17. Dezember kann er schon den Erfolg vermelden, dass im Rat der Justiz- und Innenminister am 4. Dezember 2014 der Kirchenartikel wieder hineinverhandelt werden konnte. »Ich bin überzeugt, dass es sich hierbei um eine Regelung handelt, die der besonderen verfassungsrechtlichen Stellung der Kirchen in Deutschland im Ergebnis gerecht wird«, so der Innenminister.
Fazit
Die beiden Berliner Büros von katholischer und evangelischer Kirche hören es nicht gern, wenn man sie als Lobby-Büros bezeichnet. Im Bereich des Datenschutzes scheinen sie sich aber größtenteils genau darauf beschränkt zu haben und in eigener Sache die Einführung des Kirchenartikels in die DSGVO betrieben zu haben.
Auf katholischer Seite ist das zu verschmerzen – die Eingaben der COMECE auf Ebene der EU sind zwar auch in weiten Teilen von staatskirchenrechtlichen Eigeninteressen geprägt. Dazu kommen aber durchaus bedenkenswerte und gemeinwohlorientierte Rückmeldungen im Gesetzgebungs- und Evaluierungsprozess. Interessant ist, dass auf EU-Ebene sich ausschließlich die katholische Seite zu Wort gemeldet hat, gibt es doch auch außerhalb Deutschlands einige Mitgliedsstaaten, in denen auch evangelische Kirchen eigenes Datenschutzrecht anwenden.