Gleich im jeweils ersten Paragraphen gibt es einen deutlichen Unterschied zwischen dem katholischen und dem evangelischen Datenschutzgesetz. Nein, nicht die unterschiedliche Strategie bei der inklusiven Sprache (katholisch-mitgemeint oder evangelisch-neutral), sondern in der Bestimmung des Gesetzeszwecks: Während das katholische Gesetz über den kirchlichen Datenschutz (KDG) die Beeinträchtigung des Persönlichkeitsrechts und die Ermöglichung des freien Verkehrs personenbezogener Daten nennt, kennt das DSG-EKD nur den Schutz des Persönlichkeitsrechts.
Hat das etwas zu bedeuten? Protestantischer Privacy-Puritanismus gegen katholische Lebensfreude am Datenteilen? Haben KDG-Anwender*innen am Ende mit einem zusätzlichen Schutzzweck bessere Karten, um von Facebook über WhatsApp bis Zoom mehr zu dürfen? Oder doch nur redaktionelle Zufälligkeiten?
Der Ursprung der KDG-Formulierung jedenfalls ist kein Geheimnis: Auch Art. 1 Abs. 1 DSGVO erwähnt den freien Datenverkehr. Damit wird aber noch nicht klar, was das zu bedeuten hat – während der »Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten« ziemlich offensichtlich in der DSGVO geregelt wird, sieht es mit dem freien Datenverkehr anders aus. Recht ungnädig urteilt Gernot Sydow in seinem KDG-Kommentar(Affiliate Link), dass es sich lediglich um eine »unreflektierte Übernahme« aus der DSGVO handle (Sydow in Sydow, § 1, RN 8), und noch ungnädiger Richtung EU-Gesetzgeber: »Auch dort ist dieses angebliche Schutzziel der Datenschutzgesetzgebung indes schon fehl am Platz.« Der freie Datenverkehr sei ein Relikt aus der Zeit der Datenschutzrichtlinie, als mit einem Binnenmarktbezug eine EU-Kompetenz konstruiert werden musste.
Art. 1 Abs. 1 DSGVO | § 1 KDG | § 1 DSG-EKD |
Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. | Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch die Verarbeitung seiner personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird, und den freien Verkehr solcher Daten zu ermöglichen. | Zweck dieses Kirchengesetzes ist es, die einzelne Person davor zu schützen, dass sie durch den Umgang mit ihren personenbezogenen Daten in ihrem Persönlichkeitsrecht beeinträchtigt wird. |
Wohlwollender betrachtet Jonas Botta die DSGVO-Formulierung in seinem Artikel »Die Datenverkehrsfreiheit – Ein Beitrag zur Schutzgutdebatte im Datenschutzrecht« im aktuellen Deutschen Verwaltungsblatt (DVBl 2021, 290 – 296 (Ausgabe 5 v. 1. 3. 2021)), der sich der Formulierung gegenüber sehr wohlwollend bemüht, sie fruchtbar zu machen – auch wenn auch er konstatieren muss, dass das Unionsrecht kein eigenständiges Schutzgut der Datenverkehrsfreiheit kenne. »Insbesondere garantiert es keine Datenverkehrsfreiheit i.w.S., die das geltende Datenschutzregime dazu verpflichtete, Informationstransfers generell zu fördern«, so Botta.
Um die Pointe vorwegzunehmen: Botta kommt nicht zum Schluss, dass Art. 1 DSGVO überhaupt die Schutzgüter der DSGVO benennt. Auch er sieht hier die rein formale Funktion der Benennung der primärrechtlichen Grundlage der Verordnung, schließlich sind beide Grundlagen schon im Vertrag über die Arbeitsweise der EU genannt (Art. 16 AEU-V).
Dennoch: Er spielt auch durch, was es denn bedeuten könnte, wenn Datenverkehrsfreiheit tatsächlich ein Schutzgut wäre, und verortet das in älteren Überlegungen für ein umfassendes Informationsgesetzbuch, das nicht nur Datenschutz behandelt. Dafür führt er ein schönes Zitat von Michael Kloepfer aus den 1990er Jahren an: »[ä]hnlich wie die Straßenverkehrsordnung nicht der Verkehrsverhinderung, sondern der Verkehrsermöglichung durch Verkehrsregelung dien[e] , wäre dies bei einer Datenverkehrsordnung für den Datenumgang« der Fall.
Handelte es sich um zwei gleichrangige Schutzgüter, bräuchte es Abwägungen. »Ob eine Datenverarbeitung rechtmäßig ist, richtete sich in diesem Sinne nicht allein danach, ob hierbei der Schutz der personenbezogenen Daten ausreichend gewahrt ist. Ein zu enger Rechtmäßigkeitsmaßstab verstieße vielmehr gegen das gleichrangige Schutzgut freier Informationsflüsse. Zu berücksichtigen wäre stets, dass die Verordnung auch einen (grenzüberschreitenden) Datenverkehr ermöglichen soll«, so Botta. Indes: So lässt sich Art. 1 DSGVO und damit auch § 1 KDG nicht auslegen, ist sein Schluss.
Fazit
Das DSG-EKD regelt unmissverständlich, worum es geht, und vermeidet unnötige Übernahmen aus der DSGVO. Die Datenverkehrsfreiheit im KDG hat wohl tatsächlich keine praktische Bedeutung – ob man so hart über sie urteilen muss, wie es Sydow tut, sei dahingestellt. Aber immerhin: Die Formulierung steht nun einmal da. Und wenn es irgendwann zu Konflikten kommt, gerade etwa bei der alten Debatte, ob Datenschutz-Compliance oder »online da sein, wo die Leute sind«, sticht, könnte man es ja mal versuchen, mit der Datenverkehrsfreiheit zu argumentieren. Es gab schon schlechtere Ausreden für eigentlich illegales WhatsAppen.