Her mit meinen Daten! Informationelle Selbstverteidigung

Manchmal vergisst man bei all der Bürokratie, dass es bei Datenschutz um informationelle Selbstbestimmung und damit um die Verteidigung von Grundrechten geht. Auf Twitter macht die Theologin Doris Reisinger auf Aspekte eines Ausstiegs aus problematischen kirchlichen Gruppen aufmerksam, die man selten im Blick hat: Rentennachzahlung, Testamentsänderung und Datenschutz. (Der ganze Thread lohnt zu lesen. Hier geht’s nur um den datenschutzrechtlichen Aspekt.)

Eine Hand macht eine fordernde Geste
Photo by Kira auf der Heide on Unsplash (bearbeitet)

»Kommunitäten, die ihre Mitglieder kontrollieren, sammeln oft ohne deren Zustimmung auch eine Unmenge personbezogener Daten, die sie auch nach dem Austritt aufheben. Das ist ein Verstoß gegen die DSGVO und das Gesetz über Kirchlichen Datenschutz (KDG)«, schreibt Reisinger und empfiehlt, hier das datenschutzrechtliche Auskunftsrecht zu nutzen. Im Prinzip genügt dafür die Information aus ihrem Tweet: Formloses Schreiben, Auskunft nach einschlägigem Gesetz verlangen, Auskunft erhalten. Gerade im kirchlichen Bereich kann es aber doch komplizierter werden aufgrund des in Art. 91 DSGVO festgeschriebenen Selbstverwaltungsrechts der Kirchen im Datenschutz – deshalb gibt es hier einen Wegweiser durch das Gestrüpp aus speziellen kirchlichen Gesetzen und was man tun kann, wenn die verantwortliche Stelle die Daten nicht rausrückt.

Welche Rechtsgrundlage ist die richtige?

Im Geltungsbereich der DSGVO (also in EU- und EWR-Staaten) gilt entweder die DSGVO unmittelbar oder eigene kirchliche Datenschutzregelungen, die aber in ihren Wertungen mit der DSGVO in Einklang stehen müssen – damit stehen dort immer entsprechende Rechte zur Verfügung. Da es keine zentrale Sammlung solcher kirchlicher Gesetze gibt, ist es leider im religiösen Bereich oft schwierig, herauszufinden, ob ein eigenes kirchliches Datenschutzgesetz gilt und wo das zu finden ist.

In Deutschland wendet die katholische Kirche das KDG an. In Ordensgemeinschaften päpstlichen Rechts wird die weitgehend wortgleiche KDR-OG verwendet. Die evangelischen Landeskirchen haben das DSG-EKD. Auch kleinere Religionsgemeinschaften haben vereinzelt eigenes Datenschutzrecht – Links zu allen (mir) bekannten sind hier in der Rechtssammlung zu finden. Dort gibt es auch eine eigene Seite mit Gesetzen aus anderen EU-Mitgliedsstaaten.

Für Religionsgemeinschaften, die kein eigenes Datenschutzrecht anwenden, gilt die DSGVO direkt und ohne Einschränkung wie für alle anderen auch. Auch viele Länder außerhalb der EU haben Datenschutzgesetze, die aber oft nicht dasselbe Datenschutzniveau wie die DSGVO bieten. Der einzige wirklich datenschutzfreie Raum innerhalb Europas ist der Vatikan – hier hat man keine Chance.

Welche Rechte können ausgeübt werden?

Die Rechte sind in Kapitel 3 der DSGVO (Art. 12 bis 23) zu finden. (Sowie in Abschnitt 2 KDG/KDR-OG, §§ 17 bis 25; Kapitel 3 DSG-EKD, §§ 16 bis 25. )Die wichtigsten Rechte für den beschriebenen Fall sind die auf Auskunft (Art. 15 DSGVO/§ 17 KDG und KDR-OG/§ 19 DSG-EKD) und Löschung (Art. 17 DSGVO/§ 19 KDG und KDR-OG/§ 21 DSG-EKD). Bei eigenen Gesetzen in anderen Sprachen empfiehlt es sich, nach der Terminologie der gesuchten Artikel aus der DSGVO zu suchen – die ist in allen EU-Sprachen verfügbar. Eine Formpflicht gibt es nicht, die verarbeitende Stelle wird aber schon aus Eigeninteresse sicherstellen, dass die anfragende Person wirklich die betroffene Person ist.

Das Auskunftsrecht beinhaltet nicht nur die Auskunft über vorhandene Daten und wie sie verarbeitet werden, sondern auch darüber, ob überhaupt Daten zu der betroffenen Person vorhanden sind – die angefragte Stelle muss also antworten, die erste Kopie der Auskunft ist kostenlos. Auch über eine Datenübertragung in ein Drittland muss informiert werden.

Das Recht auf Löschung kann insbesondere dann ausgeübt werden, wenn die gespeicherten Daten nicht mehr benötigt oder unrechtmäßig verarbeitet wurden. Das trifft in aller Regel auf solche Daten zu, die Reisinger anspricht: »Kommunitäten, die ihre Mitglieder kontrollieren, sammeln oft ohne deren Zustimmung auch eine Unmenge personbezogener Daten, die sie auch nach dem Austritt aufheben.« Kein Recht auf Löschung besteht unter anderem bei Aufbewahrungspflichten, etwa aus steuerlichen oder sozialversicherungsrechtlichen Gründen. Für übergriffige Aufzeichnungen zur Kontrolle Betroffener dürfte das in der Regel nie der Fall sein. Unter Umständen ist eine Löschung nicht möglich, erwünscht (etwa um noch Ansprüche durchsetzen zu können) oder wird aus anderen Gründen verweigert – hier kann das Recht auf Einschränkung der Verarbeitung (jeweils der Artikel oder Paragraph direkt danach) nützlich sein.

Und wenn die Rechte verweigert werden?

Wo ein problematisches Verhalten vorliegt, ist ein anderes oft nicht weit – nur weil die betroffene Person Rechte geltend macht, heißt das noch lange nicht, dass die verantwortliche Stelle dem auch nachkommt. Hier kommen Datenschutzaufsichten und die zuständigen Gerichte ins Spiel.

Am einfachsten ist es, wenn die DSGVO unmittelbar angewendet wird: Dann ist die zuständige Beschwerdestelle die jeweilige staatliche Aufsichtsbehörde, in der Regel eine nationale (wie zum Beispiel in Italien oder Österreich), in Deutschland aber föderal organisierte Stellen. Religionsgemeinschaften, die nach Art. 91 Abs. 1 DSGVO eigenes Datenschutzrecht anwenden, können gemäß Art. 91 Abs. 2 DSGVO eine eigene Datenschutzaufsicht einrichten. Auch dafür gibt es leider keine Übersicht, auch das ist wieder hier in der Rechtssammlung nachgehalten.

Die gute Nachricht: Man kann man sich bei jeder Datenschutzaufsicht beschweren, obwohl immer nur genau eine bestimmte Behörde für jede verantwortliche Stelle zuständig ist. Die Aufsicht, bei der die Beschwerde eingeht, wird die Beschwerde an die zuständige weiterleiten. Im Fall von kirchlichen Aufsichtsbehörden ist damit gegebenenfalls auch eine Prüfung verbunden, ob die (angebliche) kirchliche Behörde überhaupt die Anforderungen der DSGVO an solche Behörden erfüllt (da sind deutsche Aufsichten gelegentlich kritisch). Die Beschwerde bei der nicht zuständigen Aufsicht dauert also im Zweifelsfall nur länger, wird aber dasselbe Ergebnis haben. Eine gute Strategie bei unbekannter Zuständigkeit ist es, sich bei der staatlichen Aufsicht zu beschweren, die geographisch passen könnte.

Gegen Entscheidungen der Aufsichtsbehörden kann man sich bei den zuständigen Gerichten wehren, die auch wieder kirchliche sein können; ansonsten sind die Gerichte zuständig, die für Datenschutz zuständig sind. In Deutschland regelt das § 44 BDSG, in der katholischen Kirche § 8 KDSGO. Der Rechtsweg kann auch direkt beschritten werden, ohne eine Aufsicht einzuschalten. Gegenüber den Aufsichtsbehörden ist keine besondere Form bei der Beschwerde vorgeschrieben: Fall beschreiben, abschicken, fertig. Das katholische Datenschutzgericht ist bekannt dafür, sehr wohlwollend auch nicht ganz korrekte Schriftsätze von Laien ernsthaft zu bearbeiten.

Was kann schiefgehen?

Die genannten Rechte bestehen – das ist unstreitig. Es kann aber Konstellationen geben, in denen Datenschutzaufsichten oder -Gerichte zum Schluss kommen, dass sie nicht ausgeübt werden können. Von einem solchen Fall berichtete 2019 die österreichische Datenschutzbehörde. Dabei ging es um das »Recht auf Auskunft betreffend Dokumente, die von einer Religionsgemeinschaft in einem verschlossenen Umschlag aufbewahrt werden« (Aktenzeichen DSB-D123.874/0016-DSB/2019).

Der Beschwerdeführer war aus einer Religionsgemeinschaft ausgetreten, die über ihre Mitglieder Aufzeichnung in besagtem Umschlag aufbewahrt: »Die Beschwerdegegnerin brachte vor, sie stelle dem Beschwerdeführer deshalb keine Kopien der Unterlagen im verschlossenen Umschlag bereit, weil ihr Vorgehen religionsrechtlichem Gewohnheitsrecht entspreche und weltweit seit Jahrzehnten geübte Praxis der Religionsgemeinschaft sei, häufig Sachverhalte vorliegen würden, die der Privat- bzw. Intimsphäre der Beteiligten zuzurechnen seien und der Schutz des Seelsorgergeheimnisses von höchster Bedeutung sei.« Auskunft darf unter anderem nicht über Daten gegeben werden, die die Rechte Dritter beeinträchtigten; in der Regel würde man hier mit Schwärzungen arbeiten.

Abgelehnt hat die Datenschutzbehörde die Auskunft auf Grundlage der korporativen Religionsfreiheit, nachdem sie geprüft hatte, »ob durch eine Stattgabe der Beschwerde in die inneren Angelegenheiten der Religionsgemeinschaft eingegriffen würde«. Die Datenschutzbehörde vertrat die Position, dass dies der Fall sei, damit wurde hier das Auskunftsrecht verneint. Gegen eine derartige Entscheidung könnte aber geklagt werden – und spätestens vor dem letztzuständigen Europäischen Gerichtshof, der es mit korporativer Religionsfreiheit nicht so hat, dürften die Chancen besser als vor der österreichischen Datenschutzbehörde sein.

Fazit

»Soweit ich sehe, kümmert sich niemand in der Kirche um den Schutz dieser Rechte. Wir müssen es also selbst tun«, schreibt Reisinger. Immerhin: Mit den Datenschutzgesetzen, den Aufsichtsbehörden und den Gerichten haben betroffene Personen gut zugängliche Instrumente selbst in der Hand – Instrumente, die zwar nicht alle Probleme lösen können, aber anders als hierarchische Rekurse, Gewissenserforschung der kirchlichen Obrigkeit und oberhirtliche Aufsicht transparent, einfach, nach rechtsstaatlichen Standards und oft auch schnell eingesetzt werden können.

Weiterführende Links

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.