Ob die DSGVO wohl das meistkommentierte Gesetz ist? 2019 zählte Winfried Veil in der PiNG 14 Kommentare, der Bücherturm von Paul C. Johannes ist noch höher. Neun dieser Kommentare habe ich hinsichtlich der Kommentierung von Art. 91 DSGVO gesichtet und kommentiert – als kleine Einkaufshilfe für alle, die ihre Auswahl an einer Nischennorm festmachen wollen, und als Überblick darüber, ob und wo es schon herrschende Meinungen zur Öffnungsklausel für Religionsgemeinschaften gibt.

Interessant dabei sind vor allem drei Fragen: Ist Art. 91 DSGVO eine reine Bestandsschutzklausel – oder können auch Religionsgemeinschaften, die das bisher nicht tun, eigenes Datenschutzrecht setzen? Wann ist eigenes Datenschutzrecht »umfassend«, und was muss es erfüllen, damit es »im Einklang« mit der DSGVO steht?

Däubler/Wedde/Weichert/Sommer, 2. Aufl. 2020

Die Linie von Thilo Weichert ist sehr klar, in den meisten Fällen mit Voten für Auslegungen, die den Spielraum der Religionsgemeinschaften am kompaktesten halten, natürlich auch bei der Interpretation als Bestandsschutz. Insbesondere vertritt er die Position, dass eigenes Datenschutzrecht nur bei Kerntätigkeiten angewendet werden kann, der »kirchlichen Mission«, nicht aber im allgemeinen Geschäftsverkehr. Auch religiös motivierte Tätigkeiten seien nicht mehr erfasst. Interessant ist auch der Hinweis, dass Auftragsverarbeiter nicht der Privilegierung unterliegen – das wirft insbesondere für die vom DSG-EKD verlangte Unterwerfung unter die kirchliche Aufsicht Fragen auf. Die Positionen werden durchweg ausführlich und unter Hinweisen auf gegenteilige Auslegungen belegt, Gegenpositionen meist auch diskutiert. Überraschend ist, dass bei der Frage nach dem Einklang die kirchenfreundlichste Regelung gefunden wird: Hier wird kein Verbot der Abweichung vom Schutzniveau gesehen, sondern lediglich ein »angemessenes« (was nicht heißt »voll entsprechendes«) Datenschutzniveau verlangt. Aber da es nach Weichert ohnehin nur um die Anwendung bei Kerntätigkeiten geht, hätte diese Großzügigkeit eher geringe Auswirkungen.

Wolfgang Däubler, Peter Wedde, Thilo Weichert, Imke Sommer: EU-DSGVO und BDSG: EU-Datenschutz-Grundverordnung – Neues Bundesdatenschutzgesetz, 2. Aufl. 2020.^{(Affiliate Link)}

Gierschmann/Schlender/Stentzel/Veil, 2017

Der Kommentar fällt durch seine sehr übersichtliche Gliederung auf: Deutscher und englischer Text von Norm und passenden Erwägungsgründen, ein kompakter Leitsatz (»Bedeutung der Norm«) und praxisrelevante Hinweise für Anwender*innen, in denen auf relevante Definitionen verwiesen wird. Der Kommentar ist noch auf dem Stand vor den Novellen der großen Kirchen, die Bewertung von KDO und DSG-EKD (alt) als nicht mit Art. 91 DSGVO vereinbar ist aber nicht nur historisch interessant: Die Rechtsgrundlage in KDO und DSG-EKD (alt), dass ein anderes Gesetz Verarbeitungen erlauben darf, wird als nicht im Einklang mit der DSGVO stehend bewertet – diese Rechtsgrundlage findet sich aber auch in den geltenden Kirchengesetzen wieder. Der Wortlaut als Bestandsschutzregelung sei zwar eindeutig, in der Sache könne man aber diskutieren, ob das so sein müsse. Eine vollständige Deckung mit der DSGVO wird nicht verlangt, nur eine Gewährleistung »in gleichem Umfang« des Schutzes der Betroffenen, außerdem müssen die Gesetze eine abschließende Regelung des Schutzbereichs leisten. Abzüge in der B-Note gibt es für die immerhin konsequente Falschschreibung »DSG-EDK«.

Sibylle Gierschmann, Katharina Schlender, Rainer Stentzel, Winfried Veil: Kommentar Datenschutz-Grundverordnung, 2017.^{(Affiliate Link)}

Gola, 2017 (Vorauflage)

Die (mir vorliegende) erste Auflage bleibt sehr knapp und kann zeitbedingt noch nicht auf viel Literatur zurückgreifen. Sinnvoll ist der Verweis auf andere Normen außerhalb Art. 91, die Religionsgemeinschaften betreffen, insbesondere die Privilegierung der Mitgliederdaten in Art. 9 Abs. 3 DSGVO. Zwar werden hier einige öffentlich-rechtlich verfasste Gemeinschaften in Deutschland aufgezählt und die KDO und das DSG-EKD (alt) knapp vorgestellt; leider wird aber auch hier konstatiert, dass es nur dort eigenes Recht gebe. Bei der Frage nach der Bedeutung von »umfassend« und »in Einklang« findet Gola kompakte und verständliche Formulierungen (»wenn sie alle Aspekte der DS-GVO, den Gegebenheiten der Kirchen Rechnung tragend, enthält« und »konkretisierend, aber nicht in ihrem Schutzstandard minimierend«), bei der Frage nach der Geltung wird mit dem Stichtag 25. Mai 2016 die für Religionsgemeinschaften am nachteiligste gewählt.

Peter Gola: DS-GVO, 1. Aufl. 2017 (aktuelle Aufl. 2 2018).^{(Affiliate Link)}

Kühling/Buchner, 3. Aufl. 2020

Herbst zitiert die relevante Literatur, hat einen Blick auf die Gesetzgebung der beiden großen Kirchen und grundsätzliche Probleme; andere Ansichten werden erwähnt. Er sieht als Adressat die Mitgliedstaaten, nicht die Religionsgemeinschaften selbst und vertritt eine Interpretation der strengen Bestandsschutzregelung. Das große Augenmerk liegt auf der Frage der Geltung; zur Bedeutung des »Einklangs« beschränkt er sich darauf, der DSGVO »entsprechende« Wertungen zu vertreten – ob und in welchen Fällen Religionsgemeinschaften damit nach oben oder unten abweichen dürfen, wird nicht geklärt. Umfassend sind für ihn Regeln dann, wenn sie den »Anspruch der Vollständigkeit [haben] und nicht durch staatliche Regelungen ergänzt werden müssen«. Angemahnt wird eine staatliche Regelung des Geltungsbereichs religiösen Datenschutzrechts (»also etwa die Frage der Beschränkung auf Mitglieder und auf den religiösen Kernbereich«).

Jürgen Kühling, Benedikt Buchner: DS-GVO und BDSG, 3. Aufl. 2020.^{(Affiliate Link)}

Paal/Pauly, 2. Aufl. 2018 (Vorauflage)

Die große Stärke der Kommentierung von Pauly ist das Aufzeigen alternativer Auslegungen; das ist ehrlich angesichts fehlender Rechtsprechung und unbestimmter Rechtsbegriffe. So wird bei der Frage, was »umfassende« Regeln sind, zur von Pauly vorgezogenen Interpretation (die einzelne Regelung muss ihr DSGVO-Pendant umfassend regeln, ansonsten greift die DSGVO subsidiär) die Alternative einer kompletten Abbildung der DSGVO im kirchlichen Regelungswerk diskutiert. Konsequent ist auch, den Willen des Gesetzgebers für eine Öffnung für Religionsgemeinschaften durchzudenken und damit nicht die jeweils restriktivste Interpretation zu wählen, sondern die, die die Selbstverwaltung der Religionsgemeinschaften ernstnimmt und ermöglicht. Dennoch geht er davon aus, dass es beim Einklang so gut wie keinen Spielraum im Schutzniveau gibt, es geht nur um Konkretisierung. Originell ist die Auslegung, dass Art. 91 sich lediglich auf bestehende Regelungen bezieht und damit trotz des scheinbar klaren Wortlauts nicht ausschließt, dass Religionsgemeinschaften auch nach Inkrafttreten der DSGVO ganz neues Datenschutzrecht schaffen.

Boris P. Paal, Daniel A. Pauly: Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 2. Aufl. 2018 (aktuelle Aufl. 3 2018).^{(Affiliate Link)}

Plath, 3. Aufl. 2018

Die Kommentierung ist sehr knapp, deckt aber die wesentlichen Fragen ab. Verlangt wird von den Regelungen eine »kohärente Systematik« statt Einzelregelungen, um »umfassend« zu sein, der »Einklang« wird über das Harmonisierungsziel der Verordnung dahingehend interpretiert, dass auch eine strengere Regelung in ihrer Zulässigkeit fraglich ist. Grages zeigt sich dem Wortlaut gegenüber skeptisch: Zwar sei der recht eindeutig in Richtung Bestandschutz zu lesen – das sei aber nicht »sachlich gerechtfertigt«, erst Spielräume zu eröffnen und dann sofort wieder zu schließen. Hier rechnet er mit Streitpunkten.

Kai-Uwe Plath: DSGVO BDSG, 3. Aufl. 2018.^{(Affiliate Link)}

Schaffland/Holthaus, Lieferung 7/20

Die kompakteste Kommentierung ist zugleich die enttäuschendste – man kann es nicht anders sagen. In drei Randnummern wird nur kurz erwähnt, dass es außer den beiden im folgenden erwähnten »Kirchen-Datenschutzgesetzen« keine weitere gebe (falsch), das KDG wird falsch als »Anordnung über den kirchlichen Datenschutz« aufgelöst, das DSG-EKD falsch als »DS-EKD« abgekürzt, über die relevanten Fragen erfährt man leider nichts. Art. 91 kann man durchaus extrem kompakt kommentieren, weil für die Anwendung der DSGVO selten benötigt, und dann sind die gewählten Fragen im Grunde auch die praxisrelevanten (wer macht davon in welchen Regelungen Gebrauch?) – nur stimmen sollten die Antworten halt schon.

Hans-Jürgen Schaffland, Gabriele Holthaus: Datenschutz-Grundverordnung (DS-GVO)/Bundesdatenschutzgesetz (BDSG) (Loseblattwerk)^{(Affiliate Link)}

Simitis/Hornung/Spiecker gen. Döhmann, 2019

Die von Achim Seifert besorgte Kommentierung gehört zu den besten auf dem Markt. Leitend ist seine Auslegung im Licht von Art. 17 AEUV, was zu einer tendenziell kirchenfreundlichen Position führt. Nur beim Bestandschutz plädiert er klar für den Wortlaut, der sei aber »wenig glücklich formuliert«. Besonders sticht der Detailreichtum heraus, der ein tiefes Durchdringen der Problematik ermöglicht: Eine sorgfältige Herleitung von Art. 91 aus der Rechtsgeschichte und dem Gesetzgebungsprozess kommt mit Kenntnis auch der kirchlichen Gesetze inklusive ihrer Nebengesetze sowie des katholischen Kirchenrechts und kirchlicher Strukturen zusammen. Das führt dazu, dass wichtige Fragen für die kirchliche Gesetzgebung auch klarer als anderswo beantwortet werden – allen voran die Frage nach dem »Einklang«. Hier plädiert Seifert für die Möglichkeit einer Abweichung im Datenschutzniveau nach oben. Der Autor legt auch einige Schwachstellen der kirchlichen Gesetzgebung offen, etwa mit Zweifeln an der Privilegierung öffentlich-rechtlich organisierter kirchlicher Stellen beim Bußgeld im KDG, der nur zweijährlichen Berichtspflicht des evangelischen Datenschutzbeauftragten und der Rechtsdurchsetzungsfähigkeit kirchlicher Aufsichten. Auch der EU-Gesetzgeber wird kritisiert: So fehle etwa eine Notifizierungspflicht bei der Kommission – in der Tat zeigt die Gesamtschau der Kommentare, dass ein Überblick über Eigenrecht der Kirchen selbst bei Expert*innen nicht gegeben ist.

Spiros Simitis, Gerrit Hornung, Indra Spiecker gen. Döhmann: Datenschutzrecht: DSGVO mit BDSG, 2019.^{(Affiliate Link)}

Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018

Dass Ansgar Hense zu den Kommentatoren gehört, die eine deutlich religionsfreiheitsfreundliche Auslegung vertreten, dürfte keine Überraschung sein. Zudem gehört er zu den am besten informierten über kirchliche Besonderheiten, was schon das umfangreiche Literaturverzeichnis andeutet. Der Kommentar ist umfangreich und ordnet die Norm auch historisch in ihrer Entstehung ein, sowohl mit Blick auf Vorgängergesetze wie auf den Gesetzgebungsprozess der DSGVO. Ausführlicher als andere Kommentare widmet er sich auch der Weiterentwicklung der kirchlichen Datenschutzgesetze und ordnet die Möglichkeit kirchlicher Aufsichten in den jeweiligen kirchenrechtlichen Status quo in Sachen Rechtsdurchsetzungsmöglichkeiten ein – ein umfassender Blick also, der für die (unnötig) komplizierte Sprache entschädigt. Die Interpretation als reine Bestandsschutzregelung findet Hense fragwürdig, schon weil zwischen Beschluss der DSGVO und ihrem Inkrafttreten so wenig Zeit vergangen ist, dass darauf mitgliedsstaatlich kaum zu reagieren war. Insgesamt wird reiner Bestandsschutz kritisch gesehen mit Blick auf Art. 17 AEUV; bei »freiheitskonformer Auslegung« sei es auch neuen Religionsgemeinschaften möglich, sich Datenschutzrecht zu geben, allerdings gebunden an den Körperschaftsstatus. Unter »umfassend« versteht Hense eine »systemisch kohärente Gesamtregelung«. Den geforderten Einklang sieht er »normativ als noch nicht hinreichend konturiert« an, es müsse jedoch einen Gestaltungsspielraum der kirchlichen Gesetzgeber geben, der im wesentlichen ein Konkretisierungsspielraum sei, ein Abweichen von den Schutzstandards nach oben sei aber unproblematisch.

Gernot Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018.^{(Affiliate Link)}

Fazit

Der Überblick über neun Kommentare ist zwar nicht vollständig, zeigt aber doch: Von herrschender Meinung kann man bei kaum einer der relevanten Fragen sprechen, die Art. 91 DSGVO aufwirft. Wie umfassend muss »umfassend« sein, wie klingt »Einklang«, zu alldem gibt es sehr unterschiedliche Positionen. Immerhin: Die große Mehrheit plädiert für ein kohärentes Gesamtsystem und lässt keine Abweichungen nach unten zu. Trotz des eindeutigen Wortlauts ist auch die Frage nach dem bloßen Bestandsschutz offen, mit einer Tendenz zum Ernstnehmen des Bestandsschutzes. (Damit wäre es aus einer Position, die kollektive Religionsfreiheit schätzt, sinnvoll, hier eine Änderung anzustreben – im Interview hatte Gernot Sydow die Frage als zugunsten der kollektiven Religionsfreiheit und des Gleichbehandlungsgrundsatzes geklärt angesehen.) Sogar ganz grundsätzliche Fragen werden noch aufgemacht, nämlich die danach, ob das kirchliche Datenschutzrecht alle Datenverarbeitungen aller kirchlichen Stellen umfasst oder nur sehr eng den Kernbereich religiöser Tätigkeit. Das überrascht angesichts der Praxis: Da ist recht klar, dass nur die jeweiligen Kirchengesetze angewendet werden, und nicht je nach Verarbeitungszweck weltliches und kirchliches nebeneinander – unterschieden wird nur durch die Kirchlichkeitsprüfung, die sich aber auf eigene Stellen bezieht.

Überraschend ist, dass mit einer Ausnahme (Seifert nennt die Neuapostolische Kirche) durchweg nur die beiden Gesetze der großen Kirchen bekannt sind (dabei gibt es einen Wildwuchs an kirchlichen Gesetzen – deren Geltung angesichts der Frage nach dem Stichtag und dem bisweilen vertretenen Anspruch an den Körperschaftsstatus in Deutschland teilweise fraglich ist); zwar werden gelegentlich auch als KdÖR anerkannte andere Religionsgemeinschaften aufgezählt, die Ahmadiyya Muslim Jamaat, die den Status in Hessen seit 2013 hat, wird aber konsequent vergessen.

Bei der großen Anzahl an Kommentaren gibt es natürlich viel Redundanz – einen soliden Überblick über die Bandbreite der Meinungen erhält man am besten mit einem Blick in Däubler/Wedde/Weichert/Somme für die maximal-säkulare Position, dazu entweder Simitis/Hornung/Spiecker oder Sydow für die Position, die kollektive Religionsfreiheit stark macht.