Rechtsgrundlage »Anderes Gesetz« – ein europarechtswidriges Fossil?

Die Rechtsgrundlagen der beiden großen kirchlichen Datenschutzgesetze beginnen mit einem Fossil: In der DSGVO sucht man vergeblich eine Norm, die eine Verarbeitung für rechtmäßig erklärt, wenn sie durch eine andere kirchliche oder staatliche Rechtsvorschrift erlaubt oder angeordnet wird (§ 6 Nr. 1 DSG-EKD und § 6 Abs. 1 lit. a) KDG). Ein Fossil ist dieser Rechtsgrund, weil er jeweils wortgleich aus den Vorgängergesetzen übernommen wurde (§ 3 DSG-EKD alt und § 3 Abs. 1 Nr. 1 KDO), die damit wiederum § 4 BDSG alt nachvollzogen haben.

Ein Verantwortlicher im Anwendungsbereich des Gesetzes über den kirchlichen Datenschutz auf der Suche nach einer anderen kirchlichen oder einer staatlichen Rechtsvorschrift. (Symbolbild, Bildquelle: Carl Spitzweg: Der Bücherwurm (Reproduktion: The Yorck Project/Wikimedia Commons))

Insbesondere katholische Gesetzgeber machen intensiv von dieser Rechtsgrundlage Gebrauch, etwa mit speziellen Gesetzen zu Patient*innen-Datenschutz und Fundraising, und in ökumenischer Eintracht mit Regelungen, die die Veröffentlichung von Personaldaten und -jubiläen in Amts- und Pfarrblättern erlauben. Aber ist das auch legal? Besteht da noch der von der DSGVO geforderte »Einklang« in den Wertungen?

In der Praxis

Wie bei der anderen großen Abweichung von der DSGVO in den Rechtsgründen – dem kirchlichen Interesse – wird über diese kirchliche Besonderheit kaum gesprochen. Wenn der kirchliche Gesetzgeber danach Gesetze erlässt, wird das zur Kenntnis genommen, aber trotz des sehr klaren Wortlauts haben die katholischen Datenschutzaufsichten die staatliche Unsicherheit, ob denn nun das Kunsturhebergesetz weiter angewendet werden könne, eins zu eins mitgemacht und nach und nach die sich entwickelnde Rechtsprechung nachvollzogen, nachdem zunächst vier von fünf Aufsichten davon ausgingen, dass das KUG nicht mehr zur Verfügung steht.

Dass es auch anders geht, zeigt die aktuelle Arbeitshilfe des EKD-Beauftragten für den Datenschutz zu Bildern. Knapp und deutlich (und ohne Bezug auf die Rechtsgrundlage Gesetz) heißt es dort: »Die Veröffentlichung von Fotos unterliegt eigenen Anforderungen und richtet sich nach dem Kunsturhebergesetz (KunstUrhG).«

Das Problem

Herrschende Meinung ist, dass die Liste der Rechtsgrundlagen aus Art. 6 DSGVO abschließend ist. Das heißt nicht, dass Unionsrecht oder Recht der Mitgliedsstaaten nicht als Rechtsgrundlage herangezogen werden können – rechtliche Verpflichtungen und öffentliches Interesse beziehen sich in der Ausgestaltung auf Normen außerhalb der DSGVO. Beide Rechtsgrundlagen sind aber nicht potentiell grenzenlos wie der Wortlaut der kirchlichen Rechtsgrundlage, sondern durch Art. 6 Abs. 2 und 3 DSGVO eingehegt. Möglich sind »spezifischere Bestimmungen«, die allerdings nicht beliebig öffnen, sondern gestaltet sein müssen, »um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten« (Abs. 2). In Abs. 3 wird spezifiziert, was das Unions- oder mitgliedsstaatliche Recht leisten muss, um die Bedingungen der DSGVO zu erfüllen. Dabei müssen die Gesetze »ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen«.

All diese Zügel hat die kirchenspezifische Rechtsgrundlage Gesetz nicht. Dem Wortlaut nach ist sie mit beliebigen Gesetzen umsetzbar – und wenn man sie so interpretiert, kann man guten Gewissens bezweifeln, dass die kirchlichen Gesetze wie von Art. 91 Abs. 1 DSGVO gefordert mit den Wertungen der DSGVO in Einklang stehen. Tatsächlich wird diese Position auch in der Kommentarliteraturliteratur vertreten. Im 2017 erschienenen DSGVO-Kommentar von Gierschmann/Schlender/Stentzel/Veil(Affiliate Link) diskutiert Wienand noch anhand der jeweiligen Vorgängergesetze, ob diese die Anforderungen der DSGVO erfüllen – und unter anderem diese Normen werden für die Bewertung herausgegriffen, um zu zeigen, dass die alten Gesetze »keine umfassenden Regelungen [enthalten], die der Schutzwirkung der DS-GVO gleichwertig wären«: »So ist die Verarbeitung personenbezogener Daten gem. § 3 Abs. 1 KDO und § 3 DSG-EDK [sic!] unter anderem dann zulässig, wenn die KDO bzw. DSG-EDK oder andere kirchliche oder staatliche Rechtsvorschriften die Verarbeitung erlauben oder anordnen. Einen solchen Erlaubnistatbestand kennt Art. 6 DS-GVO nicht.« (RN 8f.)

[Ergänzung, 15. April 2021]Zumindest im KDG findet sich aber vielleicht doch noch eine Zügelung: § 2 Abs. 2 KDG legt fest, dass »besondere kirchliche oder besondere staatliche Rechtsvorschriften« dem Gesetz vorgehen, »sofern sie das Datenschutzniveau dieses Gesetzes nicht unterschreiten«. Das DSG-EKD regelt ähnliches in seinem Paragraphen zum sachlichen Anwendungsbereich – aber ohne Zügel: »Soweit andere Rechtsvorschriften, die kirchliche Stellen anzuwenden haben, die Verarbeitung personenbezogener Daten regeln, gehen sie diesem Kirchengesetz vor.« (§ 2 Abs. 6 DSG-EKD) – also genau umgekehrt wie im staatlichen Recht, wo eine EU-Verordnung den meisten anderen Vorschriften vorgeht. Wie diese Normen mit der Rechtsgrundlage »anderes Gesetz« wechselwirken, ist bisher nicht geklärt.[/Ergänzung – danke an Christian Brecheis für den Hinweis!]

Die Lösung: Europarechtskonforme Auslegung

Für eine Zulässigkeit der besonderen Rechtsgrundlage Gesetz lässt sich mit einer europarechtskonformen Auslegung argumentieren. Zwar enthalten weder KDG noch DSG-EKD Regelungen, die Art. 6 Abs. 2 und 3 entsprechen (auch ein Problem bei der Auslegung des »kirchlichen Interesses«) – mit Hilfe des dort enthaltenen Regelungsgehalts ließe sich aber die Rechtsgrundlage Gesetz retten und die anwendbaren Gesetze nur insofern anwendbar machen, wenn sie diese Bedingungen erfüllen, insbesondere mit Blick auf eine bloße Spezifizierung und welche Rahmenbedingungen für die Verarbeitung gewährleistet wird. [Ergänzung, 15. April 2021]Dafür spricht auch § 2 Abs. 2 KDG.[Ergänzung] Dann stellt sich allerdings die Frage, was eigentlich noch der Unterschied zu den Rechtsgrundlagen rechtliche Verpflichtung und kirchliches Interesse sein könnte.

Eine andere Strategie setzt bei der genauen Lektüre von Art. 91 Abs. 1 DSGVO an: Dort ist nämlich nicht von einem Gesetz oder einer Regelung die Rede, die Religionsgemeinschaften anwenden dürfen, sondern von »umfassenden Regeln« im Plural; statt einem einheitlichen Gesetz könnte auch eine Sammlung von Regeln stehen, und damit wäre die Rechtsgrundlage Gesetz nur der Knoten, der das Bündel an Regeln zusammenhält. Ein Schönheitsfehler bei dieser Argumentation ist die KDG-Formulierung, die auf ein anderes staatliches Gesetz abhebt. Ansonsten ist das aber plausibel: Während die Kern-Gesetze kaum Kirchenspezifisches regeln und im wesentlichen die DSGVO in kirchliches Recht überführen, passiert das eigentlich Interessante in den schon genannten Nebengesetzen wie zum Umgang mit Patient*innen-Daten und der Veröffentlichung von Kasualien und Personalien – und weil Art. 91 auch noch verlangt, dass die Regeln umfassend sind, genügt es eben nicht, nur das Kirchenspezifische zu regeln und der DSGVO den Rahmen zu überlassen.

Fazit

Praktisch ist das schon für die Gesetzgeber, und versuchen kann man’s ja mal, bis der EuGH einem auf die Finger klopft. Aber auch wenn die Rechtsgrundlage Gesetz nur ein Fossil ist (und dafür spricht die Aussage von EKD-Ratsmitglied und DSG-EKD-Vater Jacob Joussen, dass über die Rechtsgrundlage im Gesetzgebungsprozess »nicht konkret« gesprochen wurde): Sie lässt sich durch etwas Interpretationsarbeit einigermaßen europarechtskonform retten. Nur stellt sich auch dann noch die Frage, ob sie wirklich nötig ist – viel sinnvoller wäre es, auf sie zu verzichten und stattdessen kirchliche Äquivalente zur Ausgestaltung der Rechtsgrundlagen kirchliches Interesse und rechtliche Verpflichtung zu schaffen, wie sie in Art. 6 Abs. 2 und 3 DSGVO zu finden sind.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.