Im Datenschutzrecht gilt das Prinzip des Verbots mit Erlaubnisvorbehalt – jede Verarbeitung braucht eine Rechtsgrundlage. Im kirchlichen Datenschutzrecht entsprechen diese Rechtsgrundlagen weitgehend denen der Datenschutzgrundverordnung. Aber eben nur weitgehend: Eine Abweichung ist die Rechtsgrundlage des »kirchlichen Interesses«. Das ist zwar dem aus der DSGVO bekannten »öffentlichen Interesse« nachgebildet – aber es gibt doch einige Unterschiede und viele Unklarheiten, weil weder im Gesetz noch durch Äußerungen der Gesetzgeber präzisiert wird, wer sich wann wie darauf berufen kann.
Die Rechtslage
In der DSGVO
Art. 6 Abs. 1 lit. e) DSGVO regelt die Zulässigkeit einer Verarbeitung, die für die »Wahrnehmung einer Aufgabe erforderlich [ist], die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde«. Absätze 2 und 3 präzisieren, unter welchen Bedingungen das einschlägig ist: Nämlich (stark komprimiert) dann, wenn es im Unionsrecht oder im Recht der Mitgliedsstaaten festgelegt ist. Auf öffentliches Interesse berufen können sich in der Regel Behörden oder mit hoheitlichen Aufgaben beliehene Unternehmen (Parkraumbewirtschaftung durch Privatunternehmen wird oft als Beispiel benannt). Wohl eine Minderheitsmeinung vertritt Reimer in Sydows DSGVO-Kommentar(Affiliate link), der auch eine nicht-staatliche Stelle ohne explizit übertragene Aufgabe als möglichen Normadressaten sieht (RN 41).
Relevant ist das öffentliche Interesse auch, weil sich »Behörden in Erfüllung ihrer Aufgaben« nicht auf das berechtigte Interesse berufen können. (Art. 6 Abs. 1 UAbs. 2 DSGVO); das können sie nur (so eine Formulierung eines Mitarbeiters des ULD Schleswig-Holstein), wenn sie »in in gleicher Weise wie Private tätig werden«.
Im kirchlichen Datenschutzrecht
Die Formulierung des kirchlichen Interesses ist im katholischen und evangelischen Datenschutzrecht ähnlich – im Detail dann aber doch sehr unterschiedlich. Das DSG-EKD spricht von einer »Wahrnehmung einer sonstigen Aufgabe […] die im kirchlichen Interesse liegt« (§ 6 Nr. 4 DSG-EKD), das KDG bleibt deutlich näher an der DSGVO-Formulierung und spricht von einer »Wahrnehmung einer Aufgabe […], die im kirchlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde« (§ 6 Abs. 1 lit. f) KDG).
Das KDG schließt öffentlich-rechtlich verfasste Verantwortliche ähnlich wie die DSGVO Behörden von der Anwendung des berechtigten Interesses aus. Das DSG-EKD wählt einen anderen Weg: Hier fehlt der Ausschluss, stattdessen verzichtet die Formulierung des berechtigten Interesses, die Interessen des Verantwortlichen – wie in der DSGVO und im KDG – in die Abwägung aufzunehmen. Nach evangelischem Datenschutzrecht können sich also Verantwortliche nicht auf ihr eigenes berechtigtes Interesse, sondern nur auf das von Dritten berufen.
Beide kirchlichen Gesetze verzichten auf parallele Regeln zu Art. 6 Abs. 2 und 3 DSGVO, spezifizieren also nicht, unter welchen Bedingungen eine Berufung auf kirchliches Interesse möglich ist.
Aufgrund der Konstruktion der Norm kann beim katholischen Gesetz wohl stärker die säkulare Auslegung herangezogen werden und kirchliches Interesse enger an die behördliche Struktur geknüpft werden; auch wenn sich öffentlich-rechtlich verfasste kirchliche Stellen durch ihre Grundrechtsfähigkeit wesentlich von staatlichen unterscheiden, legt die Kirche doch großen Wert darauf, in vielen Bereichen ihre eigenen Strukturen staatsähnlich vergleichbar zu behandeln.
Im evangelischen Bereich dürfte das kirchliche Interesse viel häufiger herangezogen werden müssen, weil das berechtigte Interesse so eingeschränkt ist. Tatsächlich passiert das auch; ein Beispiel dafür lässt sich in der Handreichung des EKD-Datenschutzbeauftragten zu Bildern finden, wo ein DSGVO-artiges berechtigtes Interesse mittels kirchlichem Interesse quasi nachgebaut wird. Dort ist die Rede davon, »§ 6 Nr. 4 i. V. m. (der Interessenabwägung aus) § 6 Nr. 8 DSG-EKD als Rechtsgrundlage« heranzuziehen – also: die für das berechtigte Interesse geregelte Interessensabwägung auch für kirchliches Interesse anzuwenden, wo dem Wortlaut von § 6 Nr. 4 DSG-EKD nach keine geregelt ist.
Auch mit weniger Gesetzesakrobatik ließe sich eine Interessensabwägung begründen, auch im katholischen Recht. Beim Widerspruchsrecht (§ 23 KDG und § 25 DSG-EKD) wird bei kirchlichem Interesse ein dem berechtigten Interesse gleichgeartetes Widerspruchsrecht zugebilligt, das nicht bedingungslos ist, sondern einer Interessensabwägung unterliegt. Zumindest im Beschwerdefall kennen beide Gesetze wenigstens ex post eine Interessenabwägung für kirchliches Interesse. Auch wenn die Interessensabwägung ex ante also nicht explizit geregelt ist: Mit Blick auf die Widerrufsmöglichkeit wäre es doch sinnvoll, sich darüber schon vor dem Widerruf Gedanken zu machen.
Wer kann sich auf kirchliches Interesse berufen?
Beim DSG-EKD spricht angesichts der Systematik und der Interpretation der Datenschutzaufsicht viel dafür, dass sich alle Anwender*innen, ohne Unterscheidung zwischen öffentlich-rechtlicher und privatrechtlicher Organisation, darauf berufen können.
Deutlich schwieriger ist der katholische Fall: Grundsätzlich scheint das Gesetz so konstruiert, dass es der DSGVO nachgebildet ist und kirchliche öffentlich-rechtliche Stellen analog staatlichen Behörden behandelt. Es wird aber nicht festgelegt, dass nur diese sich nur auf einer rechtlichen Grundlage auf kirchliches Interesse berufen können – und damit könnte es zu einem Gummiparagraphen werden, mit dem quasi alle Verarbeitungen aller Verantwortlichen legitimiert werden könnten. (Tatsächlich habe ich in der Praxis von einer verantwortlichen Stelle schon die Argumentation gehört, dass alles im kirchlichen Interesse liege, was den kirchlichen Grundvollzügen diene – und spätestens, wenn darunter nicht nur Liturgie, Diakonie und Martyria, sondern auch die Gemeinschaft gefasst werden, ist das ja nun wirklich alles.) Der Gummi-Interpretation würde eine Interpretation entgegenwirken, die auf eine europarechtskonforme Auslegung abhebt und damit durch die Hintertür die Kriterien aus der DSGVO wieder hereinholt.
Offizielle Aussagen gibt es nicht; weder Datenschutzaufsichten noch die Gerichte haben sich dazu bisher geäußert. Am nächsten kommt dem noch eine Erläuterung der im Verband der Diözesen Deutschlands (VDD) zuständigen juristischen Referentin Martina Burke in der Datenschutz-Arbeitshilfe von BDKJ und afj: »Hier reicht es nicht aus, dass irgendein kirchliches Interesse besteht. Es muss sich um eine Aufgabe handeln, die dem Verantwortlichen tatsächlich übertragen wurde und die durch eine Rechtsvorschrift (z. B. das kirchliche Recht im Codex Iuris Canonici) definiert ist. Diese Voraussetzung wird bei Jugendverbänden wohl eher nicht greifen.« (Das wäre die europarechtskonforme Auslegung.)
In der Kommentarliteratur (lies: in dem einen KDG-Kommentar) wird die Rechtsgrundlage zwar nicht kommentiert; an anderer Stelle, wo die Formulierung »kirchliches Interesse« auftaucht, sieht ein Autor es als gegeben an, »wenn ein Interesse der gesamten oder zumindest eines erheblichen Teils der Kirchenmitglieder betroffen ist«, an anderer Stelle wird auf ein »im Universal- oder Partikularkirchenrecht anerkanntes Interesse« abgehoben.
Im Gespräch mit Praktiker*innen wie betrieblichen Datenschutzbeauftragten von Diözesen erfährt man, dass das kirchliche Interesse als eine Art Auffangstatbestand genutzt wird, wenn andere Rechtsgrundlagen nicht greifen. (Und in Fällen, in denen privatrechtlich verfasste Stellen auf das berechtigte Interesse zurückgreifen würden.) Ein mir genanntes Beispiel ist erforderliche Datenverarbeitung im Kontext der Sakramentenpastoral, beispielsweise von Kontaktdaten der Eltern von Kommunionkindern.
Fazit
Das kirchliche Interesse braucht dringend eine konkretisierende Regelung bei einer Überarbeitung der kirchlichen Datenschutzgesetze, vor allem im KDG – klar geregelt werden sollte, wer sich darauf berufen kann (nur öffentlich-rechtliche oder alle Stellen?) sowie wann und wie es angewandt wird (nur bei expliziter rechtlicher Regelung, oder immer auf Grundlage einer Interessensabwägung?) – und damit auch wann nicht (um die Gefahr Gummiparagraph abzuwenden).
Im evangelischen Bereich wird man nicht umhin kommen, das kirchliche Interesse intensiv anzuwenden – nämlich immer dann, wenn man gemäß DSGVO das eigene berechtigte Interesse anführen würde. Vielleicht wäre es da doch klug, das berechtigte Interesse bei der nächsten Reform einfach analog der DSGVO zu regeln.
Im katholischen Bereich spielt das kirchliche Interesse eigentlich nur für öffentlich-rechtlich verfasste Stellen eine Rolle, die es ziemlich genau wie das berechtigte Interesse anwenden können. Hier stellt sich die Frage, ob es nicht ehrlicher wäre, gleich darauf zu verzichten und das berechtigte Interesse allen Stellen zugänglich zu machen (was aufgrund der Grundrechtsfähigkeit und des fehlenden Grundsatzes des Vorbehalts des Gesetzes für kirchliche öffentlich-rechtliche Stellen nicht problematisch wäre) – das wäre sicher auch eine Erleichterung in der (hier gleichlautenden) KDR-OG für die (vielen) aus historischen Gründen als KdÖR verfassten Klöster, die ja nun wirklich nicht behördenartig sind.