Entscheidungen von staatlichen Datenschutzaufsichten, an denen Religionsgemeinschaften beteiligt sind, sind noch sehr rar – in Deutschland werden die meisten Fälle von kirchlichen Aufsichten abgedeckt, für die Landesdatenschutzaufsichten bleibt kaum etwas anderes übrig. Umso interessanter ist es, dass nun die wohl erste ausführliche Entscheidung bis auf Schwärzungen vollständig vorliegt: Mittels FragDenStaat.at konnte ich den Bescheid mit dem Aktenzeichen DSB-D123.874/0016-DSB/2019 der österreichischen Datenschutzbehörde befreien, von der die Behörde zuvor nur knapp in ihrem Newsletter berichtet hatte. [Ergänzung, 28. April 2021]Aus den mir vorliegenden Unterlagen war nicht ersichtlich, dass der Bescheid noch nicht rechtskräftig ist. Mittlerweile stehe ich in Kontakt mit der betroffenen Person in dem Fall, die gegen den Bescheid geklagt hat. Derzeit ist die Sache beim Bundesverwaltungsgericht anhängig.[/Ergänzung]
In der Sache geht es um einen Konflikt zwischen einem ausgetretenen Mitglied und seiner ehemaligen Religionsgemeinschaft ums Informationsrecht – die betroffene Person wollte auch Auskunft über in einem verschlossenen Umschlag aufbewahrte Daten erhalten. Die Religionsgemeinschaft berief sich darauf, dass das eine innere Angelegenheit sei, die vom staatlichen Recht nicht erfasst sei, die Datenschutzbehörde gab ihr Recht.
Die Entscheidung enthält vor allem zwei interessante Punkte: Eine Prüfung, ob eigene Datenschutzregeln die Erfordernisse von Art. 91 Abs. 1 DSGVO erfüllen, und eine Prüfung, ob und inwieweit Datenverarbeitung zum geschützten und dem Staat entzogenen Kernbereich der Religionsausübung gehört. Beide Punkte sind auch über den konkreten Einzelfall hinaus instruktiv.
Das zentrale Problem: Der verschlossene Umschlag
Während der Großteil einer Auskunftsanfrage von der Religionsgemeinschaft angemessen beantwortet wurde, drehte sich der Konflikt um einen verschlossenen Umschlag. In diesem Umschlag verwahrt die Religionsgemeinschaft Informationen über die ausgetretene Person, darunter eine »Verkündigerberichtskarte« – auch wenn die Verfahrensbeteiligten in der Entscheidung geschwärzt sind, ist durch diese und andere Begrifflichkeiten klar, dass es sich bei der Religionsgemeinschaft um Jehovas Zeugen handelt. (Zu den erhobenen Stammdaten gehört etwa auch die Information, ob es sich bei der Person um einen »Gesalbten« oder ein »anderes Schaf« handelt.)
Im Umschlag sollen nur Informationen sein, die dem ehemaligen Mitglied ohnehin bekannt seien. Die Gemeinschaft beruft sich auf »religionsrechtliches Gewohnheitsrecht«, das Verfahren »sei weltweit Jahrzehnten [sic!] geübte Praxis der Religionsgemeinschaft«. Geöffnet werden dürfe dieser Umschlag nur im Fall einer Wiederaufnahme. (Das Verfahren wird im auszugsweise in der Entscheidung zitierten internen »Ältestenbuch« im Kapitel 18 »Verlassen der Gemeinschaft« beschrieben.)
Prüfung von Artikel 91 Abs. 1 DSGVO
Im Verlauf des Verfahrens wurde von der Religionsgemeinschaft vorgebracht, dass die unter »Weltweite Datenschutzrichtlinie von Jehovas Zeugen« zu findenden Normen »Regelungen im Sinne des Art. 91 Abs. 1 DSGVO« seien. Ob das so ist, wurde geprüft: Es handelt sich um eine anerkannte Religionsgemeinschaft, damit könnte Art. 91 einschlägig sein, als nächstes wird geprüft, ob die Regelungen schon vor dem 24. Mai 2016 bestanden haben, und ob es sich um umfassende Regeln handelt. Auf den Stichtag wird nicht weiter eingegangen, aber die Frage der »umfassenden« Regeln geprüft mit dem von Herbst in Kühling/Buchner aufgestellten Maßstab: »Anspruch der Vollständigkeit« und keine Ergänzungsbedürftigkeit durch staatliche Regeln, mit Krömer/Brandner wird noch ein verbindliches Regelwerk und nicht nur unverbindliche Richtlinien gefordert, außerdem müsse sich das Regelwerk auf die gesamte Kirche und ihre Untergliederungen beziehen. Recht knapp wird über die Datenschutzrichtlinie geurteilt, dass sie ergänzungsbedürftig und damit nicht umfassend sei. Ein Indiz dafür sei der Verweis in den Regeln auf nationale Gesetze. Damit ist DSGVO anzuwenden.
Prüfung einer »inneren Angelegenheit« der Religionsgemeinschaft
Nachdem nun die Prüfung nach DSGVO eröffnet ist, stellt sich die Frage, ob damit auch alle Datenverarbeitungen der Religionsgemeinschaft erfasst sind – und auch hier prüft die Behörde sorgfältig. Zwar fallen die mit Namen gekennzeichneten Umschläge nach Ansicht der Behörde (und unter Bezug auf die Entscheidung des EuGH zu den finnischen Zeugen Jehovas) unter einen weit zu verstehenden Dateisystembegriff, und noch mehr (hier nicht weiter angeführte) Argumente sprechen dafür, dass normalerweise die DSGVO ein Auskunftsrecht begründen würde. »Kultus- bzw. Sittenlehre und vor allem Fragen der Verfassung und Organisation einer Kirche wurden als innere Angelegenheiten qualifiziert«, gibt die Aufsicht die Rechtsprechung des Verfassungsgerichtshofes wieder, und der Oberste Gerichtshof zählt zu den inneren Angelegenheiten solche, »die den inneren Kern der kirchlichen Betätigung betreffen und in denen ohne Autonomie die Religionsgesellschaften in der Verkündung der von ihnen gelehrten Heilswahrheiten und der praktischen Ausübung ihrer Glaubenssätze eingeschränkt wären«.
Im Ergebnis sind die aufbewahrten verschlossenen Umschläge für die Aufsicht damit eine innere Angelegenheit – »eine Frage, die die Datenschutzbehörde als staatliche Behörde nicht beurteilen darf«. Damit erstreckt sich auch das Auskunftsrecht der DSGVO nicht auf den fraglichen Umschlag.
Fazit
Auch wenn es ein Fall ist, der durch die Terminologie und die problematisierten Praktiken sehr spezifisch für Jehovas Zeugen ist: Beide besonders für das Datenschutzrecht von und in Religionsgemeinschaften wichtige Aspekte haben über diese Gemeinschaft hinaus eine Bedeutung.
Zwar ist es ziemlich eindeutig, dass die Datenschutzrichtlinien von Jehovas Zeugen nicht umfassend sind – eine Prüfung einer Norm, die so einen Anspruch erhebt (wie beispielsweise das Datenschutzgesetz Jehovas Zeugen in Deutschland) wäre noch interessanter gewesen. Konsequenzen dürfte diese Linie aber trotzdem haben: Die Behauptung der österreichischen Bischofskonferenz, dass ihr sehr kompaktes Decretum generale eine Umsetzung der Rechte aus Art. 91 DSGVO ist, dürfte damit nicht zu halten sein. Außerdem ist interessant, dass sich die Aufsicht selbst kompetent sieht, diese Prüfung abschließend vorzunehmen. (Was nicht explizit in der DSGVO geregelt, aber plausibel ist – welche anderen Wege sollte es auch geben?)
Die sorgfältige Prüfung der Praxis des verschlossenen Umschlags unter dem Aspekt der dem Staat entzogenen inneren Angelegenheiten mit dem religionsfreiheitsfreundlichen Ergebnis räumt eine Befürchtung aus, die bei der Entstehung der DSGVO immer wieder von den Kirchen eingebracht wurde und auch aktuell noch als Argument für die Notwendigkeit eines eigenen Datenschutzrecht ins Feld geführt wird: Dass nämlich vor allem ein »Recht auf Vergessen« die Dokumentation von Taufen und anderen Sakramenten in Kirchenbüchern gefährden würde. Folgt man der Argumentation der österreichischen Datenschutzbehörde, ist diese Befürchtung auch unter Geltung der DSGVO unbegründet.