Erstmals gibt es eine offizielle öffentliche Äußerung einer staatlichen Aufsichtsbehörde zu einem konkreten Konfliktfall um die Zuständigkeit für eine Religionsgemeinschaft. Im am Donnerstag erschienenen Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen gibt es einen Abschnitt zu »Anforderungen an eine kircheneigene spezifische Aufsichtsbehörde«: Es gibt einen Konflikt um die Frage, ob die Anforderungen von Art. 91 DSGVO an ein kircheneigenes Datenschutzgesetz erfüllt sind.
Auch wenn der Name nicht genannt wird: Aufgrund früherer Recherchen zum Umgang mit kleineren Religionsgemeinschaften und zu Beratungen in der Datenschutzkonferenz dürfte sicher sein, dass es sich um die Selbständige Evangelisch-Lutherische Kirche (SELK) handelt, die ihren Sitz in Hannover hat und deren Datenschutzrichtlinie an das DSG-EKD angelehnt ist.
Im Bericht wird nun der Vorgang und die Rechtsauffassung der Aufsicht referiert: »Eine kirchliche Glaubensgemeinschaft mit Hauptsitz in Niedersachsen teilte mir mit, dass sie meiner datenschutzrechtlichen Aufsicht entzogen sei«, heißt es, in der Bewertung von kircheneigenen Datenschutzregelungen wird die Position der Datenschutzkonferenz übernommen, die die DSGVO-Öffnungsklausel als reinen Bestandschutz mit dem Stichtag des Inkrafttretens der DSGVO im Jahr 2016 interpretieren.
Das Ergebnis der Prüfung durch die Aufsicht war, dass die nötigen Voraussetzungen nicht erfüllt sind: »Die Datenschutzrichtlinie der Kirche enthielt jedenfalls an dem aus meiner Sicht maßgeblichen Stichtag des 25. Mai 2016 keine umfassenden Regeln zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Hierfür fehlte ein geschlossenes System mit dem Anspruch auf Vollständigkeit, welches nicht durch staatliche Regeln ergänzt werden muss. Aufgrund des gesetzlichen Stichtagsprinzips konnte ich die nach dem 25. Mai 2016 erfolgte Überarbeitung und Erweiterung der kirchlichen Datenschutzrichtlinie nicht mehr berücksichtigen.«
Wenig überraschend: Auch wenn sich die Stichtagsregelung wohl als herrschende Meinung herauskristallisiert hat, macht sich die betroffene Kirche die religionsfreiheitsfreundlichere Auslegung zu eigen. Bei der Anwendung von Art. 91 DSGVO sei, so gibt der Bericht diese Position wieder, eine Güterabwägung vorzunehmen, »die im Ergebnis der Freiheit des religiösen Lebens und Wirkens den Vorzug vor staatlicher Aufsicht geben müsse«. Das findet die Datenschutzbeauftragte zwar nachvollziehbar, aber nicht zutreffend: Der Wortlaut sticht. Die Religionsgemeinschaft will das nicht akzeptieren und hat Feststellungsklage eingereicht. Wann die entschieden sein wird, ist noch nicht bekannt.