Mit der DSGVO ist alles in Ordnung. Kein Änderungsbedarf. Nur die Durchsetzung könnte etwas besser sein (looking at you, Ireland). Das war in etwa das Fazit der ersten Evaluierungsrunde der DSGVO im vergangenen Jahr, trotz vieler Kritik im Detail. Erst recht nicht wurde dabei Art. 91 DSGVO angefasst, der Religionsgemeinschaften unter bestimmten Bedingungen eigenes Datenschutzrecht und eigene Aufsichten zugesteht – dabei gäbe es dort viel zu tun.
Ein Blick in die Kommentarliteratur zeigt, wie unklar dieser Artikel tatsächlich ist: Der Wortlaut sagt, dass nur schon vor der DSGVO etabliertes kirchliches Datenschutzrecht zulässig ist. Ist das mit dem Gleichbehandlungsprinzip vereinbar? Der Artikel fordert »umfassende« Regeln – muss dann wirklich alles geregelt werden, was auch die DSGVO regelt? Und schließlich braucht es einen »Einklang« mit den Wertungen der DSGVO – also alles genauso, nur eigen? Oder doch etwas Spielraum? Und nur nach oben oder auch nach unten?
Auch Art. 91 Abs. 2 DSGVO, der die Möglichkeit kirchlicher Aufsichten ermöglicht, könnte klarer sein: dass Religionsgemeinschaften eigene Aufsichten einrichten können, muss aus einem Nebensatz geschlossen werden. Sie unterliegen einer unabhängigen Aufsichtsbehörde, »die spezifischer Art sein kann«. Aber auch nur, wenn ein eigenes Datenschutzrecht angewandt wird – schade eigentlich: Es geht ja um Selbstverwaltung der Religionsgemeinschaft. Eigene Aufsicht für die Anwendung des allgemeinen Gesetzes ist keine Option, dabei wäre das für ein einheitliches Datenschutzrecht in Europa besser als das Kleinklein der vielen kirchlichen Gesetze.
Viel Mühe scheint nicht in die Formulierung von Art. 91 DSGVO geflossen zu sein – die Arbeit war eher beim Lobbyismus von Kirchen und insbesondere der deutschen Bundesregierung, dass diese Möglichkeit überhaupt geschaffen wird, wie per Informationsfreiheitsgesetz befreite Dokumente aus der Entstehungszeit zeigen und wie der bayerische Diözesandatenschutzbeauftragte 2017 in seinem (leider offline genommenen) letzten Bericht vor Inkrafttreten der DSGVO schrieb und begründete, warum es ein eigenes Datenschutzrecht braucht: »Sicher wäre es auch für die Bundesregierung eine Zumutung, wenn ihr mitgeteilt würde, sie habe sich wohl umsonst vier Jahre für die Regelung des Art. 91 EU-DS-GVO eingesetzt, um die Vorgaben des Art. 140 GG in Verbindung mit Art. 137 der Weimarer Reichsverfassung einzuhalten.«
Über die Kritik an dem, was Art. 91 DSGVO selbst regelt, kommt noch Kritik daran, was er nicht regelt: Wie werden die spezifischen Datenschutzaufsichten angemessen am Austausch der staatlichen Aufsichten und ihrem Kohärenzverfahren beteiligt? Wie wird bei eigenen Gerichtsbarkeiten von Religionsgemeinschaften sichergestellt, dass sie das Datenschutzrecht im Einklang mit der EU-Rechtsprechung anwenden – bräuchte es hier nicht eine explizite Einbindung in das System des Vorabentscheidungsverfahren und damit die Pflicht, Fragen dem EuGH vorzulegen? Warum muss es immer die große Lösung eines eigenen Datenschutzrechts sein, und wäre es nicht für einen einheitlichen europäischen Datenschutzraum besser, wenn Religionsgemeinschaften nur das regeln, was für sie spezifisch von Relevanz ist? Ein Instrument dafür könnte Art. 40 DSGVO sein, der es Verbänden ermöglicht, Verhaltensregeln zu definieren – das wäre auch etwas für Religionsgemeinschaften.
Eine ehrliche Evaluierung von Art. 91 DSGVO würde diese Fragen behandeln. Ideen dafür, wie es besser aussehen könnte, habe ich für die »Dataprotection Landscape« aufgeschrieben – eine eigene Kachel widmet sich dort jetzt dem Thema Reform des Datenschutzrechts für Religionsgemeinschaften, inklusive konkreter Verbesserungsvorschläge.