Kirchlicher Datenschutz ist keine deutsche Spezialität. Dass Art. 91 DSGVO, der Religionsgemeinschaften unter bestimmten Bedingungen erlaubt, eigenes Datenschutzrecht anzuwenden, ein deutscher Sonderwunsch war, wird oft vermutet – und die Lobbytätigkeit des Katholischen Büros in Berlin scheint darauf hinzudeuten. Tatsächlich gibt es aber auch in anderen europäischen Ländern kirchliche Datenschutzgesetze – und das schon lange vor Inkrafttreten der DSGVO.

Mindestens seit 1999 hat die italienische Bischofskonferenz eigene Regeln zum Datenschutz, die wie von der DSGVO vorgesehen 2018 in Einklang mit der DSGVO gebracht wurde. Ein Blick in das Generaldekret »Disposizioni per la tutela del diritto alla buona fama e alla riservatezza« (»Bestimmungen über den Schutz des Rechts auf einen guten Ruf und der Vertraulichkeit«) zeigt ein Gesetz, aus dem weitaus mehr als aus den deutschen Kirchengesetzen der kirchliche Charakter deutlich wird – es wirft aber auch einige Fragen auf, ob das alles europarechtlich so möglich ist.

(Einen Überblick über kirchliches Datenschutzrecht in verschiedenen EU-Mitgliedstaaten gibt es in der Rechtssammlung, Artikel sind erschienen zu Italien, Österreich und Polen sowie zur Lage im Drittland Vatikanstaat.)

Aufbau und Verankerung im (Staats-)Kirchenrecht

Das Dekret gliedert sich in neun Kapitel, die grundsätzlich an den Aufbau der DSGVO angelehnt sind, teilweise kirchliche Besonderheiten regeln: Allgemeine Bestimmungen, Grundsätze, Betroffenenrechte, Instrumente zur Erhebung personenbezogener Daten, Sicherheitsmaßnahmen, Verantwortliche und Datenschutzbeauftragte, Schadensersatz und Sanktionen, besondere Verarbeitungssituationen sowie Schlussbestimmungen.

Bemerkenswert ist bereits der Beginn, der das Dekret kirchenrechtlich zunächst verortet als Ausführung des »Datenschutzkanon« can. 220 CIC bzw. can. 23 CCEO. (Durchweg wird jeweils auch der Ostkirchen-Kodex zitiert, da es in Italien auch zwei Eparchien der italo-albanischen Kirche gibt, deren Bischöfe der Bischofskonferenz angehören; im folgenden wird jeweils nur der CIC zitiert, auch wenn Normen des CCEO angeführt werden.) Dabei wird betont, dass die Kirche eine eigenständige Rechtsordnung und das »angeborene« Recht hat, für ihre Zwecke Daten zu verarbeiten, bevor auf die Rechtsgrundlage aus Art. 91 DSGVO i.v.m. Art. 17 AEUV Bezug genommen wird. Unberührt bleiben vom Datenschutzdekret diverse staatskirchenrechtliche Bestimmungen, etwa die Lateranverträge, und das universale Kirchenrecht. (Damit gilt das Dekret auch nicht für den vatikanischen Teil des Bistums Rom, der exempt von der Gesetzgebung der Bischofskonferenz ist). 

Anders als in Deutschland wird das Datenschutzrecht nicht in paralleler Gesetzgebung der einzelnen Diözesanbischöfe erlassen, sondern aufgrund eines Mandats des Heiligen Stuhls, der der Bischofskonferenz das eigentlich nicht vorgesehene Recht zur Beschlussfassung über Datenschutzregeln gewährt hat – freilich zu dem Preis, dass das Generaldekret damit stärker unter vatikanischer Aufsicht steht.

Relevante Besonderheiten des Generaldekrets

Grundsätze der Verarbeitung

Das Dekret baut – wie seine deutschen Pendants – auf der DSGVO auf und übernimmt sehr viel von der Systematik und grundsätzlichen Funktionsweise. Gleich zu Beginn findet sich eine bemerkenswerte Erweiterung des Geltungsbereichs: Anders als die DSGVO fasst das Dekret unter personenbezogene Daten nicht nur die Daten über natürliche Personen, sondern »alle Informationen, die sich auf eine kirchliche Einrichtung, eine kirchliche Vereinigung oder eine bestimmte oder bestimmbare natürliche Person (›betroffene Person‹) beziehen« (Art. 2 Nr. 1) – eine Regelung, die kuriose Auswirkungen zu haben droht, wenn man sie ernstnimmt. Eine vergleichbare Regelung gibt es im staatlichen Bereich im österreichischen Datenschutzgesetz, wo sie auch stark kritisiert wird.

Die Rechtsgrundlagen der Verarbeitung (Art. 4) stimmen in weiten Teilen mit der DSGVO überein – mit deutlichen Abweichungen. Teilweise gibt es kleine Verbesserungen, wenn etwa bei der Einwilligung klargestellt wird, dass Minderjährige von ihren Sorgeberechtigten vertreten werden oder wenn – wie im KDG – bei der Rechtspflicht auch kirchliches Recht aufgenommen wird. Die »Wahrnehmung einer Aufgabe im öffentlichen Interesse« beschränkt sich grundsätzlich auf öffentliche Aufgaben und hebt nicht primär auf unbestimmte kirchliche Aufgaben ab wie das KDG, stattdessen wird präzisiert, dass die »Zwecke, die sich auf die Gestaltung der institutionellen Beziehungen zwischen Behörden und Kirchen, Vereinigungen oder Religionsgemeinschaften beziehen« als im öffentlichen Interesse liegend betrachtet werden (lit. c). Als eigene Rechtsgrundlagen werden Archivzwecke, Statistik und Forschung (lit. d), die Verarbeitung für die Geltendmachung von Rechtsansprüchen (lit. f) sowie die Verarbeitung von Daten, »die von der betroffenen Person offenkundig öffentlich gemacht wurden« (lit g) aufgenommen, das berechtigte Interesse (lit. e) entspricht der DSGVO. Es fehlen die Rechtsgrundlagen lebenswichtige Interessen und, schwerwiegender, Vertrag. Gesonderte Bestimmungen für besondere Kategorien personenbezogener Daten fehlen ebenso komplett. Positiv im Vergleich zum KDG fällt auf, dass in den Rechtsgrundlagen zur Aufgabenwahrnehmung und den Archiv- und Forschungszwecken Verhältnismäßigkeitsprüfungen im Stil von Art. 6 Abs. 2 und 3 DSGVO erwähnt werden.

Kirchliche Verarbeitungen und ihr Schutz

Der besondere kirchliche Charakter des Dekrets wird vor allem in Kapitel IV über die »Instrumente zur Erhebung personenbezogener Daten« deutlich, während die Betroffenenrechte in Kapitel III den Stand der DSGVO übernehmen. Weitgehend aus der Vorgängernorm von 1999 übernommen, werden eigens die Kirchenbücher (Art. 8), Archive (Art. 9), Mitgliederlisten und -dateien (Art. 10) sowie Jahrbücher, Bulletins, Amtsblätter und Verzeichnisse (Art. 11) geregelt. Teilweise werden hier Rechtsgrundlagen zur Veröffentlichung geschaffen, die in Deutschland im Partikularrecht etwa für Amtsblätter geschaffen wurden, teilweise werden Betroffenenrechte spezifiziert und aufgrund von zwingenden kirchlichen Gründen auch eingeschränkt – etwa durch den Ausschluss der Löschung von Sakramenteneintragungen in Kirchenbüchern.

Das Kapitel VI über Sicherheitsmaßnahmen bildet nicht nur technische und organisatorische Maßnahmen ab, sondern sorgt auch für eine Rückbindung ans kirchliche Akten- und Archivrecht. Der Ordinarius wird verpflichtet, mindestens alle fünf Jahre seine Archive selbst zu inspizieren (Art. 21, auch eine Übernahme aus der Vorgängernorm).

Im Kapitel VI zum Verantwortlichen und zu Auftragsverarbeitung fällt auf, dass generell Verarbeitungsverzeichnisse vorgeschrieben sind (Art. 19) – sicher eine sinnvollere Regelung als die quasi nie relevanten Ausnahmen aus der DSGVO. Von besonderem Interesse ist Art. 22 zur Datenschutzaufsicht – hier wird lediglich Art. 91 Abs. 2 DSGVO zitiert, dass die Aufsicht bei der zuständigen Behörde liegt, die auch spezifisch sein kann, ohne dass ausgeführt wird, ob die DSGVO so gelesen wird, dass die Kirche selbst diese Behörde einrichten kann, wie es in Deutschland üblich ist. In Italien scheint man diesen Artikel anders als hier zu lesen: Der Staatsrechtler Venerando Marano bezweifelt in seinem Aufsatz zum kirchlichen Datenschutzrecht, dass Kirchen eigene Aufsichten einrichten können: dem Wortlaut und der Systematik müsse man Art. 91 Abs. 2 DSGVO so verstehen, dass »die Aufsichtsbehörde […] nicht eingerichtet oder mit einer religiösen Glaubensgemeinschaft verbunden sein kann, da sie vom EU-Gesetzgeber als unabhängige öffentliche Behörde vorgesehen und geregelt ist« (eigene Übersetzung).

Aufsicht und Sanktionen

Wer nun die Datenschutzaufsicht über die italienische katholische Kirche wahrnimmt, bleibt also offen – eine eigene Behörde hat sie jedenfalls nicht eingerichtet. Damit bleibt auch offen, wie die in Kapitel VII geregelten Maßnahmen des Schadensersatzes und der Sanktionen ausgesprochen werden können. Art. 23 bindet die zur Verfügung stehenden Sanktionen nämlich an die in can. 1389 CIC aufgezählten Strafen – Interdikt oder Suspension in Fällen der Verleumdung eines Beichtvaters; in der kirchenrechtlich üblichen Unbestimmtheit eine »gerechte Strafe«, darunter auch Beugestrafen sowie angemessene Wiedergutmachung. Es dürfte klar sein, dass solche Sanktionen zu großen Teilen nicht in die Hände staatlicher Behörden gegeben werden können und die Sanktionierung damit kirchlichen Autoritäten vorbehalten ist. Der Weg vor die wohl zuständige diözesane Gerichtsbarkeit nach den üblichen universalkirchlichen Normen wird aber nicht explizit geregelt.

Sehr knapp ist Kapitel VIII zu den besonderen Verarbeitungssituationen, in denen lediglich noch einmal Archive geregelt werden. Ein Presseprivileg wie in § 55 KDG gibt es ebensowenig wie Regeln zum Beschäftigtendatenschutz (§ 53 KDG – umso problematischer, da auch die Rechtsgrundlage Vertrag fehlt, mit der Beschäftigtendatenschutz abgewickelt werden könnte), die historischen und Archivzwecke (§ 54 KDG) regeln bereits die Rechtsgrundlagen weiter vorne.

Wie das KDG soll auch das italienische Dekret innerhalb von drei Jahren überprüft werden, die Evaluierung wäre also jetzt fällig. Bisher ist dazu nichts bekannt.

Fazit

Das Generaldekret zum Datenschutz der italienischen Bischofskonferenz macht vieles deutlich besser als die deutschen kirchlichen Datenschutzgesetze: Insbesondere, indem es eine klare und explizite Verankerung im kirchlichen Recht vornimmt und den Schutzzweck explizit und primär mit kirchlichen Wertvorstellungen und in Umsetzung des Datenschutzkanons can. 220 CIC fasst und die europäische Ermächtigung dafür erst sekundär anführt.

Dass hier von der Möglichkeit eigener Rechtssetzung Gebrauch gemacht wird, erklärt sich auch besser durch die Aufnahme spezifisch kirchlicher Verarbeitungssituationen. Dass im KDG nicht einmal eine Regelung zu Betroffenenrechten bei Kirchenbüchern aufgenommen wurde, obwohl die von Seiten der Europäischen Bischofskonfrenz COMEC bei ihrer Lobbytätigkeit als ein Grund für den Bedarf an kirchlicher Selbstverwaltung genannt wurde, verwundert. Die Lösung über ein Gesetz auf Ebene der Bischofskonferenz sorgt für deutlich mehr Rechtssicherheit und Rechtsklarheit als die Parallelgesetzgebung aller Diözesanbischöfe (und des Verbands der Diözesen Deutschlands und der Orden päpstlichen Rechts und des Militärordinariats).

Zugleich bleibt aber vieles unklar und Regelungsentscheidungen unverständlich, beginnend mit der grundsätzlichen Frage, ob das Gesetz die Anforderung des Wortlauts von Art. 91 Abs. 1 DSGVO erfüllt; schließlich lagen zuvor keine umfassenden Regeln vor, sondern lediglich bereichsspezifische. Ob die Regeln jetzt als umfassend gelten können und im Einklang mit der DSGVO stehen, obwohl auf die Regelung eines höheren Schutzniveaus besonderer Kategorien personenbezogener Daten verzichtet wurde, ist fraglich. Das Fehlen einer Rechtsgrundlage Vertrag dürfte in der Praxis vieles kompliziert machen und zu einem überbordenden Rückgriff auf berechtigtes Interesse führen. Unklar ist auch die Frage der Datenschutzaufsicht und wie sich der Gesetzgeber den Weg des gerichtlichen Rechtsbehelfs vorstellt.