SELK will kirchlichen Datenschutz vom EuGH klären lassen

Der Europäische Gerichtshof könnte sich bald mit zentralen Fragen des kirchlichen Datenschutzes befassen: Im Konflikt zwischen der niedersächsischen Landesdatenschutzaufsicht und der Selbständigen Evangelisch-Lutherischen Kirche (SELK) hat die Kirche Klage vor dem Verwaltungsgericht Hannover erhoben, um unter anderem eine EuGH-Vorlage zu erreichen.

Das Emblem des Europäischen Gerichtshofs vor den Türmen B und C
Der EuGH ist nicht immer ganz sensibel, wenn es um religionsverfassungsrechtliche Eigenheiten der Mitgliedstaaten geht. (By LuxofluxoOwn work, CC BY-SA 4.0, Link)

Die Datenschutzaufsicht bezweifelt, dass die SELK schon vor Inkrafttreten der DSGVO umfassende Datenschutzregeln anwandte, wie es dem Wortlaut von Art. 91 Abs. 1 DSGVO nach verlangt wird. Die schon seit 1993 existierende Datenschutzrichtlinie der Kirche sei nicht »umfassend« im Sinn der DSGVO gewesen. Über den Fall wurde hier schon mehrfach berichtet: Zunächst als Ergebnis einer Recherche, im letzten Tätigkeitsbericht hat die Landesdatenschutzaufsicht den Vorgang auch selbst öffentlich gemacht.

Auf Anfrage teilte mir die SELK mit, dass sie mit Anwaltsschreiben vom 24. Februar 2021 Klage erhoben hat (Verwaltungsgericht Hannover, AZ 10 A 1195/21), um den Status ihres Datenschutzregimes zu klären: Die Kirche wendet ein eigenes, ans DSG-EKD angelehntes Datenschutzrecht an und hat eine eigene spezifische Aufsicht eingerichtet. Die einzelnen Feststellungsanträge zielen dabei auf die wichtigsten offenen Rechtsfragen zu Art. 91 DSGVO ab: In der Sache soll festgestellt werden, dass die SELK zum Zeitpunkt des Inkrafttretens der DSGVO umfassende Regeln angewandt hat, die im Einklang mit der DSGVO stehen, oder hilfsweise wenigstens nach Inkrafttreten und bis zur Geltung der DSGVO umfassende Regeln erlassen durfte und anwenden darf. Zum zweiten soll festgestellt werden, dass die SELK eine spezifische Aufsicht einrichten darf und nicht der Landesdatenschutzaufsicht unterliegt.

Vorlagefragen für den EuGH

Schon diese Feststellungen wären über den Einzelfall hinaus relevant; explizit beantragt die SELK aber auch noch, dem EuGH drei Fragen vorzulegen:

a. Ist Art. 91 Abs. 1 DSGVO dahingehend auszulegen, dass umfassende Regelungen zu dem in Art. 99 Abs. 1 DSGVO (Datum des Inkrafttretens) oder zu dem in Art. 99 Abs. 2 DSGVO (Datum der Geltung) genannten Zeitpunkt vorliegen müssen?

b. Ist Art. 91 Abs. 1 DSGVO dahingehend auszulegen, dass eine Kirche, eine religiöse Vereinigung oder Gemeinschaften in einem Mitgliedstaat nach dem Inkrafttreten der DSGVO keine eigenen und umfassenden Regeln zum Schutz natürlicher Personen erlassen kann, die mit der DSGVO in Einklang stehen?

c. Ist Art. 91 Abs. 2 DSGVO dahingehend auszulegen, dass eine Kirche, religiöse Vereinigung oder Gemeinschaft eine eigene Aufsichtsbehörde spezifischer Art errichten darf, wenn sie nach dem Datum des Inkrafttretens der DSGVO oder nach dem Datum der Geltung der DSGVO umfassende Regelungen anwendet?

Die drei Fragen zielen auf Grundprobleme von Art. 91 DSGVO, die auch in der Kommentarliteratur durchaus kontrovers behandelt werden. Dem Wortlaut nach stellt der Kirchenartikel tatsächlich nur einen Bestandsschutz dar: »Wendet eine Kirche […] zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden[…]« Das ist restriktiv: die DSGVO ist nämlich bereits am 24. Mai 2016 in Kraft getreten, auch wenn sie erst am 25. Mai 2018 Geltung erlangte. Zwischen endgültigem Beschluss am 14. April 2016 und Inkrafttreten verging also nur wenig mehr als ein Monat, in dem bei strenger Auslegung Religionsgemeinschaften gegebenenfalls noch umfassende Regeln hätten erlassen können, um in den Genuss der Möglichkeiten von Art. 91 Abs. 1 zu kommen. Auch die römisch-katholische und die EKD hatten ihre jeweiligen Datenschutzgesetze erst im Zeitraum zwischen Inkrafttreten und Geltung reformiert (die EKD hat allerdings bereits 2013 das DSG-EKD mit Blick auf die Entwürfe der DSGVO novelliert und dürfte daher vor geringeren Problemen stehen).

Auch wenn der Wortlaut eindeutig zu sein scheint: Eigentlich schützt der Vertrag über die Arbeitsweise in der Europäischen Union in seinem Art. 17 den Status der Religionsgemeinschaften und damit das Religionsverfassungsrecht der Mitgliedstaaten – das ist das gewichtigste Argument gegen eine wortlautnahe Auslegung als Bestandschutz.

Darauf zielt auch die zweite Vorlagefrage: Nach deutschem staatskirchenrechtlichen System können Religionsgemeinschaften ihre Angelegenheiten selbst verwalten und ohne Stichtag Datenschutzrecht neu setzen. Mit Blick auf Gleichbehandlung der Religionsgemeinschaften ist nicht einsichtig, warum die DSGVO eine Ungleichbehandlung durch die Stichtagsregelung haben sollen dürfte. So argumentierte auch der Münsteraner Europarechtler Gernot Sydow hier im Interview.

Die dritte Vorlagefrage macht ein Fass auf, das im deutschen Diskurs bislang wenig im Blick ist: Sie fragt, ob Kirchen überhaupt eine eigene Aufsichtsbehörde errichten dürfen. Auch wenn das bisher immer so interpretiert und gehandhabt wurde, ist der Wortlaut von Art. 91 Abs. 2 DSGVO sehr dunkel, da er lediglich festhält, dass das Datenschutzrecht einer Religionsgemeinschaft einer Aufsicht unterliegt, die spezifisch sein kann, nicht aber, wer solche spezifischen Aufsichten wie einrichten darf: »Kirchen […], die […] umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann […]« In der italienischen Debatte wird beispielsweise die Position vertreten, dass Abs. 2 so auszulegen sei, dass Religionsgemeinschaften diese spezifischen Aufsichten nicht selbst einrichten dürfen.

Fazit

Selbst grundsätzlichste Fragen zum Kirchenartikel der DSGVO sind ungeklärt – und wenn nur die großen Kirchen davon Gebrauch gemacht hätten, wäre es wohl auch dabei geblieben. Hier gibt es doch eine gewisse Beißhemmung und lange Gewöhnung der Behörden an ihre konfessionellen Pendants. Die Klage der SELK könnte nun die dringend nötige Klärung herbeiführen.

Dabei ist kaum abzuschätzen, wie sich die Sache entwickeln wird: Einerseits sind die Argumente zur Gleichbehandlung verschiedener Religionsgemeinschaften und den Schutz des Status der Religionsgemeinschaften in den Mitgliedstaaten durch Art. 17 AEUV stark und überzeugend – doch beim religiös doch etwas unmusikalischen EuGH muss das nichts heißen, und je nach Antwort könnte das Gericht mit einem Federstrich das eingespielte System des kirchlichen Datenschutzes in Deutschland (und Polen) kräftig umkrempeln. Und zwar nicht nur für die knapp 35.000 Kirchenglieder der SELK, sondern auch für die großen Kirchen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.