Kirche und Orden gehören zusammen, aber sie sind auch nicht dasselbe. So stieß schon der heilige Hieronymus mit seinen Ideen vom mönchischen Leben nicht nur auf Gegenliebe in der Kirche und musste Rom eilig verlassen, als im Dezember 384 Siricius neuer Bischof auf dem Stuhl Petri wurde. Vor diesem Hintergrund ist die Koexistenz zweier katholischer Datenschutz-Normen ein Beispiel schwesterlicher Eintracht, das eher die Frage nach der Notwendigkeit zweier Corpora aufwirft.

Auf der Grundlage von can. 586 CIC, der die Autonomie der Institute päpstlichen Rechts normiert, wurde am 30. Januar 2018 vom Vorstand der Deutschen Ordensobernkonferenz der Beschluss über die Kirchliche Datenschutzregelung der Ordensgemeinschaft päpstlichen Rechts (KDR-OG) gefasst, die dann am 24. Mai, also einen Tag vor der DSGVO in Kraft trat. Der Text ist eine weitgehend wortgleiche Kopie des KDG. Lässt man beide durch ein Textverarbeitungsprogramm gegeneinander laufen, beschränken sich die Unterschiede zumeist auf das Ersetzen von „das Gesetz“ durch „die Regelung“ sowie die grammatikalischen Feinheiten, die sich daraus ergeben.
Erwartungsgemäß trägt die Festlegung des organisatorischen Anwendungsbereichs in § 3 KDR-OG den Unterschieden Rechnung (wobei die Rechnung ein Stück weit ohne den Wirt gemacht wurde, wie zu zeigen sein wird). Darüber hinaus ist eine inhaltliche Anpassung an die Tätigkeiten und Strukturen der Ordensgemeinschaften, die sich von denen der verfassten Kirche durchaus unterscheiden, nur in Bezug auf den Ordensdatenschutzbeauftragten und seine Funktion als Datenschutzaufsicht deutlich. Aus der weitgehenden Gleichheit der beiden Normen ergibt sich jedoch nicht die zu vermutende Sicherheit für die kleine Schwester. Manches, was für die Große geschrieben wurde, will beim Versuch der Anwendung nicht so recht passen. Dabei sollen die Schmerzen, die Kirche und Orden gleichermaßen aus dem kirchlichen Datenschutz erwachsen (wie etwa das Schriftformerfordernis bei Einwilligungen), außer Acht gelassen werden.
Datenschutz bei den Maltesern
Der Verfasser ist betrieblicher Datenschutzbeauftragter der Malteser, die als eine Organisation der Deutschen Assoziation des Souveränen Malteser Ritterordens unter die KDR-OG fallen. Um zu ermessen, was das heißt, seien „die Malteser“ zunächst in aller Kürze vorgestellt: Mit einer Million Mitgliedern und 33.300 hauptamtlich Beschäftigten – von Kundinnen und Kunden nicht zu sprechen – gibt es bei den Maltesern eine Menge Menschen, deren Daten je nach Kontext unter den Schutz der KDR-OG fallen. Gleichzeitig sind diese in den seltensten Fällen Mitglieder des Ordens. Der Malteser Verbund ist vielmehr in zwei große Organkreise gegliedert: Zum einen ist der Malteser Hilfsdienst e.V. zu nennen, der als klassische Hilfsorganisation mit Rettungs- oder Sanitätsdienst in Erscheinung tritt und darüber hinaus unzählige weitere, zumeist ehrenamtlich getragene Dienste erbringt. Zum anderen ist die Malteser Deutschland gGmbH zu nennen, die Einrichtungen der Pflege betreibt, aber auch Krankenhäuser, Schulen sowie Einrichtungen für Geflüchtete, Suchtkranke oder Jugendliche. Beide Organkreise unterhalten zudem Betriebsgesellschaften wie beispielsweise die SoCura als Buchhaltungs-, Personalwirtschafts- und IT-Dienstleister oder die Primus Service, die unter anderem in den genannten Einrichtungen die Verpflegung bereitstellt. Im Anwendungsbereich der KDR-OG dürften die Malteser somit aufgrund ihrer Größe und Struktur eine Sonderstellung einnehmen.
Datenschutz klingt hier nach einer Herkules-Aufgabe. Die wäre es sicher, wenn nicht in den einzelnen Betriebsgesellschaften und Regionen jeweils Datenschutzkoordinatorinnen und -koordinatoren tätig wären. Eine Scharnier- und Katalysatorfunktion übernimmt die Zentrale Datenschutzkoordination, die sich das Büro mit dem Datenschutzbeauftragten teilt. Von hier aus findet eine rege Zusammenarbeit mit den Malteser-Fachbereichen statt, insbesondere dem Justitiariat, das ursprünglich auch den Datenschutz bewältigt hat. Wie überall ist auch in dieser Organisation der Datenschutz eine Aufgabe, mit der man nie fertig wird – ohne freilich mit Sisyphos eine weitere Metapher aus den griechischen Mythen bemühen zu wollen.
Besonderheiten der KDR-OG
Kirchliche Stellen
Zahlreiche Bestimmungen der KDR-OG gelten für „kirchliche Stellen“. Anders als in § 3 Abs. 1 KDG wird jedoch nicht explizit bestimmt, was darunter zu verstehen ist. Durch die Festlegung des organisatorischen Anwendungsbereichs in § 3 Abs. 1 lit. b) KDR-OG fallen der Malteser Hilfsdienst e.V. und die Malteser Deutschland gGmbH als „Werke und Einrichtungen“ des Malteser Ordens unter die KDR-OG. Hier spricht die Norm nun ein einziges Mal von „einer kirchlichen Stelle der Ordensgemeinschaft“ (§ 3 Abs. 2 KDR-OG), wobei das besitzanzeigende Genitivattribut eine Erweiterung gegenüber der entsprechenden Formulierung im KDG darstellt. Ungeachtet der Frage, was damit genau gemeint sein soll (etwa in Abgrenzung zu nicht-kirchlichen Stellen der Ordensgemeinschaft?), wirkt es so, als solle die einmalige, vermeintliche Präzisierung an die Stelle einer Legaldefinition treten. Vor dem Hintergrund, dass man neben das vom Verband der Diözesen Deutschlands beschlossene Kirchliche Datenschutzgesetz eines für die päpstlichen Orden gestellt hat und man damit einen offenbar relevanten Unterschied berücksichtigt hat, lässt der Begriff der „kirchlichen Stelle“ den juristischen Laien eher an Einrichtungen der verfassten Kirche denken.
In der Folge übernimmt der Text die „kirchliche Stelle“ aus dem KDG durchweg ohne Zusatz, bis im Abschnitt zum betrieblichen Datenschutzbeauftragten zwischenzeitlich die „Einrichtung“ an ihre Stelle tritt, ohne dass inhaltliche Gründe erkennbar wären (§ 36 f. KDR-OG). Hier lassen sich womöglich unterschiedliche Hände erkennen, die an der Anpassung des Textes beteiligt waren. Wenn ferner an einer Stelle zu lesen ist, gegen „kirchliche Stellen im Sinne des § 3 Absatz 1, soweit sie im weltlichen Rechtskreis öffentlich-rechtlich verfasst sind, werden keine Geldbußen verhängt“ (§ 51 Abs. 6 KDR-OG), scheint diese wortwörtliche Übernahme aus dem KDG eher redaktionell bedingt zu sein, als dass damit tatsächlich die Gruppe der Klöster herausgehoben werden soll, die als Körperschaften des öffentlichen Rechts verfasst sind.
In der Praxis bleibt daher keine andere Wahl, als alle Malteser-Einrichtungen, für die sich der Gemeinsame Ordensdatenschutzbeauftragte als Aufsichtsbehörde zuständig sieht, als „kirchliche Stellen“ aufzufassen und entsprechende Bestimmungen der KDR-OG auf sie anzuwenden. Andernfalls blieben für viele Einrichtungen kaum überbrückbare Regelungslücken oder die Norm wäre mithin unbrauchbar. Zugegeben, Rechtssicherheit fühlt sich anders an.
Für eine „kirchliche Stelle“ liegt mit § 11 Abs. 2 lit. d) KDG/KDR-OG ein Ausnahmetatbestand für die Verarbeitung von besonderen Kategorien personenbezogener Daten vor, sofern die betroffenen Personen in unmittelbarer Beziehung zu ihr stehen, also Mitglieder, Kooperationspartner oder Kunden sind. Das stellt eine Erleichterung für Kirche und Ordensgemeinschaft dar, da Angaben über „religiöse oder weltanschauliche Überzeugungen“ (§ 4 Nr. 2 KDG/KDR-OG) ihrer Mitglieder nicht mit zusätzlichen Datenschutz-Hürden belegt sind. Die Bestimmung ist dem Art. 9 Abs. 2 lit. d) DSGVO nachgebildet, durch den es für „eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation“ möglich ist, besondere Kategorien zu verarbeiten, die konstituierend für ihre Tätigkeit sind. Man stelle sich die Arbeit in der ver.di-Zentrale vor, wenn die Gewerkschaftszugehörigkeit als besondere Kategorie jedes Mal eine Einwilligung erforderte. § 11 Abs. 2 lit. d) KDR-OG könnte nun für so gut wie jede Malteser-Einrichtung eine attraktive Erleichterung darstellen: Als kirchliche Stelle ist es regelmäßig Kern ihrer Tätigkeit, Gesundheitsdaten von Personen zu verarbeiten, „die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten“. Bei weiter Auslegung müsste nie wieder eine Einwilligung in die Verarbeitung von Gesundheitsdaten eingeholt werden, weder im Hausnotruf noch hinsichtlich Lebensmittelunverträglichkeiten bei Anmeldungen zu Veranstaltungen. Hier ist jedoch Zurückhaltung geboten: Das Tendenzbetrieb-Privileg des Ordens schlägt wohl kaum dergestalt auf seine Werke durch, dass hier nun anders gelagerte Zwecke die Verarbeitung ganz anderer besonderer Datenkategorien legitimieren.
Kirchliche Rechtsvorschriften
Weniger Probleme bereitet der Begriff der „kirchlichen Rechtsvorschriften“, den die KDR-OG durchweg unverändert aus dem KDG übernommen hat. Als Datenschützer, der nicht zugleich Volljurist oder Kirchenrechtler ist, ist man es gewohnt, zu Fragen aus angrenzenden Rechtsgebieten mit Fachjuristen im Austausch zu stehen, um den Datenschutz entsprechend umsetzen zu können. Dieser abermals pragmatische Ansatz mag hemdsärmelig erscheinen. In der Praxis kann man sich jedoch darauf verlassen, dass es kein Mysterium bleibt, welche kirchliche oder staatliche Rechtsvorschrift jeweils zu berücksichtigen ist. Ein Beispiel ist die Anwendung der Caritas-Tarifrichtlinien AVR, die nicht für alle Betriebsgesellschaften der Malteser gelten, auch wenn diese in den Anwendungsbereich der KDR-OG fallen.
Bedauerlich ist jedoch, dass für die Verarbeitung von besonderen Kategorien personenbezogener Daten das weltliche Recht als eine der möglichen Ausnahmen vom Verarbeitungsverbot fehlt: Während man nach DSGVO beispielsweise Gesundheitsdaten gegebenenfalls „auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats“ verarbeiten darf (Art. 9 Abs. 2 lit. g) DSGVO), kennt der katholische Datenschutz an dieser Stelle nur die „Grundlage kirchlichen Rechts“ (§ 11 Abs. 2 lit. g) KDG/KDR-OG). Will man beispielsweise die Umsetzung des Masernschutzgesetzes durch Beschäftigte einer Einrichtung dokumentieren, muss man auf die Rechtsgrundlage „des öffentlichen Interesses im Bereich der öffentlichen Gesundheit“ als Ausnahmetatbestand ausweichen (§ 11 Abs. 2 lit. i) KDG/KDR-OG). Das mag hier gut passen – weniger Deutungsspielraum und damit weniger Unsicherheit ließe jedoch der direkte Rekurs aufs weltliche Recht zu. Ein Trost ist, dass Kirche und Orden im selben Boot sitzen; die KDR-OG ist auch hier nur dem KDG gefolgt.
Richtet man den Blick wieder auf die Besonderheiten in der Arbeit mit der KDR-OG, zeigt sich demgegenüber an anderer Stelle, dass die schlichte Textübernahme den Ordensbereich gegen manche Blüten des kirchlichen Datenschutzes immunisieren kann: Entgegen der Systematik der DSGVO öffnet die Reihe der Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten in § 6 KDG/KDR-OG wie folgt: „eine andere kirchliche oder eine staatliche Rechtsvorschrift erlaubt sie oder ordnet sie an“. Wie Felix Neumann überzeugend dargestellt hat, resultiert aus dieser Bestimmung „eine rege Normsetzung durch die landeskirchlichen und bischöflichen Gesetzgeber“ (Same same but different: Rechtsgrundlagen in den kirchlichen Datenschutzgesetzen, Datenschutz-Berater 10/2021, S. 290 f.).
So wurden beispielsweise in jüngerer Zeit diözesane Seelsorge-Patientendaten-Schutzgesetze erlassen, die sich als Sonderbestimmungen zum KDG verstehen (§ 1 Abs. 2 Seelsorge-PatDSG Hamburg). Katholischen Krankenhäusern wird darin grundsätzlich erlaubt, ihre Behandlungsverträge so zu gestalten, dass Daten von Patientinnen und Patienten ohne gesonderte Einwilligung an die Seelsorgenden weitergegeben werden dürfen (§ 4 Seelsorge-PatDSG Hamburg). Diese Lex specialis hat den Charme, dass das mitunter erfolglose und stets lästige Einholen schriftlicher Einwilligungen entfällt. Verständlicherweise weckte diese Aussicht das Interesse der Malteser-Patientenseelsorge, die jedoch enttäuscht werden musste, weil das Seelsorge-PatDSG eben nicht auf den Ordensbereich anwendbar ist. So bedauerlich es ist, dass hier ein wichtiger Dienst der Malteser nicht die Erleichterung von bürokratischen Bürden genießen kann, ist aus Sicht der Patientinnen und Patienten zu konstatieren, dass so ihre Persönlichkeitsrechte besser gewahrt werden. Überdies gibt es damit eine kirchliche Datenschutzbestimmung weniger, die irgendwann als europarechtswidrig kassiert werden könnte.
Kirchliches Interesse
Ausnahmslos unverändert hat die KDR-OG an zahlreichen Stellen das „kirchliche Interesse“ übernommen. Mitunter muss dieses „erheblich“, „wichtig“ oder sogar „zwingend“ sein, um zu greifen (§ 11 Abs. lit. g); § 20 Abs. 2; § 23 Abs. 1 KDR-OG). An anderer Stelle wird nach „dem kirchlichen Wohl“ gefragt und einmal ist der „kirchliche Auftrag“ maßgebend (§ 16 Abs. 5 lit. b); § 54 Abs. 2 KDR-OG). Die Suche nach einer Legaldefinition bleibt erfolglos.
Bei dem Konstrukt handelt es sich um eine Nachbildung des öffentlichen Interesses aus der DSGVO, welches stets in Verbindung mit gesetzlichen Vorschriften Anwendung finden soll, die das jeweilige öffentliche Interesse normieren, so die Mehrheitsmeinung. Da kirchliche öffentlich-rechtliche Stellen analog staatlichen Behörden behandelt werden, wurde das „kirchliche Interesse“ im KDG eingeführt. Das führt bereits im Bereich der Kirche zu Unsicherheiten: Eine enge Auslegung ist stets auf eine passende Kirchenvorschrift angewiesen, die es nicht in allen Bereichen gibt. Eine weite Auslegung droht, die Rechtsgrundlage „zu einem Gummiparagraphen werden“ zu lassen, der für alles „als eine Art Auffangtatbestand genutzt“ werden kann, wie Felix Neumann dargestellt hat.
Die Frage, was genau gemeint ist, ist im Bereich der Ordensgemeinschaft und insbesondere für die Malteser nicht leichter zu beantworten, zumal wenn man es als „ein Interesse der gesamten oder zumindest eines erheblichen Teils der Kirchenmitglieder“ begreift (Matthias Ullrich, § 11 KDG, in: Sydow, Kirchliches Datenschutzrecht, 1. Aufl. 2021, Rn 25). Es ist kein Geheimnis, dass der operative Schwerpunkt der Malteser auf dem zweiten Teil ihres Auftrags liegt: „Bezeugung des Glaubens und Hilfe den Bedürftigen“ (vgl. § 2 Nr. 2 der Satzung). Kernaufgaben der Kirche wie das Feiern von Messen, das Spenden der Sakramente oder Gemeindearbeit spielen quantitativ betrachtet für die Tätigkeit der Malteser eine allenfalls nachgeordnete Rolle. Ihr Wirken ist im katholischen Glauben verankert und gründet damit im kirchlichen Interesse – so viel lässt sich wohl sagen –, es fällt jedoch nicht per se damit zusammen. Das ist für den Orden selbst sicher noch einmal anders zu bewerten, aber vom Ordensleben sind die Pflegerin und der Helfer vor Ort in ihrem Arbeitsalltag recht weit weg. Sie werden sich kaum als Waltende kirchlichen Interesses begreifen.
Was muss also gegeben sein, damit personenbezogene Daten „für die Wahrnehmung einer Aufgabe […], die im kirchlichen Interesse liegt“, verarbeitet werden dürfen (§ 6 Abs. 1 lit. f) KDG/KDR-OG)? Die für das KDG skizzierte Schere zwischen enger und weiter Auslegung klappt hier noch mehr auf. Wenn bei weiter Auslegung alles, was die Malteser tun, unter die Definition fiele – von Besuchsdienst mit Hund bis hin zur Fluthilfe –, würde „Gummiparagraph“ zum Euphemismus. Beschwerden, Bußgelder und Verfahren auch vor weltlichen Gerichten wären vorprogrammiert. Hingegen bedürfte es für eine enge Auslegung kirchlicher Gesetze, die anders als das KDG und die diözesanen Spezialgesetze auch für die Malteser Geltung haben. Hier fehlen bisher Berührungspunkte.
Dennoch ist die enge Auslegung in der Praxis der Weg, den der Malteser Datenschutz seit Inkrafttreten der KDR-OG geht – mit der Konsequenz, dass es das „kirchliche Interesse“ de facto nicht gibt. Die Rechtsgrundlage und die übrigen Bestimmungen, die darauf verweisen, laufen im Wesentlichen ins Leere. Sie sind da, helfen niemandem, aber stören auch nicht sonderlich. Bisher ist zumindest noch kein Malteser von allein auf die Idee gekommen, kirchliches Interesse geltend machen zu wollen. Trotzdem kann man sich des Eindrucks nicht erwehren, dass hier eine Chance verpasst wurde, Kriterien für die kirchlichen Interessen der Ordensgemeinschaft zu definieren.
Fazit
Die skizzierten Probleme und Unsicherheiten in der Anwendung der KDR-OG entstehen vor allem an Stellen, an denen die Norm eben gerade nicht „die historisch bedingten Unterschiede in der Selbstverwaltung einzelner kirchlicher Institutionen reflektiert“ (Alexandra Recke, KDR-OG, in: Sydow, Kirchliches Datenschutzrecht, 1. Aufl. 2021, Rn 13). Wie die kirchlichen Datenschützenden, die mit dem KDG arbeiten, warten auch die Malteser auf den in § 58 Abs. 2 KDG/KDR-OG normierten Änderungsdienst, von dem man sich gewisse Erleichterungen in der täglichen Praxis erhofft. (Unzählige Jugendgruppenleitende und Bäume würden das Ende des analogen Einwilligungsformulars feiern.) Von der engen Anlehnung der KDR-OG an die große Schwester wird die DOK vermutlich nicht abrücken, da man hierin wohl die wahre Herkules-Aufgabe sähe. Zudem dürfte sich über die wenigsten Institute päpstlichen Rechts ein mit den Maltesern vergleichbares Füllhorn datenschutzrechtlicher Fragestellungen ergießen. Dass der Text inhaltliche Anpassungen an die Tätigkeiten und Strukturen der von der Ordensgemeinschaft getragenen „Werke und Einrichtungen“ erfahren wird, ist vor diesem Hintergrund nicht erwartbar. Immerhin darf der Ordensdatenschutz wohl auf eine teilweise Linderung der oben genannten gemeinsamen Schmerzen hoffen.
Als Hieronymus Rom verließ, weil die Stadtluft für ihn dünn geworden war, und er sich zu guter Letzt in Bethlehem niederließ, war er maßgeblich an der Gründung mehrerer Klöster und eines Pilgerhospizes beteiligt. Mit der Vulgata sowie zahllosen Briefen und anderen Schriften legte er dort das Fundament für seinen Status als lateinischer Kirchenvater. Streitbar mischte er sich in den theologischen Diskurs seiner Zeit ein, was ihn selbst zur Zielscheibe seiner Gegner machte (#shitstorm). Mehr als einmal verschärften sich diese Probleme, weil Schriften angeblich verfälscht worden (Verletzung der Integrität) oder auf dem Postweg verloren gegangen waren (Verletzung der Verfügbarkeit). Hier hätten KDG und KDR-OG wohl gleichermaßen klare Kante gezeigt …