Das KDSZ Dortmund blickt mit einer Veröffentlichung auf die ersten fünf Jahre seines Bestehens zurück: »Kirchlicher Datenschutz – gewachsener Baustein kirchlicher Selbstverwaltung« heißt der im Selbstverlag online veröffentlichte Band anlässlich des Geburtstages, der schon am 1. September 2021 gefeiert wurde.
Auf 120 Seiten gibt es Betrachtungen aus Kanonistik und Staatskirchenrecht, eine kompakte Rechtsgeschichte des kirchlichen Datenschutzes sowie einen Blick in die Praxis von Aufsicht, Gerichten und betrieblichem Datenschutz.
Zu den Aufsätzen
Martina Tollkühn zum Datenschutz-Kanon
Martina Tollkühn steuert eine kanonistische Betrachtung bei: »Der c. 220 CIC und das Datenschutzrecht als eigenständige Regelungsmaterie der Kirche«. Angesichts der hohen Publikationsfrequenz der Autorin – sicher die ausgewiesenste Expertin zum can. 220 CIC – ist es erfreulich, dass tatsächlich auch mit jedem Artikel neue Aspekte betrachtet werden. Hier liegt ein Schwerpunkt auf der kirchenrechtlichen Ahndung von Verstößen. Tollkühn berücksichtigt in ihrem Artikel bereits die jüngste kirchliche Strafrechtsreform und weist auf die Aufnahme von »Straftaten gegen den guten Ruf« in Titel IV von Buch VI CIC, die die Strafandrohung nicht mehr nur fakultativ macht (can. 1390 § 2 CIC). Sie konzediert eine klare Tendenz: »Der Schutz des guten Rufs als Teil des Persönlichkeitsschutzes ist verschärft und vor allem in der Pflicht zur Ahndung verbindlicher geworden.«
Ansgar Hense zur europarechtlichen Dimension
Ansgar Hense widmet sich der europarechtlichen Dimension: In seinem Beitrag »Art. 91 Datenschutz-Grundverordnung und das kirchliche Selbstbestimmungsrecht« zeichnet er die Grundlagen kirchlicher Selbstbestimmung, die wenig religionsfreiheitsfreundliche Rechtsprechungstendenz des EuGH und Art. 91 DSGVO als mögliches »hoffnungsvolles Gegenmodell«. Für den Kirchenartikel hat Hense dabei viel Lob übrig, gerade im Vergleich zum EuGH, der den auch europarechtlich normierten Schutz des staatskirchenrechtlichen Status quo in den Mitgliedstaaten (Art. 17 AEUV) kaum beachtet: »Der mit Art. 91 DS-GVO gefundenen Regelung scheint das Kunststück gelungen zu sein, sowohl den individuellen Datenschutzbedürfnissen als auch dem religionsgemeinschaftlichen Selbstbestimmungsrecht gerecht geworden zu sein. Art. 91 DS-GVO generiert dabei keine datenschutzrechtliche Exklave, die etwa den Datenschutz für den kirchlichen Bereich suspendiert oder ihn in das Belieben von Religionsgesellschaften stellt, sondern schafft einen Ordnungszusammenhang, der zwischen beiden Polen eine verhältnismäßige, konkordante Zuordnung versucht.« Der Kirchenartikel stelle auch gegenüber der vorigen deutschen Regelung des Kirchendatenschutzes über die Hilfskonstruktion des »beredten Schweigens« einen deutlichen Fortschritt dar, »gerade auch deshalb, weil überhaupt eine normative Grundlage für einen kircheneigenen Datenschutz geschaffen worden ist«.
Nur angedeutet wird die Bedeutung des europarechtlichen Rahmens für kirchlichen Datenschutz für die Fortentwicklung kirchlicher und staatskirchenrechtlicher Rechtskultur: Die Freiheit der Selbstbestimmung leide nicht zwangsläufig darunter, »dass sie sich in konditionierten, vorgespurten Bahnen zu bewegen hat. Freiheit ist nicht ein Selbstzweck, der sich in der Loslösung von Regelungen u. a. zeigt, sondern kann sich juristisch geradezu in der Selbstbindung manifestieren, so paradox dies anmuten mag. Das Datenschutzrecht erweist sich als Innovationsmotor etwa hinsichtlich des Auf- und Ausbaus eines kircheneigenen Rechtsschutzes, jedenfalls soweit es die katholische Kirche betrifft.«
(Nicht unterschlagen kann ich außerdem Henses Hinweis auf den »engagierten und informativen Blog des Journalisten Felix Neumann«, der zusammen mit den regelmäßigen Tätigkeitsberichten der Aufsichten für »eine Publizität und Transparenz« sorge, »die für kirchliche Kontexte durchaus ebenso bemerkens- wie wünschenswert ist«.)
Steffen Pau zur Entwicklung des kirchlichen Datenschutzes
Steffen Pau gibt einen historischen Überblick zum kirchlichen Datenschutz »von den Anfängen bis zum KDG«. Schritte sind erste diözesane Anweisungen, dann nach Verabschiedung des BDSG die erste Anordnung über den kirchlichen Datenschutz (KDO) 1978/79 und deren Novellen 1991 sowie in den 2000ern und 2010ern. Deutlich wird dabei vor allem, dass die Kirche nie innovativ im Bereich des Datenschutzes war, sondern stets staatliche Gesetze nachvollzogen hat. Ein Anhang erschließt die älteren Regelungen: Eine Anweisung zu »Datenschutz und Meldewesen« aus dem Bistum Essen aus dem Jahr 1976 wird faksimiliert abgedruckt, Überschriften-Synopsen der KDOs von 1977, 1994 und 2003 sorgen für Überblick.
Kämper/Gers zur Entwicklung der kirchlichen Aufsicht
Burkhard Kämper und Jan Gers befassen sich mit der Entwicklung der kirchlichen Datenschutzaufsicht aufgrund von »Handlungsbedarf für die katholische Kirche durch das Urteil des EuGH von 2010 zur Unabhängigkeit der Datenschutzaufsichten in Deutschland« und leisten mithin einen Beitrag zur zeitgenössischen kirchlichen Rechtsgeschichte. Die beiden Autoren weisen darauf hin, dass die Aufsichten allesamt nicht in Bischofsstädten residieren (für Bayern gilt das allerdings erst mit der Errichtung des Nürnberger Datenschutzzentrums): »Mit dieser Entscheidung sollte zugleich auch äußerlich die örtliche Unabhängigkeit von den […] (Erz-)Bistümern unterstrichen werden.« Insgesamt ziehen die Autoren ein positives Fazit: Es sei zwar zuzugestehen, »dass sicher an der einen oder anderen Stelle – hier ist etwa an die Prüfungsbefugnisse und die Sanktionsmöglichkeiten zu denken – noch ein weiterer Optimierungsbedarf besteht, so darf man aber auch durchaus einmal innehalten und sich vergegenwärtigen, wo man hergekommen ist bzw. wie der Datenschutz in der katholischen Kirche in Deutschland noch bis vor nicht einmal zehn Jahren organisiert war.«
Marcus Baumann-Gretza zur Geschichte des KDSZ Dortmund
Marcus Baumann-Gretza schließt eine Tiefenbohrung »Zur Entstehungsgeschichte und Struktur des Katholischen Datenschutzzentrums in Dortmund« an. Auch Baumann-Gretza betont das Dezentralitäts-Argument: »Indem das KDSZ bewusst in keiner der fünf Bischofsstädte angesiedelt wurde, sollte die Unabhängigkeit der Einrichtung in besonderer Weise unterstrichen werden. Es galt von Anfang an auch nur der Eindruck zu vermeiden, bei der kirchlichen Datenschutzaufsicht handele es sich lediglich um einen separierten oder nachgeordneten Teil der Diözesanverwaltungen.«
Joachimski/Melzow zur Datenschutzgerichtsbarkeit
Jupp Joachimski und Stephanie Melzow werfen einen Blick auf »Die Kirchliche Datenschutzgerichtsbarkeit«. Sie würdigen zunächst den enormen Fortschritt, den eine kirchliche Datenschutzgerichtsbarkeit bringt, die es vor dem KDG nicht gab. Launig, aber nicht ganz korrekt heißt es: »Genau genommen hätte eine etwaige Rechtsbehelfsbelehrung des früheren Diözesandatenschutzbeauftragten auf das Jüngste Gericht verweisen müssen« – so unbefriedigend der kirchliche Verwaltungsgerichtsweg ist, zumindest den hierarchischen Rekurs gab es auch vor dem KDG schon. Leider zieht sich diese kanonistische Wurstigkeit durch – »einzige Legislative der katholischen Kirche ist der Diözesanbischof«, heißt es etwa (streng genommen nicht nur Diözesanbischöfe, sondern auch andere Vorsteher der Teilkirchen, außerdem fehlen der Papst und die Bischofskonferenzen, von Spezialfällen wie dem Bischofskollegium und Plenarkonzilien ganz abgesehen …), und kurz darauf zur kirchlichen Datenschutzgerichtsbarkeit: »Ganz bewusst wurde darauf verzichtet, eine dritte Instanz z. B. im Vatikanstaat zu normieren, weil dieser nicht Mitglied der Europäischen Union ist und es daher Schwierigkeiten mit der Übermittlung der Akten dorthin geben könnte« – hier übersehen die Autor*innen wiederum den kirchlichen Rechtsweg und verpassen die Chance, die Nicht-Erwähnung in der KDSGO zu erklären.
Besser als die sichtlich kaum kanonistisch fundierte Einführung ist die Betrachtung einzelner Entscheidungen der kirchlichen Datenschutzgerichte. Diskutiert werden IDSG 21/2020 vom 16.07.2021 zur Zuständigkeit des IDSG im Bußgeldverfahren, IDSG 05/2019 vom 09.12.2020 zur Eintragung im Taufregister, IDSG 09/2020 vom 02.02.2021 zur Wiedereinsetzung in den vorigen Stand, IDSG 27/2020 vom 01.03.2021 zur Einsichtnahme des Pfarrers in Gottesdienstbesucherlisten, IDSG 21/2020 vom 16.07.2021 zur Verhängung von Geldbußen sowie IDSG 02/2018 vom 05.05.2020 zur Weiterleitung von Bewerbungsunterlagen. Knapp werden die Entscheidungen kritisch eingeordnet, mit erkennbar hoher Expertise im Verwaltungsrecht.
Die auch hier sehr kritisch besprochene Entscheidung zu den Gottesdienstbesuchslisten wird deutlich kritisiert, wobei aufgrund des Wegfalls der Kontaktrückverfolgung mit keinen großen Konsequenzen gerechnet wird – man kann das aber auch negativer sehen: Immerhin hat die Entscheidung technische und organisatorische Maßnahmen, die darauf setzen, erst bei Bedarf Kenntnis von Daten zu nehmen, generell in Frage gestellt.
Wunderlich ist die Bewertung des Falles eines alt-katholischen Priesters, der sich nach einer Rückkehr in die römisch-katholische Kirche informiert hat: Der geschilderte Sachverhalt trifft nicht zu; es heißt, der jetzige alt-katholische Priester sei »früher schon – vor dem Übertritt zum katholischen Glauben – als katholischer Priester tätig gewesen« – erst in der alt-katholischen Kirche wurde er zum Priester geweiht, und aus der Entscheidung geht nicht hervor, dass er erneut konvertiert wäre. Wunderlich auch die Kritik, das Verbot der Weitergabe sei »praktisch ein Schlag in das Gesicht des Absenders, weil diesem auf die Weise die Möglichkeit genommen worden wäre, den Diözesanbischof von seinen Motiven zu überzeugen und eine Ausnahme von der regulären Handhabung eines derartigen Ansinnens zu erreichen« – in RN 33 legt die Entscheidung gerade dar, wie rechtskonform gehandelt worden könnte. (Die Entscheidung wurde aufgrund von Problemen mit der Anonymisierung leider wieder aus der Rechtssammlung des IDSG entfernt und ist daher nicht mehr öffentlich verfügbar.)
Knöfel/Evers zum Austausch mit der Aufsicht
Der Aufsatz-Teil schließt mit einem Beitrag von Stefan Knöfel und Raimund J. Evers zu »Betrachtungen zur Praxis von betrieblichem Datenschutz und Datenschutzaufsicht und zu ihrer Zusammenarbeit nach den Vorgaben des Gesetzes über den Kirchlichen Datenschutz (KDG)«, der auch einige praktische Fragen wie Drittlandtransfers und die Verwendung von Faxen thematisiert. Hübsch ist, wie zwischen den Zeilen, die für einen guten kollegialen Austausch zwischen Aufsicht und Einrichtungen plädieren, ein Don’t-ask-don’t-tell-Comment angedeutet wird: Die Rechtslage bei US-Datentransfers sei klar. »Also ist dies ein zwar wichtiges und auch interessantes Thema, für den kollegialen Austausch aber eher nicht geeignet«. Das meiste im Artikel ist bereits bekannt; neu ist eine intensive Thematisierung von Sprachassistenten im Pflegebereich durch Bewohner*innen. Hier wird durchaus die wichtige Teilhabefunktion von Sprachassistenten angesprochen, es wird auch konzediert, dass die Nutzung durch Bewohner*innen unter die Haushaltsausnahme fällt (jedenfalls nicht in den Zuständigkeitsbereich der kirchlichen Aufsicht) – in den Wertungen werden aber dennoch vor allem das Persönlichkeitsrecht der betroffenen Mitarbeiter*innen stark gemacht und vertragliche Vereinarungen gefordert, bei Anwesenheit von Mitarbeitenden ein völliges Abschalten der Geräte verpflichtend zu machen. Ein wenig mehr Praktische-Konkordanz-Denken wäre hier gut. Dass in der Publikation der Datenschutzaufsicht eine Stellungnahme der katholischen Datenschutzkonferenz zum Thema gefordert wird, darf man wohl so deuten, dass das nicht unumstritten ist, ob es so etwas braucht.
Fazit
Zu den großen Verdiensten des KDSZ Dortmund gehört das Wirken für eine größere Öffentlichkeit des kirchlichen Datenschutzes: Die NRW-Aufsicht hatte bereits 2019 die erste große Konferenz zum Thema veranstaltet (die Dokumentation stellt den ersten Band der vorliegenden Reihe dar), der nun vorliegende Band führt die Tradition fort.
Die Entscheidung, im Eigenverlag und Open Access zu publizieren, hat Vorteile hinsichtlich der Zugänglichkeit; ob es der Zitierfähigkeit dient, mögen Akademiker*innen entscheiden. Klar ist jedenfalls auch, dass es bei aller inhaltlicher Qualität auch eine Äußerung einer Partei ist: Die beiden großen Linien, die sich durch den Band ziehen, sind die Rechtfertigung des eigenen kirchlichen Datenschutzes aus dem Selbstbestimmungsrecht und die Betonung der Qualität und Unabhängigkeit der kirchlichen Aufsicht.
Hinsichtlich der ersten Frage ist die kanonistische wie die staatskirchenrechtliche Antwort so klar wie formal: Das AKK-Prinzip »Ich kann, ich will und ich werde« muss genügen, eine zusätzliche materielle Begründung, warum die Kirche hier eigenes Recht setzen sollte, braucht es nicht. Hinsichtlich der zweiten Frage wäre durchaus eine unabhängige Gegenblende interessant, auch wenn zugute zu halten ist, dass die Problematik weniger schlagkräftiger Durchgriffsmöglichkeiten gegen öffentlich-rechtlich verfasste Stellen mangels Bußgeldbefugnis höflich-diskret angedeutet wird.