Verantwortliche müssen Betroffene über ihr Beschwerderecht bei einer Datenschutzaufsicht hinweisen. Das ist in den Artikeln 12 bis 14 DSGVO für die Informationspflicht wie für die Auskunftspflicht geregelt.

Beim Abfassen von Vorlagen stellen sich damit zwei Fragen: Genügt der allgemeine Hinweis – oder muss die zuständige Aufsicht benannt werden? Und gibt es hier Unterschiede in der Rechtslage zwischen der DSGVO und kirchlichem Recht?

Rechtslage nach DSGVO

Das AG Wiesbaden stellte schon im März in einer Entscheidung fest (Urteil vom 03.03.2022 – 93 C 2338/20), dass in einer Auskunft nach Art. 15 DSGVO nicht die konkrete Datenschutzbehörde genannt werden muss. Das Gericht verweist dabei darauf, dass die Pflicht zur Angabe der Kontaktdaten bei der ersten Lesung im EU-Parlament noch im Normtext stand, das dann aber gestrichen wurde: »Die Nennung der konkreten Aufsichtsbehörde oder ihrer Kontaktdaten war insofern nicht erforderlich.«

Diese Position ist gut nachvollziehbar, nicht nur aufgrund des Wortlauts und der Genese: Dank des One-stop-shop-Prinzips ist egal, bei welcher Datenschutzaufsicht Beschwerden eingehen. Ist es nicht die zuständige, leitet die angerufene Behörde das Anliegen an die richtige weiter, auch über Länder- und, im Fall des kirchlichen Datenschutzrechts, über Staat-Kirche-Grenzen (in alle Richtungen) weiter. Das geht aus Art. 77 Abs. 1 DSGVO hervor – auch dort gibt es das Recht auf Beschwerde bei einer Aufsichtsbehörde, nicht nur der zuständigen. (Für die Weitergabe bei Beteiligung von kirchlichen Aufsichten sprechen diverse Aussagen in Tätigkeitsberichten, dass mangels Zuständigkeit entsprechende Weiterleitungen vorgenommen wurden.)

Rechtslage im kirchlichen Datenschutzrecht

Die Übertragung der Entscheidung des AG Wiesbaden auf kirchliches Datenschutzrecht ist nicht notwendig nahtlos möglich: Sowohl im KDG wie im DSG-EKD fällt auf, dass bei sonst größtenteils identischer Formulierung in den einschlägigen Paragraphen stets der bestimmte Artikel verwendet wird, also nicht »bei einer«, sondern »bei der« Aufsichtsbehörde. Das wird über alle Artikel durchgehalten:

• Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person(Art. 12 Abs. 4 DSGVO – § 14 Abs. 4 KDG – 16 Abs. 4 DSG-EKD)
• Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 Abs. 2 lit. d) DSGVO – § 15 Abs. 2 lit. d) KDG – § 17 Abs. 2 Nr. 3 DSG-EKD)
• Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 Abs. 2 lit. f) DSGVO, das KDG und das DSG-EKD wiederholen den Katalog nicht noch einmal, sondern verweisen auf den vorigen Paragraphen)
• Auskunftsrecht der betroffenen Person (Art. 15 Abs. 1 lit. f) DSGVO – § 17 Abs. 1 lit f) KDG – § 19 Abs. 1 Nr. 6 DSG-EKD)
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 Abs. 1 DSGVO – § 48 Abs. 1 KDG, auch in der Überschrift – § 46 Abs. 1 DSG-EKD)

Die kirchlichen Datenschutzgesetze sind hier also beim Stand des Verordnungsentwurfs geblieben (beim Recht auf Beschwerde stand da schon der unbestimmte Artikel), wenn auch durchweg ohne die Pflicht, eine konkrete Aufsichtsbehörde zu benennen. Warum die kirchlichen Gesetzgeber hier anders vorgegangen sind, ist nicht bekannt. Die wahrscheinlichste Erklärung dürfte sein, dass die kirchlichen Datenschutzgesetze parallel zur DSGVO entstanden sind und nicht überall die letztendlich beschlossene Fassung nachvollzogen wurde.

Es liegt also nah, hier nur eine sprachliche Variante anzunehmen und im Einklang mit der DSGVO keinen Unterschied zu sehen. Argumentieren ließe sich aber auch, dass eine (konsequent) unterschiedliche Formulierung auch etwas anderes bezweckt, und dass daher hier immer eine bestimmte Aufsichtsbehörde gemeint ist, und daraus dann das Erfordernis folgt, diese auch zu benennen. (Zumindest beim KDG gibt es immer nur eine zuständige Aufsichtsbehörde im Geltungsbereich des jeweiligen KDG – einer Diözese, des VDD oder des Militärbistums –, im Geltungsbereich des DSG-EKD gibt es mehrere kirchliche Aufsichten.) Nur beim Recht auf Beschwerde stellt sich die Frage verschärft: Kann da wirklich gemeint sein, dass nach kirchlichem Datenschutzrecht die Beschwerde bei der richtigen Behörde eingehen muss? Aus Gründen von Praktikabilität und Einklang mit der DSGVO scheint das nicht die zu bevorzugende Auslegung zu sein.

Fazit

Bisher gibt es keine (bekannte) kirchliche Rechtsprechung zu der Frage, ob in Datenschutzinformationen und bei Auskünften die konkret zuständige kirchliche Aufsicht zu benennen ist. Es ist auch nicht bekannt, dass kirchliche Aufsichten bei fehlender Zuständigkeit Beschwerden nicht an die zuständige Behörde weitergegeben haben.

Aufgrund des geringen Aufwands der Nennung spricht eigentlich nichts dagegen, das auch zu tun. Im Gegenteil: Mit einer Nennung sichert man sich auch für den hier als unwahrscheinlich eingeschätzten Fall ab, dass die unterschiedliche Formulierung im Vergleich zur DSGVO doch bedeutungstragend ist. Ganz auf Nummer sicher geht man wohl mit einer Formulierung wie »Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Für uns zuständig ist diese Behörde …«. Unabhängig von der tatsächlichen rechtlichen Erfordernis ist gerade im Bereich des kirchlichen Datenschutzes die Erwähnung, dass nicht die staatliche Aufsicht zuständig ist, sinnvoll: Mit eigenen kirchlichen Aufsichten rechnet kaum jemand und es ist unmissverständlich klar, welches die Behörde ist, die direkt ohne Zwischeninstanz reagieren kann. Daher: Im kirchlichen Datenschutz ist es fair, transparent und serviceorientiert, die konkret zuständige Behörde anzugeben, auch wenn es wohl keine Rechtspflicht dazu gibt.