Der oberste bayerische katholische Datenschützer wird 80

Jupp Joachimski wird 80. Als bayerischer Diözesandatenschutzbeauftragter ist er immer noch im Dienst – auch wenn seine Amtszeit eigentlich schon lange abgelaufen ist: Es gibt einfach keinen Nachfolger, und Joachimski macht (wie das Gesetz es befiehlt) einfach weiter. Zum 80. schenkt das Katholische Datenschutzzentrum Dortmund dem Jubilar eine Festschrift in der Reihe »Schriften zum kirchlichen Datenschutz«.

Porträt von Jupp Joachimski mit dem Titel der Festschrift anlässlich seines 80. Geburtstags
Mit der von Steffen Pau, Christine Haumer und Stephanie Melzow herausgegebenen Festschrift »Justiz die Pflicht, Datenschutz die Kür« würdigen die Diözesandatenschutzbeauftragten und Weggefährt*innen den Vorsitzenden Richter am Bayerischen Obersten Landesgericht a.D.

Etwa die Hälfte des Bandes machen Aufsätze zum kirchlichen Datenschutz aus: Neben den anderen Diözesandatenschutzbeauftragten und ihren Mitarbeitenden kommen unter anderem der bayerische Landesdatenschutzbeauftragte Thomas Petri und der Würzburger Kirchenrechtler Martin Rehak zu Wort. Die Aufsätze sind meist historisch und deskriptiv ausgerichtet – sie geben aber auch einige neue, bislang unbekannte Informationen zum kirchlichen Datenschutz. Mehr oder weniger zwischen den Zeilen scheint es auch langsam Gewissheit zu werden, dass das lange geplante Katholische Datenschutzzentrum Wirklichkeit wird.

Kommt das Katholische Datenschutzzentrum Bayern bald?

Schon im Vorwort des Vorsitzenden der Freisinger Bischofskonferenz, Kardinal Reinhard Marx, wird diese Hoffnung genährt: mit sprechender Unkonkretheit heißt es darin, dass das »Katholische Datenschutzzentrum Bayern« (wurde hier erstmals der Name verraten?) »in naher Zukunft« seine Arbeit als neue Datenschutzaufsichtsbehörde aufnimmt.

Auch im historisch wie aktuell aufschlussreichen Beitrag über die Organisation des betrieblichen Datenschutzes in den bayerischen Bistümern von Joachimskis Mitarbeiter Stephan Gleißner und dem betrieblichen Datenschutzbeauftragten der Erzdiözese München und Freising, Dominikus Zettl, wird der von Marx angeführte Name verwendet. (Keine Rede ist mehr von »Nürnberg« im Titel.) Auch hier sind die Formulierungen offensiv unkonkret: die Gründung einer KdÖR wurde »in Angriff genommen«, und nachdem die Vorbereitungen  »überwiegend abgeschlossen« seien, könne die neue Aufsichtsbehörde »bald« ihre Arbeit aufnehmen.

Einschätzungen zu Art. 91 DSGVO

Der Beitrag des BayLfD Petri widmet sich Art. 91 DSGVO. Hier zeigt sich eine schon bekannte Tendenz: Die Formulierung als Stichtagsregelung, die eine neue, erstmalige Setzung kirchlichen Datenschutzrechts in Gemeinschaften, die bislang keines hatten, wird als fragwürdig empfunden. Die Stichtagsregelung ist zwar der klare Wortlaut von Art. 91 Abs. 1 DSGVO. »Allerdings sind im Lichte des Art. 17 AEUV durchaus Zweifel angebracht, ob man nicht den Wortlaut des Art. 91 DSGVO anders als im Sinne einer strikten Stichtagsregelung verstehen kann und muss«, so Petri. Das verbindlich zu entscheiden, ist letztlich aber Sache des EuGH. Die am Wortlaut orientierte Position der DSK bleibt daher auch für Petri bestehen.

Petri äußert sich auch zur Zusammenarbeit zwischen kirchlichen und staatlichen Behörden und der (fehlenden) formellen Beteiligung der kirchlichen am Kohärenzverfahren. Dass dies die staatlichen Aufsichten nicht wollen, ist bekannt. Interessant ist die Argumentation, die der BayLfD mit Blick auf die Regelung der spezifischen Aufsichten anführt: Art. 91 Abs. 2 DSGVO nehme als Anforderung an die spezifischen Aufsichten nur das 6. Kapitel der DSGVO auf, nicht aber das 7., wo Zusammenarbeit und Kohärenz geregelt sind. Das Argument hat seine Schwächen: Art. 91 Abs. 2 DSGVO nimmt explizit auf die nur im 6. Kapitel definierten Anforderungen an Aufsichtsbehörden bezug, gerade um eine Gleichwertigkeit von »normalen« und spezifischen Aufsichten zu erreichen, und das 7. Kapitel regelt allgemein die Zusammenarbeit dieser Behörden.

Im weiteren Verlauf ist Petris Argumentation aber durchaus bedenkenswert: Er argumentiert mit dem Selbstbestimmungsrecht der Religionsgemeinschaften gegen eine Einbeziehung in Kohärenzverfahren. Eine Beteiligung würde aufgrund der Bindungswirkung des Verfahrens die »Bestandsgarantie eines autonomen Regelungswerks grundsätzlich infrage« stellen, mithin sei der Ausschluss gerade im »wohlverstandenen Interesse« der kirchlichen Aufsichten. Ideen, wie Partizipation und Proprium verbunden werden können, werden gar nicht in Betracht gezogen – es wäre durchaus denkbar, den spezifischen Aufsichten ein Opt-out-Recht bei Berührung des kirchlichen Kerns zuzugestehen bei ansonsten umfassender Beteiligung. Insgesamt lobt Petri die Zusammenarbeit und die wenn nicht organisatorische, so doch faktische Kohärenz – die sehr wohlwollende Deutung, dass die DSK mit ihrem Beschluss zur Unabdingbarkeit von technischen und organisatorischen Maßnahmen dem früher erfolgten der Konferenz der Diözesandatenschutzbeauftragten gefolgt sei und sich so eine große Eintracht zeige, ist aber schon mit Erscheinen Geschichte: Mittlerweile hat die katholische DSK eine von der DSK des Bundes und der Länder abweichende Entscheidung getroffen.

Kirchliche Datenschutzgerichtsordnung

Die vier anderen Diözesandatenschutzbeauftragten berichten über die Kirchliche Datenschutzgerichtsordnung und ihre Entstehung, die wesentlich von Joachimski gestaltet wurde. Im Vergleich zur Kirchlichen Arbeitsgerichtsordnung habe man eine deutlich schlankere Ordnung gewollt, zum einen, da das KDG schon viele Vorgaben enthält, zum anderem um die Akzeptanz in der Anwendung zu erhöhen. (Ein kritischer Beitrag zur KDSGO aus kanonistischer Sicht von Matthias Ambros wurde hier schon besprochen.)

Im Artikel erfährt man auch die Auflagen der Apostolischen Signatur, die vor der Erteilung des besonderen Mandats des Apostolischen Stuhls seitens der Bischofskonferenz zu erfüllen waren: So mussten die beiden Instanzen deutlich getrennt werden, sowohl was die Richter*innenschaft wie was den Sitz (jetzt: Köln für die erste, Bonn für die zweite Instanz) angeht. Die erste Instanz musste durch die Bischöfe in Einklang mit c. 1423 CIC, die zweite Instanz konnte dann wie geplant von der DBK errichtet werden. Eine Auflage der Signatur war auch, in der ersten Instanz eine*n kirchenrechtlich qualifizierte*r Beisitzer*in vorzusehen, in der zweiten zwei.

Zur Arbeit der Datenschutzgerichtsbarkeit erfährt man erstmals umfassende Zahlen mit Stand des ersten Quartals 2022. Demnach sind seit Einrichtung 2018 bis März 2022 beim IDSG 63 Verfahren eingegangen, von denen 34 erledigt sind, beim DSG-DBK 11 Verfahren, von denen 7 erledigt sind. Daraus folgt, dass momentan beim IDSG etwas mehr (18), beim DSG-DBK etwas weniger (2) als die Hälfte der Entscheidungen veröffentlicht sind.

Weitere Beiträge

  • Martin Rehak analysiert in seinem Beitrag gewohnt gründlich die Rolle des Diözesandatenschutzbeauftragten, auch im Vergleich mit den staatlichen Pendants und der Aufsicht nach DSG-EKD. Der Beitrag ist sehr hilfreich, um sich der genauen Konstruktion und der Aufgaben der katholischen Aufsichten zu vergewissern.
  • Für den Bereich der Orden beschreiben der Ordensdatenschutzbeauftragte Dieter Fuchs und der Rechtsanwalt der Deutschen Ordensobernkonferenz Lars Westinger das dort geltende Regime, vor allem die Ordnung der Datenschutzaufsicht, die Joachimski als Ordensdatenschutzbeauftragter wesentlich mitgestaltet hat. Unter anderem erfährt man, dass die Ordensdatenschutzbeauftragten von einer »Kontrollgruppe« unterstützt werden, die auf Weisung der Beauftragten anlassunabhängige Kontrollen durchführt. (Was bislang eher Thema von unbestätigtem Gossip am Rande von Veranstaltungen war, wird nun erstmals offiziell veröffentlicht: Die drei Ordensdatenschutzbeauftragten stehen sich sehr nahe. Fuchs ist seit der Studienzeit mit Joachimski befreundet, und Christine Haumer, die dritte unter den Ordensdatenschutzbeauftragten, die Tochter Joachimskis. De iure ist das zulässig.)
  • Die Vierergruppe der Diözesandatenschutzbeauftragten widmet sich in einem weiteren Beitrag Arbeitsrecht und Datenschutzrecht. Dabei kritisieren sie – wie zuvor schon Ullrich allein – vor allem die Mitarbeitervertretungsordnung, die nach Ansicht der Autor*innen hinter dem datenschutzrechtlichen Standard des KDG zurückbleibt, insbesondere mit Blick auf die Informationsrechte der MAV: »Da die Zustimmungsverweigerungsrechte der MAV durch § 34 MAVO praktisch nahezu auf null reduziert sind, darf aus datenschutzrechtlicher Sicht gefragt werden, ob die reduzierten Rechte, die die MAVO der MAV zuspricht, noch eine Rechtfertigung für die Mitteilung der in § 34 Abs. 3 MAVO genannten personenbezogenen Daten an die Mitarbeitervertretung darstellen kann«, so die Autor*innen. es sei fraglich, »welchen Umfang die Informationspflichten des Arbeitgebers haben, wenn sie der Erfüllung eines Mitbestimmungsrechtes dienen sollen, welches es praktisch gar nicht gibt«. Daneben wird auch das Muss- (Bayern) oder Soll-Erfordernis der katholischen Kirchenzugehörigkeit des MAV-Vorstands problematisiert. Von dem Erfordernis kann der Bischof beliebig dispensieren. Das verlasse das System des Dritten Wegs: »Durch die Ausnahmevorschrift wird es in das freie Ermessen des Ortsordinarius gestellt, ob er eine demokratisch gewählte MAV bzw. demokratisch gewählte Vorsitzende anerkennt oder nicht.«
  • Der Beitrag der Vierergruppe zur Konferenz der Diözesandatenschutzbeauftragten bleibt im Deskriptiven, leistet aber einen guten historischen Überblick über Entstehung, Aufgabe und Rahmen dieser Form der Kooperation.
  • Zu den auch unter den Diözesandatenschutzbeauftragten kontrovers gesehenen Fragen gehört die nach der Möglichkeit, Bußgelder für Datenschutzverstöße einzelner Beschäftigter zu verhängen. Die Mehrheitsmeinung dürfte sein, dass dieses Verhalten dem Verantwortlichen zuzurechnen ist. Joachimski sieht das anders und tut sich mit der Zuordnung schwer, wie ganz aktuell auch aus seinem Tätigkeitsbericht wieder hervorgeht. Diese Frage zeichnet die stellvertretende NRW-DDSB Stephanie Melzow in ihrem Beitrag nach. Interessant ist dabei auch ein Exkurs zur Rückausnahme in § 51 Abs. 6 KDG, dass gegen öffentlich-rechtlich verfasste kirchliche Stellen dann doch Bußgelder verhängt werden können, »soweit sie als Unternehmen am Wettbewerb teilnehmen«. Wie sich das auswirke, sei ungeklärt, berichtet Melzow: »Als am Wettbewerb teilnehmend könnten Krankenhäuser, Kindertageseinrichtungen, Altenheime und andere Pflegeeinrichtungen sowie Schulen angesehen werden. Dies hätte zur Folge, dass sich die Ausnahme des Absatzes 6 als nicht so umfassend darstellt, wie zunächst angenommen.« Auch das hat Joachimski in seinem Tätigkeitsbericht kritisch beleuchtet.

Fazit

Die Schriftenreihe des KDSZ Dortmund leistet einen unverzichtbaren Beitrag zur Reflexion und Weiterentwicklung des kirchlichen Datenschutzes – das zeigt auch der dritte Band in der Serie. So verdienstvoll die Einblicke sind, so sehr markieren sie doch auch Defizite in der kirchlichen Öffentlichkeit: Warum erfährt man über relevante Gesetzgebungsprozesse der Deutschen Bischofskonferenz erst Jahre später aus einem Sammelband der Datenschutzaufsicht? Warum legen die kirchlichen Gerichte nicht selbst Rechenschaft über ihre Tätigkeit ab?

Über die Qualität der fachlichen Beiträge hinaus ist die Festschrift auch eine große Würdigung des Jubilars: Die Wertschätzung für Joachimski und seine beeindruckende Lebensleistung – lesenswert etwa seine Beiträge zur Entwicklung des Rechtswesens in der Mongolei – wird in allen Beiträgen sehr deutlich. Mit 80 hat Joachimski seinen Ruhestand verdient. Wenn die Freisinger Bischofskonferenz ihm denn den Ruhestand gönnt und endlich eine angemessen ausgestattete Aufsicht einrichtet.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert