Die Selbständige Evangelisch-Lutherische Kirche ist mit ihrer Feststellungsklage vor dem Verwaltungsgericht Hannover gescheitert: Wie das Gericht am Mittwoch mitteilte, hat die 10. Kammer die Klage der Kirche abgewiesen.
Die SELK wollte feststellen, dass sie ihre eigene Datenschutzrichtlinie gemäß Art. 91 DSGVO anwenden dürfe und dass sie nicht der Aufsicht der niedersächsischen Landesdatenschutzbeauftragten unterfalle. Gegen das Urteil kann vor dem Oberverwaltungsgericht Lüneburg die Zulassung zur Berufung beantragt werden. Die Entscheidungsgründe liegen noch nicht schriftlich vor. (VG Hannover, Urteil vom 30.11.2022, Az. 10 A 1195/21)
Die SELK wendete seit 1993 eine Richtlinie über den Datenschutz an, die lediglich Teilregelungen zum Datenschutz enthielt. 2018 setzt die Kirche eine neue Richtlinie in Kraft, die sich am DSG-EKD orientiert. »In der Folgezeit kam es zu Meinungsverschiedenheiten über die Anwendbarkeit der eigenen Datenschutzregeln und die Datenschutzaufsicht zwischen den Beteiligten, infolge derer die Klägerin Feststellungsklage vor dem Verwaltungsgericht erhob«, heißt es in der Mitteilung des Gerichts. Den Konflikt schilderte auch die LfD in ihrem Tätigkeitsbericht für 2020.
Die 10. Kammer kam zu dem Ergebnis, dass die Voraussetzungen der DSGVO durch die Datenschutzrichtlinie nicht erfüllt seien. Ausschlaggebend dafür sei gewesen, dass zum Zeitpunkt des Inkrafttretens der DSGVO lediglich »rudimentäre Regelungen« bestanden hätten, die daher nicht das von Art. 91 Abs. 1 DSGVO geforderte Kriterium »umfassender« Regeln erfüllten. Damit sei die vom Gericht dem Wortlaut nach als Bestandsschutzregelung ausgelegte Voraussetzung für eigenes kirchliches Datenschutzrecht nicht erfüllt. In der Folge könne damit auch nicht Art. 91 Abs. 2 DSGVO zur Anwendung kommen, das Religionsgemeinschaften mit eigenen Datenschutzregeln gestattet, sich spezifischen Datenschutzaufsichten zu unterwerfen.
Mit der Abweisung der Klage ist auch der Versuch der SELK gescheitert, eine Vorlage von Fragen zur Auslegung von Art. 91 DSGVO zu erreichen. Das Gericht sah die Auslegung angesichts des »klaren Wortlauts und des Sinns und Zwecks der Norm« als eindeutig an und konnte keinen Verstoß gegen das EU-Primärrecht erkennen, das in Art. 17 AEUV gebietet, die jeweiligen nationalstaatlichen Religionsverfassungsrechte zu achten: »Der EuGH habe in ständiger Rechtsprechung deutlich gemacht, dass die Anwendung der Vorschriften des Unionsrechts über den Datenschutz keinen Eingriff in die organisatorische Autonomie der Religionsgemeinschaften, Art. 17 AEUV, darstelle«, so die Pressemitteilung weiter.
Fazit
Angesichts der Konstellation ist das Urteil des VG Hannover keine große Überraschung: Zum Zeitpunkt des Inkrafttretens der DSGVO wendete die SELK keine »umfassenden Regeln« im Bereich des Datenschutzes an, wie es Art. 91 Abs. 1 DSGVO verlangt. Richtig ist auch, dass die Norm dem Wortlaut nach eindeutig eine Bestandsschutzregelung darstellt.
Auch ohne die Entscheidungsgründe schon zu kennen, deutet sich an, dass die Zeugen-Jehovas-Entscheidung des EuGH zitiert werden wird. Die in der Pressemitteilung gewählte Formulierung paraphrasiert Rn. 74 aus diesem Urteil: »Diese Feststellung wird nicht durch den Grundsatz der organisatorischen Autonomie der Religionsgemeinschaften in Frage gestellt, der sich aus Art. 17 AEUV ergibt. Die für jedermann geltende Pflicht, die Vorschriften des Unionsrechts über den Schutz personenbezogener Daten einzuhalten, kann nämlich nicht als Eingriff in die organisatorische Autonomie der Religionsgemeinschaften angesehen werden« (EuGH, Urteil vom 10. Juli 2018, C‑25/17).
Der Zeugen-Jehovas-Fall ist zwar der Präzedenzfall für Datenschutz in Religionsgemeinschaften schlechthin, ist aber insofern nicht mit der vorliegenden Frage vergleichbar, als dass es dabei nicht um die Frage eines eigenen Datenschutzregimes ging, sondern um die Anwendung des staatlichen Rechts auf eine Religionsgemeinschaft ohne eigenes Datenschutzrecht. Dazu kommt, dass er noch auf der Rechtsgrundlage der EU-Datenschutz-Richtlinie entschieden wurde, EuGH-Rechtsprechung zum Art. 91 DSGVO selbst gibt es noch nicht. Erst mit der DSGVO wurde eigenes kirchliches Datenschutzrecht über die implizite Bestandsgarantie aus Art. 17 AEUV hinaus explizit im EU-Recht festgeschrieben – und aus diesem Blickwinkel stellt sich schon die Frage, ob bei einer expliziten Gestattung eigenen religionsgesellschaftlichen Datenschutzrechts nicht auch die Frage nach einer Gleichbehandlung aller Religionsgemeinschaften gestellt werden muss, was beispielsweise Gernot Sydow hier im Interview stark machte. Zur Ausgestaltung von Art. 91 DSGVO als reine Bestandsschutzregelung gibt es auch gewichtige Bedenken in der Kommentarliteratur, gerade mit Hinblick auf Art. 17 AEUV, besonders deutlich von Ansgar Hense im Sydow/Marsch.
Auf derartige Bedenken scheint das Gericht zumindest ausweislich der Pressemitteilung gar nicht eingegangen zu sein – sonst hätte es nahegelegen, den von der SELK begehrten Fragenkatalog dem EuGH vorzulegen, damit dieser sich erstmals zu Art. 91 DSGVO verhalten kann. Angesichts der großen Tragweite, auch über die SELK hinaus, wäre es für die Rechtsfortbildung wünschenswert, wenn die nächste Instanz zum Zuge käme und die EuGH-Vorlage doch noch gestellt würde.
Für die SELK dürfte das Urteil ein herber Schlag sein: Würde es rechtskräftig, wäre das gesamte eigene Datenschutzregime hinfällig. Bestätigt wurde hingegen die Position der Datenschutzkonferenz, die schon immer die Interpretation als strenge Bestandsschutzregelung stark gemacht hat. Mit diesem Präzedenzfall im Rücken dürften auch noch einige weitere Religionsgemeinschaften sich darauf einstellen müssen, dass ihr Datenschutzrecht in weiteren Verfahren für nichtig erkannt wird. Keine Auswirkungen haben dürfte das Urteil auf die großen Kirchen haben: Hier dürfte unstreitig sein, dass bereits die vor Inkrafttreten der DSGVO geltenden Regelungen, die katholische KDO und das evangelische DSG-EKD, »umfassend« waren.