Datenschutz in den jüdischen Gemeinden Frankfurts und Württembergs

Natürlich ist die Ausnahmeregel der DSGVO, die Glaubensgemeinschaften eigenes Datenschutzrecht ermöglicht, religionsneutral formuliert. Praktisch wird Art. 91 DSGVO vor allem von christlichen Kirchen genutzt. Es gibt aber doch auch nichtchristliche Gemeinschaften, die Datenschutzrecht setzen: Die Israelitische Religionsgemeinschaft Württembergs und die Jüdische Gemeinde Frankfurt am Main haben beide je eine eigene Datenschutzordnung, die für sich in Anspruch nimmt, Art. 91 DSGVO umzusetzen.

Siegel mit Davidstern
Siegel mit Davidstern (Bildquelle: Marek Studzinski on Unsplash)

Ein Blick in die beiden Datenschutzordnungen zeigt einerseits sehr eigenständige Regelungen: Mit den großen kirchlichen Gesetzesfamilien KDG und DSG-EKD sind sie ersichtlich nicht verwandt. Zugleich fehlt es aber strukturell an Eigenständigkeit: Die Ordnungen wollen DSGVO und BDSG nur ergänzen, nicht ersetzen. Nicht nur das wirft Fragen nach der Vereinbarkeit mit dem Europarecht auf.

Aufbau

Beide Ordnungen bauen sichtlich aufeinander auf und unterscheiden sich nur im Detail. Auf eine Präambel folgen lediglich elf Paragraphen. In der Präambel, die sich auf Art. 91 DSGVO beruft, wird das Ziel ausgegeben, »gesonderte Vorkehrungen treffen, um die vorliegenden besonderen historischen Informationen von religiöser Bedeutung, mit Hinblick auf die Vergleichsweise kleinen personellen Strukturen zu bewahren und schützen.« Außerdem gibt die Präambel vor, dass die Datenschutzordnung im Lichte der DSGVO auszulegen ist.

Einklang und Besonderheiten

Auch § 1 betont die Bedeutung des staatlichen Datenschutzrechts: DSGVO und BDSG in ihrer geltenden Fassung sind anzuwenden, die Ordnung verfolgt lediglich das Ziel, sie zu konkretisieren. Zugleich soll die Ordnung das staatliche Recht einschränken (§ 2), indem vier Fallgruppen definiert werden, in denen staatliche Regelungen zurücktreten müssen, nämlich immer dann, wenn »1. Durch die Veränderung / Löschung von personenbezogenen Informationen eine Herleitung der Herkunft mit einfachen Mitteln nicht mehr möglich ist. 2. Informationen über Einzelpersonen gelöscht oder verändert werden sollen, sodass Abkömmlinge eine jüdische Herkunft dieser Personen mit einfachen Mitteln nicht mehr nachvollziehen könnten. 3. Durch die Löschung von personenbezogenen Informationen der Erhalt von historischen Daten nicht mehr gewährleistet ist. 4. Durch die Löschung / Veränderung von personenbezogenen Daten die Erfüllung der gemeindliche Hoheitsaufgaben nicht mehr erfüllt werden können.«

Die ersten beiden Nummern sollen also die Nachvollziehbarkeit der Abstammung sicherstellen, um die Religionszugehörigkeit gemäß der Halacha feststellen zu können. Insofern ist diese Ausnahmeregelung vergleichbar mit der Privilegierung von Taufregistern in christlichen Datenschutzregelungen. Ausnahmen für Archivzwecke und für hoheitliche Aufgaben der Religionsgemeinschaft sind ebenfalls üblich bei christlichen Datenschutzregelungen und übertragen vergleichbare Privilegierungen aus dem staatlichen Recht für staatliche Stellen ins Religionsrecht.

Weitgehende Übernahmen aus DSGVO und BDSG

  • Die Grundsätze der Verarbeitung (§ 3) entsprechen Art. 5 DSGVO.
  • Die Rechte der Betroffenen (§ 4) verweisen auf Kapitel 3 DSGVO, § 9 schränkt allerdings das Recht auf Datenübertragbarkeit explizit für historische Dokumente ein, die  nur mit einem unverhältnismäßig hohen Aufwand in eine gängige maschinenlesbare Form gebracht werden könnten.
  • Die Regelungen zu Archivzwecken (§ 5) übernehmen § 28 BDSG (inklusive einer Erlaubnis zur Verarbeitung besonderer Kategorien personenbezogener Daten im gemeindlichen Interesse).
  • Dazu kommt eine explizite Regelung für Mitglieder-Archive und Mitgliederverwaltung (§ 5 Abs. 5), deren besondere Bedeutung in Abs. 6 noch einmal eingeschärft wird: »Das Erhalten dieser Informationen ist von elementarer Bedeutung für die Religionsausübung der Jüdischen Gemeinde«, heißt es darin.
  • § 8 regelt den Inhalt von Verfahrensverzeichnissen, und zwar trotz der veralteten Bezeichnung analog zu den Regelungen der DSGVO zum Verzeichnis von Verarbeitungstätigkeiten.
  • § 10 regelt Videoüberwachung analog zu § 4 BDSG.

Datenschutzbeauftragte

Grundsätzlich nimmt die Verwaltungsleitung der Gemeinde die Aufgabe als gemeindlicher Datenschutzbeauftragter wahr, der Vorstand der Gemeinde kann aber auch eine andere Person dafür bestimmen (§ 6). (Fraglich ist, ob eine Verwaltungsleitung nicht von vornherein unvereinbar mit dem Amt eines Datenschutzbeauftragten ist.)

Auch eine eigene Datenschutzaufsicht wird eingerichtet: Während die Frankfurter Ordnung dazu das Schiedsgericht der eigenen Gemeinde bestellt, weist die Württemberger Ordnung die Aufgabe dem Schiedsgericht des Zentralrats der Juden zu. Tätigkeitsberichte hat keine der als Aufsichtsbehörden genannten Gremien seit Inkrafttreten veröffentlicht.

Nicht geregelt wird der gerichtliche Rechtsbehelf. Im Frankfurter Fall legt die Gemeindesatzung nahe, dass das Schiedsgericht des Zentralrats angerufen werden kann, um eine Entscheidung der Datenschutzaufsicht anzugehen. Im Württemberger Fall, in dem das Zentralrats-Schiedsgericht selbst die Aufsicht wahrnimmt, ist unklar, ob es eine religionsgemeinschaftliche Instanz für Rechtsbehelfe gibt.

Anfragen an die Europarechtskonformität

Art. 91 DSGVO stellt mehrere Bedingungen dafür auf, dass Religionsgemeinschaften eigenes Datenschutzrecht anwenden dürfen: Zum Zeitpunkt des Inkrafttretens der DSGVO muss die Gemeinschaft umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung angewendet haben, die dann mit der DSGVO in Einklang gebracht werden müssen.

Im Einklang

Durch die umfassende Übernahme der DSGVO- und BDSG-Regelungen durch Verweis dürfte der Einklang der jüdischen Datenschutzordnungen relativ unstreitig sein; zwar wurde auch die in der Literatur als europarechtswidrig geltende BDSG-Regelung zur Videoüberwachung übernommen, das tun aber auch KDG und DSG-EKD, deren Einklang bislang niemand ernsthaft bestreitet. Die Abweichungen von der DSGVO sind ebenfalls in der Spur der großen christlichen Gesetze und in der religiösen Tradition wohl begründet.

Nicht umfassend, da ergänzungsbedürftig

Die Verweisung auf DSGVO und BDSG sorgen allerdings zugleich dafür, dass fraglich wird, ob es sich um umfassende Regelungen handelt. In der Literatur wird dieses Kriterium oft so ausgelegt, dass religionsspezifische Regelungen den Anspruch auf Vollständigkeit haben und nicht durch staatliche Regelungen ergänzt werden müssen (so etwa die Formulierung im Kühling/Buchner); diese Ergänzung ist aber gerade das Prinzip der jüdischen Datenschutzordnungen.

Nicht vor dem Stichtag

Den Stichtag des Inkrafttretens der DSGVO reißen beide Ordnungen: Die Frankfurter Ordnung trat am 22. Mai 2018 in Kraft, also nach Inkrafttreten, aber vor Wirksamwerden der DSGVO, die Württemberg sogar nach beiden Stichtagen erst am 17. Dezember 2018, ohne dass jeweils ersichtlich wäre, dass schon am 25. Mai 2016, dem Tag des Inkrafttretens der DSGVO, eigene Datenschutzregelungen bestanden. Dem Wortlaut nach, den auch die DSK in ihrem Beschluss zu Art. 91 DSGVO zugrunde legt, scheitert bereits daran die Möglichkeit eigenen Datenschutzrechts. In diesem Sinne entschied auch das VG Hannover über das Datenschutzrecht der SELK.

Es sprechen aber gute Gründe dafür, dass mit Blick auf den Bestandsschutz für das nationale Religionsverfassungsrecht aus Art. 17 AEUV die Stichtagsregelung selbst primärrechtswidrig ist und stattdessen alle Religionsgemeinschaften unabhängig von einem Stichtag eigenes Datenschutzrecht setzen dürfen, wo das nach nationalem Religionsverfassungsrecht möglich ist. Indes: Bislang wird diese Auffassung nur teilweise in der Literatur vertreten, der tatsächliche Umgang seitens Aufsichten und (einem) Gericht ist anders.

Einschätzungen der Landesdatenschutzaufsichten

Sowohl die hessische wie die baden-württembergische Datenschutzaufsicht machen die Interpretation von Art. 91 DSGVO als Stichtagsregelung stark, auch in diesem Fall. Auf Anfrage teilte eine Sprecherin der hessischen Aufsicht mit, dass ihres Erachtens die Voraussetzungen des Art. 91 DS-GVO auf Grundlage der bekannten Informationen nicht gegeben seien. »Soweit die Voraussetzungen nach Art. 91 Abs. 1 DSGVO nicht erfüllt sind, eigene Datenschutzregeln weiter anzuwenden, entfällt auch die Berechtigung nach Art. 91 Abs. 2 DSGVO, eine eigene Aufsichtsbehörde einzurichten. Demnach unterfiele die jüdische Gemeinde der DS-GVO und der Aufsicht des HBDI«, so die Auskunft der Aufsicht weiter. Beim baden-württembergischen Datenschutzbeauftragten sieht man den Grundsatz genauso, auch wenn die klare Ansage vermieden wird, dass die konkrete Datenschutzordnung nicht Art. 91 DSGVO entspricht: »Umfassende Datenschutzregeln, die erst nach dem Stichtag erlassen wurden oder werden und zur Anwendung kommen, fallen demnach nicht unter die Regelung des Art. 91 Abs. 1 DS-GVO. Diese sind somit unbeachtlich.«

Fazit

Die beiden jüdischen Datenschutzordnungen sind einerseits wenig originell, übernehmen sie doch weitgehend staatliches Recht. Da wo sie aber wirklich eigenständige Regelungen treffen, zeigen sie deutlich, welche besonderen religiösen Bedürfnisse es im Judentum für Datenverarbeitung gibt, insbesondere bei der zentralen Frage, wer Jude, wer Jüdin ist.

Es scheint allerdings auch ohne zu gehen: Anscheinend haben sich nur diese zwei Gemeinden eigenes Datenschutzrecht gegeben, obwohl die meisten der über 100 im Zentralrat der Juden zusammengeschlossenen Gemeinden Körperschaften des öffentlichen Rechts sind, also grundsätzlich die Möglichkeiten des deutschen religionsverfassungsrechtlichen Systems nutzen.

Wahrscheinlich entsprechen die jüdischen Datenschutzordnungen nicht den Anforderungen von Art. 91 DSGVO, schon aufgrund der Stichtagsregelung, aber auch aufgrund ihrer Ergänzungsbedürftigkeit. Die zuständigen Aufsichten sehen es so – Konflikte wie in Hannover drohen also.

Das zeigt gleich zwei Probleme mit der Normierung des religionsgemeinschaftlichen Datenschutzes in der DSGVO auf: Der Stichtag ist eher nicht mit dem EU-Primärrecht zu vereinbaren und erzeugt eine ungerechtfertigte Ungleichbehandlung verschiedener Religionsgemeinschaften, und das Kriterium »umfassender« Datenschutzregeln ist kontraproduktiv: Eine schlanke Regelung lediglich der religionsspezifischen Besonderheiten ist übersichtlicher und sorgt für mehr Einklang als das in weiten Teilen faktische Abschreiben und mehr oder weniger gelungene Umschreiben der ganzen DSGVO. Das Ziel eines einheitlichen Datenschutzniveaus in der ganzen EU wird mit einer spezifischen Ordnung wie in den beiden jüdischen Gemeinden deutlich besser erreicht als mit den tatsächlich umfassenden christlichen Datenschutzregimen mit ihren überraschenden Abweichungen, deren religiöse Notwendigkeit nicht immer einsichtig ist.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert