VG Hannover kassiert Datenschutzrecht der SELK – Entscheidungsgründe

Im November hat das Verwaltungsgericht Hannover die Klage der Selbständigen Evangelisch-Lutherischen Kirche gegen die Landesdatenschutzbeauftragte Niedersachsen abgewiesen und damit das eigene Datenschutzrecht und die eigene Datenschutzaufsicht der Kirche verworfen. Nun liegen die Entscheidungsgründe vor. (VG Hannover, Urteil vom 30. November 2022, Az. 10 A 1195/21)

Fachgerichtszentrum Hannover mit Urteil SELK ./. LfD Niedersachsen
(Bildquelle: Stefan Brending, Lizenz: Creative Commons by-sa-3.0 de, CC BY-SA 3.0 de, Link; VG Hannover; (zugeschnitten und montiert))

Kurz zusammengefasst lautet das Urteil: Der Wortlaut von Art. 91 DSGVO gilt. Der Kirchenartikel ist wirklich nur eine Bestandsschutzregelung. Eine eingehendere Analyse gibt einige interessante Anhaltspunkte zur Auslegung des Artikels – und wenn das Urteil rechtskräftig werden sollte, werden wohl einige Kommentare umgeschrieben werden müssen.

Zum Sachverhalt

Bislang war nur bekannt, dass es Streit zwischen der SELK und der LfD Niedersachsen gab. Im niedersächsischen Tätigkeitsbericht 2020 wurde schon berichtet, dass die Ursache eine Initiative der SELK war. Dazu erfährt man jetzt mehr: Im Oktober 2019 hatte die kirchliche Datenschutzaufsicht die Landesdatenschutzaufsicht über die eigene Behörde informiert und um die Abgabe aller datenschutzrechtlichen Vorgänge zur SELK an sie erbeten.

Ursprünglich war die LfD Niedersachsen auch davon ausgegangen (das Urteil spricht von einer zunächst kursorischen Prüfung der Unterlagen), dass die Anforderungen von Art. 91 Abs. 1 DSGVO auch erfüllt sind. Zum Verhängnis wurde der SELK dann ein Rundschreiben: »Die Klägerin verschickte weitere Schreiben an alle Aufsichtsbehörden der Länder. Neun Datenschutzbeauftragte erkannten die aufsichtsrechtliche Kompetenz der Klägerin an.« Einige Behörden hätten jedoch Rückfragen geschickt, insbesondere die Berliner BfDI habe um eine ergänzende Stellungnahme gebeten.

Nach der kursorischen Prüfung erfolgte daher eine eingehendere Prüfung durch die LfD Niedersachsen, die Mängel in der Datenschutzrichtlinie von 1993 festgestellt hatte. Sie enthalte »u.a. keine Regelungen zu Informationspflichten, zu technischen und organisatorischen Maßnahmen, zur Auftragsverarbeitung oder zur Übermittlung personenbezogener Daten in Drittstaaten«.

Vortrag der SELK

Die SELK nahm daraufhin ihre grundsätzlich schon bekannte Position ein: Art. 91 DSGVO sei nicht als starre Stichtagsregelung auszulegen, es fehle eine Beachtung der grundgesetzlichen Vorgaben zum Religionsverfassungsrecht wie von Art. 17 AEUV, der es der EU gebietet, den mitgliedstaatlichen Status der Religionsgemeinschaften nicht zu beeinträchtigen. Entgegen dem Wortlaut sei Art. 91 DSGVO so auszulegen, dass der relevante Stichtag der Tag des Wirksamwerdens sei, also der 25. Mai 2018, und nicht des Inkrafttretens der DSGVO, also zwei Jahre zuvor und 20 Tage nach Verkündung im EU-Amtsblatt. »Die 20 Tage zwischen der Verkündung im Amtsblatt der Europäischen Union und dem Inkrafttreten nach Art. 99 Abs. 1 DSGVO seien aber unverhältnismäßig kurz, um Datenschutzvorschriften in „umfassende Regeln“ umzuwandeln. Dieses Verständnis würde außerdem dazu führen, dass die DSGVO eine unzulässige Vorwirkung entfalte«, gibt das Gericht den Vortrag wieder. Vor Inkrafttreten der DSGVO hätte sich die SELK auf bestehende Vorschriften verlassen können, die ihr eine eigene Regelung ermöglichten. Außerdem führte die Kirche den Gleichbehandlungsgrundsatz an mit dem schon aus der Kommentarliteratur – etwa Hense in Sydow/Marsch – bekannten Argument, dass bei einer strengen Wortlautauslegung Gemeinschaften, die erst nach Geltung der DSGVO öffentlich-rechtliche Körperschaft werden, um die Möglichkeit eigenen Datenschutzrechts gebracht würden.

Auch ein bislang nicht bekannter Aspekt wurde eingebracht: quasi die Fortführung des Arguments vom »beredten Schweigen«. Die Landesdatenschutzaufsicht könne schon deshalb nicht für die SELK zuständig sein, weil ihre Zuständigkeit durch keine Norm festgelegt werde, da sie weder öffentliche noch nicht-öffentliche Stelle sei.

Bekannt waren bisher die ersten drei von der SELK gewünschten EuGH-Vorlagefragen: nach dem tatsächlichen Stichtag, nach der erstmaligen Möglichkeit eigenen Datenschutzrechts nach dem Stichtag und nach der Befugnis zur Einrichtung einer spezifischen Aufsicht. Erstmals öffentlich wurde nun die vierte gewünschte Vorlagefrage:

»Beeinträchtigt Art. 91 DSGVO den Status nach Art. 17 Abs. 1 AEUV, den Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren Rechtsvorschriften genießen (kirchliches Selbstbestimmungsrecht), wenn diese die Aufsicht durch eine unabhängige spezifische Aufsichtsbehörde nur unter der Voraussetzung ausüben können, dass sie im Zeitpunkt des Inkrafttretens umfassende Datenschutzregeln anwendeten?«

Vortrag der Landesdatenschutzbeauftragten

Die LfD Niedersachsen kann sich in ihrem Antrag, die Klage abzuweisen, einen relativ schlanken Fuß machen: »Die Argumentation der Klägerin überschreite die Wortlautgrenze der Auslegung«, fasst das Gericht ihr Argument zusammen. Die SELK-Richtlinie von 1993 sei nicht vollständig (hier werden als fehlende Punkte vollständige Aussagen zum Anwendungsbereich, zu den wesentlichen Datenschutzgrundsätzen und Regelungen zur Aufsicht über die Einhaltung von Regeln genannt), da helfe es auch nicht, dass nach dem Stichtag Regeln erlassen wurden, die »im Grunde umfassend ausgestaltet« sind.

Vom beredten Schweigen will die LfD auch nichts wissen. Die DSGVO regle allgemein ein Territorialprinzip, und wenn das nationale Recht keine Zuständigkeitszuweisung zwischen verschiedenen Aufsichten festlegt, greife die DSGVO unmittelbar: »Sie sei als Aufsichtsbehörde daher für alle Bereiche des Datenschutzes in Niedersachsen zuständig, auch für den kirchlichen.«

Die Entscheidung

Das Gericht sieht die Klage als zulässig, aber unbegründet an. Die SELK dürfe keine eigenen Datenschutzregelungen anwenden: »Weder hat sie zum maßgeblichen Zeitpunkt umfassende Datenschutzregeln i.S.d. Art. 91 Abs. 1 DSGVO angewandt (1) noch ist sie berechtigt, diese nachträglich zu erlassen (2). Sie ist daher an die DSGVO gebunden, ohne dass dies eine Verletzung ihrer Rechte darstellt (3).« Auch hier ist die Kurzfassung, dass der Wortlaut als eindeutig angesehen wird und andere Auffassungen das Gericht nicht überzeugen.

Die Entscheidung wird aber deutlich ausführlicher begründet. Dabei streift das Gericht viele der fraglichen Punkte in der Auslegung von Art. 91 DSGVO.

Auslegung von »umfassende Regeln«

Das Gericht schließt sich der wohl herrschenden Meinung an, wie die geforderten umfassenden Regeln zu verstehen sind: »Unter „umfassend“ ist zu verstehen, dass die Datenschutzregeln der Religionsgemeinschaft vollständig sind und nicht durch staatliche Regelungen ergänzt werden müssen.« Der Begriff wird daher auf die einprägsame Formel »Gesamtwerk im Sinn des Grundsatzes des „ganz oder gar nicht“ und nicht auf Einzelnormen [bezogen]« gebracht. Dafür spreche auch, dass In-Einklang-Bringen nur auf eine Gesamtheit bezogen sein kann.

Hier geht das Gericht bereits auf Art. 17 AEUV ein: »Diese Auslegung verwirklicht den Grundsatz der Autonomie von Kirchen, religiösen Vereinigungen und Gemeinschaften am umfassendsten und entspricht damit dem Gedanken von Art. 17 Abs. 1 AEUV«. Das Gericht spricht sich auch deutlich gegen eine ergänzende Anwendung der DSGVO aus – mit einem Argument aus der Perspektive der Religionsgemeinschaften: »Denn eine ergänzende Anwendung der DSGVO birgt die Gefahr, dass die Rechtssetzungsbefugnis der Kirchen durch eine letztlich überbordende Anwendung der DSGVO konterkariert und damit ausgehebelt wird.« (Dass eine Stichtagsregelung aber erst recht Rechtsetzungsbefugnis aushebelt, wird nicht erwähnt.)

Materielle Kriterien für umfassende Regeln

Das Gericht sieht die SELK-Datenschutzrichtlinie von 1993 als unstrittig nicht umfassend an. Dazu werden auch einige Punkte benannt, die umfassende Regeln enthalten müssen:

  • vollständige Aussagen zum Anwendungsbereich
  • wesentliche Datenschutzgrundsätze wie Rechtmäßigkeit, Verhältnismäßigkeit und Datenminimierung
  • konkrete Rechtsgrundlagen bzw. Erlaubnistatbestände zur Verarbeitung personenbezogener Daten
  • Regelungen zu Informationspflichten der verantwortlichen Stellen bei der Datenerhebung
  • technische und organisatorische Maßnahmen
  • Auftragsverarbeitung
  • Rolle des Verantwortlichen
  • Übermittlung in Drittstaaten
  • Betroffenenrechte
  • Aufsicht

Bestandsschutzregelung

Auch Gegenpositionen zu einer reinen Wortlautauslegung werden angeführt, wenn sie auch sehr deutlich abgelehnt werden. Dabei bezieht sich das Gericht maßgeblich auf einen Aufsatz von Michael Ronellenfitsch (Bestandsschutz der Religionsgemeinschaften nach der DSGVO, DÖV 2018), der eine weitere Auslegung mit Blick auf AEUV und Grundrechtecharta als »interessengeleitet« und weder historisch, systematisch noch teleologisch überzeugend findet.

Art. 91 DSGVO verlange kein Sonderrecht der Kirchen, sondern lasse es nur zu, und sogar noch exklusiver: »Zweck der Vorschrift ist es demnach, bereits bestehende Datenschutzvorschriften der beiden großen Kirchen weiterhin Geltung zu verschaffen, nicht aber jeder Religionsgemeinschaft die Schaffung eigener Datenschutzvorschriften zu ermöglichen.«

Verworfen wird das Argument einer Ungleichbehandlung, da dafür wesentlich Gleiches ohne sachlichen Grund ungleich behandelt werden müsste. »Eine bereits bestehende Religionsgesellschaft mit bereits bestehenden Datenschutzregeln ist nicht wesentlich gleich zu einer neu hinzutretenden Religionsgemeinschaft ohne solche Regeln«, stellt das Gericht – leider ohne weitere Ausführungen dazu – fest. Der sachliche Grund für die Ungleichbehandlung sei der Bestandsschutz.

EuGH-Vorlage

Für das VG Hannover ist der Wortlaut so klar, dass eine Vorlage nicht für erforderlich gehalten wird. Mit der klaren Position zur Zulässigkeit des Datenschutzrechts der SELK ist damit auch die Frage nach der Möglichkeit einer spezifischen Aufsicht schnell geklärt – schließlich greift Art. 91 Abs. 2 DSGVO nur, wenn die Bedingungen aus Abs. 1 erfüllt sind.

Zuständigkeit der Landesdatenschutzaufsicht

Das von der SELK festgestellte beredte Schweigen kontert das Gericht mit einer unionsrechtskonformen Auslegung der nationalen Gesetze. Da die DSGVO auch grundsätzlich für Religionsgemeinschaften gilt, muss eine Datenschutzaufsicht für sie zuständig sein. Dem stehe auch nicht das deutsche Religionsverfassungsrecht entgegen: »Ebenso wie bei der Anwendung der materiellen Datenschutzregelungen der DSGVO auf die Verarbeitung personenbezogener Daten durch die betreffenden Religionsgesellschaften ist auch mit der datenschutzrechtlichen Beaufsichtigung dieser Datenverarbeitung durch eine Aufsichtsbehörde dem Grunde nach keine Verletzung des Selbstverwaltungsrechts verbunden.« Zuvor hatte das Gericht unter Verweis auf die Zeugen-Jehovas-Entscheidung des EuGH betont, dass die für jedermann geltende Pflicht, die Vorschriften des Unionsrechts zum Datenschutz einzuhalten, nicht als Eingriff in die organisatorische Autonomie der Religionsgemeinschaften angesehen werden könne.

Recht schwach formuliert sind eventuelle widerstreitende Grundrechtspositionen: »Etwa erforderlichen Beschränkungen im Hinblick auf die Ausübung der grundrechtlichen Freiheiten durch die Religionsgesellschaften nach Art. 4 Abs. 1 und 2 GG oder ihr Selbstverwaltungsrecht nach Art. 140 GG i.V.m. Art. 137 Abs. 3 WRV kann ggf. durch eine schonende Handhabung der Aufsicht Rechnung getragen werden.« – eine lediglich »schonende Handhabung« klingt eher nach Gnadenerweis als nach dem Erfordernis, Datenschutzgrundrecht und institutionelle Religionsfreiheit in praktische Konkordanz zu bringen.

Fazit

Der Wortlaut schlägt alle Argumente zum Gleichbehandlungsgebot und deutschem hergebrachten Religionsverfassungsrecht. Diese Position ist angesichts des in dieser Hinsicht wirklich klaren Wortlauts von Art. 91 DSGVO nachvollziehbar. Möglicherweise hat die SELK durch die Formulierung ihrer ersten drei gewünschten Vorlagefragen die Wortlautfixierung selbst vorgespurt – denn die Antworten darauf scheinen wirklich recht einfach. Lediglich die (anscheinend nachgereichte) vierte Vorlagefrage fokussiert auf Rechtszweifel, die eine EuGH-Vorlage wirklich plausibel machen.

Für eine mögliche Berufung dürfte die etwas schnelle Festlegung ein Einfallstor sein, dass keine Ungleichbehandlung neuer und alter Religionsgemeinschaften vorliege. Die Argumentation für eine andere Gewichtung von EU-Grundrechten und Art. 17 AEUV lediglich als interessengeleitet abzutun, wirkt selbst eher interessengeleitet – wenn auch von einem Interesse eines einheitlichen EU-Rechtsrahmens geleitet, was beim EuGH wohl auf offenere Ohren als institutionelle Religionsfreiheit stoßen dürfte.

Für die Praxis und andere Religionsgemeinschaften gibt es einige wichtige Aspekte: Angesichts der bekannten Position der Aufsichten und mit dem Rückenwind dieses Urteils ist es Gemeinschaften mit möglicherweise fragwürdigem Eigenrecht nicht angeraten, proaktiv auf staatliche Aufsichten zuzugehen. Der (wohl nicht vollständige) Kriterienkatalog für umfassende Regelungen dürfte hilfreich sein, um das eigene Datenschutzrecht selbst zu überprüfen – auch wenn nachträgliche Korrekturen auch nichts helfen. Und schließlich stellt das Urteil auch Rückenwind für das KDG und das DSG-EKD dar: Das evangelische Gesetz wird explizit als umfassend bezeichnet, beide Gesetze werden – unter Missachtung anderer Gemeinschaften – sogar als die eigentlichen Adressaten für den Bestandsschutz identifiziert.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert