Der Trend geht zur Körperschaft – zwei Diözesandatenschutzaufsichten sind schon als KdÖR verfasst, zwei weitere sollen es werden. Der Status soll die geforderte Unabhängigkeit der Aufsicht sichern. Doch in den Satzungen der bisher errichteten Körperschaften sichern sich die Diözesanbischöfe einiges an Mitsprache – zu viel? In einem Gastbeitrag sieht der Sprecher der Konferenz der Diözesandatenschutzbeauftragten Matthias Ullrich die vom Europarecht verlangte Unabhängigkeit der katholischen Aufsichten in Gefahr.

Das KDG legt jedem Diözesanbischof die Pflicht auf, für den Bereich seiner Diözese einen Datenschutzbeauftragten als Leiter der Datenschutzaufsicht zu bestellen (§ 41 Abs. 1 KDG). Dieser übt seine Tätigkeit laut Gesetz in organisatorischer und sachlicher Unabhängigkeit aus. Die Dienstaufsicht ist dabei so zu regeln, dass die Unabhängigkeit nicht beeinträchtigt wird (§ 42 Abs. 1 KDG). Eine Regelung dazu, in welcher Rechtsform die Datenschutzaufsichten zu etablieren sind, schreibt das Gesetz nicht vor. Auch der DS-GVO ist eine Festlegung auf eine bestimmte Rechtsform fremd.

Mit der Einrichtung einer Datenschutzaufsicht für die Nordrhein-Westfälischen (Erz-)Bistümer wurde erstmals eine als Körperschaft öffentlichen Rechts organisierte Aufsicht an den Start gebracht.

Spätestens seitdem wird von der Unterkommission (UK) Datenschutz und Melderecht/IT-Recht der Rechtskommission des Verbandes der Diözesen Deutschlands (VDD) diese Rechtsform priorisiert. Zwar kann auch die UK für eine solche Forderung keine rechtliche Grundlage benennen, ist aber der Meinung, dass dem gesetzlichen Anspruch nach organisatorischer und sachlicher Unabhängigkeit der Aufsichten in dieser Rechtsform am ehesten Rechnung getragen werden kann.

Ein Blick in die Satzungen des Katholischen Datenschutzzentrums Dortmund und des Katholischen Datenschutzzentrums Frankfurt/M. sowie in den Satzungsentwurf, der beim katholischen Büro Bremen für die Katholische Datenschutzaufsicht Nord eingereicht worden ist, weckt Zweifel an der von der UK vertretenen Auffassung. [Anm. der Redaktion: der Satzungsentwurf ist noch nicht öffentlich bekannt.]

Über den Verwaltungsrat nehmen Bischöfe Einfluss

Alle Regelungen sehen als Organe neben dem Diözesandatenschutzbeauftragten einen Verwaltungsrat vor. Die Mitglieder dieses Verwaltungsrates bestehen satzungsgemäß aus den Diözesanbischöfen der beteiligten Bistümer.

Auch die Aufgaben dieses Gremiums sind in den Regelungen weitgehend identisch geregelt. So sehen alle Normen eine „Beratung vor der Einstellung von Mitarbeitenden“ vor. § 43 Abs. 5 KDG legt demgegenüber fest: „Der Diözesandatenschutzbeauftragte wählt das notwendige Personal aus, das von einer kirchlichen Stelle, ggf. der Datenschutzaufsicht selbst, angestellt wird.“ Für eine Beratung der Entscheidung des Diözesandatenschutzbeauftragten durch Dritte besteht nach dem Gesetz kein Raum insoweit dürfte die Regelung gegen das KDG verstoßen.

Weiterhin kommt den Verwaltungsräten die Aufgabe zu, „Einvernehmen für die Bestellung der Vertretung des gemeinsamen Diözesandatenschutzbeauftragten“ herzustellen. Auch an dieser Stelle verfolgt das KDG eine ganz andere Intention, wenn es dort heißt: „Der Diözesandatenschutzbeauftragte benennt aus dem Kreis seiner Mitarbeiter einen Vertreter, …“. Die Formulierung des Gesetzes lässt auch an dieser Stelle keine Interpretation zu, nach der Dritte einen Einfluss auf die Entscheidung des Diözesandatenschutzbeauftragten nehmen dürfen. Schon gar nicht ist dessen Entscheidung vom Einvernehmen mit Dritten abhängig.

Die Satzung für die nordrhein-westfälischen Bistümer ermächtigt den Verwaltungsrat, für die Datenschutzstelle eine Geschäftsordnung zu bestimmen. Nach den beiden anderen Regelungen entscheidet der Verwaltungsrat bei allen Rechtsgeschäften und Rechtsstreitigkeiten gegenüber dem Datenschutzbeauftragten. Da sich erfahrungsgemäß eine einmal in der Welt befindliche Regelung perpetuiert, ist nicht anzunehmen, dass der Entwurf der Satzung für die bayrischen Bistümer wesentlich von den anderen abweicht.

Durch die Errichtung eines Verwaltungsrates haben es die Bischöfe der betroffenen Bistümer geschafft, sich mit Hilfe der Satzung über die Datenschutzaufsicht zu stellen, der sie aufgrund des KDG unterworfen sind. Besonders heikel ist in diesem Zusammenhang, dass es in der katholischen Kirche eine dem staatlichen Recht vergleichbare Gewaltenteilung nicht gibt. Die Bischöfe vereinen in sich aufgrund des Kirchenrechts die Aufgaben von Legislative, Judikative und Exekutive.

Vor diesem Hintergrund wird deutlich, dass die Bildung einer Körperschaft keineswegs dem gesetzlichen Anspruch nach organisatorischer und sachlicher Unabhängigkeit der Aufsichten am ehesten Rechnung trägt. In der Praxis der katholischen Datenschutzaufsichten ist genau das Gegenteil der Fall.

Das Europarecht verlangt Unabhängigkeit

Diese Praxis verstößt gegen europäisches Recht und dürfte dem von Artikel 91 DS-GVO geforderten Einklang als Voraussetzung für die Anwendung eines eigenen Rechts eklatant widersprechen.

Bereits 2010 urteilte der EuGH (EuGH 09.03.2010 C – 518/07):

„ … dass die für die Überwachung der Verarbeitung personenbezogener Daten im nichtöffentlichen Bereich zuständigen Kontrollstellen mit einer Unabhängigkeit ausgestattet sein müssen, die es ihnen ermöglicht, ihre Aufgaben ohne äußere Einflussnahme wahrzunehmen. Diese Unabhängigkeit schließt nicht nur jegliche Einflussnahme seitens der kontrollierten Stellen aus, sondern auch jede Anordnung und jede sonstige äußere Einflussnahme, sei sie unmittelbar oder mittelbar, durch die in Frage gestellt werden könnte, dass die genannten Kontrollstellen ihre Aufgabe, den Schutz des Rechts auf Privatsphäre und den freien Verkehr personenbezogener Daten ins Gleichgewicht zu bringen, erfüllen.“

Diese Entscheidung hat der EuGH auch in den Folgejahren bestätigt, indem er 2012 (EuGH 16.10.2012 C-614/10) urteilte:

„Die … erforderliche Unabhängigkeit soll nämlich nicht nur die unmittelbare Einflussnahme in Form von Weisungen ausschließen, sondern auch, … jede Form der mittelbaren Einflussnahme, die zur Steuerung der Entscheidungen der Kontrollstelle geeignet wäre.“

Auch in einer weiteren Entscheidung 2014 (EuGH 08.04.2014 – RS C-288/12 Rn. 53) verdeutlichte der EuGH noch einmal die von ihm vertretene Rechtsansicht:

„… dass schon die bloße Gefahr einer politischen Einflussnahme auf die Entscheidung der Kontrollstelle ausreicht, um deren unabhängige Wahrnehmung ihrer Aufgaben zu beeinträchtigen.“

Von einer weisungsfreien unabhängigen Aufsicht kann bei Anwendung der genannten Satzungen mithin keine Rede mehr sein.

Das bedeutet nicht, dass eine Aufsicht, die als öffentlich-rechtliche Körperschafft organisiert ist, per se gegen die gesetzlich geforderte Unabhängigkeit und Weisungsfreiheit verstößt. Ein korrektes Beispiel findet sich in der Satzung des Unabhängigen Landeszentrums für Datenschutz (ULD) Schleswig-Holstein in den §§ 3 und 4:

Fazit

Abschließend ist festzustellen, dass die erlassenen Satzungen für die als Körperschaften öffentlichen Rechts organisierten Datenschutzaufsichten gegen das KDG sowie gegen europäisches Recht verstoßen und damit rechtswidrig sind.

Diese Satzungen und die auf deren Grundlage gelebte Praxis gefährden das Recht der Kirchen, eigene datenschutzrechtliche Vorschriften weiterhin anwenden zu dürfen, weil durch diese Regelungen ein Einklang mit der DS-GVO nicht mehr besteht.

Die bereits bestehenden Satzungen für die Datenschutzaufsichten in Frankfurt und Dortmund sind deshalb aufzuheben. Die Bemühungen, die Satzungen für die bayerischen Bistümer und die norddeutschen Bistümer von den jeweiligen Bundesländern anerkennen zu lassen, sind zu stoppen.