Es gibt kein Recht auf Vergessenwerden im Taufregister – jedenfalls nicht zu Lebzeiten. Nach mehreren Jahren hat die irische Datenschutzaufsicht über Beschwerden gegen das Erzbistum Dublin entschieden, mit denen Austrittswillige die Löschung ihrer Daten aus den Kirchenbüchern erstreiten wollten.

Die Entscheidung ist auf den 27. Februar datiert, wurde laut dem Dateinamen aber erst im September auf der Webseite der Datenschutzaufsicht veröffentlicht. Auf 183 Seiten legt die Datenschutzbeauftragte Helen Dixon ihre Entscheidung vor. Auch wenn das Erzbistum in einigen Details keinen Erfolg hatte: Im Großen und Ganzen ist die Praxis der Kirchenbuchführung rechtmäßig.

Im Volltext: Inquiry into processing of Church Records by the Archbishop of Dublin (‚the Archbishop‘), Az. IN-19-7-6

Hintergründe der Prüfung

Laut der Entscheidung lagen der Aufsicht einige Beschwerden von betroffenen Personen vor, die ihre Daten aus Kirchenbüchern entfernen lassen wollten. Löschbegehren unter Verweis auf Art. 17 DSGVO wurden abgelehnt mit der Begründung, dass die Kirchenbücher keine Mitgliedsverzeichnisse der Kirche darstellten, sondern eine Aufzeichnung historischer Fakten.

In Irland gibt es – wie insgesamt im kirchlichen Recht – keine formale Möglichkeit des Kirchenaustritts, bislang wurden auch keine Austrittserklärungen entgegengenommen und in den Kirchenbüchern eingetragen. Erstmals hatte die Aufsicht in ihrem Tätigkeitsbericht für 2019 von dem Fall berichtet.

Laut der Entscheidung argumentierte das Erzbistum zunächst, dass bei den rein in Papierform geführten Kirchenbüchern der Anwendungsbereich der DSGVO nicht eröffnet sei und es ohnehin nicht die verantwortliche Stelle sei. Das sah die Aufsicht von Anfang an anders: Der Anwendungsbereich sei eröffnet, das Erzbistum sei entweder allein oder gemeinsam mit der jeweiligen Pfarrei verantwortlich.

Die Beschwerden richteten sich gegen alle Arten von Kirchenbüchern, die Untersuchung der Behörde beschränkte sich aber auf Taufregister – dazu argumentiert sie auch mit dem kirchlichen Selbstverständnis: »This is on the basis that the sacrament of baptism is considered the gateway to the other sacraments (in accordance with canon 849).«

Das Erzbistum hatte die Möglichkeit, auf eine vorläufige Fassung zu reagieren, daher nimmt die Entscheidung umfangreich Bezug auf Positionen des Erzbistums.

Entscheidungsgründe

Die Prüfung der fraglichen Punkte ist ausgesprochen umfangreich. Insgesamt widmet sich die Entscheidung sechs Bereichen: Eröffnung des Anwendungsbereichs, Verantwortlichkeit, Rechtsgrundlage, Recht auf Berichtigung, Recht auf Löschung sowie Speicherbegrenzung.

Anwendungsbereich

Zur Prüfung, ob überhaupt eine Datenverarbeitung im Sinn der DSGVO vorliegt, arbeitet sich die Aufsicht tief in die relevanten kanonischen Bestimmungen und in die kirchliche Praxis ein.

Es dürfte keine Überraschung sein, dass unter den einschlägigen Gerichtsentscheidungen zuerst das Zeugen-Jehovas-Urteil des EuGH aufgezählt wird – dort wurden schon die Notizzettel der Haustürmissionar*innen ausreichend für das Kriterium eines Dateisystems gesehen. Damit ist auch das – ausführlich und transparent begründete – Ergebnis naheliegend, dass Taufbücher zwar keine automatisierte Verarbeitung darstellen, aber ein Dateisystem – und damit ist der Anwendungsbereich der DSGVO eröffnet.

Verantwortlichkeit

Das Erzbistum sah sich nicht als Verantwortlichen. Die Aufsicht hatte zu prüfen, wer für Kirchenbücher verantwortlich ist. Für diese Prüfung wird intensiv das Kirchenrecht herangezogen. Insbesondere c. 473 § 1 CIC spricht dabei für die zumindest gemeinsame Verantwortlichkeit des Erzbischofs: »Der Diözesanbischof muss dafür sorgen, dass alle Angelegenheiten, die zu der Verwaltung der ganzen Diözese gehören, gebührend aufeinander abgestimmt und so geordnet sind, dass sie dem ihm anvertrauten Teil des Gottesvolkes wirklich von Nutzen sind.« Dazu kommt die Pflicht zur Pflege der Kirchenbücher und zur Unterhaltung eines Pfarrarchivs, das bei einer Visitation geprüft werden kann (c. 535 CIC, insbesondere § 4).

Das Kirchenrecht wird dabei nicht so aufgefasst, dass es schon alle Zwecke und Mittel der Datenverarbeitung festlegt (damit könnte statt dem Erzbischof oder der Erzdiözese möglicherweise sogar der Papst Verantwortlicher sein). Stattdessen gibt es nach Ansicht der Aufsicht dem Diözesanbischof den Rahmen vor, innerhalb dessen er sein Bistum frei verwaltet und innerhalb dessen er deshalb Zwecke und Mittel der Datenverarbeitung bestimmt.

Der Abschnitt zur Verantwortlichkeit ist mit Abstand der längste der Prüfung. Es lohnt sich, die Erwägungen im Detail zu lesen: Hier wird sehr kleinteilig vorgeführt, wie einzelne Verarbeitungen auf welcher Grundlage Verantwortlichen zugeordnet werden.

Im Ergebnis werden in der Regel der Erzbischof und der Pfarrer der jeweiligen Pfarrei als gemeinsame Verantwortliche angesehen mit Blick auf Datensammlung und -aufzeichnung. Für die Speicherung und die weitere Verarbeitung ist der Erzbischof alleiniger Verantwortlicher, ebenso bei den Kirchenbüchern des Priesterseminars der Erzdiözese und dem Sonder-Taufregister im Fall von Adoptionen.

Rechtsgrundlage

In Irland hat die Kirche kein eigenes Datenschutzrecht und ist keine Staatskirche. Damit kommen weder ein kirchendatenschutzrechtlich festgeschriebenes kirchliches Interesse (wie wahrscheinlich in Deutschland) noch ein öffentliches Interesse (wie wahrscheinlich nicht einmal bei der Church of England) in Frage. Es bleibt, da weder ein Vertrag vorliegt noch eine Einwilligung eingeholt wurde, nur das berechtigte Interesse als denkbare Rechtsgrundlage übrig.

Die Aufsicht kommt zum Schluss, dass sich das Erzbistum auf berechtigte Interessen berufen kann, selbst dann, wenn Betroffene ihren Taufeintrag löschen wollen: »Subject to safeguards, the Archbishop’s interests in retaining the personal data contained in the Baptism Registers are not overridden by the interest or fundamental rights and freedoms of the data subjects«. Auch dass es sich um besondere Kategorien personenbezogener Daten handelt, stellt kein Problem dar: Die Ausnahme aus Art. 9 Abs. 2 lit. d) DSGVO zur Verarbeitung auf Grundlage geeigneter Garantien durch Religionsgemeinschaften sei anwendbar, geeignete Garantien lägen auch vor. Erforderlich sei die Verarbeitung während der gesamten Lebenszeit der betroffenen Personen. Auf die Erlaubnis einer weitergehenden Nutzung für Archivzwecke oder historische Forschung könne sich das Erzbistum aber nicht berufen.

Recht auf Berichtigung

Das Recht auf Berichtigung ist einerseits recht einfach: Wenn ein Fehler im Taufbuch steht, dürfte der in der Regel unproblematisch zu korrigieren sein. Schwieriger ist die Frage, ob das Verzeichnis einer tatsächlich stattgefundenen Taufe bei erklärtem Austrittswillen schon ein zu berichtigender Fehler ist.

Hier folgt die Aufsicht dem Vortrag des Erzbischofs. Der Wunsch nach Distanzierung von der Kirche erzeugt noch keinen Fehler im Taufbuch, wenn die Taufe dort verzeichnet bleibt: »In circumstances where a data subject no longer wishes to be a member of the Catholic Church, the personal data and special category personal data contained in the Baptism Register is unlikely to be inaccurate, as it records a particular event, which occurred at a point in time: the receiving of the sacrament of baptism.«

Unabhängig vom theologischen Grundsatz (»semel catholicus*a, semper catholicus*a«) stellt der Taufeintrag keine Aussage über die bürgerlich-rechtliche Mitgliedschaft dar. Bei geäußertem Austrittswillen kann eine Bemerkung ergänzt werden: »No longer wishes to be identified as a Roman Catholic« – das ist aber nach Ansicht der Aufsicht datenschutzrechtlich keine Notwendigkeit.

Recht auf Löschung

Art. 17 Abs. 3 DSGVO hat keine Ausnahme für Verarbeitungen, die zur Ausübung der Religionsfreiheit erforderlich sind. Lediglich zur Ausübung des Rechts auf freie Meinungsäußerung und Information sieht lit. a) eine explizite grundrechtliche Ausnahme vor.

Die Aufsicht sah drei mögliche Ausnahmen als denkbar an: Die erwähnte aufgrund von Meinungsäußerung und Informationsrecht, die Ausnahme für Archivierung (lit. d)) und die Ausübung der Religionsfreiheit. Zu dieser Prüfung kommt es aber erst gar nicht – die Aufsicht setzt schon früher an. Das Erzbistum habe erfolgreich dargelegt, dass die Verarbeitung im Taufregister über die gesamte Lebenszeit eines Menschen für sie erforderlich ist: »It is clear from the submissions of the Archbishop that once a decision has been made to enter into the Catholic faith, the record and processing of personal data surrounding that sacramental event remains necessary for the lifetime of that person, as it is a necessary record for the administration of the Church and the administration of subsequent sacraments.« Daher sei das Recht auf Löschung schon von vornherein hier nicht gegeben.

Speicherbegrenzung

Schon im vorherigen Schritt zeigte sich die Aufsicht überzeugt, dass die Verarbeitung erforderlich sei, und konsequent folgert sie dann im nächsten, dass die nötige Speicherbegrenzung die Lebenszeit der betroffenen Person ist. Damit muss dann auch eine mögliche Legitimation über Archivzwecke nicht geprüft werden.

Ergebnis und Anordnungen

Im Ergebnis haben die Beschwerden gegen die Kirche keinen Erfolg: Was im Taufbuch steht, muss nicht gelöscht werden. Selbst der Eintrag einer Distanzierung von der Kirche ist nicht notwendig.

Am Ende gilt es für die Kirche nur noch, die im Bescheid festgestellte Rechtslage transparent zu machen. Daher weist die Aufsicht den Erzbischof an, die Datenschutzerklärung entsprechend anzupassen und dort die jeweilige Verantwortlichkeit, die Rechtsgrundlagen sowie den Umfang der Verarbeitung aufzuführen. Außerdem sind die Pfarreien anzuweisen, darauf hinzuweisen.

Auf Anfrage teilte die Datenschutzbehörde mit, dass der Erzbischof keine Rechtsmittel eingelegt hat und der Bescheid damit rechtskräftig ist.

Fazit

Die irische Aufsicht hat ihre Entscheidung sehr sorgfältig unter Rückgriff auf das Selbstverständnis und die Verwaltungspraxis der Kirche begründet. Das Ergebnis überzeugt: Auch im Fall von Menschen, die sich von der Kirche distanzieren wollen, sind die Taufbucheinträge für die Kirche weiterhin erforderlich, ein berechtigtes Interesse an der Verarbeitung besteht.

Überraschend ist, dass die Aufsicht zwar das kirchliche Selbstverständnis und seine Operationalisierung im Kirchenrecht umfassend würdigt, es am Ende aber nicht auf eine Abwägung zwischen Religionsfreiheit und Datenschutzgrundrecht kommt. Stattdessen wird die Frage nach der Zulässigkeit von Taufbüchern komplett innerhalb des Datenschutzrechts gelöst. Das spricht für die DSGVO, wenn sie religionsfreiheitsfreundliche Ergebnisse aus sich selbst heraus ermöglicht. Eine Übersicht zu ähnlichen Fällen in verschiedenen EU-Mitgliedsstaaten hatte schon die Tendenz gezeigt, dass Taufbücher in ihrer üblichen Form zulässig sind.

Die ausgesprochen umfangreiche Begründung der Entscheidung dürfte auch über den konkreten Fall hinaus relevant sein: Nicht nur mit Blick auf die nicht nur in Irland immer wieder zu Auseinandersetzungen führende Frage, was Religionsgemeinschaften über ihre aktuellen oder ehemaligen Mitglieder speichern dürfen. Die kleinteilige Prüfung von Verantwortlichkeit und Rechtsgrundlagen geht weit über das hinaus, was üblicherweise im Rahmen von Verarbeitungsverzeichnissen dokumentiert wird.