So prüft die NRW-Datenschutzaufsicht kirchlichen Datenschutz

Verschiedene Datenschutzaufsichten prüfen seit Jahren eigenes Datenschutzrechts von Religionsgemeinschaften. Die LDI NRW hatte die alt-katholische Kirche im Blick. Auf die jüngste Auskunft vor einem Monat, dass es keinen offenen Vorgang mehr gibt, habe ich noch einmal einen IFG-Antrag gestellt, nachdem zuvor ein zentraler Aktenvermerk geheim gehalten wurde. Dieser Aktenvermerk wurde nun leicht geschwärzt herausgegeben.

Titelseite des Aktenvermerks der LDI NRW zur Prüfung von Art. 91 DSGVO
Sieben Seiten umfasst der Aktenvermerk aus der NRW-Datenschutzaufsicht zur Prüfung der Vorgaben von Art. 91 DSGVO

Im Aktenvermerk wurden Entscheidungsvorschläge geschwärzt, die für den noch nicht abgeschlossenen Prozess der Willensbildung der Aufsicht erforderlich sind. Was in dem siebenseitigen Vermerk übrig bleibt, ist immer noch interessant und erhellt, wie zumindest die NRW-Aufsicht Art. 91 DSGVO sieht (mit Stand September 2021).

Der Aktenvermerk im Volltext ist auf FragDenStaat.de verfügbar.

Grundsätzliche Fragen, EU-Recht und deutsches Staatskirchenrecht

  • Die Erläuterung der Aufsicht erhellt nun endlich, was die seltsame Formulierung der nicht abgeschlossenen Prüfung bei gleichzeitig keinem offenen Vorgang bedeutet: »Da der Entscheidungsbedarf […] jederzeit (z. B. bei Einreichen einer Beschwerde) entstehen kann, ist die allgemeine Prüfung nicht abgeschlossen und dient der besagte Vermerk weiterhin unmittelbar der Vorbereitung einer Entscheidung durch die Hausleitung. Er gibt aktuell lediglich Einzelmeinungen von Bearbeitern wieder.«
  • Die Aufsicht sieht aufgrund des Anwendungsvorrangs des EU-Rechts Konflikte zwischen dem deutschen Staatskirchenrecht und den engeren Voraussetzungen, die Art. 91 DSGVO aufstellt: »Nach deutschem Verfassungsrecht wären neue Religionsgemeinschaften in gleicher Weise zu privilegieren und auch bereits seit längerem bestehende Religionsgemeinschaften wären unabhängig davon zu privilegieren, ob sie alle der in Artikel 91 genannten Voraussetzungen erfüllen.«
  • Die Ausführungen zur Abwägung sind etwas unverständlich formuliert: »Auch wenn die materiellen Anforderungen der DSGVO im Rahmen der o.g. Abwägung wenigstens im Groben Geltung erlangen könnten, würde das doch weniger bedeuten, als dass das kirchliche Recht mit der DSGVO „in Einklang“ zu bringen ist (vgl. Art. 91 Absatz 1 DSGVO), und die in Art. 91 DSGVO genannten Fristen wären aus verfassungsrechtlicher Sicht unbeachtlich.«
  • Die LDI NRW hat bisher (mit Ausnahme der beiden großen Kirchen) noch für keine Religionsgemeinschaft positiv festgestellt, dass sie die Anforderungen an Art. 91 DSGVO erfüllen: »Auseinandersetzungen gab es z. B. mit der neu-apostolischen Kirche, Nachfragen bei der altkatholischen Kirche, Problemfälle bzgl. der sog. Zeugen Jehovas. Andere Religionsgemeinschaften erkennen unsere Aufsicht gem. Angaben auf ihren Homepages an, auch die jüdischen Gemeinden scheinen mit unserer Aufsicht kein Problem zu haben.«

Auslegung von Art. 91 DSGVO

Absatz 1 – Voraussetzungen für ein eigenes Datenschutzrecht

  • Die Aufsicht sieht den Körperschaftsstatus nicht als Voraussetzung für die Anwendbarkeit von Art. 91 DSGVO an.
  • Die Frage, warum Art. 91 DSGVO nichts für Weltanschauungsgemeinschaften regelt, ist offen.
  • Die Definition von »umfassenden Regeln« sei nicht klar; die Arbeitsdefinition des zuständigen Referenten ist geschwärzt. Aber: »Es handelt sich hier um ein Kriterium, dass [sic!] oft zum Versagen der Privilegierung führt. Berlin prüfte zuletzt bei den Zeugen Jehovas, die Ende Mai [2021] ein dreiseitiges „Datenschutzrecht“ hatten (Ergebnis noch unbekannt).« (Das überrascht, führte das Amtsblatt von Jehovas Zeugen im Juni 2018 doch ein 20-seitiges Datenschutzgesetz auf.)
  • Der Bestandsschutz wird klar anhand des Wortlauts angenommen. Unklar sei, wie mit Religionsgemeinschaften zu verfahren sei, die zu spät gegründet wurden, um am Stichtag Bestandsschutz zu genießen. Bei späteren Zusammenschlüssen von Religionsgemeinschaften, die alle rechtzeitig ein eigenes Datenschutzrecht hatten, geht der Vermerk (hier wurde möglicherweise eine Schwärzung versäumt) davon aus, dass das unschädlich sei, »problematisch« seien Zusammenschlüsse, bei denen nicht alle Vorgängergemeinschaften ein eigenes Datenschutzrecht mitbringen.
  • Beim In-Einklang-bringen ist streitig, bis wann das zu erfolgen hat, was genau Einklang bedeutet, ebenso. Die Empfehlungen des Referenten zur Auslegung sind geschwärzt.

Absatz 2 – spezifische Aufsichten

Bei den spezifischen Aufsichtsbehörden von Religionsgemeinschaften, sei fraglich, ob wirklich alle Anforderungen aus Kapitel VI DSGVO 1:1 umzusetzen sind. Bei der Unabhängigkeit dürften keine Abstriche gemacht werden, in der Natur der Sache liegende Abstriche wie bei der Wahl durch Parlament, Regierung oder anderer Stelle nach dem Recht des Mitgliedsstaats seien aber möglich, »da die Zulassung spezifischer kirchlicher Aufsichtsbehörden sonst leerliefe«.

Der Referent zeigt sich außerdem sensibel für das kirchliche Arbeitsrecht und seine Loyalitätsobliegenheiten und fragt, ob beispielsweise ein Kirchenaustritt zur Amtsenthebung führen darf. Das KDG sieht vor, dass Diözesandatenschutzbeauftragte der katholischen Kirche angehören müssen und erlaubt eine Entlassung beim Vorliegen von Kündigungsgründen gemäß der Grundordnung des kirchlichen Dienstes. Das DSG-EKD sieht eine Mitgliedschaft in einer EKD-Gliedkirche vor und Kündigungsgründe u.a. auf Grundlage des EKD-Kirchenbeamtengesetzes und auf eine Entscheidung eines Disziplinargerichts hin. In der alt-katholischen KDO ist die Kirchenmitgliedschaft eine Soll-Vorschrift, ansonsten wird das KDG wörtlich übernommen – inklusive Verweis auf die katholische Grundordnung, zu der es im alt-katholischen Kirchenrecht kein Pendant gibt. (Das Problem der nur zweijährlichen Rechenschaft in den Gesetzen der DSG-EKD-Familie wird in dem Vermerk leider nicht thematisiert, ebenso wenig wie die Frage, was passiert, wenn eine Aufsicht Aufgaben wie ihre eigengesetzlich bestehende Berichtspflicht schlicht ignoriert, wie die alt-katholische.)

Fazit

Die staatlichen Aufsichten wirken oft sehr abweisend gegenüber den spezifischen Aufsichten. Gerade die DSK zeigt immer wieder, dass die bisherigen Mitglieder im Plenum unter sich bleiben wollen. Der einschlägige DSK-Beschluss legt den Stichtag klar am Wortlaut aus.

Der NRW-Aktenvermerk gibt Einblick in das Denken einer Aufsichtsbehörde – und zumindest in NRW ist das differenzierter, als es im DSK-Beschluss formuliert wurde. Die grundrechtliche Problematik von Art. 91 DSGVO mit Blick auf das deutsche Religionsverfassungsrecht und die Gleichbehandlung von Religionsgemeinschaften ist präsent und fließt in die Entscheidungsfindung ein. Das ist erfreulich und nicht unbedingt das, was man vom bisherigen Handeln der Aufsichten erwartet hätte. Zugleich bleibt aber im Dunkeln, wie die Aufsicht tatsächlich entscheiden wird, wenn es zum Schwur kommt.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert