DSGVO-Kommentare in deutscher Sprache gibt es quasi beliebig viele. In anderen Sprachen sieht es anders aus. So anders, dass das Vorwort zum jetzt erschienenen englischsprachigen Kommentar von Spiecker gen. Döhmann/Papakonstantinou/Hornung/de Hert erst einmal erklären muss, was so ein »Article-by-Article Commentary«, wie es auf der Titelseite heißt, eigentlich ist. Der Ansatz von »General Data Protection Regulation« ist die hier sattsam bekannte Kommentarform mit einem klar internationalen Fokus zu verbinden: Autor*innen aus verschiedenen Ländern kommentieren mit einem deutlich auf Rechtsprechung und Rechtsbestand der EU konzentrierten Ansatz.

Art. 91 DSGVO hat in den meisten EU-Mitgliedsstaaten keine praktische Bedeutung. Es liegt also nah, dass hier mit Achim Seifert ein deutscher Autor zum Zug kommt. Seifert hat bereits im Simitis/Hornung/Spiecker gen. Döhmann diesen Artikel kommentiert. Einiges aus dieser Kommentierung findet sich nun auch in der neuen Fassung. Leider sind dabei auch einige Probleme übernommen worden.

Zum Kommentar allgemein

Schon von außen fällt auf, dass die Verlage Nomos, Beck und Hart eine internationale Zielgruppe haben: Statt einem schnöden glatten Pappeinband wurde burgundfarbenes Leinen mit golden geprägter Schrift und einem Lesebändchen gewählt, so dass sich der Band im barrister book case gut macht. Das sind Äußerlichkeiten.

Der Kommentar selbst beginnt mit einer ausführlichen und tiefgreifenden gut 75-seitigen Einführung in die Geschichte und Grundsätze des Datenschutzrechts, an der teilweise noch der jüngst verstorbene Spiros Simitis mitarbeiten konnte. Die Einführung gibt durch ihren Fokus auf das EU-Recht einen tiefen Einblick in die Systematik und das rechtliche Umfeld der DSGVO, der für die internationale Zielgruppe sehr wertvoll sein dürfte.

Bei der Kommentierung wird Wert auf Internationalität gelegt; nicht nur deutsche Literatur soll zitiert werden, nach Möglichkeit englischsprachige. Angesichts des seit Jahrzehnten hohen Stellenwerts und der Pionierrolle der deutschen Rechtswissenschaft hat die deutschsprachige Literatur dennoch einen hohen Anteil an den Zitaten.

Kommentierung von Art. 91 DSGVO

Kein umfassender Blick auf die religiöse EU-Datenschutzlandschaft

Mit Achim Seifert wurde ein Kommentator gewählt, der mit seiner Kommentierung im Simitis/Hornung/Spiecker gen. Döhmann schon eine für den säkularen Bereich besonders intensive Auseinandersetzung mit kirchlichem Datenschutzrecht vorgelegt hat. In dieser Kommentierung ist der Fokus auf religionsspezifisches Recht zurückgenommen, wenn auch immer wieder Bezug auf KDG und DSG-EKD genommen wird. Leider ist der Blick auf die gesamte europäische Religionsdatenschutzlandkarte sehr eingeschränkt. Genannt werden lediglich Deutschland, Italien und Polen als EU-Mitgliedsstaaten mit Kirchen mit eigenem Datenschutzrecht, in Polen wird nur die katholische Kirche erwähnt. Angesichts der Vorarbeit, die es mittlerweile in der Literatur gibt (u.a. von mir), ist das bedauerlich.

Seifert selbst bemängelt das Fehlen einer Notifizierungspflicht von religiösem Datenschutzrecht. Das sei »incoherent and does not ensure that the Comm receives the relevant information to evaluate, whether or not Art. 91 para. 1 is respected by the national laws of the Member States.« Umso nötiger wäre eine ausführliche Darstellung des Vorhandenen in der Kommentarliteratur.

Argumentation vom EU-Recht her

Stark ist der konsequente Ausgang vom EU-Recht. Während deutschsprachige Kommentare vor allem das deutsche staatskirchnrechtliche System in den Mittelpunkt stellen, wird hier die Logik von Art. 91 DSGVO aus dem EU-Recht entwickelt, etwa wenn das Erfordernis des Einklangs als notwendiger Ausfluss des Datenschutzgrundrechts in Art. 8 GRCh erkannt wird oder im Fehlen von Weltanschauungsgemeinschaften als mögliche Adressaten des Artikels eine Spannung zu Art. 17 AEUV gesehen wird. Dass Art. 91 DSGVO Religionsgemeinschaften nicht dazu verpflichtet, ein einheitliches Datenschutzgesetz zu erlassen, sondern dass der Begriff der »umfassenden Regelungen« auf den im Gesamt konsistenten Regelungsbestand im religiösen Recht abzielt, begründet der Autor aus dem Vergleich der verschiedenen Sprachfassungen.

Seifert weist auch darauf hin, dass der Begriff der Religion weder in der DSGVO noch im AEUV definiert wird. Fündig wird Seifert in der Qualifikationsrichtlinie 2011/95/EU in Art. 10 Abs. 2 lit. b): »der Begriff der Religion umfasst insbesondere theistische, nichttheistische und atheistische Glaubensüberzeugungen, die Teilnahme bzw. Nichtteilnahme an religiösen Riten im privaten oder öffentlichen Bereich, allein oder in Gemeinschaft mit anderen, sonstige religiöse Betätigungen oder Meinungsäußerungen und Verhaltensweisen Einzelner oder einer Gemeinschaft, die sich auf eine religiöse Überzeugung stützen oder nach dieser vorgeschrieben sind«.

Kein Problem mit dem Stichtag

Die Argumentation aus dem EU-Recht führt zu großem Augenmerk für die harmonisierende Wirkung der DSGVO – auch auf Kosten der institutionellen Religionsfreiheit. Bei der Diskussion der Stichtagsregelung wird das deutlich. (Leider wiederholt sich hier der Fehler aus der ersten Kommentierung: Stichtag ist der 24. Mai 2016 als Tag des Inkrafttretens, nicht der genannte 25. Mai 2018, der Tag des Wirksamwerdens.) Zwar räumt Seifert ein, dass eine zweckorientierte (»purposive«) Auslegung dafür sprechen könnte, die Stichtagsregelung nicht dem Wortlaut entsprechend auszulegen. Er spricht sich aber dagegen aus und sieht keinen Konflikt mit dem Bestandsschutz für das nationale Religionsverfassungsrecht aus Art. 17 AEUV, da die Autonomie der Religionsgemeinschaften ohnehin schon durch das Gebot des Ineinklangbringens deutlich beschränkt sei und Art. 8 GRCh keine Ausnahme oder Privilegierung von Religionsgemeinschaften vorsehe. Die Frage nach praktischer Konkordanz zwischen Datenschutzgrundrecht und Religionsfreiheit, also zwischen Art. 8 GRCh und Art. 10 GrCh, wird nicht diskutiert.

Konsequent ist dann auch, mit europarechtswidrigem religiösen Recht kurzen Prozess zu machen: »Thus, in case of violation of the GDPR by an autonomous data protection rule this is not privileged anymore by para. 1 and the harmonising effect of the GDPR will be restored insofar.« Zuletzt hatte das Verwaltungsgericht der Landeskirche Württemberg sich auf die Seite einer europarechtskonformen Auslegung defizitären Kirchenrechts statt einer Ersetzung direkt aus der DSGVO geschlagen.

Massive Zweifel an kirchlichen Aufsichten – nicht immer nachvollziehbar

Seifert hält es für eine mögliche Auslegung, dass Art. 91 Abs. 2 DSGVO auch die Errichtung von staatlichen Aufsichten speziell für Religionsgemeinschaften vorsehen könnte. Plausibler hält er die von den Religionsgemeinschaften auch vertretene Position, dass Abs. 2 kirchliche Aufsichten meint. (Die erste Position wird in der Literatur durchaus vertreten, wenn auch nicht in Deutschland. Ein Verweis auf den Aufsatz von Marano wäre sinnvoll.)

An der konkreten Umsetzung durch die Kirchen hat Seifert seine Zweifel: Er sieht die kirchlichen Aufsichten als nicht hinreichend getrennt von den zu beaufsichtigenden kirchlichen Einrichtungen, allerdings ohne das aus den Statuten der Aufsichten und den kirchlichen Gesetzen zu begründen. Während die Gesetzeslage eher gegen Seiferts Position spricht, ist Ullrichs hier veröffentlichte Kritik an den Verwaltungsräten der körperschaftlich verfassten katholischen Aufsichten ein Argument für die Zweifel.

Teilweise nicht nachvollziehbar ist die Kritik an den Untersuchungs- und Abhilfebefugnissen der kirchlichen Aufsichten: »they do not have the power to order the controller or processor to bring procession operations into compliance with the GDPR but can exclusively criticise violations of data protection rules by institutions of the corresponding church«; ein Missverständnis, das schon in der Dissertation von Hermes zu finden war: Die entsprechenden Normen im KDG und DSG-EKD sind lediglich anders formuliert als in der DSGVO. Sie sehen in der Tat zunächst nur Beanstandungen vor. Diese Beanstandungen können aber mit Anordnungen verbunden werden, deren Katalog dem aus Art. 58 DSGVO entspricht. Es stimmt auch nicht, dass katholische Aufsichten Vorgänge nach Feststellung eines Datenschutzverstoßes an die staatlichen Aufsichten zur Durchsetzung weitergeben können, wie Seifert in einer Fußnote schreibt – im dort als Beleg angeführten § 51 Abs. 7 KDG ist die Rede von der nach staatlichem Recht zuständigen Vollstreckungsbehörde oder hilfsweise der Vollstreckung auf dem Zivilrechtsweg. Schlüssig und nachvollziehbar ist die Position, dass die Deckelung der Bußgelder auf 500.000 Euro den Einklang verletzt.

Fazit

Mit dem GDPR-Kommentar ist Spiecker gen. Döhmann/Papakonstantinou/Hornung/de Hert eine sinnvolle Ergänzung im übervollen DSGVO-Kommentar-Regal gelungen, die tatsächlich eine Lücke füllt und nicht nur eine weitere deutsche Kommentierung auf den Markt bringt. Die Einleitung dürfte gerade für eine internationale Zielgruppe, die sich in das europäische Datenschutzregime einarbeiten sein, sehr hilfreich sein. Die konsequent internationale und europarechtliche Ausrichtung überzeugt.

Seiferts Kommentierung hat ihre eindeutigen Stärken im europarechtlichen Teil. Diese Stärken korrespondieren aber mit einer EU-typischen Überbetonung der Harmonisierung und Skepsis gegenüber einer Rechtspluralität im Bereich der Religionsgemeinschaften. Eine versäumte Chance ist der unvollständige Blick auf die tatsächliche Anwendung von Art. 91 DSGVO in den Mitgliedsstaaten. Dem ausgesprochen kritische Blick auf die kirchlichen Aufsichten täte ein genauerer Blick in die kirchlichen Gesetze wie die organisatorische und faktische Aufstellung der bestehenden Aufsichten gut – einige Punkte (die Ressourcen, die Verwaltungsräte) lassen sich mit Recht problematisieren, im Großen und Ganzen scheint das Experiment tatsächlich unabhängiger kirchlicher Behörden aber doch eher gelungen.

Spiecker gen. Döhmann/Papakonstantinou/Hornung/de Hert: General Data Protection Regulation: Article-by-Article Commentary, Nomos/Beck/Hart 2023, 1241 Seiten, 290 Euro.