Datenschutzaufsichtsfreie Räume für Religionen in Bayern

In der EU soll es keine datenschutzfreien Räume geben: Alle verantwortlichen Stellen müssen sich an Datenschutzrecht halten und unterliegen einer Datenschutzaufsicht. Das gilt auch für Religionsgemeinschaften, sollte man denken. Bisher war das Bild klar: Entweder haben Kirchen eine eigene spezifische Aufsicht eigerichtet und kümmern sich selbst darum – oder die örtlich zuständige Landesdatenschutzaufsicht ist am Zug.

Innenraum der Kathedrale der rumänischen Metropolie in Nürnberg
Die Rumänische Orthodoxe Metropolie für Deutschland, Zentral- und Nordeuropa hat ihren Sitz in Nürnberg, wo auch die Kathedrale steht. Die Metropolie ist als KdÖR errichtet und hat kein eigenes Datenschutzrecht. (Bildquelle: UlrichAAB (CC BY-SA 3.0) (bearbeitet und zugeschnitten))

Doch nicht alle Landesdatenschutzaufsichten sehen sich als zuständig für alle Religionsgemeinschaften an: Trotz identischer Rechtslage dank DSGVO und weitgehend analoger Rechtslage in den Landesdatenschutzgesetzen gibt es Aufsichten, die sich nicht für als Körperschaft des öffentlichen Rechts organisierte Religions- und Weltanschauungsgemeinschafen ansehen – und damit in ihrem Bundesland doch einen datenschutzfreien Raum lassen. Mindestens in Bayern ist das der Fall – weitere Antworten stehen noch aus.

Update, 19. Oktober 2023: Die Aufsicht in Thüringen hat mittlerweile ihre Rechtsaufsicht geändert und geht jetzt von einer Zuständigkeit aus. Der Artikel wurde entsprechend ergänzt.
Weitere Antworten der zuvor fehlenden Aufsichten werden laufend ergänzt.

Lange unerkanntes Problem

Das Problem der körperschaftlich verfassten Religionsgemeinschaften ohne eigene Aufsicht blieb lange unerkannt. Erst Christian Peter Wilde hat in einem Beitrag für ZD-aktuell und seiner Kommentierung von Art. 91 DSGVO umfangreich darauf hingewiesen: Das Phänomen, das im alten BDSG die Kirchen erst auf die Idee brachte, sich eigenes Datenschutzrecht zu schaffen, besteht trotz DSGVO, trotz Art. 91, immer noch fort. (Zuvor sprach sich Achim Seifert in seiner Kommentierung knapp für eine subsidiäre Zuständigkeit aus.)

Schon das erste BDSG traf Regeln für öffentliche und nicht-öffentliche Stellen. Nach den Gesetzen der Aussagelogik sollten damit auch alle Stellen abgedeckt sein. Die Wirklichkeit ist aber komplexer: Religiöse und weltanschauliche Körperschaften des öffentlichen Rechts sind eindeutig keine privatrechtlich verfasste Rechtsträger, sie sind aber auch nicht in die Staatsorganisation eingegliedert und damit keine öffentlichen Stellen wie Behörden. Die religiöse oder weltanschauliche Körperschaft ist eine KdÖR sui generis. Die Kirchen haben auf dieser Grundlage die Theorie des beredten Schweigens entwickelt: Angeblich schweige das BDSG in einer Weise, mit der implizit ausgesagt werden soll, dass die Kirchen eigenes Datenschutzrecht schaffen können, für dessen Aufsicht sie zuständig sind.

Die von Wilde identifizierte Lücke in allen Landesdatenschutzgesetzen außer dem von Mecklenburg-Vorpommern ist genau gleich gestaltet: Das BDSG und die Landesdatenschutzgesetze regeln die Aufsicht für den öffentlichen und für den nicht-öffentlichen Bereich, nicht aber für KdÖR sui generis, die keiner spezifischen Aufsicht gemäß Art. 91 Abs. 2 DSGVO unterliegen. (Das sind notwendig alle weltanschauliche KdÖR, weil die DSGVO nur Religionsgemeinschaften eigene Aufsichten zugesteht.) In Bayern ist diese Lücke umso relevanter, da es dort als einzigem Bundesland zwei getrennte Aufsichten für den öffentlichen und den nichtöffentlichen Bereich gibt. Während andere Landesdatenschutzaufsichten unter der Annahme, für alles zuständig zu sein, die Frage nach der Zuordnung der KdÖR sui generis gar nicht klären müssen, braucht es die Klärung in Bayern, um die zuständige Behörde zu ermitteln.

Wilde schlug eine so einfache wie nachvollziehbare Schließung der Lücke durch Analogieschluss vor: KdÖR sui generis sollten analog zu den anderen KdÖR wie öffentliche Stellen behandelt werden. Dass die Lücke zu schließen ist, steht eigentlich mit Blick auf die Notwendigkeite einer europarechtskonformen Auslegung außer Frage. Nur die Aufsichten müssen dabei mitspielen.

Aufsichten in Bayern unzuständig – auch aus Sicht des Ministeriums

Position der bayerischen Aufsichten BayLfD und BayLDA

Auf Anfrage an die beiden Aufsichten teilte der BayLfD in Abstimmung mit dem BayLDA mit, dass die Lücke tatsächlich besteht. Zwar sei die DSGVO eindeutig ein für alle geltendes Gesetz, also auch für KdÖR sui generis maßgeblich: »Da sie nach den einschlägigen datenschutzrechtlichen Vorschriften wegen der Freistellung von staatlicher Aufsicht keine öffentlichen Stellen, wegen ihres formal öffentlich-rechtlichen Status jedoch auch keine nichtöffentlichen Stellen sind, kann bei ihnen in Bayern derzeit weder der Landesbeauftragte für den Datenschutz (zuständig für bayerische öffentliche Stellen) noch das Landesamt für Datenschutzaufsicht (zuständig für nichtöffentliche Stellen mit Sitz in Bayern) eine Datenschutzaufsicht ausüben.« Im Klartext: Keine Aufsicht über KdÖR sui generis in Bayern. Kompakter, aber im Ergebnis gleich, äußerte sich ursprünglich die Landesdatenschutzaufsicht von Thüringen: »Sie sind zwar als juristische Personen des öffentlichen Rechts organisiert, unterstehen aber nicht der Aufsicht des Landes und unterfallen daher auch nicht dem Anwendungsbereich des Thüringer Datenschutzgesetzes (§ 2 Abs. 1 ThürDSG).« Diese Rechtsauffassung hat die Aufsicht mittlerweile geändert.

Die bayerischen Aufsichten begründen ihre Position staatskirchenrechtlich (also nicht europarechtlich). Der Körperschaftsstatus sei auf eine Effektivierung von Religionsfreiheit gerichtet. Aus dem Körperschaftsstatus könne daher keine Zuständigkeit staatlicher Aufsichtsbehörden abgeleitet werden.

Position des bayerischen Innenmisteriums

Das Problem ist auch beim zuständigen Ministerium bekannt. Auf Anfrage teilte eine Sprecherin des Bayerischen Staatsministerium des Innern mit, dass das BDSG mit seiner Unterscheidung öffentlicher und nicht-öffentlicher Stellen das Problem sei. Derzeit befinde man sich mit dem Bund und den anderen Ländern im Austausch darüber, wie mit KdÖR sui generis umzugehen sei: »Denn das Thema betrifft alle Länder unabhängig davon, ob sie für den öffentlichen und den nichtöffentlichen Bereich getrennte Aufsichtsbehörden haben: Es geht auch um die Frage, welches materielle Datenschutzrecht Anwendung findet«, so die Sprecherin – also ob das BDSG oder das jeweilige Landesdatenschutzgesetz einschlägig ist. (Die Position überrascht nicht nur, weil ausgerechnet Bayern die Möglichkeit einer Bundeszuständigkeit sieht, sondern vor allem, weil Religion Ländersache ist und die KdÖR sui generis von den Ländern errichtet werden.)

Praxisrelevanz

Die meisten verantwortlichen Stellen von KdÖR sui generis in Bayern gehören entweder zur katholischen oder zur evangelischen Kirche, unterliegen mithin einer spezifischen Aufsicht der jeweiligen Kirche. In Bayern gibt es aber deutlich mehr KdÖR sui generis. Die Übersicht der Staatskanzlei zählt 22 davon auf, darunter zwei Weltanschauungsgemeinschafen, den Bund für Geistesfreiheit Bayern und die Humanistische Vereinigung.

Sieben als KdÖR organisierte Religionsgemeinschaften haben in Bayern keine spezifische Aufsicht: die Vereinigung Bayerischer Mennonitengemeinden, die Russisch-Orthodoxe Kirche im Ausland, der Landesverband der Israelitischen Kultusgemeinden in Bayern, Christian Science in Bayern, die Griechisch-Orthodoxe Metropolie von Deutschland, die Rumänische Orthodoxe Metropolie für Deutschland, Zentral- und Nordeuropa sowie die Erzdiözese der Syrisch-Orthodoxen Kirche von Antiochien in Deutschland.

Gemeinden und Ortsverbände dieser Gemeinschaften sind in der Regel wiederum eigene Körperschaften. In Bayern könnten noch weit mehr dazu kommen: In anderen Bundesländern sind katholische Ordensgemeinschaften meist in privatrechtlichen Rechtsformen organisiert. In Bayern gibt es aus historischen Gründen besonders viele als KdÖR organisierte Ordensgemeinschaften. Wenn diese Gemeinschaften päpstlichen Rechts sind, also nicht einem Diözesanbischof unterstehen, und das sind die meisten, und wenn sie kein eigenes Datenschutzrecht anwenden und sich nicht den Ordensdatenschutzbeauftragten unterworfen haben, gibt es für sie keine Datenschutzaufsicht.

Klare Zuständigkeit in den meisten Ländern

Deutschlandkarte zur angenommenen Zuständigkeit von Landesdatenschutzaufsichten für religiöse und weltanschauliche KdÖR: Für nicht zuständig hält sich Bayern. Berlin, Bremen, Hamburg, Hessen, Niedersachsen, Rheinland-Pfalz, das Saarland, Sachsen-Anhalt, Schleswig-Holstein und Thüringen haben erklärt, zuständig zu sein, in Mecklenburg-Vorpommern ist es gesetzlich geregelt. In Baden-Württemberg, Hessen und Nordrhein-Westfalen gibt es aus dem Handeln Anhaltspunkte, dass sie sich für zuständig halten.
Nur in Bayern gibt es die klare Ansage, dass sich die Aufsichten nicht für KdÖR sui generis zuständig halten. (Stand 25. Oktober 2023, created with MapChart.net, CC BY-SA 4.0)

Gut begründet in Rheinland-Pfalz, dem Saarland und Sachsen-Anhalt

In anderen Ländern wird eine deutlich andere Rechtsauffassung als in Bayern vertreten. Die Aufsichten in Hamburg, Rheinland-Pfalz, dem Saarland, Sachsen-Anhalt und Thüringen haben auf Anfrage ihre Zuständigkeit begründet.

Grundsätzlich ist die Rechtslage zwar in allen Ländern genauso wie in Bayern: Das jeweilige Landesdatenschutzgesetz adressiert nur öffentliche und nicht-öffentliche Stellen.

Dennoch sieht man sich nach Auskunft des Unabhängigen Datenschutzzentrums Saarland als zuständige Aufsicht über KdÖR sui generis, ohne das grundsätzliche Problem zu verkennen: »Zwar unterstehen die Religions- und Weltanschauungsgemeinschaften aufgrund ihrer verfassungsrechtlichen Selbstbestimmungerechte grundsätzlich nicht der direkten Staatsaufsicht (vgl. Art. 35 SaarlVerf.). Auf den Datenschutz bezogen ergibt sich in diesen Fällen jedoch ausnahmsweise eine subsidiäre (Auffang-)Zuständigkeit der staatlichen Aufsichtsbehörden«, argumentiert die Behörde auf Anfrage unter Verweis auf die Kommentierungen von Seifert (Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 91 Rn. 30) und Ehmann/Kranig (Ehmann/Selmayr, DSGVO, 2. Aufl. 2018, Art. 91 Rn. 30).

Die Auffangzuständigkeit sei erforderlich, da »andernfalls keinerlei Aufsicht bestehen würde bzw. die Privilegierung des Art. 91 DSGVO in ihr Gegenteil verkehrt werden würde, welche gerade besagt, dass nur diejenigen Religionsgemeinschaften sich auch in den Bereichen des Datenschutzes auf eine umfassende Selbstverwaltung berufen können, welche die Voraussetzungen des Art. 91 Abs. 1 und Abs. 2 DSGVO vollumfänglich erfüllen.« Gerade das Argument ex negativo ist stark, weil es das europäische Recht ernst nimmt.

Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt verweist auf die hinkende Trennung von Staat und Kirche: »Denn während und nach dem Anerkennungsverfahren übt das Land eine Korporationsaufsicht aus. […] Vereinigungen bzw. Teilgliederungen als datenschutzrechtliche Verantwortliche fallen daher grundsätzlich in den Anwendungsbereich des § 23 Abs. 1 DSAG LSA

Der Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz verweist auf das Urteil zur SELK: »Für die Aufsicht über als Körperschaften des öffentlichen Rechts organisierte Religionsgemeinschaften ergibt sich im Einklang mit der Rechtsprechung des Verwaltungsgerichts Hannover (Urteil vom 30.11.2022 – 10 A 1195/21) eine Zuständigkeit, indem die für die Aufsicht über juristische Personen des Privatrechts geltenden Zuständigkeitsregelungen in § 40 BDSG und in den Landesdatenschutzgesetzen unionsrechtskonform ausgelegt und auch auf Religionsgesellschaften angewendet werden, die nach Art. 140 GG i.V.m. Art. 137 Abs. 5 WRV den Status einer Körperschaft des öffentlichen Rechts haben.« In der Tat widmet diese Entscheidung der Frage der Zuständigkeit für KdÖR sui generis gut zwei von 19 Seiten. Das VG Hannover kommt aber zu einem anderen Schluss als Wilde und fasst die nichtstaatlichen KdÖR unter die nicht-öffentlichen Stellen: »Hierfür spricht neben den Erfordernissen des Unionsrechts auch der Zweck der weiten Definition des Begriffs der nichtöffentlichen Stelle in § 2 Abs. 4 BDSG, die gewährleisten soll, dass keine datenschutzfreien Räume entstehen, indem alle Stellen erfasst werden, die keine öffentlichen, also in die Staatsorganisation eingebundenen Stellen sind«.

Am Donnerstag, nach der ersten Veröffentlichung dieses Artikels, teilte die Thüringer Behörde mit, dass sie ihre Einschätzung verändert hat und sich nun der Entscheidung des VG Hannover anschließt. Eine Regelungslücke bestehe damit nicht: »Vielmehr sind auch öffentlich-rechtliche Religionsgemeinschaften in unionskonformer Auslegung als nichtöffentliche Stellen zu qualifizieren ist, weil sie eine vom Staat getrennte, originär im gesellschaftlichen Bereich wurzelnde, grundrechtsfähige Organisation darstellen.« Ebenfalls am Donnerstag erklärt Hamburg mit Verweis auf das Hannoveraner Urteil, von einer Zuständigkeit auszugehen.

Mittlerweile (Stand 20. November) haben Berlin, Bremen, Hamburg, Hessen, Niedersachsen, Rheinland-Pfalz, das Saarland, Sachsen-Anhalt, Schleswig-Holstein und Thüringen erklärt, dass sie sich für zuständig halten. Die neueren Antworten verwenden dabei jeweils dieselbe Antwortvorlage mit vernachlässigbaren Varianten:

Die Aufsichtsbehörden der Länder sind sachlich zuständig für die Aufsicht über Religionsgemeinschaften im jeweiligen Land, welche nicht in den Anwendungsbereich des Art. 91 DSGVO fallen. Für die Aufsicht über als Körperschaften des öffentlichen Rechts organisierte Religionsgemeinschaften ergibt sich im Einklang mit der Rechtsprechung des Verwaltungsgerichts Hannover (Urteil vom 30.11.2022 – 10 A 1195/21) eine Zuständigkeit. Dabei werden die für die Aufsicht über juristische Personen des Privatrechts geltenden Zuständigkeitsregelungen in § 40 BDSG und in den Landesdatenschutzgesetzen unionsrechtskonform ausgelegt und auf Religionsgesellschaften angewendet, die nach Art. 140 GG i.V.m. Art. 137 Abs. 5 WRV den Status einer Körperschaft des öffentlichen Rechts haben.

Antwort in der Fassung aus Niedersachsen

In Brandenburg gibt es keine Präzedenzfälle, daher hat die Aufsicht noch keine Position.

Aus dem bisherigen Handeln und schon vor den nachgereichten Auskünften ließ sich bei den Landesdatenschutzaufsichten von Niedersachsen, Berlin, Nordrhein-Westfalen, Baden-Württemberg und Hessen eine Zuständigkeit für KdÖR sui generis annehmen. (Verlinkt ist jeweils die Berichterstattung, die für diese Einstufung spricht.) Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen teilte aber mit, noch keine Auskunft geben zu können: »Wir prüfen diese Frage noch. Eine kurzfristige Antwort kann ich Ihnen nicht in Aussicht stellen.«

Reformbedarf

Die bayerischen Aufsichten halten eine »bundesrechtliche Abstimmung der Begriffe ›öffentliche Stelle‹ und ›nichtöffentliche Stelle‹, die für jeden Rechtsträger eine zweifelsfreie Zuordnung gestattet«, für zweckmäßig.

Im Saarland kommt man als Aufsicht zwar gut mit der Rechtslage klar; »eine gesetzliche Konkretisierung könnte allerdings gerade auch für die rechtsunterworfenen Stellen hinreichende Rechtssicherheit herstellen«. Hamburg, Rheinland-Pfalz und Sachsen-Anhalt sehen keinen Änderungsbedarf.

Wann mit einem Ergebnis des vom bayerischen Innenmisterium angekündigten Abstimmungsprozess zu rechnen ist, konnte das Bundesinnenministerium noch nicht abschätzen, bestätigte aber den Prozess. Im aktuellen Entwurf zur Novellierung des BDSG wird das Problem noch nicht angegangen.

In Mecklenburg-Vorpommern wurde die Zuständigkeit negativ und damit auch auslegungsbedürftig gelöst: § 19 Abs. 4 DSG M-V regelt, dass die Landesdatenschutzaufsicht nicht zuständig ist, wenn Religionsgemeinschaften spezifischen Aufsichten unterliegen. Der Umkehrschluss erscheint mit Blick auf die Zielsetzung der Norm als zwingend. Es gibt aber auch einen eindeutigen Vorschlag. Auf dem Tisch liegt bereits eine fertige Formulierung, die Wilde in seinem Beitrag für ZD-aktuell macht:

»Für Kirchen und Religionsgemeinschaften sowie für weltanschauliche Gemeinschaften, die Körperschaften des öffentlichen Rechts sind, gelten die (… passende Vorschriften des Landesdatenschutzgesetzes …) entsprechend. ²Satz 1 gilt nicht für Kirchen und Religionsgemeinschaften, die bei der Verarbeitung personenbezogener Daten im Einklang mit Art. 91 Abs. 1 DS-GVO umfassende Regeln anwenden. Die Sätze 1 und 2 gelten auch für die diesen Körperschaften zugeordneten Einrichtungen des Privatrechts.«

Christian Peter Wilde in ZD-Aktuell

Fazit

Trotz DSGVO gibt es in Deutschland datenschutzaufsichtsfreie Räume – und weil das Problem schon in der vorher geltenden Rechtslage bestand, gab es wohl in einigen Bundesländern noch nie eine sich zuständig fühlende Aufsicht über KdÖR sui generis. Spätestens mit der DSGVO hat sich das Problem aber verschärft: Konnte man zuvor noch damit argumentieren, dass das möglicherweise misslich, aber dank »beredtem Schweigen« systemkonform mit dem geltenden Staatskirchenrecht ist, ist das Fehlen von Aufsicht unter Geltung der DSGVO wohl europarechtswidrig.

Die von den drei ausführlich antwortenden Aufsichten formulierte und wohl von der Mehrheit geteilte Ansicht überzeugt zwar und wäre eine pragmatische und (durch europarechtskonforme Auslegung) wohl auch rechtliche vertretbare Lösung. Das hilft aber nichts, wenn man in Bayern nicht bereit ist, das so auch zu vertreten. An einer Gesetzesänderung führt also kein Weg vorbei. Der Verweis auf den Bundesgesetzgeber überzeugt da nicht: Hier könnte auch der Landesgesetzgeber Abhilfe schaffen – und müsste es.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert