Lücken bei der Datenschutz-Aufsicht: Analogie ist keine Lösung

Schreiben Sie eine Antwort

Eine Entscheidung des Verwaltungsgerichts Hannover zum Datenschutz bei der Selbständigen Evangelisch-Lutherischen Kirche (Urteil vom 30.11.2022,10 A 1195/21; nicht rechtskräftig) hat etliche Grundsatzfragen für den kirchlichen Datenschutz aufgeworfen und (für den Einzelfall sowie nicht rechtskräftig, da die Berufung beim Niedersächsischen Oberverwaltungsgericht in Lüneburg anhängig ist) beantwortet. Unter anderem ist das VG Hannover der Meinung, die Datenschutzaufsicht über öffentlich-rechtliche Religionsgemeinschaften ohne eigenes Datenschutzrecht liege trotz fehlender Gesetzesgrundlage bei den (staatlichen) Landesbeauftragten für Datenschutz. Diesem Thema wird hier nachgegangen (und der Auffassung des VG Hannover widersprochen).

Ein Puzzle mit einem fehlenden Teil.
Ein Teil fehlt im komplexen Aufsichts-Puzzle in Deutschland – mit Analogien bekommt man es nicht fertig, argumentiert Ralph Wagner. (Bildquelle: Sigmund auf Unsplash)

Bereits vor der Hannoveraner Entscheidung gab es Irritationen und Uneinigkeit zur korrekten Einordnung von Religionsgemeinschaften in die (seltsame und wohl EU-weit einmalige) Dichotomie des deutschen Datenschutzrechts aus öffentlichen und nicht-öffentlichen Stellen. Aus dieser Zweiteilung und den Zuordnungs-Schwierigkeiten ergibt sich in der Folge (u. a.) die Unklarheit bei der Bestimmung der Datenschutzaufsicht. Bei näherem Hinsehen zeigt sich, dass eine grundsätzliche Änderung des deutschen Datenschutzrechts nötig wäre, um vollständige Abhilfe zu schaffen. Rechtspolitisch sind derartige Schritte für die nächsten Jahre extrem unwahrscheinlich. Aber der Reihe nach.

Inhalte Verbergen
1 Religionsgemeinschaften in Deutschland ohne eigene Aufsichtsbehörde
2 Vertraut und doch mysteriös: »Öffentliche« und »in nicht-öffentliche« Stellen
3 Noch genauer hingeschaut – aber nur ganz kurz: Bundes?-Datenschutzgesetz
4 Aus alldem folgt …
5 Lückenschluss durch den Gesetzgeber – im besten Falle umfassend

Religionsgemeinschaften in Deutschland ohne eigene Aufsichtsbehörde

Art. 91 DSGVO erlaubt bekanntlich (u. a.) Religionsgemeinschaften nicht »nur« ein eigenes materielles Datenschutzrecht, sondern auch eigene Aufsichtsbehörden. Ansonsten (also für alle Religionsgemeinschaften ohne eigene Aufsichtsbehörde nach Art. 91 DSGVO) werden die Religionsgemeinschaften wie andere »Verantwortliche« im Sinne der DSGVO durch die allgemeinen Aufsichtsbehörden nach Art. 51 ff. überwacht.

Die Suche nach zuständigen »allgemeinen« Aufsichtsbehörde gestaltet sich nirgends in der EU so (je nach Perspektive) interessant oder mühselig wie in Deutschland: Soweit ersichtlich, gibt es keinen anderen EU-Mitgliedstaat mit auch nur annähernd zahlreichen Datenschutz-Aufsichtsbehörden. Da gibt es den Bundesbeauftragten für Datenschutz und Informationsfreiheit, 17 Landesaufsichten (zwei davon in Bayern), 12 Rundfunkdatenschutzbeauftragte, je nach Bundesland verschiedene Aufsichten für den Bereich der privaten elektronischen Medien, eigentlich gar keine Datenschutzaufsicht für die Presse, eine nicht genau bekannte Zahl kirchlicher Aufsichtsbehörden und (mit unklarem Verhältnis zur DSGVO) seltsame Kontrollgremien bei den meisten Parlamenten. Tatsächlich weiß wohl niemand überhaupt, wie viele Datenschutz-Aufsichten in Deutschland existieren.

Nun wäre das schon misslich genug (allein wegen des Auftrags, zumindest die DSGVO einheitlich anzuwenden, also wegen der Notwendigkeit, sich untereinander abzustimmen). Die Malaise wird aber vergrößert dadurch, dass gar nicht selten verschiedene Aufsichtsbehörden für ein und dieselbe verantwortliche Stelle zuständig sind (Beispiel: Im Finanzamt beaufsichtigt der BfDI den Datenschutz für Steuerpflichtige und die jeweilige Landesbehörde den Datenschutz für die Finanzbeamten). Was eine »kirchliche Stelle« ausmacht, weiß in sehr vielen Fällen niemand genau (Beispiel: kircheneigene GmbH, die eigenes Vermögen verwaltet).

Vertraut und doch mysteriös: »Öffentliche« und »in nicht-öffentliche« Stellen

Das deutsche Datenschutzrecht entwickelte Jahrzehnte vor der DSGVO eine Unterscheidung zwischen öffentlichen und nicht-öffentliche Stellen. An diesen Begriffen wurde (leider) auch nach Inkrafttreten der DSGVO festgehalten, obwohl sie in der DSGVO nicht vorkommen und mit ihr auch schwer (oder gar nicht?) in Einklang zu bringen sind: Die DSGVO erwähnt weder öffentliche noch nicht-öffentliche Stellen bei den Begriffsbestimmungen in Art. 4. Auch ansonsten finden sich die Begriffe nicht mit dem Inhalt des deutschen Datenschutzrechts. An 9 verschiedenen Punkten spricht die DSGVO von »Behörden und öffentlichen Stellen« (englische Sprachfassung: »public authorities or bodies«. »Nicht-öffentliche Stellen« kennt die DSGVO nicht. Die »Behörden oder öffentlichen Stellen« der DSGVO decken sich auch nicht mit den »öffentlichen Stellen« des deutschen Rechts: In Art. 27 Abs. 2 b, Art. 41 Abs. 6 und Art. 83 Abs. 7 erfassen als »öffentliche Stelle« schließlich Institutionen, die hoheitliche Aufgaben wahrnehmen (also z. B. nicht die Tierpark GmbH einer deutschen Kommune, obwohl diese GmbH nach § 2 Abs. 2 BDSG nach deutschem Verständnis öffentliche Stelle ist).

Die eigene Begriffsbildung des deutschen Datenschutzrechts war schon immer fragwürdig: Weshalb gelten für eine Tierpark-GmbH verschiedene Regeln, je nachdem, ob die Anteilsmehrheiten Privatpersonen oder der Kommune gehören? Wozu dient die Einbeziehung privatrechtlich organisierter Träger (bei Anteilsmehrheit der öffentlichen Hand), wenn sie anschließend in vielen Fällen als »Wettbewerbsunternehmen« sich wieder in »nicht-öffentliche Stellen« verwandeln (vgl. § 2 Abs. 5 BDSG n. F.)? Ist nicht eigentlich ausschlaggebend, ob man hoheitliche Tätigkeit verrichtet (versteckt angedeutet in § 2 Abs. 4 Satz 2 BSGE n. F.)?

Nach Inkrafttreten der DSGVO stellt sich sehr klar die Frage, ob die Unterscheidung (mit der auch materiell-rechtliche Konsequenzen verbunden sind) EU-rechtlich überhaupt noch erlaubt ist.

Noch genauer hingeschaut – aber nur ganz kurz: Bundes?-Datenschutzgesetz

Obwohl (oder weil?) der Datenschutz für »nicht-öffentliche« Stellen seit Jahrzehnten im Bundesdatenschutzgesetz geregelt ist, gibt es keine überzeugende Begründung (und sehr selten überhaupt die Fragestellung) zur Gesetzgebungskompetenz des Bundes. Wenn überhaupt die Fachliteratur sich mit der Frage beschäftigt, wird meist auf eine »Annexkompetenz« aus »Art. 73 bis 74 GG« verwiesen (z.B. Pahl/Pauli/Ernst § 1 BDSG, Rn. 1). Dies folge aus Art. 74 Abs. 1 Nr. 11 GG (so auch die Begründung zum Regierungsentwurf des neuen BDSG). Art. 74 Abs. 1 Nr. 11 GG regelt jedoch nur die Gesetzgebungsbefugnis des Bundes für »das Recht der Wirtschaft« und selbst das ausdrücklich »ohne das Recht … der Gaststätten, der Spielhallen, … der Messen …«. Und nicht-öffentliche Stellen werden im BDSG ja eindeutig nicht auf Wirtschaftsunternehmen begrenzt, sondern umfassen z. B. auch Arztpraxen und Sportvereine.

Deshalb ist sehr klar: Der Bundesgesetzgeber mit dem BDSG (alt wie neu) seine Kompetenzen deutlich überschritten. Juristisch und auch rechtspolitisch (insbesondere von Seiten der so »übervorteilten« Bundesländer) wurde das aber bisher nicht beanstandet.

Aus alldem folgt …

… für unsere Fragestellung:

Datenschutzaufsichten für Religionsgemeinschaften ohne eigene Aufsicht werden von den Mitgliedstaaten errichtet und festgelegt. In Deutschland sind dafür die Bundesländer zuständig.

Mecklenburg-Vorpommern hat in seinem Datenschutzgesetz derartige Religionsgemeinschaften (immerhin) ausdrücklich erwähnt, allerdings sowohl bei der Aufsichtszuständigkeit (§ 19 Abs. 4), als auch beim Anwendungsbereich des Gesetzes überhaupt (§ 2 Abs. 6) jeweils nur negativ: Die Landes-Aufsichtsbehörde und das Landes-Datenschutzgesetz sollen dann nicht eingreifen, wenn die Religionsgemeinschaft eigene Aufsicht und eigenes Recht besitzt. Nur indirekt (durch Umkehrschluss) lässt sich ableiten: Im Land ansässige öffentlich-rechtliche Religionsgemeinschaften ohne eigenes Datenschutzrecht unterfallen dem Landes-Datenschutzgesetz (werden folglich wohl materiell-rechtlich behandelt wie öffentliche Stellen des Landes). Entsprechende Religionsgemeinschaften ohne eigene Aufsichtsbehörde werden durch die Landes-Aufsichtsbehörde kontrolliert (mit Aufgabelung bei der Kontrollgrundlage: Fehlt es »nur« an der Aufsicht, nicht jedoch am eigenen Datenschutzrecht, so kontrolliert die Landes-Aufsichtsbehörde bei der Religionsgemeinschaft die Einhaltung des eigenen Datenschutzrechts der Gemeinschaft. Fehlt es »auch« an diesem eigenen Datenschutzrecht der Religionsgemeinschaft, kontrolliert die Aufsichtsbehörde die Einhaltung der DSGVO und des Landesdatenschutzgesetzes. Im erstgenannten Fall ergibt sich als Konsequenz, dass die staatlichen Gerichte bei Rechtsbehelfen gegen Maßnahmen der Landes-Aufsichtsbehörde das kirchliche Datenschutzrecht anzuwenden und umzusetzen hätten.)

In allen anderen Bundesländern sind die Landes-Aufsichtsbehörden »nur« zuständig für die Beaufsichtigung der öffentlichen Stellen der Länder und der nicht-öffentlichen Stellen. Öffentlich-rechtlich organisierte Religionsgemeinschaften gehören in keine der beiden »Schubladen«. In die zweitgenannte Kategorie (nicht-öffentliche Stellen) passen sie nicht aufgrund der Definition des § 2 Abs. 4 Satz 1 BDSG: »Nicht-öffentliche Stellen sind … Personen, Gesellschaften … des privaten Rechts«.

Als Zwischenergebnis ist festzustellen, dass mit Ausnahme Mecklenburg-Vorpommerns keine Aufsichtszuständigkeit für öffentlich-rechtliche Religionsgemeinschaften ohne eigene Aufsichtsbehörde besteht.

Wilde (ZD aktuell 2023, 01320 unter 1. a]) argumentiert für »entsprechende Anwendung der Vorschriften der Landesdatenschutzgesetze« und »die Zuständigkeit der jeweiligen Landesbeauftragen für den Datenschutz«. Gegen die vom VG Hannover befürwortete analoge Anwendung der Vorschriften nicht-öffentlicher Stellen argumentiert Wilde mit der vom Bundesverfassungsgericht im Beschluss vom 30. Juni 2015 (2 BvR 1282/11) betonten »besonderen Rechtsstellung« öffentlich-rechtlicher Religionsgemeinschaften, insbesondere der Übertragung hoheitlicher Befugnisse wie dem Besteuerungsrecht und der Rechtssetzungsautonomie.

Dieser Vorschlag überträgt – unausgesprochen – die Paarung von »nicht-öffentlichen« und »öffentlichen« Stellen auf den Gegensatz zwischen privatrechtlich und öffentlich-rechtlich organisierten Religionsgemeinschaften. Es ergeben sich aber eine ganze Reihe von Gegenargumenten:

  • Für den Datenschutz spielen einige Strukturunterschiede (wie das Besteuerungsrecht) keine Rolle. Hinsichtlich der Rechtssetzungsautonomie ergeben sich ebenfalls kaum praktische Auswirkungen: Das Mitglied einer öffentlich-rechtlichen Religionsgesellschaft kann dem dortigen autonomen Kirchenrecht ebenso leicht »entgehen«, wie das Mitglied einer privatrechtlich z. B. als Verein organisierten Religionsgemeinschaft dem dortigen Satzungsrecht. In beiden Fällen genügt der Austritt. Es ist nicht überzeugend, aus der rechtstheoretischen Dualität von hoheitlicher und privater Rechtssetzung eine datenschutzrechtliche Einordnung ableiten zu wollen.
  • Überdies: Soll die Analogie für privatrechtlich organisierte Einrichtungen der öffentlich-rechtlichen Religionsgemeinschaft dann zur Behandlung als nicht-öffentliche Stelle führen?
  • Art. 20 Abs. 3 des Grundgesetzes verlangt als Ausprägung des Rechtsstaatsgebotes den Verzicht auf Analogien immer dort, wo die Analogie für Rechtsunterworfene Belastungen herbeiführt, die der Gesetzgeber gerade nicht vorgesehen hat. Das ist eindeutig der Fall, wenn die Zuständigkeit von Aufsichtsbehörden (im hier behandelten Bereich) gesetzlich ungeregelt ist und dann durch »Lückenfüllung« begründet werden soll. Mit der Einordnung als »öffentliche Stelle« ergeben sich zwar (im Vergleich zur »nicht-öffentlichen Stelle« einige Vorteile (z.B. hinsichtlich möglicher Sanktionen bei Datenschutzverstößen), andererseits aber auch Nachteile (z.B. hinsichtlich der Pflicht zur Bestellung von Datenschutzbeauftragten).
  • Eine durch Analogie »erfundene« Zuständigkeit der Landes-Aufsichtsbehörden betrifft außerdem auch die Aufsichtsbehörde selbst und deren europarechtlich geschützte Unabhängigkeit. Art. 51 DSGVO verlangt, dass die Mitgliedstaaten die Aufsichtsbehörden einrichten. Dies umfasst (bei Einrichtung verschiedener Aufsichtsbehörden) auch deren Zuständigkeitsabgrenzung, die nicht dem Zufall (oder Rechtsprechung und Wissenschaft) überlassen werden darf, sondern Angelegenheit der mitgliedstaatlichen Gesetzgeber ist.

Lückenschluss durch den Gesetzgeber – im besten Falle umfassend

Derzeit werden Religionsgemeinschaften in Deutschland entweder durch ihre eigenen Aufsichtsbehörden kontrolliert oder bei Fehlen solcher Aufsichtsbehörden und privatrechtlicher Organisation der Religionsgemeinschaft durch die Landes-Aufsichtsbehörden.

Für öffentlich-rechtliche Religionsgemeinschaften ohne eigene Aufsichtsbehörde existiert keine Datenschutz-Kontrolle. Das EU-Recht (Art. 51 DSGVO) ist insoweit in Deutschland unvollständig umgesetzt (Ausnahme: Mecklenburg-Vorpommern). 

Die Landesgesetzgeber sollten dies schnellstmöglich beheben. Angesichts des »Flickenteppichs der Zuständigkeiten« im deutschen Datenschutz empfiehlt sich eine Regelung, die nicht in kurzer Zeit wieder ergänzt und »geflickt« werden muss. Sinnvoll wäre eine Auffanglösung z.B. folgender Gestalt: »Die Datenschutz-Aufsichtsbehörde (die/der Landesdatenschutzbeauftragte …) ist als Aufsichtsbehörde gemäß Art. 51 Abs. 1 VO (EU) 2016/679 zuständig, soweit nicht durch spezielle Regelungen andere Aufsichtsbehörden eingerichtet sind«. Gleichzeitig müsste in den meisten Landes-Datenschutzgesetzen der sachliche Anwendungsbereich (regelmäßig § 2 geregelt) erweitert werden. Häufig ist er momentan auf die Datenverarbeitung durch »öffentliche Stellen« des jeweiligen Landes beschränkt (und umfasst dann streng genommen schon jetzt nicht einmal die Kompetenznorm für die Landes-Datenschutzaufsicht bei nicht-öffentlichen Stellen). Auch insoweit empfiehlt sich eine »Auffanglösung«: »Dieses Gesetz gilt für die von Verarbeitung personenbezogener Daten, soweit nicht vorrangige Rechtsvorschriften bestehen. Ausgenommen sind insbesondere …«.)

Die Unhaltbarkeit einer Problemlösung durch Analogie dürfte sich spätestens dann erweisen, wenn öffentlich-rechtliche Religionsgemeinschaften bei Behandlung als nicht-öffentliche Stellen mit Bußgeldern belegt würden. Für Ordnungswidrigkeiten gilt das Analogieverbot; Art. 103 Abs. 2 des Grundgesetzes. Zwar erstreckt sich dieses Verbot (im Strafrecht wie im Ordnungswidrigkeitenrecht) nicht auf das jeweilige Verfahren. Die (Er-)Findung einer zuständigen Bußgeldbehörde durch Analogie dürfte aber den Rahmen des rechtsstaatlich Zulässigen klar überschreiten.

Im Verfahren der SELK beim Niedersächsischen OVG ist der Berufung Erfolg zu wünschen. Dann könnte auch für den Gesetzgeber Handlungsdruck entstehen (nicht jedoch, wenn die Rechtsprechung sich als Reparaturwerkstatt fehlerhafter Gesetze betätigt).

Eine kürzlich hier auf Artikel91.eu veröffentlichte Recherche hat ergeben, dass sich die Mehrheit der Aufsichten mit Ausnahme von Bayern zu einer Lückenschließung entschieden haben – Reformbedarf an den jeweiligen Landesdatenschutzgesetzen und am BDSG wird größtenteils verneint, Religionsgemeinschaften werden wie nicht-öffentliche Stellen behandelt.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert