Bisher haben Datenschutzaufsichten und Gerichte immer gegen Löschanträge in Bezug auf Taufregister entschieden und ein überwiegendes Interesse der Kirche angenommen. Dass man es als Aufsicht auch anders sehen kann, zeigt nun eine Entscheidung der belgischen Datenschutzbehörde: Das Bistum Gent muss das Löschbegehren einer aus der Kirche ausgetretenen Person erfüllen, das Interesse der Kirche überwiegt aus Sicht der Behörde nicht das Interesse der betroffenen Person.

Anders als die irische Aufsicht in ihrer jüngsten Entscheidung dazu lässt sich die belgische nicht von den Argumenten der Kirche überzeugen: Auch wenn die Zwecke der Datenverarbeitung in Kirchenbüchern legitim sind – eine unbegrenzte Speicherung selbst der Daten von Ausgetretenen geht der Gegevensbeschermingsautoriteit zu weit.

Im Volltext: Klacht wegens het nalaten om op passende wijze een verzoek tot verwijdering van persoonsgegevens uit het doopregister van de Rooms-Katholieke kerk in te willigen, Entscheidung 169/2023 vom 19. Dezember 2023

Der Fall

2021 forderte eine 1955 im Alter von 6 Tagen getaufte Person die Löschung des eigenen Taufeintrags. (Der entschiedene Fall kam also schon vor der jüngsten Debatte nach der Ausstrahlung der TV-Dokumentation zu Missbrauch in der Kirche ins Rollen.) Das Bistum Gent wies wie üblich (es gibt einen Standardbrief) das Löschbegehren zurück und verwies darauf, dass eine Notiz zum Kirchenaustritt im Taufbuch angebracht wurde. Darüber beschwerte sich die betroffene Person bei der Datenschutzaufsicht – unter anderem mit dem Argument, dass sie nie Mitglied der Kirche gewesen sei, weil sie nie selbst eingetreten sei und nie in die Verarbeitung eingewilligt habe. Damit seien die Daten im Taufbuch zur Mitgliedschaft falsch und müssten schon deshalb gelöscht werden.

Die Argumente der Kirche

Grundsätzlich brachte die Kirche drei Argumente im Verfahren vor:

1. Rechtsgrundlage für den Taufbucheintrag sei keine (jederzeit widerrufbare) Einwilligung der getauften Person oder ihrer Eltern, sondern ein berechtigtes Interesse daran, die Taufe als unverlierbares Prägemal sicher zu dokumentieren und Zweifel über den Taufstatus auszuschließen.
2. Das Taufregister habe einen objektiven historischen Wert, die dauerhafte Aufbewahrung der historischen Tatsachen von Taufe und Austritt sei aus Archivzwecken gerechtfertigt; unter anderem brachte das Bistum vor, dass die kirchlichen Taufbücher nach 100 Jahren ins Staatsarchiv überführt würden.
3. Die Kirche könne frei ihre inneren Angelegenheiten organisieren, das sei im belgischen Verfassungsrecht abgesichert. Damit müsse Art. 17 AEUV zum Tragen kommen, demnach die EU nicht in die jeweiligen religionsverfassungsrechtlichen System der Mitgliedsstaaten eingreifen darf. Im Ergebnis dürfe daher das Löschrecht aus Art. 17 DSGVO nicht auf Kirchenbücher angewandt werden, zumal im Kirchenrecht ausdrücklich deren Unveränderlichkeit festgeschrieben ist.

Die Entscheidung

Zuständigkeit und Verantwortlichkeit

Die Aufsicht unterscheidet zwischen dem Umgang mit dem Kirchenaustritt und Löschung im Taufbuch und äußert sich nur zur Löschung; der Austritt sei eine eigene Angelegenheit. Taufbucheinträge sind personenbezogene Daten, Taufbücher fallen aufgrund ihrer Dateieigenschaft unter den sachlichen Anwendungsbereich der DSGVO – auf dieser Grundlage sieht sich die Aufsicht als zuständig an.

Wie die irische Aufsicht sieht auch die belgische eine gemeinsame Verantwortlichkeit von Bistum und Pfarrei.

Rechtmäßigkeit der Verarbeitung

Die Aufsicht bemängelt unzureichend erfüllte Informationspflichten im Zusammenhang mit der Taufe. Lediglich ein Hinweis darauf, dass Daten verarbeitet werden, genüge nicht. Damit wird bereits der erste Verstoß festgestellt, in diesem Fall gegen Art. 5 Abs. 1 lit. a) DSGVO (Transparenz) und Art. 13 DSGVO (Informationspflicht), im Umgang mit dem Austritt den nächsten gegen Art. 12 Abs. 4 DSGVO (Informationspflicht bei Nicht-Tätigwerden auf einen Antrag hin), weil die Information nach dem Löschbegehren unzureichend war.

Ausführlich prüft die Aufsicht, ob eine Rechtsgrundlage vorliegt. In Frage steht ein berechtigtes Interesse. Im ersten Schritt wird das Vorliegen eines legitimen Zwecks der Verarbeitung festgestellt; das ergebe sich aus dem kirchlichen Selbstverständnis und den kirchenrechtlichen Normen. Der Zweck wird als »Verhinderung von Identitätsbetrug bei Taufen« gefasst und darauf enggeführt. Dass eine nachvollziehbare Sakramentenspendung nicht nur dafür relevant ist, sondern auch insbesondere für Fragen der Gültigkeit und Sakramentalität von Ehen, fällt etwas herunter. Unter Verweis auf das Schufa-Urteil des EuGH vom 7. Dezember betont die Aufsicht, dass nur die berechtigten Erwartungen von betroffenen Personen, nicht aber von Dritten berücksichtigt werden. Das führt allerdings auch dazu, dass die berechtigten Interessen von Dritten, die in Art. 6 Abs. 1 lit f) DSGVO explizit erwähnt werden, für sie wenig beachtlich sind. (Etwa Ehegatten, wenn die Gültigkeit der Ehe geprüft werden soll.)

Anders als bei der Zweckprüfung sieht es bei der Erforderlichkeitsprüfung aus. Hier hebt die Aufsicht darauf ab, dass die Taufregister, die nur in der jeweiligen Taufpfarrei geführt werden, nicht sicherstellen können, dass eine Person wirklich nicht getauft ist, wenn diese Information benötigt wird. Die Taufbücher seien also nicht geeignet, um den Zweck zu erreichen. Ausdrücklich führt die Aufsicht die Möglichkeit einer bedingungsweisen Taufe (bei Zweifeln an der erfolgten Spendung gemäß c. 869 CIC) an, die gegen die Erforderlichkeit spreche. Auch der Zweck, bei einem Wiedereintritt die erfolgte Taufe dokumentiert zu haben, sei zulässig, die Speicherung dafür wiederum nicht erforderlich, jedenfalls nicht im vorliegenden Fall. Dazu komme, dass mehr Daten als nötig gespeichert werden, etwa Daten zu Pat*innen oder das Datum des Austritts. Im Ergebnis stellt die Aufsicht Verstöße gegen den Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO) und der Datenminierung (lit. c.) fest.

Die Interessensabwägung fällt zugunsten der betroffenen Person aus. Eine unbegrenzte Speicherung sei nicht verhältnismäßig. »Obwohl es möglich ist, dass ein ehemaliges Mitglied beschließt, wieder in die römisch-katholische Kirche einzutreten oder sich (erneut) taufen zu lassen, ist die Wahrscheinlichkeit, dass dies tatsächlich geschieht, gering. Ein solches Szenario rechtfertigt nicht die dauerhafte Verarbeitung aller zuvor erhobenen personenbezogenen Daten aller, die sich durch Kirchenaustritt ausdrücklich von der römisch-katholischen Kirche distanzieren«, heißt es in Nr. 138. Erst recht nicht gelte das für den Vermerk des Kirchenaustritts, der als noch sensibleres Datum als das zur Taufe aufgefasst wird.

Nichts auszusetzen hat die Aufsicht bei der Integrität und Vertraulichkeit im Umgang mit Taufbüchern.

Im Ergebnis fällt die Prüfung des berechtigten Interesses zu Ungunsten der Kirche aus, wobei die Aufsicht nicht ausschließt, dass sie bei einer ausreichenden Erfüllung der Grundsätze von Datenminimierung und Verhältnismäßigkeit zu anderen Schlüssen kommen könnte.

Verarbeitung besonderer Kategorien personenbezogener Daten

Eine weitere Frage war die danach, ob die unstreitig zu den besonderen Kategorien personenbezogener Daten zählenden Daten von der Kirche verarbeitet werden durften. Zu prüfen war also, ob einer der Ausnahmegründe von Art. 9 DSGVO einschlägig ist; vor allem Abs. 2 lit. d) ist interessant, wo es unter anderem um die Verarbeitung von Daten von Mitgliedern oder ehemaliger Mitglieder von Religionsgemeinschaften geht. Der Beschwerdeführer sah sich nicht als »ehemaliges Mitglied«, da er nie freiwillig eingetreten sei. Dem folgte die Aufsicht nicht, der Wille der Eltern genügt. Damit ist auch die Ausnahme zu Mitgliederdaten einschlägig. Damit darf die Kirche ihre Taufbücher für die angeführten kirchliche Zwecke verwenden, insbesondere dafür, die Taufe als Voraussetzung für andere Sakramente zu überprüfen.

Da auch ehemalige Mitglieder in der DSGVO erwähnt sind, gilt das auch für sie – die Aufsicht verlangt aber eine enge Auslegung: »So kann es beispielsweise eine Reihe von Fragen geben, die in Bezug auf ein ehemaliges Mitglied noch geklärt werden müssen (wie die Beilegung eines Rechtsstreits), die eine vorübergehende Beibehaltung der Verarbeitung für eine gewisse Zeit nach dem Beitritt erforderlich machen.« Diese Bestimmung könne jedoch keine Grundlage dafür bieten, sensible personenbezogene Daten, die während der Mitgliedschaft gegen den ausdrücklichen Willen der betroffenen Person erhoben wurden, nach dem Austritt für einen langen Zeitraum oder gar lebenslang aufzubewahren. Aus dem Wortlaut geht das nicht hervor. Eine Interessensabwägung geht wieder zuungunsten der Kirche aus, deren berechtigte Interessen (wieder: »Vermeidung von Identitätsbetrug und die ordnungsgemäße Verwaltung von Sakramenten«) nicht die Interessen der betroffenen Person überwiegen. Auch hier sei ein tatsächlich verhältnismäßiges und datenminimierendes Vorgehen denkbar, so dass die Verarbeitung doch noch in den Augen der Aufsicht bestehen könnte.

Verarbeitung zu Archivzwecken

Ursprünglich wurden die Daten in Kirchenbüchern nicht für Archivzwecke erhoben, sondern für die ordnungsgemäße Verwaltung der Sakramente. Das von der Kirche vorgebrachte Argument des öffentlichen Interesses greife auch nicht: »Obwohl der Beschwerdegegner darauf hinweist, dass die Taufregister in der Vergangenheit einem öffentlichen Interesse gedient haben mögen, sind sie nach Ansicht des Beschwerdegegners nun durch die Register des Staatsarchivs ersetzt worden. Denn wenn die Register von allgemeinem Interesse sind, sollten sie auch im Rahmen dieses allgemeinen Interesses genutzt werden können.« Das können Kirchenbücher aber gerade nicht, wie das Bistum selbst vorgebracht hat. Überhaupt könne eine private Stelle wie die Kirche Archive im öffentlichen Interesse nur im Rahmen der Wahrnehmung einer rechtlich zugewiesenen öffentlichen Aufgabe betreiben.

Die Weiterverarbeitung für Archivzwecke komme schon deshalb nicht in Frage, weil schon für den ursprünglichen Zweck keine Rechtsgrundlage vorlag.

Betroffenenrechte

Ein Recht auf Berichtigung bestand im vorliegenden Fall nicht: Anders als die betroffene Person vortrug, ging die Aufsicht von einer tatsächlichen Mitgliedschaft aus, die von den Eltern stellvertretend begründet wurde. »Ob der Beschwerdeführer sich selbst als Mitglied der römisch-katholischen Kirche betrachtet oder nicht, ist irrelevant, da der Eintrag im Taufregister lediglich die Tatsache festhält, dass die Taufe stattgefunden hat, was lediglich bedeutet, dass der Beschwerdeführer tatsächlich Mitglied der römisch-katholischen Kirche geworden ist.«

Anders sieht es beim Recht auf Löschung aus. Das hatte die betroffene Person zwar nicht explizit, aber im Ergebnis geltend gemacht. Konkret wurde hier eine Löschung aufgrund eines Widerrufs als einschlägig gesehen, der bei berechtigtem Interesse möglich ist. In diesem Fall muss die verantwortliche Stelle darlegen, warum sie glaubt, dass ihre Interessen überwiegen. Die Kirche konnte die Aufsicht nicht überzeugen, dass ihr Interesse an der Nachvollziehbarkeit des Taufstatus die Interessen der betroffenen Person überwiegt. Da ein öffentliches Archivinteresse verneint wurde, greift auch diese Ausnahme nicht. Damit besteht eine Löschpflicht.

Anordnungen und Sanktionen

Aufgrund der Kooperation des Bistums Gent verzichtet die Datenschutzaufsicht auf eine Geldbuße und belässt es bei drei Abhilfemaßnahmen:

1. die Löschung der Daten der betroffenen Person aus dem Taufregister,
2. eine Rüge für das Bistum aufgrund der fehlenden transparenten Information,
3. und die Untersagung der derzeitigen Verarbeitung der Daten von Menschen, die aus der Kirche ausgetreten sind.

Fazit

Angesichts vieler ähnlich gelagerter Fälle, in denen durchweg die jeweiligen Religionsgemeinschaften Recht bekommen haben (selbst im laizistischen Frankreich), überrascht die belgische Entscheidung. Auffällig ist, dass der Umgang mit Identitätsbetrug (»identiteitsfraude«) im Zentrum der Argumentation steht – ein Punkt, der eigentlich nicht sonderlich relevant scheint, geht es doch vor allem um die theologische und ekklesiologische Bedeutung des Taufsakraments.

Noch ist die Entscheidung nicht rechtskräftig; die Parteien haben 30 Tage Zeit, um Rechtsmittel einzulegen. Das Bistum Gent wäre gut beraten, das auch zu tun – angesichts der Konsequenzen, die eine Löschpflicht in Taufregistern hätte, kann es eigentlich nicht darauf verzichten. Vor allem die sehr enge Auslegung der Ausnahme für Religionsgemeinschaften aus Art. 9 Abs. 2 lit. d) DSGVO dürfte angreifbar sein: dass die Zulässigkeit der Verarbeitung von Daten von ehemaligen Mitgliedern nur angenommen werden soll, wenn noch Rechnungen zu begleichen sind, überzeugt nicht. Ausdrücklich regelt die DSGVO, dass solche Daten von Religionsgemeinschaften »im Rahmen ihrer rechtmäßigen Tätigkeiten« verarbeitet werden dürfen – und da ist die ordnungsgemäße Sakramentenverwaltung eigentlich ein Paradebeispiel. Anders als in der irischen Entscheidung aus dem September setzt sich die belgische Aufsicht aber deutlich weniger mit kirchlichem Selbstverständnis auseinander; kirchliche Rechtsnormen werden zwar zur Kenntnis genommen, vor allem aber, um sie von staatlichen Rechtsnormen abzugrenzen.

Auf Anfrage teilte ein Sprecher des Bistums Gent am Dienstagabend mit, dass die Diözese die Entscheidung zunächst ausführlich prüfen werde und Rechtsmittel in Betracht ziehe. »Die Entscheidung hat uns überrascht, weil zum Beispiel die irische Datenschutzaufsicht im Februar dieses Jahres in einem ähnlichen Fall eine gegenteilige Entscheidung getroffen hat«, so der Sprecher weiter.

So überzeugend die irische Position war, und so viele Erfolge es vor Gerichten in anderen Mitgliedsstaaten für die kirchliche Position gab: Der Ausgang des Verfahrens ist offen. Die belgische Position ist sichtlich von einer deutlich laizistischeren Position als die irische getragen, eine Mentalität, die durchaus auch ein Gericht leiten kann – und wenn der Fall seinen Zug durch die Instanzen nimmt, landet der Fall irgendwann vor dem EuGH. Und der ist auch nicht für seine übermäßige religiöse Musikalität bekannt.