Die deutschsprachige Literatur und Rechtsprechung sind sich weitgehend einig: Wenn eine Religionsgemeinschaft eigenes Datenschutzrecht anwenden will, dann muss sie zum Zeitpunkt des Inkrafttretens der DSGVO, also im Mai 2016, eigene umfassende Datenschutzregelungen gehabt haben. An der Stichtagsregelung gibt es zwar Kritik aufgrund der mangelnden Gleichbehandlung, insbesondere erst später gegründeter Religionsgemeinschaften – solange der EuGH aber nicht den Stichtag kippt, dürfte der Wortlaut gelten.
In der aktuellen Ausgabe der polnischen kirchenrechtlichen Zeitschrift Kościół i Prawo befasst sich Justyna Ciechanowska mit dem Datenschutzrecht und der Datenschutzaufsicht der katholischen Kirche in Polen. Sie kommt zu dem Schluss, dass das Datenschutzrecht tatsächlich gilt und die Aufsicht die notwendigen Bedingungen der Unabhängigkeit erfüllt; lediglich die Möglichkeit von Diözesanbischöfen, zusätzlich zur Aufsicht in Visitationen die Einhaltung datenschutzrechtlicher Bestimmungen zu prüfen, wird problematisiert. Für ihre Position kann sie sich auf zwei höchstrichterliche Urteile stützen.
Niedrige Schwelle für umfassende Regelungen
Beides sind Urteile des Obersten Verwaltungsgerichts. Beide befassen sich mit der altbekannten Frage der Löschung von Daten aus Kirchenbüchern. Im wesentlichen wird festgestellt, dass nicht die staatliche Aufsicht, sondern die kirchliche zuständig ist. (Urteile des Obersten Verwaltungsgerichts vom 14. 7. 2022, Az. III OSK 2776/21, und vom 25. Mai 2022, Az. III OSK 2273/21.) Besonders bemerkenswert ist in beiden Urteilen die Prüfung des Gerichts, ob die polnische Bischofskonferenz mit ihrem Datenschutzdekret vom 13. März 2018 in den Anwendungsbereich von Art. 91 DSGVO fällt, der nur eröffnet ist, wenn die Religionsgemeinschaft schon vor Inkrafttreten der DSGVO (im Mai 2016) umfassende Regelungen hatte.
Das Gericht ist sehr großzügig; es genügt ihm schon, dass es bereichsspezifische Regelungen unter anderem für Pfarrbücher gab sowie den sehr allgemeinen c. 220 CIC zum Schutz des guten Rufs und der Intimsphäre. Nach Auslegung der Richter*innen genügen die im kanonischen Recht verstreuten Regelungen zum Umgang mit personenbezogenen Daten in Kombination mit dem Einklang durch das später erlassene Dekret, um die Kriterien der DSGVO zu erfüllen:
»Entgegen der Einschätzung des Beschwerdeführers hatte die katholische Kirche jedoch bereits vor dem Inkrafttreten der DSGVO bestimmte Regeln für den Schutz personenbezogener Daten, wie z. B. in Bezug auf die Führung von Kirchenbüchern, in denen Tauf-, Heirats- oder Todesfälle von Mitgliedern einer Religionsgemeinschaft unter Verwendung personenbezogener Daten festgehalten wurden. Es gab keinen Grundsatz des allgemeinen, uneingeschränkten Zugangs zu diesen Informationen – die Möglichkeit, die Bücher einzusehen, Kopien zu erhalten oder Änderungen zu verlangen. Es ist unerheblich, ob dies das Ergebnis der Anwendung kodifizierter Vorschriften oder des allgemein anerkannten Gewohnheitsrechts war, da Art. 91 Abs. 1 DSGVO keine strengen Anforderungen an die Art der Rechtsquellen stellt. Es sei jedoch darauf hingewiesen, dass die Grundlage für diese Vorschriften die Normen des kanonischen Rechts waren, einschließlich der Bestimmungen über den Schutz der Privatsphäre und der Intimsphäre, die im Codex des kanonischen Rechts enthalten sind (insbesondere c. 220). Darüber hinaus legen viele der im Kodex des kanonischen Rechts enthaltenen Bestimmungen die Regeln für die Erhebung und Verwendung von Daten und die Rechte der betroffenen Personen und damit – die Verarbeitung und den Schutz von Daten unter Berücksichtigung der kirchlichen Besonderheiten fest. Dies gilt auch für die Führung von Archiven, die Vorbereitung auf Sakramente usw.«
Aus den Entscheidungsgründen des Urteils III OSK 2273/21 (automatische Übersetzung aus dem Polnischen)
Damit hat das polnische Oberste Verwaltungsgericht deutlich anders entschieden als das VG Hannover im Fall der SELK und entgegen der herrschenden Meinung in der deutschsprachigen Kommentarliteratur: Dass »umfassend« als »alle Sachverhalte nicht ergänzungsbedürftig regelnd« auszulegen ist, dürfte Konsens sein. Die genannten verstreuten Normen regeln zwar viele Gesichtspunkte, aber wesentliche Aspekte des Datenschutzrechts nicht, insbesondere Betroffenenrechte. Bemerkenswert ist auch, dass das Oberste Verwaltungsgericht trotz Vorlagepflicht glaubte, auf ein Vorabentscheidungsverfahren beim EuGH verzichten zu können.
Fazit
Trotz scheinbar klarer Formulierungen zeigt sich gerade im unmittelbar anzuwendenden Europarecht, wie pfadabhängig die Auslegung von Rechtstexten ist. Es ist sehr typisch, dass die Frage nach der Löschung aus Kirchenbüchern auch in den polnischen Fällen die Sachfrage ist: Das ist anscheinend überall konfliktträchtig, und gleichzeitig zeigen sich Unterschiede. Im durch und durch säkularen Belgien hat jüngst erstmals eine Aufsicht für ein Löschrecht entschieden, während im (bei allen rapiden Säkularisierungstendenzen) katholischen Irland in derselben Frage die Aufsicht klar auf Seite der Kirche war.
In Polen sind Kirche und staatliche Institutionen enger miteinander – die staatliche Datenschutzaufsicht schließt Vereinbarungen mit den kirchlichen, das Oberste Verwaltungsgericht feiert sein hundertjähriges Jubiläum mit einer Festmesse mit dem Warschauer Kardinal Kaźmierz Nycz, der Einfluss der abgewählten nationalkatholischen PIS dürfte ein Übriges getan haben, um eine besonders kirchenfreundliche Rechtsprechung zu bewirken. Angesichts dieser besonderen Voraussetzungen ist fraglich, ob die Auslegung des Kriterium umfassenden Datenschutzrechts international Schule machen wird – zumal der EuGH sicher nicht für seine hohe religiöse Musikalität bekannt ist.
Daher sollten sich andere Religionsgemeinschaften mit ähnlichen Voraussetzungen wie die polnische nun nicht in Sicherheit wiegen, was ihr Datenschutzrecht angeht – und das sind einige: In Italien wurden vor der DSGVO nur Details geregelt, bei quasi allen anderen Regelungen ist nicht ersichtlich, dass es Vorgänger gab (es fehlen durchweg Außerkraftsetzungen alten Rechts, die allerdings aufgrund von c. 20 CIC nicht nötig sind), und in Deutschland dürfte mindestens die SELK aufmerksam auf die polnische Entscheidung schauen, nachdem ihr schon ein früheres Fehlen von umfassenden Regelungen attestiert wurde.