DSGVO-Evaluation – Reformbedarf beim Kirchenartikel

Während die Evaluierung der kirchlichen Datenschutzgesetze überfällig ist, ist die EU-Kommission schon bei der zweiten Bewertungs- und Überprüfungsrunde gemäß Art. 97 DSGVO. Beim ersten Bericht aus dem Jahr 2020 tauchte Art. 91 DSGVO und damit die Ausnahmeregelung für den kirchlichen Datenschutz nicht auf.

Eine Lupe fokussiert auf Art. 91 DSGVO
Die ganze DSGVO wird evaluiert – Art. 91 DSGVO ist dabei selten im Fokus.

Noch bis zum 8. Februar können Rückmeldungen eingereicht werden – und zwar von allen »Interessensträger*innen«. Darunter fasst die Kommission unter anderem Zivilgesellschaft, Unternehmen und im Datenschutzbereich tätige Personen. Damit dieses Mal Art. 91 DSGVO nicht herunterfällt, plane ich eine Einreichung – erste Ideen sammle ich hier, über weitere Rückmeldungen in den Kommentaren oder per Mail freue ich mich.

Art. 91 Abs. 1 DSGVO

Regelungsgehalt

Der erste Absatz des Kirchenartikels regelt die Bedingungen, unter denen Religionsgemeinschaften eigenes Datenschutzrecht anwenden können:

  • Stichtag: Bereits zum Zeitpunkt des Inkrafttretens der DSGVO müssen eigene Regeln in der Religionsgemeinschaft in Anwendung gewesen sein.
  • Umfassend: Die Regeln müssen umfassend gewesen sein (und folglich weiter sein).
  • Einklang: Die Regeln müssen mit der DSGVO in Einklang gebracht werden.

Erfahrungen und Kritik

  • Die Stichtagsregelung wirft die Frage nach der Gleichbehandlung auf: Warum dürfen später entstehende oder sich erst später eigenes Datenschutzrecht gebende Gemeinschaften nicht von Art. 91 Abs. 1 Gebrauch machen? Das wirft auch Fragen hinsichtlich der Zuständigkeit der EU auf: Gemäß Art. 17 AEUV darf die EU nicht in das Religionsverfassungsrecht von Mitgliedsstaaten eingreifen. Durch die Stichtagsregelung tut sie aber genau das, weil so Religionsgemeinschaften, die etwa nach deutschem Religionsverfassungsrecht Datenschutzrecht erlassen könnten, durch EU-Recht daran gehindert werden. Ein Verzicht auf die Stichtagsregelung würde diese Probleme beheben.
  • Das Kriterium umfassender Regelungen wird in unterschiedlichen Mitgliedsstaaten sehr unterschiedlich ausgelegt: Während das VG Hannover einen strengen Maßstab anlegte, hat das polnische Oberste Verwaltungsgericht sehr niedrige Anforderungen. Eine Formulierung, die statt dem auslegungsbedürftigen »umfassend« darauf abhebt, dass der Regelungsumfang grundsätzlich dem der DSGVO entspricht, würde dieses Problem beheben. Denkbar wäre zudem, statt umfassender Regelungen auch lediglich bereichsspezifische Regelungen zu ermöglichen; dies entspräche auch dem Subsidiaritätsprinzip, wenn Religionsgemeinschaften nur Religionsspezifisches regeln müssten und ansonsten das allgemeine Recht anwenden könnten.
  • In der Literatur wird diskutiert, was Einklang bedeutet: Gibt es überhaupt Möglichkeiten, vom Schutzniveau der DSGVO nach oben oder unten abzuweichen? Dem Ziel der Wahrung des Rechts auf kollektive Religionsfreiheit angemessen wäre eine Ergänzung, dass Abweichungen vom Schutzniveau der DSGVO nach unten nur insofern zulässig sind, wie sie zwingend notwendig für die Ausübung der Religionsfreiheit notwendig sind. (Ein Beispiel wäre eine Norm, die Taufbucheinträge absolut von Löschansprüchen ausnimmt.)

Art. 91 Abs. 2 DSGVO

Regelungsgehalt

Religionsgemeinschaften, die eigenes Datenschutzrecht anwenden, können einer spezifischen Aufsicht unterliegen. Diese Aufsicht muss alle Bedingungen erfüllen, die Kapitel VI DSGVO aufstellt.

Erfahrungen und Kritik

  • In der Literatur wird vereinzelt diskutiert, ob die erwähnten spezifischen Aufsichten Einrichtungen der Religionsgemeinschaften selbst oder staatlich eingerichtete Sonderaufsichtsbehörden sind. Eine explizite Klarstellung der herrschenden Praxis, dass es sich um kirchliche Behörden handelt, würde diese Diskussion beenden.
  • Spezifische Aufsichten sind nur dann zulässig, wenn eigenes Datenschutzrecht vorliegt. Das führt dazu, dass Religionsgemeinschaften, die eine kirchliche Aufsicht ihrem Selbstverständnis nach für notwendig erachten, zugleich auf die Anwendung eigenen Rechts angewiesen sind, selbst wenn sie mit der DSGVO gut leben könnten. Auch mit Blick auf das Harmonisierungsziel einer EU-Verordnung wäre es daher sinnvoll, Religionsgemeinschaften zu ermöglichen, die DSGVO anzuwenden, aber eine spezifische Aufsicht einzurichten.
  • Aus dem Wortlaut geht nicht eindeutig hervor, ob mehrere Religionsgemeinschaften gemeinsame spezifische Aufsichtsbehörden einrichten können. Das ist in der Praxis relevant: Im katholischen Bereich sind alle Aufsichtsbehörden für mehrere Bistümer oder Orden zuständig, die formal jeweils eigene (wenn auch gleichlautende) Datenschutzregelungen haben. Hier wäre eine Klarstellung sinnvoll, dass mehrere Religionsgemeinschaften eine gemeinsame Behörde einrichten können.

Fehlende Regelungen

  • Das Feld des kirchlichen Datenschutzes ist unübersichtlich. Das liegt vor allem daran, dass eigenes Datenschutzrecht nach Art. 91 DSGVO bestehen kann, ohne dass irgendeine andere Stelle informiert werden muss. Ob ein eigenes Datenschutzregime in einer Religionsgemeinschaft existiert, weiß im schlimmsten Fall nur die Gemeinschaft. Daher wäre eine Notifizierungspflicht für kirchliches Datenschutzrecht sinnvoll, die Religionsgemeinschaften verpflichtet, ihr Datenschutzrecht an eine benannte Stelle – praktisch dürfte die jeweils geographisch zuständige staatliche Aufsicht sein – zu melden.
  • Ungeklärt ist die Einbindung der spezifischen Aufsichten ins Kohärenzverfahren, in den Europäischen Datenschutzausschuss und ihr Verhältnis zu den nationalen Aufsichtsbehörden. Auf allen Ebenen nehmen die staatlichen Einrichtungen sehr restriktive Haltungen ein und beteiligen die spezifischen Aufsichten kaum und auf sehr niedriger institutionellem Niveau. Mit Blick auf das Harmonisierungsziel wäre es sinnvoll, spezifische Aufsichten nicht nur hinsichtlich ihrer Pflichten mit den regulären Behörden gleichzustellen, sondern sie auch institutionell stärker am Austausch der Aufsichten zu beteiligen.
  • Nicht erwähnt wird der gerichtliche Rechtsschutz, der in der Regel über kirchliche Gerichte sichergestellt wird. Hier sollte neben den Aufsichten auch die Möglichkeit religionsgemeinschaftlicher Gerichtsbarkeiten erwähnt werden. Zur Sicherstellung der Kohärenz sollten diese Gerichtsbarkeiten analog zu mitgliedsstaatlichen Gerichten auf das Vorabentscheidungsverfahren beim EuGH verpflichtet werden, zur Sicherung des Rechtsstaatsprinzips für die Gerichte Mindeststandards festgelegt werden.

Fazit

Der unscheinbare Art. 91 DSGVO zählt durch seinen etwas umständlichen Wortlaut zu den komplizierteren der DSGVO. Zugleich ist er weniger als andere Artikel im Licht der Öffentlichkeit. Bisher wurde er in der Evaluation gar nicht in den Blick genommen – dabei gibt es einigen Reformbedarf: Klare Regelungen, Gleichbehandlung, Rechtsstaatlichkeit und Transparenz stehen weit oben auf der Liste.

Art. 97 DSGVO sieht vor, dass insbesondere Drittstaatentransfers sowie Zusammenarbeit und Kohärenz im Fokus der Evaluierung stehen sollen. Während es im kirchlichen Datenschutz keine Besonderheiten bei Drittstaatentransfers gibt, ist die Frage nach Zusammenarbeit und Kohärenz besonders wichtig – da gibt es nämlich bisher so gut wie keine Regelungen und eine eher unbefriedigende Praxis. Die hier vorgeschlagenen Änderungen würden das System nicht grundsätzlich umgestalten, sondern behutsam verbessern, praktikabler und transparenter gestalten.

Ich freue mich auf Anmerkungen: Was sollte in einer Rückmeldung zur Evaluation von Art. 91 DSGVO noch berücksichtigt werden? Sind die genannten Kritikpunkte die richtigen? Treffen die Lösungsvorschläge?

2 Gedanken zu „DSGVO-Evaluation – Reformbedarf beim Kirchenartikel

  1. Maik Michel

    Die richtige Lösung wäre, Artikel 91 ersatzlos zu streichen. Es gibt keinen Grund, warum Kirchen oder Religionsgemeinschaften eigene Datenschutzregelungen haben sollten. Die DSGVO ist dafür vollkommen ausreichend. Das in Deutschland viel zu weit gefasste Selbstbestimmungsrecht sollte allerhöchstens nur für ihre Mitglieder gelten. Datenschutz betrifft aber insbesondere auch Nicht-Mitglieder.
    Aus diesem Grund kann auch der in den Erwägungsgründen genannte Bestandsschutz kein Argument sein.

    1. Felix Neumann Beitragsautor

      Ich sage ja auch immer, wo ich gefragt werde, dass ich die kirchlichen Sonderdatenschutzregime nicht sinnvoll finde. Art. 91 DSGVO streichen wäre da aber eher kein Hebel. Die alte Datenschutzrichtlinie hatte keine Regelung für kirchlichen Datenschutz, und trotzdem gab’s ihn. Die EU hat erstmal gar keine Handhabe, weil sie sich in Art. 17 AEUV darauf verpflichtet hat, die religionsverfassungsrechtlichen Systeme der Mitgliedsstaaten nicht zu beeinträchtigen. Und in Deutschland sehe ich überhaupt keine Chance für Bestrebungen, an die Kirchenartikel im Grundgesetz ranzugehen.

      Manche meiner Vorschläge zielen darauf ab, im Rahmen des Möglichen mehr DSGVO zu ermöglichen, zum Beispiel die Abkehr vom Erfordernis umfassender Regeln.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert