Was bedeutet „Einklang“ bei Art. 91 Abs. 1 DSGVO? Falls es derzeit im Datenschutzrecht eine „ökumenische Frage“ gibt, die nach ihrer Bedeutung alle anderen weit überragt, dann ist es sicher diese. Sie lässt sich umformulieren in: Welchen „Spielraum“ und wieviel Freiheit haben Religionsgemeinschaften bei der Gestaltung ihres Datenschutzrechts?

Vorab: Die gestellte Frage ist (natürlich) nur wichtig, soweit die DSGVO überhaupt Anwendung findet. Nach der Rechtsprechung des EuGH allerdings bedeutet das praktisch keine nennenswerte Einengung: Die DSGVO ist nach Luxemburger Auffassung für Religionsgemeinschaften umfassend und flächendeckend gültig. Diese Ansicht des EuGH ist juristisch durchaus zweifelhaft.

Ein Beitrag zur Evaluierung des DSG-EKD von Ralph Wagner

Welche Kompetenz hat die EU?

Nach dem sogenannten „Prinzip der begrenzten Einzelermächtigung“ besitzt die EU Regelungskompetenzen nur, wenn sie ihr von den Mitgliedstaaten ausdrücklich zugesprochen werden. Weder für Religionsgemeinschaften noch für den Datenschutz gibt es eine solche umfassende Kompetenz-Zuweisung. Die DSGVO beruht letztlich auf den Gesetzgebungs-Kompetenzen für den EU-Binnenmarkt (Regelungen zum freien Verkehr von Personen, Waren und Dienstleistungen innerhalb der EU).

Das würde den Datenschutz von Religionsgemeinschaften nur erfassen, sofern er mit dem „Binnenmarkt“ zu tun hat, also z. B. bei wirtschaftlicher Betätigung der Kirche. Die Prüfung des Europäischen Gerichtshofs zur EU-Gesetzgebungszuständigkeit verläuft aber gänzlich anders: Behauptet wird, EU-Zuständigkeit sei der Grundsatz und die fehlende Zuständigkeit eine große, seltene Ausnahme. Mit diesem Vorgehen ist dann z. B. auch die Missionierung durch Zeugen Jehovas an den Wohnungstüren finnischer Privathaushalte eine EU-Angelegenheit (Rechtssache C-25/17, Urteil des EuGH vom 10. Juli 2018).

Der (letztentscheidende und wirkungsmächtige) Europäische Gerichtshof favorisiert also sehr klar Kompetenzen und Zuständigkeiten der EU (nicht nur, aber auch im kirchlichen Datenschutz) und negiert damit originäre Regelungskompetenzen der Religionsgemeinschaften (vgl. dazu auch Sydow/Sydow Einführung KDG Rn. 13 sowie Wagner/Wagner Einführung DSG-EKD Rn. 6–11).

Der Einklang als Angelpunkt

Umso wichtiger wird Art. 91 DSGVO, der den Religionsgemeinschaften ausdrückliche Regelungskompetenzen zuweist und dort wiederum die Frage, wie weit diese Kompetenzen reichen. Dreh- und Angelpunkt hierfür ist nach dem Wortlaut von Art. 91 Abs. 1 DSGVO die Erlaubnis und Forderung, kirchlichen Datenschutz „im Einklang mit dieser Verordnung“ zu regeln.

Die enge Auslegung

Ganz überwiegend deutet die Fachliteratur dies als sehr enge Vorgabe, die Abweichungen von der DSGVO nur bei kirchlichen/religiösen Spezialbedürfnissen erlaubt, im Übrigen aber völlige Deckung (vielleicht sogar Wortlautgleichheit) des kirchlichen Datenschutzrechts mit der DSGVO verlangt (in diese Richtung z.B. Ehmann/Kranigk in Ehmann/Selmayr DSGVO, Art. 91 Rn. 19; Gola in Gola/Heckmann DSGVO, Art. 91 Rn. 6; Herbst in Kühling/Buchner DSGVO, Art. 91 Rn. 15; Pauly in Paal/Pauly DSGVO, Art. 91 Rn. 16 und Reiher/Kinast in Taeger/Gabel DSGVO, Art. 91 Rn. 25).

Soweit Vertreter dieser Auffassung ein Abweichen vom Wortlaut erlauben, betonen sie gleichzeitig die Notwendigkeit der „Vollharmonisierung“, aus der sich eine Beschränkung der Religionsgemeinschaften ergeben soll, die allenfalls erlaubt, das Schutzniveau der DSGVO zu „konkretisieren“ (?) oder zu übertreffen.

Richtlinienähnliche Anwendung der DSGVO

Andere Stimmen sehen größeren Regelungs-Freiraum für die Religionsgemeinschaften (so, mit Unterschieden im Einzelnen, z. B. Mundil in BeckOK Datenschutzrecht, DSGVO Art. 91 Rn. 20; Seifert in Simitis u.a. DSGVO Art. 91 Rn. 13 und Hense in Sydow/Marsch, DSGVO, Art. 91 Rn. 20–23). Tendenziell wird die „Öffnungsklausel“ des Art. 91 DSGVO als Möglichkeit verstanden, die DSGVO richtlinien-ähnlich anzuwenden und den Datenschutz der jeweiligen Religionsgemeinschaft in diesem Sinne „im Einklang“ mit der DSGVO auszugestalten.

Alle anderen Ausnahmen sind enger gefasst

Die Frage nach dem konkreten Begriffsinhalt von „Einklang“ bei Art. 91 Abs. 1 DSGVO hat erkennbar wirklich grundsätzliche Bedeutung für den kirchlichen Datenschutz und ganz aktuell auch grundsätzliche Bedeutung für die Evaluierung des DSG-EKD (derzeit laufend) und des KDG (angekündigt). Natürlich muss man bestehende Spielräume nicht ausschöpfen. Selbstverständlich ist es aber sinnvoll, sie bei der Prüfung von Gesetzeswerken und der Entscheidung über mögliche Änderungen zu kennen, sich insoweit also zu vergewissern und zu orientieren.

Das stärkste Argument gegen eine „enge“ Auslegung des Art. 91 DSGVO liegt auf der Hand: Wenn der Verordnungsgeber inhaltliche Abweichungen von der DSGVO nur aufgrund kirchlicher Besonderheiten erlauben wollte, warum erlaubte er den Religionsgemeinschaften ein eigenes Datenschutzrecht? Dann hätte es ja genügt, Abweichungen von der DSGVO speziell für die Religionsausübung zuzulassen. Stattdessen wurde aber ausdrücklich gestattet, den Datenschutz vollständig (selbst) zu regeln und dafür auch eine eigene Aufsichtsbehörde zu errichten. Dies ist auch im Vergleich mit den sonstigen Ausnahmen von DSGVO-Pflichten (geregelt „benachbart“ zu Art. 91 in Kap. 9 der DSGVO, Art. 85–90) besonders auffällig. All diese anderen Ausnahmen sind enger gefasst:

• Art. 85 DSGVO erlaubt für Meinungsäußerung und Informationsfreiheit „Abweichungen oder Ausnahmen“ von Kap. II bis VII, soweit „erforderlich“. Solche Ausnahmen müssen nach Art. 85 Abs. 3 durch den jeweiligen Mitgliedstaat der Kommission mitgeteilt werden.
• Art. 86 DSGVO betrifft sehr enge Ausnahmen von der DSGVO zur Offenlegung amtlicher Dokumente (Informationsfreiheit/Transparenz).
• Art. 87 DSGVO bezieht sich ebenfalls auf einen ganz kleinen Ausnahmebereich (Verarbeitung nationaler Kennziffern) und verlangt ausdrücklich die Wahrung der Rechte und Freiheiten betroffener Personen gemäß DSGVO.
• Art. 88 DSGVO erlaubt den Mitgliedstaaten, die Verarbeitung von Beschäftigtendaten national zu regeln, wenn bestimmte Mindestanforderungen erfüllt werden (dort Abs. 2) und die Ausnahmen der Kommission notifiziert sind (Abs. 3).
• Art. 89 DSGVO enthält für die Datenverarbeitung zu wissenschaftlichen und statistischen Zwecken im Wesentlichen die Erlaubnis, Ausnahmen von den Betroffenenrechten zu regeln, die unbedingt nötig sind, um den jeweiligen Verarbeitungszweck zu erreichen.
• Für berufliche oder sonstige Geheimhaltungspflichten gestattet Art. 90 DSGVO, von der Verordnung abzuweichen, „soweit dies notwendig und verhältnismäßig ist“, außerdem wieder mit der Notifizierungspflicht gegenüber der EU-Kommission.

Nach alldem hätte – wenn der europäische Gesetzgeber tatsächlich auch Religionsgemeinschaften nur enge Ausnahmen erlauben wollte – nichts näher gelegen, als (wie für die anderen Verarbeitungssituationen in den vorangehenden Artikeln) die Regelungsbefugnis der Religionsgemeinschaften entsprechend eng einzuhegen, auf das „Notwendige und Verhältnismäßige“ zu beschränken und (wie bei den vorgenannten Verarbeitungszwecken) auch nur für die Verarbeitung zu Zwecken der Religionsausübung zuzulassen (nicht für jede Verarbeitung durch Religionsgemeinschaften).

Bei unbefangener Lektüre spricht also alles dafür, aus Art. 91 DSGVO (gerade im Abgleich mit den sonstigen Ausnahme-Artikeln) eine weite und breite eigene Regelungskompetenz der Religionsgemeinschaften abzuleiten.

Warum sieht das die herrschende Meinung dennoch anders?

Dafür dürften wohl drei sehr verschiedene Gründe ausschlaggebend sein:

Erstens: Vereinheitlichung

Die Fachliteratur zur DSGVO stammt (natürlich) maßgeblich von datenschutz- und europarechtlich geprägten Verfassern. Kirchenrechtliche Stimmen sind selten und leise. Das Ziel einer Harmonisierung des Datenschutzes auf europäischer Ebene besitzt für diesen Autorenkreis besonderes und größeres Gewicht; das Recht der Religionsgemeinschaften ist eher ein „fremdes Wesen“ mit nachrangiger Bedeutung.

Sonderregeln sind vor dem Hintergrund des Harmonisierungs-Ziels tendenziell ein Ärgernis und schon deshalb möglichst eng auszulegen.

Dies entspricht im Übrigen völlig der Sichtweise des EuGH, der – auch nach dem Denkmuster des sogenannten „effet utile“ – grundsätzlich für Ausnahmen und Abweichungen vom EU-Recht wenig Sympathie hegt (und das im EU-Primärrecht verankerte Prinzip der Delegation von Regelungskompetenzen durch die Mitgliedstaaten an die EU gelegentlich in sein Gegenteil verkehrt).

Zweitens: Der sicherste Weg

Bei der Rechtsanwendung hat der Europäische Gerichtshof praktisch das letzte Wort für die Auslegung (auch) von Art. 91 DSGVO, also für die Frage, wie groß Regelungsspielräume der Religionsgemeinschaften sind.

Man kennt – wie soeben unter erstens erwähnt – die kritische und restriktive Haltung des EuGH gegenüber Ausnahmeregeln. Es spricht daher viel dafür, dass der EuGH – sobald in der Rechtsfrage vorgelegt wird – sich (auch) bei Art. 91 DSGVO für ein sehr restriktives Verständnis entscheidet (also für nur kleinen Regelungsspielraum der Religionsgemeinschaften).

Versteht man mit Oliver Wendell Homes Rechtswissenschaft als „die Vorhersage, wie das Gericht entscheiden wird“ (The Path of the Law. In: 10 Harvard Law Review 457 (1897); Übersetzung nach Wikipedia) oder möchte man jedenfalls keine Meinung äußern, die der EuGH in einer späteren Entscheidung ablehnt, spricht also alles für die „enge“ Auslegung von Art. 91 DSGVO.

Drittens: Bequeme Orientierung

Sieht man durch Art. 91 Abs. 1 DSGVO nur „Wortlautabweichungen“ als erlaubt, dann verfügt man über einen sehr klaren und „naheliegenden“/streng anwendbaren Vergleichsmaßstab. Der „Einklang“ mit der DSGVO verlangt bei diesem Verständnis, dass jedenfalls alle inhaltlichen Vorgaben der DSGVO sich im kirchlichen Datenschutzrecht wiederfinden müssen.

Wer „die Leine länger lässt“, ist mit der Schwierigkeit konfrontiert, dann einen anderen Maßstab für „Einklang“ zunächst einmal finden zu müssen. Sind größere Abweichungen von der DSGVO dann erlaubt, wenn sie „unwichtigere“ Vorgaben betreffen? Dürfen auch strukturelle Unterschiede vorkommen? Anders gefasst: Was sind die „Kernvorgaben“ der DSGVO, nach denen sich entscheiden lässt, ob andere Regelungen mit ihnen im „Einklang“ stehen?

Wer die „Zäune“ für kirchliches Datenschutzrecht freier und weiter steckt, muss sich also der Aufgabe stellen, brauchbare Vorgaben für den „Grenzverlauf“ zu finden. Wer von vornherein nur Abweichungen „in Schrittweite zu DSGVO“ zulässt, hat es deutlich leichter.

Maßstab Angemessenheitsbeschluss

Nach den bisherigen Ausführungen ist wahrscheinlich schon deutlich, dass der Verfasser für weitere Spielräume des kirchlichen Gesetzgebers plädiert.

Ausschlaggebend dafür sind die oben genannten Argumente: Wortlaut und Systematik der DSGVO scheinen bei unbefangener Betrachtung deutlich für den „weiten“ Spielraum zu sprechen. Die DSGVO erlaubt den Religionsgemeinschaften eben nicht nur „Abweichungen, soweit sie notwendig sind“, sondern ein eigenes Datenschutzrecht.

Damit stellt sich die Aufgabe, Kriterien und Maßstäbe für die Prüfung des „Einklangs“ mit der DSGVO zu finden. Beim Blick in die DSGVO bietet sich aus mehreren Gründen an, auf Art. 45 zurückzugreifen:

• Die Bestimmung betrifft Angemessenheits-Beschlüsse der EU-Kommission für den Datenschutz in Drittländern oder bei internationalen Organisationen. Sowohl Prüfgegenstand („angemessenes Schutzniveau“), als auch Zielsetzungen und Folgen der Prüfung (bei Vorliegen eines angemessenen Schutzniveaus: Erlaubnis geplanter Datenübermittlungen) „passen“ zum Kontext des Art. 91. Hier wie dort werden umfassende, vollständige Regelungen zum Datenschutz (eines Drittstaats oder einer internationalen Organisation bei Art. 45 und einer Religionsgemeinschaft bei Art. 91) daraufhin verprobt, ob sie ausreichend Datenschutz bieten. Das verlangte Datenschutz-Niveau bemisst sich in beiden Fällen am Schutzniveau der DSGVO.
• Art. 45 Abs. 2 DSGVO bietet einen Prüfkatalog mit Kriterien, bei deren Vorliegen der DSGVO-Gesetzgeber offenbar „Einklang“ mit der DSGVO bejaht. Ansonsten wäre unverständlich, weshalb der DSGVO-Gesetzgeber an diese Kriterien als Rechtsfolge knüpft, dass personenbezogene Daten (jeder Art) an entsprechende Drittländer bzw. internationale Organisationen übermittelt werden dürfen. (Darüber hinaus wäre schon nicht nachvollziehbar, weshalb der Aufwand für die Kontrolle dieser Kriterien überhaupt betrieben wird.)

Die hier vorgeschlagene Lösung erlaubt den Religionsgemeinschaften gemäß Art. 91 Abs. 1 DSGVO ein eigenes Datenschutzrecht „im Einklang“ mit der DSGVO und versteht dieses Privileg als sinnvolle Norm, nicht als sinnentleerte „Abschreib-Übung“ mit dem Ziel der Wortlaut-Identität oder allenfalls der Verwendung von Synonymen („Nacherzählen“ der DSGVO).

Gleichzeitig zeigt sie Grenzen des eigenständigen Datenschutzrechts der Religionsgemeinschaften: Dieses Recht (und seine praktische Anwendung durch die Religionsgemeinschaft einschließlich der Möglichkeiten zur Rechtsdurchsetzung für Betroffene) müssen in Anlehnung an Art. 45 Abs. 2 DSGVO

• Rechtsstaatlichkeit, Achtung der Menschenrechte und Grundfreiheiten garantieren,
• wirksame und durchsetzbare Rechte der betroffenen Personen und wirksame verwaltungsrechtliche sowie gerichtliche Rechtsbehelfe für betroffene Personen bieten,
• eine unabhängige Aufsichtsbehörde aufweisen, die wirksam agiert, insbesondere „angemessene Durchsetzungsbefugnisse“ besitzt und „für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Mitgliedstaaten zuständig“ ist.

Zu beachten sind außerdem (Art. 45 Abs. 2 Buchstabe c) die von der Religionsgemeinschaft gegenüber Dritten eingegangenen Verpflichtungen (rechtsverbindlichen Übereinkünfte oder Instrumente), auch soweit sie sich aus der Teilnahme an internationalen Systemen/Strukturen ergeben.

Die Prüfung des „Einklangs“ kirchlicher Datenschutzrechte mit der DSGVO verläuft dann also vergleichbar zu jenen Prüfungen, die die EU-Kommission für und vor Erlass eines Angemessenheitsbeschlusses bezogen auf Drittstaaten und internationale Organisationen vornimmt. Dies bedeutet praktisch, dass Religionsgemeinschaften für die Vergewisserung, ob eigenes Datenschutzrecht (oder geplante Änderungen dieses Datenschutzrechts) sich „im Einklang“ mit der DSGVO befinden, auf entsprechende Angemessenheitsbeschlüsse der EU-Kommission zurückgreifen können. Zulässig und hilfreich ist also der Blick in das Datenschutzrecht jener Länder (bei eingeschränkten Angemessenheitsbeschlüssen der Blick auf die jeweils vom Beschluss umfassten Bereiche, Sektoren etc.).

Anders formuliert: Gesetze, Verfahren und Institutionen, die in ihrer Gesamtheit für einen Drittstaat oder eine internationale Organisation „angemessenes Datenschutzniveau“ sichern, befinden sich „im Einklang“ mit der DSGVO. Dasselbe gilt dann auch für entsprechende Gesetze, Verfahren und Institutionen von Religionsgemeinschaften. (Nichts anderes wird vom EuGH geprüft, wenn er die Richtigkeit und damit Wirksamkeit entsprechender Kommissionsbeschlüsse zu kontrollieren hat, wie z. B. im Rahmen der Verfahren Schrems I und II, dort jeweils mit dem Ergebnis einer Aufhebung der Angemessenheitsbeschlüsse, weil die sektoralen Regeln für Save Harbour und Privacy Shield kein „angemessenes Datenschutzniveau“ gewährleisteten.) Nachdem die EU-Kommission z. B. für Argentinien, Israel und Japan sowie das Vereinigte Königreich und die Schweiz ein angemessenes Datenschutzniveau bejaht hat, könnte für kirchliche Gesetzgeber der Blick auf das argentinische, israelische, japanische, britische oder Schweizer Datenschutzrecht hilfreich sein, um bestehende Spielräume zu erkennen und Anregungen zu erhalten.