Lange war der Vatikanstaat der einzige wirklich datenschutzfreie Raum in Europa. Das ist nun vorbei: Mit Wirkung vom 30. April 2024 setzt das Dekret Nr. DCLVII erstmals ein Datenschutzgesetz des Vatikanstaats in Kraft, den Regolamento Generale sulla protezione dei Dati personali.
Der Datenschutz-Regolamento ist in weiten Teilen der DSGVO nachgebildet, unterscheidet sich aber in seiner grundsätzlichen Funktionsweise: Es bezieht sich ausschließlich auf das staatliche Handeln im Vatikanstaat. Vorerst wurde es auf drei Jahre ad experimentum erlassen. Bisher ist der »Regolamento Generale sulla protezione dei Dati personali« nur auf italienisch verfügbar.
Aufgrund der weitgehenden Parallen zur DSGVO sollen im folgenden nur charakteristische Besonderheiten und Abweichungen betrachtet werden.
Geltungsbereich (Art. 2)
Der Regolamento Generale gilt für die Verarbeitung personenbezogener Daten durch das Governatorat der Vatikanstadt auf dem Staatsgebiet und auf exterritorialem Gebiet – also für Verarbeitungen der staatlichen Verwaltung. Damit ist der Anwendungsbereich erheblich eingeschränkt: Der Heilige Stuhl und die Kurie, also die Verwaltung der Weltkirche, unterstehen nicht dem Governatorat und sind damit von der Geltung ausgenommen. (Art. 2 Abs. 1) Konsequent ist daher auch, dass in den Begriffsdefinitionen »Titolare del Trattamento«, also »Verantwortlicher«, als Regierung des Vatikanstaats definiert wird (Art. 3 lit. i)). Es gibt also im Vatikanstaat per definitionem nur einen Verantwortlichen (und das ist ausnahmsweise nicht der Papst).
Neben der aus der DSGVO bekannten Haushaltsausnahme ist die Anwendung auch ausgeschlossen für Daten, die von der betroffenen Person offenkundig öffentlich gemacht wurden und für anonymisierte Daten (Art. 2 Abs. 2). Die Haushaltsausnahme soll nicht greifen, wenn die verarbeiteten Daten »für eine systematische Kommunikation oder Verbreitung bestimmt sind«. Systematisch ist unklar, ob das überhaupt greifen kann, da es nur einen einzigen Verantwortlichen gibt. Ein Mitarbeiterexzess der Form, dass eine natürliche Person Verantwortliche wird, ist nach dem Regolamento nicht abbildbar.
Rechtmäßigkeit der Verarbeitung
Allgemeine Rechtsgrundlagen (Art. 5)
Der Regolamento übernimmt das Funktionsprinzip der DSGVO und setzt auf ein Verbot mit Erlaubnisvorbehalt. Neben der Einwilligung (in Art. 7 analog zur DSGVO geregelt) gibt es fünf weitere Rechtsgrundlagen:
- Verarbeitung im Rahmen der vatikanischen Diplomatie, konkret: Tätigkeiten, die in den Anwendungsbereich von Artikel 6 des Grundgesetzes des Staates Vatikanstadt vom 13. Mai 2023 fallen
- Verarbeitung auf Grundlage internationaler Abkommen und zur Justiz-Zusammenarbeit
- Zur Vertragserfüllung sowie zur Erfüllung von rechtlichen oder sittlichen Verpflichtungen (»obbligo legale« oder »impegno morale«), die nach dem Recht der Vatikanstadt rechtlich schutzwürdig sind.
- lebenswichtiges Interesse, beschränkt auf Fälle, in denen die betroffene Person nicht einwilligungsfähig ist
- Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt
Ein berechtigte Interesse gibt es nicht, damit ist für das Governatorat einerseits die Gesetzmäßigkeit der Verwaltung sichergestellt: weil Datenverarbeitungen damit grundsätzlich eine rechtliche Grundlage brauchen. Eingeschränkt wird dieses Prinzip allerdings durch die sehr interpretationsoffene Rechtsgrundlage der »sittlichen Verpflichtung«. Diese sittliche Verpflichtung ist zwar ans Recht rückgebunden, es ist aber nicht klar, was sie dann von einer rechtlichen Verpflichtung unterscheidet.
Besondere Kategorien personenbezogener Daten (Art. 6)
Unter die besonders schutzbedürftigen Kategorien werden sieben Komplexe gefasst:
- rassische oder ethnische Herkunft
- politische Meinungen
- religiöse Überzeugungen
- genetische Daten
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
- Daten über die Gesundheit
- sonstige Daten, die das Privatleben einer Person betreffen
Im Vergleich zur DSGVO fehlen weltanschauliche Überzeugungen und Gewerkschaftszugehörigkeit. Daten zum Sexualleben und zur sexuellen Orientierung werden nicht explizit genannt, die alternative Formulierung von Daten, »die das Privatleben einer Person betreffen«, ist aber deutlich weiter und dürfte diese Kategorien umfassen.
Anders als bei den deutschen kirchlichen Gesetzen ist die bloße Religionszugehörigkeit nicht ausgenommen. Wie in der DSGVO gibt es aber eine Ausnahme für die Verarbeitung der Daten von aktuellen und ehemaligen Mitgliedern im institutionellen Interesse.
Rollen und Aufgaben
- Datenschutzbeauftragter im Sinne einer Aufsicht ist immer der Vorsitzende des Staatsrats der Vatikanstadt (Art. 10). Derzeit üben diese Funktion zwei weltliche italienische Juristen aus.
- Das Governatorat als verantwortliche Stelle wird verpflichtet, ein Datenschutzmanagement aufzubauen (Art. 11).
- Auftragsverarbeitung wird ausführlich geregelt, da sie bei der gewählten Struktur eine zentrale Bedeutung hat: Wo unter der DSGVO einzelne Behörden und Einrichtungen eigene Verantwortliche wären, sind sie nach dem Regolamento Generale Auftragsverarbeiter des Governorats. (Art. 12) Auftragsverarbeitung ist durch einen Rechtsakt zu begründen, Auftragsverarbeiter dürfen nur mit Zustimmung des Verantwortlichen weitere Auftragsverarbeiter beauftragen.
- Betriebliche Datenschutzbeauftragte werden für die Auftragsverarbeiter definiert. Ein eigener Artikel regelt »Kontaktpersonen« (Art. 13), die im Governatorat und bei den Auftragsverarbeitern Funktionen eines Datenschutzbeauftragten wahrnehmen. Weisungsfrei sind aber weder Datenschutzbeauftragte noch Kontaktpersonen.
Betroffenenrechte
Definierte Rechte
Informationen zur Verarbeitung müssen der betroffenen Person entweder zum Zeitpunkt der Erhebung oder innerhalb einer angemessenen Frist, längstens aber nach 30 Tagen, zur Verfügung gestellt werden. (Art. 8)
Betroffenenrechte können nur in Textform geltend gemacht werden (Art. 15 Abs. 1). Die Frist für die Erfüllung von Betroffenenrechten ist 30 Werktage (der Vatikan hat eine 6-Tage-Woche) mit der Möglichkeit einer Verlängerung auf 90 Werktage.
Folgende Betroffenenrechte werden geregelt:
- Auskunftsrecht (Art. 17)
- Recht auf Berichtigung (Art. 18)
- Recht auf Löschung (Art. 19)
- Recht auf Datenübertragbarkeit (Art. 20)
- Recht auf Widerspruch (Art. 21)
- Recht auf Einschränkung der Verarbeitung (Art. 22)
- Recht auf Beschwerde (Art. 25)
Grundsätzlich entsprechen die Betroffenenrechte damit der DSGVO. Auf Wunsch werden betroffene Personen über den Namen der jeweils zuständigen Kontaktperson informiert.
Beschwerde und gerichtliche Rechtsbehelfe
Auf eine Beschwerde hin wird der Datenschutzbeauftragte tätig. Bei seinen Ermittlungen kann er sich auch des Gendarmeriekorps des Vatikans und der Innenrevision bedienen. Er setzt eine begründete Stellungnahme zu der Beschwerde auf, die er an den Präsidenten des Governorats, also den Regierungschef, weitergibt. (Art. 26) Dieser erlässt dann auf der Grundlage der Stellungnahme ein Dekret, das die Beschwerde abschließend und unanfechtbar bescheidet. (Art. 27)
Auf Grundlage des Dekrets kann die betroffene Person gegebenenfalls Schadensersatz gerichtlich geltend machen.
Gegenüber der verantwortlichen Stelle und Auftragsverarbeitern kann das Dekret »Warnungen, Ermahnungen und geeignete Abhilfemaßnahmen« enthalten. Welche Abhilfemaßnahmen zulässig sind, wird nicht weiter ausgeführt.
Fazit
Der Regolamento Generale sulla protezione dei Dati personali schließt eine wichtige Lücke im Recht des Vatikanstaats. Nun muss nicht mehr spekuliert werden, ob Teile des alten italienischen Telekommunikationsrechts Teilgebiete des vatikanischen Datenschutzes regeln. Der Regolamento setzt vieles aus der DSGVO um, ohne das Schutzniveau allzu sehr zu beschränken. Problematisch ist vor allem die Verantwortung der Regierung für den Erlass von Dekreten zur Bescheidung von Beschwerden und der fehlende Rechtsbehelf – wenn der Vatikan einen Angemessenheitsbeschluss der EU-Kommission anstreben sollte, dürfte das die größte Hürde dafür sein.
Obwohl es jetzt Datenschutzrecht im Vatikan gibt, bleibt weiter eine große Lücke: Nur der Staat der Vatikanstadt ist erfasst. Der Heilige Stuhl und die Kurie, also die Verwaltung der Weltkirche, haben weiterhin keines. Auskunftsersuchen von Theolog*innen an das Bildungsdikasterium, von Missbrauchsbetroffenen an das Glaubensdikasterium oder von Priestern und Bischöfen an die für sie zuständigen Dikasterien sind auch künftig nicht möglich.