Dem Däubler/Wedde/Weichert/Sommer gelingt ein Wunder: Ein Kommentar, der in einer Folgeauflage abnimmt. Ein Fingerbreit schmaler als die Vorauflage ist die neu erschienene 3. Auflage des Datenschutzkommentars mit Beschäftigtendatenschutz-Schwerpunkt. Der Eindruck täuscht: Nach Seiten ist die Neuauflage um etwas mehr als 100 gewachsen. Es ist also nur dünneres Papier.

Die Gewerkschaftsnähe zeigt sich nicht nur in der umfangreichen Berücksichtigung von Fragen aus dem Beschäftigtendatenschutz. Auch die Kommentierung des Kirchenartikels in dem im gewerkschaftseigenen Bund-Verlag erschienenen Werk ist sehr gewerkschaftlich-aktivistisch ausgefallen. Das steigert die Qualität nicht.

Allgemeines

Inhaltlich bleibt der Kommentar so umfangreich wie zuvor: Neben der DSGVO und dem BDSG werden das TTDSG und das Sicherheitsüberprüfungsgesetz kommentiert. Weggefallen ist die Kommentierung des Unterlassungsklagengesetzes, die TMG-Kommentierung beschränkt sich auf zwei Paragraphen. Relevante Normen aus dem KunstUrhG (§ 23), dem Strafgesetzbuch (§ 203) und dem UWG (§ 7) werden lediglich abgedruckt, eine Liste der staatlichen Aufsichten mit Kontaktdaten ist beigegeben. Für die kirchlichen und weiteren spezifischen Aufsichten wird auf die Mitgliederliste des Virtuellen Datenschutzbüros verwiesen.

Der Zielsetzung entsprechend ist besonders die Kommentierung des § 26 BDSG mit etwa 110 Seiten besonders ausführlich, dazu kommen 20 Seiten zur Beschäftigtendatenschutz-Öffnungsklausel Art. 88 – fast 10 Prozent des Umfangs widmen sich also direkt dem Beschäftigtendatenschutz, an vielen weiteren Stellen werden Auswirkungen auf den Beschäftigungskontext eigens berücksichtigt.

Artikel-91-Kommentierung

Meinungsstark im Religionsverfassungsrecht

Der Däubler/Wedde/Weichert/Sommer kann als »Gewerkschaftskommentar« gelten. Peter Wedde hat für den DGB den Entwurf eines Beschäftigtendatenschutzgesetzes geschrieben. Auf Gewerkschaftslinie ist auch die religionsverfassungsrechtliche Stoßrichtung: Bei der Selbstordnung und -verwaltung der Religionsgemeinschaften innerhalb der Schranken des für alle geltenden Gesetzes werden die Schranken betont und der eigene Spielraum der Religionsgemeinschaften eng gefasst.

Das führt dazu, dass die Artikel-91-Kommentierung eher aktivistisch ist. Weichert zieht wie schon in der Vorauflage den Anwendungsbereich sehr eng auf den Kernbereich religiöser Betätigung, von dem religiös motivierte gesellschaftliche Aktivitäten nicht erfasst sein sollen. Im Vergleich zur Vorauflage ist in der Fußnote immerhin eine andere Ansicht vermerkt. Dass hier eine Entscheidung des LG Siegen (2 O 236/21 vom 26. 11. 2021) und nicht das traditionell sehr expansive Verständnis des BVerfG herangezogen wird, liegt daran, dass das Landgericht darüber zu urteilen hatte, ob das DSG-EKD oder die DSGVO in einem evangelischen Krankenhaus zur Anwendung kommt. Angesichts des vom BVerfG vorgespurten Verständnisses dürfte diese andere Ansicht wohl eher herrschende Meinung an deutschen Gerichten sein. (Eingeordnet hat das vor kurzem Marten Gerjets in einem Beitrag zu Entscheidungen zum kirchlichen Datenschutz.)

Die später vertretene Position, dass das kirchliche Datenschutzrecht und weitere datenschutzrelevante kirchliche Gesetze nicht für ärztliche Behandlung, Arbeitsverhältnisse und regelmäßige Lehraktivitäten angewandt werden können, wird von der Praxis und der Rechtsprechung nicht gedeckt und ist eher Wunsch als Wirklichkeit.

Mit einer Kommentierung Einfluss auf die Rechtsanwendung und -sprechung nehmen zu wollen, ist legitim. Art. 91 DSGVO kann man so auslegen, dass dabei deutlich weniger Spielraum für Religionsgemeinschaften entsteht, als ihn kirchennahe Kommentatoren wie Hense finden. In einem Kommentar, der laut Vorwort im Oktober 2023 fertig war, sollte man aber doch die fünf Jahre Rechtsanwendung stärker in den Blick nehmen und die Kommentare stärker berücksichtigen, die andere Ansichten vertreten.

Ärgerlich ist, dass Weichert weiterhin nicht nur die öffentlich-rechtlichen Religionsgemeinschaften unvollständig aufzählt, obwohl die Formulierung Vollständigkeit impliziert, sondern auch behauptet, nur die katholische Kirche und die EKD hätten eigenes Datenschutzrecht erlassen. Wie es anders geht, zeigt Wilde in »Datenschutz in Bayern«.

Eine Stärke ist der Blick auf weitere relevante Normen, etwa auf Art. 9 Abs. 2 lit. d), die die Verarbeitung besonderer Kategorien unter anderem durch Religionsgemeinschaften regelt. (Hier vertritt Weichert die Position, dass das nur zulässig ist, wo es dem Tendenzschutz dient. Der Wortlaut ist weiter, die teleologische Reduktion ist aber aufgrund des missglückten Wortlauts plausibel, der die erleichterte Verarbeitung von besonderen Kategorien allgemein und nicht organisationsbezogen – also religiöse Daten für Religionsgemeinschaften, gewerkschaftliche für Gewerkschaften – zulässt.)

Kriterien für kircheneigenes Datenschutzrecht

Eine Artikel-91-Kommentierung hat vor allem eins zu leisten: Die Bedingungen zu klären, unter denen kirchliches Datenschutzrecht zulässig ist, also umfassende Regelungen, Bestehen zum Stichtag und Einklang mit der DSGVO.

Umfassend

Weichert sieht kein Erfordernis, alle im staatlichen Recht vorgesehen Instrumente im kirchlichen Recht abzubilden. Es genüge eine Vollregelung, die »umfassend die personenbezogene Datenverarbeitung der religiösen Organisationenzu [zu] normieren beabsichtigt«. Das treffe für KDG und DSG-EKD zu.

Stichtag

Weichert legt die Stichtagsregelung am Wortlaut aus: Art. 91 gewähre nur Bestandsschutz für bestehende Regelungen, korrekt wird der 25. Mai 2016 als Stichtag benannt (also der Tag des Inkrafttretens, nicht des Wirksamwerdens der DSGVO). Grund für eine harte Stichtagsregelung sei, dass Art. 91 auf »Bestands- und Vertrauensschutz« ausgerichtet sei. Die Frage, inwiefern das mit Art. 17 AEUV, also dem Bestandsschutz der jeweiligen mitgliedsstaatlichen religionsverfassungsrechtlichen Regelungen, in Einklang stehen soll, wird nicht ausgeführt.

Einklang

Überraschend angesichts der Stoßrichtung ist Weicherts Position, dass kirchliches Datenschutzrecht durchaus einen gewissen Spielraum hat. (Oder auch wieder nicht, da bei extrem reduziertem Anwendungsbereich eine größere Freiheit aus säkularer Perspektive weniger schädlich ist.) Ausdrücklich wird die Position verworfen, dass es weder nach oben noch nach unten vom Schutzniveau der DSGVO abweichen dürfe: »In Respektierung der Autonomie der religiösen Organisation kann die Regelung aber nicht dahingehend verstanden werden, dass eine Übereinstimmung mit der DSGVO oder ein der DSGVO voll entsprechendes Datenschutzniveau gefordert wird.« Gefordert werden könne und müsse lediglich ein »angemessenes« Niveau. Ausdrücklich verwirft Weichert eine Anlehnung an die Regeln zur Drittlands-Datenübermittlung aus Art. 44f. DSGVO (insofern teilt er also die hier vertretene Position von Ralph Wagner nicht), da dort die GrRCh und die DSGVO nicht direkt anwendbar seien.

Was allerdings »angemessen« ist, wird nur sehr knapp ausgeführt. Unter Verweis auf Erwägungsgrund 7 brauche es »einen soliden, kohärenteren und klar durchsetzbaren Rechtsrahmen«. Inwiefern dem die Regeln zum Drittstaatentransfer nicht entsprechen und wie die Ersetzung von »angemessen« durch »solide, kohärent und klar durchsetzbar« den Begriff des Einklangs operationalisierbar macht, ist nicht klar – solide, kohärent und durchsetzbar können auch Regeln sein, die der GrRCh und der DSGVO diametral entgegenstehen.

Spezifische Aufsicht

Nach Weicherts Ansicht genügen die katholischen wie evangelischen Aufsichten den Standards der DSGVO, die sie gemäß Art. 91 Abs. 2 erfüllen müssen. Mit Verweis auf Seiferts hier bereits kritisierte Position stellt Weichert fest, dass den kirchlichen Aufsichten gemäß den jeweiligen Gesetzen analoge Befugnisse zu den in Art. 58 geregelten Befugnissen der staatlichen Aufsichten fehle. Daher sei Art. 58 analog anzuwenden.

Fazit

Der Däubler/Wedde/Weichert/Sommer kann als Datenschutzkommentar mit Beschäftigtendatenschutz-Schwerpunkt uneingeschränkt empfohlen werden – er gehört in jede Personalabteilung und in jede Betriebsrats- und MAV-Handbibliothek. Angesichts der Vielzahl von DSGVO-Kommentaren, bei denen selten klar ist, wozu es denn jetzt noch einen weiteren braucht, ist eine solche ausdrückliche Schwerpunktsetzung sehr zu begrüßen – bei anderen Kommentaren muss man wissen, was ihre Stoßrichtung ist, explizit gemacht wird das selten. Es wäre zu wünschen, dass noch andere Kommentare eine derartige klare Fokussierung annehmen. (Es fehlt etwa nach wie vor ein DSGVO-Kommentar mit Schwerpunkt auf Vereine und gemeinnützige Organisationen.)

Als Referenzkommentar für die Art.-91-Kommentierung taugt er nicht. Weichert vertritt hier zu sehr religionsverfassungsrechtlichen gewerkschaftsnahen Aktivismus und blickt zu wenig über den Tellerrand. Spannend dürfte sein, was passiert, wenn das erste Art.-91-Verfahren den EuGH erreicht. Denn so wenig Weicherts Position mit der vom BVerfG grundgelegten deuschen Rechtstradition und der bisherigen Rechtsprechung zum kirchlichen Datenschutz zusammenpasst, so aktuell könnten seine Auslegungen werden, wenn der säkularistisch geprägte EuGH die Chance bekommt, wieder einmal das deutsche Religionsverfassungsrecht durcheinanderzuwirbeln.