Bereits im vergangenen Jahr hat Marten Gerjets seine Dissertation zum Datenschutzgesetz der EKD vorgelegt. In »Europäischer und kirchlicher Datenschutz« geht er der Frage nach, was Art. 91 DSGVO mit seiner Forderung nach »Einklang« der kirchlichen Datenschutzgesetze meint und ob der Einklang beim DSG-EKD gegeben ist.
Die Dissertation ist die erste systematische Analyse des DSG-EKD und der bisher wohl beste Ansatz, die schwammigen und wenig gelungenen Kriterien des Art. 91 DSGVO operationalisierbar zu machen, und ergänzt so das katholische Pendant, das Michaela Hermes zuvor zum KDG vorgelegt hat.
Überblick
Gerjets widmet sich der Frage, wie europäisches Recht kirchliches Datenschutzrecht bedingt und beeinflusst sorgfältig zunächst über den rechtlichen Rahmen: Über das EU-Primärrecht und das Sekundärrecht geht der Blick auf verfassungsrechtliche und einfachgesetzliche Grundlagen. Auch die kirchenrechtliche Vorgeschichte wird in den Blick genommen.
Der wichtigste Teil der Arbeit ist das vierte Kapitel. Dass dieses Kapitel nur einen der neun Paragraphen umfasst, in die das Werk gegliedert ist, täuscht: Fast die Hälfte des Umfangs widmet Gerjets einer detaillierten Analyse des DSG-EKD unter der Leitfrage, ob es mit der DSGVO in Einklang gebracht wurde.
Am Ende stehen Ausblick und Fazit – und es zeigt sich, dass sich eine Frage durch jede Befassung mit dem kirchlichen Datenschutzrecht zieht: Die nach dem Sinn und Unsinn.
Reichweite des europäischen Datenschutzrechts
Eine der Herausforderungen, die die Schnittmenge von europäischem und kirchlichem Datenschutzrecht mit sich bringt, ist die Frage, inwiefern hier überhaupt der europäische Gesetzgeber zuständig ist: Das Prinzip der begrenzten Einzelermächtigung, das dem EU-Recht eigentlich zugrunde liegt, wird schon durch ein umfassendes Datenschutzrecht strapaziert, erst recht dann, wenn dieses Datenschutzrecht in einen Bereich ragt, für den nicht nur keine Einzelermächtigung des Gesetzgebers vorliegt, sondern ausdrücklich eine Begrenzung: Art. 17 AEUV schützt die mitgliedsstaatlichen religionsverfassungsrechtlichen Systeme vor Eingriffen durch die EU.
Gerjets folgt dabei grundsätzlich der weiten Auslegung des Europäischen Gerichtshofs. Zugleich zeigt er sich aber auch skeptisch angesichts von Sachverhalten, »die von vornherein keinerlei Binnenmarktbezug aufweisen« und bei denen es folglich fragwürdig ist, wie hier eine Zuständigkeit europäischen Rechts hergeleitet werden kann. Konkret nennt er Datenverarbeitungen in Kirchenbüchern und Gottesdiensten als Beispiele. Im Ergebnis kommt er aber zum Schluss, dass ein Großteil der religionsgemeinschaftlichen Datenverarbeitungen von der DSGVO erfasst sind.
Artikel 91 und seine Kriterien
Art. 91 DSGVO gehört sicher nicht zu den am klarsten formulierten Passagen eines ohnehin anspruchsvollen Regelwerks. Der relativ knappe Wortlaut wirft viele Fragen auf: Was ist Einklang? Was sind umfassende Regelungen? Wie ist die – vermeintliche oder tatsächliche – Stichtagsregelung auszulegen? All diese Fragen sind immer noch offen. Rechtskräftige Gerichtsentscheidungen, zumal vom EuGH, fehlen noch, die all diese Fragen klären würden.
Sehr sorgfältig dekliniert Gerjets alle Bedingungen für die Anwendung kirchlichen Datenschutzrechts durch. Mit etwa 40 Seiten ist dieser Teil nicht übermäßig lang, aber doch deutlich ausführlicher und differenzierter als alle bisher auf dem Markt befindlichen Kommentierungen von Art. 91 DSGVO – Gerjets setzt damit einen Standard, hinter den kein DSGVO-Kommentar zurückfallen sollte: Eine seriöse Auseinandersetzung mit Art. 91 DSGVO dürfte auf mittlere Frist nicht ohne eine Auseinandersetzung mit dieser ausführlichen Besprechung auskommen können.
Umfassende Regeln
Beim Kriterium der »umfassenden Regeln« zeigt sich der Ansatz von Gerjets, der auf einer Kenntnis der kirchlichen – nicht nur der evangelischen – Rechtspraxis aufbaut, die man in anderen juristischen Befassungen mit kirchlichem Recht bisweilen vermisst. (Die Dissertation ist am Kirchenrechtlichen Institut der EKD unter Betreuung durch Hans Michael Heinig entstanden, so dass die religiöse Musikalität keine Überraschung ist.) Umfassend wird dabei gemäß der herrschenden Meinung ausgelegt, dass es grundsätzlich nicht ergänzungsbedürftig bedeutet:
»Es geht also darum, datenschutzrechtliche Regeln zu schaffen, die alle datenschutzrechtlichen Vorgänge, einschließlich ihres gesamten ›Nachspiels‹, ohne subsidiären Rückgriff auf staatliches Recht erfassen.« (S. 79)
Die Besonderheit kirchlichen Rechts tritt hinzu angesichts der Frage, ob ein einziges, in sich abgeschlossenes Regelwerk vorliegen muss, oder ob vielmehr die kirchliche Praxis zulässig ist, manche Materien des Datenschutzrechts in weitere Normen auszulagern oder bereits an anderer Stelle vorgefundene Regelungen auch dort zu belassen. Gerjets wählt einen Mittelweg: Einerseits sei es zulässig, wenn Religionsgemeinschaften ein derartiges Normengeflecht haben, andererseits gibt es Bedingungen. Zumindest die wichtigsten Grundlagen und »wohl auch der größte Teil des religionsgemeinschaftlichen Datenschutzrechts« müsse in einem einheitlichen Gesetz zu finden sein, um eine Prüfung des Einklangs zu ermöglichen.
Einklang
Die schwierigste – und bereits kirchengerichtlich problematisierte – Frage ist die nach dem »Einklang«. Gerjets identifiziert zwei Schulen in der Literatur: Einen auf Vollharmonisierung abzielenden restriktiven Ansatz und einen auf größere Spielräume der Religionsgemeinschaften abzielenden. Überzeugend legt der Autor dar, warum ein restriktiver Ansatz nicht überzeugt, würde so doch die Möglichkeit von eigenen Regelungen ad absurdum geführt:
»Konformität, Übereinstimmen, aber auch in Einklang stehen bedeutet gerade nicht, dass die Gesetze einander 1:1 entsprechen müssen und eigentlich kein oder wenn überhaupt wenig Platz für kleinste Konkretisierungen ist. Ansonsten wäre die Maßgabe gewesen, dass die Vorgaben der DSGVO schlichtweg in religionsgemeinschaftliches Recht übersetzt werden müssten.« (S. 89)
Eine vollständig determinierte Regelungsfreiheit sei letztlich überhaupt keine Freiheit. Gerjets macht den Subsidiaritätsgedanken stark und entwickelt das originelle und überzeugende Argument, dass religionsgemeinschaftliche Abweichungen sogar das Datenschutzniveau erhöhen können, »weil eine situationsadäquate Regelung möglich ist«. Zudem weist er darauf hin, dass die Risiken in Religionsgemeinschaften oft abweichen: Einerseits gebe es wohl in manchen Fällen ein niedrigeres Risiko, da vorwiegend Mitgliederdaten verarbeitet werden, andererseits in anderen Fällen ein erhöhtes, weil besonders sensible Daten verarbeitet werden. Im Ergebnis kommt Gerjets zu einer Formel, die die Auslegung des Einklangs deutlich besser operationalisierbar macht als der bloße Wortlaut:
»Zusammenfassend geht es bei der Herstellung des Einklangs mithin darum, das von der DSGVO aufgestellte Datenschutzniveau in den religionsgemeinschaftlichen Kontext zu übertragen, diesem besonderen Sachverhalt datenschutzrechtlich Rechnung zu tragen und sich aber gleichzeitig innerhalb der grundsätzlichen Bahnen der DSGVO zu bewegen, deren Leitideen aufzugreifen und sich auch von den jeweiligen Einzelnormen nur insoweit zu entfernen, wie dies zur Wahrung religionsgemeinschaftlicher Freiräume notwendig ist.« (S. 93)
Diese Formel führt auch dazu, dass keine Datenschutzniveau-Gesamtbilanz gebildet werden kann oder darf, bei dem zu schwache durch stärkere Eigenregelungen aufgefangen werden. Offen bleibt mit dieser Formel freilich die Frage, ob einzelne Unterschreitungen des Datenschutzniveaus, die keine religionsspezifische Begründungen haben, schon zum Fehlen des Einklangs führen und damit eine Regelung im ganzen unanwendbar machen. Gerjets spricht sich hier für einen risikobasierten Ansatz aus und will kleinere Abweichungen nach unten, aber keine grundsätzlichen, noch gedeckt sehen, und will den Einklang mit Blick auf das Gesamt und nicht auf einzelne Regeln hin prüfen. (Ein Ansatz, der durchaus problematisch sein kann; es wird sich zeigen, ob Gerichte für solche Konstellationen einen Mittelweg zwischen völlig billigen und völlig verwerfen finden; beim fehlenden Recht auf Kopie konnte der Einklang kirchengerichtlich durch Auslegung hergestellt werden.)
Subsidiaritätsprinzip und Situatiosadäquanz als Leitgedanke der Auslegung der scheinbar harten Stichtagsregelung, die religionsgemeinschaftliches Datenschutzrecht nur im Rahmen einer Bestandsschutzregelung zuzulassen scheint. Gegen einen reinen Bestandsschutz spricht aus Gerjets Sicht auch Art. 17 AEUV: Mit einem Stichtag würde die EU in das religionsverfassungsrechtliche Gefüge von Mitgliedsstaaten eingreifen, wenn nicht deren Religionsverfassungsrecht mehr ausschlaggebend dafür ist, ob die kirchliche Selbstverwaltung so weit reicht, dass eigenes Datenschutzrecht möglich ist.
Zum Einklang des DSG-EKD
Um den Einklang des DSG-EKD zu prüfen, geht Gerjets kleinteilig durch das evangelische Datenschutzgesetz und analysiert ausgewählte (aber nicht alle) Normen des DSG-EKD. Durchweg zeigt sich hier wieder der Wert eines kirchlich informierten Verständnisses der Materie. Gerjets versteht sichtlich, was Kirchen tun, warum und aus welchem Selbstverständnis heraus: Die Normen werden nicht im luftleeren Raum, sondern als dezidiert kirchliches Recht und damit sachgerecht ausgelegt. (In der katholischen Kirchenrechtswissenschaft wird die Methodendiskussion unter den Schlagworten geführt, ob Kanonistik eine juristische Disziplin oder eine theologische Disziplin mit juristischer Methode ist – Gerjets zeigt im besten Sinn, wie die juristische Methode angewandt wird, um kirchliche und damit theologisch begründete Regelungen zu erhellen, und wie so ein theologisch vertretbares Ergebnis erzeugt wird, das auch profan-juristisch überzeugend ist.)
Es dürfte keine Überraschung sein, dass Gerjets im Ergebnis den Einklang des DSG-EKD feststellen kann: Die methodische Vorentscheidung, das Gesamt in den Blick zu nehmen und den Einklang nicht an einzelnen Normen scheitern zu lassen, hat dieses Ergebnis bereits vorgezeichnet. Das heißt nicht, dass das DSG-EKD auch ausnahmslos als unproblematisch bewertet wird. Er systematisiert die Problemfälle in »für sich genommene problematische Abweichungen« und Abweichungen »mit unterschiedlicher Schwere je nach verantwortlicher Stelle«.
Als problematisch wird vor allem die weitgehende Möglichkeit, Datenverarbeitungen kirchengesetzlich zu ermöglichen; hier fehlt im DSG-EKD die Bedingung, dass gesetzliche Ermächtigungen das Datenschutzniveau des DSG-EKD erhalten müssen. Kritisch werden auch die unklare Bedeutung des »kirchlichen Interesses«, Einschränkungen bei Betroffenenrechten wie das fehlende Recht auf Kopie. (Bei den Betroffenenrechten hat die Novelle nachgeschärft, die Problematik des Vorrangs anderer Kirchengesetze ist weiter ungelöst.) Quantitativ gesehen seien die problematischen Abweichungen »überschaubar«.
Als je nach verantwortlicher Stelle problematisch eingestuft sind Regelungen wie die eingeschränkte Informationspflicht. Dass Informationen über eine Verarbeitung nicht bei Erhebung, sondern erst auf Verlangen vorgelegt werden müssen, sei für Kirchengemeinden mit ihren klaren Aufgaben, die zumeist Mitglieder betreffen, weniger problematisch als für diakonische Einrichtungen mit einer ungleich größeren Zielgruppe und komplizierten und sensiblen Verarbeitungen. Ähnliches gelte für die Herausnahme der Religionszugehörigkeit aus den besonderen Kategorien.
Bezeichnend ist, dass der kürzeste Abschnitt bei der Systematisierung der Abweichungen der zu den Abweichungen nach oben ist. Dass kirchlicher Datenschutz härter als der weltliche sei, ist ein Mythos. Gerjets nennt eine strengere Zweckbindung etwa bei Beschäftigtendaten und Daten zu Forschungszwecken. Insbesondere die relativ ausführliche Norm zum Beschäftigtendatenschutz steigert das Datenschutzniveau im Vergleich zu DSGVO und BDSG. Positiv hervorgehoben wird die Verpflichtung aufs Datengeheimnis und die – mittlerweile angeglichene – niedrigere Bestellungsgrenze für örtlich Beauftragte (nach DSG-EKD alt 10 statt 20 Personen wie im BDSG).
Die sorgfältige Prüfung stellt dem DSG-EKD ein grundsätzlich befriedigendes Zeugnis aus:
»Insgesamt schafft es das DSG-EKD, trotz einiger problematischer Abweichungen, insbesondere im Bereich der Rechtsgrundlagen, der Betroffenenrechte und der Aufsicht, ein Datenschutzniveau sicherzustellen, das zwar an manchen Stellen hinter demjenigen zurückbleibt, was die DSGVO aufstellt, dabei aber für den kirchlichen Kontext einschließlich dessen datenschutzrechtlichen Gefährdungspotentials und unter Berücksichtigung religionsgemeinschaftlicher Interessen hinreichend ist.« (S. 314)
Fazit
Gerjets legt mit seiner Dissertation ein Standardwerk zu Art. 91 DSGVO vor, das auch durch die umfangreiche Novelle des DSG-EKD, die naturgemäß noch nicht berücksichtigt werden konnte, nicht weniger nützlich ist. Die von ihm angelegten Maßstäbe des Subsidiaritätsprinzips und der Möglichkeit, durch religiösen Datenschutz einen sehr speziellen und grundrechtlich bedeutsamen Sektor situationsadäquat zu regulieren, können sowohl für die Auslegung des bestehenden EU-Rechts wie für Überlegungen zu (leider unwahrscheinlichen) Reformen von Art. 91 DSGVO herangezogen werden.
Aber auch kirchliche Gesetzgeber können wesentlich davon profitieren, die von Gerjets entwickelte Formel des Einklangs zu berücksichtigen. Die erklärte (und umgesetzte) Absicht des EKD-Gesetzgebers, mit seiner Novelle zugleich kirchliche Besonderheiten stärker zu betonen als auch eine größere Nähe zur DSGVO zu suchen, ist mit gewisser Wahrscheinlichkeit zumindest in der Spätphase der Reform wenn nicht von Gerjets‘ Arbeit gelenkt, so doch von ihr wesentlich bestätigt worden. (In der nichtamtlichen Begründung werden Aufsätze von Gerjets, aber noch nicht seine Dissertation zitiert.)
Am Ende kommt Gerjets auf die Frage, die sich jede seriöse Befassung mit kirchlichem Datenschutzrecht stellen muss: Was soll das? Warum sollten Religionsgemeinschaften Datenschutzrecht nur umfassend regeln können, mit der Gefahr, sich absichtlich ungerechtfertigt zu privilegieren oder versehentlich fehlerhaft und mit unabsehbaren Konsequenzen abzuschreiben? Viel sinnvoller wäre es – und da ist Gerjets uneingeschränkt zuzustimmen –, Religionsgemeinschaften konkrete Bereichsregelungen zu ermöglichen und ansonsten das für alle geltende Datenschutzrecht gelten zu lassen:
»Insoweit zeigt sich dann aber auch wieder, dass die Norm des Art. 91 DSGVO missglückt ist: Sinnvoller wäre nach alledem […], die Möglichkeit für Religionsgemeinschaften, die sie besonders als solche treffenden Sachverhalte (Fernsehgottesdienst, Gemeindebriefe, ggf. Seelsorge etc.) selbständig und mit einem u.U. geringeren Datenschutzniveau zu regeln. Es stellt sich aber die Frage, ob der Erlass eines vollständigen kirchlichen Datenschutzrechts tatsächlich nötig ist.« (S. 328)
(Marten Gerjets: Europäischer und kirchlicher Datenschutz (Ius Ecclesiasticum 127), Mohr Siebeck 2024, 375 Seiten, 109 Euro)