Sobald personenbezogene Daten zu den besonderen Kategorien gehören, wird’s kompliziert. Und im Bereich der besonderen Kategorien ist man nach der Linie des europäischen Gerichtshofs schnell.

Das finnische Oberste Verwaltungsgericht hatte nun einen Fall zu klären, bei dem es um ableitbare Daten über religiöse Überzeugungen ging, die mehr oder weniger öffentlich gemacht wurden: Durfte eine Kirche Wahlunterlagen zu Kirchenwahlen in Umschlägen verschicken, die darauf schließen lassen, dass die Empfänger*innen Kirchenmitglied sind? (Korkein hallinto-oikeus, Urteil 563/2025 vom 30. April 2026)

Der Fall

Ein Kirchenmitglied der evangelisch-lutherischen Kirche hatte sich bei der Datenschutzaufsicht darüber beschwert, dass aus dem Briefumschlag, in dem Wahlunterlagen für die Kirchengemeinderatswahlen verschickt wurden, die Mitgliedschaft in der Kirche geschlossen werden konnte. Mindestens Postbot*innen und der im selben Haushalt lebende Ehepartner (!) hätten das aus dem Umschlag schließen können. Auf dem Umschlag war neben Empfänger und Absender der Slogan zur Wahl sichtbar: »Geglaubt – gehofft – geliebt: Lass Deine Stimme hören«.

Die Datenschutzaufsicht sah kein Problem. Die Gemeinde hätte mit dem Wahlbrief einen zulässigen Zweck verfolgt, die Information über die Gemeindewahlen sei erforderlich, um die Rechte der Gemeindemitglieder zu wahren. Die Post unterliegt dem Briefgeheimnis.

Das gegen die Aufsicht angerufene Verwaltungsgericht Helsinki kam dagegen zu der Entscheidung, dass die Angaben, die auf die religiöse Überzeugung schließen lassen, für den Zweck nicht zulässig waren. Für den Zweck, für die Wahl Werbung zu machen, sei der Aufdruck auf dem Umschlag zwar nützlich gewesen, aber eben nicht erforderlich. Damit hätte ein Verstoß gegen die DSGVO vorgelegen.

Besondere Kategorien sah das Verwaltungsgericht als gegeben an, weil aus den auf dem Umschlag ersichtlichen Angaben geschlossen werden könne, dass der Empfänger Kirchenmitglied ist. Das Gericht folgte auch der Auffassung des Beschwerdeführers, dass diese Informationen durch den Umschlag Dritten wie Postbot*innen und Mitbewohner*innen zugänglich gemacht werden können. Das Religionsprivileg aus Art. 9 Abs. 2 lit. d) wurde nicht als Rechtfertigung gelten gelassen, weil es an den dafür erforderlichen geeigneten Schutzmaßnahmen gefehlt hätte.

Parteivorträge

Die Gemeinde hatte vorgebracht, dass die Kirchenzugehörigkeit aus dem Gesamt des Umschlags nicht eindeutig hervorginge. Ein weiteres Argument der Gemeinde war, dass ihre Kommunikation mit Mitgliedern in den Schutzbereich der Religionsfreiheit fällt. Zudem hätte die Aufsicht schon einmal geklärt, dass die persönlich adressierte Zustellung von Gemeindeblättern, aus denen ja auch die Identität von Empfänger*innen hervorgehe, zulässig sei.

Die Datenschutzaufsicht schloss sich im Ergebnis der Gemeinde an. Die Argumente des Verwaltungsgerichts würdigte die Aufsicht zwar, betonte aber auch die Religionsfreiheit.

Der Beschwerdeführer sah dagegen den Grundsatz der Datenminimierung nicht ausreichend erfüllt. Die Gemeinde hätte die Kommunikation in weniger risikobehafteter Weise gestalten können, zum Beispiel mit einem neutralen Umschlag. Dass die Kirche als Absender ersichtlich war, wäre dann kein Problem gewesen, weil es keine Anhaltspunkte gegeben hätte, dass der Brief nur an Mitglieder ging. Alternativ wäre der Beschwerdeführer auch zufrieden gewesen, wenn die Wahlwerbung auf dem Umschlag gewesen wäre, aber ohne dass der Absender ersichtlich wäre.

Die Entscheidung

Vorliegen von Daten besonderer Kategorien

Für das Obersten Verwaltungsgericht waren die Angaben auf dem Umschlag wie für die Vorinstanz Daten, die sich auf besondere Kategorien beziehen. Aus der Gestaltung sei offensichtlich, dass sich das Schreiben an Mitglieder richtet, und zwar mittelbar daraus, dass klar war, dass es sich an Wahlberechtigte der Kirchengemeindewahlen richtet.

In Anbetracht der Rechtsprechung des EuGH – das Gericht führt C-184/20, Vyriausioji tarnybinės jaikos komisija, und C-21/23, Lindenapotheke, an – genügt, dass besondere Kategorien indirekt hergeleitet werden können. Dazu genügt auch eine gewisse Wahrscheinlichkeit, absolute Gewissheit braucht es nicht.

Interessant ist, dass die bloße Kirchenmitgliedschaft für das Oberste Verwaltungsgericht noch nicht unmittelbar unter die besonderen Kategorien fällt – dass die kirchlichen Datenschutzgesetze in Deutschland die bloße Mitgliedschaft explizit aus dem Anwendungsbereich der besonderen Kategorien nimmt, zeigt, dass die finnische Position nicht überall geteilt wird. Für das finnische Gericht genügt aber, dass eine Kirchenmitgliedschaft für das Vorliegen besonders schützenswerter religiöser Überzeugungen nicht als unbedeutend angesehen werden könne und Rückschlüsse darauf erlauben – im Ergebnis bleibt die Bewertung also doch gleich.

Rechtsgrundlage für die Verarbeitung

Das Gericht führt Art. 9 Abs. 2 lit d) DSGVO an, die Privilegierung der Verarbeitung besonderer Kategorien durch religiöse Organisationen. Eine Voraussetzung dafür sind angemessene Schutzmaßnahmen (in der deutschen Fassung der DSGVO unglücklich formuliert: »geeignete Garantien«), eine andere, dass sich die Verarbeitung auf Mitglieder und ehemalige Mitglieder beschränkt. Das sei im Fall der Wahlbriefe gegeben, die nur an Mitglieder gehen.

Damit kann die Ausnahme greifen, wenn angemessene Schutzmaßnahmen getroffen sind. Um das zu prüfen, müssen unter anderem die Art der Daten und Mittel und Zwecke der Verarbeitung berücksichtigt werden. Dazu schaut sich das Gericht den Zweck von Art. 9 Abs. 1 DSGVO an. Die Norm ziele darauf ab, »einen besseren Schutz vor einer Verarbeitung personenbezogener Daten zu gewährleisten, die aufgrund der besonderen Sensibilität der betroffenen Daten einen besonders schwerwiegenden Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen kann«. Es sei also zu prüfen, wie schwerwiegend der Eingriff sei.

Das tut das Gericht dann: Dass es sich bei den Daten auf dem Umschlag um besondere Kategorien handelt, ist bereits klar. Zu berücksichtigen sei aber, dass religiöse Überzeugungen nicht direkt aus den genannten Daten, sondern nur mittelbar und wahrscheinlich hervorgehen: »Die Informationen werden im Allgemeinen auch nicht als ebenso stark persönlich empfunden wie beispielsweise Ansichten oder Verhaltensweisen, die unmittelbar die religiöse Überzeugung zum Ausdruck bringen, und sind hinsichtlich ihres Sensibilitätsgrades nicht mit solchen Informationen gleichzusetzen.« Daher liege hier ein weniger intensiver Grundrechtseingriff vor als sonst bei der Verarbeitung besonderer Kategorien üblich (Rn. 32).

Im nächsten Schritt schaut sich das Gericht an, was eigentlich der Zweck ist. In diesem Fall ist es die ordnungsgemäße Durchführung der Kirchengemeindewahlen. »Der Zweck der Wahlen zur Bestimmung der Entscheidungsgremien der Gemeinden besteht darin, die kirchliche Demokratie und die kirchliche Selbstverwaltung zu verwirklichen.« (Rn. 33.)

Die Information über die Wahlen in einer Weise, die dazu beiträgt, dass die Informationen über das Wahlrecht den Kirchenmitgliedern tatsächlich zur Kenntnis gelangen, fördere die Verwirklichung dieses Zwecks. Die streitgegenständliche Verarbeitung sei auch zu diesem Zweck erfolgt. Damit seien die aus dem Briefumschlag hervorgehenden Informationen für den Zweck wesentlich und erforderlich, ein dezenter gestalteter Umschlag hätte den Zweck nicht in gleicher Weise erreicht. Ein Verstoß gegen die Grundsätze der Zweckbindung und der Datenminimierung sei daher nicht ersichtlich. Der persönliche Postversand war ausreichend, da dadurch die Informationen für Außenstehende nicht zugänglich gewesen seien, während Postbeschäftigte an das gesetzlich geschützte Briefgeheimnis gebunden seien. Dass andere Haushaltsmitglieder vom Umschlag Kenntnis nehmen können, sah das Gericht nicht als problematisch an.

Ergebnis

Das Oberste Verwaltungsgericht kommt zum Schluss, dass »die Informationen über die Kirchenmitgliedschaft in dieser Angelegenheit insgesamt im Sinne von Art. 9 Abs. 2 DSGVO mit angemessenen Schutzmaßnahmen behandelt worden und die Verarbeitung nicht zu einer vorschriftswidrigen Weitergabe der Daten an Dritte geführt haben«. Die Entscheidung des Verwaltungsgerichts war damit aufzuheben, die erste Einschätzung der Datenschutzaufsicht konnte sich durchsetzen.

Fazit

Wenn es vor Gericht um besondere Kategorien personenbezogener Daten geht, ist das meistens am Ende unerfreulich: Viel zu eng ziehen Gerichte, allen voran der EuGH, die Möglichkeiten, besondere Kategorien zu verarbeiten. Dazu kommt, dass der Anwendungsbereich von Art. 9 DSGVO vom EuGH immer weiter gezogen wird. In diesem Fall wurde das umschifft. Das finnische Oberste Verwaltungsgericht hat Artikel-9-Daten nicht verabsolutiert, sondern die Regelung risikoadäquat ausgelegt.

Unter den vom Gericht aufgezählten Rechtsgrundlagen nennt es unter anderem Erwägungsgrund 4 der DSGVO, nach dem das Recht auf Schutz der personenbezogenen Daten kein uneingeschränktes Recht ist und »im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden« muss. Dieser Erwägungsgrund bleibt bei der Auslegung der DSGVO viel zu oft außer Acht. Dadurch werden Prinzipien wie Erforderlichkeit und Zweckbindung in einer Weise eng ausgelegt, die tatsächlich dazu führt, dass Datenschutz gesellschaftlich und sozial adäquate Verarbeitungen nur sehr schwer zu rechtfertigen sind.

Gerade für Religionsgemeinschaften (aber auch für Gewerkschaften, politische Parteien und Vereine wie z. B. Selbsthilfegruppen und Interessensvertretungen queerer Menschen) wäre es ohne eine Auslegung mit Augenmaß und mit allzu striktem Verständnis von Erforderlichkeit sehr schwer, ihre organisationalen Zwecke zu verwirklichen – Datenschutzrecht wäre dann tatsächlich Verhinderungsrecht, wenn die Vereinigungsfreiheit durch einen allzu strengen Schutz der Daten derer, die sich aus genau den besonders geschützten Gründen vereinigen, beeinträchtigt würde.

Die Entscheidung des finnischen Obersten Verwaltungsgerichts ist daher sehr zu begrüßen und sollte Schule machen – auch bei kirchlichen Aufsichten, die gerne hohe Maßstäbe an die Erforderlichkeit setzen.

(Eine weitere Besprechung des Urteils, die die juristischen Argumente noch stärker würdigt, findet sich bei PPC-Land von Luis Rijo.)