Fast drei Jahre nach Inkrafttreten liegt endlich der erste Kommentar zum Gesetz über den kirchlichen Datenschutz (KDG) vor: »Kirchliches Datenschutzrecht. Datenschutzbestimmungen der katholischen Kirche«^{(Affiliate Link)}, herausgegeben von dem Münsteraner Professor für Europäisches Verwaltungsrecht Gernot Sydow, der zugleich Vorsitzender Richter des Datenschutzgerichts der Deutschen Bischofskonferenz ist.

Auch wenn der Kommentar nur die Differenzen zur DSGVO erläutern will (schließlich sind die beiden Gesetze in großen Teilen identisch), kommt er auf fast 600 Seiten. Dass es eine erste Auflage ist, merkt man an einigen Stellen. Eine Pflichtanschaffung für alle mit dem katholischen Datenschutzrecht Befasste ist er trotzdem: Neben dem KDG wird auch dessen Durchführungsverordnung ausführlich sowie die Kirchliche Datenschutzgerichtsordnung (KDSGO) und das Datenschutzrecht der Orden (KDR-OG) zumindest überblicksweise behandelt; das erst im Herbst 2020 verabschiedete Gesetz über das Verwaltungsverfahren im kirchlichen Datenschutz (KDS-VwVfG) ist noch nicht berücksichtigt.

Grundsätzlich religionsfreiheitsfreundlich

Keine Überraschung: Wie schon im DSGVO-Kommentar von Sydow^{(Affiliate Link)} vertreten die Autor*innen durchweg eine religionsfreiheitsfreundliche Auslegung von Art. 91 DSGVO, der eigenes kirchliches Datenschutzrecht ermöglicht. Dem Wortlaut nach ist der Artikel eine Bestandsschutzregel, was einige Kommentatorinnen und die Datenschutzkonferenz offensiv vertreten; das wirft Probleme der Gleichbehandlung der unterschiedlichen Religionsgemeinschaften auf. Sydow findet diese angeblich herrschende, aber doch primär in deutschsprachiger Literatur geäußerte Meinung (auch mit Verweis auf die Gesetzgebung in anderen EU-Mitgliedsstaaten) nicht überzeugend. Auch die Kommentierung der Präambel durch den Kirchenrechtler Ulrich Rhode äußert deutliche Zweifel: »Die in Art. 91 Abs. 1 DS‑GVO formulierte zeitliche Bedingung ist […] als missglückt anzusehen. Sie steht im Widerspruch zum Primärrecht der EU und ist nicht anwendbar.«

Sydow wirft nun zusätzlich zur Frage, ob ein bloßer Bestandschutz plausibel sei, ein interessantes neues Argument in den Ring: »Für nicht wenige kirchliche Datenverarbeitungen ist indes nicht ersichtlich, woraus sich ein Bezug zum Anwendungsbereich des Unionsrechts und damit die grundsätzliche Normierungskompetenz der EU ergeben sollten«, heißt es dort – mit der Pointe, dass Art. 91 DSGVO nur dort greift, wo Europarecht greift. Ein Beispiel wird genannt: »Die Führung der Kirchenbücher (Taufbuch etc) verzeichnet kirchliche Amtshandlungen und hat somit zweifellos zwar einen Bezug zu personenbezogenen Daten, nicht aber einen Bezug zum Unionsrecht, was grundlegende Voraussetzung einer EU-Kompetenz für entsprechende Datenschutzregelungen wäre.«

Dieses Argument sollten insbesondere die kleineren Religionsgemeinschaften mit eigenem Datenschutzrecht, bei denen verschiedene staatliche Aufsichtsbehörden gerade dessen Geltung anzweifeln, aufmerksam zur Kenntnis nehmen. (Allerdings wirft es auch neue Fragen auf: Was gilt dann in Religionsgemeinschaften ohne Eigenrecht, wenn die DSGVO nicht anwendbar ist – und führte das nicht auch im säkularen Bereich zu Problemen, wenn Bereiche ohne EU-Zuständigkeit nicht von der DSGVO erfasst werden könnten?)

Das KDG in der Kritik

Regelmäßig scheint bei fast allen Bearbeiter*innen deutliche Kritik am kirchlichen Gesetzgeber durch, etwa wenn Rhode darauf hinweist, dass in der Präambel nicht klar wird, warum sich die Kirche überhaupt ein eigenes Datenschutzrecht geben sollte, oder Sydow zu § 1 KDG feststellt, dass die dortige Zielbestimmung der »Ermöglichung eines freien Datenverkehrs« »nichts Weiteres als […] eine unreflektierte Übernahme aus Art. 1 III DS-GVO« sei. Maike Herrlein kritisiert das umfängliche Abschreiben der Begriffsdefinitionen, Johanna Werpers und Pia Marie Siebert eine »unglückliche« Systematik« bei den Rechtsgrundlagen. Matthias Ullrich stellt die Frage, ob eine Herausnahme der Zugehörigkeit zu einer Religionsgemeinschaft aus den besonderen Kategorien sinnvoll und nötig ist – von Seiten der Gesetzgeber hört man oft, dass das eines der Beispiele sei, wegen derer man ein eigenes Datenschutzrecht benötigt. Einige Beiträge haben explizit einen Abschnitt »Kritik«, einmal wird ausführlicher auf redaktionelle Fehler eingegangen.

Diese kritischen Anmerkungen dürften einen sehr hilfreichen Beitrag zur anstehenden Evaluierung des KDG leisten – angesichts der Fülle der Kritik stellen sich aber auch Fragen nach der Qualität der Gesetzgebung in dem Verfahren, das die Bischöfe weitgehend unter sich und unter dem Ausschluss der Öffentlichkeit ausmachten. Interessant wird es, einen hoffentlich irgendwann erscheinenden Kommentar zum evangelischen DSG-EKD daneben zu legen: Ob eine öffentliche synodale Beratung die Qualität der Gesetzgebung erhöht?

Systematik

Im klassischen Kommentarformat werden die einzelnen Paragraphen erläutert; die Literaturangaben wirken durchweg aktuell (teilweise bis in den Sommer 2020), relevant und aufs nötige komprimiert; auch Schrems II ist schon an den relevanten Stellen berücksichtigt. Gelegentlich hätte man sich über die Hinweise im Kopf der einzelnen Abschnitte auf verwandte Normen etwas mehr Querverweise zwischen den Abschnitten gewünscht; das wird eher uneinheitlich gehandhabt. Durchweg gelungen sind die Hinweise auf Vorgängerregeln in der KDO und parallele Regeln in DSGVO und BDSG.

Der Anspruch, nur das zu kommentieren, was im KDG von der DSGVO abweicht, wird sehr unterschiedlich durchgehalten – bei den Begriffsbestimmungen wird trotz der kritisierten Übernahme aus der DSGVO alles kommentiert, bei einigen anderen Paragraphen wird lediglich festgestellt, dass die Kommentierung des weltlichen Pendants übernommen werden kann. Manchmal schießt dieser Anspruch auch übers Ziel hinaus: Ein besonders ärgerliches Versäumnis ist, dass über die Rechtsgrundlagen aus § 6 Abs. 1 KDG quasi komplett hinweggegangen wird mit dem Hinweis, dass »[a]bgesehen von einer Anpassung an kirchliche Umstände« § 6 Abs. 1 lit. c) bis f) wortgleich der DSGVO entsprächen und somit entsprechend auszulegen seien. (Das ist besonders unverständlich, weil die Rechtsgrundlagen für die Verarbeitung besonderer Kategorien trotz ähnlicher Parallelen ausführlich kommentiert werden.)

»Kirchliches Interesse« fehlt

Die behauptete Übereinstimmung trifft für die meisten zu, aber gerade nicht für lit f), »kirchliches Interesse«. Angesichts der Grundrechtsfähigkeit auch öffentlich-rechtlicher kirchlicher Einrichtungen kann hier nicht einfach die Kommentierung zum öffentlichen Interesse übernommen werden, die wohl zu eng wäre. Zugleich besteht die Gefahr, ohne die Zügelung des öffentlichen Interesses durch die Gesetzmäßigkeit der Verwaltung eine viel zu beliebige offene Anwendung dieser Rechtsgrundlage zu ermöglichen; zudem ist weiterhin unklar, wann sich öffentlich-rechtlich verfasste Einrichtungen nicht auf berechtigtes Interesse berufen können und wie die Wechselwirkungen der beiden Rechtsgrundlagen sind. (Eine Erklärung könnte von Philipp Reimer im von Sydow herausgegebenen DSGVO-Kommentar liegen: dort wird auch eine nicht-staatliche Stelle ohne explizit übertragene Aufgabe als möglicher Normadressat gesehen, während beispielsweise Plath in seinem Kommentar^{(Affiliate Link)} die Aufgabenübertragung als nötig ansieht und damit öffentliches Interesse immer im staatliche Bereich verortet.)

Immerhin äußert Ullrich in seiner Kommentierung von § 11 eine Position zum öffentlichen Interesse: In Analogie zum öffentlichen Interesse soll kirchliches dann greifen, »wenn ein Interesse der gesamten oder zumindest eines erheblichen Teils der Kirchenmitglieder betroffen ist«; später wird das kirchliche Interesse in § 41 Abs. 4 KDG als »im Universal- oder Partikularkirchenrecht anerkanntes Interesse« gefasst.

Doppelungen

Gelegentlich kommt es auch zu Doppelungen in unterschiedlichen Abschnitten, was manchmal lesenswert ist – insbesondere zu Art. 91 DSGVO und seiner Kritik (Sydow/Rhode/Hammer) –, an anderer Stelle aber eher kurios wirkt: Martin Fuhrmann baut in seiner Kommentierung zu § 52 KDG zur Videoüberwachung einen Exkurs zum Medienprivileg ein, in dem er die aus der FAQ der Bischofskonferenz bekannte, sehr weitreichende Geltung vertritt, die allerdings nicht sonderlich überzeugend ist mit Blick auf die Rechtsprechung des BGH. In der eigentlichen Kommentierung von § 55 (Medienprivileg) vertritt Ullrich dann auch die wohl zutreffende gegenteilige Position, dass »Mitarbeiter-, Vereins- oder Kundenzeitungen« nur dann unters Medienprivileg fallen, wenn sie über eine ›publizistische Selbstverwaltung‹ verfügen, gleichsam wie ein selbstständiges Unternehmen im Unternehmen«.

Mehr wäre manchmal mehr

Bei manchen Abweichungen hätte man sich mehr Hintergründe und Bewertungen gewünscht, etwa bei § 29 Abs. 11 KDG, der Auftragsverarbeitung auf EU-Mitglieder und solche mit Angemessenheitsbeschluss begrenzt – warum diese Einschränkung? Auf die Möglichkeit der »Selbstzertifizierung« aus § 40 Abs. 2 lit b) wird gar nicht eingegangen, obwohl der Beitrag von Alexander Golland mehrfach an anderer Stelle zitiert wird, der hier eine europarechtswidrige Regelung sieht.

Stärken: Kirchlicher Kontext und Praxisorientierung

Stark ist der Kommentar immer dann, wenn er den kirchlichen Kontext in den Blick nimmt, etwa wenn Martin Rehak in seiner Kommentierung von § 10 KDG (Offenlegung gegenüber nicht kirchlichen und nicht öffentlichen Stellen) auf die Wechselwirkungen mit der Ordnung zum Umgang mit sexuellem Missbrauch eingeht oder Ullrich auf die Notwendigkeit der Verarbeitung der Daten ehemaliger Mitglieder in Matrikelbüchern.

Die von Markus Schulten kommentierten Paragraphen zum betrieblichen Datenschutzbeauftragten sind ausführlich und dürften für alle, die diese Aufgabe erfüllen oder als Verantwortliche mit der Bestellung betraut sind, eine unverzichtbare Hilfe sein. Die Abschnitte zeichnen sich zudem durch eine sorgfältige Lektüre der kirchlichen Amtsblätter aus und können so aus interessanten Praxisfällen schöpfen – etwa der Bestellung einer GmbH zum Datenschutzbeauftragten in den Bistümern Aachen und Görlitz oder einer Anweisung im Erzbistum Bamberg, Anfragen an den betrieblichen Datenschutzbeauftragten immer zuerst über den Justiziar laufen zu lassen.

Ähnliches gilt für den sehr umfangreich von Fuhrmann kommentierten § 53 zur Datenverarbeitung im Beschäftigungsverhältnis und die zum größten Teil von Steffen Pau besorgte Kommentierung der Durchführungsverordnung, die anders als beim KDG nicht durch einen DSGVO-Kommentar ersetzt werden kann. Fuhrmann geht auch sehr ausführlich mit hoher Praxisrelevanz auf § 52 KDG zur Videoüberwachung ein, etwa mit Blick auf die Überwachung von Kircheninnenräumen. Erfreulich, dass Andreas Braun bei der Datenübertragung in Drittländer auch nichtstaatliche Völkerrechtssubjekte wie den Heiligen Stuhl, den Malteserorden und das International Komitee vom Roten Kreuz mitdenkt (sie sollen analog zu Drittstaaten behandelt werden) und explizit den Fall einer Datenübertragung in den Vatikan behandelt.

(Oft von mir kritisiert wird der Ost-Diözesandatenschutzbeauftragte Ullrich, daher auch mal ein explizites Lob: Er weist zurecht darauf hin, dass der Gesetzgeber es versäumt hat, bei den besonderen Kategorien personenbezogener Daten den Begriff »rassisch« zu vermeiden.)

Beim Ehrenamt schwach aufgestellt

Empfehlenswert ist der Kommentar vor allem für professionelle Anwender*innen des KDG in kirchlichen Verwaltungen und Einrichtungen. Fragen, die sich im Umgang mit Ehrenamtlichen stellen, werden kaum angegangen – gerade weitgehend ehrenamtlich geprägte Verbandsstrukturen passen nicht recht in die Systematik des KDG, so wie auch DSGVO-Anwenderinnen aus dem zivilgesellschaftlichen Bereich Probleme haben, in DSGVO-Kommentaren Antworten auf ihre Fragen zu finden. Eine Kommentierung speziell mit Blick auf Ehrenamtlichkeit ist nach wie vor ein Desiderat.

Die eine Stelle, an der auf Ehrenamtlichkeit ausführlicher eingegangen wird, ist leider sehr fragwürdig: Die (im KDG aus systematischen Gründen nicht aufgenommene) Haushaltsausnahme wird überraschend extensiv ausgelegt. »Zumindest muss Erwägungsgrund 18 DS-GVO ernst genommen werden, dass bei fehlendem Bezug zu beruflicher oder wirtschaftlicher Tätigkeit die DS-GVO nicht gelten soll, so dass ehrenamtlich-gemeinnütziges Wirken ihr nicht unterfällt«, schreibt Felix Hammer.

Würde man sich dieser Meinung anschließen, entstünden enorm viele, enorm weitreichende datenschutzfreie Räume in der Gesellschaft; dagegen spricht die herrschende Meinung in der Kommentarliteratur, die »ausschließlich persönlich oder familiär« sehr viel enger auslegt. Nicht überzeugend ist auch Hammers Trennung zwischen Datenerhebung von »ehrenamtlich Tätige[n], die eine kirchliche Vereinigung oder Einrichtung leiten oder in ihr tätig sind« (keine KDG-Geltung) vom Erhalt von Daten »seitens eines kirchlichen Rechtsträgers« (KDG-Geltung); das verwundert insbesondere, da die Leitung (und damit datenschutzrechtliche Verantwortlichkeit) explizit genannt wird. Die Differenzierung zwischen »von der ehrenamtlichen Person erhobenen« und »von der Einrichtung zur Verfügung gestellten« Daten dürfte generell so sauber wohl selten möglich sein, da sich die Rollen regelmäßig überschneiden. Mit Blick auf das (nicht erwähnte) Zeugen-Jehovas-Urteil des EuGH, das eine Geltung des EU-Datenschutzrechts (allerdings der alten Richtlinie) schon bei dezentralen, persönlichen und handschriftlichen Aufzeichnungen eröffnet sah, kann Hammers Einschätzung nicht überzeugen und im schlimmsten Fall Ehrenamtliche zu fatalen Fehlannahmen verleiten.

Fazit

An einigen Stellen merkt man doch, dass es sich um eine erste Auflage handelt: Fehlende Querverweise, Doppelungen, die eine oder andere nicht ganz ausgegorene oder fehlende Kommentierung, Kleinigkeiten in der Zitation (mal »lit.«, mal »Buchst.«). Das sollte aber nicht von der Anschaffung abhalten – die sei allen empfohlen, die katholisches Datenschutzrecht anwenden.

Viele der Bearbeiterinnen sind als Diözesandatenschutzbeauftragte, Verantwortliche in den kirchlichen Rechtsabteilungen und Kirchenrichter alte Bekannte – der hohe Praxisbezug der Autor*innen macht sich bezahlt. Hilfreich bei einem auf einer europäische Regelung basierenden Gesetz ist der kirchliche europäische Blick: Vor allem die Beiträge des an der Gregoriana lehrenden Kanonisten Ulrich Rhode, der das Partikularrecht der Kirche anderer Länder als Deutschland im Blick hat, ordnen die sehr trockene verwaltungsrechtliche Materie gut in den kirchenrechtlichen und weltkirchlichen Kontext ein.

Für künftige Auflagen wäre neben der ausstehenden Kommentierung des VwVfG vor allem eine Berücksichtigung des ehrenamtlichen Sektors wünschenswert; neben der Kommentierung entlang der Paragraphen wäre auch eine grundsätzliche Klärung und Systematisierung immer wieder auftauchender Begriffe wie »kirchliches Interesse« nützlich, und auch die Datenschutzgerichtsordnung hätte über die (gelungene) Einführung auch eine Detailkommentierung verdient (etwa mit Blick auf die Frage nach dem Verhältnis von EuGH-Vorlagen und ausgeschlossener Normenkontrolle).

Gernot Sydow (Hg.): Kirchliches Datenschutzrecht: Datenschutzbestimmungen der katholischen Kirche, 2020, 597 Seiten, 128 Euro.^{(Affiliate Link)}