Das eigene Datenschutzrecht der Kirchen steht unter dem Vorbehalt, im Einklang mit dem europäischen Datenschutzrecht zu stehen. Erste Konflikte zeichnen sich schon ab: Verschiedene Datenschutzaufsichten haben Zweifel am Datenschutzrecht kleinerer Gemeinschaften, und auch bei den großen Kirchen steht nicht fest, wie der gegenüber dem Selbstverwaltungsrecht der Kirchen notorisch kritische Europäische Gerichtshof (EuGH) im Konfliktfall handeln würde. Der Münsteraner Europarechtler Gernot Sydow gibt im Interview mit Artikel 91 eine Einschätzung ab, wie es um das Verhältnis zwischen EU und kirchlichem Datenschutz steht – und macht sich für den Gleichbehandlungsgrundsatz im Religionsverfassungsrecht stark.
Frage: Professor Sydow, hat die Europäische Union überhaupt die Kompetenz, Datenschutzrecht für Religionsgemeinschaften zu regeln?
Sydow: Das gesamte europäische Datenschutzrecht setzt eine Kompetenz der EU voraus, und die gibt es immer dann, wenn es einen Binnenmarktbezug gibt. Nicht alles was die Kirchen tun, hat einen Binnenmarktbezug. Bei kirchlichen Krankenhäusern kann man das noch überlegen, bei deren Dienstleistungen könnte man noch eine europäische Gesetzgebungskompetenz herleiten. Aber das Führen von Kirchenbüchern hat mit der Kompetenz der EU gar nichts zu tun, deshalb ist sie auch nicht zuständig. Deswegen braucht die Kirche dafür auf jeden Fall eigene Regelungen.
Frage: Was heißt das für Religionsgemeinschaften ohne eigenes Datenschutzrecht? Viele christliche Freikirchen, aber auch islamische und jüdische Gemeinden haben kein eigenes Datenschutzrecht. Wenn die DSGVO für einige von deren Tätigkeiten gar nicht anwendbar ist – herrscht dann dort ein datenschutzfreier Raum?
Sydow: Das ist genau die Frage. Im einzelnen ist das umstritten, meines Erachtens ist es aber in der Tat so, dass das europäische Datenschutzrecht eine Kompetenz der Europäischen Union voraussetzt, und die haben wir nicht flächendeckend für alles, sondern nach dem Prinzip der begrenzten Einzelermächtigung nur für Teilbereiche. Alles was irgendeine wirtschaftliche Relevanz hat, unterliegt dem europäischen Datenschutzrecht, aber bei manchen Tätigkeiten von Religionsgemeinschaften ohne jede wirtschaftliche Relevanz kann ich weit und breit nicht entdecken, wie dafür der europäische Gesetzgeber zuständig sein soll. Der Europäische Gerichtshof ist relativ großzügig und sieht in sehr vielen Bereichen den Anwendungsbereich des Unionsrechts eröffnet. Das finde ich auch grundsätzlich nicht falsch. Aber »in vielen Bereichen« heißt eben nicht »flächendeckend und für alles«, das hat auch der EuGH noch nie behauptet. Das Prinzip der begrenzten Einzelermächtigung gilt.
Frage: Der EuGH hat im Bereich Datenschutz durchaus schon sehr weitreichende Zuständigkeit angenommen – in einer Entscheidung zu handschriftlichen Aufzeichnungen von Missionaren der Zeugen Jehovas in Finnland hatte er 2018 entschieden, dass hier Datenschutzrecht greifen würde. Ist es dann zu erwarten, dass der EuGH Ihrer Meinung ist, wenn es einmal zu einem Konflikt kommen sollte?
Sydow: Es ist im Moment kein Konflikt da, weil sich die Frage nicht stellt, da es den Art. 91 DSGVO gibt. Solange dieser Artikel da ist, der Religionsgemeinschaften ein eigenes Datenschutzrecht ermöglicht, und diese davon Gebrauch machen, ist kein Konflikt ersichtlich, der überhaupt zu einem Rechtsstreit führen könnte. Die Frage würde erst dann relevant, wenn Art. 91 aus der DSGVO gestrichen würde oder eine sehr restriktive Interpretation erfahren sollte, gegen die sich dann Religionsgemeinschaften wehren würden. Im Moment ist die Frage, ob der kirchliche Regelungsspielraum auf nicht vorhandener Kompetenz der EU oder auf dieser Ausnahmeklausel der DSGVO beruht, eine rein theoretische. Deswegen kann ich im Moment nicht voraussehen, wie es da überhaupt zu einem europäischen Gerichtsverfahren und zu einer Entscheidung des EuGH kommen sollte, weil die praktische Relevanz der Frage jedenfalls gegenwärtig weitgehend entspannt ist.
Frage: Der realistische Weg zum EuGH wäre momentan wohl das Vorgehen von staatlichen Datenschutzaufsichten, die bezweifeln, dass Religionsgemeinschaften zurecht ein eigenes Datenschutzrecht anwenden. Das passiert gerade beispielsweise in Niedersachsen und Nordrhein-Westfalen, gegenüber der Selbständig Evangelisch-Lutherischen und der Alt-Katholischen Kirche.
Sydow: Dieser Weg müsste prinzipiell möglich sein. Wenn es eine Verfügung einer staatlichen Datenschutzaufsicht gegen eine dieser kleineren Religionsgemeinschaft gibt, die Religionsgemeinschaft diese aber für unzulässig hält, weil die staatliche Datenschutzaufsicht gar keine Kompetenz habe, dann stellt sich die Frage nach der Reichweite des Art. 91 DSGVO. Und das könnte dann gegebenenfalls über ein Vorlageverfahren zum EuGH kommen.
Frage: Bei der ersten Evaluierungsrunde der DSGVO wurden keine Änderungswünsche am Art. 91 geäußert, der den Datenschutz der Kirchen betrifft. Sehen Sie dort Änderungsbedarf?
Sydow: Meines Erachtens hat er jetzt eine vernünftige Auslegung gefunden. Es gibt auch einen breiten Konsens darüber, dass er insgesamt eine breite Bereichsausnahme für Religionsgemeinschaften ist. Nur so kann er gemeint gewesen sein. Die Gegenposition, die ihn für eine Norm hält, die sich nur auf schon bestehende Regelungen bezieht und damit eine Versteinerung der Situation bei Inkrafttreten der DSGVO, hat sich nicht durchgesetzt. Das kann auch nicht vernünftig sein, weil es die Parität zwischen Religionsgemeinschaften, die solche Regelungen hatten, und anderen nicht herstellt. Mit dieser Auslegung ist Art. 91 DSGVO meiner Meinung nach vernünftig und braucht keine Überarbeitung. Man kann sich fragen, ob man den Wortlaut klarziehen sollte. Aber eine Norm, die etabliert ist und deren Interpretation klar zu sein scheint, muss man nicht in einem Gesetzgebungsverfahren überarbeiten.
Frage: Nun teilt diese Interpretation aber gerade die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder nicht. Die macht sehr deutlich, dass sie die Parität zwischen den Religionsgemeinschaften nicht für wichtig hält und nur den Kirchen, die schon früher ein Datenschutzrecht hatten, das auch jetzt noch zugestehen will.
Sydow: Wir haben aber nun einmal ein grundlegendes Prinzip der Parität der Religionsgemeinschaften. Der Gleichbehandlungsgrundsatz prägt das gesamte Religionsverfassungsrecht, und natürlich ist es so, dass die alten, etablierten Religionsgemeinschaften, die groß und administrativ stark sind, früher Datenschutzrecht hatten als kleinere. Aber wenn man die Position der Datenschutzkonferenz durchhalten würde, würde man das Fundamentalprinzip der staatlichen Rechtsordnung aufgeben, dass Religionsgemeinschaften untereinander gleich zu behandeln sind. Das würde faktisch Privilegien für die großen christlichen Kirchen schaffen – und das kann im 21. Jahrhundert keine sinnvolle Position sein. Die staatliche Praxis läuft in allen anderen Fällen sinnvollerweise darauf hinaus, nicht die schon immer ansässigen großen Religionsgemeinschaften zu privilegieren, sondern alle gleich zu behandeln.
Frage: In unserer deutschen Tradition des Bundesverfassungsgerichts klingt das sehr plausibel. Der EuGH ist aber nicht unbedingt für eine besonders große Sensibilität für Religionsfreiheit bekannt. Glauben Sie, dass der EuGH im Zweifelsfall für die Religionsfreiheit entscheiden würde, gegen den Wortlaut der DSGVO?
Sydow: Der EuGH hat lange Zeit eine sehr dezidiert integrationsfreundliche Rechtsprechung gehabt, die im Zweifel immer zugunsten europäischer Kompetenzen war. Vor einigen Jahren ist er aber durchaus zu einer Modifikation dieser Grundposition bereit gewesen, indem er seine Rolle als Garant von Grundrechten stärker wahrnimmt. Seine Rechtsprechung zu Fragen des Religionsrechts ist nach wie vor sehr dünn, und auch notwendig dünn, weil es über weite Strecken keine EU-Kompetenzen und deshalb keine Verfahren gibt. Mir scheint dabei noch keine eindeutige Linie erkennbar zu sein, die man in die Zukunft fortschreiben könnte. Da etwas vorhersagen zu wollen wäre Kaffeesatzleserei.