Die Öffnungsklausel für kirchliches Datenschutzrecht in der DSGVO scheint einigermaßen klar zu sein. Ein Blick in andere EU-Mitgliedstaaten als Deutschland zeigt, wie stark die Auslegung und Anlegung von Art. 91 DSGVO vom zuvor national geltenden Datenschutzrecht abhängt. Ein besonders deutliches Beispiel dafür ist die Kirchliche Datenschutzverordnung der Österreichischen Bischofskonferenz.
Nur zwölf Paragraphen umfasst das »Decretum Generale über den Datenschutz in der Katholischen Kirche in Österreich und ihren Einrichtungen« – ganz anders als die deutschen kirchlichen Datenschutzgesetze, die die DSGVO umfassend in kirchliches Recht übersetzen, werden hier lediglich Rahmenbedingungen gesetzt, ansonsten werden die DSGVO und das nationale Datenschutzgesetz (DSG) direkt angewendet. Die Rahmenbedingungen haben es aber in sich.
(Einen Überblick über kirchliches Datenschutzrecht in verschiedenen EU-Mitgliedstaaten gibt es in der Rechtssammlung, Artikel sind erschienen zu Italien, Österreich und Polen sowie zur Lage im Drittland Vatikanstaat.)
Systematik und Anwendungsbereich
Erfasst werden vom Decretum Generale die »Katholische Kirche in Österreich und alle ihre Einrichtungen«, allerdings nur, insofern sie eine kirchenrechtliche Rechtspersönlichkeit haben oder von einer öffentlich-rechtlich verfassten Einrichtung mit kirchenrechtlicher Rechtspersönlichkeit umfasst sind. (§ 1) Nicht erfasst werden also beispielsweise Vereine von Gläubigen, die kirchenrechtlich als »freie Zusammenschlüsse von Gläubigen« verfasst sind, während Einrichtungen in Trägerschaft einer Pfarrei oder eines Bistums (etwa Kindergärten) wohl in der Regel erfasst sein dürften.
Gemäß § 2 Abs. 1 soll das Dekret Art. 91 DSGVO umsetzen – die in der DSGVO angeführten Kriterien werden aber offensichtlich nicht alle umgesetzt: Zwar gab es schon vor Inkrafttreten der DSGVO ein Datenschutz-Dekret, das allerdings wie das aktuelle (zumindest nicht nach der herrschenden Meinung der (bundes)deutschen Kommentarlandschaft) nicht umfassend ist. Durch die weitgehende DSGVO-Anwendung herrscht der geforderte Einklang zwar weitgehend, Grundentscheidungen zum Datenschutzmanagement werfen aber doch Fragen auf.
Manche Teile der DSGVO und des DSG werden explizit übernommen, um sie auf die kirchliche Datenschutzmanagement-Struktur anzupassen: Rechte betroffener Personen (§ 5 regelt Zuständigkeiten der Stellen), Datenweitergabe innerhalb der Kirche (§ 6 – zulässig wenn zur Erfüllung des kirchlichen Auftrags erforderlich) und an nicht-kirchliche Stellen (§ 7 – unter bestimmten Bedingungen Genehmigungsvorbehalt der Datenschutzkommission), technische und organisatorische Maßnahmen (§ 10 regelt die Aufsichtspflicht des Datenschutzbeauftragten) und Bildverarbeitung (§ 11 ermächtigt die Datenschutzkommission zur näheren Regelung). Durchweg wird dabei auf den Rechtsstand des Datenschutz-Anpassungsgesetz 2018 verwiesen (in § 11 anscheinend versehentlich auf den ursprünglichen Gesetzesentwurf; der Verweis auf § 30 DSG ergibt keinen Sinn, es müsste § 12 DSG heißen).
Datenschutzmanagement
Das Dekret kennt zwei Organe des Datenschutzmanagements auf Bischofskonferenzebene: eine dreiköpfige Datenschutzkommission aus zwei von der Konferenz bestimmten und eines von den Vereinigungen der Männer- und Frauenorden bestimmten Mitgliedern (§ 3 Abs. 1), sowie einen Datenschutzbeauftragten der Katholischen Kirche in Österreich, der die Funktionen eines betrieblichen Datenschutzbeauftragten, nicht etwa einer Datenschutzaufsicht, wahrnimmt. Die Datenschutzkommission ist »zur Wahrung des Datenschutzes und zur Vertretung gegenüber den zuständigen staatlichen Behörden« eingerichtet (§ 3 Abs. 1), einzelne Normen weisen ihr konkrete Kompetenzen zu.
Die eigentliche Besonderheit des Datenschutzdekrets ist die Konstruktion der Kirche als quasi einheitlicher datenschutzrechtlicher Verantwortlicher (§ 4 Abs. 2) – das war grundsätzlich auch nach altem Recht schon so. Das kannte ein Datenverarbeitungsregister, in das meldepflichtige Datenanwendungen einzutragen waren. Die Kirche hatte sich die Sonderbestimmung ausbedungen, dass sie unter einer Datenverarbeitungsregisternummer geführt wurde und alle ihre Einrichtungen selbständig durch eine Subnummer verwaltet hat. Mit der DSGVO wurde das obsolet und das Register explizit in § 69 Abs. 2 DSG aufgehoben. Das Datenschutzdekret verweist im Präteritum (oder in der Mitvergangenheit, wie man in Österreich sagt) auf diese Regelung: »Für die Katholische Kirche in Österreich erfolgte die Registrierung im Datenverarbeitungsregister nach den Bestimmungen des Datenschutzgesetzes […]« – was eine solche Ist-Aussage über die Vergangenheit regelt oder regeln soll, ist unklar.
Auch wenn es kein Datenverarbeitungsregister mehr gibt: Die Logik ist geblieben – es wird ein einheitliches Verarbeitungsverzeichnis geführt. Und zwar zentral: »Alle kirchlichen Einrichtungen, welche Daten verarbeiten, haben diese Verarbeitung dem Datenschutzbeauftragten der Katholischen Kirche in Österreich zu melden. Die Aufnahme der Verarbeitung ist erst dann zulässig, wenn seitens der Kirchlichen Datenschutzkommission die Registernummer samt Subnummer mitgeteilt ist und die Verarbeitung im Verzeichnis von Verarbeitungstätigkeiten gemäß Art 30 DSGVO eingetragen wurde«, heißt es in § 5 Abs. 4. Hierin dürfte die größte Anfrage an die Europarechtskonformität der Datenschutzorganisation der österreichischen Kirche liegen: Es dürfte unstreitig sein, dass die Kirche nicht aus einem einheitlichen Verantwortlichen besteht, sondern aus unzähligen unterschiedlichen, die jeweils über die Zwecke und Mittel der Datenverarbeitung eigenständig entscheiden. (§ 4 Abs. 2 räumt zwar ein, dass die Kirche »und ihre Einrichtungen« öffentliche Stellen sind – das Dekret weist aber dem Dach Aufgaben zu, die eigentlich unvertretbar die verantwortliche Stelle übernehmen muss.) Konsequent durchdacht ist ein solches zentrales Verfahrensverzeichnis völlig unpraktikabel: Wenn ein Kindergarten einen E-Mail-Newsletter einführen will, wenn eine Pfarrei eine Webseite betreibt, wenn ein Bistum die Personalbuchhaltung gestaltet – all das müsste eine dreiköpfige Kommission zunächst entgegennehmen, ins Verfahrensverzeichnis eintragen und damit, um der Verantwortung gerecht zu werden, wohl auch prüfen. Auch kirchenrechtlich scheint das kaum zulässig – dazu unten mehr.
Die Partikularkirchen der Bischofskonferenz (die Bistümer, das Militärordinariat und die Territorialabtei Wettingen-Mehrerau) sowie die Superiorenkonferenz der männlichen Ordensgemeinschaften und die Vereinigung der Frauenorden ernennen je einen Bereichs-Datenschutzreferenten (§ 8 Abs. 1), die Funktionen des Datenschutzbeauftragten mit übernehmen; außerdem benennt jede Einrichtung einen Datenschutzzuständigen der Einrichtung, denen gegenüber die Bereichs-Datenschutzreferenten in ihrer Funktion weisungsbefugt sind (§ 8 Abs. 5).
Kirchenrechtliche Besonderheiten und Anfragen
Für die katholische Kirche ist die Datenschutzorganisation erstaunlich zentralistisch: Die Datenschutzreferent*innen der Partikularkirchen sind der Datenschutzkommission untergeordnet und dürfen in »grundsätzlichen Rechts- oder Sachfragen« nur mit deren Zustimmung tätig werden. Es ist nicht ersichtlich, woher die Bischofskonferenz die Kompetenz nimmt, so eine Struktur einzurichten, die auch die Handlungsfreiheit der jeweiligen Bischöfe massiv einschränkt: Für jegliche Datenverarbeitung ist die Katholische Kirche in Österreich verantwortlich. (Dass hier die Kirche eines Landes eine eigene Rechtspersönlichkeit hat, wird auf das Konkordat von 1933 gestützt; das regelt allerdings den öffentlich-rechtlichen, nicht den kirchenrechtlichen Status.) Der jeweilige Bischof ist empfindlich in der Leitung seiner Diözese beschränkt, wenn die Datenschutzkommission tatsächlich ihre Verantwortung wahrnimmt – nämlich immer dann, wenn ein datenschutzrechtlich relevantes Handeln vorliegt.
Eine Kompetenz hat die Bischofskonferenz für Datenschutzfragen nicht. Während die italienische Bischofskonferenz ein Datenschutzdekret kraft eines besondren Mandats des Heiligen Stuhls erlassen hat und die deutsche je einzelne parallele diözesane Gesetze hat, beruft sich die österreichische auf eine andere Ermächtigung: »Die Diözesanbischöfe haben dem vorliegenden Decretum Generale über den Datenschutz in der Katholischen Kirche in Österreich und ihren Einrichtungen (Kirchliche Datenschutz-verordnung) einzeln ihre Zustimmung im Sinne can. 455 § 4 CIC 1983 gegeben«, so § 12 Abs. 2 S. 3. Es ist fraglich, ob diese Norm zur Gesetzgebung genutzt werden kann – auch wenn die österreichische Kirche das seit Jahren anscheinend ohne Beanstandung so handhabt. »In den Fällen, in denen weder das allgemeine Recht noch eine besondere Anordnung des Apostolischen Stuhls der Bischofskonferenz die in § 1 genannte Vollmacht einräumt, bleibt die Zuständigkeit des einzelnen Diözesanbischofs ungeschmälert erhalten, und weder die Konferenz noch ihr Vorsitzender kann im Namen aller Bischöfe handeln, wenn nicht alle Bischöfe einzeln ihre Zustimmung gegeben haben«, ist ihr Wortlaut. Da can. 455 § 1 CIC die Beschlussfassung über allgemeine Dekrete auf Angelegenheiten beschränkt, »in denen das allgemeine Recht es vorschreibt oder eine besondere Anordnung dies bestimmt, die der Apostolische Stuhl aus eigenem Antrieb oder auf Bitten der Konferenz selbst erlassen hat«, scheint eine Gesetzgebung auf § 4 gestützt kaum vertretbar, zumal im Wortlaut »im Namen aller Bischöfe handeln« kaum Gesetzgebung anklingt. Das Datenschutzdekret legt außerdem fest (§ 12 Abs. 2 S. 1f.), dass seine »Abänderung oder Aufhebung« wiederum einen einstimmigen Beschluss gemäß can. 455 § 4 CIC erfordert – die Gesetzgebungskompetenz des einzelnen Bischofs wird also erheblich geschmälert.
Fazit
Die österreichische Kirchliche Datenschutzverordnung wirft einige Fragen auf – sowohl praktische wie grundsätzliche. Ist es praktikabel, die horizontal wie vertikal vielfach gegliederte Kirche eines ganzen Landes als einheitliche verantwortliche Stelle zu behandeln? Und ist das europarechtlich zulässig? Die DSGVO kennt jedenfalls kein solches Konzernprivileg; wenn, müsste man wohl über Art. 17 AEUV argumentieren, nach dem der religionsverfassungsrechtliche Status quo in den Mitgliedsstaaten geschützt wird. Fraglich ist auch, ob der Beschluss überhaupt ein gültiges Gesetz bewirkt hat – der Weg über can. 455 § 4 CIC wirkt doch etwas ungewöhnlich. Die Frage nach der Praktikabilität und der kirchenrechtlichen Gesetzgebungskompetenz dürften insofern akademische Überlegungen sein, als dass das Vorgängerdekret unbeanstandet nach diesem Mechanismus zustande kam, und der Mechanismus eines zentralen Verarbeitungsverzeichnisses zumindest in der Form des obsoleten Datenverarbeitungsregisters eingeübt ist. Die Frage nach der europarechtlichen Zulässigkeit ist ungeklärt.
Mit Blick auf die Konstruktion von Art. 91 DSGVO lässt sich mit Blick auf die österreichische Regelung konstatieren, dass dessen Konstruktion entgegen aller Beteuerungen doch vor allem zum deutschen System passt, in dem es bereits vor der DSGVO umfassende Datenschutzregeln gab, nicht aber zum Staatskirchenrecht anderer Länder, in denen zwar auch im Bereich des Datenschutzrechts Selbstverwaltungsrechte in Anspruch genommen wurden, aber nicht in umfassender Form.
Bisher sind keine Datenschutz-Rechtsstreitigkeiten unter Beteiligung einer österreichischen katholischen Einrichtung bekannt – angesichts der tönernen Füße, auf denen das besondere Konstrukt steht, birgt jeder Konflikt, der vor Gericht geht, eine Gefahr für das ganze System: der einheitliche Verantwortliche »Katholische Kirche in Österreich« ruft laut nach EuGH-Vorlagefrage.