An Kommentaren zur DSGVO mangelt es nicht. Neben der DSGVO sind in Deutschland zusätzlich das BDSG und die 16 Landesdatenschutzgesetze relevant. Während das BDSG ähnlich umfangreich kommentiert ist wie die DSGVO, gibt es zum Landesrecht weniger Literatur. Für das Landesrecht in Bayern erscheint ein Loseblattwerk: Zum Wilde/Ehmann/Niese/Knoblauch ist mittlerweile die 36. Ergänzungslieferung erschienen. Aktualisiert wurde dabei auch die Kommentierung von Art. 91 DSGVO.

Herausgeber Christian Peter Wilde hat sich des Kirchenartikels angenommen – und obwohl es nicht ganz offensichtlich ist, warum es hier viel Mühe in einem Werk mit Relevanz für ein Bundesland braucht, zeigt die Kommentierung: Bei weitem nicht alles ist klar, einige interessante Rechtsfragen sind theoretisch wie praktisch offen.

Kommentierung von Art. 91 DSGVO

Die eigentliche Kommentierung von Art. 91 DSGVO leistet knapp und dabei umfassend das Nötige. (Und könnte so ein Vorbild für eine andere Loseblattsammlung zur DSGVO sein.) Die relevanten Kriterien der umfassenden Regeln, des Einklangs und der Frage nach dem Stichtag werden auf der Linie der herrschenden Meinung kommentiert. Kontrovers dürfte vor allem die klare Festlegung darauf sein, dass nur öffentlich-rechtlich verfasste Religionsgemeinschaften eigenes Datenschutzrecht schaffen können. Dabei hat der Autor zwar das BVerfG hinter sich (immer ein gutes Argument), zugleich gibt es aber durchaus privatrechtlich verfasste Religionsgemeinschaften, die eigenes Datenschutzrecht in Anspruch nehmen – bisher anscheinend unwidersprochen.

Umfassend seien Regeln dann, wenn sie das Ziel der Vollständigkeit hätten. Wilde spricht sich bei ungeplanten Regelungslücken für einen Rückgriff auf die DSGVO aus; die etwa vom württembergischen Kirchengericht vertretene Option einer europarechtskonformen Auslegung zur Lückenschließung wird nicht erwähnt. (Bei der Aktualisierung für die auf Mai 2023 datierte jüngste Ergänzungslieferung dürfte das Urteil aus dem April 2023 aber wohl nicht vorgelegen haben.)

Einklang wird so aufgefasst, dass damit Religionsgemeinschaften »auf die spezielle Situation in den Gemeinschaften eingehen«, wobei Nomenklatur, Grundsätze und Wertungen der DSGVO einzuhalten seien, ausdrücklich wird Art. 5 DSGVO genannt. Eine Position zur Frage, ob und unter welchen Bedingungen partiell Absenkungen im Schutzstandard zulässig sind, wird nicht ausdrücklich behandelt. Wilde weist den Religionsgemeinschaften aber »die gleichen Regelungs- und Gestaltungsmöglichkeiten, die auch den Mitgliedstaaten zur Verfügung stehen«, zu.

Sehr differenziert wird die Frage des Stichtags in einem eigenen Abschnitt diskutiert. Wilde spricht sich deutlich für eine Auslegung im Licht von Art. 17 AEUV aus, nach dem die EU die religionsverfassungsrechtlichen Systeme der Mitgliedstaaten nicht beeinträchtigen darf. Im deutschen Staatskirchenrecht gebe es keine Stichtagsregelungen für die Verleihung des Körperschaftsstatus oder für die Schaffung eigenen Datenschutzrechts, die EU wiederum habe keine Regelungskompetenz mit Blick auf die mitgliedsstaatlichen staatskirchenrechtlichen Systeme. Eine Stichtagsregelung würde eine problematische Ungleichbehandlung bedeuten. »Eine nicht gerechtfertigte Ungleichbehandlung wäre aber mit Art. 17 AEUV nicht vereinbar«, so Wilde. Ausgesprochen positiv hervorzuheben ist, wie transparent der Autor die Kontroverse macht: Eine Randnummer verweist umfassend auf die Literatur, die seine Position stützt, eine auf die Literatur mit der Gegenmeinung. Das Hannoveraner Urteil zur SELK wird dabei erwähnt, aber nicht weiter diskutiert. Ein Wink mit dem Zaunpfahl Richtung Niedersachsen dürfte aber die RN 17 sein: »Eine endgültige Entscheidung dieser Frage könnte nur durch den Europäischen Gerichtshof erfolgen« – in der ersten Instanz hatte das Verwaltungsgericht Vorlagefragen nicht für nötig gehalten.

Erfreulich ist der Blick über Artikelgrenzen hinaus, wenn in RN 3 etwa auf Regelungen hingewiesen wird, die speziell für religiöse Gemeinschaften einschlägig sind, namentlich Art. 9 Abs. 2 lit. d) DSGVO. Stärken entfalten Kommentierungen besonders da, wo sie nicht nur besprechen, was ist, sondern auch bemerken, was nicht ist: Hier ist es die im Vergleich zu anderen Öffnungsklauseln fehlende Notifizierungspflicht – die angesichts der unüberschaubaren Situation von kleinen und kleinsten Gemeinschaften mit eigenem Datenschutzrecht sehr sinnvoll wäre.

Überblick über die religiöse Datenschutzlandschaft in Bayern

Die Loseblattsammlung befasst sich mit dem Datenschutz in Bayern und hat den Anspruch, besonders praxisrelevant sein. Das löst die Art.-91-Kommentierung voll ein: Sie listet Religions- und Weltanschauungsgemeinschaften in Bayern mit und ohne eigenem Datenschutzrecht detailliert auf. Der Kommentator leistet, was der Gesetzgeber durch die beklagte fehlende Notifizierungspflicht nötig gemacht hat. Wilde zählt unter den öffentlich-rechtlichen Gemeinschaften in Bayern zwölf mit eigenem Datenschutzrecht, sieben ohne sowie zwei Weltanschauungsgemeinschaften, die kein eigenes Datenschutzrecht haben können.

Zu den einzelnen Gemeinschaften wird jeweils das geltende Recht benannt und die Organisation von Aufsicht und gegebenenfalls Gerichtsbarkeit skizziert. Das erfolgt mit hoher Sachkenntnis: Der Sonderfall der Ordensgemeinschaften päpstlichen Rechts wird nicht übersehen (auch wenn hier ein Verweis auf die Ordensdatenschutzaufsicht und den Rechtsweg zum IDSG und DSG-DBK fehlt).

Zuständigkeit von Aufsichten

Die Frage, welche Aufsicht für öffentlich-rechtliche Religionsgemeinschaften ohne eigene Aufsicht zuständig ist, wird selten gestellt. Mit Art. 91 DSGVO schien die umfassende Reichweite des Datenschutzrechts gesichert und damit grundsätzlich die Zuständigkeit der jeweiligen staatlichen Aufsicht. Wilde hat jedoch ein Problem identifiziert: Die Problematik des »beredten Schweigens« aus BDSG-Zeiten besteht fort. Kirchliche Körperschaften des öffentlichen Rechts sind keine öffentlichen Stellen, aber auch keine nicht-öffentlichen – und die Lücke ist da. In den Landesdatenschutzgesetzen, auch in Bayern, wird das mit der Ausnahme Mecklenburg-Vorpommerns nicht geregelt. (Den Aufsatz Wildes zu diesem Thema habe ich bereits besprochen.)

Man kann durch europarechtskonforme Auslegung die Lücke zwar füllen. In Bayern ist das Problem aber noch größer: Während in allen anderen Bundesländern nicht zu klären ist, ob für die Religionsgemeinschaften die Landesdatenschutzaufsicht wie für öffentliche oder wie für nicht-öffentliche Stellen zuständig ist, gibt es in Bayern zwei Behörden für diese Bereiche – und hier gilt es die richtige auszuwählen. Das Bayerische Datenschutzgesetz hat zwar Zuständigkeitsregeln für öffentliche und nicht-öffentliche Stellen, den Rundfunk sowie die Landeszentrale für Neue Medien, nicht aber für öffentlich-rechtlich verfasste Religionsgemeinschaften: Eine planwidrige Regelungslücke, stellt Wilde fest, die durch analoge Anwendung von Art. 15 BayDSG, der Regelung für den öffentlichen Bereich, zu füllen sei: »Denn da die öffentlich-rechtlichen Religions- und Weltanschauungsgemeinschaften öffentlich-rechtlich organisierte Institutionen sind (Art. 143 Abs. 2 und 3 BV, Art. 140 GG i. V. m. Art. 137 Abs. 5 bis 8 WRV, siehe Rn. 55) ist die Interessenslage mit den in Art. 15 BayDSG geregelten öffentlichen Stellen vergleichbar.« Damit wäre der BayLfD zuständig – und zwar mit Verweis auf die Rechtsprechung des BVerfG auch für die diesen Religionsgemeinschaften zugeordneten privatrechtlich organisierten Stellen.

Fazit

Die Kommentierung von Christian Peter Wilde ist im Kernbereich kompakt – ausführlicher braucht es auch keinen Art.-91-Kommentar für die Praxis. Der Schwerpunkt liegt einerseits auf hilfreicher Dienstleistung, die es so sonst nirgends gibt: Bei anderen Kommentierungen muss man schon froh sein, wenn auch nur erwähnt wird, dass es nicht nur KDG und DSG-EKD gibt, hier bekommt man gleich die in Bayern relevanten Kontaktadressen geliefert.

Andererseits gibt es grundsätzliche Überlegungen zu praxisrelevanten Rechtsfragen: Dass der BayLfD zuständige Aufsicht für die öffentlich-rechtlich organisierten Religions- und Weltanschauungsgemeinschaften ohne eigenes Datenschutzrecht ist, inklusive ihrer zugeordneten Einrichtungen, wird überzeugend und nachvollziehbar hergeleitet, wo anderswo nicht einmal das Problem gesehen wurde.

Bei der Durchsicht fällt auf, dass nicht der ganze Artikel am Stück aktualisiert wird, sondern auch einzelne Seiten bei Aktualisierung ausgetauscht werden. Das ist effizient und erhöht die Aktualität, so dass man damit rechnen darf, dass bald die Person des bayerischen Diözesandatenschutzbeauftragten (neu seit 1. April 2023) aktualisiert und die Ordensdatenschutzaufsicht ergänzt wird.

Wilde/Ehmann/Niese/Knoblauch: Datenschutz in Bayern. Loseblattwerk mit 36. Aktualisierung 2023, 1892 S., 220 Euro (bei Abonnement der Aktualisierungen, sonst 420 Euro).