Der letzte angekündigte Veröffentlichungstermin wurde dann gehalten: Pünktlich zu Nikolaus ist der erste Kommentar zum EKD-Datenschutzgesetz mit einigen Jahren Verspätung erschienen. Der von Ralph Wagner herausgegebene Handkommentar schließt damit mehr als fünf Jahre nach Inkrafttreten des DSG-EKD und gerade noch rechtzeitig, um in die Evaluation einzufließen, eine große Lücke in der ansonsten uferlosen Datenschutzkommentarlandschaft.
Schon allein, dass nun beide großen kirchlichen Datenschutzgesetze kommentiert sind (der KDG-Kommentar von Sydow erschien ziemlich genau vor drei Jahren), ist ein Meilenstein. Umso erfreulicher ist, dass die lange Wartezeit sich auch gelohnt hat: Der Wagner ist ein durchweg überzeugender Kommentar fast völlig ohne Kinderkrankheiten einer ersten Auflage.
Systematik
Kommentiert wird auf gut 700 Seiten ausschließlich das DSG-EKD, eine Einführung skizziert gelungen den rechtlichen Rahmen des Europarechts. Anders als das katholische Datenschutzrecht ist das evangelische deutlich monolithischer, es waren also keine Nebengesetze zu kommentieren. (Am Ende findet sich aber eine nützliche Übersicht über landeskirchliche Regelungen.) Der Kommentar ist als Vollkommentar angelegt, was angesichts der teilweise sehr eigenständigen Herangehensweise des Gesetzgebers auch sinnvoll ist; in der Regel ist es nicht erforderlich, parallel einen DSGVO-Kommentar danebenzulegen. (Der KDG-Kommentar ist als Differenzkommentar angelegt, löst diesen Anspruch aber nicht immer ein.)
Unter den Kommentator*innen sind einige bekannte Namen aus Wissenschaft, Verwaltung und Aufsicht. Neben durch herausgehobene Stellung (die Leitungen der evangelischen Aufsichten) und jahrelange Erfahrung (Gerhard Eibach und Arne Ziekow publizieren seit Jahrzehnten zu kirchlichem Datenschutz) ausgezeichneten Autoren gibt es auch Beiträge jüngerer Vertreter, die seit der großen Datenschutzreform 2018 den Diskurs wissenschaftlich prägen (Alexander Golland und Marten Gerjets).
Die einzelnen Paragraphen werden jeweils zunächst mit einem Grundlagenteil eröffnet zu Zweck und Systematik, bisheriger Rechtslage und Vergleich zu anderen Rechtsnormen. Leider uneinheitlich ist die kompakte Nennung von Parallelnormen gleich zu Beginn der jeweiligen Kommentierung, so dass keine durchgehende Synopse entsteht. Die sich an den Grundlagenteil anschließenden Kommentierungen unterscheiden sich in ihrem Aufbau je nach Paragraph und Autor*in im Detail.
Stärken und wenige Schwächen
Unkritisch ist der Kommentar nicht, häufig werden Bedenken zu Einklang, Formulierung oder Systematik geäußert, in der Regel mit kundigem Blick nicht nur auf die DSGVO, sondern auch aufs KDG. Insgesamt gibt es aber deutlich weniger eigene dezidierte Abschnitte mit Normenkritik als im KDG-Kommentar. Eher unkritisch sind dagegen manche Anmerkungen zu Befugnissen der Aufsichten: Eibach erwähnt etwa ganz selbstverständlich, dass das Grundrecht auf Unverletzlichkeit der Wohnung keine Drittwirkung entfaltet und daher die kirchliche Aufsicht auch Homeoffices als Diensträume stets betreten darf, ohne die potentielle Übergriffigkeit zu problematisieren (stattdessen empfiehlt er, auf das Betretungsrecht in Homeoffice-Dienstvereinbarungen hinzuweisen); Jacob dagegen sieht die deutliche Einschränkung des möglichen Empfängerkreises von Bußgeldern ebenso selbstverständlich als Umsetzung der Öffnungsklausel in Art. 83 Abs. 7 DSGVO, die Mitgliedstaaten erlaubt, Behörden und öffentliche Stellen von Bußgeldern auszunehmen. In der Gesamtschau dieser beiden Positionen kommt hier leider das typische Rosinenpicken zum Tragen, dass die Kirche die Vorteile ihrer staatsanalogen Struktur nutzt, ohne Wert auf Grundrechtsbindung zu legen.
Zugute halten muss man dem Kommentar, dass abwegige Positionen wie die generelle Nichtanwendbarkeit für Ehrenamtliche und die Anwendbarkeit des Presseprivilegs auf den Kernbereich der Arbeit von Pressestellen, wie sie im KDG-Kommentar zu finden waren, nicht vorkommen (die unvertretbare Position zu Ehrenamtlichen wird auch knapp und unter Verweis auf den KDG-Kommentar deutlich zurückgewiesen).
Die Nähe einiger Autor*innen zur Kirchenverwaltung sorgt für Einblicke: Etwa wenn Eibach berichtet, dass die mittlerweile aufgelöste kleine Aufsicht der Landeskirche der Pfalz zeitweise die organisatorischen Anforderungen an eine Aufsicht nicht erfüllen konnte, oder wenn er die Arbeitsweise der evangelischen Datenschutzkonferenz darlegt.
Sehr hilfreich sind die Kommentierungen, die auch Praxisbeispiele aufführen; das ist allerdings ebenfalls uneinheitlich gehandhabt. Besonders in den Abschnitten zu technischen und organisatorischen Maßnahmen bringt Tino Naumann seine Praxiserfahrung aus der sächsischen Landesdatenschutzaufsicht sehr gut ein; trotz seiner Tätigkeit in einer staatlichen Aufsichtsbehörde zeigen die aus der Mitte des kirchlichen Lebens gewählten Beispiele, dass kirchliche Besonderheiten im Blick sind. Generell sind die »praktischeren« Paragraphen zu örtlichen Beauftragten, Auftragsverarbeitung sowie technischen und organisatorischen Maßnahmen sehr gelungen, bis hin zu einer (vom BfD EKD) übernommenen Musterformulierung für AV-Verträge und Unterwerfungserklärung.
Ein ökumenisches Ärgernis des KDG-Kommentars war der Titel »Kirchliches Datenschutzrecht«, obwohl es nur um das KDG und seine Nebengesetze ging, was erst der Untertitel »Datenschutzbestimmungen der katholischen Kirche« aufgegriffen hat. Der DSG-EKD-Kommentar heißt weit treffender »EKD-Datenschutzgesetz« und wählt den analogen Untertitel. Was die Äußerlichkeiten angeht, ist der DSG-EKD-Kommentar exakt dem KDG-Kommentar angeglichen: Gleiche Größe, gleiches Design, gleicher Satzspiegel. Im Bücherregal sorgt das für Ordnung. (Nur eine ökumenische Spitze ist mir aufgefallen: Wenn Eibach ohne Beleg von katholischen Fällen berichtet, in denen aufgrund von Meldedaten gekündigt wurde; angesichts des evangelischen Arbeitsrechts, das ebenso die Kündigung wegen Kirchenaustritt kennt, fehlt hier die Selbstkritik.)
Ausgewählte Themenbereiche
Grundsätzlich kommt man auch im kirchlichen Datenschutz mit weltlicher Literatur sehr weit. Das Einklanggebot von Art. 91 DSGVO sorgt dafür, dass sich auch nach EU-Recht Geschulte schnell in den kirchlichen Datenschutzgesetzen zurecht finden. Eine eigenständige Kommentierung der kirchlichen Normen muss daher vor allem dort Stärken zeigen, wo es Abweichungen gibt.
Kirchliches Sondergut
Die Paragraphen, die sich umfassend von DSGVO- und BDSG-Pendants unterscheiden, sind durchweg ausführlich in der nötigen Tiefe kommentiert. Besonders stechen dabei die Kommentierungen von § 3, Seelsorgegeheimnis und Amtsverschwiegenheit, und § 49, Verarbeitung personenbezogener Daten bei Dienst- und Arbeitsverhältnissen, heraus. Obwohl § 3 nur aus drei Sätzen besteht und im wesentlichen normiert, dass die Spezialgesetze unberührt bleiben, führt Eibach umfassend und instruktiv ein, was diese Spezialnormen für eine datenschutzrechtliche Bedeutung haben. Die Regelungen zum Beschäftigtendatenschutz in § 49 zeichnen sich durch einiges Sondergut aus, das so nur im DSG-EKD zu finden ist. Hier wurde mit Jacob Joussen ein profunder Kenner des kirchlichen Arbeitsrechts gewonnen, der dieses Sondergut erstmals systematisch erschließt. Knapper, aber gleichsam gelungen sind die Kommentierungen der später eingefügten Aufarbeitungsnorm § 50a und der Norm zur Übertragung von Gottesdiensten und kirchlichen Veranstaltungen § 53.
Rechtsgrundlagen
So sehr § 6 DSG-EKD dem Art. 6 DSGVO zu ähneln scheint, so deutlich sind doch die Abweichungen bei dieser zentralen Regelung. Golland lässt sich von dem scheinbaren Gleichklang nicht täuschen und arbeitet die Abweichungen, ihre Konsequenzen und die Schwächen in der evangelischen Formulierung deutlich heraus. (Im KDG-Kommentar war die unzureichende Behandlung der Abweichungen eine der großen Schwächen.)
Gleich die erste Rechtsgrundlage sorgt nämlich für Probleme: Eine Verarbeitung ist im DSG-EKD (wie im KDG) auch dann zulässig, wenn »eine Rechtsvorschrift […] die Verarbeitung der personenbezogenen Daten [erlaubt oder anordnet]«. Zusammen mit dem unbedingten Vorrang von Spezialgesetzen in § 2 Abs. 6 DSG-EKD droht damit ein mögliches Unterlaufen des Datenschutzniveaus. Golland stellt fest, dass dem Wortlaut nach unklar ist, ob es Anforderungen an die genannten Rechtsvorschriften gibt und sieht eine Spannung zu den detaillierten Bedingungen, die die DSGVO in Art. 6 Abs. 2 und 3 an mitgliedsstaatliche Gesetzgebung anlegt. Als Konsequenz sieht er daher eine unionsrechtskonforme Auslegung dieser Rechtsgrundlage als geboten an, die die Maßstäbe aus der DSGVO anlegt.
Bei der Aufgabenerfüllung sieht Golland materiellrechtlich kodifizierte Aufgaben als notwendig an, bei sonstigen Aufgaben im kirchlichen Interesse das Problem der fehlenden Einschränkung und Abwägung, das besonders relevant ist, da das evangelische berechtigte Interesse nicht die Interessen des Verantwortlichen als abwägungsrelevant benennt, so dass häufig auf sonstige Aufgabenwahrnehmung zurückgegriffen werden muss, wo nach DSGVO und KDG das berechtigte Interesse herangezogen würde. Der BfD EKD hat dieses Problem in einer Zusammenschau von sonstiger Aufgabenwahrnehmung und berechtigtem Interesse gelöst; Golland zeigt sich kritisch: »Rechtsdogmatisch ist eine solche Konstruktion mangels Verweis oder unbestimmter, ausfüllungsbedürftiger Rechtsbegriffe aus dem Wortlaut der Norm nicht herzuleiten.« Dennoch neigt auch er eine Abwägung zu, allerdings begründet mit einer unionsrechtskonformen Auslegung.
Bei der Kommentierung der Rechtmäßigkeit der Zweckänderung wird das Zulässigkeitskriterium der ansonsten drohenden Gefährdung des kirchlichen Auftrags problematisiert. Theologisch informiert nähert sich Golland diesem Begriff und plädiert für eine enge Auslegung. Der kirchliche Auftrag sei erst dann gefährdet, »wenn tatsächliche Anhaltspunkte dafür vorliegen, dass durch die Nicht-Weiterverarbeitung die Erfüllung des kirchlichen Auftrags unmöglich oder in Kernbereichen – etwa der Verkündigung zur Weitergabe des Glaubens – wesentlich erschwert ist.« (Hervorhebung im Original.)
Betroffenenrechte
Bei den Betroffenenrechten gibt es im DSG-EKD erhebliche Abweichungen zugunsten der verantwortlichen Stelle im Vergleich zur DSGVO. Dass gemäß § 17 DSG-EKD Datenschutzinformationen erst auf Verlangen ausgehändigt werden müssen, steht im Zentrum der Kritik. Bei der eigentlichen Kommentierung werden hier Zweifel am Einklang geäußert. An anderer Stelle zeigt Wagner aber Sympathien für die Lösung und verweist – schlüssig – auf die Problematik, dass eine vorgängige oder parallele Information in alltäglichen Situationen wie der Annahme von Visitenkarten nicht praktikabel ist.
§ 19 zum Auskunftsrecht ist eine der Kommentierungen, die explizit einen Abschnitt zur Kritik enthalten. Gerjets kritisiert das fehlende Recht auf Kopie sowie die Ausschlussgründe der Gefährdung des kirchlichen Auftrags und der Unverhältnismäßigkeit allein ohne weitere Gründe. Hier sieht er durchaus Probleme in Hinblick auf den Einklang mit der DSGVO, vertritt aber – wie generell die Autor*innen des Kommentars – die Position, dass einzelne unzulässige Abweichungen vom DSGVO-Niveau nicht zum fehlenden Einklang insgesamt führen, sondern durch unionsrechtskonforme Auslegung zu lösen sind (und nicht etwa subsidiäre Anwendung der DSGVO oder gar vollständiges Verwerfen des DSG-EKD).
Gemeinsame Verantwortlichkeit
Ein großes Desiderat bleibt auch mit diesem Kommentar die Klärung, wie gemeinsame Verantwortlichkeit von Verantwortlichen, die unterschiedlichen Datenschutzgesetzen unterliegen, zu gestalten ist. Immerhin ist hier zumindest die Problematik in einem Satz benannt. Die knappe Anmerkung, dass die dem Wortlaut nach auf gemeinsam Verantwortliche innerhalb der DSG-EKD-Geltung abzielende Regelung aus § 29 in solchen Fällen einfach »analog« anzuwenden sei, reicht aber in der Praxis nicht aus. Dass der Wortlaut auf Verantwortliche unter dem DSG-EKD abzielt, wird nicht näher erläutert. Gemeint ist damit wohl, dass die Verwendung des im DSG-EKD legaldefinierten Begriffs der »verantwortlichen Stelle« damit auch als evangelisch-kirchliche Stelle zu verstehen ist.
Fazit
Die lange Wartezeit hat nicht dazu geführt, dass ein in Teilen veralteter Kommentar auf den Markt gekommen ist. Im Gegenteil: Der Wagner liest sich nicht wie eine erste Auflage, sondern zumeist wie eine Folgeauflage, in der Kinderkrankheiten der ersten Auflage schon ausgemerzt wurden. Mit Blick auf den rundum gelungenen Kommentar wäre es auch zu wünschen, dass er als Ansporn für eine zweite Auflage des KDG-Kommentars gelesen wird – dessen erste Auflage hatte ihre Probleme, ist im großen und ganzen aber doch ein solides und gelungenes Werk, das durch die Geschwindigkeit oft schlicht nicht auf die umfangreiche Literaturbasis zurückgreifen konnte, die nun für den Wagner ausgewertet wurde.
Der aktuelle Rechtstand (mit der Aufarbeitungsnorm § 50a und einer kleineren Änderung bei der Finanzierung der Aufsicht ist abgebildet, die erst 2023 veröffentlichten Kirchengerichtsurteile berücksichtigt. Nur an einer Stelle habe ich einen veralteten Sachstand bemerkt, wenn Jacob unter Verweis auf den KDG-Kommentar anmerkt, dass es kein katholisches Verwaltungsverfahrensgesetz gibt; das stimmte zum Zeitpunkt der Drucklegung des KDG-Kommentars 2020, aber schon in der Woche vor dem Erscheinen wurde das Gesetz über das Verwaltungsverfahren im kirchlichen Datenschutz im ersten Amtsblatt promulgiert.
An diesem DSG-EKD-Kommentar kommt niemand vorbei, der mit evangelischem Datenschutz betraut ist. Die Praxisnähe und Verständlichkeit macht ihn zu einem hilfreichen Werkzeug von örtlich Beauftragten und Verantwortlichen, der kritische und juristisch fundierte Blick auf die Vorgaben des Einklanggebots dürfte einiges für die noch nicht abgeschlossene Evaluierung vorwegnehmen.
Ralph Wagner (Hrsg.): EKD-Datenschutzgesetz. Datenschutzbestimmungen der evangelischen Kirche, Baden-Baden 2024, 753 Seiten, 119 Euro.