Bereits im vergangenen Jahr hat Marten Gerjets seine Dissertation zum Datenschutzgesetz der EKD vorgelegt. In »Europäischer und kirchlicher Datenschutz« geht er der Frage nach, was Art. 91 DSGVO mit seiner Forderung nach »Einklang« der kirchlichen Datenschutzgesetze meint und ob der Einklang beim DSG-EKD gegeben ist.
Die Dissertation ist die erste systematische Analyse des DSG-EKD und der bisher wohl beste Ansatz, die schwammigen und wenig gelungenen Kriterien des Art. 91 DSGVO operationalisierbar zu machen, und ergänzt so das katholische Pendant, das Michaela Hermes zuvor zum KDG vorgelegt hat.
In der aktuellen Ausgabe des Datenschutz-Beraters habe ich mir die Novelle des DSG-EKD angeschaut: »Näher an der DSGVO und spezifischer kirchlich« habe ich den Beitrag programmatisch überschrieben.
Das Forum habe ich genutzt, um am Ende noch einen Schwenk auf das laufende katholische Reformprojekt zu nehmen und meine bekannte Kritik noch einmal einer größeren Fachöffentlichkeit vorzutragen: Ich finde es sehr bedauerlich, dass die Chance verpasst wurde, die großen kirchlichen Datenschutzgesetze stärker einander anzunähern und ökumenische Verarbeitungssituationen zu regeln. Am Ende des Beitrags heißt es daher:
2025 hat das Potential, das Jahr der Reformen zu werden: Gesetzt ist das DSG-EKD – das tritt novelliert in Kraft. Aber auch das neue KDG könnte beschlossen werden ebenso wie eine Reihe weiterer katholischer Großgesetzgebungsverfahren. All das kann sich verzögern. Die Wahrscheinlichkeit, dass dieses Jahr das Jahr der Novellen wird, ist aber deutlich größer als die Hoffnung auf ein Jahr der Entscheidungen von verschiedenen Verwaltungsgerichten und des EuGH – da geht’s eher um gut abgehangene Dauerbrenner, die auf ihren Tag vor Gericht warten.
Die kirchlichen Datenschutzgerichte sprechen wie die meisten Gerichte primär durch ihre Entscheidungen. Erfreulich viele davon sind veröffentlicht, obwohl die KDSGO das nicht ausdrücklich vorsieht, so dass hier auch immer wieder die Rechtsprechung diskutiert werden kann. Über die operative Arbeitsweise und das Selbstverständnis des Gerichts geben Entscheidungen nur wenig Auskunft. Umso wertvoller ist es, wenn sich doch einmal Richter*innen äußern.
Die KDSGO regelt die kirchliche Datenschutzgerichtsbarkeit.
Dem Däubler/Wedde/Weichert/Sommer gelingt ein Wunder: Ein Kommentar, der in einer Folgeauflage abnimmt. Ein Fingerbreit schmaler als die Vorauflage ist die neu erschienene 3. Auflage des Datenschutzkommentars mit Beschäftigtendatenschutz-Schwerpunkt. Der Eindruck täuscht: Nach Seiten ist die Neuauflage um etwas mehr als 100 gewachsen. Es ist also nur dünneres Papier.
Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, 3. Auflage 2023, rund 1500 Seiten, 129 Euro.
Die Gewerkschaftsnähe zeigt sich nicht nur in der umfangreichen Berücksichtigung von Fragen aus dem Beschäftigtendatenschutz. Auch die Kommentierung des Kirchenartikels in dem im gewerkschaftseigenen Bund-Verlag erschienenen Werk ist sehr gewerkschaftlich-aktivistisch ausgefallen. Das steigert die Qualität nicht.
Wenn es um Digitalisierung und Kirche geht, dann sind häufig große Leuchtturmprojekte im Blick, spektakuläre Social-Media-Präsenzen – dabei fehlt es oft am einfachsten: Einer zugänglichen Webseite, auf der man erfährt, wann Gottesdienste sind, wie man die Gemeinde erreicht und wie man dort hinkommt. Das gehört zu den Beobachtungen, mit denen Philipp Greifenstein und Hanno Terbuyken die Digitalisierung von Gemeinden angehen.
Philipp Greifenstein und Hanno Terbuyken: Vernetzt und zugewandt – digitale Gemeinde gestalten: Ein Praxishandbuch, Verlag Neukirchener 2024, 208 Seiten, 24 Euro.
Mit »Vernetzt und zugewandt – digitale Gemeinde gestalten« haben die beiden, so der Untertitel, ein Praxishandbuch vorgelegt. Und dieser Untertitel wird eingelöst: Knapp und einladend, dabei erfahrungsgesättigt und praktisch hilft das Buch dabei, Gemeinden in der Digitalität zu gestalten.
Der Kühling/Buchner ist unter den vielen DSGVO-Kommentaren sicher einer der bedeutenderen. Zum erklärten Konzept gehört, nicht nur das Recht zu erklären, sondern die rechtliche Diskussion sehr frühzeitig mitzuprägen, heißt es im Vorwort zur nun erschienenen vierten Auflage. Dazu wurden dieses Mal vor allem die Auswirkungen des TTDSG berücksichtigt, ohne es in Gänze zu kommentieren. (Eine Tabelle mit Fundstellen zeigt aber, dass 20 von 30 Paragraphen im Rahmen der DSGVO-Kommentierung schwerpunktmäßig kommentiert wurden.)
Art. 91 DSGVO wird wie in der Vorauflage von Achim Herbst auf gut zehn Seiten bearbeitet: Mit aktueller Literatur, ernsthafter Diskussion anderer Ansichten – aber im Ergebnis immer mit dem Blick auf europarechtliche Harmonisierung.
Grundsätzliche Überlegungen
In der grundsätzlichen Frage, was Art. 91 DSGVO denn nun rechtssystematisch ist, entscheidet sich Herbst für den Begriff der gestuften Öffnungsklausel, die sich an die Mitgliedsstaaten richtet und das auch muss: Schließlich hat die EU keine Kompetenz auf dem Gebiet der Religionspolitik und dürfte daher Religionsgesellschaften gar nicht als Adressaten angehen. Gestuft ist die Öffnungsklausel deshalb, weil sie Mitgliedsstaaten ermöglicht, im Rahmen ihres Religionsverfassungsrechts Religionsgemeinschaften Spielräume im Rahmen des Europarechts zu eröffnen oder nicht, inklusive Abwägungen zur Gleichbehandlung: Auch wenn die DSGVO darauf verzichte, wie im deutschen Recht öffentlich-rechtlich organisierte Religionen von in privatrechtlichen Körperschaften verfassten zu unterscheiden, hält der Autor eine solche Differenzierung, an die verschiedene Grade der Selbstverwaltung geknüpft sind, für zulässig.
Begrifflich entscheidet sich Herbst für die Formulierung des Grundgesetzes als Oberbegriff: Religionsgesellschaften. Die Aufzählung im Verordnungstext (»Kirche oder religiöse Vereinigung oder Gemeinschaft«) erläutert er als Oberbegriff für korporativ-institutionelle Organisationen mit religiösem Proprium. Darunter subsumiert er ausdrücklich auch Ordensgemeinschaften – das ist angesichts der Orden päpstlichen Rechts, die sich in Deutschland eigenes Datenschutzrecht geben, eine wichtige Bestätigung der tatsächlichen Handhabung.
Bedingungen für religiöses Datenschutzrecht
Das Kriterium umfassender Datenschutzregelungen fasst Herbst über den Anspruch der Vollständigkeit. Kirchliche Regelungen sollen »nicht durch staatliche Regelungen ergänzt werden müssen«. Als Beispiele werden nur das römisch-katholische und das landeskirchliche Datenschutzrecht genannt, keine weiteren. Angesichts der bewusst als Beispiel gekennzeichneten Aufzählung ist das verschmerzbar.
Beim Zeitpunkt des Inkrafttretens setzt Herbst auf den Wortlaut und lässt sich auch nicht darauf ein, hier die Argumente für eine primärrechtskonforme Auslegung zu übernehmen, die in einer Stichtagsregelung Probleme mit dem Gleichbehandlungsgrundsatz und Spannungen zu Art. 17 AEUV sehen. Andere Ansichten werden angeführt und kritisch betrachtet: »Allerdings sollte dabei bedacht werden, dass ein besonderes religionsgesellschaftliches Interesse an datenschutzrechtlichen Regelungen, die von der DS-GVO abweichen, außerhalb des Bereichs der in Art. 91 Abs. 2 eigens geregelten Aufsicht […] nur schwer erkennbar ist; das wird auch deutlich an dem Umstand, dass die beiden großen Kirchen die Neufassungen ihres Datenschutzrechts in enger Parallelität zur DS-GVO gestaltet haben […]. Der Beitrag des Art. 91 Abs. 1 zur Verwirklichung der Ziele des Art. 17 Abs. 1 AEUV scheint daher ohnehin nicht bedeutend zu sein.« Die große Parallelität trifft zu und ist keineswegs notwendiger Ausfluss aus dem Einklanggebot – ein Blick etwa auf das italienische Datenschutzdekret zeigt eine Umsetzung, bei der es durch die Regulierung spezifischer kirchlicher Verarbeitungssituationen deutlich plausibler scheint, dass hier eine tatsächliche Regelungsnotwendigkeit vorliegt.
Das Gebot, kirchliche Regelungen in Einklang mit der DSGVO zu bringen, ist hinsichtlich der gefordeten Zeitläufte nicht eindeutig formuliert, stellt Herbst zurecht fest: Wann dieser Einklang herzustellen ist, geht aus dem Wortlaut nicht hervor. Das führt gelegentlich zu dem Missverständnis, dass die großen Kirchen in Deutschland am Gebot der Einklangherstellung gescheitert seien, weil sie den Einklang erst mit einem Inkrafttreten am Vortag des Wirksamwerdens der DSGVO hergestellt haben. Herbst macht aber deutlich, dass das Vorgehen der Kirchen zulässig war. Er legt die Vorschrift so aus, dass religiöses Datenschutzrecht bis zum Zeitpunkt des Wirksamwerdens der DSGVO in Einklang gebracht werden musste und begründet das mit dem Schutz- und Harmonisierungszweck der DSGVO. Originell ist die von ihm gesehene Konsequenz bei fehlendem Einklang zum Wirksamwerden: Dann wird das religiöse Recht nicht dauerhaft hinfällig, sondern wird nur solange durch die DSGVO ersetzt, bis es in Einklang gebracht wurde. Setzte sich diese Auslegung auch durch, könnten die Kirchen einer möglichen Feststellung fehlenden Einklangs deutlich gelassener entgegensehen. (Auch wenn niemand den Einklang von KDG und DSG-EKD überprüfen zu wollen scheint: Kleinere Gemeinschaften haben diese Regelwerke größtenteils unverändert übernommen, und kleinere Gemeinschaften und ihre Datenschutzregelungen sind durchaus umstritten – hier könnte über Bande eine Feststellung fehlenden Einklangs von KDG oder DSG-EKD drohen, wenn ein Gericht den Einklang etwa von alt-katholischer KDO oder freikirchlicher DSO überprüft.)
Materiell sieht Herbst keinen Spielraum für die Kirchen beim Einklang; das einzige Zugeständnis ist, dass keine wörtliche Übereinstimmung verlangt wird. Begründet wird das nachvollziehbar über die Öffnungsklausel für Medien aus Art. 85 DSGVO, wo explizit Abweichungsoptionen eröffnet werden. Angesichts dieser Position wird aber das vorher angeführte Argument etwas zirkulär, dass man bei den Kirchen kein Selbstverwaltungsinteresse im Datenschutzrecht feststellen kann, weil sie ihre Regelungen weitgehend parallel formuliert haben – als hätten sie nach dieser Position eine echte Wahl, wenn es nicht nur darum gehen soll, l’art pour l’art umzuformulieren und umzustellen.
Aufsicht
Für Herbst ist die eigene Datenschutzaufsicht deutlich plausibler als eigenes Datenschutzrecht: »Die Ausgestaltung dieser Aufsicht ist von besonderer Bedeutung für die Eigenständigkeit der Religionsgesellschaften gegenüber dem Staat; insbesondere die Ausübung der Befugnisse der Aufsichtsbehörde aus Art. 58 Abs. 1 lit. e und f, also der – ggf. erzwungene – Zugang zu personenbezogen Daten und zu Geschäftsräumen und Datenverarbeitungsanlage kann als staatlicher Eingriff in die internen Angelegenheiten einer Religionsgesellschaft erscheinen.« Der Autor unterscheidet die gewählte Lösung einer spezifischen Aufsicht von der in Art. 90 DSGVO normierten Begrenzung der Aufsichtskompetenzen im Fall von Berufsgeheimnisträgern. Diese Argumentation aus einem Vergleich mit anderen Regelungen der DSGVO heraus ist eine große Stärke dieser Kommentierung und nimmt den Gesetzgeber als systematisch ernst (aber möglicherweise ernster, als der chaotische EU-Gesetzgebungsprozess rechtfertigt).
Die Begründung für spezifische Aufsichten überzeugt. Nicht problematisiert wird aber die logische Folgefrage: Warum sollten nur Religionsgemeinschaften mit eigenem Datenschutzrecht dieses Bedürfnis eines besonderen Schutz des internenen Bereichs vor staatlichen Aufsichtsbehörden haben? Systematisch wäre es sinnvoller, hätte sich der Gesetzgeber dazu entschieden, Religionsgemeinschaften generell eine spezifische Aufsicht zuzugestehen, ohne die Erfordernisse eines eigenen Rechts. Hat er aber nicht.
Bei den Umsetzungen von KDG und DSG-EKD von Abs. 2 geht Herbst davon aus, dass die kirchlichen Aufsichten die Anforderungen erfüllen; wo es Zweifel gibt, ob die kirchlichen Regelungen hinter staatliche zurückfallen, könne sie eine europarechtskonforme Auslegung ausräumen. Ausdrücklich weist er die von Seifert geäußerte (und hier bereits kritisierte) Kritik an den kirchlichen Aufsichten als »nicht ganz nachvollziehbar« zurück.
DSGVO und nationales Recht
Eine weitere besondere Stärke ist der Blick auf nationales Recht und die Auswirkungen der DSGVO-Norm. So vertritt Herbst etwa die Position, dass das Kriterium des Umfassenden nach nationalem Recht zu klären ist. Alte Fragen nach »beredtem Schweigen« und danach, welche Religionsgemeinschaften für welche ihrer Tätigkeiten und Körperschaften eigenes Recht anwenden können, bleiben relevant: »So mag etwa eine privatrechtlich organisierte Religionsgesellschaft zwar über ausführliche eigene Datenschutzregeln verfügen (etwa in einer Vereinssatzung) – soweit man den Standpunkt vertritt, dass das BDSG aF für diese Religionsgesellschaft uneingeschränkt galt, kommt man zu dem Schluss, dass diese eigenen Regeln nicht ›umfassend‹ iSd Art. 91 Abs. 1 waren, weil sie das staatliche Datenschutzrecht eben nicht ersetzten, und dass daher nun auch die DS-GVO uneingeschränkt für diese Religionsgesellschaft gilt.« Art. 91 gestattet Religionsgesellschaften nur dann ein Sonderregime, wenn sie zuvor eines hatten. »Ein solches Sonderregime liegt aber nicht schon immer dann vor, wenn eine Religionsgesellschaft über eigene Regeln verfügt, sondern erst dann, wenn diese eigenen Regeln auch vom Staat in der Weise anerkannt werden, dass er sein eigenes Datenschutzrecht gegenüber der Religionsgesellschaft zurücknimmt.« Dass das im BDSG immer noch nicht klar geregelt ist, thematisieren Manuel Klar und Jürgen Kühling in ihrer Kommentierung von § 2 BDSG zur Frage nach der Einordnung öffentlich-rechtlich verfasster Religionsgemeinschaften; sie plädieren für eine Behandlung analog zu nicht-öffentlichen Stellen, wenn kein eigenes Datenschutzrecht vorliegt.
Knapp wird zum Schluss darauf hingewiesen, dass eine Beteiligung der spezifischen Aufsichten am Willensbildungsprozess der staatlichen Aufsichten unter bestimmten Bedingungen in § 18 Abs. 1 S. 4 BDSG geregelt ist. (Die Grenzen und Probleme dieser Regelung werden bei der BDSG-Kommentierung durch Alexander Dix gut dargestellt.)
Fazit
Den Anspruch, die Debatte auf der Höhe der Zeit mitzugestalten, löst die neue Auflage des Kühling/Buchner ein; bis wenige Monate vor Erscheinen wurde die Literatur ausgewertet (für die Art.-91-Kommentierung etwa die Ende 2022 erschienene Dissertation von Michaela Hermes). Herbst kommentiert den Kirchenartikel durchweg nachvollziehbar und argumentativ überzeugend. Die Grundausrichtung legt einen größeren Wert auf den Harmonisierungszweck der DSGVO als auf eine Auslotung möglichst großer Spielräume für Religionsgemeinschaften. (Auch das lässt sich sehr plausibel europarechtlich mit Blick auf Art. 17 AEUV vertreten, wie Ansgar Hense regelmäßig zeigt.) Gleichzeitig zeigen sich Probleme bei einer Betonung der Harmonisierung: Vor allem die gleichzeitige Kritikk an zu großer Parallelität bei gleichzeitigem Konstatieren ohnehin nicht vorhandenen Spielraums sind ein Sympton dafür. Die umfassende Rezeption und Zitation auch religionsfreiheitsfreundlicher Literatur ermöglicht hier aber, den Blick zu weiten.
Auf dem Papier sieht gemeinsame Verantwortlichkeit sehr einfach aus: »Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche«, heißt es in Art. 26 DSGVO, die entsprechenden Normen im KDG und im DSG-EKD sind fast gleichlautend. Nur: Was passiert, wenn die gemeinsamen Verantwortlichen unterschiedlichen Gesetzen unterliegen, also etwa DSGVO und KDG oder KDG und DSG-EKD?
In der aktuellen Ausgabe des Datenschutz-Berater habe ich mich mit dieser Frage beschäftigt: »Verschiedene Gesetze, gemeinsame Verantwortlichkeit – eine ungeklärte Frage im kirchlichen Datenschutz«. Vieles muss dabei vage bleiben, solange Aufsichten und Gerichte sich dazu nicht äußern. Aber immerhin habe ich Strategien entworfen, wie man damit umgehen kann. Hier veröffentliche ich das Fazit und eine Synopse, den vollständigen Artikel gibt es im Heft.
»Eine neue Art des Zusammenlebens ist entstanden, eine neue Art sich zu informieren, eine neue Art, das Leben mit all den Herausforderungen zu meistern«, stellt Achim Blackstein gleich zu Beginn seiner »Impulse für die Praxis« fest, wie der Untertitel von »Digitale Seelsorge« lautet. Das setzt schon einmal den richtigen Horizont: Strenggenommen geht es schon lange nicht mehr um digitale Seelsorge in Abgrenzung zur »analogen« oder gar »normalen« Seelsorge, sondern um Seelsorge in der Realität der Digitalität.
Achim Blackstein: Digitale Seelsorge: Impulse für die Praxis, Vandenhoeck & Ruprecht, 1. Auflage 2023, 188 Seiten, 23 Euro.
Und trotz dieser Realität und – auch darauf weist Blackstein hin – gut 30 Jahren an Erfahrung mit digitaler Seelsorge bleiben Fragen nach Strategien und guter Praxis, zumal angesichts eines hoch dynamischen Felds der technischen und gesellschaftlichen Entwicklung. Mit »Digitale Seelsorge« legt Blackstein einen kompakten und und praxisorientierten Überblick mit umfassendem Anspruch vor. Auch Fragen des Datenschutzes werden behandelt – hier stößt der Band aber an seine Grenzen.
Der letzte angekündigte Veröffentlichungstermin wurde dann gehalten: Pünktlich zu Nikolaus ist der erste Kommentar zum EKD-Datenschutzgesetz mit einigen Jahren Verspätung erschienen. Der von Ralph Wagner herausgegebene Handkommentar schließt damit mehr als fünf Jahre nach Inkrafttreten des DSG-EKD und gerade noch rechtzeitig, um in die Evaluation einzufließen, eine große Lücke in der ansonsten uferlosen Datenschutzkommentarlandschaft.
Ralph Wagner (Hrsg.): EKD-Datenschutzgesetz. Datenschutzbestimmungen der evangelischen Kirche, Baden-Baden 2024, 753 Seiten, 119 Euro.
Schon allein, dass nun beide großen kirchlichen Datenschutzgesetze kommentiert sind (der KDG-Kommentar von Sydow erschien ziemlich genau vor drei Jahren), ist ein Meilenstein. Umso erfreulicher ist, dass die lange Wartezeit sich auch gelohnt hat: Der Wagner ist ein durchweg überzeugender Kommentar fast völlig ohne Kinderkrankheiten einer ersten Auflage.
