Schlagwort-Archive: Art. 91 DSGVO

Krankenhausseelsorge by the book – Wochenrückblick KW 25/2024

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wochenrückblick Kirchlicher Datenschutz KW 25/2024
(Bildquelle: ali syaaban on Unsplash)
Weiterlesen

Gewerkschaftliche Religionspolitik per Kommentar – Rezension Däubler/Wedde/Weichert/Sommer 3. Auflage

Dem Däubler/Wedde/Weichert/Sommer gelingt ein Wunder: Ein Kommentar, der in einer Folgeauflage abnimmt. Ein Fingerbreit schmaler als die Vorauflage ist die neu erschienene 3. Auflage des Datenschutzkommentars mit Beschäftigtendatenschutz-Schwerpunkt. Der Eindruck täuscht: Nach Seiten ist die Neuauflage um etwas mehr als 100 gewachsen. Es ist also nur dünneres Papier.

Eine Ausgabe des Däubler/Wedde/Weichert/Sommer 3. Auflage vor einem Bücherregal
Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, 3. Auflage 2023, rund 1500 Seiten, 129 Euro.

Die Gewerkschaftsnähe zeigt sich nicht nur in der umfangreichen Berücksichtigung von Fragen aus dem Beschäftigtendatenschutz. Auch die Kommentierung des Kirchenartikels in dem im gewerkschaftseigenen Bund-Verlag erschienenen Werk ist sehr gewerkschaftlich-aktivistisch ausgefallen. Das steigert die Qualität nicht.

Weiterlesen

Einklang als Angemessenheit – ein neuer Ansatz zur Auslegung von Art. 91 DSGVO

Was bedeutet „Einklang“ bei Art. 91 Abs. 1 DSGVO? Falls es derzeit im Datenschutzrecht eine „ökumenische Frage“ gibt, die nach ihrer Bedeutung alle anderen weit überragt, dann ist es sicher diese. Sie lässt sich umformulieren in: Welchen „Spielraum“ und wieviel Freiheit haben Religionsgemeinschaften bei der Gestaltung ihres Datenschutzrechts?

Der Hauptspieltisch auf der Westempore des Passauer Doms.
(Foto: fxn)

Vorab: Die gestellte Frage ist (natürlich) nur wichtig, soweit die DSGVO überhaupt Anwendung findet. Nach der Rechtsprechung des EuGH allerdings bedeutet das praktisch keine nennenswerte Einengung: Die DSGVO ist nach Luxemburger Auffassung für Religionsgemeinschaften umfassend und flächendeckend gültig. Diese Ansicht des EuGH ist juristisch durchaus zweifelhaft.

Ein Beitrag zur Evaluierung des DSG-EKD von Ralph Wagner

Weiterlesen

Harmonisiert und aktuell – Rezension Kühling/Buchner, 4. Aufl.

Der Kühling/Buchner ist unter den vielen DSGVO-Kommentaren sicher einer der bedeutenderen. Zum erklärten Konzept gehört, nicht nur das Recht zu erklären, sondern die rechtliche Diskussion sehr frühzeitig mitzuprägen, heißt es im Vorwort zur nun erschienenen vierten Auflage. Dazu wurden dieses Mal vor allem die Auswirkungen des TTDSG berücksichtigt, ohne es in Gänze zu kommentieren. (Eine Tabelle mit Fundstellen zeigt aber, dass 20 von 30 Paragraphen im Rahmen der DSGVO-Kommentierung schwerpunktmäßig kommentiert wurden.)

Cover der vierten Auflage des Kühling/Buchner.
Kühling/Buchner: DS-GVO/BDSG, 4. Aufl. Beck 2023, 2167 Seiten, 219 Euro.

Art. 91 DSGVO wird wie in der Vorauflage von Achim Herbst auf gut zehn Seiten bearbeitet: Mit aktueller Literatur, ernsthafter Diskussion anderer Ansichten – aber im Ergebnis immer mit dem Blick auf europarechtliche Harmonisierung.

Grundsätzliche Überlegungen

In der grundsätzlichen Frage, was Art. 91 DSGVO denn nun rechtssystematisch ist, entscheidet sich Herbst für den Begriff der gestuften Öffnungsklausel, die sich an die Mitgliedsstaaten richtet und das auch muss: Schließlich hat die EU keine Kompetenz auf dem Gebiet der Religionspolitik und dürfte daher Religionsgesellschaften gar nicht als Adressaten angehen. Gestuft ist die Öffnungsklausel deshalb, weil sie Mitgliedsstaaten ermöglicht, im Rahmen ihres Religionsverfassungsrechts Religionsgemeinschaften Spielräume im Rahmen des Europarechts zu eröffnen oder nicht, inklusive Abwägungen zur Gleichbehandlung: Auch wenn die DSGVO darauf verzichte, wie im deutschen Recht öffentlich-rechtlich organisierte Religionen von in privatrechtlichen Körperschaften verfassten zu unterscheiden, hält der Autor eine solche Differenzierung, an die verschiedene Grade der Selbstverwaltung geknüpft sind, für zulässig.

Begrifflich entscheidet sich Herbst für die Formulierung des Grundgesetzes als Oberbegriff: Religionsgesellschaften. Die Aufzählung im Verordnungstext (»Kirche oder religiöse Vereinigung oder Gemeinschaft«) erläutert er als Oberbegriff für korporativ-institutionelle Organisationen mit religiösem Proprium. Darunter subsumiert er ausdrücklich auch Ordensgemeinschaften – das ist angesichts der Orden päpstlichen Rechts, die sich in Deutschland eigenes Datenschutzrecht geben, eine wichtige Bestätigung der tatsächlichen Handhabung.

Bedingungen für religiöses Datenschutzrecht

Das Kriterium umfassender Datenschutzregelungen fasst Herbst über den Anspruch der Vollständigkeit. Kirchliche Regelungen sollen »nicht durch staatliche Regelungen ergänzt werden müssen«. Als Beispiele werden nur das römisch-katholische und das landeskirchliche Datenschutzrecht genannt, keine weiteren. Angesichts der bewusst als Beispiel gekennzeichneten Aufzählung ist das verschmerzbar.

Beim Zeitpunkt des Inkrafttretens setzt Herbst auf den Wortlaut und lässt sich auch nicht darauf ein, hier die Argumente für eine primärrechtskonforme Auslegung zu übernehmen, die in einer Stichtagsregelung Probleme mit dem Gleichbehandlungsgrundsatz und Spannungen zu Art. 17 AEUV sehen. Andere Ansichten werden angeführt und kritisch betrachtet: »Allerdings sollte dabei bedacht werden, dass ein besonderes religionsgesellschaftliches Interesse an datenschutzrechtlichen Regelungen, die von der DS-GVO abweichen, außerhalb des Bereichs der in Art. 91 Abs. 2 eigens geregelten Aufsicht […] nur schwer erkennbar ist; das wird auch deutlich an dem Umstand, dass die beiden großen Kirchen die Neufassungen ihres Datenschutzrechts in enger Parallelität zur DS-GVO gestaltet haben […]. Der Beitrag des Art. 91 Abs. 1 zur Verwirklichung der Ziele des Art. 17 Abs. 1 AEUV scheint daher ohnehin nicht bedeutend zu sein.« Die große Parallelität trifft zu und ist keineswegs notwendiger Ausfluss aus dem Einklanggebot – ein Blick etwa auf das italienische Datenschutzdekret zeigt eine Umsetzung, bei der es durch die Regulierung spezifischer kirchlicher Verarbeitungssituationen deutlich plausibler scheint, dass hier eine tatsächliche Regelungsnotwendigkeit vorliegt.

Das Gebot, kirchliche Regelungen in Einklang mit der DSGVO zu bringen, ist hinsichtlich der gefordeten Zeitläufte nicht eindeutig formuliert, stellt Herbst zurecht fest: Wann dieser Einklang herzustellen ist, geht aus dem Wortlaut nicht hervor. Das führt gelegentlich zu dem Missverständnis, dass die großen Kirchen in Deutschland am Gebot der Einklangherstellung gescheitert seien, weil sie den Einklang erst mit einem Inkrafttreten am Vortag des Wirksamwerdens der DSGVO hergestellt haben. Herbst macht aber deutlich, dass das Vorgehen der Kirchen zulässig war. Er legt die Vorschrift so aus, dass religiöses Datenschutzrecht bis zum Zeitpunkt des Wirksamwerdens der DSGVO in Einklang gebracht werden musste und begründet das mit dem Schutz- und Harmonisierungszweck der DSGVO. Originell ist die von ihm gesehene Konsequenz bei fehlendem Einklang zum Wirksamwerden: Dann wird das religiöse Recht nicht dauerhaft hinfällig, sondern wird nur solange durch die DSGVO ersetzt, bis es in Einklang gebracht wurde. Setzte sich diese Auslegung auch durch, könnten die Kirchen einer möglichen Feststellung fehlenden Einklangs deutlich gelassener entgegensehen. (Auch wenn niemand den Einklang von KDG und DSG-EKD überprüfen zu wollen scheint: Kleinere Gemeinschaften haben diese Regelwerke größtenteils unverändert übernommen, und kleinere Gemeinschaften und ihre Datenschutzregelungen sind durchaus umstritten – hier könnte über Bande eine Feststellung fehlenden Einklangs von KDG oder DSG-EKD drohen, wenn ein Gericht den Einklang etwa von alt-katholischer KDO oder freikirchlicher DSO überprüft.)

Materiell sieht Herbst keinen Spielraum für die Kirchen beim Einklang; das einzige Zugeständnis ist, dass keine wörtliche Übereinstimmung verlangt wird. Begründet wird das nachvollziehbar über die Öffnungsklausel für Medien aus Art. 85 DSGVO, wo explizit Abweichungsoptionen eröffnet werden. Angesichts dieser Position wird aber das vorher angeführte Argument etwas zirkulär, dass man bei den Kirchen kein Selbstverwaltungsinteresse im Datenschutzrecht feststellen kann, weil sie ihre Regelungen weitgehend parallel formuliert haben – als hätten sie nach dieser Position eine echte Wahl, wenn es nicht nur darum gehen soll, l’art pour l’art umzuformulieren und umzustellen.

Aufsicht

Für Herbst ist die eigene Datenschutzaufsicht deutlich plausibler als eigenes Datenschutzrecht: »Die Ausgestaltung dieser Aufsicht ist von besonderer Bedeutung für die Eigenständigkeit der Religionsgesellschaften gegenüber dem Staat; insbesondere die Ausübung der Befugnisse der Aufsichtsbehörde aus Art. 58 Abs. 1 lit. e und f, also der – ggf. erzwungene – Zugang zu personenbezogen Daten und zu Geschäftsräumen und Datenverarbeitungsanlage kann als staatlicher Eingriff in die internen Angelegenheiten einer Religionsgesellschaft erscheinen.« Der Autor unterscheidet die gewählte Lösung einer spezifischen Aufsicht von der in Art. 90 DSGVO normierten Begrenzung der Aufsichtskompetenzen im Fall von Berufsgeheimnisträgern. Diese Argumentation aus einem Vergleich mit anderen Regelungen der DSGVO heraus ist eine große Stärke dieser Kommentierung und nimmt den Gesetzgeber als systematisch ernst (aber möglicherweise ernster, als der chaotische EU-Gesetzgebungsprozess rechtfertigt).

Die Begründung für spezifische Aufsichten überzeugt. Nicht problematisiert wird aber die logische Folgefrage: Warum sollten nur Religionsgemeinschaften mit eigenem Datenschutzrecht dieses Bedürfnis eines besonderen Schutz des internenen Bereichs vor staatlichen Aufsichtsbehörden haben? Systematisch wäre es sinnvoller, hätte sich der Gesetzgeber dazu entschieden, Religionsgemeinschaften generell eine spezifische Aufsicht zuzugestehen, ohne die Erfordernisse eines eigenen Rechts. Hat er aber nicht.

Bei den Umsetzungen von KDG und DSG-EKD von Abs. 2 geht Herbst davon aus, dass die kirchlichen Aufsichten die Anforderungen erfüllen; wo es Zweifel gibt, ob die kirchlichen Regelungen hinter staatliche zurückfallen, könne sie eine europarechtskonforme Auslegung ausräumen. Ausdrücklich weist er die von Seifert geäußerte (und hier bereits kritisierte) Kritik an den kirchlichen Aufsichten als »nicht ganz nachvollziehbar« zurück.

DSGVO und nationales Recht

Eine weitere besondere Stärke ist der Blick auf nationales Recht und die Auswirkungen der DSGVO-Norm. So vertritt Herbst etwa die Position, dass das Kriterium des Umfassenden nach nationalem Recht zu klären ist. Alte Fragen nach »beredtem Schweigen« und danach, welche Religionsgemeinschaften für welche ihrer Tätigkeiten und Körperschaften eigenes Recht anwenden können, bleiben relevant: »So mag etwa eine privatrechtlich organisierte Religionsgesellschaft zwar über ausführliche eigene Datenschutzregeln verfügen (etwa in einer Vereinssatzung) – soweit man den Standpunkt vertritt, dass das BDSG aF für diese Religionsgesellschaft uneingeschränkt galt, kommt man zu dem Schluss, dass diese eigenen Regeln nicht ›umfassend‹ iSd Art. 91 Abs. 1 waren, weil sie das staatliche Datenschutzrecht eben nicht ersetzten, und dass daher nun auch die DS-GVO uneingeschränkt für diese Religionsgesellschaft gilt.« Art. 91 gestattet Religionsgesellschaften nur dann ein Sonderregime, wenn sie zuvor eines hatten. »Ein solches Sonderregime liegt aber nicht schon immer dann vor, wenn eine Religionsgesellschaft über eigene Regeln verfügt, sondern erst dann, wenn diese eigenen Regeln auch vom Staat in der Weise anerkannt werden, dass er sein eigenes Datenschutzrecht gegenüber der Religionsgesellschaft zurücknimmt.« Dass das im BDSG immer noch nicht klar geregelt ist, thematisieren Manuel Klar und Jürgen Kühling in ihrer Kommentierung von § 2 BDSG zur Frage nach der Einordnung öffentlich-rechtlich verfasster Religionsgemeinschaften; sie plädieren für eine Behandlung analog zu nicht-öffentlichen Stellen, wenn kein eigenes Datenschutzrecht vorliegt.

Knapp wird zum Schluss darauf hingewiesen, dass eine Beteiligung der spezifischen Aufsichten am Willensbildungsprozess der staatlichen Aufsichten unter bestimmten Bedingungen in § 18 Abs. 1 S. 4 BDSG geregelt ist. (Die Grenzen und Probleme dieser Regelung werden bei der BDSG-Kommentierung durch Alexander Dix gut dargestellt.)

Fazit

Den Anspruch, die Debatte auf der Höhe der Zeit mitzugestalten, löst die neue Auflage des Kühling/Buchner ein; bis wenige Monate vor Erscheinen wurde die Literatur ausgewertet (für die Art.-91-Kommentierung etwa die Ende 2022 erschienene Dissertation von Michaela Hermes). Herbst kommentiert den Kirchenartikel durchweg nachvollziehbar und argumentativ überzeugend. Die Grundausrichtung legt einen größeren Wert auf den Harmonisierungszweck der DSGVO als auf eine Auslotung möglichst großer Spielräume für Religionsgemeinschaften. (Auch das lässt sich sehr plausibel europarechtlich mit Blick auf Art. 17 AEUV vertreten, wie Ansgar Hense regelmäßig zeigt.) Gleichzeitig zeigen sich Probleme bei einer Betonung der Harmonisierung: Vor allem die gleichzeitige Kritikk an zu großer Parallelität bei gleichzeitigem Konstatieren ohnehin nicht vorhandenen Spielraums sind ein Sympton dafür. Die umfassende Rezeption und Zitation auch religionsfreiheitsfreundlicher Literatur ermöglicht hier aber, den Blick zu weiten.

Kühling/Buchner: DS-GVO/BDSG, 4. Aufl. Beck 2023, 2167 Seiten, 219 Euro.

DSGVO-Evaluation – Reformbedarf beim Kirchenartikel

Während die Evaluierung der kirchlichen Datenschutzgesetze überfällig ist, ist die EU-Kommission schon bei der zweiten Bewertungs- und Überprüfungsrunde gemäß Art. 97 DSGVO. Beim ersten Bericht aus dem Jahr 2020 tauchte Art. 91 DSGVO und damit die Ausnahmeregelung für den kirchlichen Datenschutz nicht auf.

Eine Lupe fokussiert auf Art. 91 DSGVO
Die ganze DSGVO wird evaluiert – Art. 91 DSGVO ist dabei selten im Fokus.

Noch bis zum 8. Februar können Rückmeldungen eingereicht werden – und zwar von allen »Interessensträger*innen«. Darunter fasst die Kommission unter anderem Zivilgesellschaft, Unternehmen und im Datenschutzbereich tätige Personen. Damit dieses Mal Art. 91 DSGVO nicht herunterfällt, plane ich eine Einreichung – erste Ideen sammle ich hier, über weitere Rückmeldungen in den Kommentaren oder per Mail freue ich mich.

Weiterlesen

Polens Verwaltungsgericht billigt kirchlichen Datenschutz mit großzügiger Auslegung

Die deutschsprachige Literatur und Rechtsprechung sind sich weitgehend einig: Wenn eine Religionsgemeinschaft eigenes Datenschutzrecht anwenden will, dann muss sie zum Zeitpunkt des Inkrafttretens der DSGVO, also im Mai 2016, eigene umfassende Datenschutzregelungen gehabt haben. An der Stichtagsregelung gibt es zwar Kritik aufgrund der mangelnden Gleichbehandlung, insbesondere erst später gegründeter Religionsgemeinschaften – solange der EuGH aber nicht den Stichtag kippt, dürfte der Wortlaut gelten.

Schild am Obersten Verwaltungsgericht mit dem polnischen Wappen und der Aufschrift »Naczelny Sąd Administracyjny«
Das Oberste Verwaltungsgericht in Polen (Bildquelle: Naczelny Sąd Administracyjny, Pressebild)

In der aktuellen Ausgabe der polnischen kirchenrechtlichen Zeitschrift Kościół i Prawo befasst sich Justyna Ciechanowska mit dem Datenschutzrecht und der Datenschutzaufsicht der katholischen Kirche in Polen. Sie kommt zu dem Schluss, dass das Datenschutzrecht tatsächlich gilt und die Aufsicht die notwendigen Bedingungen der Unabhängigkeit erfüllt; lediglich die Möglichkeit von Diözesanbischöfen, zusätzlich zur Aufsicht in Visitationen die Einhaltung datenschutzrechtlicher Bestimmungen zu prüfen, wird problematisiert. Für ihre Position kann sie sich auf zwei höchstrichterliche Urteile stützen.

Weiterlesen

Beim Namen genannt – Wochenrückblick KW 42/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wochenrückblick Kirchlicher Datenschutz KW 42/2023
(Bildquelle: ali syaaban on Unsplash)
Weiterlesen

Datenschutzaufsichtsfreie Räume für Religionen in Bayern

In der EU soll es keine datenschutzfreien Räume geben: Alle verantwortlichen Stellen müssen sich an Datenschutzrecht halten und unterliegen einer Datenschutzaufsicht. Das gilt auch für Religionsgemeinschaften, sollte man denken. Bisher war das Bild klar: Entweder haben Kirchen eine eigene spezifische Aufsicht eigerichtet und kümmern sich selbst darum – oder die örtlich zuständige Landesdatenschutzaufsicht ist am Zug.

Innenraum der Kathedrale der rumänischen Metropolie in Nürnberg
Die Rumänische Orthodoxe Metropolie für Deutschland, Zentral- und Nordeuropa hat ihren Sitz in Nürnberg, wo auch die Kathedrale steht. Die Metropolie ist als KdÖR errichtet und hat kein eigenes Datenschutzrecht. (Bildquelle: UlrichAAB (CC BY-SA 3.0) (bearbeitet und zugeschnitten))

Doch nicht alle Landesdatenschutzaufsichten sehen sich als zuständig für alle Religionsgemeinschaften an: Trotz identischer Rechtslage dank DSGVO und weitgehend analoger Rechtslage in den Landesdatenschutzgesetzen gibt es Aufsichten, die sich nicht für als Körperschaft des öffentlichen Rechts organisierte Religions- und Weltanschauungsgemeinschafen ansehen – und damit in ihrem Bundesland doch einen datenschutzfreien Raum lassen. Mindestens in Bayern ist das der Fall – weitere Antworten stehen noch aus.

Update, 19. Oktober 2023: Die Aufsicht in Thüringen hat mittlerweile ihre Rechtsaufsicht geändert und geht jetzt von einer Zuständigkeit aus. Der Artikel wurde entsprechend ergänzt.
Weitere Antworten der zuvor fehlenden Aufsichten werden laufend ergänzt.

Weiterlesen

Harmonisierung schlägt Religionsfreiheit – Rezension Spiecker gen. Döhmann/Papakonstantinou/Hornung/de Hert

DSGVO-Kommentare in deutscher Sprache gibt es quasi beliebig viele. In anderen Sprachen sieht es anders aus. So anders, dass das Vorwort zum jetzt erschienenen englischsprachigen Kommentar von Spiecker gen. Döhmann/Papakonstantinou/Hornung/de Hert erst einmal erklären muss, was so ein »Article-by-Article Commentary«, wie es auf der Titelseite heißt, eigentlich ist. Der Ansatz von »General Data Protection Regulation« ist die hier sattsam bekannte Kommentarform mit einem klar internationalen Fokus zu verbinden: Autor*innen aus verschiedenen Ländern kommentieren mit einem deutlich auf Rechtsprechung und Rechtsbestand der EU konzentrierten Ansatz.

Cover von Spiecker gen. Döhmann/Papakonstantinou/Hornung/de Hert: GDPR
Spiecker gen. Döhmann/Papakonstantinou/Hornung/de Hert: General Data Protection Regulation: Article-by-Article Commentary, Nomos/Beck/Hart 2023, 1241 Seiten, 290 Euro.

Art. 91 DSGVO hat in den meisten EU-Mitgliedsstaaten keine praktische Bedeutung. Es liegt also nah, dass hier mit Achim Seifert ein deutscher Autor zum Zug kommt. Seifert hat bereits im Simitis/Hornung/Spiecker gen. Döhmann diesen Artikel kommentiert. Einiges aus dieser Kommentierung findet sich nun auch in der neuen Fassung. Leider sind dabei auch einige Probleme übernommen worden.

Weiterlesen

So prüft die NRW-Datenschutzaufsicht kirchlichen Datenschutz

Verschiedene Datenschutzaufsichten prüfen seit Jahren eigenes Datenschutzrechts von Religionsgemeinschaften. Die LDI NRW hatte die alt-katholische Kirche im Blick. Auf die jüngste Auskunft vor einem Monat, dass es keinen offenen Vorgang mehr gibt, habe ich noch einmal einen IFG-Antrag gestellt, nachdem zuvor ein zentraler Aktenvermerk geheim gehalten wurde. Dieser Aktenvermerk wurde nun leicht geschwärzt herausgegeben.

Titelseite des Aktenvermerks der LDI NRW zur Prüfung von Art. 91 DSGVO
Sieben Seiten umfasst der Aktenvermerk aus der NRW-Datenschutzaufsicht zur Prüfung der Vorgaben von Art. 91 DSGVO

Im Aktenvermerk wurden Entscheidungsvorschläge geschwärzt, die für den noch nicht abgeschlossenen Prozess der Willensbildung der Aufsicht erforderlich sind. Was in dem siebenseitigen Vermerk übrig bleibt, ist immer noch interessant und erhellt, wie zumindest die NRW-Aufsicht Art. 91 DSGVO sieht (mit Stand September 2021).

Der Aktenvermerk im Volltext ist auf FragDenStaat.de verfügbar.

Weiterlesen