Schlagwort-Archive: Art. 91 DSGVO

VG Hannover kassiert Datenschutzrecht der SELK – Entscheidungsgründe

Im November hat das Verwaltungsgericht Hannover die Klage der Selbständigen Evangelisch-Lutherischen Kirche gegen die Landesdatenschutzbeauftragte Niedersachsen abgewiesen und damit das eigene Datenschutzrecht und die eigene Datenschutzaufsicht der Kirche verworfen. Nun liegen die Entscheidungsgründe vor. (VG Hannover, Urteil vom 30. November 2022, Az. 10 A 1195/21)

Fachgerichtszentrum Hannover mit Urteil SELK ./. LfD Niedersachsen
(Bildquelle: Stefan Brending, Lizenz: Creative Commons by-sa-3.0 de, CC BY-SA 3.0 de, Link; VG Hannover; (zugeschnitten und montiert))

Kurz zusammengefasst lautet das Urteil: Der Wortlaut von Art. 91 DSGVO gilt. Der Kirchenartikel ist wirklich nur eine Bestandsschutzregelung. Eine eingehendere Analyse gibt einige interessante Anhaltspunkte zur Auslegung des Artikels – und wenn das Urteil rechtskräftig werden sollte, werden wohl einige Kommentare umgeschrieben werden müssen.

Weiterlesen

Datenschutz in den jüdischen Gemeinden Frankfurts und Württembergs

Natürlich ist die Ausnahmeregel der DSGVO, die Glaubensgemeinschaften eigenes Datenschutzrecht ermöglicht, religionsneutral formuliert. Praktisch wird Art. 91 DSGVO vor allem von christlichen Kirchen genutzt. Es gibt aber doch auch nichtchristliche Gemeinschaften, die Datenschutzrecht setzen: Die Israelitische Religionsgemeinschaft Württembergs und die Jüdische Gemeinde Frankfurt am Main haben beide je eine eigene Datenschutzordnung, die für sich in Anspruch nimmt, Art. 91 DSGVO umzusetzen.

Siegel mit Davidstern
Siegel mit Davidstern (Bildquelle: Marek Studzinski on Unsplash)

Ein Blick in die beiden Datenschutzordnungen zeigt einerseits sehr eigenständige Regelungen: Mit den großen kirchlichen Gesetzesfamilien KDG und DSG-EKD sind sie ersichtlich nicht verwandt. Zugleich fehlt es aber strukturell an Eigenständigkeit: Die Ordnungen wollen DSGVO und BDSG nur ergänzen, nicht ersetzen. Nicht nur das wirft Fragen nach der Vereinbarkeit mit dem Europarecht auf.

Weiterlesen

Verwaltungsgericht kassiert kirchlichen Datenschutz – Wochenrückblick KW 48/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Nach der Niederlage der Selbständigen Evangelisch-Lutherischen Kirche vor dem VG Hannover ist das eigene Datenschutzrecht der Gemeinschaft in der Schwebe: Wenn das Urteil rechtskräftig wird, gilt die DSGVO und die Landesdatenschutzbeauftragte ist zuständig statt einer eigenen kirchlichen Aufsicht. Beide Seiten, die SELK und die LfD Niedersachsen, äußerten sich in der Sache noch nicht. Ob die SELK die Zulassung zur Berufung beantragen wird, steht noch nicht fest: »Das Urteil mit seiner Begründung müssen wir nun abwarten, um anschließend über das weitere Vorgehen zu entscheiden«, sagte ein Sprecher der SELK auf Anfrage. Die LfD Niedersachsen will vor einem rechtskräftigen Urteil noch nichts dazu sagen, wie sie dann agieren werde, wenn ihre Zuständigkeit feststeht. Grundsätzlich begrüßt man in der Aufsicht das Urteil aber: »Wir sehen das Urteil als Bestätigung unserer Rechtsauffassung an, dass es sich bei Art. 91 Abs. 1 DS-GVO um eine abschließende Bestandsschutzregelung handelt, die außerhalb ihres Anwendungsbereichs keinen Raum für sonstige kirchliche Datenschutzvorschriften lässt«, teilte ein Sprecher der Aufsicht auf Anfrage mit.

Der BfD EKD hat seine Position, dass Elternbeiräte keine eigene verantwortliche Stelle sind, jetzt auch noch einmal in einem Kurzbeitrag auf der Webseite der Aufsicht veröffentlicht. So hatte er sich auf schon als Beitrag zu dem ausführlicheren Artikel zum Thema hier auf Anfrage geäußert. Eine Herausforderung: »Da es in der Regel gesetzlich ausgeschlossen ist, dass Mitarbeitende der Kindertageseinrichtungen den Elternbeiräten angehören, haben die Kindertageseinrichtungen keine Möglichkeit, die Einhaltung des Datenschutzes durch die Elternbeiräte zu kontrollieren.« Der BfD EKD empfiehlt daher Sensibilisierung und Vorgaben für den Umgang mit Daten durch die Elternbeiräte.

Bei den Datenschutz-Notizen widmet sich Sebastian Ertel dem hier schon besprochenen IDSG-Beschluss zur konkludenten Einwilligung. Vermisst wird dabei die Auseinandersetzung mit zwei Fragen: Zum einen, ob überhaupt zurecht kirchliches Datenschutzrecht angewendet wurde bei einem von einer kirchlichen Stiftung getragenen Medizinischen Versorgungszentrum, da es »faktisch keinen kirchlichen Auftrag verfolgt«. Zum anderen schweigt die Entscheidung zu dem kuriosen Faktum, dass Patient*innenakten 23 Jahre aufbewahrt wurden: »nach § 10 Abs. 3 MBO-Ärzte bzw. § 630f BGB liegt die Aufbewahrungspflicht und -frist der Behandlungsdokumentation grundsätzlich bei zehn Jahren nach Abschluss der Behandlung«, bemerkt Ertel.

Weiterlesen

Kirchliches Datenschutzrecht verworfen: SELK unterliegt vor Gericht

Die Selbständige Evangelisch-Lutherische Kirche ist mit ihrer Feststellungsklage vor dem Verwaltungsgericht Hannover gescheitert: Wie das Gericht am Mittwoch mitteilte, hat die 10. Kammer die Klage der Kirche abgewiesen.

Fassade des Fachgerichtszentrums in Hannover
(Bildquelle: Stefan Brending, Lizenz: Creative Commons by-sa-3.0 de, CC BY-SA 3.0 de, Link (zugeschnitten))

Die SELK wollte feststellen, dass sie ihre eigene Datenschutzrichtlinie gemäß Art. 91 DSGVO anwenden dürfe und dass sie nicht der Aufsicht der niedersächsischen Landesdatenschutzbeauftragten unterfalle. Gegen das Urteil kann vor dem Oberverwaltungsgericht Lüneburg die Zulassung zur Berufung beantragt werden. Die Entscheidungsgründe liegen noch nicht schriftlich vor. (VG Hannover, Urteil vom 30.11.2022, Az. 10 A 1195/21)

Weiterlesen

Gola/Heckmann und Sydow/Marsch zum Dritten

Die Kommentarlandschaft bleibt auch im Jahr 5 der DSGVO-Geltung bunt. Und anscheinend werden die Kommentare auch tatsächlich gekauft – sonst würden sie nicht in neuen Auflagen erscheinen. Zwei Standardwerke sind in diesem Spätjahr in dritter Auflage erschienen: Der Gola und der Sydow.

Der Sydow/Marsch und der Gola/Heckmann stehen nebeneinander aufgereiht vor einem Bücherregal.
Zwei Kommentare in dritter Auflage – jetzt auch noch mit BDSG-Kommentar.

Nicht nur die Zahl der Neuauflagen haben die Werke gemeinsam: Im Laufe der Zeit haben beide Werke einen Co-Herausgeber bekommen (Heckmann bei Gola, Marsch bei Sydow), beide kommentieren nun auch das BDSG. Ein Blick in die Kommentierung von Art. 91 DSGVO zeigt, dass es hier tatsächliche Fortschritte gibt: Auch wenn die Rechtsprechung direkt zu Art. 91 DSGVO nach wie vor fehlt, hat sich die Literatur zum kirchlichen Datenschutz doch deutlich diversifiziert.

Weiterlesen

Freude & Hoffnung & Privatsphäre – Wochenrückblick KW 41/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

In dieser Woche vor 60 Jahren wurde das Zweite Vatikanische Konzil eröffnet, das von 1962 bis 1965 tagte. Zur Erneuerung der Kirche gehörte auch eine Versöhnung mit den Menschenrechten, die sich vor allem in den Beschlüssen der letzten Sitzungsperiode zeigte. Im abschließenden Dokument, der Pastoralkonstitution Gaudium et spes (1965), findet sich ein Katalog »unverletzlicher Rechte und Pflichten«, der auch für einen theologisch fundierten Schutz von Persönlichkeitsrechten relevant ist: »Es muß also alles dem Menschen zugänglich gemacht werden, was er für ein wirklich menschliches Leben braucht, wie Nahrung, Kleidung und Wohnung, sodann das Recht auf eine freie Wahl des Lebensstandes und auf Familiengründung, auf Erziehung, Arbeit, guten Ruf, Ehre und auf geziemende Information; ferner das Recht zum Handeln nach der rechten Norm seines Gewissens, das Recht auf Schutz seiner privaten Sphäre und auf die rechte Freiheit auch in religiösen Dingen.« (GS Nr. 26, Hervorhebungen ergänzt; mehr zur theologischen Grundlegung des Persönlichkeitsschutzes findet man bei Martina Tollkühn.)

In der Festschrift für Jupp Joachimski klang es, als sei das Katholische Datenschutzzentrum Nürnberg (das jetzt wohl KDSZ Bayern heißen soll) schon in trockenen Tüchern. Fragt man dort nach, wo man es genau wissen sollte, zeigt sich aber kein veränderter Stand: Auf Anfrage teilte ein Sprecher der Freisinger Bischofskonferenz mit, dass es noch nichts Konkretes gebe, insbesondere auch noch keine Ausschreibung für die Nachfolge Joachimskis. Das ist auch der Informationsstand des Diözesandatenschutzbeauftragten selbst – er hat seinen Vertrag noch einmal bis Ende des Jahres verlängert, teilte er auf Anfrage mit.

Lange hat es gedauert, jetzt ist absehbar, dass es im Konflikt zwischen der Selbständigen Evangelisch-Lutherischen Kirche (SELK) und der niedersächsischen Landesdatenschutzbeauftragten weitergeht: Wie schon im letzten Dezember berichtet, will die SELK den EuGH mit grundsätzlichen Vorlagefragen zu Art. 91 DSGVO befassen. Auf Anfrage teilte das Verwaltungsgericht Hannover nun mit, dass es einen Termin für die mündliche Verhandlung gibt: Am 30. November um 9.30 Uhr ist es so weit.

In der aktuellen Sonderausgabe der Datenschutz-Nachrichten gibt es auch einen Beitrag des NRW-DDSB Steffen Pau zum kirchlichen Datenschutzrecht. Der kompakte Überblick dürfte hier zum Grundwissen gehören; erfreulich ist, dass so der kirchliche Datenschutz auch in einer wichtigen weltlichen Zeitschrift erwähnt wird. In der Sache äußert sich Pau auch zum Schriftformerfordernis der Einwilligung im KDG und deutet damit wohl eine gewisse Flexibilität der Aufsicht an: »Inwieweit hier in der Praxis im täglichen Umgang mit der Einwilligung wirklich große Unterschiede bestehen, ist bei vielen Sachverhalten fraglich, da einerseits § 8 Abs. 2 Satz 1 KDG als Ausnahme von dem Schriftformerfordernis selbst ›eine andere Form‹ der Einwilligung auf Grund besonderer Umstände vorsieht und andererseits die Nachweispflicht der DSGVO in vielen Fällen auch zu einer textlichen oder schriftlichen Fassung der Einwilligung führt.«

Weiterlesen

Der oberste bayerische katholische Datenschützer wird 80

Jupp Joachimski wird 80. Als bayerischer Diözesandatenschutzbeauftragter ist er immer noch im Dienst – auch wenn seine Amtszeit eigentlich schon lange abgelaufen ist: Es gibt einfach keinen Nachfolger, und Joachimski macht (wie das Gesetz es befiehlt) einfach weiter. Zum 80. schenkt das Katholische Datenschutzzentrum Dortmund dem Jubilar eine Festschrift in der Reihe »Schriften zum kirchlichen Datenschutz«.

Porträt von Jupp Joachimski mit dem Titel der Festschrift anlässlich seines 80. Geburtstags
Mit der von Steffen Pau, Christine Haumer und Stephanie Melzow herausgegebenen Festschrift »Justiz die Pflicht, Datenschutz die Kür« würdigen die Diözesandatenschutzbeauftragten und Weggefährt*innen den Vorsitzenden Richter am Bayerischen Obersten Landesgericht a.D.

Etwa die Hälfte des Bandes machen Aufsätze zum kirchlichen Datenschutz aus: Neben den anderen Diözesandatenschutzbeauftragten und ihren Mitarbeitenden kommen unter anderem der bayerische Landesdatenschutzbeauftragte Thomas Petri und der Würzburger Kirchenrechtler Martin Rehak zu Wort. Die Aufsätze sind meist historisch und deskriptiv ausgerichtet – sie geben aber auch einige neue, bislang unbekannte Informationen zum kirchlichen Datenschutz. Mehr oder weniger zwischen den Zeilen scheint es auch langsam Gewissheit zu werden, dass das lange geplante Katholische Datenschutzzentrum Wirklichkeit wird.

Weiterlesen

Lose für die Praxis kommentiert – Rezension Datenschutzrecht, Bergmann/Möhrle/Herb

Loseblattsammlungen versprechen besondere Aktualität und verströmen die Ästhetik maximaler Sachlichkeit. Eine Zierde fürs Bücherregal sind sie dagegen nicht. Das gilt auch für die Sammlung in drei Ordnern des Datenschutzrechts-Kommentars von Bergmann/Möhrle/Herb.

Das DSG-EKD ist aufgeschlagen, dahinter die anderen beiden Ordner der Loseblattsammlung »Datenschutzrecht« von Bergmann, Möhrle, Herb
Zur Loseblattsammlung gehören auch Normtexte. Aus dem kirchlichen Bereich sind das DSG-EKD und das KDG aufgenommen.

Die Kommentierung des Kirchenartikels ist knapp, zeichnet sich aber durch eine hohe Praxisorientierung aus. Die Aufnahme der beiden großen kirchlichen Datenschutzgesetze unter die aufgenommenen Gesetzestexte zeigt, dass die Herausgeber kirchlichen Datenschutz im Blick haben.

Weiterlesen

Richtlinienkompetenz – Rezension Wolff/Brink, Datenschutzrecht

Die zweite Auflage des Datenschutzrechts-Kommentars(Affiliate link) von Heinrich Amadeus Wolff (seit kurzem Richter am Bundesverfassungsgericht) und Stefan Brink (bald nicht mehr baden-württembergischer Landesdatenschutzbeauftragter) ist erschienen. Neben einer Kommentierung von DSGVO und BDSG zeichnet sich dieser Kommentar auch durch einen Grundlagenteil mit Aufsätzen zu bereichsspezifischem Datenschutz aus.

Titel der zweiten Auflage von Wolff/Brink, Datenschutzrecht
Wolff/Brink, Datenschutzrecht, 2. Aufl. 2022, XXVI, 1763 S., 169 Euro.(Affiliate link)

Die von Daniel Mundil besorgte Kommentierung des Art. 91 DSGVO ist kompakt, bringt aber einige neue Aspekte ein, die so in anderen Kommentaren nicht zu finden sind und beleuchtet dabei insbesondere die Frage nach der Funktion und dem Spielraum, den die DSGVO kirchlichem Datenschutzrecht zuspricht.

Kommentierung des Art. 91 DSGVO

Mit sechs Seiten gehört die Kommentierung zu den kürzeren. Gut gelöst ist die Einführung: In einem Überblick wird kompakt die Problematik eines der wohl dunkelsten Artikel in der DSGVO aufgezeigt und zugleich die Perspektive transparent gemacht, unter der der Autor seine Kommentierung vornimmt: Der Kirchenartikel als Umsetzung des Art. 17 AEUV, der das mitgliedstaatliche religionsverfassungsrechtliche Gefüge schützt. Mundil macht deutlich, dass der Artikel viel Auslegung bedarf: »Die Vorgaben beruhen im Wesentlichen auf unbestimmten Rechtsbegriffen, die einen erheblichen Auslegungsspielraum lassen«, so der Autor. Daneben stelle sich bei wörtlicher Anwendung von Abs. 1 die Frage, »weshalb es überhaupt besonderer Regelungen für die Religionsgemeinschaften bedurfte, da diese offenbar ohnehin zur vollständigen Rechtsangleichung verpflichtet sind.«

Auf eine Darstellung der Rechtslage vor Inkrafttreten der DSGVO folgt die Erläuterung des Art. 91 DSGVO mit einem Schwerpunkt auf dem ersten Absatz. Der historische Teil ist dabei deutlich weniger ausführlich als in anderen Kommentaren – etwa Hense bei Sydow –, zeigt aber gut auf, welche Veränderungen die neue Rechtslage durch die erstmalige Kodifizierung kirchlichen Datenschutzes im säkularen Recht ermöglicht. Insbesondere begrüßt Mundil, dass mit Art. 91 DSGVO, der nicht zwischen öffentlich-rechtlich und privatrechtlich verfassten Religionsgemeinschaften unterscheidet, mehr Gleichbehandlung zwischen diesen verschiedenen Organisationsformen organisierter Religion möglich wird.

Die Kommentierung der aktuellen Rechtslage greift die Position des Überblicks auf und problematisiert die durchweg interpretationsbedürftigen offenen bis ungeklärten Rechtsbegriffe – allerdings ohne Reformvorschläge zu benennen. Dabei entscheidet sich Mundil aus seinem Ausgangspunkt aus den Grundrechten und Art. 17 AEUV für eine Auslegung, die das Ziel kollektiver Religionsfreiheit nicht aus dem Auge verliert, so gleich zu Beginn beim Anwendungsbereich, wo er einem zu engen, allein auf den religiösen Kernbereich konzentrierten Bereich eine Absage erteilt. Dass dabei als Beispiele ein Online-Klostershop und der religiöse Kursbetrieb eines Klosters als Beispiele angeführt werden, spricht dafür, dass tatsächlich relevante Anwendungsbereiche im Blick sind. »Um hier den von Art. 17 AEUV und Art. 91 geforderten autonomen Rechtssetzungsbereich der Religionsgemeinschaften tatsächlich zu gewährleisten gilt es, den Anwendungsbereich entsprechend weit auszulegen«, argumentiert Mundil. Das sei auch ohne die Verletzung dogmatischer Ansätze unter Verweis auf Rechtsprechung des BVerfG zu »Randbetätigungen« der Religionsgemeinschaften möglich – der Autor führt das BVerfG-Urteil vom 15. Januar 2002 – 1 BvR 1783/99 zum Schächten an. Implizit geht Mundil damit anscheinend über die von den Kirchen selbst vertretene Position hinaus, dass reine Wirtschaftsbetriebe nicht dem kirchlichen Datenschutzregime unterfallen. Hier wäre eine explizite Klärung dieser Frage wünschenswert gewesen. (Rn. 15)

Eine kollektive Religionsfreiheit achtende Auslegung von Art. 91 DSGVO muss immer mit dem Wortlaut kämpfen. So auch hier angesichts der eigentlich klaren Formulierung, die nur bestehenden Regelungen Bestandsschutz gewährt und selbst Veränderungen der bestehenden Regelungen begründungsbedürftig macht. Immerhin: Das Erfordernis von In-Einklang-Bringen deute darauf hin, dass eine »Versteinerung« des Normbestands nicht im Sinn und Zweck der Vorschrift liege. Bleibt das Problem von Neu- und Erstregelungen. Mundil konstatiert ein Dilemma, dass einerseits ein klarer gesetzgeberischer Wille zur Vereinheitlichung des Datenschutzes festzustellen ist, zugleich aber der Wille zum Schutz der kollektiven Religionsfreiheit und der jeweiligen nationalen staatskirchenrechtlichen Systeme. Im Ergebnis spricht er sich dafür dass, dass der Gleichheitsgrundsatz und das Schutzziel der Vielfalt der Religionen in der Grundrechtscharta »für eine weite Auslegung insbeonsdere zugunsten neu hinzutretender Religionsgemeinschaften« spreche. (Rn. 18)

(Ein kleiner Fehler findet sich in Randnummer 18a: Hier wird der 18. Mai 2018 als Datum des Inkrafttretens von KDG und DSG-EKD genannt, richtig ist der 24. Mai 2018.)

Bei der Auslegung des Begriffs der »umfassenden Regeln« spricht sich Mundil dafür aus, dass damit das Gesamtwerk gemeint ist anstatt einer Betrachtung je einzelner kirchlicher Normen. Die konkrete Konsequenz ist die Position, dass immer ein kirchliches Gesamtwerk zur Anwendung kommt und nicht einzelne ungenügende Normen durch DSGVO-Normen ersetzt werden. (Rn. 19)

Dieser Gedanke eines Gesamtwerks, der sicherlich der wichtigste Beitrag dieser Kommentierung ist, wird in der Diskussion des geforderten »Einklangs« noch einmal deutlicher. Mundil spricht sich gegen eine enge Auslegung aus, die Kirchen lediglich Konkretisierungen zugestehen will und ansonsten das Ziel einer Vollharmonisierung mit der DSGVO ausgibt. Stattdessen plädiert er für die Auslegung von Art. 91 DSGVO als eine Art »Richtlinienregelung«. Mundil denkt diese Analogie, die sich auch in anderen Kommentierungen findet, konsequent durch: »Ähnlich wie bei Richtlinienbestimmungen mit zwingenden Vorgaben für die Mitgliedsstaaten wären die Religionsgemeinschaften zwar gehalten, die inhaltlichen Vorgaben verbindlich in ihr Recht zu übernehmen. Sie können aber ihre Rechtsetzungsautonomie dahin wahren, dass sie die Vorgaben durch eigene Rechtsstrukturen umsetzen würden«, so der Autor. Das führe dann auch dazu, dass bei einer Kollision mit Regelungen der DSGVO nicht die EU-Verordnung über den Anwendungsvorrang zum Tragen käme, sondern vielmehr den kirchlichen Gesetzgebern aufgegeben sei, ihre Regeln anzupassen. Ausgelassen wird die Frage, wie das festgestellt werden kann. Wahrscheinlich brauchte es für die Feststellung einer Kollision kirchlichen Datenschutzrechts mit der DSGVO wohl eine EuGH-Vorlage durch ein Gericht. Während das durch die kirchlichen Gerichte seitens des EU-Rechts wohl zulässig wäre, ist die Frage von kirchenrechtlicher Seite noch nicht bearbeitet. Kirchliche Datenschutzrichter jedenfalls zeigen sich eher skeptisch, wenn eine Vorlage überhaupt realistisch ist, dann eher durch ordentliche und Arbeitsgerichte, die kirchliches Datenschutzrecht anwenden.

Wie in anderen Kommentaren wird Art. 91 Abs. 2 DSGVO zu den spezifischen Aufsichten eher schnell abgehandelt. Auch hier wird die unklare Formulierung gerügt. Mundil sieht von der Norm sowohl besondere staatliche Aufsichtsbehörden mit Zuständigkeit für die Religionsgemeinschaften wie eigene Aufsichten der Religionsgemeinschaften gedeckt. Im zweiten Fall verweist der Autor auf Art. 53 Abs. 1, 4. Spiegelstrich DSGVO, der es den Mitgliedstaaten ermöglicht, die Mitglieder von Aufsichtsbehörden »von einer unabhängigen Stelle, die nach dem Recht des Mitgliedstaats mit der Ernennung betraut wird« ernennen zu lassen; das könnte dann im Fall einer kirchlichen Aufsicht eine kirchliche unabhängigen Stelle sein. Das ist konsequent, sieht Art. 91 Abs. 2 DSGVO doch vor, dass die spezifischen Aufsichten den Anforderungen von Kapitel VI DSGVO zu erfüllen hat – Art. 53 war dabei aber bislang selten in der Diskussion. Das tatsächlich von beiden großen Kirchen praktizierte Modell wird von Mundil gar nicht erwähnt: Rein kirchliche Aufsichten ohne staatliche Beteiligung, bei denen Art. 53 Abs. 1 DSGVO derart analog angewandt wird, dass die »Regierung« (der Rat der EKD nach dem DSG-EKD) oder das »Staatsoberhaupt« (der Diözesanbischof nach KDG) die jeweilige Aufsicht bestellt, die Aufsicht also nicht von den in Art. 53 DSGVO eigentlich benannten Instanzen bestellt wird.

Kommentierung von § 18 Abs. 1 S. 4 BDSG

Die Kommentierung von § 18 BDSG wird von Olaf Kisker besorgt, der in Rn 4a auch die Beteiligung der spezifischen Aufsichten beim Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder berücksichtigt – keine Selbstverständlichkeit; andere Kommentare lassen diesen Aspekt gern aus. Kisker ist Regierungsdirektor beim BfDI, und so überrascht es kaum, dass er sich die Position der Datenschutzkonferenz zur sehr begrenzten Beteiligung der spezifischen Aufsichten an der Entscheidungsfindung der DSK zueigen macht. Zwar sei die für die Beteiligung der spezifischen Aufsichten notwendige »Betroffenheit« noch nicht abschließend geklärt. Außer bei im Einzelfall vorliegender Zuständigkeit im One-Stop-Verfahren aber »dürfte eine Betroffenheit nur dann vorliegen, wenn inhaltlich gerade der Bereich des Rundfunks bzw. der Kirchen in besonderer Weise tangiert wird. Es reicht nicht aus, dass die Angelegenheit für die spezifischen Aufsichtsbehörden in gleicher Weise von Belang ist, wie für alle anderen Aufsichtsbehörden«, so Kisker. Das Gebot der Beteiligung reiche auch nur so weit, dass die Stellungnahmen der Spezifischen berücksichtigt werden, daraus folge aber kein Anspruch darauf, den gemeinsamen Standpunkt auch im Sinn der Stellungnahme auszugestalten.

Fazit

Der Wolff/Brink ist auch über die für den kirchlichen Datenschutz einschlägigen Kommentierungen hinaus ein Kommentar, bei dem die Anschaffung lohnt. Das Alleinstellungsmerkmal sind Abschnitte zu bereichsspezifischem Datenschutz, die sich Gebieten wie Gerichten, freien Berufen, Medien oder Finanzwesen widmen. Leider fehlt dabei sowohl der Bereich Religionsgemeinschaften wie der Bereich Sozialdatenschutz – noch. Denn noch sind sechs Buchstaben in diesem Abschnitt unbesetzt. Insbesondere eine Aufnahme des Sozialdatenschutzes in einer möglichen Folgeauflage könnte diesen Kommentar zu einem im kirchlichen Bereich besonders relevanten machen.

Die Kommentierung von Art. 91 DSGVO verfolgt eine sehr eigenständige und konsequente Auslegung, die sowohl den Wortlaut wie das EU-Primärrecht ernstnimmt. Damit stärkt sie die mittlerweile wohl herrschende Meinung, in der Tendenz Grundrechte und die kollektive Religionsfreiheit stark zu machen, ergänzt aber auch wichtige neue Elemente: Die Interpretation als Richtlinienregelung mit all ihren Konsequenzen findet sich so nirgends sonst und verdient breitere Rezeption.

Wolff/Brink, Datenschutzrecht, 2. Aufl. 2022, XXVI, 1763 S., 169 Euro.(Affiliate link)

Weitere Besprechungen von Art.-91-Kommentaren

Spezifische Aufsichten auch in der DSK 2.0 außen vor

Die Datenschutzkonferenz des Bundes und der Länder befasst sich damit, wie das Gremium für eine wirksamere Kooperation ausgestattet werden kann. Über eine IFG-Anfrage wurde das im Protokoll der letzten DSK-Sitzung erwähnte Gutachten »Rechtliche Möglichkeiten zur Stärkung und Institutionalisierung der Kooperation der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK 2.0)« von Eike Richter und Indra Spiecker gen. Döhmann öffentlich gemacht.

Titelseite des DSK-Gutachtens

Die staatlichen Aufsichten haben kein gesteigertes Interesse daran, dass die spezifischen Aufsichten mehr Beteiligungsrechte erhalten. Das spiegelt sich auch im Auftragsgutachten wieder – eine zu enge Einbeziehung soll sogar verfassungs- und europarechtswidrig sein. Das überzeugt nur bedingt.

Weiterlesen