Eine Entscheidung des Verwaltungsgerichts Hannover zum Datenschutz bei der Selbständigen Evangelisch-Lutherischen Kirche (Urteil vom 30.11.2022,10 A 1195/21; nicht rechtskräftig) hat etliche Grundsatzfragen für den kirchlichen Datenschutz aufgeworfen und (für den Einzelfall sowie nicht rechtskräftig, da die Berufung beim Niedersächsischen Oberverwaltungsgericht in Lüneburg anhängig ist) beantwortet. Unter anderem ist das VG Hannover der Meinung, die Datenschutzaufsicht über öffentlich-rechtliche Religionsgemeinschaften ohne eigenes Datenschutzrecht liege trotz fehlender Gesetzesgrundlage bei den (staatlichen) Landesbeauftragten für Datenschutz. Diesem Thema wird hier nachgegangen (und der Auffassung des VG Hannover widersprochen).
Ein Teil fehlt im komplexen Aufsichts-Puzzle in Deutschland – mit Analogien bekommt man es nicht fertig, argumentiert Ralph Wagner. (Bildquelle: Sigmund auf Unsplash)
Bereits vor der Hannoveraner Entscheidung gab es Irritationen und Uneinigkeit zur korrekten Einordnung von Religionsgemeinschaften in die (seltsame und wohl EU-weit einmalige) Dichotomie des deutschen Datenschutzrechts aus öffentlichen und nicht-öffentlichen Stellen. Aus dieser Zweiteilung und den Zuordnungs-Schwierigkeiten ergibt sich in der Folge (u. a.) die Unklarheit bei der Bestimmung der Datenschutzaufsicht. Bei näherem Hinsehen zeigt sich, dass eine grundsätzliche Änderung des deutschen Datenschutzrechts nötig wäre, um vollständige Abhilfe zu schaffen. Rechtspolitisch sind derartige Schritte für die nächsten Jahre extrem unwahrscheinlich. Aber der Reihe nach.
Kurz zusammengefasst lautet das Urteil: Der Wortlaut von Art. 91 DSGVO gilt. Der Kirchenartikel ist wirklich nur eine Bestandsschutzregelung. Eine eingehendere Analyse gibt einige interessante Anhaltspunkte zur Auslegung des Artikels – und wenn das Urteil rechtskräftig werden sollte, werden wohl einige Kommentare umgeschrieben werden müssen.
Die zweite Auflage des Datenschutzrechts-Kommentars(Affiliate link) von Heinrich Amadeus Wolff (seit kurzem Richter am Bundesverfassungsgericht) und Stefan Brink (bald nicht mehr baden-württembergischer Landesdatenschutzbeauftragter) ist erschienen. Neben einer Kommentierung von DSGVO und BDSG zeichnet sich dieser Kommentar auch durch einen Grundlagenteil mit Aufsätzen zu bereichsspezifischem Datenschutz aus.
Die von Daniel Mundil besorgte Kommentierung des Art. 91 DSGVO ist kompakt, bringt aber einige neue Aspekte ein, die so in anderen Kommentaren nicht zu finden sind und beleuchtet dabei insbesondere die Frage nach der Funktion und dem Spielraum, den die DSGVO kirchlichem Datenschutzrecht zuspricht.
Kommentierung des Art. 91 DSGVO
Mit sechs Seiten gehört die Kommentierung zu den kürzeren. Gut gelöst ist die Einführung: In einem Überblick wird kompakt die Problematik eines der wohl dunkelsten Artikel in der DSGVO aufgezeigt und zugleich die Perspektive transparent gemacht, unter der der Autor seine Kommentierung vornimmt: Der Kirchenartikel als Umsetzung des Art. 17 AEUV, der das mitgliedstaatliche religionsverfassungsrechtliche Gefüge schützt. Mundil macht deutlich, dass der Artikel viel Auslegung bedarf: »Die Vorgaben beruhen im Wesentlichen auf unbestimmten Rechtsbegriffen, die einen erheblichen Auslegungsspielraum lassen«, so der Autor. Daneben stelle sich bei wörtlicher Anwendung von Abs. 1 die Frage, »weshalb es überhaupt besonderer Regelungen für die Religionsgemeinschaften bedurfte, da diese offenbar ohnehin zur vollständigen Rechtsangleichung verpflichtet sind.«
Auf eine Darstellung der Rechtslage vor Inkrafttreten der DSGVO folgt die Erläuterung des Art. 91 DSGVO mit einem Schwerpunkt auf dem ersten Absatz. Der historische Teil ist dabei deutlich weniger ausführlich als in anderen Kommentaren – etwa Hense bei Sydow –, zeigt aber gut auf, welche Veränderungen die neue Rechtslage durch die erstmalige Kodifizierung kirchlichen Datenschutzes im säkularen Recht ermöglicht. Insbesondere begrüßt Mundil, dass mit Art. 91 DSGVO, der nicht zwischen öffentlich-rechtlich und privatrechtlich verfassten Religionsgemeinschaften unterscheidet, mehr Gleichbehandlung zwischen diesen verschiedenen Organisationsformen organisierter Religion möglich wird.
Die Kommentierung der aktuellen Rechtslage greift die Position des Überblicks auf und problematisiert die durchweg interpretationsbedürftigen offenen bis ungeklärten Rechtsbegriffe – allerdings ohne Reformvorschläge zu benennen. Dabei entscheidet sich Mundil aus seinem Ausgangspunkt aus den Grundrechten und Art. 17 AEUV für eine Auslegung, die das Ziel kollektiver Religionsfreiheit nicht aus dem Auge verliert, so gleich zu Beginn beim Anwendungsbereich, wo er einem zu engen, allein auf den religiösen Kernbereich konzentrierten Bereich eine Absage erteilt. Dass dabei als Beispiele ein Online-Klostershop und der religiöse Kursbetrieb eines Klosters als Beispiele angeführt werden, spricht dafür, dass tatsächlich relevante Anwendungsbereiche im Blick sind. »Um hier den von Art. 17 AEUV und Art. 91 geforderten autonomen Rechtssetzungsbereich der Religionsgemeinschaften tatsächlich zu gewährleisten gilt es, den Anwendungsbereich entsprechend weit auszulegen«, argumentiert Mundil. Das sei auch ohne die Verletzung dogmatischer Ansätze unter Verweis auf Rechtsprechung des BVerfG zu »Randbetätigungen« der Religionsgemeinschaften möglich – der Autor führt das BVerfG-Urteil vom 15. Januar 2002 – 1 BvR 1783/99 zum Schächten an. Implizit geht Mundil damit anscheinend über die von den Kirchen selbst vertretene Position hinaus, dass reine Wirtschaftsbetriebe nicht dem kirchlichen Datenschutzregime unterfallen. Hier wäre eine explizite Klärung dieser Frage wünschenswert gewesen. (Rn. 15)
Eine kollektive Religionsfreiheit achtende Auslegung von Art. 91 DSGVO muss immer mit dem Wortlaut kämpfen. So auch hier angesichts der eigentlich klaren Formulierung, die nur bestehenden Regelungen Bestandsschutz gewährt und selbst Veränderungen der bestehenden Regelungen begründungsbedürftig macht. Immerhin: Das Erfordernis von In-Einklang-Bringen deute darauf hin, dass eine »Versteinerung« des Normbestands nicht im Sinn und Zweck der Vorschrift liege. Bleibt das Problem von Neu- und Erstregelungen. Mundil konstatiert ein Dilemma, dass einerseits ein klarer gesetzgeberischer Wille zur Vereinheitlichung des Datenschutzes festzustellen ist, zugleich aber der Wille zum Schutz der kollektiven Religionsfreiheit und der jeweiligen nationalen staatskirchenrechtlichen Systeme. Im Ergebnis spricht er sich dafür dass, dass der Gleichheitsgrundsatz und das Schutzziel der Vielfalt der Religionen in der Grundrechtscharta »für eine weite Auslegung insbeonsdere zugunsten neu hinzutretender Religionsgemeinschaften« spreche. (Rn. 18)
(Ein kleiner Fehler findet sich in Randnummer 18a: Hier wird der 18. Mai 2018 als Datum des Inkrafttretens von KDG und DSG-EKD genannt, richtig ist der 24. Mai 2018.)
Bei der Auslegung des Begriffs der »umfassenden Regeln« spricht sich Mundil dafür aus, dass damit das Gesamtwerk gemeint ist anstatt einer Betrachtung je einzelner kirchlicher Normen. Die konkrete Konsequenz ist die Position, dass immer ein kirchliches Gesamtwerk zur Anwendung kommt und nicht einzelne ungenügende Normen durch DSGVO-Normen ersetzt werden. (Rn. 19)
Dieser Gedanke eines Gesamtwerks, der sicherlich der wichtigste Beitrag dieser Kommentierung ist, wird in der Diskussion des geforderten »Einklangs« noch einmal deutlicher. Mundil spricht sich gegen eine enge Auslegung aus, die Kirchen lediglich Konkretisierungen zugestehen will und ansonsten das Ziel einer Vollharmonisierung mit der DSGVO ausgibt. Stattdessen plädiert er für die Auslegung von Art. 91 DSGVO als eine Art »Richtlinienregelung«. Mundil denkt diese Analogie, die sich auch in anderen Kommentierungen findet, konsequent durch: »Ähnlich wie bei Richtlinienbestimmungen mit zwingenden Vorgaben für die Mitgliedsstaaten wären die Religionsgemeinschaften zwar gehalten, die inhaltlichen Vorgaben verbindlich in ihr Recht zu übernehmen. Sie können aber ihre Rechtsetzungsautonomie dahin wahren, dass sie die Vorgaben durch eigene Rechtsstrukturen umsetzen würden«, so der Autor. Das führe dann auch dazu, dass bei einer Kollision mit Regelungen der DSGVO nicht die EU-Verordnung über den Anwendungsvorrang zum Tragen käme, sondern vielmehr den kirchlichen Gesetzgebern aufgegeben sei, ihre Regeln anzupassen. Ausgelassen wird die Frage, wie das festgestellt werden kann. Wahrscheinlich brauchte es für die Feststellung einer Kollision kirchlichen Datenschutzrechts mit der DSGVO wohl eine EuGH-Vorlage durch ein Gericht. Während das durch die kirchlichen Gerichte seitens des EU-Rechts wohl zulässig wäre, ist die Frage von kirchenrechtlicher Seite noch nicht bearbeitet. Kirchliche Datenschutzrichter jedenfalls zeigen sich eher skeptisch, wenn eine Vorlage überhaupt realistisch ist, dann eher durch ordentliche und Arbeitsgerichte, die kirchliches Datenschutzrecht anwenden.
Wie in anderen Kommentaren wird Art. 91 Abs. 2 DSGVO zu den spezifischen Aufsichten eher schnell abgehandelt. Auch hier wird die unklare Formulierung gerügt. Mundil sieht von der Norm sowohl besondere staatliche Aufsichtsbehörden mit Zuständigkeit für die Religionsgemeinschaften wie eigene Aufsichten der Religionsgemeinschaften gedeckt. Im zweiten Fall verweist der Autor auf Art. 53 Abs. 1, 4. Spiegelstrich DSGVO, der es den Mitgliedstaaten ermöglicht, die Mitglieder von Aufsichtsbehörden »von einer unabhängigen Stelle, die nach dem Recht des Mitgliedstaats mit der Ernennung betraut wird« ernennen zu lassen; das könnte dann im Fall einer kirchlichen Aufsicht eine kirchliche unabhängigen Stelle sein. Das ist konsequent, sieht Art. 91 Abs. 2 DSGVO doch vor, dass die spezifischen Aufsichten den Anforderungen von Kapitel VI DSGVO zu erfüllen hat – Art. 53 war dabei aber bislang selten in der Diskussion. Das tatsächlich von beiden großen Kirchen praktizierte Modell wird von Mundil gar nicht erwähnt: Rein kirchliche Aufsichten ohne staatliche Beteiligung, bei denen Art. 53 Abs. 1 DSGVO derart analog angewandt wird, dass die »Regierung« (der Rat der EKD nach dem DSG-EKD) oder das »Staatsoberhaupt« (der Diözesanbischof nach KDG) die jeweilige Aufsicht bestellt, die Aufsicht also nicht von den in Art. 53 DSGVO eigentlich benannten Instanzen bestellt wird.
Kommentierung von § 18 Abs. 1 S. 4 BDSG
Die Kommentierung von § 18 BDSG wird von Olaf Kisker besorgt, der in Rn 4a auch die Beteiligung der spezifischen Aufsichten beim Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder berücksichtigt – keine Selbstverständlichkeit; andere Kommentare lassen diesen Aspekt gern aus. Kisker ist Regierungsdirektor beim BfDI, und so überrascht es kaum, dass er sich die Position der Datenschutzkonferenz zur sehr begrenzten Beteiligung der spezifischen Aufsichten an der Entscheidungsfindung der DSK zueigen macht. Zwar sei die für die Beteiligung der spezifischen Aufsichten notwendige »Betroffenheit« noch nicht abschließend geklärt. Außer bei im Einzelfall vorliegender Zuständigkeit im One-Stop-Verfahren aber »dürfte eine Betroffenheit nur dann vorliegen, wenn inhaltlich gerade der Bereich des Rundfunks bzw. der Kirchen in besonderer Weise tangiert wird. Es reicht nicht aus, dass die Angelegenheit für die spezifischen Aufsichtsbehörden in gleicher Weise von Belang ist, wie für alle anderen Aufsichtsbehörden«, so Kisker. Das Gebot der Beteiligung reiche auch nur so weit, dass die Stellungnahmen der Spezifischen berücksichtigt werden, daraus folge aber kein Anspruch darauf, den gemeinsamen Standpunkt auch im Sinn der Stellungnahme auszugestalten.
Fazit
Der Wolff/Brink ist auch über die für den kirchlichen Datenschutz einschlägigen Kommentierungen hinaus ein Kommentar, bei dem die Anschaffung lohnt. Das Alleinstellungsmerkmal sind Abschnitte zu bereichsspezifischem Datenschutz, die sich Gebieten wie Gerichten, freien Berufen, Medien oder Finanzwesen widmen. Leider fehlt dabei sowohl der Bereich Religionsgemeinschaften wie der Bereich Sozialdatenschutz – noch. Denn noch sind sechs Buchstaben in diesem Abschnitt unbesetzt. Insbesondere eine Aufnahme des Sozialdatenschutzes in einer möglichen Folgeauflage könnte diesen Kommentar zu einem im kirchlichen Bereich besonders relevanten machen.
Die Kommentierung von Art. 91 DSGVO verfolgt eine sehr eigenständige und konsequente Auslegung, die sowohl den Wortlaut wie das EU-Primärrecht ernstnimmt. Damit stärkt sie die mittlerweile wohl herrschende Meinung, in der Tendenz Grundrechte und die kollektive Religionsfreiheit stark zu machen, ergänzt aber auch wichtige neue Elemente: Die Interpretation als Richtlinienregelung mit all ihren Konsequenzen findet sich so nirgends sonst und verdient breitere Rezeption.
Die staatlichen Aufsichten haben kein gesteigertes Interesse daran, dass die spezifischen Aufsichten mehr Beteiligungsrechte erhalten. Das spiegelt sich auch im Auftragsgutachten wieder – eine zu enge Einbeziehung soll sogar verfassungs- und europarechtswidrig sein. Das überzeugt nur bedingt.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Per IFG-Antrag konnte ich die Folien zum Vortrag eines Mitarbeiters des Bundsdatenschutzbeauftragten beim Ökumenischen Datenschutztag befreien. Thema des Vortrags war »Das Recht auf Auskunft nach Art. 15 DSGVO«. Die Folien sind nicht übermäßig spektakulär, aber hilfreich, da sie auch die zur DSGVO parallelen Regelungen aus dem KDG und dem DSG-EKD benennen und einordnen. Dabei fällt auf, dass das DSG-EKD einiges eher Verantwortlichen-freundlich regelt: Keine explizite Regelung der Negativ-Auskunft, kein Auskunftsanspruch zu automatisierter Entscheidung und Profiling, kein Recht auf Kopie, eine Verhältnismäßigkeitsprüfung als Grenze des Auskunftsrechts (§ 19 Abs. 4 DSG-EKD), die Ausnahmen in § 19 Abs. 2 und 4 DSG-EKD werden als » (zu?) weitreichende Ausnahmen« bezeichnet.
Der BfD EKD hat einen zweiten Teil seiner Fragenliste zum TTDSG veröffentlicht. Interessant ist darin vor allem die Aussagen zum Verhältnis von TTDSG und DSG-EKD: »Nach der Auffassung des BfD EKD ist das TTDSG das speziellere und strengere Gesetz und geht daher dem DSG-EKD vor. […] Die erste Datenerhebung auf dem Endgerät, z.B. das Auslesen oder Schreiben von Daten, fällt daher in den Anwendungsbereich des TTDSG. Darüber hinausgehende Verarbeitungen von personenbezogenen Daten (z.B. die Bildung von Nutzerprofilen, Einbindung externer Dienste) fallen in den Anwendungsbereich des DSG-EKD.« (Über den ersten Teil wurde hier auch schon berichtet.)
Das Katholische Büro Berlin hat seine Stellungnahme zum Entwurf der EU-KI-Verordnung veröffentlicht. (Ich hab’s auch bei katholisch.de vermeldet.) Die Einschätzung ist wohlwollend-kritisch: »Dem Gedanken folgend, dass das KI-System im Dienst des Menschen steht, nennt die KOM in der Vorschlagsbegründung als erstes Ziel des KI-VO-E den Schutz des Menschen in Form der Gewährleistung der bestehenden Grundrechte und der Werte der Union. Wir bedauern jedoch, dass dieses Ziel nicht konsequent umgesetzt wurde. Nicht alle KI-Systeme, die in besonders gefährdeten Bereichen, wie etwa demokratischen und rechtsstaatlichen Prozessen, dem Schutz der Umwelt oder der Verhinderung von Diskriminierung Anwendung finden können, werden erfasst.«
Der Europäische Datenschutzausschuss hat seinen Tätigkeitsbericht für 2021 veröffentlicht. Darin wird auch kurz über einen Fall aus Slowenien berichtet, in dem eine betroffene Person vergeblich – auch vor Gericht – versuchte, ihren Eintrag aus dem römisch-katholischen Taufregister zu löschen. In Slowenien wendet die Kirche kein eigenes Datenschutzrecht an; der Fall zeigt also, dass auch unter direkter Anwendung der DSGVO Abwägungen mit dem Recht auf institutionelle Religionsfreiheit getroffen werden können.
Das Interdiözesane Datenschutzgericht hat die Veröffentlichung gleich dreier neuer Entscheidungen angekündigt (IDSG 06/2021 vom 08.03.2021, IDSG 07/2019 vom 21.02.2022, IDSG 06/2019 vom 31.12.2021), im Laufe der Woche wurde IDSG 06/2019 veröffentlicht: ein eher unspektakuläres Verfahren mit Büro-Drama um angeblich unzulässig weitergegebene Bewerbungsunterlagen, für die es aber nur einen vagen und unbelegten Chat-Verlauf als Beweis gibt, so dass die Klage erwartungsgemäß abgewiesen wurde. Bei IDSG 07/2019 soll es um die Frage gehen, ob das Foto eines Autos, auf dem das Kennzeichen nicht erkennbar ist, personenbezogene Daten enthält, und bei der dritten Entscheidung gibt es bis dato nicht einmal einen nichtamtlichen Leitsatz.
Entscheidungen von staatlichen Datenschutzaufsichten, an denen Religionsgemeinschaften beteiligt sind, sind noch sehr rar – in Deutschland werden die meisten Fälle von kirchlichen Aufsichten abgedeckt, für die Landesdatenschutzaufsichten bleibt kaum etwas anderes übrig. Umso interessanter ist es, dass nun die wohl erste ausführliche Entscheidung bis auf Schwärzungen vollständig vorliegt: Mittels FragDenStaat.at konnte ich den Bescheid mit dem Aktenzeichen DSB-D123.874/0016-DSB/2019 der österreichischen Datenschutzbehörde befreien, von der die Behörde zuvor nur knapp in ihrem Newsletter berichtet hatte. [Ergänzung, 28. April 2021]Aus den mir vorliegenden Unterlagen war nicht ersichtlich, dass der Bescheid noch nicht rechtskräftig ist. Mittlerweile stehe ich in Kontakt mit der betroffenen Person in dem Fall, die gegen den Bescheid geklagt hat. Derzeit ist die Sache beim Bundesverwaltungsgericht anhängig.[/Ergänzung]
In der Sache geht es um einen Konflikt zwischen einem ausgetretenen Mitglied und seiner ehemaligen Religionsgemeinschaft ums Informationsrecht – die betroffene Person wollte auch Auskunft über in einem verschlossenen Umschlag aufbewahrte Daten erhalten. Die Religionsgemeinschaft berief sich darauf, dass das eine innere Angelegenheit sei, die vom staatlichen Recht nicht erfasst sei, die Datenschutzbehörde gab ihr Recht.
Die Entscheidung enthält vor allem zwei interessante Punkte: Eine Prüfung, ob eigene Datenschutzregeln die Erfordernisse von Art. 91 Abs. 1 DSGVO erfüllen, und eine Prüfung, ob und inwieweit Datenverarbeitung zum geschützten und dem Staat entzogenen Kernbereich der Religionsausübung gehört. Beide Punkte sind auch über den konkreten Einzelfall hinaus instruktiv.
Manchmal vergisst man bei all der Bürokratie, dass es bei Datenschutz um informationelle Selbstbestimmung und damit um die Verteidigung von Grundrechten geht. Auf Twitter macht die Theologin Doris Reisinger auf Aspekte eines Ausstiegs aus problematischen kirchlichen Gruppen aufmerksam, die man selten im Blick hat: Rentennachzahlung, Testamentsänderung und Datenschutz. (Der ganze Thread lohnt zu lesen. Hier geht’s nur um den datenschutzrechtlichen Aspekt.)
»Kommunitäten, die ihre Mitglieder kontrollieren, sammeln oft ohne deren Zustimmung auch eine Unmenge personbezogener Daten, die sie auch nach dem Austritt aufheben. Das ist ein Verstoß gegen die DSGVO und das Gesetz über Kirchlichen Datenschutz (KDG)«, schreibt Reisinger und empfiehlt, hier das datenschutzrechtliche Auskunftsrecht zu nutzen. Im Prinzip genügt dafür die Information aus ihrem Tweet: Formloses Schreiben, Auskunft nach einschlägigem Gesetz verlangen, Auskunft erhalten. Gerade im kirchlichen Bereich kann es aber doch komplizierter werden aufgrund des in Art. 91 DSGVO festgeschriebenen Selbstverwaltungsrechts der Kirchen im Datenschutz – deshalb gibt es hier einen Wegweiser durch das Gestrüpp aus speziellen kirchlichen Gesetzen und was man tun kann, wenn die verantwortliche Stelle die Daten nicht rausrückt.
