Aus Sicht der Stiftung Datenschutz 03/22: Für mehr Einigkeit

Datenschutzrechtliche Laien muss es zunächst verwundern, wenn sie hören, dass die vermeintlich so allumfassende DSGVO im Bereich der Kirchen gar keine Anwendung findet. Und diese Verwunderung ist legitim, liegt doch die Ursache für diese Bereichsausnahme im EU­Mitgliedstaat Deutschland schon lange zurück. Die bedingte Ausnahme für die Kirchen wurde nicht erst am 27.April2016 mit der DSGVO beschlossen, sondern im Effekt bereits am 31.Juli1919 auf den langen Weg gebracht. Damals ging es zwar noch nicht um Datenschutz, doch wurde den Kirchen mit dem Beschluss der Verfassung für das Deutsche Reich eine umfassende Regelungsbefugnis zugestanden. Die für die Bundesrepublik beschlossene Fortgeltung des maßgeblichen Artikels137 der Weimarer Reichsverfassung legte dann 1949 die Grundlage für die spätere Wirkung der Öffnungsklausel im Artikel91 der DSGVO

Beim Inhalt der Einklang

Trotz dieser langen Historie ist die Wirkung auf das materielle Datenschutzrecht überschaubar. Denn anders als etwa beim Medienprivileg für die Presse bedeutet die Bereichsausnahme für die Kirchen keine empfindliche Einschränkung des Datenschutzrechts. Vielmehr lässt die DSGVO ein paralleles Bestehen vorhandener kirchlicher Datenschutzregeln nur zu, wenn diese mit ihr im Einklang stehen. Dies muss keine wortgetreue Übernahme bedeuten, denn dann wäre der Sinn der Öffnungsklausel kaum mehr gegeben. Doch müssen die Datenschutzregelungen der Kirchen den Begrifflichkeiten und Grundsätzen des harmonisierten europäischen Datenschutzrechts entsprechen. Es darf daher der geltende EU­Datenschutzstandard nicht unterschritten werden.

Lesen Sie hier den Beitrag mit allen Fußnoten im pdf. 

Überschritten werden darf er dagegen schon. So werden in den Datenschutzgesetzen beider großer deutscher Kirchen Datenverarbeitungen auf Basis berechtigter Interessen eingeschränkt. Im katholischen Gesetz über den kirchlichen Datenschutz werden kirchliche Stellen wie staatliche Behörden behandelt, mit der Folge, dass sie sich nicht auf berechtigte Interessen berufen können. Und im Datenschutzgesetz der Evangelischen Kirche können alleinberechtigte Interessen Dritter eine entsprechende Rechtsgrundlage bilden.

Und die Durchsetzung?

Wie im weltlichen Datenschutz, so gilt natürlich auch im kirchlichen Datenschutz: Einheitliche Regeln sollten einheitlich durchgesetzt werden. Und so haben denn auch beide Amtskirchen ihre Aufsichtsbehördenlandschaft mit dem Übergang zur DSGVO stärker zentralisiert. So wird vom Datenschutzbeauftragten der EKD die Aufsicht über 16 der 20 Landeskirchen wahrgenommen und in der katholischen Kirche die Aufsicht auf fünf Diözesandatenschutzbeauftragte konzentriert.

Die strukturelle Organisation der Aufsicht über den Datenschutz ist das eine, die Abstimmung über die inhaltliche Arbeit einer drigen Aufsicht jedoch das andere – und ein entscheidender Faktor. Denn durch zu geringe Abstimmung, durch inkongruente Entscheidungen und durch nicht zueinander passende Verlautbarungen könnten bei den zu beaufsichtigen Verantwortlichen schnell Unklarheiten und Unsicherheiten entstehen, ganz unabhängig von der Aufsichtszuständigkeit im konkreten Fall. Von daher ist es nur folgerichtig, dass sich auch im kirchlichen Bereich die Aufsichtsbehörden regelmäßig zusammensetzen. Das tun sie innerhalb eigener konfessioneller Konferenzen, aber auch übergreifend. So gab es 2018 und 2021 einen ökumenischen Datenschutztag der Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche und der Konferenz der Beauftragten für den Datenschutz in der Evangelischen Kirche in Deutschland.

Warum nicht öfter alle zusammen?

Wünschenswert wäre es aus hiesiger Sicht durchaus, wenn man den Kreis des Austausches noch größer zöge, wenn sich also die allgemeinen Aufsichtsbehörden enger und öfter mit den spezifischen Aufsichtsbehörden austauschen würden. Es scheint auf der Hand zu liegen: Wenn das jeweilige kirchliche Datenschutzrecht mit der DSGVO im Einklang stehen muss, dann sollte auch die Beaufsichtigung der Rechtseinhaltung in gewissen Einklang gebracht werden. Das kann selbstredend nur insoweit geschehen, wie nicht kirchliche Spezifika eine vom weltlichen Bereich abweichende Aufsichtspraxis erfordern. Doch wird es angesichts des noch immer jungen und teils noch materiell interpretierungsbedürftigen europäischen Datenschutzrechts genug Rechts­ und Rechtsdurchsetzungsfragen geben, bei deren Beantwortung eine gemeinsame Linie sinnvoll wäre. Der Bundesgesetzgeber hat dies 2017 nur für einen engen Kernbereich ebenso gesehen und die Datenschutzaufsichtsbehörden von Bund und Ländern in §18 BDSG lediglich verpflichtet, die kirchlichen Aufsichtsbehörden in europäischen Angelegenheiten zu beteiligen, „sofern diese von der Angelegenheit betroffen sind“.

Der tatsächliche Umgang der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) mit den spezifischen Aufsichtsbehörden, mithin denen des kirchlichen Bereichs, muss sich anscheinend eher als reserviert bezeichnen lassen. Die Bestandsschutzregel in Art.91 DSGVO wird in der DSK eher restriktiv gesehen;  eine institutionelle Beteiligung der spezifischen Aufsichtsbehörden könne über informelle Gesprächsrunden und ein gesetzliches Minimum kaum hinausgehen. Immerhin arbeiten der BfDI und die Zentrale Anlaufstelle für die grenzüberschreitende Zusammenarbeit deutscher und europäischer Datenschutzaufsichten an einem Konzept, mit dem die spezifischen Aufsichtsbehörden über auf europäischer Ebene laufende Abstimmungen besser informiert werden können.

Aller guten Konferenzen sind drei

Neben der DSK und den Konferenzen der kirchlichen Aufsichten gibt es noch eine weitere, eher wenig bekannte Institution, nämlich die Rundfunkdatenschutzkonferenz, die RDSK. Auch das Ausmaß der Abstimmung zwischen ihr und der allgemeinen Aufsicht scheint ausbaubar, denn auch dieser Zusammenschluss spezifischer Aufsichtsbehörden zielt auf ein engeres Verhältnis zur DSK ab und hofft für das laufende Jahr auf Fortschritte. Im Rahmen der Umsetzung der aktuellen Koalitionsvereinbarung im Bund könnte daher die Chance ergriffen werden, nicht nur „die Datenschutzkonferenz [von Bund und Ländern] zu institutionalisieren“, sondern auch Maßgaben für eine engere Abstimmung aller deutschen Datenschutzkonferenzen aufzustellen. Dem Einklang bei Interpretation und Durchsetzung des einheitlichen europäischen Datenschutzrechts wäre es sicher nicht abträglich. Eine Gemeinsamkeit scheinen Datenschutzaufsichten dagegen in allen drei Bereichen zu haben: Die (zu) knappen Ressourcen. Während die Unterausstattung der staatlichen Aufsichtsbehörden in vielen Bundesländern bereits seit Jahrzehnten notorisch ist, waren in jüngerer Zeit Klagen darüber auch aus dem kirchlichen Bereich zu vernehmen. Ebenso dies könnte ein Thema für eine übergreifende Aufsichtskonferenz sein, wenngleich zugegebenermaßen kein schönes.