Aufsatz : Reformation 2.0 – Umsetzung der Anforderungen der Datenschutz-Grundverordnung durch die evangelische und die katholische Kirche : aus der RDV 1/2018, Seite 8 bis 14
Die Datenschutz-Grundverordnung (DS-GVO) enthält zahlreiche Öffnungsklauseln. Eine bislang kaum beachtete Öffnungsklausel ist Art. 91 DS-GVO, welcher Religionsgemeinschaften zugesteht, eigene Regelungen zum Schutz personenbezogener Daten beizubehalten, und eine eigene (unabhängige) Datenschutzaufsicht erlaubt. Damit wurde 500 Jahre nach Luthers Thesenanschlag an der Wittenberger Schlosskirche eine weitere Reformation angestoßen: Das Datenschutzrecht der Evangelischen Kirche in Deutschland und das der Römisch-katholischen Kirche in Deutschland wurden den Anforderungen der DS-GVO angepasst. Der folgende Beitrag skizziert die neuen Regelungen im Bereich des kirchlichen Datenschutzes und beleuchtet einige zentrale Probleme, die sich bei der Anwendung dieser Vorschriften ergeben werden.
I. Überblick
Am 15. November 2017 hat die Evangelische Kirche auf ihrer Synode das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD)[1] beschlossen. Wenige Tage später, am 20. November 2017, zog die Katholische Kirche nach und beschloss auf der Vollversammlung des Verbandes der Diözesen Deutschlands das Gesetz über den Kirchlichen Datenschutz (KDG).[2] Mit diesen Regelwerken unternehmen die beiden großen deutschen Kirchen einen Versuch, die ihnen durch die DS-GVO eröffneten Spielräume zum Schutz personenbezogener Daten zu regulieren.
1. Das Kirchengesetz über den Datenschutz der Evangelischen Kirche
Wird das DSG-EKD oberflächlich betrachtet, fallen auf den ersten Blick erhebliche Parallelen zur DS-GVO auf. Das DSGEKD übernimmt weitgehend die Systematik der DS-GVO. So finden sich in Kapitel 1 die „Allgemeinen Bestimmungen“ (§§ 1–4 DSG-EKD), wobei § 3 DSG-EKD mit der Sonderregelung zu Seelsorgegeheimnis und Amtsverschwiegenheit auffällt. Die Grundsätze der Datenverarbeitung sind in dem mit „Verarbeitung personenbezogener Daten“ überschriebenen Kapitel 2 (§§ 5–15 DSG-EKD) geregelt. Hier finden sich einige Regelungen, die in der Systematik des Europäischen Datenschutzrechts wie ein Fremdkörper erscheinen. Ein Beispiel, das Anlass zur Prüfung der Wirksamkeit einer Abweichung von der DS-GVO gibt, ist die Regelung der Verantwortlichkeit für Fälle der Offenlegung an kirchliche Stellen (§ 8 Abs. 2 DSG-EKD). In dieser für die Pflichten der Gesetzesadressaten zentralen Passage wird bestimmt, dass – anders als es Art. 4 Nr. 7 DS-GVO vorsieht – nicht der Offenlegende für die Offenlegung verantwortlich sein soll,[3] sondern der um die Offenlegung Ersuchende. Zwar kann es, da die Europäische Union über keine Regelungskompetenz für das Staatskirchenrecht verfügt, strenggenommen keine „Europarechtskonformität“ i.e.S. geben. Gleichwohl können Unionsrechtsakte, die auf nicht religionsbezogenen Kompetenznormen beruhen, auf die Tätigkeit der Religionsgesellschaften einwirken, wie es bei der DS-GVO der Fall ist.[4] Auf die Grundsätze der Verarbeitung folgen die Betroffenenrechte in Kapitel 3 (§§ 16–25 DSG-EKD). Pflichten von Verantwortlichen und Auftragsverarbeitern finden sich in den Kapitel 4 (§§ 26–35 DSG-EKD). Die Anforderungen hinsichtlich der Datenschutzbeauftragten finden sich in dem separaten Kapitel 5 (§§ 36–38 DSG-EKD). Kapitel 6 (§§ 39–45 DSG-EKD) befasst sich mit der Datenschutzaufsicht; Kapitel 7 (§§ 46–48 DSG-EKD) regelt Rechtsbehelfe und Schadensersatz. Besondere Verarbeitungssituationen sind in Kapitel 8 (§§ 49–53 DSG-EKD) geregelt. Das letzte Kapitel (§§ 54–56 DSG-EKD) enthält die Schlussbestimmungen.
2. Das Gesetz über den kirchlichen Datenschutz
Das wenige Tage später von der katholischen Kirche in Deutschland beschlossene KDG folgt derselben Systematik. Dies trifft uneingeschränkt auf die Kapitel 1 bis 3 (§§ 1–25 KDG) zu, welche bei der Offenlegung an kirchliche Stellen mit § 9 Abs. 3 KDG einen ähnlichen Sonderweg einschlagen. Das mit „Verantwortlicher und Auftragsverarbeiter“ betitelte 4. Kapitel (§§ 26–38 KDG) orientiert sich stark an der DSGVO und enthält auch die – beim evangelischen Pendant separierten – Regeln über die Bestellung und die Aufgaben des Datenschutzbeauftragten. Im 5. Kapitel (§§ 39–41 KDG) finden sich dann die Normen, die die Übermittlung personenbezogener Daten an und in Drittländer regeln. Auf diese Vorschriften folgt das die Datenschutzaufsicht regelnde Kapitel 6 (§§ 42–47 KDG) sowie Kapitel 7 (§§ 48–51 KDG), welches Rechtsbehelfe und Schadensersatz regelt. Besondere Verarbeitungssituationen sind, genauso wie beim DSGEKD, im 8. Kapitel (§§ 52–55 KDG) geregelt. Ebenso weist das KDG ein letztes Kapitel mit Schlussbestimmungen auf (§§ 56–58 KDG).
3. Kirchendatenschutzgerichtsbarkeit
Während das weltliche Datenschutzrecht einen zweigeteilten Weg einschlägt und in einigen Konstellationen die Verwaltungsgerichtsbarkeit, in anderen Konstellationen die ordentliche Gerichtsbarkeit zuständig ist, geht das Kirchendatenschutzrecht andere Wege. § 47 Abs. 1 DSG-EKD zentralisiert den Rechtsschutz bei den Verwaltungsgerichten der evangelischen Kirche. Einen Schritt weiter geht die das KDG flankierende Kirchliche Datenschutzgerichtsordnung (KDSGO), welche im Entwurf vorliegt.[5] Der KDSGO-Entwurf sieht die Bildung eines kirchlichen Datenschutzgerichts mit einer kleinen Datenschutzkammer und einer großen Datenschutzkammer als Berufungsinstanz vor, welches für alle Rechtsstreitigkeiten im Bereich des KDG zuständig ist. Damit nimmt die katholische Kirche womöglich eine Entwicklung vorweg, die es im weltlichen Datenschutzrecht und seiner Zersplitterung in Verwaltungs- und ordentliche Gerichtsbarkeit (bislang) nicht gibt. Dies ist zu begrüßen, erscheint doch die Bildung spezieller Zuständigkeiten für datenschutzrechtliche Streitigkeiten im digitalen Zeitalter des 21. Jahrhunderts nur zeitgemäß.
II. Öffnungsklausel für kirchlichen Datenschutz
Einschlägige Öffnungsklausel für die Anwendung von kirchendatenschutzrechtlichen Vorschriften ist Art. 91 DSGVO. Art. 91 Abs. 1 DS-GVO erlaubt die weitere Anwendung umfassender Datenschutzregeln durch die Kirchen, religiösen Vereinigungen und religiösen Gemeinschaften, soweit diese mit der DS-GVO „in Einklang stehen“. Art. 91 Abs. 2 DS-GVO gestattet diesen ferner eine eigene Datenschutzaufsicht. Angesprochen von diesen europarechtlichen Begrifflichkeiten sind die korporativ-institutionellen Organisationen mit religiösem bzw. weltanschaulichem Proprium.[6] Dies schließt u.a. die beiden großen christlichen Kirchen in Deutschland ein. Die beiden Gesetze treten nach § 56 DSGEKD bzw. § 58 Abs. 1 KDG am 24. Mai 2018, einen Tag vor Anwendbarkeit der DS-GVO, in Kraft. Bei ihnen handelt es sich, ebenso wie bei ihren Vorgängerregelungen,[7] um umfassende Regelungen zum Datenschutz.
Die kirchlichen Datenschutzgesetze sind aber nur insoweit anwendbar, als sie mit der DS-GVO „in Einklang stehen“ (vgl. Art. 91 Abs. 1 DS-GVO). Nach zum Teil vertretener Ansicht besteht damit dieselbe Bindung an die Vorgaben der DSGVO wie für die Mitgliedstaaten, sodass die kirchlichen Datenschutzvorschriften grundsätzlich von der DS-GVO weder „nach oben“ abweichen noch diese konkretisieren dürfen; vielmehr seien die Spielräume maßgeblich, die auch die DSGVO den Mitgliedstaaten lässt.[8] Die wohl herrschende Meinung gesteht den Religionsgemeinschaften zwar eine nicht auf die mitgliedstaatlichen Spielräume begrenzte Möglichkeit der Konkretisierung zu, allerdings nur insoweit diese bei objektiver Auslegung den Wertungen der DS-GVO entspricht.[9] Unstreitig ist damit, dass eine Vereinbarkeit der kirchenrechtlichen Spezifika mit Art. 91 DS-GVO jedenfalls nur dann in Betracht kommt, wenn keine Abweichung von den Wertungen der DS-GVO vorliegt.
Eine abschließende Bewertung ist hier eindeutig verfrüht. Allerdings zeigen sich in beiden Gesetzen einzelne Passagen, die in erheblichem Widerspruch zu Wertungen der DS-GVO stehen. Ein simples Beispiel ist § 4 Nr. 2 lit. a DSGEKD bzw. § 4 Nr. 2 KDG. In den zitierten Paragraphen übernehmen beide Gesetze die Definition der besonderen Arten personenbezogener Daten aus Art. 9 Abs. 1 DS-GVO. Zugleich ergänzen beide Gesetze diese Definition aber darum, dass Daten über die Kirchenzugehörigkeit kein besonderes personenbezogenes Datum i.S.d. jeweiligen Norm darstellen sollen. Die Kirchenzugehörigkeit ist jedoch allgemein als Datum über die religiöse Überzeugung und damit als besonderes personenbezogenes Datum anerkannt.[10] Die Vorschriften der § 4 Nr. 2 lit. a Halbsatz 2 DSG-EKD und § 4 Nr. 2 Satz 2 KDG sind folglich nicht mit der DS-GVO vereinbar[11] und daher nicht anzuwenden.
Schutzlücken entstehen dadurch nicht: Bei nicht bis zur Geltung der DS-GVO mit dieser in Einklang gebrachten Regelungen ist die DS-GVO subsidiär anwendbar.[12] Dasselbe muss auch dann gelten, wenn eine Norm nicht von der Öffnungsklausel gedeckt und damit unanwendbar ist, da ansonsten dieselbe Gefährdungslage für die informationelle Selbstbestimmung des Betroffenen einträte. Daraus folgt, dass in Bereichen überschießender Regelungen durch DSG-EKD oder KDG die Anforderungen der Öffnungsklausel des Art. 91 Abs. 1 DS-GVO nicht erfüllt sind und in diesen Fällen die DS-GVO – ggf. auch mitgliedstaatliche Umsetzungen, soweit den Mitgliedsstaaten Regelungsspielräume eingeräumt werden – Anwendung findet.
III. Ausgesuchte Problemfelder im Einzelnen
Einige problematische Aspekte der neuen Kirchendatenschutzgesetze wurden bereits angedeutet. Im Folgenden werden zentrale Problemfelder aufgezeigt, die sich in der Praxis beider Kirchen und vor allem in der Zusammenarbeit mit diesen als Fallstricke herausstellen könnten.
1. Anwendbarkeit der kirchlichen Datenschutzgesetze auf nicht-kirchliche Auftragsverarbeiter?
Der Anwendungsbereich der Kirchendatenschutzgesetze ergibt sich aus § 2 DSG-EKD bzw. §§ 2, 3 KDG. Dabei enthält § 2 Abs. 1 DSG-EKD eine Legaldefinition der „kirchlichen Stelle“, welche alle maßgeblichen Stellen der evangelischen Kirche in Deutschland umfasst. Demgegenüber enthält § 3 Abs. 1 KDG eine gegliederte Aufzählung der Stellen der katholischen Kirche. Weit beachtlicher ist jedoch die Regelung für Auftragsverarbeiter: So regelt § 2 Abs. 3 DSG-EKD, dass das Gesetz auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit einer kirchlichen Stelle oder in deren Auftrag anwendbar ist. § 3 Abs. 2 KDG bestimmt, dass das KDG auf die Verarbeitung personenbezogener Daten anwendbar ist, soweit diese im Rahmen der Tätigkeiten eines Verantwortlichen oder eines Auftragsverarbeiters erfolgt, wenn diese im Rahmen oder im Auftrag einer kirchlichen Stelle erfolgt. Die nähere Ausgestaltung der Rechtsfigur der Auftragsverarbeitung findet sich dann in § 30 DSG-EKD bzw. § 29 KDG.
Dem Wortlaut nach wäre das jeweilige Kirchendatenschutzgesetz unmittelbar auf einen nicht-kirchlichen Auftragsverarbeiter anwendbar, wenn dieser im Auftrag einer kirchlichen Stelle personenbezogene Daten verarbeitet. Erfasst wären davon etwa eine Vielzahl privatrechtlich organisierter Dienstleister, etwa Cloud-Computing-Anbieter, derer sich die kirchliche Stelle bedient, oder Versanddienstleister, die z.B. den Versand des Gemeindebriefs an einen festgelegten Stamm von Gemeindemitgliedern übernehmen. Sofern also nicht-kirchliche Stellen im Auftrag einer kirchlichen Stelle tätig werden wollten, müssten sie sämtliche Anforderungen des DSG-EKD und/oder KDG einhalten. Eine andere Auslegung wäre nur denkbar, wenn die jeweilige Regelung als kumulative – d.h. neben dem jeweiligen Absatz 1 erforderliche – Bedingung für die Anwendbarkeit des Kirchendatenschutzrechts interpretiert wird. Hierfür gibt es jedoch keine Anhaltspunkte in Wortlaut oder Systematik der jeweiligen Norm. Darüber hinaus wäre die Regelung obsolet, wenn sie lediglich die bereits in § 2 Abs. 1 DSG-EKD bzw. § 3 Abs. 1 KDG benannten kirchlichen Stellen erfassen wollte. Einzig aus § 30 Abs. 5 Satz 1 DSG-EKD ergibt sich implizit, dass es Konstellationen geben kann, in denen auf einen Auftragsverarbeiter, der für eine kirchliche Stelle tätig wird, das DSG-EKD keine Anwendung findet. Dieser Widerspruch zur naheliegenden Interpretation des § 2 Abs. 3 DSG-EKD lässt sich nicht auflösen. Noch unverständlicher wird die Rechtslage durch § 30 Abs. 5 Satz 3 DSG-EKD, der eine Pflicht des Auftragsverarbeiters vorsieht, sich der kirchlichen Datenschutzaufsicht zu unterwerfen – wie der Auftragsverarbeiter unmittelbarer Adressat dieser Pflicht werden soll, ohne Adressat des Gesetzes zu sein, erschließt sich jedoch nicht.
Damit tun sich allerdings grundlegende Zweifel an der Europarechtskonformität der Erstreckung des Anwendungsbereichs auf nicht-kirchliche Auftragsverarbeiter auf. Sinn und Zweck der Öffnungsklausel Art. 91 Abs. 1 DS-GVO ist der Ausgleich des Rechts des Einzelnen auf Schutz personenbezogener Daten und des durch die korporative Religionsfreiheit gewährleisteten religionsgemeinschaftlichen Selbstverwaltungsrechts.[13] Nicht-kirchliche Stellen können schon naturgemäß von diesem religionsgemeinschaftlichen Selbstverwaltungsrecht nicht erfasst sein, sodass als unmittelbare Adressaten des Gesetzes nur kirchliche Stellen in Betracht kommen.
Hiervon unbenommen bleibt allerdings die Möglichkeit, kirchlichen Stellen als unmittelbare Adressaten des jeweiligen Kirchendatenschutzgesetzes die Pflicht aufzuerlegen, bestimmte Anforderungen an nicht-kirchliche Stellen vertraglich „durchzureichen“, wie es § 30 Abs. 3 DSG-EKD und § 29 Abs. 3, 4 KDG vorsehen. Eine solche Einschränkung der Kontraktionsfreiheit ist zumindest unter datenschutzrechtlichen Gesichtspunkten nicht zu beanstanden und entspricht weitgehend der Regelung in Art. 28 Abs. 3 DS-GVO. Auch unter dem Gesichtspunkt des Betroffenenschutzes ist eine Ausweitung des Anwendungsbereichs des Kirchendatenschutzrechts nicht erforderlich. Bei Auftragsverarbeitern, die ihre Dienstleistungen den beiden großen deutschen Kirchen anbieten, findet die DS-GVO ohnehin gem. Art. 3 Abs. 2 lit. a DS-GVO Anwendung. Aufgrund des Umstands, dass DSG-EKD und KDG mit der DS-GVO „in Einklang“ stehen müssen, liegt in den Fällen, in denen der Auftragsverarbeiter durch die DS-GVO verpflichtet ist, ein gleichwertiges Datenschutzniveau bei diesem vor. Ferner wären die Festlegungen in der Auftragsverarbeitungsvereinbarung, mit denen der Verantwortliche zentrale Grundsätze von DSG-EKD und KDG an den Auftragsverarbeiter weiterreicht und deren Einhaltung vertraglich sicherstellt, letztlich obsolet, wäre letzterer ohnehin unmittelbarer Adressat sämtlicher Anforderungen. Vielmehr scheint es ausreichend, wenn der Auftragsverarbeiter, der ohnehin die DS-GVO-Anforderungen einhalten muss, im Vertragswege Adressat etwaiger kirchendatenschutzrechtlicher Pflichten wird.
Nach hier vertretener Ansicht ist daher eine Korrektur im Wege europarechtskonformer Auslegung der § 2 Abs. 3 DSGEKD und § 3 Abs. 2 KDG geboten. Diese sind restriktiv auszulegen und erfassen nur kirchliche Auftragsverarbeiter. Auf nicht-kirchliche Auftragsverarbeiter, die für die beiden großen Kirchen in Deutschland tätig werden, gilt damit – je nachdem, ob diese in der EU eine datenschutzrelevante Niederlassung haben – allein die DS-GVO nach Art. 3 Abs. 1 oder 2 DS-GVO sowie die Anforderungen, die dem Auftragsverarbeiter im Wege der gem. § 30 DSG-EKD bzw. § 29 KDG abzuschließenden Auftragsverarbeitungsvereinbarung auferlegt werden.
2. Drittlandtransfers
Das evangelische Datenschutzrecht thematisiert die Frage der Datentransfers in EU-Drittländer in § 10 DSG-EKD und bildet in diesem nahezu vollständig die Vorschriften der Artt. 45, 49 DS-GVO ab. Einzig auffällig ist, dass ein wesentliches Instrument für Drittstaatentransfers, die von einer Aufsichtsbehörde genehmigten „verbindlichen internen Datenschutzvorschriften“ (vgl. Art. 47 DS-GVO), häufig als Binding Corporate Rules („BCR“) bezeichnet, fehlen. Die Verwendung solcher BCR mag sich für die evangelische Kirche nicht unbedingt aufdrängen, ist dem Grunde nach aber denkbar, etwa wenn sie oder eine ihrer Gliedkirchen eine dauerhafte Einrichtung in einem Drittstaat ohne äquivalentes Datenschutzniveau unterhält und dort personenbezogene Daten verarbeitet. Hier wurde die Chance vertan, ein zentrales Instrument, welches die Kompetenzen der evangelischen Datenschutzaufsicht rechtmäßig erweitert hätte, in das DSG-EKD zu überführen.
Dagegen bedarf das katholische Datenschutzrecht in Hinblick auf EU-Drittländer einer genaueren Würdigung. So finden sich in §§ 39-41 KDG umfassende Vorschriften über die Übermittlung von Daten in diese Staaten. Die Angemessenheitsbeschlüsse finden sich in § 40 Abs. 1 KDG wieder. Im Gegensatz zu § 10 DSG-EKD erwähnt § 40 Abs. 2 lit. a KDG die „in einem rechtsverbindlichen Instrument“ vorgesehenen „geeigneten Garantien“. Zwar werden diese nicht genauer bezeichnet; in Anlehnung an Art. 46 DS-GVO werden hiervon jedoch alle der in Art. 46 Abs. 2 DS-GVO (genehmigungsfreie Garantien) und Art. 46 Abs. 3 DS-GVO (genehmigungspflichtige Garantien), einschließlich der BCR, erfasst sein. Kritisch ist hingegen § 40 Abs. 2 lit. b KDG zu betrachten: Diese Norm enthält eine Regelung für den Fall, dass kein rechtsverbindliches Instrument zur Gewährleistung eines adäquaten Schutzniveaus besteht. In diesem Fall ist eine Übermittlung – ohne dass es einer Genehmigung durch die Datenschutzaufsicht bedarf – auch zulässig, wenn der Verantwortliche davon ausgehen kann, es würden beim Empfänger geeignete Garantien bestehen. Die Vorschrift unterläuft damit die Bewertungskompetenz, die der Europäischen Kommission bei Angemessenheitsentscheidungen sowie Standarddatenschutzklauseln[14] und den Datenschutzaufsichtsbehörden hinsichtlich der genehmigungspflichtigen Garantien zusteht. Im Gegenzug erhält der Verantwortliche einen Beurteilungsspielraum, mit der Folge, dass er im Ergebnis selbst Angemessenheitsentscheidungen treffen kann. Damit droht im Falle einer Fehleinschätzung eine nicht unerhebliche Gefährdung des Betroffenenschutzes. Insbesondere setzt eine solche Vorschrift, die einer datenschutzrechtlichen Selbstkontrolle gleichkommt, ökonomische Anreize, das Bestehen geeigneter Garantien bloß zu behaupten.[15] Entsprechend ist es ein Verstoß gegen die Wertungen der DS-GVO, einen Datentransfer allein auf Grundlage einer Einschätzung des Verantwortlichen vorzunehmen.
Etwas versteckt ist in einer Regelung zur Auftragsverarbeitung, § 29 Abs. 11 Satz 2 KDG, außerdem eine Regelung enthalten, die die Auftragsverarbeitung mit DrittstaatenAuftragsverarbeitern im Fall des Bestehens eines Angemessenheitsbeschlusses regelt und offenbar davon ausgeht, dass die einzelnen Datenschutzaufsichtsbehörden, einschließlich der katholischen Datenschutzaufsicht, selbst Angemessenheitsbeschlüsse i.S.d. Art. 45 DS-GVO erlassen können. Eine eindeutige Befugnis fehlt jedoch; die Norm des § 44 Abs. 3 lit. l KDG, welcher die Aufsicht ermächtigt, „jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten [zu] erfüllen“ – eine offenbar dem Art. 57 Abs. 1 lit. v DS-GVO entlehnte Formulierung – ist zu unbestimmt. Auch geht § 40 Abs. 1 KDG davon aus, dass die Kompetenz für Angemessenheitsentscheidungen bei der Kommission liegt. Zugleich wird mit erwähntem § 29 Abs. 11 Satz 2 KDG die Zulässigkeit des Datentransfers in Drittländer allein auf die Basis von Angemessenheitsbeschlüssen gestellt; gleichwertige Garantien wie Standarddatenschutzklauseln oder BCR werden nicht genannt. Damit entsteht nicht nur ein Widerspruch zu den Wertungen der DS-GVO, sondern auch ein interner Widerspruch zu §§ 40 Abs. 2, 41 KDG. Daher spricht viel für eine extensive Auslegung des § 29 Abs. 11 Satz 2 KDG über den Wortlaut hinaus: Auch wenn andere geeignete Garantien i.S.d. § 40 Abs. 1 oder Abs. 2 lit. a KDG vorhanden sind, ist der Drittlandtransfer von Daten, einschließlich des Einsatzes von Auftragsverarbeitern im Drittland, stets zulässig.
3. Bußgelder
Sowohl DSG-EKD wie auch KDG begrenzen die Höhe der Bußgelder auf 500.000 Euro (§ 45 Abs. 5 DSG-EKD bzw. § 51 Abs. 5 KDG). Bereits die Begrenzung der Höhe erscheint fragwürdig: Ob bei einem kirchlichen Verantwortlichen, der jährlich mehrere hundert Millionen Euro umsetzt, eine absolute Deckelung auf 500.000 Euro geeignet ist, dass die Geldbuße stets „wirksam, verhältnismäßig und abschreckend“ (vgl. Art. 83 Abs. 1 DS-GVO) ist, muss bezweifelt werden. Die Kirchendatenschutzgesetze schlagen damit einen anderen Weg ein als die vor allem am Umsatz orientierte DS-GVO.
Fraglich ist jedoch, welche Adressaten überhaupt von der potentiellen Sanktion erfasst werden. § 45 Abs. 1 DSG-EKD nennt als mögliche Bußgeldadressaten verantwortliche Stellen und kirchliche Auftragsverarbeiter, wobei erstere nur dann erfasst sein sollen, wenn sie „als Unternehmen i.S.d. § 4 Nr. 19 am Wettbewerb teilnehmen“, wobei sich die Definition des „Unternehmens“ an dem funktional geprägten Unternehmensbegriff des Europarechts[16] orientiert. Einige Adressaten des DSG-EKD wären damit ausgeklammert, sodass sich die Frage stellt, ob Pflichten ohne bußgeldbewährte Sanktion überhaupt einen ausreichenden Anreizcharakter entfalten. Daneben stellt sich die Frage, warum eine unternehmerische Teilnahme am Wettbewerb zur Voraussetzung für die Verhängung von Bußgeldern erhoben wird, da die Risiken für die informationelle Selbstbestimmung der Betroffenen nicht von einem etwaigen unternehmerischen Tätigwerden abhängen.
Ein ähnliches Problem stellt sich im katholischen Datenschutzrecht: Nach § 51 Abs. 6 KDG können kirchliche Stellen, soweit sie im weltlichen Rechtskreis öffentlich-rechtlich verfasst sind, nicht Adressaten eines Bußgelds sein. In der Praxis wären damit kirchliche Verantwortliche und kirchliche Auftragsverarbeiter nicht erfasst, sodass hinsichtlich dieser ein erhebliches Sanktionsdefizit auftut. Letztlich blieben dann nur noch die nicht-kirchlichen Auftragsverarbeiter als mögliche Bußgeldadressaten. Diese sind aber bei der hier vertretenen europarechtskonformen Auslegung des § 3 Abs. 2 KDG[17] nicht vom Gesetz erfasst. De facto gäbe es damit unter dem KDG keine Bußgelder.
4. Besondere Verarbeitungssituationen
In dem jeweils vorletzten Kapitel der kirchlichen Datenschutzgesetze werden die „besonderen Verarbeitungssituationen“ geregelt. So wird beispielsweise das im neuen BDSG vermisste Medienprivileg durch § 51 DSG-EKD und § 55 KDG geregelt.
Auch die Videoüberwachung, die der deutsche Gesetzgeber aus § 6b BDSG a.F. in die neue Norm § 4 BDSG überführte und die vor allem, soweit sie nicht-öffentliche Verarbeiter adressiert, als unionsrechtswidrig zu betrachten ist,[18] findet sich in den Kirchendatenschutzgesetzen. Dabei entsprechen § 52 DSG-EKD und § 52 KDG weitgehend § 6b BDSG a.F. bzw. § 4 BDSG. Während dem deutschen Gesetzgeber im Rahmen der Zulässigkeitstatbestände durch die Öffnungsklausel in Art. 6 Abs. 2 DS-GVO jedoch enge Grenzen gesetzt sind, ist die Öffnungsklausel des Art. 91 Abs. 1 DS-GVO weiter[19] und die Regelung der Videoüberwachung in den kirchlichen Datenschutzgesetzen damit wirksam. Denn bei allen (berechtigten) Zweifeln an der Regelungskompetenz des deutschen Gesetzgebers für die Videoüberwachung wird die typisierte Abwägung in § 4 BDSG regelmäßig zu den gleichen Ergebnissen kommen wie die offene Abwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO.[20] Selbiges gilt aufgrund der Nähe des Wortlauts auch für § 52 DSG-EKD und § 52 KDG. Damit entsprechen die kirchendatenschutzrechtlichen Vorschriften zur Videoüberwachung wertungsmäßig der DS-GVO.
Problematisch ist hingegen § 53 DSG-EKD, welcher die Aufzeichnung und Übertragung von Gottesdiensten erlaubt, wenn die Teilnehmer „durch geeignete Maßnahmen über Art und Umfang der Aufzeichnung oder Übertragung informiert werden“. Trotz der Regelungsnähe zur Videoüberwachung bedarf es keiner (typisierten) Interessenabwägung, vielmehr reicht nach § 53 DSG-EKD die bloße Information des Betroffenen aus. Zur Information der Betroffenen ist der Verantwortliche allerdings ohnehin aus § 17 DSG-EKD verpflichtet, sodass die Aufzeichnung und Übertragung eines Gottesdienstes letztlich an keine weiteren Zulässigkeitsvoraussetzungen geknüpft wäre. Überdies macht die Norm keinen Unterschied zwischen einer nur für Gottesdienstbesucher oder deren Angehörige durchgeführten Aufzeichnung für den Gebrauch im kleinen Kreis, und einem weltweit öffentlich zugänglichen Livestream, der womöglich intime Momente der einzelnen Gläubigen zeigt. Dies ist mit der Wertung des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO und dem (regelmäßig) intensiven Eingriff in das Persönlichkeitsrecht der Gottesdienstbesucher unvereinbar. Ein solch eklatanter Widerspruch kann nicht „in Einklang“ mit der DS-GVO stehen; die Norm ist folglich unanwendbar.
5. Rechtsweg zum EuGH?
Bislang ist völlig offen, ob die kirchlichen Verwaltungsbzw. Datenschutzgerichte im Rahmen eines Vorabentscheidungsverfahrens vor dem EuGH vorlageberechtigt und -verpflichtet i.S.d. Art. 267 Abs. 2, 3 AEUV sind. Dieses Problem stellt sich dann, wenn der Adressat einer kirchendatenschutzaufsichtsbehördlichen Verfügung die streitentscheidende Norm unter dem Gesichtspunkt der Europarechtskonformität rügt (etwa, weil der in Rede stehende Verstoß gegen DSG-EKD bzw. KDG keinen Verstoß gegen die DS-GVO darstellt). Das für die kirchendatenschutzrechtliche Streitigkeit zuständige Gericht hätte dann zu prüfen und ggf. dem EuGH vorzulegen, inwieweit die Norm, gegen die verstoßen wurde, von der Öffnungsklausel des Art. 91 Abs. 1 DS-GVO gedeckt ist. Die Frage stellt sich auch in umgekehrten Konstellationen dann, wenn der Verarbeiter lediglich die Vorschrift des Kirchendatenschutzrechts beachtet, diese aber wertungsmäßig hinter ihrem strengeren Pendant der DSGVO zurückbleibt.
IV. Fazit
Die hohe Regelungsdichte, zu der Art. 91 DS-GVO zwingt („umfassende Regeln“), aber zugleich eine Wesensgleichheit zur DS-GVO forciert („in Einklang gebracht“), führt naturgemäß zu einem hohen Konfliktpotential. Angesichts dieser Regelungen bestehen an der Europarechtskonformität einiger Vorschriften in DSG-EKD und KDG erhebliche Zweifel. Sofern die jeweilige Datenschutzaufsicht das jeweilige kirchliche Datenschutzgesetz seiner Konzeption getreu anwendet, sind Konflikte mit kirchlichen und nicht-kirchlichen Stellen vorprogrammiert. Insbesondere beim Outsourcing von IT-Prozessen, welche typischerweise im Wege der Auftragsverarbeitung durch große Cloud-Computing-Anbieter aus den USA erbracht werden, besteht angesichts unzureichender Vorschriften in Bezug auf die Auftragsverarbeitung und in Bezug auf Drittlandtransfers ein gewisses Konfliktpotential. Ein zweifelhafter Ausgleich wird dadurch geschaffen, dass die Bußgeldnormen in zahlreichen Fällen wohl nicht zur effektiven Sanktion geeignet sind.
Einige Normen lassen die Möglichkeit einer Auslegung anhand der Parallelvorschriften in der DS-GVO zu, wodurch unbillige Ergebnisse vermieden werden können. Andere wiederum sind derart formuliert, beispielhaft seien die Regelungen über besondere Arten personenbezogener Daten oder die Zulässigkeit der Übertragung von Gottesdiensten genannt, dass sie einer solchen Auslegung nicht oder nicht widerspruchsfrei zugänglich sind. In diesen Fällen sind die jeweiligen Normen von DSGEKD und KDG nicht anzuwenden, sondern die entsprechenden, subsidiär geltenden Vorschriften der DS-GVO. Hier ist vor allem die sinnvolle Auslegung und Anwendung der jeweiligen Vorschriften durch die kirchlichen Datenschutzaufsichtsbehörden erforderlich.
Die Ausräumung unauflöslicher Konflikte wird schließlich Aufgabe der Gerichte sein. In diesem Bereich ist die Bildung von Spezialzuständigkeiten erfreulich. Ungeklärt ist die Vorlageberechtigung der Kirchengerichte bei wertungsmäßigen Differenzen von DS-GVO und Kirchendatenschutzrecht. Es ist bereits jetzt absehbar, dass mit dieser Reformation 2.0 auf sämtliche Beteiligten – Verantwortliche, Auftragsverarbeiter, kirchliche Datenschutzaufsicht und Gerichte – erhebliche Arbeit zukommen wird.
Alexander Golland
Der Autor ist Rechtsreferendar am Landgericht Bochum, Datenschutzbeauftragter und promoviert zu einer datenschutzrechtlichen Fragestellung. Er beschäftigt sich schwerpunktmäßig mit Fragen des europäischen Datenschutzrechts im Zusammenhang mit Big Data, Cloud Computing, Connected Car und Social Media, sowie mit der Umsetzung der Anforderungen der Datenschutz-Grundverordnung in Unternehmen.
[1] Abrufbar unter https://www.ekd.de/ekd_de/ds_doc/s17_03_Beschluss_Datenschutzgesetz.pdf.
[2] Abrufbar unter https://www.datenschutz-kirche.de/sites/default/files/KDG%20i.d.%20Fassung%20des%20Beschlusses%20der%20VV%20vom%2020.11.2017.pdf.
[3] Die Verantwortung trifft nach der DS-GVO stets denjenigen, der die Zwecke und Mittel des jeweiligen Verarbeitungsvorganges festlegt, d.h. im Falle des Offenlegens den Offenlegenden.
[4] Siehe Herbst, in: Kühling/Buchner, Datenschutz-Grundverordnung, 2017, Art. 91 Rn. 1. Aus Gründen der besseren Lesbarkeit werden im Folgenden die Begriffe „Europarechtskonformität“ und „europarechtskonforme Auslegung“ unter dem Gesichtspunkt der Vereinbarkeit mit den Anforderungen und Wertungen der DS-GVO in den Grenzen der auf die Religionsgesellschaften ausstrahlenden Wirkung selbiger verwendet (siehe hierzu unten 2.).
[5] Abrufbar unter https://www.datenschutz-kirche.de/sites/default/files/KDSGO-Entwurf%20i.d.Fassung%20des%20Beschlusses%20der%20VV%20vom%2020.11.2017.pdf.
[6] Streinz, in: Streinz, Vertrag über die Europäische Union und Vertrag über die Arbeitsweise der Europäischen Union, 2. Aufl. 2012, Art. 17 AEUV Rn. 6; Waldhoff, in: Calliess/Ruffert, EUV/AEUV. Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta, 5. Aufl. 2016, Art. 17 AEUV Rn. 18; ausführlich zum Begriff der Kirchen und Religionsgemeinschaften Classen, in: Grabitz/Hilf/Nettesheim, Das Recht der Europäischen Union, 62. EL, Art. 17 Rn. 21 ff.
[7] Herbst, in: Kühling/Buchner (Fn. 4), Art. 91 Rn. 11; Jacob, in: Auernhammer, DSGVO/BDSG, 5. Aufl. 2017, Art. 91 Rn. 12.
[8] Ehmann/Kranig, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2017, Art. 91 Rn. 19; Herbst, in: Kühling/Buchner (Fn. 4), Art. 91 Rn. 15.
[9] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl., 2016, Art. 91 Rn. 1; Hense, in: Sydow, Europäische Datenschutzgrundverordnung, 2017, Art. 91 Rn. 21; Jacob, in: Auernhammer (Fn. 7), Art. 91 Rn. 13; Pauly, in: Paal/Pauly, Datenschutz-Grundverordnung, 2017, Art. 91 Rn. 25.
[10] Frenzel, in: Paal/Pauly (Fn. 9), Art. 9 Rn. 13; Schiff, in: Ehmann/Selmayr (Fn. 8), Art. 9 Rn. 19; Schulz, in: Gola, Datenschutz-Grundverordnung, 2017, Art. 9 Rn. 12.
[11] Vgl. auch Hense, in: Sydow (Fn. 9), Art. 91 Rn. 21, der bei Definitionen eine Kongruenz von kirchlichem Datenschutz und DS-GVO fordert.
[12] Herbst, in: Kühling/Buchner (Fn. 4), Art. 91 Rn. 15.
[13] Hense, in: Sydow (Fn. 9), Art. 91 Rn. 1.
[14] Bislang wurden die Standarddatenschutzklauseln als Standardvertragsklauseln („standard contractual clauses“) bezeichnet; diese sind abrufbar unter https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/data-transfers-outside-eu/modelcontracts-transfer-personal-data-third-countries_en.
[15] Vgl. Golland, DSB 2014, 213.
[16] Vgl. die ständige Rechtsprechung des EuGH, wonach ein Unternehmen „jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung“ ist; grundlegend EuGH, Slg. 1991, I-1979, Rn. 21.
[17] Siehe dazu oben 3.1.
[18] Siehe auch Ziebarth, ZD 2017, 467 (469); für eine unionsrechtskonforme Auslegung des neuen § 4 BDSG hingegen Wolff, in: Schantz/ Wolff, Das neue Datenschutzrecht, 2017, Rn. 636 ff
[19] Anderes gilt nur, sofern angenommen wird, dass den Religionsgemeinschaften nur die den Mitgliedstaaten entsprechende Regelungskompetenz im Bereich des kirchlichen Datenschutzes zustehe, siehe die Nachweise in Fn. 8.
[20] Vgl. Lachenmann, ZD 2017, 407 (410), wonach ein „über Art. 6 Abs. 1 Satz 1 lit. f DS-GVO hinausgehender Normgehalt […] nicht zu erkennen“ sei.