Der Datenschutz in der Kirche

Fachbeitrag

Die großen Amtskirchen – und andere anerkannte Religionsgemeinschaften – haben in Deutschland eine rechtliche Sonderstellung, die ihnen auch im Datenschutz besondere Regeln ermöglicht. Doch was genau bedeutet das für den Datenschutz in der Kirche?

Das Selbstbestimmungsrecht der Kirche im Datenschutz

In Deutschland haben die Kirchen seit über 100 Jahren eine rechtliche Sonderstellung, die ihnen auch die Möglichkeit eröffnet, über eigene Datenschutzgesetze abweichende Regelungen festzulegen, die staatliche Vorgaben ersetzen können. Gegründet ist das auf Artikel 140 GG, der die Vorschriften der Weimarer Reichsverfassung zu Religionsgemeinschaften und Kirchen ins Grundgesetz mitgezogen hat, unter anderem den Artikel 137 WRV, der in Absatz 3 besagt:

„Jede Religionsgesellschaft ordnet und verwaltet ihre Angelegenheiten selbständig innerhalb der Schranken des für alle geltenden Gesetzes. Sie verleiht ihre Ämter ohne Mitwirkung des Staates oder der bürgerlichen Gemeinde.“

Dieses kirchliche Selbstbestimmungsrecht war damit die Grundlage, auf der den Kirchen weitreichende Ausnahmen von deutschen Gesetzen zugestanden wurden und noch immer werden. Insbesondere im Arbeitsrecht sind hier immer wieder auch aufsehenerregende Entscheidungen erstritten worden. Das Selbstbestimmungsrecht wird in Deutschland so verstanden, dass auch der Datenschutz im Verhältnis zu den Kirchen unter dieses Selbstbestimmungsrecht fällt, sodass insbesondere die großen Amtskirchen schon lange eigene Datenschutzgesetze besitzen und anwenden. Zudem haben die Kirchen eigene Datenschutzaufsichten und sind der Aufsicht durch die staatlichen Behörden entzogen.

Mit der Einführung der DSGVO wurde dem Selbstbestimmungsrecht erneut Tribut gezollt und in Artikel 91 DSGVO eine Bestandsschutzregelung für „umfassende“ eigene Regeln der Kirchen und Religionsgemeinschaften geschaffen. Dabei wurde aber ein engerer Rahmen gesteckt, als dieser bisher im deutschen Recht verfolgt wurde, denn die eigenen Regelungen der Kirchen müssen nach Artikel 91 DSGVO „mit dieser Verordnung in Einklang gebracht werden“.

Bestandsschutz von Datenschutzgesetzen der Kirchen und Religionsgemeinschaften

Der Bestandsschutz des Artikel 91 DSGVO ist an weitere Voraussetzungen geknüpft, insbesondere wird festgelegt, dass die „umfassenden Regelungen“ der Kirchen oder Religionsgemeinschaften „zum Zeitpunkt des Inkrafttretens dieser Verordnung“ bereits „angewendet“ sein müssen. Dies schafft nach dem Wortlaut eine Stichtags-Regelung, an die der Bestandsschutz anknüpft. Gerade um diesen Stichtag gibt es eine Kontroverse. Mit dem Wortlaut und Artikel 99 Absatz 1 DSGVO argumentiert, wäre der 25. Mai 2016 der maßgebliche Termin, weil zu diesem Datum die DSGVO „in Kraft trat“, 20 Tage nachdem sie verabschiedet und veröffentlicht wurde.

Allerdings wurde auch sehr absichtlich in Artikel 99 Absatz 2 DSGVO ein davon abweichendes, zwei Jahre später liegendes Geltungsdatum für die Vorschriften festgelegt. Da nur 20 Tage zwischen der Veröffentlichung im Amtsblatt und dem Inkrafttreten lagen, war die nach Art. 91 DSGVO erforderliche Anpassung kaum möglich, wenn man diesen Stichtag anwendet. In weiten Teilen der Literatur wird daher vom Geltungsdatum der DSGVO als gemeintem Stichtag ausgegangen.

Die niedersächsische Aufsichtsbehörde hat sich in einem der ersten bekannt gewordenen Fälle, in dem die Frage eine Rolle spielen kann, allerdings rein auf den Wortlaut der Artikel 91 und 99 DSGVO bezogen und geht daher vom Stichtag 25. Mai 2016 aus. Die Behörde hat 2020 die Datenschutz-Richtlinie der Selbstständigen Evangelisch-Lutheranischen Kirche (kurz: SELK) beanstandet, sie bemängelt dabei insbesondere, dass zum Stichtag 2016 keine ausreichend „umfassenden Regelungen“ vorgelegen hätten. Die Kirche hatte auf eine Anfrage der Aufsichtsbehörde deren Zuständigkeit verneint, da die selbstständigen Regelungen auch ein nur durch die Kirche ausgeübtes Aufsichtsrecht vorsieht.

Ist der Bestandsschutz mit dem Selbstbestimmungsrecht der Kirchen vereinbar?

In der Literatur ist teilweise umstritten, ob die Begrenzung auf einen Bestandsschutz den Rechten der Religionsgemeinschaften und Kirchen ausreichend Raum gibt. Mit der wortlautgetreuen Auslegung würde dies Religionsgemeinschaften, die erst nach Inkrafttreten der DSGVO als solche staatlich anerkannt würden, von einem eigenen Datenschutzreglement ausschließen. Dies könnte einen unzulässigen Eingriff in das Selbstbestimmungsrecht der Kirchen und Religionsgemeinschaften darstellen. Auch der Stichtag ist im Hinblick darauf problematisch.

Das Verfahren der SELK gegen die Aufsichtsbehörde von Niedersachsen

Da sich im Verfahren gegen die SELK gerade diese Fragen alle stellen, hat diese die Auslegung der Aufsichtsbehörde nicht akzeptiert und zwischenzeitlich ein Feststellungsverfahren vor dem Verwaltungsgericht angestrengt, mit dem die rechtmäßige Geltung der eigenen Datenschutz-Richtlinie und die Unzuständigkeit der niedersächsischen Aufsichtsbehörde festgestellt werden sollen. Dabei wurde auch gleich eine Vorlage an den EuGH zur langfristigen Klärung der Auslegung des Artikel 91 DSGVO angestrengt, und schon zu Beginn des Verfahrens mehrere Vorlagefragen an den EuGH vorformuliert. Diese lauten folgendermaßen (Quelle artikel91.eu):

  • Ist Art. 91 Abs. 1 DSGVO dahingehend auszulegen, dass umfassende Regelungen zu dem in Art. 99 Abs. 1 DSGVO (Datum des Inkrafttretens) oder zu dem in Art. 99 Abs. 2 DSGVO (Datum der Geltung) genannten Zeitpunkt vorliegen müssen?
  • Ist Art. 91 Abs. 1 DSGVO dahingehend auszulegen, dass eine Kirche, eine religiöse Vereinigung oder Gemeinschaften in einem Mitgliedstaat nach dem Inkrafttreten der DSGVO keine eigenen und umfassenden Regeln zum Schutz natürlicher Personen erlassen kann, die mit der DSGVO in Einklang stehen?
  • Ist Art. 91 Abs. 2 DSGVO dahingehend auszulegen, dass eine Kirche, religiöse Vereinigung oder Gemeinschaft eine eigene Aufsichtsbehörde spezifischer Art errichten darf, wenn sie nach dem Datum des Inkrafttretens der DSGVO oder nach dem Datum der Geltung der DSGVO umfassende Regelungen anwendet?

Die erste Frage betrifft sehr konkret, welcher Tag als Stichtag anzusehen ist, ob also 2016 oder 2018 maßgeblich ist.

Vorlagefrage 2 soll klären lassen, ob es sich mit der Vorschrift um einen reinen Bestandsschutz für Altregelungen handelt. Dies reicht auch in die verfassungsrechtlichen Aspekte hinein, da wie bereits erläutert bei einer reinen Bestandsschutzregelungen eine Benachteiligung später anerkannter Religionsgemeinschaften erfolgen könnte. Alternative Auslegungen, die sich vom reinen Wortlaut lösen, vertreten daher, dass es sich bei Artikel 91 DSGVO um eine Regelung des Verhältnisses von kirchlichen Datenschutzregelungen zur DSGVO handelt. Die Regelung sei nicht mit der Intention geschaffen worden, spätere Datenschutzregelungen durch Kirchen oder Religionsgemeinschaften zu verhindern. Dies ergibt sich für die Vertreter dieser Argumentation aus Artikel 17 AEUV, der den besonderen Schutz der Religionsgemeinschaften durch die Mitgliedsstaaten auch im EU-Recht verankert.

Die letzte Vorlagefrage dreht sich um die separate, nichtstaatliche Datenschutzaufsicht der Kirchen und Religionsgemeinschaften. Artikel 91 Absatz 2 DSGVO sieht eine „unabhängige“ Datenschutzaufsicht vor, die „spezifisch“ sein kann, sagt aber nichts dazu aus, ob diese Aufsichtsbehörde damit unter ein Selbstbestimmungsrecht fällt. In Italien wird diesbezüglich vertreten, dass die Kirchen keine eigenen Aufsichtsbehörden stellen dürfen. Die geforderte Unabhängigkeit der Aufsicht könnte auch gegen eine von der Kirche eingerichtete, eigene Datenschutzaufsicht sprechen.

Die Vorlagefragen zeigen, dass der Artikel 91 DSGVO hier große Fragen offengelassen hat. Ob nach der Entscheidung des EuGH eine Anpassung der Auslegungspraxis erforderlich sein wird, oder gar eine Anpassung der nationalen Datenschutzregelungen hinsichtlich der Kirchen und Religionsgemeinschaften, ist derzeit nicht absehbar.

Wann gilt das Datenschutzgesetz der Kirche und wann die DSGVO / BDSG?

Doch wann gilt überhaupt das Datenschutzrecht der Kirchen und Religionsgemeinschaften? Das Selbstbestimmungsrecht, das die Grundlage bildet, gilt nur für „innerkirchliche“ Belange. Doch was fällt konkret darunter?

In den Selbstbestimmungsbereich der Kirchen gehören alle Bereiche, in denen weltanschauliche „kircheneigene“ Aufgaben bewältigt werden, was neben der Glaubensvermittlung auch karitative Einrichtungen (Krankenhäuser, Pflegeeinrichtungen, Kindergärten, Schulen) betrifft. Dabei ist nicht erheblich, ob die konkrete, zur Kirche gehörende Unter-Einheit eine bürgerliche Rechtsform gewählt hat (also z.B. als GmbH auftritt). In all diesen Bereichen ist daher das kirchliche Datenschutzrecht anwendbar. Nicht davon erfasst sind aber Dinge, in denen keinerlei Bezug zu kirchlichen Institutionen besteht (z.B. bei Vermietung von Räumen oder rein weltlicher Wirtschaftsbeteiligung wie bei Brauereien). Hier sind dann DSGVO und BDSG direkt anwendbar und auch von den kirchlichen Institutionen vollständig zu beachten.

Kirchlicher Datenschutz: Welche Gesetze gibt es?

Ein eigenes Datenschutzrecht haben insbesondere die Katholische Kirche und die Evangelische Kirche in Deutschland, die beide eigene Datenschutzgesetze besitzen. Des Weiteren haben auch die Alt-Katholiken, diverse evangelische und neuapostolische Freikirchen, die Zeugen Jehovas und einzelne jüdische Religionsgemeinschaften eigene Datenschutzregelungen. Eine abschließende Liste ist schwer zu erstellen, da auch aufgrund der Unklarheiten zum Artikel 91 DSGVO nicht eindeutig geklärt ist, wessen vorhandene Regelungen überhaupt rechtmäßig Bestand haben.

Eigene Gerichte und Aufsichtsbehörden überwachen Einhaltung des Datenschutzes

Wie bereits angedeutet haben die Kirchen eigene Aufsichtsbehörden, welche die Einhaltung der kircheninternen Datenschutzgesetze und -regelungen überwachen. Bei der katholischen Kirche sind diese regional für jeweils eine Handvoll Bistümer zuständig, in der evangelischen Kirche gibt es einen zentralen Datenschutzbeauftragten als Aufsichtsbehörde.

Neben den eigenen Aufsichtsbehörden gibt es auch einen separaten Rechtsweg, jedenfalls in den Datenschutzgesetzen der katholischen und evangelischen Kirche. Diese Datenschutzgerichte sind anzurufen, die staatlichen Gerichte lehnen aufgrund des dorthin eröffneten Rechtswegs auch eine Beurteilung ab, solange der kirchliche Rechtsweg nicht ausgeschöpft ist. Zudem lehnen staatlichen Gerichte auch eine detaillierte inhaltliche Beurteilung der Klagen ab, lediglich eine eingeschränkte Prüfung kann erfolgen. Es ist aber unter Umständen möglich, dass eine angenommene Europarechtswidrigkeit bestimmter kirchlicher Regelungen zu einer tieferen inhaltlichen Auseinandersetzung führen könnte – bisher ist dies aber nicht vorgekommen.

Aufsichtsbehörden der Kirchen in der DSK immer noch außen vor

Die Datenschutzkonferenz als wichtiges Koordinationsgremium der deutschen Aufsichtsbehörden hat wenig Interesse an den spezifischen Datenschutzaufsichten der Kirchen. Sie haben keinen permanenten Sitz in der DSK und werden nur auf Einladung der DSK eingebunden, was nur geschieht, wenn Themen, die direkt und unmittelbar die Kirchen betreffen behandelt werden. Stellenweise wurden auch schon Anträge der kirchlichen Aufsichtsbehörden abgelehnt, an der DSK teilzunehmen.

Außer der Aufsichtsbehörden der katholischen und evangelischen Kirche findet zudem faktisch keine Einbindung in die DSK statt. Die kleineren Aufsichtsbehörden werden teilweise – siehe SELK – schon als generell unzureichend und unzuständig abgelehnt, teilweise hat die DSK auch keine Kenntnis von ihrer Existenz, da es keinerlei Register o.ä. gibt.

Klärung ist Zukunftsmusik des EuGH

Das noch immer verfassungsrechtlich verankerte und aus der über 100 Jahre alten Weimarer Reichsverfassung fortgeschriebene Selbstbestimmungsrecht der Kirchen betrifft auch den Datenschutz. Ob allerdings die weitreichende Selbstverwaltung mit eigenen Aufsichtsbehörden und Datenschutzgerichten vor dem EuGH Bestand haben wird, weiß aktuell keiner. Was genau die Anforderungen des Artikel 91 DSGVO für die Kirchen und ihre Datenschutz-Regelungen bedeuten, zeigt erst das Ergebnis der aktuell anlaufenden Verfahren. Ob es bei der wortlautgetreuen Auslegung der Bestandsschutzregelung bleibt, oder eine offenere Auslegung erforderlich ist, um Artikel 17 AEUV gerecht zu werden, wird letztlich nur der EuGH klären können.

Hinweis: Die Informationen zum Verfahren zwischen SELK und niedersächsischer Aufsichtsbehörde gehen auf die Recherchen des Kollegen von Artikel91.eu zurück, der zudem auch zum Umgang der DSK mit den kirchlichen Aufsichtsbehörden kontinuierlich recherchiert.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.