Wer die Titelfrage nicht spontan beantworten kann, ist womöglich trotzdem Datenschutz-Spezialist, aber nicht aktiv im kirchlichen Bereich. Art. 91 DS-GVO enthält die „Öffnungsklausel“ der Datenschutz-Grundverordnung für das kirchliche Datenschutzrecht, hinsichtlich des materiellen Rechts in Abs. 1 und betreffend die Aufsichtsbehörden in Abs. 2.
Soweit, so einfach. Die vollständige Antwort auf die Titelfrage bereitet aber auch den Spezialisten im kirchlichen Datenschutzrecht Schwierigkeiten: Wann genau dürfen Kirchen und Religionsgemeinschaften ein eigenes Datenschutzrecht anwenden und eigene Aufsichtsbehörden einsetzen? Was die Regelungen der DSGVO genau bedeuten, wird wohl auch bei Art. 91 DS-GVO erst in den nächsten Jahren klar. Ein Schritt auf dem Weg der Klärung ist ein Urteil des Verwaltungsgerichts Hannover vom 15. Dezember 2022 (Az. 10 A1195/21).
Geklagt hat die Selbständige Evangelisch-Lutherische Kirche (SELK) mit Sitz in Hannover gegen die Landesbeauftragte für Datenschutz Niedersachsen. Die SELK ist als Körperschaft des öffentlichen Rechts anerkannt und verfügt derzeit über etwa 150 Gemeinden mit mehr als 32.000 Mitgliedern. Mit ihrer Gerichtsklage wollte die SELK – nachdem die Niedersächsische Aufsichtsbehörde sich als kontrollbefugt sah – ihr eigenes Datenschutzrecht und die eigene Datenschutzaufsicht durchsetzen. Das ist in erster Instanz misslungen; die Klage wurde vom VG Hannover abgewiesen. Wegen grundsätzlicher Bedeutung hat das Verwaltungsgericht aber eine Berufung erlaubt und Berufung wurde eingelegt. Nun wird das Thema also erneut – beim Niedersächsischen Oberverwaltungsgericht in Lüneburg – verhandelt, vielleicht (und hoffentlich) auch unter Beteiligung des Europäischen Gerichtshofs (EuGH).
Was ist daran spannend?
Art. 91 DS-GVO bezieht sich im Titel auf bestehende Datenschutzvorschriften von Kirchen und Religionsgemeinschaften. Nach Abs. 1 dürfen solche Regeln unter zwei Bedingungen weiter angewendet werden: Sie müssen „zum Zeitpunkt des Inkrafttretens dieser Verordnung“ als „umfassende Regeln“ schon existiert haben und „mit dieser Verordnung in Einklang gebracht werden“. Bei der SELK existierte seit 1993 eine Richtlinie über den Datenschutz, die zum 24. Mai 2018 gründlich überarbeitet (im Wesentlichen dem Datenschutzgesetz der Evangelischen Kirche Deutschlands angepasst) wurde. Ein Jurist wurde zum Datenschutzbeauftragten und als Aufsichtsbehörde berufen.
Nachdem die Niedersächsische Landesbeauftragte dies zunächst (2019) anerkannte, sieht sie sich seit 2020 als aufsichtszuständig an, weil Art. 91 DS-GVO nicht eingreife: Die SELK habe am25. Mai 2016 keine umfassenden Regelungen zum Datenschutz besessen.
In der Fachliteratur ist noch umstritten und ungeklärt, was unter umfassenden Regeln nach Art. 91 Abs. 1 DS-GVO zu verstehen ist und ob diese wirklich bei Inkrafttreten der DS-GVO am 24. Mai 2016 schon existieren mussten oder auch später entstehen dürfen. Für die zweite Frage ist vor allem wichtig, ob man Art. 91 DS-GVO als Bestandsschutzregel versteht – dann die extreme Bedeutung des Stichtags 24.05.2016 – oder als Schutz des Selbstbestimmungsrechts von Kirchen und Religionsgemeinschaften, auch mit Blick auf Art. 22 der EU-Grundrechte-Charta – dann wohl auch spätere Datenschutzregeln zulässig.
Für beide Auffassungen gibt es gute Gründe. Letztlich ist entscheidend, wie der EuGH die Frage beantwortet. Das VG Hannover durfte den EuGH fragen, musste dies aber nicht und hat sich – leider – gegen eine Vorlage nach Luxemburg entschieden. Nun dauert es länger bis zur abschließenden Klärung. Das Niedersächsische OVG wird hoffentlich den EuGH befragen und nicht seinerseits diese Aufgabe wieder der nächsten Instanz, dem Bundesverwaltungsgericht, zuschieben. Die Antwort des VG Hannover ist juristisch genauso gut wie die Gegenposition vertretbar; es ist aber „nur“ die Antwort eines Verwaltungsgerichts und nicht die abschließende Klärung durch den EuGH.
Nachdem das VG Hannover die Datenschutz-Richtlinien der SELK von 1993 nicht als umfassende Regeln anerkannte (nur ganz wenige Religionsgemeinschaften, vielleicht überhaupt nur die Evangelische Kirche Deutschlands und die Katholischen Bistümer in Deutschland, dürften vor Mai 2016 „umfassende Datenschutzregeln“ aufgewiesen haben), stellte sich das nächste spannende Problem: Dass die DS-GVO gilt, wenn die Ausnahme nach Art. 91 DS-GVO nicht greift, ist klar. Aber wer ist dann als Datenschutzbehörde für die SELK zuständig?
Art. 51 Abs. 1 DS-GVO überlässt den Mitgliedstaaten die Regeln zur Einrichtung und Zuständigkeit der Aufsichtsbehörden. Und in Deutschland ist dabei vieles (übrigens nicht nur für den hier behandelten Bereich) schiefgegangen. Dies beginnt schon mit der Unterscheidung von öffentlichen und nicht-öffentlichen Stellen, die es in der DS-GVO nicht gibt. Aber das wäre Stoff für einen anderen Blogbeitrag – schreiben Sie uns, falls das Thema Sie interessiert!
Eine öffentliche Stelle des Bundes – beaufsichtigt durch den Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI) – ist die SELK nach § 2 Abs. 1 und 3 BDSG jedenfalls nicht. Die Definition für öffentliche Stellen der Länder in § 2 Abs. 2 BDSG und § 1 Abs. 1 des Niedersächsischen Datenschutzgesetzes passt ebenso wenig. Als nicht-öffentliche Stelle gemäß § 2 Abs. 2 BDSG kann man die SELK als Körperschaft des öffentlichen Rechts beim besten oder schlechtesten Willen auch nicht bezeichnen. Damit greift weder die Zuständigkeitsregel für den BfDI nach § 9 Abs. 1 BDSG, noch diejenige zugunsten der Niedersächsischen Datenschutzaufsicht gemäß § 40 BDSG und § 18 i.V.m. § 1 des NDSG.
Fazit
Das VG Hannover erkennt das Problem, überlässt die Lösung aber nicht dem Gesetzgeber, sondern erklärt – sehr forsch – die SELK als Körperschaft des öffentlichen Rechts durch „unionrechtskonforme Auslegung“ von § 40 BDSG und § 22 NDSG zur nicht-öffentlichen Stelle. Den Besonderheiten der Religionsgemeinschaft könne „durch eine schonende Handhabung der Aufsicht Rechnung getragen werden“. Damit hat das VG Hannover im ersten wichtigen Punkt (Stichtag ja oder nein) den Gesetzeswortlaut strengstens befolgt und ihn im zweiten wichtigen Punkt (Aufsichtszuständigkeit) völlig beiseite geschoben. Schade. Nun gilt mindestens bis zur OVG-Entscheidung weiterhin: Abwarten. Erforderlich wäre eine EuGH-Entscheidung zu maßgeblichen Zeitpunkten bei Art. 91 Abs. 1 DSGVO und eine klarere Zuständigkeitsregelung durch den / die deutschen Gesetzgeber.
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
