Datenschutz-Grundverordnung und kirchlicher Datenschutz

1. Meldebehörden und kirchlicher Datenschutz

Der Datenschutz bei den Kirchen ist durchaus auch außerhalb des kirchlichen Bereichs von Interesse. So setzen die nach § 42 Bundesmeldegesetz zulässigen Datenübermittlungen der Meldebehörden an öffentlich-rechtliche Religionsgesellschaften voraus, dass beim Datenempfänger ausreichende Maßnahmen zum Datenschutz getroffen sind. Die Feststellung hierüber trifft in Bayern das Bayer. Staatsministerium des Innern (§ 42 Abs. 5 BMG, Art. 6 Abs. 1 BayAGBMG, bis 31. 10. 2015 nach Art. 29 Abs. 3 BayMeldeG). Das Staatsministerium des Innern hat diese Feststellung u. a. für die Evangelisch-Lutherische Kirche in Bayern und die bayerischen (Erz-)Diözesen der Katholischen Kirche getroffen.

2. Auswirkungen der DSGVO auf kirchliche Datenschutzvorschriften

Welche Auswirkungen hat nun die Datenschutz-Grundverordnung der EU (DSGVO) auf die kirchlichen Datenschutzvorschriften?

Die DSGVO gilt auch für Religionsgemeinschaften. Die DSGVO enthält aber mit Art. 91 eine Öffnungsklausel für die Mitgliedstaaten, die Sonderregelungen für „Kirchen und sonstige religiöse Vereinigungen oder Gemeinschaften“ ermöglicht.

3. Anerkennung kirchlicher Datenschutzvorschriften durch die DSGVO

Art. 91 Abs. 1 DSGVO enthält zum einen eine grundsätzliche Anerkennung eigenständiger umfassender kirchlicher Datenschutzvorschriften, wenn das Staatskirchenrecht des Mitgliedstaates solche eigenständigen Regelungen erlaubt. Dies ist in Deutschland für öffentlich-rechtliche Religionsgesellschaften der Fall (Art. 137 Abs. 3 und 5 Weimarer Reichsverfassung i. V. m. Art. 140 GG).

Zum anderen enthält Art. 91 Abs. 1 DSGVO ein Anpassungsgebot. Wendet eine Kirche oder sonstige religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens der DSGVO umfassende Datenschutzregeln an, so dürfen diese Regeln weiter angewandt werden, „sofern sie mit dieser Verordnung in Einklang gebracht werden“.

4. Spezielle Datenschutzaufsicht

Art. 91 Abs. 2 DSGVO ermöglicht eine spezielle Datenschutzaufsicht. Verfügen die Religionsgemeinschaften über umfassende Datenschutzregeln, dann unterliegen sie „der Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt“.

Es hängt vom Staatskirchenrecht des jeweiligen Mitgliedstaates ab, ob eine Datenschutzaufsicht durch kircheneigene unabhängige Datenschutzaufsichtsbehörden zugelassen wird. Damit kann in Deutschland die besondere Datenschutzaufsicht durch kircheneigene unabhängige Datenschutzbeauftragte grundsätzlich beibehalten werden.

5. Problem des Stichtages 25. Mai 2016 in Art. 91 DSGVO

a) Streitpunkt

Art. 91 Abs. 1 DSGVO erwähnt einen Stichtag, nämlich den „Zeitpunkt des Inkrafttretens der DSGVO“. Dies ist der 25. Mai 2016. Die Bedeutung dieses Stichtages ist umstritten.

Nach der einen Ansicht, die sich am Wortlaut orientiert, gilt die Anerkennung kirchlicher Datenschutzvorschriften und besonderer Datenschutzaufsicht nur für Religionsgemeinschaften, die „zum Zeitpunkt des Inkrafttretens der DSGVO umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung“ anwenden, also dem 25. Mai 2016. Auch die Überschrift von Art. 91 spricht von „Bestehenden Datenschutzvorschriften“. Danach wäre Art. 91 eine reine Bestandssicherung. Nach dieser Ansicht gilt Art. 91 nicht für öffentlich-rechtliche Religionsgesellschaften, die erst nach dem 25. Mai 2016 umfassende Datenschutzvorschriften schaffen, die erst nach dem 25. Mai 2016 den Status als öffentlich-rechtliche Religionsgesellschaft erhalten haben oder die nach dem 25. Mai 2016 fusioniert haben.

Nach der anderen Auffassung bringt Art. 91 neben der Anerkennung eigenständiger kirchlicherDatenschutzvorschriften und der Anerkennung einer besonderen Datenschutzaufsicht nur eine Klarstellung, dass bestehende Regeln nur dann weiter angewandt werden dürfen, wenn sie mit der DSGVO in Einklang gebracht werden. Diese Auffassung argumentiert, dass nur diese Auslegung mit Art. 17 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) vereinbar ist.

b) AEUV-konforme Auslegung des Art. 91 DSGVO

Der Erwägungsgrund 165 nimmt ausdrücklich auf Art. 17 AEUV Bezug, was insofern relevant ist, weil Erwägungsgründe für die Auslegung von Sekundärrecht der EU von besonderer Bedeutung sind. Sie geben Hinweise auf die authentische Auslegung, also die Auslegung, die der Normgeber beachtet wissen will.

Erwägungsgrund 165 betont, dass die DSGVO im Einklang mit Art. 17 AEUV den Status achtet und nicht beeinträchtigt, den Kirchen und religiöse Vereinigungen oder Gemeinschaften nach den bestehenden verfassungsrechtlichen Vorschriften genießen. Die EU besitzt nämlich keine Regelungskompetenz in Hinblick auf die mitgliedstaatlichen staatskirchenrechtlichen Systeme.

In Deutschland können die öffentlich-rechtlichen Religionsgesellschaften nach den bestehenden verfassungsrechtlichen Vorschriften eigenständige Datenschutzvorschriften erlassen (Art. 137 Abs. 3 und 5 WRV i. V. m. Art. 140 GG). Stichtagsregelungen für die Verleihung des Status der öffentlich-rechtlichen Religionsgesellschaft oder für die Schaffung eigenständiger Datenschutzvorschriften bestehen im deutschen Staatskirchenrecht nicht.

Würde ein Stichtag gelten, so würde Art. 91 Abs. 1 DSGVO eine nicht gerechtfertigte Ungleichbehandlung bewirken, die mit Art. 17 AEUV nicht vereinbar wäre. Denn es ist kein sachlicher Differenzierungsgrund ersichtlich zwischen Religionsgemeinschaften, die zum Zeitpunkt des Inkrafttretens der DSGVO umfassende Regeln haben, und solchen, die die umfassenden Regeln erst nach dem Stichtag schaffen.

c) Ergebnis

Diese Gesichtspunkte sprechen für die Auffassung, dass in AEUV-konformer Auslegung von Art. 91 Abs. 1 DSGVO die öffentlich-rechtlichen Religionsgesellschaften in Deutschland eigenständige, umfassende Datenschutzvorschriften (samt eigener unabhängiger Datenschutzaufsicht) beibehalten, ändern oder neu schaffen können, wenn sie inhaltlich im Einklang mit der DSGVO stehen. Das gilt auch für bestehende öffentlich-rechtliche Religionsgesellschaften, die erst nach dem 25. Mai 2016 umfassende Datenschutzvorschriften geschaffen haben. Das gilt auch für öffentlich-rechtliche Religionsgesellschaften, denen nach dem 25. Mai 2016 der Status als öffentlich-rechtliche Religionsgesellschaft verliehen wurde. Das gilt auch für öffentlich-rechtliche Religionsgesellschaften, die nach dem 25. Mai 2016 fusioniert haben.

Eine endgültige Entscheidung dieser Frage könnte nur durch den Europäischen Gerichtshof erfolgen.

6. Hauptanwendungsfälle

Art. 91 DSGVO betrifft vor allem die Evangelische Kirche in Deutschland und ihre Gliedkirchen, wie die Evangelisch-Lutherische Kirche in Bayern, sowie die deutschen
(Erz-)Diözesen der Katholischen Kirche, die seit Jahren über umfassende Datenschutzvorschriften verfügen und in deren Rechtsvorschriften eine Datenschutzkontrolle durch unabhängige Datenschutzbeauftragte bestimmt ist.

Für die Evangelische Kirche in Deutschland gilt bisher das Kirchengesetz für die Evangelische Kirche in Deutschland (EKD Datenschutzgesetz – DSG-EKD) vom 1. Januar 2013 (ABl. EKD 2013 S. 2, ber. S. 34). Für die Evangelisch-Lutherische Kirche in Bayern gilt ergänzend das Kirchliche Datenschutzdurchführungsgesetz (KDSDG) vom 2. 12. 1994 (KABl. S. 395). Gemäß § 18b Abs. 1 DSG-EKD ist die Aufgabe der unabhängigen Datenschutzkontrolle für die Evangelisch-Lutherische Kirche in Bayern dem Beauftragten für den Datenschutz der EKD übertragen worden (siehe unter „https://datenschutz.ekd.de/ueber-uns“). Diese Vorschriften sollen an die DSGVO angepasst werden.

Die (Erz-)Diözesen der Katholischen Kirche haben jeweils für ihren Bereich eine gleichlautende „Anordnung über den kirchlichen Datenschutz (KDO)“ erlassen (z. B. ABl. für das Erzbistum München und Freising 2014, 74, zu finden unter „https://www.erzbistum-muenchen.de/EMFInclude/Pages/search.aspx?q=datenschutz“). In der KDO vom 10. 2. 2014 sind unabhängige Diözesandatenschutzbeauftragte vorgesehen (§§ 15 ff. KDO). Diese Vorschriften sollen an die DSGVO angepasst werden.

Christian Peter Wilde, Ltd. Ministerialrat a.D., vormals im Bayerischen Staatsministerium des Innern

Mitautor des Werks "Datenschutz in Bayern"

Anmerkung des Verlags:

Am 24.5.2018 ist das neue Datenschutzgesetz der EKD (DSG-EKD) in Kraft getreten.