Kirchlicher Datenschutz: Gut gemeint, schlecht umgesetzt
Das neue Datenschutzrecht ist nicht perfekt, aber besser als sein Ruf – doch in der Praxis gibt es einiges, das noch im Argen liegt. Mit dem Inkrafttreten des Gesetzes über den kirchlichen Datenschutz (KDG) am 24. Mai ist noch lange nicht klar, wie die Umsetzung jetzt funktionieren soll. Die Panik ist groß, weil einige zum ersten Mal auf Datenschutz aufmerksam werden. Vieles, was jetzt in letzter Minute erledigt wird, wäre eigentlich schon lange Pflicht gewesen. Aber vieles ist tatsächlich noch vage, einiges schlecht geregelt, und oft wurde die Umsetzung verschleppt und die Akzeptanz des Gesetzes durch allzu enge Auslegung untergraben.
„Niemand darf den guten Ruf, den jemand hat, rechtswidrig schädigen und das persönliche Recht eines jeden auf den Schutz der eigenen Intimsphäre verletzen.“
Anlass der Neuordnung ist eine EU-Verordnung. Doch Datenschutz ist auch ein Anliegen der Kirche: "Niemand darf den guten Ruf, den jemand hat, rechtswidrig schädigen und das persönliche Recht eines jeden auf den Schutz der eigenen Intimsphäre verletzen." Das gilt nicht erst ab heute, sondern steht seit 1983 im kirchlichen Gesetzbuch. Immer wieder haben sich die Kirche und katholische Verbände zu Datenschutz geäußert und betont, dass der Schutz der Privatsphäre und der informationellen Selbstbestimmung zum christlichen Menschenbild gehört.
Im Grundsatz gut
Die europäische Datenschutzgrundverordnung und die katholische Version davon, das KDG, sind daher eigentlich eine gute Nachricht aus kirchlicher Sicht: umfassende Gesetzeswerke, die Grundrechte schützen. Auf dem Papier sind die Gesetze auch sehr ausgewogen, wenn auch kompliziert und für alltägliche Fälle wie Kommunikation in der Gemeinde oder im Verein zu kompliziert: Nicht für alles braucht es eine Unterschrift und Einwilligung, wie jetzt häufig zu lesen ist, vieles ist auch nach pragmatischer Abwägung weiter möglich. Die EU erläutert ihr Gesetz so, dass die "Verarbeitung personenbezogener Daten [...] im Dienste der Menschheit stehen" sollte, und betont die Abwägung mit anderen Rechten, vor allem der Meinungs- und Pressefreiheit: "Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden."
„Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen.“
Dieses Vorgehen entspricht auch grundsätzlich den bewährten Grundsätzen der katholischen Soziallehre: Personalitäts- und Solidaritätsprinzip müssen beide zum Tragen können, der Mensch ist ein Individuum in einer Gemeinschaft. Andere Sozialprinzipien kommen zu kurz: Die Regelung missachtet das Subsidiaritätsprinzip. Kleinere soziale Einheiten zu befähigen kommt in dem Ansatz nicht vor; auch der kleinste Verein muss dieselben Regeln einhalten wie der multinationale Konzern, das KDG behandelt die große bischöfliche Verwaltung so wie die kleine KjG-Gruppenstunde. Gemeinwohlorientierung spielt keine Rolle; Ausnahmen für eine gemeinwohlorienterte Datennutzung sind nicht vorgesehen.
Es ist nicht angemessen, grundsätzlich über das neue, drakonische, lebensferne Datenschutzgesetz undifferenziert zu fluchen. Das Anliegen ist relevant und bedarf einer gesetzlichen Regelung. Kritik ist dennoch angebracht. Auf allen Ebenen ist einiges schiefgegangen, das nun in der Praxis Probleme bereitet – und im Ergebnis dem Anliegen des Datenschutzes schadet.
Versäumnisse beim deutschen Gesetzgeber
Schon auf Ebene der staatlichen Gesetzgebung beginnt das: Die EU hat sich zwar bemüht, Datenschutz und Meinungsfreiheit sinnvoll in Einklang zu bringen – doch die nötigen Klarstellungen in den deutschen Gesetzen haben die Gesetzgeber in Bund und Ländern verzögert und ignoriert. Gerade in dieser Woche hat sich die Gesellschaft katholischer Publizisten (GKP) der breiten Kritik von Journalistenverbänden und Datenschützern angeschlossen. "Immer noch ist unklar, was das neue Recht für Fotografen, Vereine und Pressestellen bedeutet", sagt GKP-Chef Joachim Frank. Die Bundesregierung und die Bundesdatenschutzbeauftragte ignorieren diese Kritik seit Monaten beharrlich und hoffen darauf, dass eine grundgesetzkonforme Auslegung der DSGVO sich schon vor Gerichten durchsetzen wird – dabei wäre es eigentlich einfach, für Rechtssicherheit zu sorgen: "Ein einfacher Verweis auf das Kunsturhebergesetz würde Rechtssicherheit schaffen und so Publizisten, Pressestellen und unzähligen Ehrenamtlichen, die in Vereinen für die Öffentlichkeitsarbeit zuständig sind, das Leben leichter machen", so Frank.
Früher rechtlich unproblematisch: Fotografieren bei öffentlichen Veranstaltungen wie Gottesdiensten. Heute ist die Rechtslage nicht mehr so klar.
So bleibt es vorerst, auf die Datenschutzaufsichtsbehörden zu hoffen, dass sie das neue Gesetz schon mit dieser Abwägung im Blick anwenden werden. Bei der kirchlichen Datenschutzaufsicht darf man darauf nicht unbedingt hoffen: Besagtes Gesetz, das bisher die Abwägung zwischen Recht am eigenen Bild und Meinungsfreiheit bei der Veröffentlichung von Fotos regelte, erkennt nur der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski an, wie er katholisch.de mitteilte. Seine vier Kollegen, die den Rest Deutschlands abdecken, sehen es anders.
In den Stellungnahmen der Konferenz der Diözesandatenschutzbeauftragten wie ihres evangelischen Pendants ist ebenfalls nichts von Abwägung zu bemerken; bewusst werden hohe bürokratische Hürden eingezogen, die in der Praxis kaum erfüllbar sind, wenn es etwa um Fotos von öffentlichen Veranstaltungen geht, auf denen Kinder abgebildet sind. Aus dem Gesetzestext direkt ableitbar ist das alles kaum; auch pragmatischere Deutungen wären möglich.
Linktipp: Wieviel WhatsApp ist in der Kirche erlaubt?
Ende Mai wird vieles anders im Datenschutz: Auch die Kirche gibt sich ein neues Gesetz. Das sorgt für Verunsicherung: Darf eine Pfarrei noch Fotos veröffentlichen und die Pastoralreferentin WhatsApp benutzen?Ihrem eigentlichen Anliegen erweisen die obersten Datenschützer damit einen Bärendienst: Längst sind sie der Buhmann, auch wenn sie im Rahmen ihrer engen Auslegung durchaus hilfreich und schnell auf Anfragen reagieren. Ein Gesetz ist immer auch auf die grundsätzliche Zustimmung derer angewiesen, die ihm unterliegen. Das Anliegen des Datenschutzes fördert es nicht, so hohe Hürden aufzustellen, dass niemand ein schlechtes Gewissen hat, darunter durchzugehen.
Handwerkliche Fehler und offene Fragen
Ebenfalls nicht hilfreich ist die Art, wie das kirchliche Datenschutzgesetz verfasst ist. Größtenteils wurden Bestimmungen der EU-Verordnung wortgleich übernommen, nur stellenweise gibt es Unterschiede. Wieviel kirchliche Selbstbestimmung ist gegeben, wenn man ohnehin weitestgehend abschreibt? Zudem sind beim Abschreiben leider auch Fehler entstanden: Dass Einwilligungserklärungen nach kirchlichem Recht grundsätzlich schriftlich erfolgen müssen, ist deutlich stärker formuliert als in der DSGVO – ein Fehler, der demnächst korrigiert wird, erklärte Joachimski. Bis dahin gilt die ungewollt strenge Formpflicht.
Papst Benedikt XVI. macht es richtig: Eine handschriftliche Signatur ist über alle Zweifel erhaben.
Bei der Lektüre des KDG fällt auf, wie wenig kirchlich es ist: So gibt es beispielsweise keine Verankerung in der kirchlichen Rechtstradition. In der Präambel wird nur auf den staatskirchenrechtlichen Rahmen hingewiesen. Dass auch der Codex Iuris Canonici (CIC) eine datenschutzrechtliche Bestimmung enthält, dass dies vielleicht sogar eine Motivation sein könnte, warum der kirchliche Gesetzgeber überhaupt in diesem Feld tätig wird, wird nicht erwähnt. Entlarvend ist dazu die Begründung eines eigenen Datenschutzrechts aus dem Jahresbericht 2017 des bayerischen Diözesandatenschutzbeauftragten: "Sicher wäre es auch für die Bundesregierung eine Zumutung, wenn ihr mitgeteilt würde, sie habe sich wohl umsonst vier Jahre für die Regelung" eingesetzt. Selbstverwaltung nicht aus Notwendigkeit, sondern aus Prinzip.
Nun ist das umfassende Recht, die eigenen rechtlichen Angelegenheiten selbst zu regeln, ein hohes Gut, das die institutionelle Religionsfreiheit schützt. Wenn die Kirche davon aber Gebrauch macht, sollte sie das auch – nach ihren eigenen Maßstäben – sinnvoll tun und in Kenntnis ihres eigenen Kirchenrechts.
Diesen Eindruck hat man beim KDG nicht immer. Eine große Problematik ist die Frage, wer denn nun unter kirchliches Datenschutzrecht fällt. Nur scheinbar genau regelt das das KDG mit der Formulierung, es gelte für "die kirchlichen Körperschaften, Stiftungen, Anstalten, Werke, Einrichtungen und die sonstigen kirchlichen Rechtsträger ohne Rücksicht auf ihre Rechtsform".
Für wen gilt das kirchliche Datenschutzgesetz? Was bei katholischen Pfadfindern noch klar scheint, ist in anderen Fällen nicht so einfach zu entscheiden.
Unklar bleibt, was mit "Rechtsform" gemeint ist: Nur die Rechtsformen staatlichen Rechts, oder auch die kirchlichen Rechts? Nach Auskunft der kirchlichen Aufsichtsbehörden unterliegen auch Gruppen dem kirchlichen Recht, die nach staatlichem nicht rechtsfähig sind. Dazu gehören etwa viele katholische Verbände, die als nichteingetragene Vereine organisiert sind. Gilt das auch für eine lose organisierte Gebetsgruppe oder die ehrenamtliche Redaktion eines christlichen Blogs, die nach kirchenrechtlichen Kriterien ebenso "freie Zusammenschlüsse von Gläubigen" sind? Ob diese Form des kirchlichen Vereinsrechts überhaupt als Rechtsform im kanonistischen Sinn zu verstehen ist, ist unter Kirchenrechtlern umstritten. Genügt es, dass solche Gruppen nach staatlichem Recht nichteingetragene Vereine oder "Gesellschaften bürgerlichen Rechts" sind, um von der Formulierung im KDG erfasst zu werden? Will der kirchliche Gesetzgeber wirklich seine Zuständigkeit so weit fassen? Woher sollen die Betroffenen wissen, welchem Recht sie unterliegen?
Solche Fragen scheinen bei der Abfassung des KDG nicht bedacht worden zu sein; dabei sind sie aufgrund des umfassenden Rechts auf kirchliche Selbstverwaltung relevant: Mehrere staatliche Datenschutzbehörden haben gegenüber katholisch.de auf Nachfrage mitgeteilt, dass sie bei der Bewertung ihrer Zuständigkeit auf die Einschätzung der kirchlichen Behörden zurückgreifen würden.
„Das ist ja grundsätzlich keine Frage einer pastoralen Praxis. [...] Das ist nichts, was sich die Bischöfe ausgedacht haben.“
Es fehlt eine Theologie der digitalen Öffentlichkeit
Einen Anhaltspunkt, wie es zu dieser Situation kommen könnte, gibt Erzbischof Stefan Heße. Der Hamburger Erzbischof hat erkannt, wie zentral soziale Medien für seinen Dienst als Bischof in der flächenmäßig größten deutschen Diözese sind und kommuniziert schon länger geschickt und technisch versiert auf WhatsApp. "Das Internet bietet hier viele Möglichkeiten, die für die pastorale Arbeit von großer Bedeutung sein können. Wir müssen schauen, wie im Rahmen der bestehenden Gesetze die pastorale Arbeit im digitalen Bereich weiter möglich bleibt", sagte er auf Anfrage. Die Gesetzgebung – als Diözesanbischof hat er für seine Erzdiözese das KDG in Kraft gesetzt – sei allerdings "grundsätzlich keine Frage einer pastoralen Praxis". "Der Grundentwurf des KDG basiert auf der EU-Datenschutz-Grundverordnung. Das ist nichts, was sich die Bischöfe ausgedacht haben", sagt der Erzbischof: "Als Kirche stehen wir hier nicht außerhalb des gesetzlichen Rahmens."
Während es im Bereich des kirchlichen Arbeitsrechts eine Tradition der sozialethischen und kirchenrechtlichen Durchdringung der Materie gibt, fehlt eine ähnliche Auseinandersetzung im Bereich des Datenschutzrechts. Erst langsam tastet sich die akademische Theologie in den Bereich einer Theologie der Öffentlichkeit unter den Bedingungen der Digitalisierung vor, während es eine Theologie der Arbeit schon mindestens seit dem 19. Jahrhundert gibt. Bischöfe erlassen zwar Datenschutzgesetze, sehen sie aber als reine Verwaltungsaufgabe, nicht als Gestaltungsaufgabe, die auch in einem pastoralen Kontext steht, und die über die EU-Rechts-Konformität hinaus auch einer Grundlegung in den Prinzipien der katholischen Soziallehre bedarf. Viele Probleme würden gar nicht erst entstehen, wenn nicht isoliert der Datenschutz um seiner selbst willen im Mittelpunkt stünde, sondern Gesetze im Bewusstsein des Spannungsfelds von Personalität und Solidarität verfasst und ausgelegt würden.
Das Siegel des katholischen Datenschutzzentrums in Dortmund ist, wie das Gesetz es verlangt, im kirchlichen Amtsblatt abgedruckt.
Schließlich sind auch Kernfragen der Ekklesiologie betroffen: Die Forderung der Würzburger Synode nach einer kirchlichen Verwaltungsgerichtsbarkeit verlief im Sande. Der Bischof und der Papst, die in ihrem Bereich oberste Richter und Rechtssetzer sind, können nicht von einer unabhängigen Instanz überprüft werden, mithin kann es auch keine unabhängige kirchliche Verwaltungsgerichtsbarkeit geben – obwohl der CIC Gläubigen das Recht auf Rechtsschutz zuspricht. Was hier unmöglich ist, wurde jetzt ohne viel Aufheben für Teilbereiche der bischöflichen Machtfülle eingerichtet: Wie es das EU-Recht, nicht aber der CIC, vorsieht, sind kirchliche Datenschutzaufsichtsbehörden und -gerichte unabhängig.
Verbände und Ordinariate haben die Umsetzung versäumt
Aber auch auf der operativen Ebene ist es zu Versäumnissen gekommen: Die Tragweite der Reform wurde weithin übersehen; weder die bischöflichen Verwaltungen noch die Zentralen der katholischen Verbände haben sich rechtzeitig mit der Thematik auseinandergesetzt. Erst kurz vor Inkrafttreten wurde der Handlungsbedarf deutlich – ein Versäumnis, das zwar auch im Bereich des staatlichen Rechts besteht; erst seit diesem Frühjahr häufen sich die Medienberichte über verunsicherte Vereine und mittelständische Unternehmen.
Im kirchlichen Bereich führt das allerdings zu größeren Problemen: Zur DSGVO gibt es bereits seit Jahren mehrere juristische Kommentare und Praxishilfen, es gibt Online-Tools, die beim Aufsetzen einer rechtskonformen Datenschutzerklärung für Webseiten helfen, es findet eine breite Debatte in Fachzeitschriften und Tagespresse statt. Nichts davon gibt es im kirchlichen Bereich; nur ein paar dünne Informationshefte haben die Datenschutzbeauftragten aufgelegt, die allerdings kaum mehr als eine ausführlichere Fassung des Gesetzes darstellen. Die wissenschaftlichen Veröffentlichungen zum KDG lassen sich an einer Hand abzählen. Und während mit der DSGVO auch sogenannte "Erwägungsgründe" veröffentlicht wurden, die die Auslegung des Gesetzes erleichtern, wurde das KDG kommentarlos in den Amtsblättern der Bistümer veröffentlicht.
Auch in den Verbänden ist die Unsicherheit groß, Verbandszentralen haben es versäumt, rechtzeitig Arbeitshilfen für die Basis zur Verfügung zu stellen.
Insbesondere der große Bereich der ehrenamtlich organisierten Kirche ist so weitgehend ohne Unterstützung. Die bischöflichen Verwaltungen wie die verbandliche Caritas beschäftigen seit Jahren betriebliche Datenschutzbeauftragte; die sehen sich aber, so hört man es aus Pressestellen und Pastoralabteilungen, eher als Kontrollinstanz denn als Servicestelle, die die Fachabteilungen in ihrem Dienst unterstützen. Vorsitzende von Kolpingfamilien, Leiter von Pfadfinderstämmen oder Oberministranten, aber auch Pfarrgemeinderäte, können nicht direkt auf diesen Apparat zurückgreifen. Das große Feld der kirchlichen Vereine und Verbände ist nicht im Blick des kirchlichen Datenschutzrechts, das Kirche strukturell als Behördenapparat begreift und kaum auf ehrenamtlich getragene Strukturen passt.
Seit katholisch.de ausführlich über kirchlichen Datenschutz berichtet, häufen sich in der Redaktion die Anfragen aus diesem Bereich, ob man nicht in Sachen Datenschutz Beratung leisten könne. Oft beginnen diese Mails und Anrufe mit der Aussage, dass das zuständige Generalvikariat, der zuständige Dachverband auch nicht weiter wisse.
Das Verfahren schadet dem Anliegen des Datenschutzes
Wenn ab heute das KDG gilt, dann wird sich rein rechtlich nicht so viel ändern, wie es die zum Teil panischen Reaktionen vermuten lassen. Vieles wird einfach weiterlaufen wie bisher, aber auf einer anderen Rechtsgrundlage. Bestimmt werden weiterhin rechtswidrig Lektorendienste über WhatsApp organisiert, Newsletter ohne korrekte Einwilligung verschickt, Pfarreiwebseiten mit unzureichender Datenschutzerklärung ins Netz gestellt, Bilder vom Pfarrfest ohne hinreichende Einwilligung der Abgebildeten veröffentlicht.
„Was glauben wir eigentlich, wie relevant und interessant wir sind, dass wir uns solche Methoden erlauben können?“
Die befürchteten schlimmen Konsequenzen werden auch weitgehend ausbleiben: Die Aufsichtsbehörden sind überlastet und haben kaum Zeit, selbständig tätig zu werden; es ist zu erwarten, dass sie zuerst ermahnen und Hilfestellung leisten, bevor sie Bußgelder verhängen. Die Unsicherheit ist dennoch da, und erste Flurschäden zeigen sich.
So verhindern strikte Regeln zur Nutzung von Social Media einfache Kontaktaufnahme, Seelsorger fürchten, dass strenge Vorgaben die Seelsorge behindern. "Was glauben wir eigentlich, wie relevant und interessant wir sind, dass wir uns solche Methoden erlauben können?", fragte dieser Tage ein Pfarrer auf Facebook angesichts überbordender Absicherung von Kommunikationswegen in Rottenburg-Stuttgart. Erste christliche Blogger haben angekündigt, ihre Blogs zu schließen. Das Erzbistum Freiburg hat seine Livestreams von Gottesdiensten aus dem Münster eingestellt. Eine Essener Pfarrei hat ihre Webseite gleich ganz abgeschaltet. Ein Datenschutzgesetz, das Menschen einschüchtert und davon abhält, miteinander zu kommunizieren, schützt nur abstrakte Daten – nicht Menschen, und nicht die menschliche Gemeinschaft.
Das sinnvolle und wichtige Anliegen des Datenschutzes, nämlich die Würde des Einzelnen zu schützen, sein Recht auf informationelle Selbstbestimmung zu stärken, wird kaum weiter vorangebracht: Die problematische Gesetzgebung, die allzu enge Auslegung und die Versäumnisse bei der Umsetzung haben dafür gesorgt, dass Datenschutz in der Kirche jetzt einen äußerst schlechten Ruf hat. Wenn sich das ändern soll, dann müssen die Aufsichtsbehörden pragmatischer werden – und die kirchlichen Gesetzgeber ihre pastorale Verantwortung auch in ihrer Datenschutz-Gesetzgebung entdecken.