Als der kirchliche Datenschutz Zähne bekam: Fünf Jahre KDG
"Das Gesetz über den kirchlichen Datenschutz ist im kirchlichen Bereich etwas Besonderes", ist Matthias Ullrich überzeugt. Der Jurist leitet die Katholische Datenschutzaufsicht für die Ost-Bistümer und ist in diesem Jahr Vorsitzender der Konferenz der Diözesandatenschutzbeauftragten. Dass es sein Amt und solche Gremien in der Kirche überhaupt gibt, obwohl doch ansonsten staatliche Behörden für die Überwachung des Datenschutzes zuständig sind, ist Teil dieser Besonderheit. "Die Bischöfe haben unabhängige Behörden damit beauftragt, ein Rechtsgebiet zu beaufsichtigen und sogar Ordnungsmaßnahmen zu verhängen – und sie halten sich dabei völlig heraus", sagt Ullrich.
Kirchliches Datenschutzrecht gibt es schon lange. Bereits Ende der 1970er Jahre, als die ersten staatlichen Datenschutzgesetze entstanden, haben die katholische und evangelische Kirche damit begonnen, eigene Regeln für die Datenverarbeitung aufzustellen. Dass die Kirchen überhaupt auf die Idee kamen, eigene Gesetze zu erlassen statt einfach die staatlichen anzuwenden, lag an einer Besonderheit des damaligen Bundesdatenschutzgesetzes: Das Gesetz unterschied zwischen Datenverarbeitung im öffentlichen und im nicht-öffentlichen Bereich. Die Kirchen als öffentlich-rechtliche, aber nicht staatliche Körperschaften passten in diese Kategorien nicht recht hinein, und in diese Regelungslücke setzten sie ihr eigenes Datenschutzrecht. "Der Datenschutz hat für Kirchen und Religionsgemeinschaften große praktische Relevanz, denn sie gehören in Deutschland mit zu den größten Verarbeitern personenbezogener Daten", erläutert ein Sprecher der Deutschen Bischofskonferenz (DBK) auf Anfrage, warum sich die Kirche überhaupt um das Thema kümmert.
Die DSGVO regelte kirchlichen Datenschutz erstmals explizit
In der Rechtswissenschaft wurde diese Begründung unter das Schlagwort "beredtes Schweigen" gefasst: Weil der staatliche Gesetzgeber zum Datenschutz in den Kirchen schweigt, will er damit sagen, dass sie ihn selbst regeln sollen. Mit der europäischen Datenschutzgrundverordnung verstummte das beredte Schweigen. Am 25. Mai 2018 wurde die EU-Verordnung wirksam, die erstmals ein einheitliches Datenschutzrecht für alle Staaten im europäischen Wirtschaftsraum festlegte. Der Datenschutz in Kirchen und Religionsgemeinschaften wurde in einem eigenen Artikel 91 geregelt. Dort sind die Bedingungen festgehalten, unter denen Kirchen eigenes Datenschutzrecht anwenden dürfen. Die wichtigste Vorgabe der DSGVO ist der Einklang mit den Wertungen des Europarechts. Wo die bestehenden kirchlichen Regeln diesen Einklang noch nicht haben, musste dieser hergestellt werden.
Matthias Ullrich leitet die KDSA Ost und ist damit Diözesandatenschutzbeauftragter für die fünf ostdeutschen Bistümer und das Militärbischofsamt. 2023 steht er der Konferenz der Diözesandatenschutzbeauftragten vor.
Beide Kirchen haben daher ihre Datenschutzgesetze reformiert und an die DSGVO angepasst. Einen Tag, bevor die DSGVO wirksam wurde, traten auch die neuen Fassungen des EKD-Datenschutzgesetzes und des katholischen Gesetzes über den kirchlichen Datenschutz in Kraft. Das meiste darin entspricht fast eins zu eins den Regeln der EU-Verordnung. In wenigen Fällen ist das kirchliche Recht strenger – so müssen Einwilligungen zur Datenverarbeitung anders als in der DSGVO grundsätzlich schriftlich abgegeben werden –, an anderen Stellen deutlich laxer: Die Geldbußen, die Diözesandatenschutzbeauftragte verhängen können, sind bei 500.000 Euro gedeckelt, während sie im staatlichen Bereich abhängig vom Konzernumsatz mehrstellige Millionenbeträge erreichen können.
Im Vergleich zu vorher mussten vor allem die Aufsichtsstrukturen und die Möglichkeiten, Datenschutzrechte gerichtlich durchzusetzen, verändert werden: Konnten die Aufsichten zuvor kaum mehr als mahnen und warnen, hat der kirchliche Datenschutz durch die Möglichkeit von Bußgeldern und Anweisungen nun Zähne bekommen. Mit dem KDG wurde in der katholischen Kirche auch erstmals eine spezielle Verwaltungsgerichtsbarkeit eingerichtet: das Interdiözesane Datenschutzgericht und als zweite Instanz das Datenschutzgericht der Deutschen Bischofskonferenz. Die Aufsichten – für die 27 Diözesen, die Militärseelsorge und den Verband der Diözesen Deutschlands (VDD) gibt es fünf regional zuständige – sind zu völlig unabhängigen kirchlichen Behörden geworden. Mit der Reform des KDG wurde die Stellung der kirchlichen Datenschutzaufsichtsbehörden gestärkt. "Und tatsächlich hat auch nie ein Bischof oder sonst jemand versucht, auf meine Tätigkeit als Aufsicht unbotmäßig Einfluss zu nehmen", bekräftigt Diözesandatenschutzbeauftragte Ullrich: "Es ist auch allen Beteiligten völlig klar, dass die kirchlichen Aufsichten das Recht zur Not auch gegen kirchliche Stellen durchsetzen und nicht den Datenschutz im kirchlichen Interesse so hinbiegen, dass die Kirche Standards unterschreiten könnte."
Die Aufregung der Anfangszeit hat sich gelegt
Als das neue Recht in der EU und in der Kirche eingeführt wurde, war die Aufregung groß. Dabei änderte sich gerade in Deutschland nicht allzu viel: Weite Teile der europäischen Verordnung waren nach dem Vorbild des deutschen Bundesdatenschutzgesetzes gestrickt. Durch die Reform wurde vielen, die personenbezogene Daten verarbeiten, aber erst bewusst, welche Pflichten sie erfüllen müssen: umfangreiche Informations- und Dokumentationspflichten für die Verantwortlichen der Datenverarbeitung, umfangreiche Rechte auf Auskunft, Widerspruch und Korrektur bei den von der Datenverarbeitung betroffenen Personen. Zur Aufregung trug bei, dass mit dem neuen Recht bei Verstößen deutlich höhere Bußgelder drohen.
"Ab sofort ohne Gesicht: Öffentlichkeitsarbeit in der katholischen Kinder- und Jugendarbeit" war 2018 das Motto der Protestaktion der Bonner KSJ-Gruppe Clemens Hofbauer gegen das KDG und seine strenge Auslegung bei Fotos mit Kindern. Mittlerweile haben sich solche Befürchtungen gelegt – auch weil die kirchlichen Datenschutzaufsichten das Gesetz pragmatischer auslegen als zur Anfangszeit.
So war es auch in der Kirche: Vor allem die Frage, ob beliebte Messenger- und Social-Media-Dienste nach dem neuen Datenschutzrecht überhaupt noch genutzt werden dürfen, sorgte für Aufregung, aber auch Fragen nach Bildrechten: Unter welchen Bedingungen dürfen Gemeinden, Jugendverbände und kirchliche Einrichtungen Bilder mit Menschen, womöglich sogar mit Kindern darauf, veröffentlichen? Heute hört man von solchen Bedenken nur noch wenig. Ullrich zeigt sich zufrieden mit der Entwicklung. Schon 2016, also vor Einführung des neuen Rechts, hatten die Diözesandatenschutzbeauftragten festgestellt, dass die Nutzung von WhatsApp zu kirchlichen Zwecken nicht zulässig ist – vor allem die automatische Übertragung aller Telefonkontakte an die Server in den USA, wo ein sehr schlechtes Datenschutzniveau herrscht, wird als problematisch eingesehen. "Das haben die Bistümer sehr gut umgesetzt und andere, zulässige Messenger-Dienste eingeführt", ist der Aufsichtschef überzeugt. Wenn es überhaupt Probleme im Bereich Social Media und Messenger gebe, liege das an einzelnen Beschäftigten, die über die Stränge schlagen: "Wenn etwa Mitarbeitende in Pflegeeinrichtungen Bewohner auf TikTok zur Schau stellen, oder wenn man sich über WhatsApp über Patienten austauscht. Ansonsten ist das bei Einrichtungen kaum ein Thema", erzählt Ullrich aus seiner Arbeit in der Datenschutzaufsicht.
Streitpunkt Facebook-Fanseite
Aktuell sind Facebook-Fanseiten ein großes Thema. Die staatlichen Aufsichtsbehörden gehen auf der Grundlage eines umfangreichen Gutachtens davon aus, dass der Betrieb von Fanseiten datenschutzrechtlich nicht zulässig ist. Ob diese Rechtseinschätzung auch vor Gericht hält, klärt gerade ein Musterprozess, den der Bundesdatenschutzbeauftragte mit dem Bundespresseamt über die Fanseite der Bundesregierung vor dem Verwaltungsgericht Köln führt. Die kirchlichen Datenschutzaufsichten teilen die Rechtsauffassung ihrer weltlichen Kollegen. Kurz vor seinem Ruhestand hatte der bayerische Diözesandatenschutzbeauftragte Jupp Joachimskis noch ein pauschales Verbot von Facebook-Seiten für kirchliche Stellen ausgesprochen – ohne große Wirkung, und obwohl die Aufsichten gar keine pauschalen Verfügungen erlassen dürfen. Auch Ullrich hat in seinem Zuständigkeitsbereich noch keine kirchliche Facebook-Seite abschalten lassen – er warnt aber weiter: "Wenn wir von Verantwortlichen angefragt werden, sagen wir immer klar unsere Rechtsposition und raten deutlich von Fanseiten ab, weil die Wahrscheinlichkeit groß ist, dass bald Beanstandungen ins Haus stehen."
Bei der DBK zeigt man sich zum fünften Jubiläum im Großen und Ganzen zufrieden mit dem KDG. Die ersten Jahre seien vom Aufbau eines kirchlichen Datenschutzsystems geprägt worden. Jetzt liege das Augenmerk auf der behutsamen Weiterentwicklung der bestehenden Regelungen. "Alles in allem waren die bisherigen Erfahrungen mit dem kircheneigenen Datenschutz positiv, ungeachtet der noch vorzunehmenden Nachjustierungen. Das kirchliche Datenschutzrecht bildet auch in Zukunft den adäquaten Rahmen, um einerseits das Recht des Einzelnen auf den Schutz seiner personenbezogenen Daten zu gewährleisten und um andererseits den Status der Kirche zu schützen, ihre Angelegenheiten selbst zu regeln und zu verwalten", heißt es von der Bischofskonferenz dazu.
Eigentlich war geplant, das KDG drei Jahre nach Inkrafttreten zu überprüfen. Doch die Evaluierung zieht sich. Seit einigen Monaten arbeitet eine Arbeitsgruppe der Unterkommission Datenschutzrecht des VDD an der Weiterentwicklung: "Dabei werden die bisherigen Erfahrungen ausgewertet und verschiedene Vorschläge zur Reform des bestehenden Datenschutzrechts beraten. Die datenschutzrechtliche Judikatur, sowohl der kirchlichen als auch der weltlichen Gerichte, wird zu diesem Zweck ebenso ausgewertet wie die Rückmeldungen aus der Praxis", so der DBK-Sprecher. Sobald die Arbeitsgruppe einen Regelungsentwurf vorlege, sollen Bistümer, Datenschutzaufsichten und kirchliche Verbände in einem Anhörungsverfahren an der Evaluierung beteiligt werden.