Warum die Kirche ein eigenes Datenschutzrecht braucht

Die Kirche hat den Datenschutz quasi erfunden: Seit Jahrhunderten gibt es das Beichtgeheimnis. Dass die Kirche aber auch ein eigenes Datenschutzgesetz und sogar eigene nur für Datenschutz zuständige Gerichte hat, ist für viele überraschend. Der Münsteraner Europarechtler Gernot Sydow ist der oberste katholische Datenschutzrichter: Er steht dem 2018 neu eingerichteten Datenschutzgericht der Deutschen Bischofskonferenz vor. Im Interview erklärt er, warum die Kirche überhaupt ein eigenes Datenschutzrecht braucht – und wie es um den Umgang mit personenbezogenen Daten in der Kirche steht.

Frage: Professor Sydow, warum braucht die Kirche überhaupt ein eigenes Datenschutzrecht? Warum kann sie nicht einfach die staatlichen Gesetze anwenden?

Sydow: Die Kirche könnte sich dem staatlichen Datenschutzrecht unterwerfen, aber es würde an vielen Punkten nicht passen. Die Kirche hat eigene Strukturen, für die das staatliche Recht nicht gemacht ist. Sie agiert in manchen Bereichen anders als ein Wirtschaftsunternehmen und tut Dinge, die es außerhalb der Kirche nicht gibt, sie führt beispielsweise Taufbücher. Für all das braucht man Regelungen. Und wenn man unpassende oder wenig geeignete staatliche oder europäische Regelungen nicht einfach auf die Kirche anwenden will, dann schafft eine eigene kirchliche Datenschutzgesetzgebung präziser passende Bestimmungen. Die Datenschutzgrundverordnung (DSGVO) lässt eine Reihe von Flexibilisierungsmöglichkeiten zu, nicht nur für die Kirche. Es gibt auch Sonderregelungen für andere Bereiche, etwa die Medien. Immer dort, wo es in besonderer Weise eigene Strukturen oder Eigenlogiken eines Bereiches gibt, hat der europäische Gesetzgeber darauf reagiert und diese Möglichkeiten zur Abweichung von einem Datenschutzrecht geschaffen, das im Kern für den Wirtschaftsverkehr gemacht worden ist.

Frage: Die katholische Kirche hat diese Möglichkeit ergriffen und ein eigenes Gesetz über den kirchlichen Datenschutz (KDG) erlassen. Als 2018 die neuen Gesetze kamen, haben viele darüber geklagt, dass das KDG so viel strenger sei als das weltliche Datenschutzrecht. Teilen Sie diesen Eindruck?

Sydow: Es stöhnen immer alle über den Datenschutz. In den letzten zwei Jahren sind datenschutzrechtliche Pflichten überall stärker ins Bewusstsein gekommen, nicht nur bei den Kirchen. Das betrifft zahlreiche Bereiche, wo vielleicht bislang eine eher hemdsärmelige Handhabung herrschte, und dann durch die neue Regeln und stärkere Bußgeldandrohungen plötzlich die Relevanz des Datenschutzrechts erst bemerkt wurde. Die Klagen über einen angeblich zu strengen kirchlichen Datenschutz muss man dort einordnen und auch relativieren. Es gibt zwar punktuell Abweichungen, die man als schärfere Regelungen betrachten kann. Im Gesamt der Regelungen ist das aber relativ marginal. Im wesentlichen sind die kirchlichen Regelungen so wie die staatlichen und europäischen. Sie sind nicht strenger, sie gehen nicht darüber hinaus, sie bleiben auch nicht dahinter zurück.

Frage: Im Interview mit katholisch.de hat der Diözesandatenschutzbeauftragte der bayerischen Diözesen, Jupp Joachimski, die Position vertreten, dass kirchliches Datenschutzrecht strenger formuliert sei und formuliert sein müsse, um das Demokratiedefizit der Kirche zu kompensieren. Halten Sie diese Position für tragfähig?

Sydow: Ich glaube nicht, dass die Frage, wie streng oder nicht streng ein Datenschutzrecht ist, irgendetwas mit der Frage von Demokratie in der Kirche zu tun hat. Dafür sind die Abweichungen des kirchlichen Datenschutzrechts vom staatlichen auch viel zu marginal. Im Kern geht es da etwa um die Frage, welche Formerfordernisse für eine Einwilligung gelten. Die Grundentscheidung, dass eine Datenverarbeitung auf Einwilligung der betroffenen Person beruht, ist eine Wertung des europäischen und staatlichen Rechts, die es genauso im kirchlichen Recht gibt, und wenn man da jetzt die Formerfordernisse noch strenger zieht, dann sehe ich nicht, dass das als Kompensation für ein empfundenes Demokratiedefizit in der Kirche taugen könnte. Ich glaube, die Erklärung trägt nicht.

Frage: Man könnte den Eindruck gewinnen, dass das kirchliche Datenschutzrecht deutlich schwächer ist: Viele Ausnahmen für kirchliche Interessen, kein besonderer Schutz für Daten über die Zugehörigkeit zu einer Religionsgemeinschaft, gegen einen Großteil kirchlicher Stellen können gar keine Bußgelder verhängt werden. Die DSGVO verlangt von kirchlichem Datenschutzrecht, "in Einklang" mit ihren Wertungen zu stehen. Kommt es da nicht sogar in Gefahr, zu nachlässig zu sein?

Sydow: Das ist im wesentlichen eine Frage nach der Effektivität der Datenschutzaufsicht. Wenn man auf ein einzelnes Instrument schaut wie beispielsweise fehlende Bußgelder, kann man vielleicht so einen Schluss ziehen. Aber ich glaube, das trägt nicht: Man muss sich das Gesamtgefüge anschauen. Und da sieht man, dass die Kirche sich eindeutig eine effektive Datenschutzaufsicht geschaffen hat. Die Grenzen einer Datenschutzaufsicht sind viel eher durch die tatsächlichen Möglichkeiten bestimmt als durch die rechtlichen. Die staatlichen Aufsichten leiden über weite Strecken unter Personalknappheit und können deshalb zahlreiche Dinge ohnehin nicht beaufsichtigen, selbst wenn sie das rechtliche Instrumentarium haben. Die personelle Ausstattung der kirchlichen Datenschutzaufsicht dagegen ist nicht schlecht.

Frage: Außer in Bayern. Der bayerische Diözesandatenschutzbeauftragte beklagt in seinem aktuellen Tätigkeitsbericht, dass er die sieben Diözesen des Bundeslands mit weniger als zwei Planstellen, ihn selbst eingerechnet, beaufsichtigen muss.

Sydow: Das ist im Vergleich zu den anderen Diözesen in der Tat eine Abweichung. Mit der bayerischen Situation bin ich aber im Detail nicht vertraut, daher kann ich dazu schlicht nichts sagen. In Nordrhein-Westfalen dagegen ist die Personalausstattung eine deutlich andere.

Frage: Sie haben sich intensiv mit dem kirchlichen Datenschutzrecht beschäftigt. Zwei Jahre lang haben Sie als Herausgeber am ersten Kommentar zum KDG gearbeitet. Wie kam es dazu, dass Sie als Europarechtler sich des kirchlichen Datenschutzes angenommen haben?

Sydow: Ich war zehn Jahre lang im Kirchendienst, und war sogar selbst einmal Diözesandatenschutzbeauftragter, allerdings zu Zeiten, als das noch nicht zwingend von der Funktion als Justiziar getrennt war, die ich hauptberuflich ausfüllte. Dadurch hatte ich zahlreiche praktische Einsichten und habe gesehen, dass es einen Bedarf gibt, das kirchliche Datenschutzrecht so zu erläutern, dass es dann anwendbar wird. So etwas kann ein Kommentar leisten.

Frage: Der Kommentar erscheint kurz vor der dreijährigen Evaluierungsfrist, die das KDG vorsieht. Wenn man die einzelnen Beiträge liest, findet man dort teils sehr deutliche Kritik an der Qualität des Gesetzestextes. Wie schätzen Sie im allgemeinen die Qualität der kirchlichen Gesetzgebung ein?

Sydow: In der Kirche erarbeiten relativ kleine Gruppen von Leuten auf Ebene des Verbands der Diözesen Deutschlands die kirchlichen Gesetzestexte, zwar häufig mit hoher Fachkompetenz, aber doch nicht auf ein großes Ministerium und seinen Apparat gestützt. Das führt dazu, dass die Kirche strukturell schwächere Voraussetzungen für einen redaktionell fehlerfreien Gesetzestext als staatliche Institutionen hat.

Frage: Und wie erreicht man dann auch unter diesen Bedingungen eine gute Qualität kirchlicher Gesetze?

Sydow: Es liegt nahe, dass sich die kirchliche Gesetzgebung in den Bereichen, in denen sie weitgehend parallel zum Staat erlassen wird, auch an den staatlichen Regelungen orientiert. Das hat ohnehin inhaltliche Vorteile, etwa im Bereich der Mitarbeitervertretungsordnung in Parallelität zum Betriebsverfassungsgesetz. Es erhöht die Plausibilität kirchlicher Regelungen, wenn sie nur dann von den staatlichen abweichen, wenn es benennbare kirchliche Spezifika gibt, auf die dann die Kirche mit einer Eigenregelung reagiert. 

Frage: In der kirchlichen Gesetzgebung gibt es keine Öffentlichkeit. Könnte der kirchliche Gesetzgebungsprozess profitieren, wenn es im Vorfeld so etwas wie eine Verbändeanhörung oder eine offenere Beteiligung von Betroffenen geben würde?

Sydow: Es gibt ja ein durchaus sehr breites Verfahren innerkirchlicher Beteiligung für die einzelnen Gesetzgebungsverfahren. Diese Gesetzgebung setzt immer die Rückbindung in die einzelnen Diözesen voraus, schließlich müssen die einzelnen Bischöfe die Normen als Gesetzgeber am Ende in Kraft setzen. Das ist keine Öffentlichkeit, aber es ist eine Beteiligung der kirchlichen Kreise, die mit dem Recht dann auch arbeiten müssen. Es ist richtig, dass es keine öffentliche Plenardebatte gibt, wie sie im Bundestag stattfindet. Aber die wesentliche Gesetzgebungsarbeit ist auch nicht die Plenardebatte, sondern die Beteiligung interessierter Kreise und sachkundiger Personen, und all das findet in den kirchlichen Gesetzgebungsverfahren sehr intensiv statt.

Frage: Was wären Ihre Wünsche für die Evaluierung des KDG?

Sydow: Ich bin in der Kirche als Richter tätig, nicht als Gesetzgeber. Wenn ich Ihnen jetzt bei einer konkreten Norm erzählte, warum ich sie für schlecht, revisionsbedürftig oder unklar hielte, schafft das gegebenenfalls Probleme, wenn man sie in einer gerichtlichen Funktion vor sich hat. Da sollte man sich zurückhalten.

Frage: Bisher wurden nur sehr wenige Entscheidungen der kirchlichen Datenschutzgerichte veröffentlicht, und noch gar keine der zweiten Instanz. Haben die Gerichte tatsächlich so wenig zu tun?

Sydow: Ja, das ist richtig. Die Zahl der Verfahren ist etwas gewachsen, sie ist aber nach wie vor in einem einigermaßen überschaubaren Rahmen. Ich nehme an, sie wird in Zukunft noch etwas wachsen, aber nicht explodieren. Dass eine neue Gerichtsbarkeit in den Anfangsmonaten nicht so viele Entscheidungen hat, ist völlig normal: Es muss ja auch erst einmal dazu kommen, dass sich die Datenschutzaufsichten eine Verwaltungspraxis zulegen und dann gegebenenfalls Verfügungen erlassen, gegen die geklagt werden kann. Das wird noch kommen. Die noch sehr überschaubare Zahl von Privatpersonen, die gegen kirchliche Datenverarbeitungssituationen klagen, scheint mir ein Hinweis darauf zu sein, dass der kirchliche Datenschutz nicht so konfliktträchtig ist, wie es bisweilen dargestellt wird.

Frage: Was sind typische Themen der bisherigen Verfahren?

Sydow: Da geht es um den gesamten Bereich von kirchlichen Datenverarbeitungen, besonders in Beschäftigungsverhältnissen, etwa Fragen des Umgangs mit Personaldaten und der Personalaktenführung, aber auch der Umgang mit Meldedaten etwa für Spendenbriefe.

Frage: Sie sitzen dem Gericht der zweiten Instanz vor – bisher sind nur zwei Verfahren bekannt, die dort verhandelt werden werden. Gehen wirklich nur so wenige Verfahren in die zweite Instanz?

Sydow: Bei mir ist jetzt schon das dritte anhängig, und da wir uns die Fälle aufteilen, ist auch in der anderen Besetzung dieselbe Zahl zu erwarten. Die Zahl der Rechtsmittelverfahren, also der Verfahren, die in die zweite Instanz gehen, ist sehr überschaubar.

Frage: Betrachtet man die Katholische Datenschutzgerichtsordung, scheinen Sie einen recht geringen Spielraum zu haben: Viel mehr als einen Verstoß festzustellen ist nicht möglich. Reichen Ihnen die Sanktionsmaßnahmen, die Sie  als Gericht zur Verfügung haben?

Sydow: Rechtsprechung wirkt vor allem durch die Autorität der Entscheidung, das ist auch bei staatlichen Gerichten nicht anders. Dass sich auf ein staatliches Gerichtsurteil hin eine Verwaltungspraxis ändert, hat nichts mit den Sanktionsmechanismen zu tun, sondern mit der Autorität einer gerichtlichen Entscheidung. In der Hinsicht haben wir in der Kirche keine strukturell andere Voraussetzung. Am Ende lebt eine Gerichtsbarkeit immer davon, dass sich die Gerichte auf ihre Aufgaben beschränken und diejenigen, die mit solchen Gerichtsurteilen umgehen, bereit sind, die darin zum Ausdruck kommende Autorität zu akzeptieren. Eine Gerichtsbarkeit, die auf Zwangsdurchsetzung angewiesen ist, wäre sehr schnell am Ende. Bislang habe ich nicht den Eindruck, dass die Autorität der kirchlichen Datenschutzgerichtsbarkeit irgendwo in Zweifel gezogen worden wäre.