Die Zeugen Jehovas und das Datenschutzrecht
Scheinbar geht es nur um eine Petitesse in dem Streitfall der EuGH-Rechtssache C-25/17 vom 10. Juli 2018. Vordergründig geht es um die kleine Frage, ob die Zeugen Jehovas als Religionsgemeinschaft bei Hausbesuchen den besonderen Bestimmungen des europäischen Datenschutzrechts unterliegen. Doch wie zu zeigen sein wird, geht es um mehr, um wichtige Fragen des europäischen Datenschutzrechts und seiner Anwendbarkeit generell sowie um die Reichweite für den gesamten kirchlichen Bereich.
Die Kirchen im europäischen Datenschutzrecht
Schon 1999 sprach Josef Isensee von der „supranationalen Walze“ des Europarechts, die das deutsche Staatskirchenrecht in den Grundfesten erschütterte.((Isensee, Festschrift für Listl, 1999, 67,73)) In Deutschland schützt man traditionell den autonomen Status der Kirchen im Rahmen von Art. 140 GG i.V.m. Art. 137 Abs. 3 WRV. Wie das Bundesverfassungsgericht mehrfach betonte, haben nach deutschem Verfassungsrecht die Kirchen und ihre Einrichtungen – ohne Rücksicht auf ihre Rechtsform – das Recht, über Ordnung und Verwaltung ihrer Angelegenheiten allein zu entscheiden. Im Europarecht ist die Rechtslage komplizierter. Die Religionsgemeinschaft der Zeugen Jehovas in Deutschland e.V. ist als Vereinigung, die sich mit der Bekundung und Pflege des Glaubens ihrer Mitglieder befasst, Trägerin des Grundrechts der Religionsfreiheit aus Art. 4 I und II GG. Dabei steht die Grundrechtträgerschaft unabhängig vom Erwerb der Rechtsfähigkeit als eingetragener Verein des Privatrechts.((BVerfG, Urt. v. 19.12.2002, NJW 2001, 429.))
Verfassungsrechtlicher Maßstab für die Prüfung des Anspruchs einer Religionsgemeinschaft auf Verleihung des Status einer Körperschaft des öffentlichen Rechts ist Art. 140 GG i.V.m. Art. 137 V 2 WRV.((Ebda.)) Demnach sind Religionsgesellschaften auf Antrag die Rechte einer Körperschaft des öffentlichen Rechts zu gewähren, wenn sie durch ihre Verfassung und die Zahl ihrer Mitglieder die Gewähr der Dauer bieten. Dabei bieten der gegenwärtige Mitgliederbestand und ihre Verfassung die Grundlage für die Beurteilung.((Ebda.)) Der Glaube an den Weltuntergang steht einer Einschätzung als Gemeinschaft von Dauer nicht entgegen.((BVerfG, Urt. v. 19.12.2002, NJW 2001, 429 (430).)) Ferner müssen Religionsgemeinschaften, die den Status als Körperschaft des öffentlichen Rechts anstreben, über eine ausreichende Mitgliederzahl und ausreichende finanzielle Ausstattung verfügen.((VG Mainz, Urt. v. 26.01.2012, LKRZ 2012, 185.)) Ungeschriebene Voraussetzung für die Erlangung des Körperschaftsstatus ist ferner die Rechtstreue der Religionsgemeinschaft. Daher muss die Religionsgemeinschaft insbesondere die Gewähr dafür bieten, dass ihr künftiges Verhalten die in Art. 79 III GG umschriebenen fundamentalen Verfassungsprinzipien nicht gefährdet.((BVerfG, Urt. v. 19.12.2002, NJW 2001, 429 (431); VG Mainz, Urt. v. 26.01.2012, LKRZ 2012, 185.))
Die Zeugen Jehovas erfüllen diese Voraussetzungen. Zuletzt wurde ihnen daher am 22.01.2017 der Körperschaftsstatus in NRW verliehen, womit sie nun in sämtlichen Bundesländern Körperschaften des öffentlichen Rechts sind.
Nach Art. 17 AEUV achtet die EU den Status, den die Kirchen in den Mitgliedstaaten nach deren Rechtsvorschriften genießen, und beeinträchtigt ihn nicht. Diese Bekenntnisformel ist weiter als Art. 137 WRV, denn man musste einen Kompromiss suchen zwischen den Staaten, die im Vertrag von Amsterdam die Erwähnung des christlichen Erbes Europas wünschten, und denjenigen Staaten, die auf eine klare Trennung von Staat und Kirche bestanden. Deshalb enthält Art. 17 AEUV kein Bekenntnis zu einem Vorrang nationalstaatlicher Besonderheiten vor Grundrechten und Grundsätzen der Union.((dazu ausführlich Generalanwalt Tanchev, Schlussantrag vom 9. November 2017 – C – 414/16, Egenberger.)) Wie der EuGH bereits kurz zuvor bekräftigt hat, können die Kirchen nicht einseitig verbindlich selbst bestimmen, wie sie zum Beispiel mit der Gleichbehandlung im kirchlichen Arbeitsrecht umgehen.((EuGH, Urteil vom 17. April 2018 – C – 414/16 Egenberger mit ausführlicher Besprechung von Junker, NJW 2018,1850.)) Dieser Artikel kann daher nicht bewirken, dass die Einhaltung einer europarechtlichen Vorgabe einer wirksamen rechtlichen Kontrolle entzogen wird.((s. EuGH, Egenberger, RNr. 58))
Der Rechtsstatus der Kirchen im europäischen Datenschutzrecht ist derzeit noch ungeklärt, ebenso wie die Anwendbarkeit etwa des Bundesdatenschutzgesetzes.((Hoeren, Kirchen und Datenschutz, Essen 1986)) Der EuGH hatte im vorliegenden Fall nicht über die Anwendbarkeit der europäischen Datenschutzgrundverordnung zu entscheiden, da der Fall vor dem Inkrafttreten der Verordnung am 25. Mai 2018 spielt. Vorliegend ging es daher nur um die Reichweite der europäischen Datenschutzrichtlinie, dem Vorläufer der Verordnung. Nach der Datenschutzgrundverordnung bedarf es vorab einer Würdigung von Art. 10 der europäischen Grundrechtecharta, der die Freiheit der Gedanken und der Religion umfasst. Dementsprechend bestätigt Art. 17 AEUV den Respekt der Europäischen Union für den Status der Kirchen nach nationalem Recht. Die DSGVO gilt auch für Religionsgemeinschaften. Sie enthält aber mit Art. 91 DSGVO eine Öffnungsklausel für die Mitgliedstaaten, die Sonderregelungen für „Kirchen und sonstige religiöse Vereinigungen oder Gemeinschaften“ ermöglicht. Art. 91 Abs. 1 DSGVO enthält zum einen eine grundsätzliche Anerkennung eigenständiger umfassender kirchlicher Datenschutzvorschriften, wenn das Staatskirchenrecht des Mitgliedstaates solche eigenständigen Regelungen erlaubt. Dies ist in Deutschland für öffentlich-rechtliche Religionsgesellschaften der Fall (Art. 137 Abs. 3 und 5 WRV i.V.m. Art. 140 GG). Zum anderen enthält Art. 91 Abs. 1 DSGVO ein Anpassungsgebot. Wendet eine Kirche oder sonstige religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens der DSGVO umfassende Datenschutzregeln an, so dürfen diese Regeln weiter angewandt werden, „sofern sie mit dieser Verordnung in Einklang gebracht werden“. Art. 91 Abs. 2 DSGVO ermöglicht eine spezielle Datenschutzaufsicht. Verfügen die Religionsgemeinschaften über umfassende Datenschutzregeln, dann unterliegen sie „der Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt“ (Art. 91 Abs.2 DSGVO). Es hängt daher vom Staatskirchenrecht des jeweiligen Mitgliedstaates ab, ob eine Datenschutzaufsicht durch kircheneigene unabhängige Datenschutzaufsichtsbehörden zugelassen wird. Damit kann in Deutschland die besondere Datenschutzaufsicht durch kircheneigene unabhängige Datenschutzbeauftragte grundsätzlich beibehalten werden.
Die unklare Sachlage bei den Zeugen Jehovas
Dem Urteil merkt man an, dass den Richtern die internen Aufzeichnungstechniken bei den Zeugen Jehovas nicht ganz geheuer waren. Im finnischen Ausgangsfall wird der festgestellte Sachverhalt vom Generalanwalt wie folgt umschrieben:
„Im Rahmen ihrer Verkündigungstätigkeit gehen die Mitglieder von Tür zu Tür und machen sich Notizen über ihre Begegnungen mit Personen, die ihnen in der Regel unbekannt sind. Diese Daten werden zur Erinnerung erhoben, damit Informationen, die für einen erneuten Besuch von Nutzen sein können, wiederauffindbar sind. Die besuchten Personen, deren Daten sich in den Notizen der Mitglieder der Gemeinschaft finden, werden weder über die Erhebung noch über die Verarbeitung der personenbezogenen Daten informiert. Als Datenträger werden Notizbücher oder Notizzettel verwendet. Bei den betreffenden Daten handelt es sich um Namen, Adressen und Zusammenfassungen der Gespräche, die unter anderem religiöse Überzeugungen und Familienverhältnisse zum Gegenstand haben. Nach den Angaben des vorlegenden Gerichts wird die Verkündigungstätigkeit von der Gemeinschaft in der Weise organisiert, dass sie Gebietskarten erstellt und zum Zweck der Evangelisation Bezirke unter den Mitgliedern aufteilt. Die Gemeinden der Gemeinschaft führen Verzeichnisse über die Verkündiger, in denen die Anzahl der von ihnen verteilten Publikation und die von jedem Mitglied für die Verkündigungstätigkeit aufgewandte Zeit vermerkt wird.“ (RNr. 14)
Aufgrund einer Intervention des Datenschutzbeauftragten wurden die anfänglich nach Formularen erhobenen Daten nicht mehr verwendet. Der Datenschutzbeauftragte hat allerdings eine Verbotsliste von Personen, die darum gebeten haben, nicht mehr von den Mitgliedern der Gemeinschaft besucht zu werden, erlaubt (Schlussanträge, RNr 15). Der EuGH sieht die Sachlage auch als eher dubios. Unklar sei, nach welchem genauen Kriterium neben welcher genauen Form die Daten strukturiert sein (Urteil, RNr. 61). Entscheidend sei vielmehr dass die Daten nach Kriterien strukturiert zu sein „scheinen“ (RNr. 60).
Anwendbarkeit der Richtlinie
Nach Art. 3 Absatz 2 DSRL gilt die Verordnung nicht für den Bereich der Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Der EuGH stellt klar, dass die Verkündigungstätigkeit der Zeugen Jehovas deutlich über die private Sphäre eines als Verkündiger tätigen Mitglieds der Zeugen Jehovas hinausgeht (RNr. 50), in dem diese Mitglieder von Tür zu Tür ihre Verkündigung und Tätigkeit ausüben (RNr. 49). Gerade auch die Tatsache, dass einige der gesammelten Daten von diesen Mitgliedern an die Gemeinden weitergegeben werden, die auf der Grundlage dieser Daten Listen von Personen führen, die nicht von diesen Mitgliedern mehr aufgesucht werden möchten, mache deutlich, dass ein Teil der Daten einem potenziell unbegrenzten Personenkreis zugänglich sei (RNr. 45).
Der Dateibegriff
Schwierigkeiten bestehen vor allem mit dem Dateibegriff im europäischen Datenschutzrecht. Nach Art. 3 Abs. 1 DSRL ist die nicht automatisierte Verarbeitung personenbezogener Daten vom Datenschutzrecht umfasst, sofern die Daten in einer Datei gespeichert sind oder gespeichert werden sollen. In Umsetzung dieser Vorschrift hat § 3 Abs. 2 BDSG (a.F.) definiert, dass eine nicht automatisierte Datei eine nicht automatisierte Sammlung personenbezogener Daten umfasst, die gleichartig aufgebaut ist, nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann. Wichtig ist die Tatsache, dass die Daten nach bestimmten Merkmalen zugänglich sind und ausgewertet werden können. Typischerweise wurde im alten Datenschutzsystem zwischen der zwei-Merkmal- und der vier-Merkmal-Theorie unterschieden.((Eßer in Auernhammer, BDSG, 5. Aufl. § 3 BDSG Rn.40.)) Entscheidend war, ob die Daten nach mindestens zwei Merkmalen zugänglich sind und nach zwei Merkmalen ausgewertet werden können, was bei gleichartigen Daten der Fall ist.((Vgl. Dammann in Simitis, Bundesdatenschutzgesetz, 7. Aufl. § 3 Rn.94; Eßer in Auernhammer, BDSG, 5. Aufl. § 3 BDSG Rn.40.)) Karteien und Aktensammlungen waren die typischen Anwendungsfälle des BDSG (a.F.). Die reine Akte unterfiel jedoch nicht dem alten Dateibegriff des § 3 BDSG (a.F.). Ähnlich war die Lage auch in Finnland, wie der Generalanwalt erklärt, ohne dass sich daraus für ihn Sonderüberlegungen zur nicht zu entscheidenden Frage des finnischen Datenschutzrechts ergeben. Für den EuGH reicht für den Begriff der Datei aus, dass eine strukturierte Sammlung personenbezogener Daten nach bestimmten Kriterien zugänglich sind . Dementsprechend legen die Richter wie der Generalanwalt dem Begriff der Datei weitaus, sodass jede strukturierte Sammlung personenbezogener Daten einbezogen wird (56). Man kann die zugrunde liegende EU Datenschutzrichtlinie aber anders auslegen, nämlich einmal bezogen auf eine strukturierte Sammlung und zusätzlich auf weitere bestimmte Kriterien für den Zugang. Insofern ist die Auslegung des EuGH für die EU Datenschutzrichtlinie zweifelhaft.
Anders ist die Rechtslage nach der nicht streitgegenständlichen Datenschutzgrundverordnung.((Der Generalanwalt hatte mit Verweis auf das Inkrafttreten der Verordnung ab dem 25. Mai die Anwendung des Regelwerks auf den vorliegenden Fall strikt abgelehnt; Generalanwalt beim EuGH, Schlussantrag v. 1.2.2018 – C-25/17, BeckRS 2018, 646, Rn.18 (Fn.5). Dennoch konnte er sich der Verärgerung und der Irritation über dieses konfuse Regelwerk nicht enthalten. So bedauert er in Fußnote 40, dass dort persönliche oder familiäre Tätigkeiten scheinbar davon abhängig gemacht werden, ob kein Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorzufinden sei, was den Eindruck erwecken könnte, dass eine Tätigkeit, die weder beruflich noch wirtschaftlich ist, zwangsläufig persönlich oder familiär ist und damit dem Anwendungsbereich der Verordnung entzogen sei; Generalanwalt beim EuGH, Schlussantrag v. 1.2.2018 – C-25/17, BeckRS 2018, 646, Rn. 39 (Fn.40). Eine solche DSA wäre aber unionsrechtlich nachhaltig gefährlich, weshalb der Generalanwalt die durch den 18. Erwägungsgrund hervorgerufene Verwirrung für ausgesprochen bedauerlich hält. Auch in Fußnote 52 wirft er der Verordnung vor, sie würde im Detail nicht zur Klärung beitragen; Generalanwalt beim EuGH, Schlussantrag v. 1.2.2018 – C-25/17, BeckRS 2018, 646, Rn. 55 (Fn.52).))
Nach Art. 4 Nr. 6 DSGVO ist der Begriff des Dateisystems als jede strukturierte Sammlung personenbezogener Daten definiert, die nach bestimmten Kriterien zugänglich sind. Dabei soll es keine Rolle spielen, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geographischen Gesichtspunkten geordnet geführt wird. Es bedarf also nur bestimmter Kriterien für den Zugang, nicht der Auswertbarkeit. Eine klare Grenze zwischen Akte und Dateisystem fällt daher weg.
Wer ist für die Verarbeitung verantwortlich?
Der EuGH beschäftigt sich in der Entscheidung ein weiteres Mal mit der Frage der Verantwortlichkeit im Datenschutzrecht. Schon zuvor hatte er in der Facebook-Entscheidung einen weiten Begriff des Verantwortlichen begründet, um einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten. Der Betreiber einer Fanpage beteilige sich durch die Unterhaltung der Fanseite an der Datenverarbeitung und ist daher gemeinsam mit Facebook Irland als für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen. Diese Entscheidung hatte in der deutschen Literatur zu heftigen Bedenken Anlass gegeben, da die Entscheidung dem Begriff des Verantwortlichen überziehe und eine allgemeine Störerhaftung auch im Datenschutzrecht begründe. Hier plädiert der EuGH ein weiteres Mal für eine weite Definition des Begriffs der Verantwortlichen. Ausgiebig wird dabei Bezug genommen auf die Entscheidung in Sachen Facebook (RNr. 66). Der EuGH will eine Verantwortlichkeit nicht davon abhängig machen, dass schriftliche Anleitungen oder Anweisungen vorliegen (RNr. 67). Der Grad der Verantwortlichkeit eines jeden Beteiligten müsse nach den konkreten Umständen des Einzelfalls beurteilt werden (RNr. 66). Die Gemeinschaft der Zeugen Jehovas koordiniere und organisiere gemeinschaftlich mit ihren Mitgliedern den Zweck und die Mittel der Verarbeitung personenbezogener Daten (RNr. 73). Dabei müsse jetzt noch das vorlegende Gericht anhand aller Umstände des Einzelfalls die konkreten Verantwortlichkeiten feststellen (RNr. 73).
Zum Nachweis des Vorliegens einer zentralen Steuerung über die Religionsgemeinschaft als für die Verarbeitung Verantwortlichen wird darauf abgestellt, dass die Gemeinschaft die Tätigkeit ihrer Mitglieder in dem Sinne organisiert, dass sie die Aktionsradien der Verkündiger aufteilt, die Verkündigungstätigkeit verfolgt und Register über Personen, die nicht besucht werden möchten, führt (GA, RNr. 65.). Es wird zwar anerkannt, dass gegenwärtig keine schriftlichen Anweisungen erfolgen (GA, RNr. 68), faktisch entscheide die Gemeinschaft aber über die Mittel der Verarbeitung. Das genaue Ausmaß des tatsächlichen Einflusses müsse das vorliegende Gericht prüfen. Angemessen überprüfbare Maßstäbe für eine moralisch hinreichende Verbindlichkeit müssten nicht festgestellt werden (GA, RNr. 70). Der Sachverhalt lege jedenfalls nahe, dass die Mitglieder der Gemeinschaft die Möglichkeit haben, konkret auf die Mittel der Verarbeitung Einfluss zu nehmen, indem sie die zu besuchenden Personen auswählen, über die Zweckmäßigkeit der Anfertigung von Notizen entscheiden, den Datenträger für diese Notizen auswählen, den Umfang der erhobenen Daten bestimmen usw.
Im Endergebnis zeigt sich, dass der EuGH vor staatskirchenrechtlichen Besonderheiten etwa in Deutschland nicht zurückzuckt, sondern im Zweifel für den Datenschutz in Europa auch zulasten der Kirchen entscheidet. Viele Fragen bleiben noch offen, etwa zu dem Kompetenzbereich kirchlicher Datenschutzgerichtsbarkeit und kirchlicher Datenschutzaufsicht im Verhältnis zu staatlicher Aufsicht. In diesem Sinne werden die nächsten Jahre zeigen, wohin es mit dem kirchlichen Datenschutzrecht weitergeht
Neben einer “suprantionalen europarechtlichen Walze” kann noch eine “datenschutzrechtliche Walze” erahnbar sein. Dies begründet in einem richterlich fingierten Konstrukt zum freien persönlichen Kernbereich. Wie richterliche Konstrukte oft, kann dies weit unkritisch gestützt sein. Fraglich kann nur sein, inwieweit etwa teils eher begrenzte Handaufzeichnungen über selbst erteilte Auskünfte zu Religionszugehörigkeit etc. so persönliche Kernbereiche betreffen, dass dies weit unbeschränkt andere Interessen überwiegen muss?
[…] unberührt bleiben. (Ob diese Regelung europarechtskonform ist, kann man mit Blick auf das Zeugen-Jehovas-Urteil des EuGH kritisch […]
[…] möglich sein, da sich die Rollen regelmäßig überschneiden. Mit Blick auf das (nicht erwähnte) Zeugen-Jehovas-Urteil des EuGH, das eine Geltung des EU-Datenschutzrechts (allerdings der alten Richtlinie) schon bei dezentralen, […]