Abo

Kurzbeiträge

Allgemein
Lesezeit 19 Min.

Aus den aktuellen Berichten und Informationen der Aufsichtsbehörden (42): Weitere Aspekte zur Benennung von Datenschutzbeauftragten

Auch die im April/Mai 2019 erschienenen Tätigkeitsberichte des LfD Bayern, des ULD Schleswig-Holstein, des LfDI Mecklenburg-Vorpommern und des ULD des Saarlands befassen sich mit aktuellen Fragen der Benennung von Datenschutzbeauftragten.

I. Voraussetzungen der Bestellpflicht bei privaten Datenverarbeitern

1. Die umfangreiche Verarbeitung

Das Unabhängige Datenschutzzentrum Saarland erörtert die Auslegung zweier die Pflicht zur Bestellung betrieblicher Datenschutzbeauftragter festlegender unbestimmter Rechtsbegriffe (27. TB, 2017/2018, Abschn. 9). Dabei geht es einmal um den Begriff „umfangreich“ gemäß Art. 37 DS-GVO. Art. 37 Abs. 1 DS-GVO verlangt auf jeden Fall die Benennung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder wenn sie in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 besteht.

Wann eine umfangreiche Datenverarbeitung vorliegt, wird zwar nicht in dem Verordnungstext, aber in dem gleichwohl vagen Erwägungsgrund 91 der DSGVO zumindest angedeutet. Gemeint sind u.a. solche Verarbeitungen, die eine große Menge personenbezogener Daten oder eine große Zahl von Personen betreffen und die wahrscheinlich – beispielsweise aufgrund ihrer Sensibilität – ein hohes Risiko mit sich bringen, sowie Verarbeitungsvorgänge, bei denen in großem Umfang neue Technologien eingesetzt werden, oder solche, denen ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen immanent ist.

Bezüglich einer Datenverarbeitung durch Ärzte, Apotheker und sonstige Angehörige eines Gesundheitsberufes hat die DSK, vorbehaltlich einer anderslautenden Regelung durch den Europäischen Datenschutzausschuss (EDSA), im Beschluss vom 26. April 2018 versucht eine eindeutige Lösung zu finden, indem dann von einer umfangreichen Datenverarbeitung auszugehen ist, wenn mindestens zehn Beschäftigte mit der personenbezogenen Datenverarbeitung betraut sind, was dann aber auch bis dato nicht mehr die Verarbeitung von Gesundheitsdaten bedingt, falls die Verarbeitung „ständig“ erfolgt (§ 38 Abs. 1 BDSG). Zu beachten ist, dass nach Auffassung der DSK der Arzt bei der Personenzahl mit zu berücksichtigen ist.

Gestützt wird diese Auffassung auf Erwägungsgrund 91 zur DS-GVO, in dem es heißt: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.“ Dem folgend soll sowohl bei Einzelpraxen als auch bei Gemeinschaftspraxen in der Regel nicht von einer umfangreichen Datenverarbeitung im Sinne von Art. 37 Abs. 1 lit. c DS-GVO auszugehen sein.

 

2. Die ständige Verarbeitung

Obwohl das die Bestellpflicht nach § 38 Abs. 1 S. 1 BDSG mitbestimmende Tatbestandsmerkmal der „ständigen“ Beschäftigung bei der Datenverarbeitung aus den Vorschriften des BDSG a.F. übernommen wurde, wird es auch jetzt noch unterschiedlich ausgelegt (vgl. Gola, Bericht Aufsichtsbehörden, RdV 2019, 131). Das Unabhängige Datenschutzzentrum des Saarlands hält an seiner Rechtsauslegung des Begriffs vor Wirksamwerden der DS-GVO fest, indem eine Person ständig mit der Datenverarbeitung beschäftigt ist, wenn sie auf unbestimmte Zeit mit der Verarbeitung personenbezogener Daten betraut ist. Dabei spielen weder die Arbeitszeit noch der Zeitpunkt der Aufgabenübertragung eine Rolle. Sowohl der gerade erst eingestellte Arbeitnehmer bzw. derjenige, der gerade erst mit der Datenverarbeitung beauftragt ist, als auch der Teilzeitbeschäftigte sind mit zu berücksichtigen, sofern nur das Beschäftigtsein mit der Datenverarbeitung auf unbestimmte Zeit gerichtet ist (vgl. bereits Linnenkohl, Der betriebliche Beauftragte für den Datenschutz, NJW 1979, S. 1190 ff.; Gola/Schomerus, BDSG, 12. Aufl. (2015), § 4f Rn. 11).

3. Umfangreiche Überwachung als „Kerntätigkeit“ in Kindertagesstätten

Bei Kindertagesstätten in privater Trägerschaft sieht das ULD Schleswig-Holstein (37. TB, 2017/2018, Abschn. 5.4.3) eine DSB-Bestellpflicht bereits nach Art. 37 Abs. 1 lit. b DSGVO gegeben, weil die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.

Zur Kerntätigkeit eines Verantwortlichen gehören alle Vorgänge, die einen festen Bestandteil seiner Haupttätigkeit darstellen. Dieser Tatbestand sei in Kindertagesstätten durch das systematische Beobachten und Dokumentieren der kindlichen Entwicklung als Bestandteil der Arbeit der Erzieherinnen und Erzieher erfüllt. Kontinuierliche Beobachtung und eine darauf aufbauende Bildungsdokumentation seien notwendig, um Kinder und ihre Lernprozesse zu verstehen und um sie als Grundlage von Gesprächen mit dem Team, den Eltern und der Grundschule nutzen zu können, wobei es keine Rolle spiele, ob diese Dokumentation in elektronischer oder konventioneller Form geführt werde.

Eine weitere Voraussetzung für die Benennungspflicht ist, dass die Beobachtungs- und Entwicklungsdokumentation als „umfangreiche regelmäßige und systematische Beobachtung“ im Sinne von Art. 37 Abs. 1 lit. b DS-GVO zu qualifizieren ist. Dies treffe zu, da mit der Dokumentation die Entwicklungsfortschritte, Verhaltensänderungen und das Sozialverhalten und damit der Verlauf der Entwicklungsschritte der Kinder festgehalten werden, um die geistige, sprachliche und motorische Entwicklung, die Vorlieben, Interessen und das Verhalten der Kinder zu analysieren. Daneben könnte aber auch – abhängig von dem Personalbestand der Kindertagesstätte – die „10-Personen-Regelung“ des § 38 Abs. 1 S. 1 BDSG greifen.

4. Die „Zehn-Personen“-Regelung

a) Allgemeines

Dazu, wie die nach § 38 Abs. 1 S. 1 BDSG maßgebende 10- bzw. zukünftig 20-Personen-Grenze zu ziehen ist, gibt das ULD Schleswig-Holstein (37. TB, 2017/2018, Abschn. 5.4.2) beispielhafte Hinweise. Nach Auffassung des ULD hatte der Gesetzgeber bereits bei der Vorgängervorschrift im alten Bundesdatenschutzgesetz die Intention, eine „Beschäftigung“ von Personen nicht nur für Arbeitnehmer, sondern etwa auch für Auszubildende oder freie Mitarbeiter anzunehmen. Diese Intention habe sich mit der Geltung der Neuregelung seit dem 25.05.2018 nicht geändert, zumal der Gesetzgeber auch vom Wortlaut her gesehen die Altregelung übernommen hat. Jegliche Personen, welche Zugriff auf Kundendatenbanken nehmen, etwa vertragliche Unterlagen einsehen können, Personaldaten verwalten oder in automatisierter Form personenbezogene Daten verarbeiten, müssen bei der Frage der Verpflichtung zur Benennung eines Datenschutzbeauftragten mitgezählt werden.

b) Kassenpersonal

Mitarbeiterinnen und Mitarbeiter an Kassen, die lediglich eine EC- oder Kundenkarte einlesen, jedoch nicht auf eine Kundendatenbank mit Daten zugreifen oder gegebenenfalls nur manuell die Kontodaten auf der Karte in Augenschein nehmen, jedoch nicht in automatisierter Form zur Kenntnis nehmen können, insbesondere nicht nach Abschluss des Bezahlvorgangs, sind dagegen nicht mitzuzählen.

c) Monteure im Handwerk

Bei der Anwendung der 10-Personen-Regel im Zusammenhang mit der Beauftragung von Monteuren in Handwerksbetrieben ist nach Auffassung des ULD zu differenzieren. Erhalten die Monteure lediglich die Kontaktdaten der Kunden sowie Angaben zur Ausführung eines Auftrags, der vor Ort erledigt werden soll, so sind diese Personen nicht mitzuzählen. Diese Einschätzung beruht auf der Annahme, dass in diesen Fällen nur sehr wenige personenbezogene Daten flüchtig zur Kenntnis genommen werden, dies oft nicht in automatisierter Form erfolgt und entsprechende Angaben nicht im dauerhaften Zugriff der Monteure verbleiben. Anders wäre der Sachverhalt zu beurteilen, wenn die Monteure einen Zugriff auf eine Kundendatenbank erhalten und etwa dauerhaft Auftragshistorien abrufen können. Im letzteren Fall wären die Monteure im Rahmen der 10-Personen-Regel mitzuzählen.

d) Betreuer in Sportvereinen

Bei Sportvereinen stellt sich die Frage, ob bei den 10 automatisiert personenbezogenen Daten verarbeitenden Personen Betreuer mitgezählt werden müssen, die z.B. auf Datenbanken mit Angaben zu Mitgliedern und Sportlerinnen und Sportlern bestimmungsgemäß Zugriff nehmen. Verarbeiten Trainer Spielerdaten wie etwa Trainings- und Wettkampfergebnisse, Kontaktdaten der Spieler, Angaben zum Gesundheitszustand, zum Muskelaufbau und zur Ernährung, so sind auch diese hinzuzuzählen. Sportvereine müssen dabei den Überblick darüber haben, welche Mitglieder welche personenbezogenen Daten der Sportlerinnen und Sportler „ständig“ verarbeiten und zu Datenzugriffen autorisiert sind, um die Verpflichtung zur Benennung eines Datenschutzbeauftragten nachzukommen.

II. Bestellpflicht bei Behörden

1. Allgemeines

In seinem 37. Tätigkeitsbericht geht das ULD Schleswig-Holstein auch grundlegend auf die geänderten Regelungen zur Benennung – d.h. unter dem von dem deutschen Datenschutzrecht vor Geltung der DS-GVO verwendeten deckungsgleichen Begriff der „Bestellung“ – behördlicher Datenschutzbeauftragter ein, die seit dem 25.5.2018 für alle als Verantwortliche und Auftragsverarbeiter agierenden Behörden oder öffentliche Stellen gilt. Ausgenommen sind nur Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.

Die Benennungspflicht trifft alle öffentlichen Stellen, unabhängig von der Größe, namentlich die Landesbehörden und Kommunen und die von den letzteren gegründeten Zweckverbände und gemeinsamen Kommunalunternehmen. Erfasst sind z.B. aber auch kleine, ehrenamtlich arbeitende Wasser- und Bodenverbände, denn diese sind nach § 1 Wasserverbandsgesetz Körperschaften des öffentlichen Rechts. Eigenbetriebe zählen als Teil der Kommune. Daher geht das ULD davon aus, dass ein von der Kommune bestellter DSB auch für den Eigenbetrieb zuständig ist, soweit nicht der Eigenbetrieb einen eigenen DSB bestellt hat.

2. Kommunale Kindertagesstätten

Entsprechendes gilt für kommunale Kindertagesstätten (Kitas). Eine kommunale Kita unterliegt Art. 37 Abs. 1 lit. a DSGVO, da sie zwar regelorganisatorisch verselbstständigt, andererseits aber rechtlich ein Teil der Kommune und damit Teil einer öffentlichen Stelle ist. Nach Art. 37 Abs. 3 DSGVO kann für mehrere öffentliche Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden. Daher kann z.B. der Datenschutzbeauftragte der Kommune auch Datenschutzbeauftragter der kommunalen Kita sein. Wenn für die Kita kein gesonderter Datenschutzbeauftragter benannt wurde, geht das ULD davon aus, dass der kommunale DSB auch für die kommunalen Kitas zuständig ist (ULD Schleswig-Holstein, 37. TB, 2017/2018, Ziff. 5.4.3).

3. Bestellpflicht bei beliehenen Handwerksbetrieben

a) Allgemeines

Dazu, wann z.B. beliehene Handwerksbetriebe, also Berufsgruppen, welche zwar privatrechtlich organisiert sind und am freien Markt handwerklich-gewerbliche Dienstleistungen anbieten und zugleich als Beliehene im Rahmen ihrer Berufsausübung auch staatliche hoheitliche Aufgaben wahrnehmen, einen Datenschutzbeauftragten zu bestellen haben, und insbesondere dazu, ob sie insoweit aufgrund ihrer „Doppelstellung“ als Behörden zu behandeln sind, bezieht auch das Unabhängige Datenschutzzentrum des Saarlands Stellung (27. TB, 2017/2018, Abschn. 9.3). Betroffen sind das Schornsteinfegerwesen sowie Kfz-Werkstätten, die Kfz-Betriebstauglichkeitsuntersuchungen erbringen.

b) Schornsteinfeger

Nach der von dem Unabhängigen Datenschutzzentrum vertretenen Rechtsansicht ist das Schornsteinfegerwesen durch das Schornsteinfeger-Handwerksgesetz (Gesetz über das Berufsrecht und die Versorgung im Schornsteinfegerhandwerk v. 26.11.2008 (BGBl. I S. 2242), zuletzt geändert d. Gesetz v. 17.7.2017 (BGBl. I S. 2495), nicht vollständig liberalisiert, indem bestimmte Tätigkeiten nach wie vor den bevollmächtigten Bezirksschornsteinfegern vorbehalten sind (Bsp. Feuerstättenschau), welche hierbei als Beliehene hoheitliche Tätigkeiten wahrnehmen (§ 8 i.V.m. §§ 14 ff. SchfHwG). Im Rahmen dieser Tätigkeit sind bevollmächtigte Bezirksschornsteinfeger Verantwortliche i.S.d. Art. 4 Nr. 7 DS-GVO, § 2 Abs. 1 S. 3 SaarlDSG und unterliegen der Pflicht, einen behördlichen Datenschutzbeauftragten nach Art. 37 Abs. 1 lit. a DS-GVO zu benennen.

c) AU-Kfz-Werkstätten

Gleiches gilt für Autowerkstätten, welche gemäß Nr. 1.1 Anlage VIII c Straßenverkehrs-Zulassungs-Ordnung (StVZO) (Straßenverkehrs-Zulassungs-Ordnung vom 26.4.2012 (BGBl. I S. 679), zuletzt geändert durch Verordnung vom 20.10.2017 (BGBl. I S. 3723)) als anerkannte „AU-Werkstätten“ neben den „üblichen“ Werkleistungen spezielle Abgasuntersuchungen anbieten, die gemäß Nr. 3.1.1.1 Anlage VIII StVZO einen eigenständigen Bestandteil der andernfalls durch einen anerkannten Prüfingenieur (z.B. TÜV, Dekra, KÜS, GTÜ) durchgeführten Hauptuntersuchung (HU) bilden. Soweit derartige Leistungen erbracht werden, handeln die Kfz-Werkstätten im Rahmen hoheitlicher Aufgaben und sind öffentliche Stellen i.S.d. § 2 Abs. 4 S. 2 BDSG, § 2 Abs. 1 S. 3 SaarlDSG, was eine Bestellungspflicht nach Art. 37 Abs. 1 lit. a DS-GVO nach sich zieht.

Obgleich von Gesetzes wegen in beiden vorgenannten Konstellationen demnach kein Weg an der Benennung einer sich speziell mit dem Datenschutz befassenden Person vorbeiführt, wird seitens des saarländischen ULD nicht verkannt, dass gerade die Durchführung von Abgasuntersuchungen als Teiluntersuchung zur Hauptuntersuchung nur einen Bruchteil der übrigen Werkstattarbeiten ausmachen dürfte und gerade kleinere Betriebe von der Pflicht zur Bestellung eines eigenen Datenschutzbeauftragten oftmals strukturell wie finanziell überfordert sein dürften. Gleiches gilt für die meisten Schornsteinfegerbetriebe, denen hierzu oftmals nicht die personellen Ressourcen zur Verfügung stehen dürften. In der Bestellung gemeinsamer Datenschutzbeauftragter nach Art. 37 Abs. 3 DS-GVO, etwa durch die jeweiligen Berufsinnungen, wird ein praktikabler Weg zur Erfüllung der gesetzlichen Verpflichtungen gesehen.

4. Am Wettbewerb teilnehmende öffentliche Stellen

Der BayLfD äußert sich in seinem 28. Tätigkeitsbericht (2017/2018, Abschn. 2.5) zur Benennung von Datenschutzbeauftragten durch am Wettbewerb teilnehmende bayerische öffentliche Stellen. Er macht dabei klar, dass die für privatwirtschaftliche Verantwortliche geltende 10-Personen-Regelung des § 38 Abs. 1 S. 1 BDSG nicht anwendbar ist. Dazu wird ausgeführt: „Soweit öffentliche Stellen als Unternehmen am Wettbewerb teilnehmen, gelten zwar nach Art. 1 Abs. 3 Satz 1 BayDSG für sie selbst, ihre Zusammenschlüsse und Verbände die Vorschriften für nicht öffentliche Stellen. Zu diesen Vorschriften gehört auch § 38 Abs. 1 Satz 1 BDSG. Die Datenschutz-Grundverordnung bestimmt allerdings in Art. 37 Abs. 1 Buchst. a DS-GVO: ‚Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird […].‘ § 38 Abs. 1 Satz 1 BDSG ergänzt ausdrücklich die in Art. 37 Abs. 1 Buchst. b und c DS-GVO geregelten Benennungstatbestände, die an die Qualität sowie die Quantität der Verarbeitungen bei dem betreffenden Verantwortlichen anknüpfen. § 38 Abs. 1 Satz 1 BDSG ist jedoch nicht zugleich als Einschränkung von Art. 37 Abs. 1 Buchst. a DS-GVO konzipiert. Mit der Formulierung „Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679“ hat der Bundesgesetzgeber gerade auf den Anwendungsvorrang des Unionsrechts reagiert.“

III. Die Arbeitsbedingungen behördlicher Datenschutzbeauftragter

1. Der aufgabengerechte Zeitanteil behördlicher Datenschutzbeauftragter

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (14. TB, 2018, Ziff. 3-1) stellte fest, dass insbesondere den Datenschutzbeauftragten größerer Verwaltungskörperschaften nicht der nötige Zeitanteil zur Wahrnehmung ihrer Aufgaben zur Verfügung steht, und fordert für behördliche Datenschutzbeauftragte größerer Verwaltungen Vollzeitstellen, zumal die Datenschutzbeauftragten oft nicht nur für den Bereich ihrer Kernverwaltung, sondern auch für nachgeordnete Bereiche, wie zum Beispiel Schulen oder kommunale Eigenbetriebe mitverantwortlich seien.

Im Zuge der Umsetzung der mit der Europäischen Datenschutz-Grundverordnung verbundenen Maßnahmen gewinne diese Forderung neue Aktualität. Exemplarisch nennt er hierfür die Umsetzung der notwendigen Dokumentations- und Informationspflichten oder auch die Mitwirkung an e-Government-Projekten, wie zum Beispiel der Einführung der e-Akte und deren Umsetzung (vor allem bezogen auf technische und organisatorische Maßnahmen). Um den Aufgaben und der damit verbundenen verstärkten Rolle der Datenschutzbeauftragten innerhalb der Verwaltung gerecht werden zu können, wurde gegenüber den Landkreisen, kreisfreien und großen kreisangehörigen Städten die Empfehlung ausgesprochen, die Zeitanteile der behördlichen Datenschutzbeauftragten jeweils auf eine Vollzeitstelle anzuheben.

In gleiche Richtung argumentiert das ULD Schleswig-Holstein (37. TB, 2017/2018, Absch. 4.1.2). Es geht derzeit davon aus, dass bei Kommunen eine Obergrenze von 1.000 Beschäftigten pro Vollzeitstelle eines DSB gilt. Diese sei auch bei der Benennung von gemeinsamen DSB zu beachten. Hat ein Kreis z.B. etwa 700 Beschäftigte, so dürfen die von einem gemeinsam bestellten DSB betreuten Kommunen oder Zweckverbände zusammen nicht mehr als 300 Beschäftigte haben. Wird diese Anzahl überschritten, ist in der Regel die Schaffung einer weiteren (ggf. anteilsmäßigen) Stelle erforderlich.

Die vormalige BfDI hat nach Geltung der DS-GVO den Schlüssel für eine Stelle mit 500 Beschäftigten festgesetzt (uldsh.de/DS-GVO-bundesverwaltung, S.29f. der PDF-Datei).

2. Die angemessene Dotierung behördlicher Datenschutzbeauftragter

Bei der Benennung eigener Beschäftigter als DSB ist nach dem ULD Schleswig-Holstein zu beachten, dass die Stelle angemessen dotiert ist. Eine Vergütung unterhalb E11/A12 sei nicht angemessen, da die Aufgabe der behördlichen DSB von einer erheblichen Komplexität ist. Diese ergebe sich z.B. aus einem Urteil des Finanzgerichts München vom 25. Juli 2017 (das allerdings noch auf die alte Rechtslage und den Privatbereich abstellt) (uldsh.de/fg-muenchen-dsb).

IV. Keine Benennung einer juristischen Person zum Datenschutzbeauftragten

Unter anderem neben anderen Aufsichtsbehörden (LfDI NRW, Häufig gestellte Fragen zu Datenschutzbeauftragten (FAQ), Stand: 11/2018, S. 11; LfDI Baden-Württemberg, Praxisratgeber Die/der Beauftragte für den Datenschutz, Teil II: Persönliche Voraussetzungen, Durchführung der Benennung, Stellung und Aufgaben, Beendigung der Benennung, 1. Aufl. 2018, S. 5) empfiehlt auch das Unabhängige Datenschutzzentrum des Saarlands mangels hierzu gesicherter Rechtsansicht jedenfalls zur Zeit nur eine natürliche Person zum Datenschutzbeauftragten zu benennen (27. TB, 2017/2018, Abschn. 9.2).

Zur Vorlageberechtigung des (Interdiözesanen) Datenschutzgerichts an den EuGH

I. Einleitung

Durch § 1 Abs. 1, 2 KDGO wurden das Interdiözesane Datenschutzgericht sowie das Datenschutzgericht errichtet. Ziel ihrer Errichtung ist – ausweislich der Präambel – die „Herstellung und Gewährleistung eines wirksamen gerichtlichen Rechtsschutzes auf dem Gebiet des Datenschutzes“. Das Datenschutzrecht, das einen effektiven Datenrechtsschutz erfordert, ist seit dem 25. Mai 2018 durch die Datenschutzgrundverordnung (DSGVO) europarechtlich vollharmonisiert. Daher stellt sich die Frage, ob das Datenschutzgericht als Kirchengericht nach Art. 267 AEUV berechtigt ist, dem EuGH datenschutzrechtliche Fragen zur Vorabentscheidung vorzulegen.

II. Kirchenrechtliche Verpflichtung

1. Der gesetzliche Richter

Der EuGH ist als gesetzlicher Richter i.S.v. Art. 101 Abs. 1 S. 2 GG anerkannt. Unterlässt das Gericht eine Vorlage an den EuGH, obwohl es nach Art. 267 Abs. 3 AEUV hierzu verpflichtet wäre, liegt – unter hier nicht zu interessierenden genaueren Umständen – ein Entzug des gesetzlichen Richters und damit eine Verletzung des Art. 101 Abs. 1 S. 2 GG vor.

Öffentlich-rechtliche Religionsgemeinschaften und damit auch ihre Organe sind für innerkirchliche Maßnahmen grundsätzlich nicht an grundgesetzliche Grundrechte gebunden. Nur wenn sie ausnahmsweise vom Staat abgeleitete Hoheitsaufgaben wahrnehmen, unterliegen sie der Grundrechtsbindung nach Art. 1 Abs. 3 GG. Es kann vorliegend dahinstehen, ob der (kirchliche) Datenschutz eine staatliche Aufgabe darstellt oder nicht. Der kirchliche Arbeitsgerichtshof (KAGH) hat für das kirchliche Arbeitsgerichtsverfahren entschieden, dass der grundgesetzliche Anspruch auf den gesetzlichen Richter die kirchlichen (Arbeits-)Gerichte ebenfalls unmittelbar bindet. Der Anspruch auf den gesetzlichen Richter gelte „für das kirchliche Gerichtsverfahren gleichermaßen.“ Demnach hat das Kirchengericht nicht nur in einer vorher abstrakt-generell bestimmten Besetzung über das Verfahren zu befinden, sondern es hat das Verfahren notfalls nach anderen Vorschriften auszusetzen und die Entscheidungen anderer Gerichte einzuholen.

2. Aussetzungspflicht

Aufgabe des Datenschutzgerichts ist nach § 2 Abs. 1 KDGO die Überprüfung von Entscheidungen der Datenschutzaufsichten der katholischen Kirche in Deutschland sowie für gerichtliche Rechtsbehelfe der betroffenen Person gegen den Verantwortlichen oder den kirchlichen Auftragsverarbeiter. Das Datenschutzgericht ist aber nicht nur an das Kirchliche Datenschutzrecht gebunden, sondern auch an das staatliche Recht, § 3 Abs. 3 S. 1 KDGO. Der Begriff des staatlichen Rechts darf dabei aber nicht eng nationalstaatlich verstanden werden. Der Datenschutz soll nach der Präambel der KDGO „im Einklang mit der europäischen Datenschutz-Grundverordnung“ erfolgen, sodass der Datenschutzrichter zur Auslegung und Anwendung des Kirchlichen Datenschutzgesetzes (KDG) die europäische Datenschutzgrundverordnung heranzuziehen hat. Gestützt wird dies durch die Präambel des KDG, die ausdrücklich auf Art. 91 DS-GVO Bezug nimmt.

Datenschutzrechtliche Regelungen der Religionsgemeinschaften können nach Art. 91 Abs. 1 DS-GVO allerdings nur insoweit angewendet werden, wie sie im Einklang der DSGVO stehen. Aus Sicht des Unionsrechts muss somit sichergestellt sein, dass nicht nur die abstrakten Regelungen des kirchlichen Datenschutzrechts, sondern auch ihre konkrete Anwendung im Einzelfall den unionsrechtlichen Vorgaben entspricht. Die Anwendung des kirchlichen Datenschutzrechts ist daher von der Rechtsprechung des EuGH abhängig. Da die staatlichen Gerichte das kirchliche Recht nicht mittelbar anwenden dürfen, kann eine unionsrechtskonforme Anwendung des kirchlichen Datenschutzrechts nur durch eine Vorlage des Datenschutzgerichts an den EuGH gewährleistet werden.

III. Europarechtliche Berechtigung

Ergeben sich im Rahmen eines Rechtsstreits vor einem Gericht Fragen zur Auslegung des Unionsrechts, so kann das Gericht das Verfahren aussetzen und sie zur Entscheidung dem EuGH vorlegen, Art. 267 AEUV.

1. Der Begriff des „Gerichts“

Kirchenrechtliche Regelungen können nur dann die Zuständigkeit der staatlichen Gerichte begründen, wenn diese ausdrücklich von den allgemeinen Prozessordnungen hierzu ermächtigt wurden. Allein die kirchenrechtliche Vorlagepflicht kann daher nicht die Vorlageberechtigung zum EuGH begründen. Daher ist zu fragen, ob das Datenschutzgericht dem Begriff des „Gerichts“ in Art. 267 AEUV unterfällt, der unionsrechtlich autonom auszulegen ist. Zur Einordnung einer Institution als Gericht stellt der EuGH auf verschiedene Gesichtspunkte „wie gesetzliche Grundlage der Einrichtung, ständiger Charakter, obligatorische Gerichtsbarkeit, streitiges Verfahren, Anwendung von Rechtsnormen durch diese Einrichtung sowie deren Unabhängigkeit“ ab. Fraglich beim Datenschutzgericht ist allein das Merkmal der gesetzlichen Grundlage der Errichtung. Sie beruht auf § 1 Abs. 1 S. 1 KDGO bzw. § 1 Abs. 2 S. 1 KDGO, also auf kirchlichem Recht.

Als Voraussetzung für die Anerkennung als vorlageberechtigtes Gericht fordert der EuGH eine hinreichende Einbindung in die öffentliche Gewalt des Mitgliedsstaates, sodass der Mitgliedsstaat die Möglichkeit zur Durchsetzung der Vorlagepflicht hat.

2. Prozessrecht

Nicht erforderlich ist hierfür, dass das Gericht in den Staatsaufbau organisatorisch eingegliedert ist. So hat der EuGH auch Schiedsgerichte als vorlageberechtigte Gerichte anerkannt, sofern die Zuständigkeit und Entscheidungsbefugnis nicht vom Willen der gegnerischen Partei abhängt.

Für die Diözese Rottenburg-Stuttgart findet das Kirchliche Datenschutzgesetz nach Art. 1 Abs. 2 des Dekrets zu seiner Inkraftsetzung für die Diözese selbst, für alle Rechtspersonen sowie für nichtrechtsfähige Vereinigungen, Stiftungen, Eigenbetriebe und andere Einrichtungen, die der Aufsicht des Bischofs der Diözese unterliegen, Anwendung. Das Recht auf eine gerichtliche Entscheidung nach § 49 Abs. 1 KDG und § 49 Abs. 2 KDG gegenüber der Datenschutzaufsicht ist somit nicht von ihrer Einwilligung in das datenschutzgerichtliche Verfahren abhängig. Dies gilt auch für das Inkraftsetzungs-Dekret, welches ebenfalls unabhängig von einer Unterwerfungserklärung der Datenschutzaufsicht unter die Jurisdiktionsgewalt der Datenschutzgerichte Rechtswirkungen erzeugt. Die Zuständigkeit des Datenschutzgerichts hängt somit nicht vom Willen der beklagten Datenschutzaufsicht ab.

3. Haftungsrecht

Eine weitere Möglichkeit zur Einflussnahme zur Erfüllung der Vorlagepflicht kann man in einem Staatshaftungsanspruch gegen den Gerichtsträger bei einer unterbliebenen Vorlage erblicken. Ob der Schadensersatz nach § 50 KDG, insbesondere dessen Abs. 4, dem genügt, kann dahinstehen. In Betracht zu ziehen ist jedoch ein Anspruch aus § 839 BGB i.V.m. Art. 34 S. 1 GG. Der Beamtenbegriff in § 839 BGB ist dabei weit zu verstehen. Beamter in diesem Sinne ist jeder, der in einem öffentlich- oder privatrechtlichen Dienstverhältnis zu einer juristischen Person des öffentlichen Rechts steht. Die Richter werden nach § 6 Abs. 1 S. 1 KDGO vom Vorsitzenden der Bischofskonferenz für das Gericht berufen, sodass sie in einem Dienstverhältnis zu einer juristischen Person des öffentlichen Rechts stehen.

Weitere Voraussetzung ist das Handeln in Ausübung eines öffentlichen Amtes. Bei Kirchen ist zwischen dem inneren, geistlichen Bereich und Verwaltungshandeln zu unterscheiden. Auch wenn die Kirchen keine staatliche Gewalt ausüben, so handelt es sich bei ihnen dennoch um öffentlich-rechtliche Körperschaften, die öffentliche Gewalt ausüben. Die Rechtsprechung in Datenschutzangelegenheiten ist keine geistliche Maßnahme, sondern ein Verwaltungshandeln, wie es auch vor staatlichen Stellen stattfindet. Jedes Verwaltungshandeln, ob kirchlich oder weltlich, unterliegt denselben Grundsätzen und Rechtfertigungen, sodass für das Verwaltungshandeln im Gegensatz zum geistlichen Bereich aus Art. 140 GG i.V.m. Art. 137 Abs. 3 S. 1 WRV kein verfassungsrechtliches Bedürfnis für einen Haftungsausschluss besteht. In der Rechtsprechung und Literatur ist daher weitestgehend anerkannt, dass die Kirchen für Verwaltungshandeln aus § 839 BGB i.V.m. Art. 34 S. 1 GG durch eine Haftungsverlagerung auf Schadensersatz für das Verhalten ihrer Beamten haften. Legt ein Kirchengericht daher trotz der Vorlagepflicht nach Art. 267 Abs. 3 AEUV nicht an den EuGH vor, kommt eine Haftung der Kirchen nach § 839 i.V.m. Art. 34 S. 1 GG in Betracht.

4. Zwischenergebnis

Die Kirchen sind nicht nur nach dem Kirchenrecht zur Vorlage an den EuGH verpflichtet, sondern nach dem Unionsrecht hierzu auch berechtigt. Bestätigt wird dies durch den effet-utile-Grundsatz des Art. 4 Abs. 3 EUV. Der EuGH geht davon aus, dass er auch bei der Frage, ob ein Gericht i.S.v. Art. 267 Abs. 3 AEUV vorliegt, zum Tragen kommt. Zur Wahrung ihrer Rechtssetzungshoheit lässt Art. 91 Abs. 1 DS-GVO die Datenschutzvorschriften der Religionsgemeinschaften neben der DS-GVO bestehen, soweit sie inhaltsgleich mit der Verordnung sind. Dies setzt aber wiederum voraus, dass der EuGH die Möglichkeit haben muss zu kontrollieren, ob dem tatsächlich so ist.

IV. Fazit

Das Datenschutzgericht ist ein Gericht im Sinne von Art. 267 AEUV und daher an den EuGH vorlageberechtigt. Aus kirchenrechtlicher Sicht ist es zur Vorlage verpflichtet, wenn die Voraussetzungen hierfür vorliegen. Verfahrensrechtlich abgesichert ist sie im Kirchenrecht über Art. 101 Abs. 1 S. 2 GG.