Beschluss zu spezifischen Aufsichtsbehörden
Stand: 12.08.2019
Nach der Sonderregelung des Artikel 91 Absatz 1 der Europäischen Datenschutz-Grundverordnung (DSGVO) dürfen Kirchen, religiöse Vereinigungen oder Gemeinschaften, die zum Zeitpunkt des Inkrafttretens der DSGVO umfassende Regelungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten anwenden, diese weiter anwenden, sofern sie mit den Vorschriften der DSGVO in Einklang gebracht werden.
Grundsätzlich unterliegen auch die Kirchen, religiösen Gemeinschaften oder Vereinigungen, die bereits zum Zeitpunkt des Inkrafttretens der DSGVO am 25. Mai 2016 umfassende Datenschutzregelungen i. S. v. Artikel 91 Absatz 1 DSGVO angewendet haben, nach Artikel 91 Absatz 2 DSGVO der Aufsicht durch eine unabhängige Aufsichtsbehörde. Artikel 91 Absatz 2 DSGVO erlaubt ihnen jedoch, eine unabhängige Aufsichtsbehörde spezifischer Art einzurichten.
Für Religionsgemeinschaften, die erst nach dem Inkrafttreten der DSGVO umfassende Datenschutzvorschriften erlassen (haben), ist der sachliche Anwendungsbereich der DSGVO uneingeschränkt eröffnet und es gilt die allgemeine Datenschutzaufsicht.
Bei Artikel 91 handelt es sich um eine Bestandsschutzregelung für die Datenschutzvorschriften derjenigen Kirchen und religiösen Vereinigungen oder Gemeinschaften, die zum Zeitpunkt des Inkrafttretens der DSGVO bereits ein umfassendes, in sich abgeschlossenes Datenschutzrecht etabliert hatten. Solche Religionsgemeinschaften sollen nicht gezwungen sein, ihr unter dem alten Recht bereits etabliertes Recht abschaffen zu müssen.
Die bestehenden Datenschutzregelungen müssen allerdings mit der DSGVO in Einklang gebracht worden sein. Dadurch soll trotz der Privilegierung dieser Regelungen ein einheitliches Niveau staatlichen und kirchlichen Datenschutzrechts erreicht werden.
Die „spezifischen“ Aufsichtsbehörden müssen darüber hinaus die in Kapitel VI der DSGVO für die unabhängigen Aufsichtsbehörden niedergelegten Voraussetzungen erfüllen. Das betrifft u.a. die Unabhängigkeit, Artikel 52 DSGVO, und die in Artikel 58 DSGVO geregelten Befugnisse.
Die Datenschutzaufsichtsbehörden des Bundes und der Länder sind gemäß § 18 Absatz 1 Satz 4 Bundesdatenschutzgesetz (BDSG) verpflichtet, diese spezifischen Aufsichtsbehörden bei der Zusammenarbeit in europäischen Angelegenheiten zu beteiligen, soweit sie betroffen sind.
Durch Anpassung des jeweils bereits vor dem 25. Mai 2016 bestehenden Gesetzes über den Kirchlichen Datenschutz sowie des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland an die DSGVO unterfallen zumindest die römisch-katholische Kirche bzw. die Adressaten des EKD-Datenschutzgesetzes grundsätzlich der durch Artikel 91 DSGVO ermöglichten Privilegierung.