Datenschutz im religiösen Bereich – das scheint nichts, worum sich der normale Datenschützer kümmern muss. Manchmal entscheiden Gerichte allerdings anhand eines solchen Falls Grundsatzfragen von allgemeinem Interesse. Genau das ist bei einer Entscheidung des EuGH der Fall, die sich mit Datenschutzfragen bei den Zeugen Jehovas in Finnland befasst. Die Entscheidung ist so wichtig, dass sie jedem Datenschützer bekannt sein muss.

Nach seinem Urteil zu den Facebook-Fanpages hat der EuGH nun ein weiteres Mal zur gemeinsamen Verantwortlichkeit entschieden (Foto: Gerichtshof der Europäischen Union)

Für die Praxis im Datenschutz ist der Fall so zentral, weil es zum einen um die Auslegung des Begriffs „ausschließlich persönliche oder familiäre Tätigkeit“ geht. Und zum anderen um die gemeinsame Verantwortlichkeit.

Kernfrage des Falls

Von der statistischen Wahrscheinlichkeit her dürften nur wenige unserer Leser Zeugen Jehovas sein.

Nahezu jeder Leser dürfte aber wissen, dass die Mitglieder dieser Gemeinschaft eine intensive Verkündigungstätigkeit / Missionstätigkeit ausüben. Sie stehen mit ihren Schriften an belebten Örtlichkeiten wie Bahnhöfen. Und sie gehen oft auch von Tür zu Tür und werben für ihre Gemeinschaft.

Diese Verkündigungstätigkeit ist der Ausgangspunkt des Falls, den der Europäische Gerichtshof (EuGH) zu entscheiden hatte.

Die wesentliche Kernfrage lässt sich so umschreiben:

Trifft die Gemeinschaft der Zeugen Jehovas eine datenschutzrechtliche Verantwortung, wenn ihre Mitglieder bei der Verkündigungstätigkeit von Haustür zu Haustür Notizen anfertigen, die den Inhalt von Gesprächen und die religiöse Orientierung der besuchten Personen wiedergeben?

Vorgehen der Zeugen Jehovas im Detail

Um sie beantworten zu können, sollte man sich zunächst genauer anschauen, wie die Mitglieder der Gemeinschaft bei ihrer Verkündigungstätigkeit vorgehen.

Der EuGH beschreibt die Vorgehensweise wie folgt:

Mitglieder der Gemeinschaft gehen von Tür zu Tür. Wenn es dabei zu Begegnungen mit Personen kommt, fertigen sie Notizen an. Dies geschieht in Notizbüchern oder auf Notizzetteln.

Dies erfolgt, damit die Daten bei späteren erneuten Besuchen wieder verfügbar sind.

Notiert werden Namen, Adresse und Zusammenfassungen der Gespräche. Die Gespräche drehen sich normalerweise um religiöse Überzeugungen und Familienverhältnisse.

Die Gemeinschaft erfährt nichts vom Inhalt der Notizen.

Die Gemeinschaft erstellt Gebietskarten und teilt die Bezirke, in denen ihre Mitglieder von Tür zu Tür gehen, unter den Mitgliedern auf. Dies soll offensichtlich Doppelbesuche durch unterschiedliche Mitglieder vermeiden.

Die Gemeinschaft hat ferner für ihre Mitglieder eine Anleitung zur Anfertigung von Notizen herausgegeben.

Außerdem für die Gemeinschaft eine „Verbotsliste“. Sie enthält die Personen, die erklärt haben, dass sie keine Besuche mehr wünschen. Um diese Liste wird rechtlich nicht gestritten. Auch nach Auffassung der zuständigen Datenschutzaufsichtsbehörde ist sie datenschutzrechtlich in Ordnung.

Eine Information der besuchten Personen über die Erhebung oder die Verarbeitung ihrer personenbezogenen Daten erfolgt nicht.

Zwei relevante Hauptfragen

Um klären zu können, ob die Gemeinschaft der Zeugen Jehovas eine datenschutzrechtliche Verantwortung trägt, unterscheidet der EuGH zwei Fragestellungen.

Fragestellung 1: Fällt das geschilderte Vorgehen in den Anwendungsbereich des europäischen Datenschutzrechts?

Fragestellung 2: Ist die Gemeinschaft für das Vorgehen ihrer Mitglieder datenschutzrechtlich verantwortlich?

Hauptfrage 1: Anwendbarkeit des EU-Datenschutzrechts

An der Anwendbarkeit des europäischen Datenschutzrechts könnten zunächst deshalb Zweifel bestehen, weil es sich möglicherweise um eine Verarbeitung zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten geht.

Sollte das zutreffen, wäre weder die bis 24. Mai 2018 maßgebliche Europäische Datenschutzrichtlinie 95/46/EG anwendbar (siehe dort Art. 3 Abs. 2 erster Gedankenstrich) noch die seit 25. Mai 2018 maßgebliche Datenschutz-Grundverordnung (siehe dort Art. 2 Abs. 2 Buchstabe c).

Missionierung keine reine Privatsache

Die Gemeinschaft der Zeugen Jehovas hatte argumentiert, dass ihre Mitglieder lediglich als Privatpersonen missionieren würden und das Datenschutzrecht deshalb überhaupt nicht anwendbar sei.

Diesem Argument erteilt der EuGH indessen eine klare Absage. Er führt dazu aus:

Die Missionstätigkeit hat ihrem Wesen nach den Zweck, den Glauben der Gemeinschaft unter Personen zu verbreiten, die nicht zum Haushalt der verkündigenden Mitglieder gehören. Damit sei die Tätigkeit auf einen Bereich außerhalb der privaten Sphäre der Mitglieder gerichtet.

Außerdem geben die in der Mission tätigen Mitglieder zumindest einige Daten an die Gemeinschaft der Zeugen Jehovas weiter. Denn dort wird überprüft, ob sich die Namen angesprochene Personen auf der „Verbotsliste“ befinden. Damit machen diese Mitglieder zumindest einen Teil der erhobenen Daten einem Personenkreis zugänglich, der potenziell unbegrenzt ist.

Die Verkündungstätigkeit der einzelnen Mitglieder ist zwar als Religionsausübung geschützt (siehe Art. 10 Abs. 1 der Charta der Grundrechte der Europäischen Union). Dies hat allerdings nicht die Wirkung, dieser Tätigkeit einen ausschließlich persönlichen oder familiären Charakter zu verleihen.

Unter dem Strich gelangt das Gericht zu dem Ergebnis, dass keine ausschließlich persönliche oder familiäre Tätigkeit vorliegt.

Folge: Die Verkündungstätigkeit muss sich an den Maßstäben des europäischen Datenschutzrechts messen lassen – es sei denn, es ist aus einem anderen Grund nicht anwendbar.

Auch manuelle Datenverarbeitung vom Recht erfasst

An der Anwendbarkeit des europäischen Datenschutzrechts könnten außerdem Zweifel bestehen, weil die Verarbeitung der Daten nicht automatisiert erfolgt.

Zwar galt die früher maßgebliche Datenschutzrichtlinie 95/46/EG durchaus auch für manuelle Verarbeitung personenbezogener Daten. Dies war jedoch nur der Fall, wenn die verarbeiteten Daten in einer Datei gespeichert waren oder zumindest gespeichert werden sollten (siehe Art. 2 Buchstabe c der Richtlinie).

Entsprechend bestimmt die jetzt maßgebliche Datenschutz-Grundverordnung, dass sie eine nicht automatisierte Verarbeitung personenbezogener Daten nur dann erfasst, wenn diese Daten in einem „Dateisystem“ gespeichert sind oder gespeichert werden sollen (siehe Art. 2 Abs. 1 DSGVO).

Diese Voraussetzungen hält der EuGH immer dann für erfüllt, wenn eine Struktur vorliegt, mit deren Hilfe sich Daten leicht wieder auffinden lassen. Wie diese Struktur genau aussieht, ist seines Erachtens ohne Belang.

Dass im vorliegenden Fall eine solche Struktur vorhanden sein muss, ergibt sich für ihn schon daraus, dass sich die Daten mit den Verbotslisten abgleichen lassen.

Zwischenergebnis: EU-Datenschutzrecht anwendbar

Insgesamt ist somit festzuhalten, dass das europäische Datenschutzrecht auf den vorliegenden Sachverhalt anwendbar ist.

Für den konkreten Fall waren noch die Regelungen der Datenschutzrichtlinie 95/46 maßgebend. Für künftige Fälle, in denen die Datenschutz-Grundverordnung anwendbar ist, gilt jedoch nichts anderes.

Hauptfrage 2: Verantwortlichkeit der Gemeinschaft für ihre Mitglieder

Die Frage, ob die Gemeinschaft der Zeugen Jehovas für das Vorgehen ihrer Mitglieder datenschutzrechtlich verantwortlich ist, bejaht das Gericht eindeutig.

Seines Erachtens liegt ein Fall der gemeinsamen Verantwortlichkeit der Gemeinschaft und ihrer Mitglieder vor.

Mehrere Verantwortliche denkbar

Nach Auffassung des Gerichts ist es keineswegs so, dass es immer nur einen Verantwortlichen für eine Verarbeitung von Daten geben kann. Vielmehr können auch mehrere Verantwortliche vorhanden sein.

Dann ist der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung der maßgeblichen Umstände des Einzelfalls zu beurteilen.

Verantwortlichkeit des einzelnen Mitglieds

Dabei hat das Gericht an der Verantwortlichkeit des einzelnen Mitglieds, das von Tür zu Tür geht, keinen Zweifel.

Denn die Mitglieder bestimmen darüber, wen sie aufsuchen, welche Daten sie dabei im Einzelnen erheben und auf welche Weise sie die Daten anschließend verarbeiten.

Verantwortlichkeit der Gemeinschaft

Daneben steht aber auch eine Verantwortlichkeit der Gemeinschaft der Zeugen Jehovas. Die Verkündungstätigkeit ist nämlich eine wesentliche Betätigung dieser Gemeinschaft. Sie organisiert und koordiniert sie, und sie ermuntert ihre Mitglieder dazu, entsprechend aktiv zu werden.

Außerdem führt die Gemeinschaft eine Verbotsliste auf der Grundlage der Daten, die ihre Mitglieder mitteilen.

Ferner ist zu berücksichtigen, dass die Gemeinschaft die Tätigkeitsbezirke zwischen den Mitgliedern aufteilt.

Religionsausübung nicht beeinträchtigt

In einer abschließenden Bemerkung hält das Gericht noch fest, dass die datenschutzrechtliche Verantwortlichkeit der Gemeinschaft ihre religiöse Autonomie nicht beeinträchtigt.

Hierzu sagt das Gericht: „Die für jedermann geltende Pflicht, die Vorschriften des Unionsrechts über den Schutz personenbezogener Daten einzuhalten, kann nämlich nicht als Eingriff in die organisatorische Autonomie der Religionsgemeinschaften angesehen werden.“

Allgemeine Bedeutung des Falls

Die allgemeine Brisanz des Falls liegt in zwei Aspekten:

Aspekt 1: enge Auslegung des Begriffs „ausschließlich persönliche oder familiäre Tätigkeit“

Salopp gesagt unterbindet das Gericht hier jegliche Form von Trickserei. Für Unternehmen hat diese Ausnahme künftig keinerlei Bedeutung mehr. Sie betrifft nach der Auslegung des Gerichtshofs wirklich nur den engen persönlichen Bereich natürlicher Personen. Darunter sind solche Dinge zu fassen wie die Anfertigung von Familienfotos für rein private Zwecke.

Aspekt 2: weite Ausdehnung der gemeinsamen datenschutzrechtlichen Verantwortlichkeit

Die Gemeinschaft der Zeugen Jehovas ist nach Auffassung des Gerichts schon deshalb datenschutzrechtlich mitverantwortlich, weil sie an der Organisation der Datenerhebung mitwirkt und die Mitglieder animiert, Daten zu erheben und zu verarbeiten.

Dass die Gemeinschaft keine Daten über die durchgeführten Gespräche erhält, ist ohne Belang.

Diese Aussage ist von erheblicher Bedeutung für Unternehmen, die beispielsweise in einer Außendienstorganisation nicht mit eigenen Bediensteten, sondern mit Selbstständigen arbeiten. Sofern das Unternehmen dafür organisatorische Hilfsmittel zur Verfügung stellt und Empfehlungen für die Vorgehensweise gibt, wird man von einer Mitverantwortung des Unternehmens ausgehen müssen.

Trotz dieser großen Brisanz wird die Entscheidung in der Literatur und in der Praxis bisher zu wenig beachtet. Viele scheinen dem Irrtum zu erliegen, dass es hier nur um einen Spezialfall im religiösen Bereich geht.

Die Entscheidung des EuGH vom 10. Juli 2018 (Aktenzeichen C-25/17) ist abrufbar unter http://curia.europa.eu/juris/document/document_print.jsf?docid=203822&text=&dir=&doclang=DE&part=1&occ=first&mode=lst&pageIndex=0&cid=7117696.

Dr. Eugen Ehmann

Dr. Eugen Ehmann ist Regierungspräsident von Unterfranken (Bayern). Er befasst sich seit vielen Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.