- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Gemeinsame Verantwortlichkeit: Datenschutz bei den Zeugen Jehovas

Datenschutz im religiösen Bereich – das scheint nichts, worum sich der normale Datenschützer kümmern muss. Manchmal entscheiden Gerichte allerdings anhand eines solchen Falls Grundsatzfragen von allgemeinem Interesse. Genau das ist bei einer Entscheidung des EuGH der Fall, die sich mit Datenschutzfragen bei den Zeugen Jehovas in Finnland befasst. Die Entscheidung ist so wichtig, dass sie jedem Datenschützer bekannt sein muss.

Für die Praxis im Datenschutz ist der Fall so zentral, weil es zum einen um die Auslegung des Begriffs „ausschließlich persönliche oder familiäre Tätigkeit“ geht. Und zum anderen um die gemeinsame Verantwortlichkeit [1].

Kernfrage des Falls

Von der statistischen Wahrscheinlichkeit her dürften nur wenige unserer Leser Zeugen Jehovas sein.

Nahezu jeder Leser dürfte aber wissen, dass die Mitglieder dieser Gemeinschaft eine intensive Verkündigungstätigkeit / Missionstätigkeit ausüben. Sie stehen mit ihren Schriften an belebten Örtlichkeiten wie Bahnhöfen. Und sie gehen oft auch von Tür zu Tür und werben für ihre Gemeinschaft.

Diese Verkündigungstätigkeit ist der Ausgangspunkt des Falls, den der Europäische Gerichtshof (EuGH [2]) zu entscheiden hatte.

Die wesentliche Kernfrage lässt sich so umschreiben:

Trifft die Gemeinschaft der Zeugen Jehovas eine datenschutzrechtliche Verantwortung, wenn ihre Mitglieder bei der Verkündigungstätigkeit von Haustür zu Haustür Notizen anfertigen, die den Inhalt von Gesprächen und die religiöse Orientierung der besuchten Personen wiedergeben?

Vorgehen der Zeugen Jehovas im Detail

Um sie beantworten zu können, sollte man sich zunächst genauer anschauen, wie die Mitglieder der Gemeinschaft bei ihrer Verkündigungstätigkeit vorgehen.

Der EuGH beschreibt die Vorgehensweise wie folgt:

Zwei relevante Hauptfragen

Um klären zu können, ob die Gemeinschaft der Zeugen Jehovas eine datenschutzrechtliche Verantwortung trägt, unterscheidet der EuGH zwei Fragestellungen.

Hauptfrage 1: Anwendbarkeit des EU-Datenschutzrechts

An der Anwendbarkeit des europäischen Datenschutzrechts könnten zunächst deshalb Zweifel bestehen, weil es sich möglicherweise um eine Verarbeitung zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten geht.

Sollte das zutreffen, wäre weder die bis 24. Mai 2018 maßgebliche Europäische Datenschutzrichtlinie 95/46/EG anwendbar (siehe dort Art. 3 Abs. 2 erster Gedankenstrich) noch die seit 25. Mai 2018 maßgebliche Datenschutz-Grundverordnung [3] (siehe dort Art. 2 Abs. 2 Buchstabe c).

Missionierung keine reine Privatsache

Die Gemeinschaft der Zeugen Jehovas hatte argumentiert, dass ihre Mitglieder lediglich als Privatpersonen missionieren würden und das Datenschutzrecht deshalb überhaupt nicht anwendbar sei.

Diesem Argument erteilt der EuGH indessen eine klare Absage. Er führt dazu aus:

Unter dem Strich gelangt das Gericht zu dem Ergebnis, dass keine ausschließlich persönliche oder familiäre Tätigkeit vorliegt.

Folge: Die Verkündungstätigkeit muss sich an den Maßstäben des europäischen Datenschutzrechts messen lassen – es sei denn, es ist aus einem anderen Grund nicht anwendbar.

Auch manuelle Datenverarbeitung vom Recht erfasst

An der Anwendbarkeit des europäischen Datenschutzrechts könnten außerdem Zweifel bestehen, weil die Verarbeitung der Daten nicht automatisiert erfolgt.

Zwar galt die früher maßgebliche Datenschutzrichtlinie 95/46/EG durchaus auch für manuelle Verarbeitung personenbezogener Daten. Dies war jedoch nur der Fall, wenn die verarbeiteten Daten in einer Datei gespeichert waren oder zumindest gespeichert werden sollten (siehe Art. 2 Buchstabe c der Richtlinie).

Entsprechend bestimmt die jetzt maßgebliche Datenschutz-Grundverordnung, dass sie eine nicht automatisierte Verarbeitung personenbezogener Daten [4] nur dann erfasst, wenn diese Daten in einem „Dateisystem“ gespeichert sind oder gespeichert werden sollen (siehe Art. 2 Abs. 1 DSGVO).

Diese Voraussetzungen hält der EuGH immer dann für erfüllt, wenn eine Struktur vorliegt, mit deren Hilfe sich Daten leicht wieder auffinden lassen. Wie diese Struktur genau aussieht, ist seines Erachtens ohne Belang.

Dass im vorliegenden Fall eine solche Struktur vorhanden sein muss, ergibt sich für ihn schon daraus, dass sich die Daten mit den Verbotslisten abgleichen lassen.

Zwischenergebnis: EU-Datenschutzrecht anwendbar

Insgesamt ist somit festzuhalten, dass das europäische Datenschutzrecht auf den vorliegenden Sachverhalt anwendbar ist.

Für den konkreten Fall waren noch die Regelungen der Datenschutzrichtlinie 95/46 maßgebend. Für künftige Fälle, in denen die Datenschutz-Grundverordnung anwendbar ist, gilt jedoch nichts anderes.

Hauptfrage 2: Verantwortlichkeit der Gemeinschaft für ihre Mitglieder

Die Frage, ob die Gemeinschaft der Zeugen Jehovas für das Vorgehen ihrer Mitglieder datenschutzrechtlich verantwortlich ist, bejaht das Gericht eindeutig.

Seines Erachtens liegt ein Fall der gemeinsamen Verantwortlichkeit der Gemeinschaft und ihrer Mitglieder vor.

Mehrere Verantwortliche denkbar

Nach Auffassung des Gerichts ist es keineswegs so, dass es immer nur einen Verantwortlichen für eine Verarbeitung von Daten geben kann. Vielmehr können auch mehrere Verantwortliche vorhanden sein.

Dann ist der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung der maßgeblichen Umstände des Einzelfalls zu beurteilen.

Verantwortlichkeit des einzelnen Mitglieds

Dabei hat das Gericht an der Verantwortlichkeit des einzelnen Mitglieds, das von Tür zu Tür geht, keinen Zweifel.

Denn die Mitglieder bestimmen darüber, wen sie aufsuchen, welche Daten sie dabei im Einzelnen erheben und auf welche Weise sie die Daten anschließend verarbeiten.

Verantwortlichkeit der Gemeinschaft

Daneben steht aber auch eine Verantwortlichkeit der Gemeinschaft der Zeugen Jehovas. Die Verkündungstätigkeit ist nämlich eine wesentliche Betätigung dieser Gemeinschaft. Sie organisiert und koordiniert sie, und sie ermuntert ihre Mitglieder dazu, entsprechend aktiv zu werden.

Außerdem führt die Gemeinschaft eine Verbotsliste auf der Grundlage der Daten, die ihre Mitglieder mitteilen.

Ferner ist zu berücksichtigen, dass die Gemeinschaft die Tätigkeitsbezirke zwischen den Mitgliedern aufteilt.

Religionsausübung nicht beeinträchtigt

In einer abschließenden Bemerkung hält das Gericht noch fest, dass die datenschutzrechtliche Verantwortlichkeit der Gemeinschaft ihre religiöse Autonomie nicht beeinträchtigt.

Hierzu sagt das Gericht: „Die für jedermann geltende Pflicht, die Vorschriften des Unionsrechts über den Schutz personenbezogener Daten [5] einzuhalten, kann nämlich nicht als Eingriff in die organisatorische Autonomie der Religionsgemeinschaften angesehen werden.“

Allgemeine Bedeutung des Falls

Die allgemeine Brisanz des Falls liegt in zwei Aspekten:

Salopp gesagt unterbindet das Gericht hier jegliche Form von Trickserei. Für Unternehmen hat diese Ausnahme künftig keinerlei Bedeutung mehr.

Sie betrifft nach der Auslegung des Gerichtshofs wirklich nur den engen persönlichen Bereich natürlicher Personen.

Darunter sind solche Dinge zu fassen wie die Anfertigung von Familienfotos für rein private Zwecke.

Die Gemeinschaft der Zeugen Jehovas ist nach Auffassung des Gerichts schon deshalb datenschutzrechtlich mitverantwortlich, weil sie an der Organisation der Datenerhebung mitwirkt und die Mitglieder animiert, Daten zu erheben und zu verarbeiten.

Dass die Gemeinschaft keine Daten über die durchgeführten Gespräche erhält, ist ohne Belang.

Diese Aussage ist von erheblicher Bedeutung für Unternehmen, die beispielsweise in einer Außendienstorganisation nicht mit eigenen Bediensteten, sondern mit Selbstständigen arbeiten.

Sofern das Unternehmen dafür organisatorische Hilfsmittel zur Verfügung stellt und Empfehlungen für die Vorgehensweise gibt, wird man von einer Mitverantwortung des Unternehmens ausgehen müssen.

Trotz dieser großen Brisanz wird die Entscheidung in der Literatur und in der Praxis bisher zu wenig beachtet. Viele scheinen dem Irrtum zu erliegen, dass es hier nur um einen Spezialfall im religiösen Bereich geht.

Die Entscheidung des EuGH vom 10. Juli 2018 (Aktenzeichen C-25/17) ist abrufbar unter http://curia.europa.eu/juris/document/document_print.jsf?docid=203822&text=&dir=&doclang=DE&part=1&occ=first&mode=lst&pageIndex=0&cid=7117696 [6].

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungspräsident von Unterfranken (Bayern). Er befasst sich seit vielen Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.