1. Artikel 15 Absatz 3 Satz 1 DSGVO vermittelt dem Betroffenen einen Anspruch auf Zurverfügungstellung einer Kopie ihn betreffender personenbezogener Daten, die Gegenstand der Verarbeitung sind. § 19 DSG-EKD, der einen solchen Anspruch nicht kennt, steht der direkten Anwendbarkeit des Artikels 15 Absatz 3 Satz 1 DSGVO nicht entgegen.

2. Eine Vorschrift des kirchlichen Datenschutzrechts steht nur dann in Einklang mit der DSGVO, wenn es nicht hinter dem Schutzniveau der korrespondierenden Vorschrift der DSGVO zurückbleibt.

Die Revision des Beklagten gegen das Urteil des Kirchengerichts der Evangelischen Kirche in Deutschland vom 6. August 2020 wird zurückgewiesen.

Der Beklagte trägt die Kosten des Revisionsverfahrens.

I. Der Kläger nimmt den Beklagten auf Überlassung von Kopien in Anspruch, die einen Vorgang betreffen, an dem er beteiligt ist.

Der Kläger übersandte etwa im Jahr 2016 zur Vorbereitung einer eventuellen Behandlung sowohl dem Evangelischen Verein D als auch dem Evangelischen Verein E unaufgefordert Unterlagen, die über seine gesundheitlichen Verhältnisse Auskunft geben. Nachdem es zu einer Behandlung nicht gekommen war, forderte der Kläger seine Unterlagen vom Beklagten zurück, der seit dem 30. September 2016 die Datenschutzaufsicht über die Diakonie Hessen führt. Der Beklagte stellte mit Schreiben vom 9. April 2019 fest, dass nach seinen Ermittlungen die Unterlagen verloren gegangen seien und die Diakonie einen Datenschutzverstoß begangen habe.

Der Kläger nahm das Schreiben zum Anlass, beim Beklagten Einsicht in dessen Prüfvorgang zu beantragen, insbesondere in ein Schreiben der beiden oben genannten Einrichtungen vom 11. Oktober 2017, in dem es heißt, dass die Unterlagen an die vormalige Dienstaufsicht gegangen seien. Der Beklagte lehnte den Antrag - wohl telefonisch - ab. Der Kläger hat daraufhin den Rechtsweg beschritten.

Die Verwaltungskammer des Kirchengerichts der EKD hat den Beklagten verurteilt, dem Kläger Kopien aller ihm vorliegenden Unterlagen in Bezug auf die Evangelischen Vereine D und E zu überlassen, insbesondere von dem Schreiben vom 11. Oktober 2017. Der Anspruch auf Überlassung der begehrten Unterlagen in Ablichtung ergebe sich, so heißt es zur Begründung, aus Artikel 15 Absatz 1 in Verbindung mit Absatz 3 der DatenschutzGrundverordnung der Europäischen Union vom 27. April 2016 (DSGVO). Die DSGVO gelte gemäß Artikel 1 DSGVO auch für Kirchen. § 19 Absatz 1 Satz 1 EKD-Datenschutzgesetz (DSG-EKD), wonach der Kläger lediglich einen Anspruch auf Auskunft über die zu ihm gespeicherten personenbezogenen Daten als Übersicht habe, schließe den Rückgriff auf Artikel 15 DSGVO nicht aus. Gemäß Artikel 91 Absatz 1 DSGVO dürften die Kirchen ihre vorhandenen Regeln zum Datenschutz nur weiter anwenden, soweit sie mit der DSGVO in Einklang gebracht würden, d. h. soweit sie nicht hinter den Gewährleistungen der DSGVO zurückblieben. Die Schutzlücke, die § 19 DSG-EKD enthalte, dürfe nicht offen bleiben, sondern sei durch die unmittelbare Anwendung des Artikel 15 DSGVO zu schließen.

Der Beklagte hat gegen das erstinstanzliche Urteil Revision eingelegt. Er rügt, dass die Verwaltungskammer die Voraussetzungen des Artikel 15 Absatz 3 Satz 1 DSGVO verkannt habe. Der Anspruch auf Kopien sei gegenüber dem Auskunftsanspruch von untergeordneter Bedeutung. Entscheidend sei, ob der Betroffene auch ohne Herausgabe von Kopien einen angemessenen Grundrechtsschutz erfahre. Das sei vorliegend der Fall. Außerdem habe die Verwaltungskammer die Regelung des Artikel 91 Abs. 1 DSGO missverstanden, indem sie sich auf den Standpunkt gestellt habe, das kirchliche Datenschutzrecht stehe nur dann mit der DSGVO im Einklang und gehe deren Regelungen vor, wenn seine Normen vollständig, d. h. im Verhältnis eins zu eins, den Vorschriften der DSGVO entspreche. Soweit, wie hier, der Schutzstandard der DSGVO insgesamt eingehalten werde, erlaube Artikel 91 Absatz 1 DSGVO den Religionsgesellschaften, in gewissen Einzelfällen auch hinter den Gewährleistungen des DSGVO zurückzubleiben.

Der Kläger verteidigt das angefochtene Urteil.

II. Die Revision ist unbegründet. Das erstinstanzliche Urteil beruht nicht auf einer Verletzung materiellen Rechts. Jedenfalls erweist es sich im Ergebnis als richtig (§ 52 Absatz 2 Satz 2 VwGG.EKD).

1. Der geltend gemachte Klageanspruch ergibt sich aus Artikel 15 Absatz 3 Satz 1 DSGVO. Danach stellt der Verantwortliche - das ist hier der Beklagte - eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.

a) Bei den den Kläger betreffenden Unterlagen, die von den Evangelischen Vereinen D und E stammen, insbesondere dem Schreiben vom 11. Oktober 2017, handelt es sich um personenbezogene Daten im Sinne der Definition des Artikel 4 Nummer 1 DSGVO. Hiernach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

b) Die Unterlagen sind Gegenstand der Verarbeitung beim Beklagten. Verarbeitung meint nach Artikel 4 Nummer 2 DSGVO, soweit hier von Interesse, jede mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erfassen, das Ordnen und die Speicherung.

c) Gegenstand des Anspruchs sind Kopien der personenbezogenen Daten. Kopien sind Abschriften oder Ablichtungen der Originaldaten.

Auf die Kataloginformationen der Buchstaben a bis h des Artikels 15 Absatz 1 DSGVO beschränkt sich der Anspruch nicht. Er dürfte sie nicht einmal erfassen. Nach Artikel 15 Absatz 1 DSGVO hat der Betroffene ein Recht auf Auskunft über seine verarbeiteten personenbezogenen Daten und auf die Informationen nach den Buchstaben a bis h. Artikel 15 Absatz 3 Satz 1 DSGVO knüpft insoweit an Artikel 15 Absatz 1 DSGVO an, als er den Verantwortlichen verpflichtet, eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung zu stellen. Zwischen dem Recht auf Auskunft über die verarbeiteten personenbezogenem Daten nach Artikel 15 Absatz 1 DSGVO und dem Recht auf Aushändigung einer Kopie dieser Daten nach Artikel 15 Absatz 3 Satz 1 DSGVO besteht ein unmittelbarer Zusammenhang. Die Regelungen zum Auskunftsanspruch und zum Anspruch auf eine Kopie in einer Vorschrift und der Aufbau des Artikels 15 DSGVO belegen, dass das Recht auf Kopie dem Auskunftsrecht folgt. Beide Rechte reichen gleich weit, das Recht auf Kopie geht über das Auskunftsrecht nicht hinaus, bleibt aber unter dem Vorbehalt der Voraussetzungen des Artikels 15 Absatz 4 DSGVO auch nicht dahinter zurück. Bestätigt wird dieser Befund durch Sinn und Zweck des Artikels 15 Absatz 3 Satz 1 DSGVO. Das Recht auf eine Datenkopie soll es dem Betroffenen ermöglichen, die Richtigkeit einer Auskunft zu prüfen, die nach Artikel 15 Abs. 1 DSGVO erteilt wurde (Härting, CR <Computer und Recht> 2019, 219 <221>; Wybitul/Baus, CR 2019, 494 <496>). Der Beklagte hat dem Kläger zu Recht Auskunft über das von der Diakonie stammende Schreiben zum Schicksal der Patientenakten erteilt. Seine Verpflichtung, dem Kläger das Schreiben und mögliche weitere Dokumente in Ablichtung zugänglich zu machen, ist zwingend. Aus dem Urteil des Europäischen Gerichtshofs (EuGH) vom 9. Juli 2020 - C-272/19 – (NVwZ 2020, 1497) ergibt sich nichts Gegenteiliges. Eine Aussage des Inhalts, dass mit einem Auskunftsanspruch nach Artikel 15 Absatz 1 DSGVO kein Recht auf Akteneinsicht und damit erst recht kein weiter gehendes Recht auf Überlassung von Kopien verbunden sei, ist dem Urteil nicht zu entnehmen. Das Urteil verhält sich allein zu der Frage, ob der Petitionsausschuss eines Mitgliedstaats der Europäischen Union „Verantwortlicher“ im Sinne der Artikel 4 Nummer 7, Artikel 15 DSGVO ist. Rechtlich ohne Bedeutung ist, ob der Ertrag der geforderten Ablichtungen für den Kläger ergiebig oder gering ist.

2. Die Verwaltungskammer hat zutreffend entschieden, dass dem Zugriff auf Artikel 15 Absatz 3 Satz 1 DSGVO § 19 DSG-EKD, der einen Anspruch auf Zurverfügungstellung von Kopien personenbezogener Daten nicht kennt, nicht entgegensteht.

a) Nach Artikel 91 Absatz 1 DSGVO darf eine Kirche in einem Mitgliedstaat, der zum Zeitpunkt des Inkrafttretens der DSGVO umfassende Regeln zum Schutz natürlicher Personen bei der Datenverarbeitung anwendet, diese Regeln weiter anwenden, sofern sie mit dieser Verordnung in Einklang gebracht werden. Der Senat folgt der Verwaltungskammer darin, dass § 19 DSG-EKD mit Artikel 15 Absatz 3 Satz 1 DSGVO nicht im Einklang steht und die Schutzlücke durch die direkte Anwendung des Artikel 15 Absatz 3 Satz 1 DSGVO zu schließen ist.

Der Begriff des im-Einklang-Stehens lässt sich als sprachliche Nachahmung eines außersprachlichen Schallereignisses (Laut- oder Tonmalerei) verstehen. Das kirchliche Datenschutzrecht eines Mitgliedstaats und die Vorschriften der DSGVO müssen einen Klang ergeben, müssen zusammen wie ein Ton klingen. Verlangt wird Harmonie, Dissonanzen sind unzulässig. Deshalb darf das Schutzniveau einer Vorschrift des nationalen Datenschutzrechts nicht hinter dem Schutzniveau der korrespondierenden Vorschrift der DSGVO zurückbleiben. Tut es das - wie hier -, findet die einschlägige Vorschrift der DSGVO unmittelbare Anwendung (Herbst, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Artikel 91 DSGVO Rn. 14).

Der Beklagte ist der Auffassung, dass das Datenschutzrecht der EKD mit den Regelungen der DSGVO im Einklang stehe, wenn es im Großen und Ganzen einen vergleichbaren Schutzstandard biete. Punktuell dürfe das kirchliche Datenschutzrecht ein anderes (gemeint ist offensichtlich: geringeres) Schutzniveau vorsehen. Das trifft nicht zu. Die Anerkennung eines Spielraums, der es dem kirchlichen Datenschutzrecht gestattet, das Schutzniveau der DSGVO punktuell zu unterschreiten, ist nicht im Hinblick auf Artikel 17 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) in der Fassung von 2016 geboten, der anordnet, dass die Union den Status, den Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren Rechtsvorschriften genießen, achtet und nicht beeinträchtigt. Die für jedermann geltende Pflicht, die Vorschriften des Unionsrechts über den Schutz personenbezogener Daten einzuhalten, kann nämlich nicht als Eingriff in die organisatorische Autonomie der Religionsgemeinschaften angesehen werden. (EuGH, Urteil vom 10. Juli 2018 - C-25/17 - juris Rn. 74).

b) Die Revision ist auch dann zurückzuweisen, wenn der Senat den Begriff des im-Einklang-Stehens so versteht, wie es der Beklagte tut, und unterstellt, dass das DSG-EKD im Großen und Ganzen einen Schutzstandard wie die DSGVO bietet. Zwar ist dann festzustellen, dass das angefochtene Urteil auf einer Verletzung materiellen Rechts beruht, es ist ihm aber zu attestieren, dass es im Ergebnis richtig ist.

Artikel 91 Absatz 1 DSGVO ist auf kirchliches Datenschutzrecht zugeschnitten, das zum Zeitpunkt des Inkrafttretens der DSGVO galt. Denn Artikel 91 Absatz 1 DSGVO stellt darauf ab, dass eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft zu diesem Zeitpunkt ein eigenes Datenschutzrecht hatte. Der Zeitpunkt des Inkrafttretens der DSGVO war nach Artikel 99 Absatz 1 der zwanzigste Tag nach der Veröffentlichung im Amtsblatt der Europäischen Union. Da die DSGVO im Amtsblatt (L 119) vom 4. Mai 2016 veröffentlicht worden ist, ist sie am 24. Mai 2016 in Kraft getreten. Das DSG-ESG, aus dessen § 19 der Beklagte die Sperrwirkung gegenüber Artikel 15 Absatz 3 Satz 1 DSGVO herleitet, ist am 24. Mai 2018 in Kraft getreten; gleichzeitig ist das EKD-Datenschutzgesetz in der Fassung der Bekanntmachung vom 1. Januar 2013 außer Kraft getreten. Als Gesetz, das erst nach dem maßgeblichen Stichtag, dem 24. Mai 2016, erlassen worden ist, fällt das DSG-EKD nicht unter die Regelung des Artikel 91 Absatz 1 DSGVO und kann deren Privilegierung nicht in Anspruch nehmen.

Stichtag ist nicht der Tag, ab dem die DSGVO gilt (so aber Tinnefeld, ZD <Zeitschrift für Datenschutz> 2020, 145). Das ist gemäß Artikel 99 Absatz 2 DSGVO der 25. Mai 2018. Artikel 91 Absatz 1 DSGVO nimmt auf Artikel 99 Absatz 1 DSGVO Bezug, nicht auf Artikel 99 Absatz 2 DSGVO. Darin liegt kein Redaktionsversehen, das es zugunsten des Beklagten zu korrigieren gilt. Artikel 91 Absatz 1 DSGVO hat den Zweck, den Religionsgesellschaften Gelegenheit zu geben, innerhalb der zwei Jahre, die zwischen dem Inkrafttreten der DSGVO und dem Geltungsbeginn liegen, ihre zum Zeitpunkt des Inkrafttretens der DSGVO existierenden Datenschutzregeln mit der DSGVO zu harmonisieren (Herbst, in: Kühling/Buchner, a. a. O., Artikel 91 DSGVO Rn. 14). Dafür spricht auch der Wortlaut des mit der Konjunktion „sofern“ beginnenden Nebensatzes, der von in Einklang gebracht „werden“ und nicht von in Einklang gebracht „sind“ spricht. Artikel 91 DSGVO ermächtigt die Kirchen nicht, in der Übergangszeit zwischen dem Inkrafttreten der DSGVO und dem Beginn ihrer Geltung Regelungen des Datenschutzes zu erlassen, die hinter denen der DSGVO zurückbleiben.

Die Kostenentscheidung beruht auf § 60 Absatz 3 VwGG-EKD.

B e s c h l u s s

Der Gegenstandswert wird für das Revisionsverfahren auf 2.000 € festgesetzt.