Auch das Datenschutzgericht der Deutschen Bischofskonferenz hat kein Problem damit, dass ein Leitender Pfarrer nach den Gottesdiensten die Teilnahmelisten auf Richtigkeit kontrolliert. Das geht aus dem bereits am Freitag veröffentlichten Beschluss der zweiten Instanz hervor (DSG-DBK 01/2021), der die Entscheidung des IDSG (IDSG 27/2020) bestätigt und die Einwände des Katholischen Datenschutzzentrums Dortmund verwirft.

Bei dem Fall ging es um einen Pfarrer, der Teilnahmelisten im Nachhinein auf Plausibilität hin kontrolliert hatte – offiziell mit der Begründung, dass nur so die von der Corona-Schutzverordnung des Landes geforderte Rückverfolgbarkeit sichergestellt werden könne, zudem solle so eine Evaluierung des Hygienekonzeptes erfolgen. Zum Konflikt kam es aber dadurch, dass mit dem Abgleich von Anwesenheitslisten und Anmeldungen aufflog, dass zwei Ehrenamtliche zwar da waren, sich aber nicht angemeldet hatten. (Der Protest gegen die Anmeldepflicht war angekündigt.) Auf ihre Beschwerde hin hatte die Aufsicht die nachträgliche Durchsicht verboten, dagegen wehrte sich die Pfarrei, die nun in beiden Instanzen recht bekommen hat. (Der Beschluss des Instanzgerichts wurde hier bereits sehr kritisch besprochen.)

Schon die Entscheidung der ersten Instanz war überraschend: Zu offensichtlich ist eigentlich, dass ein Pfarrer über eindeutig erfundene Namen hinaus nur begrenzt die Plausibilität der Listen prüfen kann. Hochgradig fraglich ist es, ob der Grundrechtseingriff der Rückverfolgbarkeit von Gottesdienstbesuch noch dadurch intensiviert werden darf, dass der Pfarrer genau überblickt, wer im Gottesdienst ist. Und mit Blick auf die Gestaltung risikominierender Verfahren verwundert es, dass zusätzliche Bruchstellen eingezogen werden sollen.

Beide Instanzen folgten dem eigentlich recht schlüssigen Vortrag der Aufsicht nicht: »Eine solche Einsichtnahme sei nicht geeignet, die spätere Rückverfolgung zu verbessern; eine geeignete Kontrolle könne nur vor Ort erfolgen.« (RN 10) Bei der Verwendung für die Maßregelung der beiden Ehrenamtlichen liege eine Zweckänderung vor. Die Pfarrei brachte dagegen vor, dass ein »Verzicht auf eine solche Kontrolle […] für die Rechtsmittelgegnerin das Risiko eines staatlichen Eingreifens mit möglichen Bußgeldfolgen und Verboten von Gottesdiensten bergen« würde (RN 13). Diese Behauptung wird nicht substantiiert; entsprechende Fälle sind nicht bekannt. (Im Gegenteil: Gegen den Einsatz der Luca-App, die laut Hersteller Kontaktdaten so verschlüsselt, dass die zur Rückverfolgbarkeit verpflichteten Gastgeber*innen nicht darauf zugreifen können und damit eine solche Kontrolle gar nicht möglich wäre, scheint es keine Einwände seitens des NRW-Verordnungsgebers zu geben.)

Die Beschwerde wird klar als unbegründet zurückgewiesen, als Rechtsgrundlage die rechtliche Verpflichtung herangezogen; eine Zweckänderung konnte das Gericht trotz der Konsequenzen für die Ehrenamtlichen (sie wurden ihres Amts als Wortgottesdienstleitungen enthoben) nicht erkennen. Wie schon die erste Instanz hebt auch die zweite auf den Verarbeitungsgrundsatz der Richtigkeit ab, aus dem sie das Recht des Pfarrers auf Einsichtnahme begründet. Das funktioniert nur, weil zugleich behauptet wird, dass ein milderes Mittel – die Überprüfung durch Ordner*innen unmittelbar bei der Erhebung – nicht gleich geeignet sei. Festgehalten wird auch an der Behauptung, dass der Pfarrer dank seiner umfassenden Kenntnis am besten geeignet sei, die Kontrollen vorzunehmen. Die Evaluierung des Hygienekonzepts schlägt ein datensparsames Konzept. (RN 22–25.)

Fazit

Wer zur Zeit einen katholischen Gottesdienst besucht, muss damit rechnen, dass der Pfarrer genau überwacht, wer teilnimmt. Gottesdienstbesuche sind auch dann nicht anonym, wenn die Teilnahmelisten gar nicht zur Infektionskettenverfolgung gebraucht werden. Pfarrer dürfen unter dem Vorwand der Sicherstellung der Richtigkeit bei all ihren Gottesdiensten nachlesen, wer teilgenommen hat – und möglicherweise müssen sie es auch, wenn man den Beschluss konsequent durchdenkt. (Der Einsatz von verschlüsselnden Kontaktnachverfolgungsapps, die von Verantwortlichen gar nicht entschlüsselt werden können, dürfte dann auch fraglich sein.)

Für die kirchliche Datenschutzgerichte haben in beiden Instanzen weder die mögliche Schutzbedürftigkeit der Tatsache eines Gottesdienstbesuchs (und mittelbar des Nichtbesuchs) eine Rolle gespielt, noch war es entscheidungsrelevant, dass hier ein Pfarrer personelle Konsequenzen aus dieser angeblich reinen Richtigkeitskontrolle gezogen hat. Während die Datenschutzaufsicht durch umsichtiges und datensparsames Verfahrensdesign die Rechte der betroffenen Personen im Blick hatte, muss nach der Einschätzung der Gerichte hinter dem Ziel des Infektionsschutzes das Recht einzelner zurückstecken. Gefahren für die Rechte der betroffenen Personen durch diese Art der Datenverarbeitung werden gar nicht in Erwägung gezogen, obwohl es um besondere Kategorien, nämlich glaubensbezogene, geht – dabei ist es doch recht offensichtlich, dass die Einsichtnahme das Risiko und das Missbrauchspotential des Rückverfolgungsverfahrens deutlich erhöht.

Das Datenschutzgericht der DBK lässt hier auch einen seltsamen Klerikalismus durchblicken: Der Pfarrer kennt seine Schäfchen schon am besten; die Argumente, warum es hier erforderlich sei, dass der Pfarrer so handelt, wirken sehr interessengeleitet und verkennt, dass ein Ziel des Datenschutzes ist, gerade solchen Machtasymmetrien wie die zwischen Pfarrer und Gemeindemitgliedern zu begegnen. Dabei ist das geschilderte Arrangement so, dass der Pfarrer wenig ausrichten kann: Korrekturen auf Grundlage der Meldedaten (die das Gericht anführt) könnten zweckmäßiger die Verwaltungskräfte vornehmen, offensichtlich falsche Daten unter falschem Namen lassen sich auch hinterher nicht mehr korrigieren (lediglich streichen), und dass es möglich sein soll, nachher bei durchschnittlich großen Gottesdienstgemeinden verlässlich fehlende oder überzählige Personen zu streichen oder zu ergänzen, wirkt auch recht lebensfremd – im Gegenteil wird hier eine zusätzliche Fehlerquelle eingezogen, die durch Quarantäneaufforderungen an tatsächlich abwesende irrtümlich nachträglich Gelistete sogar schwere Grundrechtseingriffe mit sich bringen könnte.

Aber jetzt ist es so. Zwar binden kirchliche Gerichtsentscheidungen nur für den jeweiligen Fall, Präzedenzfälle kennt das Kirchenrecht nicht (can. 16 § 3 CIC), es dürfte aber damit zu rechnen sein, dass die Aufsichten künftig so verfahren, wie es das Gericht für richtig erkannt hat. (Für Pfarreien gilt: Die Kontrolle der Daten, wenn man diesen Weg beschreiten will, sollte transparent in den Datenschutzinformationen bei der Erhebung der Kontaktdaten genannt werden.)

Gegen den Beschluss des Datenschutzgerichts der DBK wäre es noch möglich, Rechtsmittel bei der Apostolischen Signatur oder direkt beim Papst einzulegen – das ist aber unwahrscheinlich und wohl auch wenig erfolgversprechend. In ähnlichen Konstellationen ist vor den kirchlichen Gerichten mit anderen Entscheidungen wohl nur dann zu rechnen, falls staatliche Gerichte in ähnlich gelagerten Fällen anders entscheiden sollten, eine Klarstellung seitens des Verordnungsgebers erfolgt oder kirchliche Gesetze die Kontaktverfolgung anders ausgestalten.