Freitag ist Gerichtstag: Nach dem überraschenden Beschluss des Datenschutzgerichts der DBK in der vorvergangenen Woche wurde am Freitag eine weitere Entscheidung des Interdiözesanen Datenschutzgerichts (IDSG 21/2020) veröffentlicht – diesmal eher Schwarzbrot. Auch was den Sachverhalt angeht: Ein Arztbrief in falschen Händen. In diesem Fall ein Arztbrief, der trotz Sperrvermerk im Klinikinformationssystem an den Ehemann der Patientin übergeben wurde. (Auch wenn der Beschluss anonymisiert ist: Der Fall wird im aktuellen Tätigkeitsbericht der KDSA Ost ausführlich geschildert.)

Dass das ein Datenschutzverstoß ist, war recht klar – die Datenschutzrichtlinie, die ein opt-out-Verfahren für die Sperrvermerke vorsah, war ungenügend, die Datenschutzschulung unzureichend. Die Konsequenzen fürs eigene Datenschutzmanagement sind klar: Datenweitergabe an Dritte nur mit Einwilligung, und Schulungen nicht nur für die Akten. Über den Einzelfall hinaus sind vor allem zwei Punkte relevant: die Erläuterungen zur Anwendbarkeit des Funktionsträgerprinzips und ein Einblick in die Bußgeldpraxis.
Funktionsträgerprinzip
Wieder einmal (wie wohl meistens) geht es um einen Fall, in dem der Datenschutzverstoß von Beschäftigten begangen wird. Dennoch wird der Verstoß gemäß dem Funktionsträgerprinzip der verantwortlichen Stelle zugerechnet (RN 81). Das wird zwar als umstritten bezeichnet, das IDSG folgt aber der überwiegenden Meinung der Literatur dazu und seiner bisherigen Rechtsprechung (RN 82): »Die Übertragung des europarechtlichen Funktionsträgerprinzips auf das kirchliche Bußgeldrecht wird bereits durch die Präambel des KDG nahegelegt. Danach will das KDG den Einklang des kirchlichen Datenschutzrechts mit der DSGVO herstellen. Außerdem gebietet der Grundsatz der Effektivität des Datenschutzes die Anwendung des Funktionsträgerprinzips (§ 51 Abs. 2 KDG, Art. 83 Abs. 1 DSGVO).« (RN 84) Wieder einmal wird darauf hingewiesen, dass Geldbußen gegen einzelne Mitarbeitende nur bei Mitarbeiterexzess und bei weisungsfrei Handelnden denkbar sind.
Interessant ist eine Nebenbemerkung zum kirchlichen Selbstbestimmungsrecht, bei dem explizit klargestellt wird, dass es dem Funktionsträgerprinzip nicht entgegenstehe, »zumal gegen kirchliche Stellen, die öffentlich-rechtlich verfasst sind, Geldbußen grundsätzlich nicht verhängt werden dürfen«. (RN 87) Anscheinend hat das Gericht mögliche Einwände gegen die Anwendung des Funktionsträgerprinzips durch kirchliche Besonderheiten im Blick, die es allerdings nicht benennt.
Der Fall fällt vor die Geltung des Gesetzes über das Verwaltungsverfahren im kirchlichen Datenschutz (KDS-VwVfG), das in § 25 Abs. 1 – wie § 41 Abs. 1 BDSG – das Ordnungswidrigkeitengesetz für »sinngemäß« anwendbar erklärt. Es wird zwar keine Aussage dazu gemacht, ob auch mit KDS-VwVfG das Funktionsträgerprinzip anzuwenden wäre – der Verweis auf ein entsprechendes Urteil des LG Bonn und die Argumentation einer vom KDG gewollten europarechtskonformen Auslegung deuten aber darauf hin, dass das Funktionsträgerprinzip auch weiterhin angewendet wird. (Ausführlich dazu die KDSA Ost in ihrem aktuellen Tätigkeitsbericht.)
Sehr moderate Geldbuße
Die Informationen zu den von den Aufsichten bisher verhängten Geldbußen sind sehr übersichtlich. Aus dem Tätigkeitsbericht der KDSA Ost war nur bekannt, dass dieser Verstoß »geahndet« wurde. Aus dem Beschluss erfährt man nun auch die Höhe: 2.100 Euro. Wie die Aufsicht be- und entlastende Faktoren bewertet, wird in RN 30–35 ausgeführt, und das Gericht folgt der Aufsicht darin, dass die Bemessung »wirksam, verhältnismäßig und abschreckend« gewesen sei. (RN 95) Wie allerdings der genaue Betrag ermittelt wurde, ist nicht klar, über die wirtschaftlichen Verhältnisse des Krankenhauses erfährt man nichts, auch nicht über systematische Überlegungen der katholischen Aufsichten zu Bußgeldern.
Mit Blick auf den durch das KDG festgesetzten Höchstrahmen von 500.000 Euro sei die verhängte Buße »sehr moderat«, findet das Gericht (RN 99). Das ist doch ein deutliches Understatement: Trotz Anonymisierung lässt sich der gebußte Rechtsträger ermitteln; laut seiner letzten veröffentlichten Bilanz hat er einen Umsatz von 88 Millionen Euro. Wendete man das Bußgeldkonzept der staatlichen Aufsichten an (Großunternehmen der Kategorie D.II), stünde selbst unter Annahme des geringsten Schweregrades eine Buße von 243.056 Euro im Raum – also mehr als das Hundertfache der tatsächlich verhängten Buße. Selbst wenn man das DSK-Bußgeldkonzept für überzogen hält (was mit Blick auf die Entscheidung des AG Bonn zur Buße des BfDI gegen 1&1 plausibel ist, wo das Bußgeld um 90 Prozent reduziert wurde; hier wie dort handelt es sich um einen Fall eines leichten Verstoßes eines umsatzstarken Unternehmens), fällt es doch schwer, bei einem Jahresumsatz von 88 Millionen 2.100 Euro für »abschreckend« und »wirksam« zu halten – selbst ein (hier ohnehin nicht zur Debatte stehendes) Ausschöpfen des Rahmens von 500.000 Euro könnte ein solcher Konzern gut verkraften, während nach DSK-Modell schnell siebenstellige Summen im Raum stünden.
Fazit
Das Funktionsträgerprinzip verstetigt sich in der kirchlichen Rechtsprechung – und falls sich im staatlichen Bereich nichts gravierend ändern sollte, darf man davon wohl auch weiterhin unter der Geltung des Verwaltungsverfahrensgesetzes ausgehen. Schließlich wäre ein Einklang des kirchlichen Datenschutzrechts kaum zu vermitteln, wenn die meisten – und häufigsten – Datenschutzverstöße gar nicht mit Geldbußen zu ahnden wären.
Fraglich ist der Einklang aber bei den Geldbußen allgemein: Ist die Argumentation für den deutlich niedrigeren Bußgeldrahmen bei den üblichen Größen vieler kirchlichen Einrichtungen noch nachvollziehbar, wenn auch nicht überzeugend (schließlich sind nicht-kirchliche Vereine, Bildungsträger und andere Einrichtungen unter Geltung der DSGVO auch nicht systematisch größer als kirchliche und fallen doch unter den DSGVO-Rahmen), so ist der Deckel bei einer halben Million für die großen Sozial- und Krankenhauskonzerne doch völlig unverständlich. Für einen Krankenhausträger mit 88-Millionen-Umsatz lohnt sich da die Kirchlichkeit zur Risikominimierung massiv. Zusammen mit dem Ausschluss von Bußgeldern für den gesamten öffentlich-rechtlich verfassten Bereich (und im evangelischen Datenschutzrecht sogar für alle Träger, sofern sie nicht im wirtschaftlichen Wettbewerb stehen) entsteht durch die niedrige Obergrenze ein Bereich, bei dem der Einklang mit dem Europarecht doch hochgradig zweifelhaft ist.
(Der Beschluss ist auf den 12. Juli 2021 datiert, Rechtsmittel sind noch nicht bekannt, können aber noch eingelegt werden, die Frist beträgt drei Monate ab Kenntnisnahme der jeweiligen Partei.)