IDSG: Konkludente Einwilligung als Rechtsgrundlage für Korrespondenz?

In der jüngsten veröffentlichten Entscheidung des Interdiözesanen Datenschutzgerichts (IDSG 08/2021) geht es wieder einmal um Streit mit einem Pfarrer. Das Verfahren entzündete sich um einen Beschwerdebrief an einen »persönlich« adressierten Ordinariatsrat – der hat die Sache ans Justitiariat weitergegeben, und das findet der Kläger nicht in Ordnung.

Ein roter Briefkasten steht vor einer Hecke
(Symbolbild, Quelle: Bundo Kim/Unsplash)

Das Ergebnis überrascht kaum: Selbstverständlich darf innerhalb des Ordinariats Schriftverkehr an eine zuständige Abteilung wie das Justitiariat weitergegeben werden, und zwar schon deshalb, weil das Ordinariat als Behörde eine verantwortliche Stelle ist. Interessant und überraschend ist die Rechtsgrundlage, auf die das Gericht die Verarbeitung der Korrespondenz stützt: Nämlich die Einwilligung – und das auch noch konkludent.

Alltäglicher Schriftverkehr ist ein praktisches Gebiet des Datenschutzes, das erstaunlich unterbelichtet ist. Man könnte meinen: Aus gutem Grund schweigt man lieber darüber – denn ganz eindeutig ist das nicht, auf welche Rechtsgrundlage man etwa die Verarbeitung von per E-Mail unverlangt erhaltener Korrespondenz stützt. Im geschäftlichen Verkehr wird das oft bis immer als vorvertragliche Maßnahme zu erledigen sein. Aber in so einem Fall? Vielleicht doch Vertrag, wie man es bei Mitgliederkorrespondenz von Vereinen löst? Aber Beschwerden könnten auch von Nicht-Mitgliedern kommen, und Mitglied ist der*die einzelne Katholik*in in der Pfarrei, im Bistum und in der Kirche (cann. 515 § 1, 372 § 1, 204f. CIC), nicht im Ordinariat.

Korrespondenz klingt also nach einem Fall für eine Interessensgrundlage – entweder berechtigtes Interesse (so wird das auch hier in den Datenschutzinformationen konstruiert) oder bei öffentlich-rechtlich verfassten Stellen als Aufgabenwahrnehmung in kirchlichem Interesse – auch ohne explizite gesetzliche Grundlage ließe sich übliche Korrespondenz gut als Teil der kirchlichen Aufgaben fassen.

Schon der Kläger weist darauf hin, dass er keine Einwilligung zur Datenweitergabe innerhalb des Ordinariats gegeben habe (Rn. 9); das ist verständlich – das Vorurteil, dass Datenschutz gleich Einwilligung ist, wird man datenschutzrechtlichen Laien nachsehen können. Überraschend ist, dass das Gericht diese Argumentation teilweise aufgreift, jedoch dahingehend, dass in der Tat grundsätzlich eine Einwilligung vorgelegen habe, wie in Rn. 23 ausgeführt wird: »Der Antragsteller hat seine Einwilligung gemäß § 6 Abs. 1 Buchstabe b) KDG zur Verarbeitung seiner personenbezogenen Daten durch das Ordinariat des Antragsgegners erteilt. Die schriftlich erteilte konkludente Einwilligung (§ 4 Nr. 13, § 8 Abs. 1 und 2 KDG) liegt in den Schreiben, die der Antragsteller an den Ordinariatsrat XX in der Angelegenheit der geltend gemachten Verfehlungen des Pfarrers gerichtet hat.« Die Einwilligung erfasse auch die Weitergabe  innerhalb des Ordinariats (Rn. 26). Rn. 24 führt als Beleg für die Möglichkeit einer konkludenten Einwilligung die Kommentierung von § 8 in Sydows KDG-Kommentar an (dort § 8 KDG, Rn. 12) – dort wird allerdings nur darauf verwiesen, dass in einer Kommentierung der DSGVO auch Einwilligung durch konkludentes Verhalten als ausreichend erachtet wird, in Abgrenzung zum expliziten Schriftformerfordernis, das das KDG kennt – und ohne nähere Erörterung, ob und wie konkludente Einwilligungen nach KDG möglich sein könnten. (Üblicherweise nimmt man konkludente Einwilligungen bei Fällen an wie »es wird fotografiert – die fotografierte Person signalisiert durch ihr Verhalten, dass sie einverstanden ist«.)

Leider begründet die Entscheidung nicht weiter, wie hier eine gültige Einwilligung vorliegen können sollte. Einwilligungen müssen gemäß Art. 4 Nr. 13 KDG »freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich« abgegeben werden, und zwar »in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist«. Gerade der Schluss der Definition liest sich zwar, als passte das auf den Sachverhalt – aber dehnt die Verwendung einer Einwilligung das nicht allzu sehr? Insbesondere dann, wenn der Betroffene wenn auch erst hinterher selbst explizit angibt, dass er gerade keine Einwilligung abgeben wollte (jedenfalls nicht für die interne Weitergabe) – und somit wohl kaum eine »unmissverständliche« bestätigende Handlung und wenn überhaupt dann nicht für diesen bestimmten Fall der Weitergabe vorliegt?

Dazu kommt, dass die Formulierung »bestätigend« eine Reaktion auf etwas impliziert – hier liegt aber quasi eine aufgedrängte Einwilligung vor: Nicht wie im Normalfall holt der Verantwortliche die Einwilligung des Betroffenen ein (so auch die Formulierung von § 8 Abs. 1 S. 1 KDG), sondern der Betroffene drängt dem Verantwortlichen eine Einwilligung auf, für die dieser die Verantwortung übernehmen muss. Der Verantwortliche – auch darauf geht die Entscheidung nicht ein – muss dennoch alle mit der Einwilligung verbundenen Pflichten erfüllen, insbesondere den Hinweis auf das Widerrufsrecht vor Abgabe der Einwilligung (§ 4 Abs. 8 KDG). Wie soll das gehen bei einer aufgedrängten Einwilligung?

Bei einer Korrespondenz auf Einwilligung zu setzen, kann außerdem in Teufels Küche führen, wenn der Betroffene die Einwilligung widerruft und der Verantwortliche die Verarbeitung mit Wirkung für die Zukunft einstellen muss; im vorliegenden Fall ging die Korrespondenz ans Justitiariat unter anderem wegen darin angeblich enthaltener Beleidigungen. Bei einem Widerruf gibt es keine Rechtsgrundlage mehr, um eventuell daraus entstehende Ansprüche auf Grundlage der Korrespondenz zu belegen, zumindest dann, wenn man die herrschende Meinung vertritt, dass Rechtsgrundlagen nicht einfach getauscht werden können, wenn die Einwilligung widerrufen wird oder von vornherein unwirksam war.

Fazit

Das Ergebnis scheint richtig – aber auf einem Weg, der kaum überzeugen kann. Dasselbe Ergebnis über die Rechtsgrundlage kirchliches Interesse: Das wäre völlig nachvollziehbar. Die Entscheidung legt sogar selbst die Fährte, wenn in Rn. 25 vom Anrufen des Ordinariats als »Aufsichtsinstitution« die Rede ist – wenn das nicht »Wahrnehmung einer Aufgabe im kirchlichen Interesse ist«, was dann? In der Sache sind die beiden Argumente überzeugend, die angeführt werden: dass das Ordinariat ein einheitlicher Verantwortlicher ist und daher keine Offenlegung von Daten an einen Dritten vorliegt, stellt Rn. 26 zutreffend fest, und dass die Verarbeitung erforderlich ist, wird in Rn. 25 ebenso einsichtig dargelegt – nur die Rechtsgrundlage der Verarbeitung ist nicht nachvollziehbar.

Dass die Rechtsgrundlage für Korrespondenz eine konkludente Einwilligung sein könnte, überzeugt auf keiner Ebene: Es widerspricht der Logik der Einwilligung, die dem Gesetz nach von einem Verantwortlichen eingeholt und von einem Betroffenen gegeben wird. Selbst wenn man hier eine konkludente Einwilligung erkennen will, stellt sich die Frage, ob sie nicht nur dann wirksam sein kann, wenn die betroffene Person vorab im üblichen Umfang informiert wurde und der Verantwortliche alle mit Einwilligungen verbundenen Pflichten erfüllt. Und wenn man über diese beiden Hürden gesprungen ist, bleibt das große Fragezeichen, was im Fall eines Widerrufs passieren würde – oder wie man damit umgeht, dass der konkludent Einwilligende offensichtlich von seiner konkludenten Einwilligung weder etwas weiß noch wissen will.

Gegen die Entscheidung wurden Rechtsmittel eingelegt. Ein anderes Ergebnis ist weder zu erwarten noch zu wünschen. Für die Praxis – und überall wird Korrespondenz abgewickelt – wäre es gut, wenn die zweite Instanz eine andere Rechtsgrundlage als einschlägig erachten würde.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.