Visitation der Integrierten Gemeinde vor dem IDSG

Das Interdiözesane Datenschutzgericht hat einen weiteren Beschluss veröffentlicht (IDSG 03/2020 vom 9. Dezember 2021). Bekannt war bisher ein nicht-amtlicher Leitsatz, demzufolge es um die Einstufung der Tatsache eines Vorsitzes in einem öffentlichen kirchlichen Verein unter die besonderen Kategorien personenbezogener Daten und um die Weitergabe eines Visitationsberichts an Dritte geht. Hier wurde schon angemerkt, dass die erste Frage große praktische Folgen für kirchliche Vereine haben könnte.

Eine Lupe liegt auf einem Holztisch
(Photo by Jon Tyson on Unsplash, bearbeitet)

Auf Grundlage des Leitsatzes schien es sich um eine kleinteilige, wenig spektakuläre Entscheidung zu handeln. Auf Grundlage des jetzt vorliegenden Volltextes ist es doch etwas spannender als gedacht – nicht nur aufgrund diverser rechtlicher Fragen, sondern auch wegen ihrer kirchenpolitischen Bedeutung: Trotz Anonymisierung ist recht klar, dass es sich nur um die Visitation der »Katholischen Integrierten Gemeinde« im Erzbistum München und Freising handeln kann, die letztlich zu deren Auflösung führte.

Der Fall

Der Zwischenbericht einer laufenden Visitation wurde von den Visitator*innen an verschiedene Personen weitergegeben, insbesondere auch an die für die Visitation befragten Personen. Im Zwischenbericht ist der Name der ehemaligen Vorsitzenden des Vereins, der visitiert wird, genannt. Der Zwischenbericht wurde von einen Ehepaar im Verteilerkreis an Medien weitergegeben. (Im Beschluss benannt ist die Katholische Nachrichtenagentur, intensiv hat die Herder-Korrespondenz berichtet.) Über die Weitergabe beschwerte sich die Gemeinschaft bei der kirchlichen Datenschutzaufsicht, die die Beschwerde abwies. Unter anderem erkannte die Aufsicht ein berechtigtes Interesse: »Das Erzbischöfliche Ordinariat habe ein berechtigtes Interesse gehabt, die erhobenen Sachverhalte den Gesprächspartnern mitzuteilen; diese hätten als in Betracht kommende Geschädigte über ihre Rechte aufgeklärt werden müssen. Darüber hinaus habe es ein berechtigtes Interesse der Kirche gegeben, die festgestellten Tatsachen zu veröffentlichen. Die verfasste Kirche müsse deutlich machen, dass sie die im Zwischenbericht geschilderten Praktiken des Vereins missbillige.« (Rn 5)

Interessante Rechtsfragen

Die Entscheidung streift einige Punkte, zu denen es bisher viele Fragen und kaum gerichtliche Antworten gibt: Kirchliche Interessen, Mitarbeiterexzesse, besondere Kategorien personenbezogener Daten im Vereinsrecht, die Anwendung des universalen Kirchenrechts im kirchlichen Datenschutzrecht – selten war ein einziger Beschluss so vollgepackt.

Verantwortlichkeit und Mitarbeiterexzess

Die Klage richtet sich gegen zwei der Visitator*innen, die Datenschutzaufsicht und den Erzbischof. Die Antragsteller argumentieren, dass die Visitatoren auch Verantwortliche seien, da sie »nicht lediglich weisungsgebunden gehandelt [haben]; sie hätten aufgrund ihrer Interpretation der Anordnung die Zwecke und Mittel der Datenverarbeitung selbst festgelegt. Außerdem seien sie deshalb Verantwortliche, weil ihnen ein Exzess zur Last falle. Sie hätten den Rahmen ihres Auftrags überschritten«, so der Vortrag (Rn 7). Dem folgt das Gericht sehr deutlich nicht (Rnn 30–33), auch ein Mitarbeiterexzess wird verneint: »Denn nicht jede – möglicherweise rechtswidrige – Abweichung vom Visitationsauftrag bedeutet einen datenschutzrechtlichen Exzess. Prägend für den datenschutzrechtlich relevanten Exzess ist es, dass der Mitarbeiter mit der Abweichung von Weisungen des Rechtsträgers gerade eigene Zwecke verfolgt. Dies ist bei [den Visitator*innen] offensichtlich nicht der Fall.« (Rn 35)

Recht klar bei Gericht und Datenschutzaufsicht ist, dass der Verein selbst kein Betroffener im Sinn des Datenschutzrechts ist, das können nur natürlich Personen sein (Rnn 27–29).

Vorstandstätigkeit als besondere Kategorie personenbezogener Daten

Die Antragsteller brachten vor, dass es sich bei der Information über die Vorstandstätigkeit einer Person um eine besonders schützenswerte Information handle. »Die Mitgliedschaft im Leitungsteam der XX bedeute eine Aussage zur religiösen Überzeugung, die eine besondere Kategorie personenbezogener Daten darstelle«, so der Vortrag (Rn 8), dem das Gericht folgt: »Mehr als bei einem einfachen Vereinsmitglied ist bei der Vorsitzenden des Leitungsteams davon auszugehen, dass sie sich mit den wesentlichen Zielen des Vereins identifiziert. Angesichts der spezifischen Ziele eines öffentlichen katholischen Vereins, die regelmäßig eine bestimmte Ausformung der allgemeinen Ziele der katholischen Kirche darstellen, sind Rückschlüsse aus der leitenden Vereinsmitgliedschaft auf die religiöse Ausrichtung der Leitungsperson zu ziehen. Wegen der spezifischen Ausformung der Ziele der XX drängen sich Rückschlüsse auf die innere religiöse Einstellung und auf die äußere religiöse Betätigung der Antragstellerin zu 1. auf.« (Rn 53)

Geprüft wird dabei, ob die spezifisch kirchliche Ausnahme, dass Daten über die bloße Zugehörigkeit zu einer Kirche keine besondere Kategorie begründen, und verneint (Rn 54). Keine Überraschung ist diese Position, da Ausnahmen generell eng ausgelegt werden müssen. Interessanter ist ein Nachsatz: »Außerdem müssen die datenschutzrechtlichen Regelungen der Kirche den Wertungen der DSGVO, hier dem Art. 9 Abs. 1 DSGVO, entsprechen.« Leider wird nicht näher ausgeführt, wie hier zwischen (tatsächlichen oder behaupteten) kirchlichen Spezifika und DSGVO-Wertungen abgewogen wird.

Kirchliches Interesse

Geprüft wird die Rechtsgrundlage Aufgabenwahrnehmung im kirchlichen Interesse. Dabei wird auf die in can. 305 CIC geregelte Aufsicht über kirchliche Vereine verwiesen – eine explizite Rechtsgrundlage, die eine Aufgabe begründet, sollte also auf jeden Fall die Rechtsgrundlage kirchliches Interesse rechtfertigen (Rn 59). Für die Übermittlung an Dritte sieht das Gericht hier aber keine Rechtsgrundlage.

Kirchliche Interessen werden auch im Kontext von § 11 Abs. 2 g) KDG, der die Verarbeitung besonderer Kategorien ermöglicht, wenn die Verarbeitung »aus Gründen eines erheblichen kirchlichen Interesses erforderlich« ist, und zwar »auf der Grundlage kirchlichen Rechts, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht«. Hier führt das Gericht deutlich aus, wann eine Berufung darauf möglich ist: »Bei der Auslegung des Merkmals des erheblichen kirchlichen Interesses ist unter systematischen Gesichtspunkten darauf abzustellen, dass das kirchliche Interesse eine Bedeutung aufweisen muss, die dem Gewicht der anderen Ausnahmetatbestände in § 11 Abs. 2 KDG entspricht. Auch die erhöhte Anforderung gegenüber dem „schlichten“ kirchlichen Interesse in § 6 Abs. 1 f) KDG macht deutlich, dass es sich um ein Interesse der gesamten Kirche oder zumindest eines erheblichen Teils der Kirchenmitglieder handeln muss. Selbst bei Annahme eines derart hohen kirchlichen Interesses hat noch eine Abwägung mit dem Interesse der betroffenen Person zu erfolgen.« (Rn 66)

Der Bescheid der Datenschutzaufsicht hatte auf auf das Interesse der Kirche hingewiesen, »durch eine Veröffentlichung des Zwischenberichts deutlich zu machen, dass die Kirche die vorgeworfenen Praktiken der XX missbilligt« (Rn 68). Das könne zwar grundsätzlich bestehen und wird mit den Rechtsgrundlagen can. 747 CIC (Pflicht der Kirche, sittlichen Grundsätze zu verkündigen) und can. 822 CIC (Hirten sind gehalten, soziale Kommunikationsmittel bei ihrer Aufgabenwahrnehmung zu verwenden). Beide Normen kommen nicht unmittelbar in den Sinn – zeigen aber so eine gewisse Flexibilität und Kreativität bei der Findung von rechtlich zugewiesenen Aufgaben. Das darf man aber wohl auch so interpretieren, dass das Gericht für kirchliches Interesse eine explizite Aufgabenzuweisung als erforderlich ansieht.

Kirchenrechtliche Argumente

Bisher rekurriert keine andere Entscheidung so intensiv auf das Universalkirchenrecht: Erstmals wird eine Verletzung des Datenschutzkanons can. 220 CIC ins Spiel gebracht (Rn 11; eine Verletzung des dort geschützten guten Rufs als Grund für eine Unzulässigkeit der Datenverarbeitung), es wird diskutiert, ob Laien (die beklagten Visitator*innen sind beides Laien, ein Weltchrist und eine Ordensfrau) das überhaupt sein können, da can. 396 §§ 1 und 2 auf Priester als Delegierte, »Begleiter und Helfer« bei der Visitation abhebt (Rn 8), es geht darum, was das Datenschutzgericht überhaupt in dem Fall entscheiden kann (Beklagtenvortrag, Rn 15: »Die Rechtmäßigkeit der Visitation werde nicht durch die Datenschutzgerichte geprüft, sondern allenfalls im Rahmen eines hierarchischen Rekurses in Rom.«), der Erzbischof wird als Verantwortlicher identifiziert unter Heranziehung der can. 305 § 1, 312 § 1 n. 3 und 396 § 1 CIC (Rn 39), verschiedene Canones werden wie oben erwähnt zur Begründung von Aufgabenwahrnehmung herangezogen. Das zeigt noch einmal deutlich, dass trotz des sehr weltlich DSGVO-analogen Textes des KDG auch das kirchliche Datenschutzrecht fest ins Kirchenrecht integriert ist und daher auch im Einklang damit ausgelegt werden muss – und es zeigt, wie nützlich die Kenntnis des CIC ist, um mittels kreativer Auslegung wirksam zugewiesene Aufgaben zu finden.

Fazit

Erfolg hatten die Kläger lediglich damit, dass die Vorstandseigenschaft unter die besonderen Kategorien gefasst werden muss und darauf aufbauend die Weitergabe an Dritte in dieser Form nicht zulässig war. Das Gericht argumentiert hier schlüssig. Ausnahmen sind nun einmal eng auszulegen. Unbefriedigend ist das aber doch: Denn in der Konsequenz heißt das, dass nicht nur bei diesem kirchlichen Verein die Information unter die Person des*der Vorsitzenden zu den besonderen Kategorien gehört; wenn nicht wegen Informationen über religiöse Bekenntnisse, dann häufig wegen politischer Überzeugungen bei den Sozialverbänden – der Transparenz über das kirchliche Vereinswesen ist das nicht zuträglich. Hier wäre zu überlegen, ob es nicht ein auf eine klare Rechtsgrundlage gestütztes kirchliches Vereinsregister braucht, das klare Transparenzpflichten vorsieht. Die aktuelle, vom KDG bestimmte Rechtslage kennt nur Betroffenenrechte, keine Transparenzpflichten, die man Menschen, die sich als Verantwortungsträger in kirchlichen Vereinen engagieren, durchaus zumuten kann und sollte. Gerade im Zuge der Prävention von Missbräuchen. Solche Pflichten zu schaffen, wäre sicher ein Beitrag zur kirchlichen Rechtskultur – aber kein Vorschlag, der allzu realistisch ist angesichts der übersichtlichen Begeisterung kirchlicher Verantwortungsträger hinsichtlich Transparenz.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert