Das Interdiözesane Datenschutzgericht hat zwei neue Entscheidungen veröffentlicht: IDSG 6/2021 und IDSG 19/2021. In beiden geht es in der Sache zunächst um Konflikte im Bereich des Beschäftigtendatenschutzes – wenn das Verhältnis ohnehin zerrüttet ist, werden die wenigen gut zugänglichen Rechtsbehelfe ergriffen, die es im kirchlichen Recht gibt.
Beide Entscheidungen haben aber auch Aspekte mit grundsätzlicher Bedeutung: Verhandelt werden offene und versperrte Rechtswege zum kirchlichen Datenschutzgericht und zu kirchlichem Recht vor staatlichen Gerichten.
Schadensersatz vor staatlichen Gerichten zu erstreiten
Eher unspektakulär ist der Beschluss IDSG 6/2021 vom 8. März 2022: Wieder einmal ein Arbeitsverhältnis, das aus dem Ruder läuft; der Antragsteller bringt gleich mehrere Verstöße vor, die letzten Endes für gesundheitliche Probleme mitverantwortlich sein sollen. Der Verantwortliche räumt die Datenpannen teils explizit ein, die Datenschutzaufsicht teils grundsätzlich auch, sieht aber keinen größeren Handlungsbedarf. Das Gericht geht davon aus, dass es dem Antragsteller letzten Endes um Schadenersatz geht – den können aber weder die Aufsicht noch die Datenschutzgerichte zusprechen.
Das IDSG legt nun dar, wie man an den Schadensersatz kommt: Nämlich – wie in der Literatur herrschende Meinung – durch eine Schadensersatzklage vor staatlichen Zivilgerichten (Rn. 26, zu ergänzen wäre: und Arbeitsgerichten). Daher bestehe in der Sache auch kein Rechtsschutzbedürfnis: »Der Antragsteller kann den von ihm letztlich erstrebten Schadenersatz wegen der Verletzung seiner kirchlichen Datenschutzrechte und damit seines Persönlichkeitsrechts geltend machen, ohne dass es eines Beschlusses des angerufenen kirchlichen Datenschutzgerichts bedarf.« (Rn. 25) Es brauche auch keine Feststellung eines Datenschutzverstoßes durch das kirchliche Gericht oder die Datenschutzaufsicht, um den Schaden vor dem staatlichen Gericht geltend zu machen, auch wenn das hilfreich sein kann. (Rn. 26)
Anhand welcher Normen darf das IDSG prüfen?
Auch der Beschluss IDSG 19/2021 vom 25. April 2022 bezieht sich auf Streit im Arbeitsverhältnis, unter anderem ging es um einen Vorfall in einem Mitarbeitendengespräch, über den es keine Aufzeichnungen gibt – auf den ersten Blick naheliegend kommt das Gericht zu dem Schluss, dass in dieser Sache Datenschutzrecht ohnehin nicht anwendbar ist. Auf den zweiten Blick stellt man allerdings fest, dass § 53 Abs. 3 KDG zur Datenverarbeitung im Beschäftigungsverhältnis den Anwendungsbereich hier auch auf nichtautomatisierte Verarbeitung ausdehnt. Auf diese Norm geht der Beschluss aber gar nicht ein. Ausführlich diskutiert diese Frage die KDSA Ost in ihrer Besprechung der Entscheidung.
Interessant ist, dass das Gericht selbst die Frage aufwirft, ob hier nicht auch can. 220 CIC, der kirchenrechtliche Schutz des guten Rufs, zu prüfen sei. Das wird verworfen: »Das Interdiözesane Datenschutzgericht hat keine Kompetenz, can. 220 CIC isoliert ohne eine einschlägige datenschutzrechtliche Einstiegs- oder Verweisungsnorm zu prüfen. Can. 220 CIC ist keine spezifische Datenschutznorm im Sinn von – neben dem KDG – „anderen Datenschutzvorschriften“ gemäß § 48 Abs. 1 KDG. Die kirchliche Datenschutzgerichtsbarkeit ist gemäß § 49 Abs. 2 KDG beschränkt auf die Prüfung von Datenschutzverletzungen, die nicht im Einklang „mit diesem Gesetz“ stehen und die die „aufgrund dieses Gesetzes“ zustehende Rechte verletzen.« (Rn. 31)
Leider wird nicht begründet, warum can. 220 CIC keine spezifische Datenschutznorm ist, was Normen zu solchen macht, wie datenschutzrechtliche Einstiegs- oder Verweisungsnormen auszusehen haben und wo dieses Erfordernis normiert wird. Naheliegend wäre § 2 Abs. 2 KDG, wo der Vorrang besonderer kirchlicher oder staatlicher Rechtsvorschriften, die sich auf personenbezogene Daten beziehen, normiert wird. Dort gibt es aber keine Qualifizierung, was eine »spezifische Datenschutznorm« ist, und die Einstiegs- und Verweisungsnorm ist denkbar umfassend und könnte durchaus auch can. 220 CIC umfassen. Einen expliziten Verweis auf § 2 Abs. 2 KDG wie im Seelsorge-PatDSG braucht es eher nicht – denn bei staatlichen Gesetzen wie dem TTDSG gibt es so etwas bestenfalls als Verweis auf die Zuständigkeit der jeweiligen staatlichen Behörden.
(Folgt man der Argumentation des IDSG, gäbe es trotzdem Rechtswege, auch ohne eine explizite Verwaltungsgerichtsbarkeit: Zuständig wäre das Diözesangericht, das im Streitverfahren (Buch VII Teil 2 CIC) angerufen werden kann. Da can. 220 CIC durch eine kirchliche Strafrechtsnorm (can. 1390 § 2 CIC) geschützt wird, könnten Verstöße theoretisch auch im Strafprozess (Buch VII Teil 4 CIC) geahndet werden – dazu müsste aber der Ordinarius tätig werden.)
Durch die Argumentation wird ein bislang kaum beachteter Unterschied in der Konstruktion von § 48 KDG (Beschwerde bei der Datenschutzaufsicht) und § 49 KDG (Gerichtlicher Rechtsbehelf) deutlich: Während die Aufsicht für alle Verstöße gegen das KDG oder andere Datenschutzvorschriften zuständig ist (§ 48 Abs. 1 KDG), kann die Datenschutzgerichtsbarkeit nur aufgrund eines Verstoßes gegen das KDG direkt angerufen werden (§ 49 Abs. 2 KDG). Ob die im Beschluss vertretene Position schlüssig ist, dass damit die Datenschutzgerichtsbarkeit beschränkt sei auf die Prüfung von Datenschutzverletzungen des KDG, kann man bezweifeln: Schließlich gehört gemäß Abs. 1 der Norm die Überprüfung der Entscheidungen von Datenschutzaufsichten zu den Aufgaben – und die können auch bei Verstößen gegen »andere Datenschutzvorschriften« tätig werden. Fragen könnte man auch, ob der Blick ins KDG zur Bestimmung der gerichtlichen Kompetenz allein hier zielführend ist; die KDSGO legt die sachliche Zuständigkeit der Datenschutzgerichtsbarkeit in § 2 Abs. 1 auch »für gerichtliche Rechtsbehelfe der betroffenen Person gegen den Verantwortlichen oder den kirchlichen Auftragsverarbeiter« fest – der Zugang wäre also eröffnet, sobald gegen einen im datenschutzrechtlichen Sinne Verantwortlichen Rechtsbehelfe gesucht werden, beispielsweise aufgrund von Fällen im Bereich des TTDSG oder des Seelsorge-PatDSG, wohl aber nicht im vorliegenden Fall eines mündlichen, nicht aufgezeichneten Gesprächs, mangels datenschutzrechtlicher Verantwortlichkeit für das Gespräch.
Fazit
Die kirchliche Datenschutzgerichtsbarkeit ist im Gesamt des Rechts so neu wie besonders. Sie ist vielfältig verknüpft mit staatlichem und kirchlichem Recht, aber zu den Verknüpfungen und ihren Folgen gibt es bislang kaum Literatur – das eröffnet dem kirchlichen Datenschutzgericht viele Spielräume, Präzedenzen zu schaffen. Der nun veröffentlichte Beschluss zeugt von einer gewissen Zurückhaltung: Das Gericht versucht erst gar nicht, seine Kompetenzen extensiv auszulegen, auch wenn das durchaus vertretbar wäre. Da entsprechende Fragen also wohl nicht streitig geklärt werden, wäre es umso wünschenswerter, wenn die Problemstellungen mehr durch die (kirchen-)juristische Forschung beleuchtet würde.
Ich bin augenblicklich irritiert wegen der Position des Gerichts zur Nichtanwendbarkeit des KDG im Fall der mündlichen Weitergabe von personenbezogenen Daten. Nach § 2 Abs. 1 KDG erstreckt sich der Anwendungsbereich auf Daten, „die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“. In welchem Szenario sollte die mündlich weitergegebene Telefonnummer nicht anschließend „in einem Dateisystem gespeichert“ werden, spätestens mit Nutzung der Telefonnummer? Die Entscheidung eröffnet m.E. Spielräume für eine Aushöhlung des Datengeheimnis nach § 5 KDG.
Asking for a friend, der sich brandaktuell mit einer sehr ähnlich gelagerten Datenpannenmeldung auseinandersetzen muss…