Der Trierer Bischof Stephan Ackermann hat im März in einer Videokonferenz vor Bistumsmitarbeitenden das Pseudonym der als Karin Weißenfels bekannten Missbrauchsbetroffenen aufgelöst – und zwar laut Teilnehmenden des Treffens absichtlich und mit Ansage. Schon im April wurde von verschiedenen Medien berichtet, dass der Bischof eine Unterlassungserklärung unterzeichnet habe. Das Bistum teilte mit, dass Ackermann Weißenfels um Entschuldigung gebeten habe.
Durch die Berichterstattung der Süddeutschen Zeitung wurde vor knapp einem Monat bekannt, dass auch die zuständige kirchliche Datenschutzaufsicht mit dem Fall befasst ist. Worum es dabei genau geht, haben Karin Weißenfels und ihr Anwalt Oliver Stegmann auf Anfrage genauer erläutert. Das Bistum Trier wollte sich auf Anfrage nicht zur hier geschilderten Darstellung äußern. Die zuständige Datenschutzaufsicht, das Katholische Datenschutzzentrum Frankfurt am Main, teilte auf Anfrage mit, dass man sich grundsätzlich nicht zu laufenden Verfahren äußere, betonte aber, dass jedes anhängige Verfahren ohne Ansehen der Person nach den rechtlichen Vorgaben bearbeitet werde.
Beschwerde gegen Bischof Ackermann wegen Namensnennung
Wenn jetzt schon offen über Namen gesprochen wird, dann nenne er jetzt auch den Namen der beteiligten Person, soll Bischof Ackermann im Hearing mit der Bistumsleitung zu Prävention, Intervention und Aufarbeitung am 18. März 2022 gesagt haben. Zuvor sei nämlich der echte Name eines Beschuldigten im Hearing bekannt geworden, allerdings ohne Bezug zu Weißenfels. Auf die Nennung des echten Namens von Weißenfels bezieht sich die erste Beschwerde, die Anwalt Stegmann beim KDSZ Frankfurt am 14. April 2022 eingereicht hat. Als Angestellte des Bistums sieht die Gemeindereferentin sich in ihrem Beschäftigtendatenschutz durch ihren Dienstgeber verletzt. Für Weißenfels hat diese Beschwerde über ihren eigenen Fall hinaus Bedeutung: »Wenn in so einer Situation Klarnamen von Betroffenen gegen deren Willen genannt werden, dann kann sich niemand sicher sein, dass dem Schutz von Betroffenen Rechnung getragen wird«, erläutert sie.
Die Datenschutzaufsicht kann außer der Feststellung eines Datenschutzverstoßes kaum etwas machen. Gegen das Bistum, dessen oberster Vertreter der Bischof ist, kann gemäß kirchlichem Datenschutzrecht kein Bußgeld verhängt werden – Bußgelder schließt § 51 Abs. 6 KDG für öffentlich-rechtlich verfasste kirchliche Stellen grundsätzlich aus. Die Feststellung eines Datenschutzverstoßes könnte aber als Grundlage genutzt werden, um vor einem staatlichen Gericht Schadensersatz einzuklagen. Doch um Geld geht es Weißenfels nicht: »Es geht um die Anerkennung, dass das Verhalten des Bischofs einen schweren Datenschutzverstoß darstellt«, betont sie.
So offensichtlich der Verstoß scheint: Damit die kirchliche Datenschutzaufsicht tätig werden kann, muss zunächst der Anwendungsbereich des Datenschutzrechts eröffnet sein. Das ist bei in Gesprächssituationen mündlich getätigten Aussagen grundsätzlich nicht der Fall, wie auch das Interdiözesane Datenschutzgericht schon festgestellt hat. Hier dürfte aber Datenschutzrecht einschlägig sein wegen des Mediums: Eine Videokonferenzsoftware ist ein »IT-System« gemäß § 4 Abs. 1 KDG-DVO, bei einer digitalen Konferenz dürfte eine »ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten« vorliegen.
Für das KDSZ Frankfurt scheint der Fall anspruchsvoller zu sein: Außer einer Eingangsbestätigung haben Stegmann und seine Mandantin noch nichts in der Sache erfahren. Der Rechtsanwalt sieht das kritisch: »Das bisherige Verhalten des KDSZ Frankfurt lässt nichts Gutes ahnen. Die Reaktionszeit seit der Beschwerde bei so einem einfach gelagerten Sachverhalt ist viel zu lang«, findet er. Das KDG regelt lediglich, dass Beschwerdeführende »innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung« zu informieren sind (§ 44 Abs. 2 lit. e) KDG) und dass eine völlige Untätigkeit der Aufsicht auf eine Beschwerde hin nach drei Monaten gerichtlich angegangen werden kann (§ 49 Abs. 1 KDG) – die Eingangsbestätigung genügt allerdings schon, um diese Frist zu erfüllen. Stegmann jedenfalls sieht die Dauer des Verfahrens jetzt, ein halbes Jahr nach Eingang der Beschwerde, nicht mehr als angemessen an. »Das lässt den Eindruck entstehen, dass die erforderliche Unabhängigkeit der Aufsicht möglicherweise nicht gegeben ist«, befürchtet er.
Beschwerde gegen das Bistum nach Auskunftsersuchen
Auch in einer zweiten Sache hat Stegmann für seine Mandantin Beschwerde eingelegt. Anfang April hatte Karin Weißenfels vom Bistum Auskunft zu den über sie durch das Bistum Trier verarbeiteten personenbezogenen Daten beantragt, »insbesondere, aber nicht ausschließlich, über den Inhalt ihrer Personalakte«, wie es im Auskunftsbegehren heißt. Der bisherige Umgang mit ihrer Person und den damit zwangsläufig verbundenen Daten habe Weißenfels nachhaltig verstört. »Aus diesem Grund möchte sie sich ein Bild machen, welche Daten, insbesondere aber nicht ausschließlich mit Bezügen zu ihrer Leidensgeschichte, über sie verarbeitet werden und an wen welche Daten weitergegeben wurden«, so der Antrag weiter, dem Anfang Juli stattgegeben wurde.
Über Zustand und Umfang der zur Verfügung gestellten Daten zeigten sich Weißenfels und ihr Anwalt aber erstaunt: »Das Bistum hat ein Sammelsurium an Unterlagen zur Verfügung gestellt. Die meisten Ordner waren nicht oder falsch beschriftet. Es war nicht klar, von welcher Stelle welche Unterlagen kommen«, berichtet Stegmann. Die Unterlagen ließen gravierende Verstöße gegen datenschutzrechtliche Grundsätze wie Datenrichtigkeit und Datensicherheit erkennen. Viele Seiten seien auch unkenntlich gemacht worden: »Auf mehreren Seiten ist nur der Klarname meiner Mandantin zu sehen, alles andere ist geschwärzt oder abgedeckt«, so der Anwalt. Er zieht aus den erhaltenen Unterlagen den Schluss, dass es an einer rechtskonformen Datenhaltung mangele: »Die erteilte Auskunft deutet darauf hin, dass besonders sensible Daten intimster Natur innerhalb des Bistums über verschiedene Stellen verteilt sind, ohne dass ersichtlich ist, auf welcher Rechtsgrundlage die Daten weitergegeben wurden.« Anfang September reichte Stegmann daher eine weitere Beschwerde bei der Datenschutzaufsicht ein.
Für Weißenfels war die Auskunft des Bistums belastend. »Es war ein Kraftakt, das in eine strukturierte Form zu bekommen«, erläutert sie: »Viele Tage und Nächte war ich mit der Auswertung der Unterlagen befasst.« Ihre Gesundheitsdaten waren den Unterlagen zufolge über viele Stellen in der Bistumsverwaltung – das Generalvikariat, das Offizialat und den Bischofshof – verteilt, die Personalakte sei nicht vollständig gewesen. Die Gemeindereferentin vermutet, dass sich Personalverantwortliche daher gar keinen richtigen Eindruck über ihre Notlage machen konnten und können. »Fürsorge für das Personal ist so nicht möglich, und ich fürchte, dass der Zustand meiner Unterlagen auch ein Indiz dafür ist, wie mit den personenbezogenen Daten anderer Mitarbeitender umgegangen wird«, fasst sie ihren Eindruck zusammen.
Fazit
Noch ist nicht bekannt, wie die Datenschutzaufsicht mit den beiden Beschwerden umgehen wird, und bislang ist auch nur die Darstellung einer Seite des Konflikts bekannt, sowohl Bistum wie Datenschutzaufsicht haben sich nicht zur Sache geäußert. Diese Darstellung zeichnet aber ein bestürzendes Bild. Die Befürchtungen von Rechtsanwalt Stegmann über eine mangelnde Unabhängigkeit der Aufsicht sind aber nicht die einzig mögliche Interpretation zur scheinbaren Untätigkeit: Liest man die Tätigkeitsberichte der Frankfurter wie der anderen Diözesandatenschutzbeauftragten, ist der Großteil der Arbeit unspektakuläre Datenschutz-Compliance und die Aufarbeitung von Datenpannen. Dazu kommt die immer wieder beklagte geringe Ressourcenausstattung der Datenschutzaufsichten. Lange Verfahrensdauern lassen sich auch damit erklären. Heikle Fälle wie der vorliegende, sowohl was die Schwere der Vorwürfe wie die Person des beschuldigten Verantwortlichen angeht, gibt es anscheinend kaum. Bischöfe als Beschuldigte sind im System des kirchlichen Rechts stets eine Herausforderung und bringen Institutionen an ihre tatsächlichen oder gefühlten Grenzen.
Immer wieder wird betont, dass Datenschutz Grundrechtsschutz und nicht nur Bürokratie ist. Dieser Fall macht das besonders deutlich. Für die Datenschutzaufsicht ist der Fall daher eine Bewährungsprobe, an der sich ihre tatsächliche Unabhängigkeit und ihre tatsächliche Fähigkeit, Grundrechte von Betroffenen zu schützen, zeigen wird. Auch dann, falls die Beschwerden abgelehnt werden sollten – glaubwürdig wäre das nur, wenn die Entscheidung auch transparent nachvollziehbar wäre.
19. Oktober 2022, 15.20 Uhr: Ergänzt um Stellungnahme der Datenschutzaufsicht.