Die Verbreitung des Visitationszwischenberichts der Katholischen Integrierten Gemeinde durch die Visitator*innen an Dritte war rechtswidrig. Das hat das Datenschutzgericht der Deutschen Bischofskonferenz endgültig festgestellt.
Die nun veröffentlichte Entscheidung (DSG-DBK 02/2022 vom 8. Februar 2023) ist in der Sache keine Überraschung. Nach der mündlichen Verhandlung – der ersten in der Geschichte der katholischen Datenschutzgerichtsbarkeit überhaupt – war schon abzusehen, dass das Erzbistum München den Prozess verlieren würde. Das DSG-DBK nutzte den Fall aber, um einige grundsätzliche Fragen zur doch sehr knappen Kirchlichen Datenschutzgerichtsordnung zu klären.
In der Sache
Näheres zum Sachverhalt gab es bereits in der Besprechung der Entscheidung der ersten Instanz zu lesen.
Die Verteidigungsstrategie des Erzbistums München und Freising war zu großen Teilen das Bestreiten, dass der Visitationszwischenbericht überhaupt personenbezogene Daten enthält. In der ersten Instanz hatte das IDSG dagegen angenommen, dass die Information über eine Vorstandstätigkeit in einem kanonischen öffentlichen Verein unter die besonderen Kategorien personenbezogener Daten fällt.
Für die Entscheidung war vor allem tragend, dass der Visitationszwischenbericht »über die bloße Namens- und Funktionsnennung hinaus weitere personenbezogene Angaben über die Antragstellerin« enthält, und zwar durch die Beschreibung des Verhaltens der Klägerin im Bericht. Eine gewisse Komik besteht darin, dass die Entscheidung zwar sorgfältig anonymisiert ist, es aber sehr offensichtlich ist, dass es sich um die Visitation der Katholischen Integrierten Gemeinde handelt, und an einigen Stellen durch die Entscheidung zumindest summarisch Ergebnisse des Visitationszwischenberichts öffentlich werden (Rnn. 50f., 78).
Sobald das Vorliegen personenbezogener Daten festgestellt ist, folgt die umfassende Bestätigung der ersten Instanz sehr naheliegend: Die Weitergabe des kompletten Zwischenberichts durch die Visitator*innen an im Rahmen der Visitation befragte Dritte (über die der Bericht dann mittelbar an die Presse gekommen war), ist für das Gericht völlig offensichtlich eine unerlaubte Weitergabe, für die es keine Rechtfertigung gab, insbesondere auch nicht den der Qualitätssicherung durch die Einholung von Rückmeldungen.
Für das Gericht war außerdem völlig klar, dass sich die Verantwortlichkeit allein beim Münchner Kardinal Reinhard Marx befindet, der die Visitation beauftragt hat. Einen Mitarbeitendenexzess der Visitator*innen schließt das DSG-DBK aus, hätten diese doch im Rahmen des ihnen erteilten Auftrags gehandelt: »Ein Mitarbeiterexzess entsteht nicht dadurch, dass Mitarbeiter eigene Entscheidungsspielräume haben oder ihnen im Rahmen ihres Handelns ein Rechtsverstoß unterläuft, sondern kann nur dadurch entstehen, dass sie einen ihnen vorgegebenen Entscheidungsspielraum bewusst für eigene Zwecke überschreiten und damit den Visitationsauftrag eigenmächtig verlassen.« (Rn. 57) Explizit wird auch festgestellt, dass das kirchliche Gericht für Mitarbeiterexzesse gar nicht zuständig sein kann: »Denn dann wäre ihr Handeln keine Datenverarbeitung durch eine kirchliche Stelle, sondern von ihnen als Privatpersonen zu verantworten.« (Rn. 59) Auf die Frage, ob die Visitation überhaupt kirchenrechtlich korrekt zustande gekommen ist, lässt sich das Gericht nicht ein. In der ersten Instanz wurden kirchenrechtliche Fragen noch intensiv abgewogen.
Das Ergebnis: »Der Beschluss des Interdiözesanen Datenschutzgerichts erweist sich im Ergebnis und in allen tragenden Aspekten der Beschlussbegründung als zutreffend.«
Grundsätzliche Fragen
Kompetenzen der Gerichte gemäß KDSGO
Der für die Rechtsfortbildung besonders relevante Teil der Entscheidung befasst sich mit der Frage nach den Kompetenzen der kirchlichen Datenschutzgerichte angesichts der sehr knapp gehaltenen Gerichtsordnung. Durchaus spitz wird Kritik an der KDSGO geäußert: »Die KDSGO ist für eine Prozessordnung ausgesprochen kurz und regelt zahlreiche Fragen nicht ausdrücklich, ohne anzuordnen, auf welches Regelungswerk subsidiär bei fehlender Normierung in der KDSGO zurückzugreifen ist.« (Rn. 60) Relevant ist das bei der Frage, ob die Gerichte rechtswidrige Verfügungen der kirchlichen Datenschutzaufsichten aufheben können. Die gefestigte Rechtsprechung des IDSG vertrete diese Position, in der Literatur spricht sich Rhode in Sydow dagegen aus (Nachweise in Rn. 59).
Dass die KDSGO nichts zu Aufhebungsbegehren regelt und keine explizite Tenorierungsmöglichkeit in Bezug auf eine Feststellung der Rechtswidrigkeit einer Entscheidung der Datenschutzaufsicht vorsieht, ist für das DSG-DBK kein Grund, das für unzulässig zu erachten. Nach Ansicht des Gerichts ist die Überprüfung von Entscheidungen der Datenschutzaufsichten Aufgabe der Gerichte, und ohne eine derartige Tenorierungsmöglichkeit könnten sie diese Aufgabe nicht ausüben.
Auch für eine Aufhebung der Entscheidungen der ersten Instanz gibt es keine explizite Befugnis, obwohl das doch denklogisch gerade zur Aufgabe einer zweiten Instanz gehört. Wenn aber trotz fehlender Normierung die zweite die Entscheidung der ersten Instanz aufheben kann, müsste das erst recht für die Entscheidung einer Aufsicht gelten: »Sonst müssten die Befugnisse des Datenschutzgerichts der Deutschen Bischofskonferenz gegenüber einem kirchlichen Gericht weitergehend sein als gegenüber einer kirchlichen Behörde – eine Wertung, die kaum verständlich wäre«, folgert das Gericht (Rn. 67) und leitet dieses Ergebnis auch noch aus der Präambel der KDSGO her: »Die KDSGO soll ausweislich ihrer Präambel einen wirksamen gerichtlichen Rechtsschutz im Einklang mit der europäischen Datenschutz-Grundverordnung schaffen. Die von der KDSGO offengelassenen Fragen sind demnach einerseits auf das Ziel einer Wirksamkeit des gerichtlichen Rechtsschutzes auszurichten, andererseits auf einen Einklang mit dem Rechtsschutzstandard, den die DSGVO für erforderlich erachtet.« (Rn. 68) Diese Argumentation wird im folgenden noch sehr überzeugend und detailreich begründet. (Die Handschrift des Vorsitzenden Richters, des Europarechtlers Gernot Sydow, wird durch einen elegant eingestreuten Verweis auf das französische Verwaltungsprozessrecht deutlich; generell liest sich dieser Abschnitt wie ein best-practice-Beispiel für juristische Methodenlehre, nicht nur bei dem oben erwähnten argumentum a fortiori zur Aufhebung.)
Das Gericht widerspricht der Kommentierung von Rhode noch in einem anderen Aspekt: Der Kirchenrechtler vertritt die Position, dass die Aufhebung eines Bescheids der Datenschutzaufsichten im Rahmen eines hierarchischen Rekurses möglich sei, also einer Beschwerde bei der übergeordneten kirchlichen Behörde. (Rn. 71) Dieses dem üblichen kanonistischen Rechtsweg entsprechende Argument teilt das Gericht nicht: »Denn die Datenschutzaufsichten sind auch im kirchlichen Recht nach § 43 Abs. 1 KDG organisatorisch und sachlich unabhängig und gerade nicht in eine kirchliche Weisungshierarchie eingebunden. Mit dem Instrument des Rekurses wäre also eine Aufhebungsverpflichtung nicht erzwingbar, so dass es an wirksamen Rechtsdurchsetzungsinstrumenten für eine Selbstkorrektur der Datenschutzaufsichten fehlt.« (Rn. 72)
Die ausführliche Erörterung, was in der KDSGO steht und was nicht und was das bedeutet, hatte auch für die Formulierung der Kostenentscheidung Auswirkungen: In der Regel lautet die beim DSG-DBK knapp »Die Nebenentscheidungen ergeben sich aus § 16 KDSGO«. Hier sah das Gericht es nun als nötig an, zu betonen, dass § 16 KDSGO auch wirklich abschließend und ohne Ergänzungsmöglichkeit aus anderem Recht regelt, dass keine Kosten erstattet werden: »Angesichts der ausdrücklichen eigenständigen Normierung in § 16 KDSGO scheidet eine Anwendung von Kostentragungsgrundsätzen des staatlichen Rechts für diese Frage aus.«
Religiöse Überzeugungen als besondere Kategorien
Die Frage nach der Information über die Vorstandstätigkeit einer konkreten Person interessierte das DSG-DBK nicht im Detail. Diese Frage könne offenbleiben, wobei das Gericht auch Argumente nennt, warum das nicht notwendig der Fall sein muss: »sei es weil der Antragstellerin als Vereinsvorsitzenden Mitteilungs- und Publizierungspflichten oblegen haben könnten und sie sich angesichts von deren Nichterfüllung nicht auf die fehlende öffentliche Kenntnis ihrer Funktion berufen kann« (Rn. 49).
Besondere Kategorien liegen allerdings vor bei Angaben im Visitationszwischenbericht über »Einzelfragen der Wahrnehmung ihrer Funktion als Vorsitzende des Leitungsteams« (Rn. 80). Hier macht das Gericht einige sehr grundsätzliche Ansagen, die bei der Auslegung der besonderen Kategorie der religiösen Überzeugung sehr hilfreich sind. Wie schon bei der Verhandlung zu erwarten war, konnte die Argumentation nicht verfangen, dass die Klägerin ohnehin keine andere Auffassung als die katholische Kirche vertrete, so dass nur die im KDG nicht besonders geschützte Information über eine Kirchenzugehörigkeit vorliege. Mit solchen Überlegungen räumt das Gericht deutlich auf: »Der Antragsgegner zu 4) argumentiert in dieser Frage begrifflich und theologisch mit Überlegungen dazu, ob es verschiedene religiöse Überzeugungen innerhalb der katholischen Kirche oder nur eine einzige katholische religiöse Überzeugung geben könne. Dieser Argumentationsansatz über die Glaubenslehre der katholischen Kirche wird der Genese, der Funktion und der Systematik des § 4 Nr. 2 KDG nicht gerecht, der keine theologischen Aussagen über die Glaubenslehre zu Grunde legt, sondern in seinem Satz 1 aus der DSGVO stammt und insofern ein datenschutzrechtliches Begriffsverständnis religiöser Überzeugung zu Grunde legt.« (Rnn. 81f.) Im Ergebnis: Wenn »die Zugehörigkeit zur katholischen Kirche stets ein- und dieselbe religiöse Überzeugung implizieren würde, jedenfalls solange ein Kirchenmitglied nicht offen dissentiert, wäre § 4 Nr. 2 S. 1 KDG für Kirchenmitglieder praktisch seines Anwendungsbereichs beraubt.«
Schutzbereich der religiösen Überzeugung aus § 4 Nr. 2 S. 1 KDG sei nicht die Glaubensüberzeugung der katholischen Kirche, sondern die einzelne Person, die vor Diskriminierungen bewahrt werden soll. »Überzeugung« sei »nicht als theologischer Begriff aus das zu beziehen, was ein Gläubiger für wahr hält und was […] mit dem übereinstimmen mag, was Glaubenslehre der katholischen Kirche ist.« (Rn. 87) Das Fazit ist, dass die Mitgliedschaft in einer kirchlichen Vereinigung eine datenschutzrechtlich besonders geschützte Angabe ist – eine Position, die enorme Konsequenzen haben kann, da solche Informationen im kirchlichen Kontext zuhauf vorliegen.
Fazit
Der Ausgang des Prozesses war schon bei der mündlichen Verhandlung absehbar. Im Vergleich zur ersten Instanz hat das DSG-DBK eine noch einmal grundsätzlicher begründete Entscheidung vorgelegt, die über die Sache hinaus einige relevante Rechtsfragen klärt (sowohl zu den Befugnissen der Gerichte selbst wie zur für die Bußgeldverhängung wichtige Zurechenbarkeit an den Verantwortlichen) und für eine Evaluierung der KDSGO wichtige Impulse gibt.
Die kirchenrechtlichen Fragen zur Visitation waren im Ergebnis nicht erheblich für die Entscheidung. Dennoch täten kirchliche Gesetzgeber gut daran, mit Blick auf den Vorgang Regelungsbedarfe zu identifizieren: Der Ärger um an Zeugen weitergegebene Berichte hätte vermieden werden können, wenn es eine klare Visitationsordnung geben würde. Angesichts des verstärkten Fokus der jüngeren Vergangenheit auf geistlichen Missbrauch dürfte eine solche Verfahrensordnung auch tatsächlich zur Anwendung kommen. Auch dem Problem, dass nach Ansicht des Gerichts Vereinsorganstellungen unter die besonderen Kategorien fallen, ließe sich begegnen: Mit einem klaren kirchlichen Vereinsregistergesetz, das Rechtsgrundlagen für die Veröffentlichung regelt.
Alle Auslegung der KDSGO kann aber eins nicht heilen: Die Konsequenzlosigkeit von solchen Urteilen der kirchlichen Datenschutzgerichte. Der Datenschutzverstoß des Erzbischofs wurde festgestellt. Mehr kann das Gericht nicht tun. Sanktionen gibt es vom kirchlichen Datenschutzgericht nicht, nur das warme Gefühl, Recht bekommen zu haben. (Und die Möglichkeit, auf Grundlage der Entscheidung Schadensersatz bei einem staatlichen Gericht einzuklagen.)