Einige Zeit war Ruhe bei den kirchlichen Datenschutzgerichten. Jetzt wurden gleich vier Entscheidungen des IDSG auf einen Schlag veröffentlicht. Weiterhin gibt es klare Tendenzen, was eigentlich vor Gericht kommt: Streitträchtig sind Beschäftigungsverhältnisse, Sorgerechtsfragen und der Gesundheitsbereich – und Kombinationen davon.

Nachdem nun über 30 Entscheidungen bekannt sind, sind die großen Linien des Gerichts klar, Fragen nach Zuständigkeit, Befugnissen und wem eigentlich Datenschutzverstöße zuzuordnen sind, wird mit großer Konstanz entschieden. Zugleich fehlt es immer noch an Entscheidungen, die die großen Rätsel des kirchlichen Datenschutzes – wann braucht eine Einwilligung keine Schriftform, was ist kirchliches Interesse, wie funktioniert gesetzesübergreifende gemeinsame Verantwortlichkeit – klären. Immerhin: Eine in KDG wie DSGVO wenig genutzte Rechtsgrundlage spielt in dieser Runde eine Rolle.

IDSG 16/2020 – für Wertungen ist der Datenschutz nicht zuständig

In der Entscheidung IDSG 16/2020 (Beschluss vom 31. Juli 2023) geht es um einen Sorgerechtsstreit. In der Kindergartenakte war eingetragen, dass der Vater das Aufenthalts- und Bestimmungsrecht für das Kind hat. Eine entsprechende Anordnung hatte das Amtsgericht getroffen. In der Akte war außerdem ergänzt: »Aufgrund dessen kann er bestimmen, wer XX bringt und holt.« Die Antragstellerin, die Mutter, wollte feststellen lassen, dass dieser Schluss eine falsche Tatsachenbehauptung und damit datenschutzrechtlich richtigzustellen sei. Das IDSG sah darin gar keine Tatsachenangabe: »Der Satz ist nicht dem empirischen oder logischen Beweis zugänglich, was Voraussetzung für die datenschutzrechtliche Qualifizierung als richtig/unrichtig wäre.« Der Laie wundert sich, weil man doch denken könnte, dass die Schlussfolgerung zutreffend oder unzutreffend sein kann.

Für den Laien und unter Würdigung der Laienfolgerung erläutert das Gericht aber weiter: Mit dem Satz habe die Kindergartenleitung, »ohne das Umgangsrecht der Antragstellerin in irgendeiner Weise in Frage zu stellen, durch Auslegung eines juristischen Begriffs im Wege sogenannter Parallelwertung in der Laiensphäre die Frage beantwortet, welche Bedeutung die familiengerichtliche Anordnung zum Aufenthaltsbestimmungsrecht für die Befugnis der Sorgeberechtigten hinsichtlich des Abholens ihres Kindes vom Kindergarten hat«. Wenn diese Auslegung bestritten wird, gelte es, beim Familiengericht eine juristische Klärung herbeizuführen. Datenschutzrechtlich ist dieser Frage also nicht beizukommen.

IDSG 22/2020 – das IDSG ist für Ordensdatenschutz zuständig

Erstmals veröffentlicht das IDSG eine Entscheidung über einen Fall im Geltungsbereich der KDR-OG. IDSG 22/2020 (Beschluss vom 21. Juni 2023 ist daher weniger aufgrund des Sachverhalts interessant – ein verunfallter Betroffener will über Auskunftsersuchen die Unterlagen der beteiligten Rettungsdienste zu seinem Unfall erhalten, der kirchliche Rettungsdienst konnte nur eine Negativauskunft wegen nicht vorhandenen Daten erteilen, das fand der Verunfallte unzureichend –, sondern aufgrund der Frage der Zuständigkeit des Interdiözesanen Datenschutzgerichts für Ordensdatenschutzsachen.

Das Gericht verweist hier ganz knapp auf § 49 Abs. 3 KDR-OG, wo für gerichtliche Rechtsbehelfe »das kirchliche Gericht in Datenschutzangelegenheiten« benannt wird. Für das IDSG ist damit hinreichend klar, dass es gemeint ist: »Mit dieser Vorschrift haben die Ordensgemeinschaften päpstlichen Rechts die Zuständigkeit der kirchlichen Datenschutzgerichtsbarkeit in deren Datenschutzsachen anerkannt.« Dass sich diese Zuständigkeit nicht nur aus der Zuweisung ergibt, sondern auch über den üblichen kirchenrechtlichen Gerichtsgang, wird zwar nicht ausdrücklich erwähnt – in den Belegen wird aber neben Rhodes KDSGO-Kommentar mein Artikel zu dieser Frage, der die kirchenrechtliche Argumentation ausführlich darlegt; dem Gericht ist sie also zumindest bekannt.

IDSG 24/2020 – Personalakten sind kein ewiges Archiv

Wieder einmal geht es um einen Streit aus dem Beschäftigungsverhältnis: Bei einem Personalgespräch im Jahr 2018 las eine Schulrätin ein Empfehlungsschreiben von 1986 aus der Personalakte eines Sportlehrers vor im Beisein einer Vertrauensperson und des Schulleiters. Der Sportlehrer sieht im Vorlesen aus der Personalakte eine Datenschutzverletzung, insbesondere durch die Offenlegung gegenüber der Vertrauensperson. In der Entscheidung IDSG 24/2020 (Beschluss vom 31. Mai 2023 gibt das Gericht dem Sportlehrer recht: »Die Verwendung der vor über 30 Jahren mit der Bewerbung erfassten und nur für deren Prüfung und damit die Begründung des Beschäftigungsverhältnisses erheblichen Daten war für dessen Durchführung nicht, jedenfalls seit langer Zeit nicht mehr erforderlich«, das Vorlesen im Personalgespräch fand ohne Rechtsgrundlage und entgegen der Zweckbindung des Dokuments aus der Bewerbung statt.

Wichtig ist, dass das Gericht der Beklagten nicht folgt in der Frage der unterstellten potentiellen Einwilligung. Die hatte argumentiert, dass der Sportlehrer, hätte man ihn gefragt, ob man ein lobendes Schreiben zitieren dürfe, »mit an Sicherheit grenzender Wahrscheinlichkeit« zugestimmt hätte. Es sei nicht offensichtlich, dass in die Zwecänderung eingewilligt worden wäre, was nach § 6 Abs. 2 lit. c) KDG eine Möglichkeit wäre: »Diese Vorschrift erlaubte es hier schon deshalb nicht, von der Einholung der Einwilligung abzusehen, weil der Antragsteller beim Personalgespräch anwesend war und ohne weiteres unter Mitteilung der Absicht, das Empfehlungsschreiben zu verlesen, und des damit verfolgten Zwecks hätte gefragt werden können, ob er seine Einwilligung hierzu erkläre.«

(Relevant, wenn auch nicht überraschend im Zuge der Diskussion um die Zuordnung von Datenschutzverletzungen zu juristischen Personen: Das IDSG bleibt seiner Linie treu. »Werden personenbezogene Daten im Bereich einer juristischen Person verarbeitet, ist grundsätzlich die juristische Person als Rechtsträger der betroffenen Einrichtung oder des betroffenen Unternehmens Verantwortlicher und nicht die jeweils handelnde natürliche Person.«)

IDSG 08/2020 – lebenswichtiges Interesse

Der komplizierteste der vier veröffentlichten Fälle ist IDSG 08/2020 (Beschluss vom 28. Februar 2023). Es geht um einen Streit im Gesundheitswesen. Ein Kind wird palliativ versorgt, die Beschäftigten dort haben Zweifel an einer ALS-Diagnose und forschen nach und sollen ohne Einwilligung oder Schweigepflichtentbindung medizinische Informationen über den Patienten an andere Ärzte weitergegeben haben, außerdem sollen sie falsche Angaben über die Eltern verbreitet haben. Schließlich sei die Patientenakte im Zuge eines Auskunftsersuchens nicht fristgemäß und vollständig übermittelt worden.

Besonders interessant ist die Frage, ob die selbständige Recherche in der Einrichtung aufgrund der Zweifel an der Diagnose zulässig war. Diese Frage war auf Grundlage der KDO zu entscheiden. Wie das KDG kennt auch die KDO die Rechtsgrundlage des lebenswichtigen Interesses. Diese Rechtsgrundlage ist notorisch unklar. Umso wichtiger, dass nun eine Entscheidung dazu vorliegt: »Die Datenrecherche war zum Schutz lebenswichtiger Interessen des Antragstellers zu 3. erforderlich. Der Palliativdienst des Antragsgegners gewann im Zuge der auf der Grundlage der Angaben der Antragsteller zu 1. und 2. aufgenommenen Palliativversorgung des Antragstellers zu 3., die sich an der mitgeteilten Diagnose „ALS“ orientierte, gewichtige medizinische Anhaltspunkte dafür, dass dieser in akute Lebensgefahr geriet. Zur Abwendung der Gefahr gebot dieser Erkenntnisstand aus der hier maßgeblichen ex-ante-Sicht, unverzüglich zunächst die medizinische Diagnose abzuklären.« Die minderjährige Betroffene Person konnte aufgrund ihres Alters nicht einwilligen, die Einwilligung der Sorgeberechtigen konnte nicht eingeholt werden, eine Entscheidung des Familiengerichts hätte zu lange gedauert. In der KDO ist ausdrücklich geregelt, dass lebenswichtige Interessen dann greifen, wenn eine Einwilligung nicht möglich ist; auch wenn das im KDG (und der DSGVO) leider nicht steht, dürfte es zweckmäßig sein, es auch dort so auszulegen (wie es auch die herrschende Meinung in der Kommentarliteratur ist).

Fazit

Alle vier Entscheidungen sind gut nachvollziehbar, Überraschungen bleiben aus. Gut ist, dass nun den zur Verfügung gestellten Entscheidungsgründen auch im PDF jeweils ein Leitsatz vorangestellt ist. Es hilft, wenn alles in einem Dokument zu finden ist. Sehr erfreulich ist, dass zwei grundsätzliche Fragen nun auch anhand von Entscheidungen bewertet werden können: Eindeutig geklärt ist, dass die kirchlichen Datenschutzgerichte für Fälle mit KDR-OG-Bezug zuständig sind. Beim lebenswichtigen Interesse gibt es nun immerhin für einen recht eindeutigen Sachverhalt einen Präzedenzfall. Angesichts der drastischen Gefahr im Verzug ist hier ein lebenswichtiges Interesse gut zu begründen – noch interessanter wäre es, diese Rechtsgrundlage mit kleinerer Münze zu überprüfen. Ob solche Fälle anhängig sind, ist nicht bekannt.