IDSG klärt ökumenische gemeinsame Verantwortlichkeit

Schreiben Sie eine Antwort

Die gemeinsame Verantwortlichkeit von verantwortlichen Stellen mit unterschiedlichen Datenschutzgesetzen ist eine der großen ungeklärten Fragen des Datenschutzrechts: Gibt es die Möglichkeit einer freien Rechtswahl in der Vereinbarung über gemeinsame Verantwortlichkeit? Gibt es Kriterien, nach denen ein allein geltendes Gesetz ausgewählt wird? Gelten die beteiligten Gesetze parallel? Welche Aufsichts- und Justizregime greifen?

Aufeinandergelegte Hände
(Bildquelle: Matt Silveira auf Unsplash)

Das Interdiözesane Datenschutzgericht hat nun erstmals eine Entscheidung veröffentlicht, in der genau das Thema war, und zwar anhand einer von Caritas und Diakonie in gemeinsamer Verantwortlichkeit betriebenen Einrichtung (IDSG 06/2022 vom 17. April 2025). Die Entscheidung ist von hoher Praxisrelevanz für gemeinsame Verantwortlichkeiten.

Inhalte Verbergen
1 Der Fall
2 Gemeinsame Verantwortlichkeit
2.1 Vereinbarung über gemeinsame Verantwortlichkeit
2.2 Rechtsweg zum IDSG
2.3 Anwendung des KDG in einer ökumenischen gemeinsamen Verantwortlichkeit
2.4 Konsequenzen für ökumenische gemeinsame Verantwortlichkeiten
3 Weitere relevante Punkte
4 Fazit
5 Mehr zu gemeinsamer Verantwortlichkeit

Der Fall

Wieder einmal geht es um Konflikte im Kontext von Umgangsrechten. Eine von Diakonie und Caritas getragene Erziehungs- und Jugendberatungsstelle (EB) begleitet den Umgang eines Vaters mit seinem Kind, die Stelle wurde von der Polizei über eine Strafanzeige der Mutter gegen den Vater informiert. Daraufhin setzte die EB den Umgang zeitweise aus. Der Vater erhob Datenschutzbeschwerde gegen die EB wegen der Verwendung der erlangten Informationen, die EB sah durch die Beschwerde das Vertrauensverhältnis als zerstört an und sagte daher vereinbarte Umgangstermine ab. Die katholische Aufsicht wies die Beschwerde zurück und vertrat anscheinend die Position, nur für die bei der Caritas beschäftigten Mitarbeitenden zuständig zu sein.

Gemeinsame Verantwortlichkeit

Die grundlegende Frage des Falles ist die, ob das IDSG überhaupt zuständig ist unter den Bedingungen der gemeinsamen Verantwortlichkeit. Erst wenn das bejaht ist, können die eigentlichen Konfliktpunkte durch das katholische kirchliche Gericht geklärt werden.

Vereinbarung über gemeinsame Verantwortlichkeit

§ 28 KDG und § 29 DSG-EKD regeln in unterschiedlichen Formulierungen, im Ergebnis aber grundsätzlich übereinstimmend, dass bei einer gemeinsamen Verantwortlichkeit eine Vereinbarung getroffen werden muss. Diese Vereinbarung regelt, »wer welche Verpflichtung gemäß diesem Kirchengesetz erfüllt, soweit die jeweiligen Aufgaben der verantwortlichen Stellen nicht durch Rechtsvorschriften festgelegt sind« (§ 29 Abs. 1 DSG-EKD) und »wer von ihnen welche Verpflichtungen gemäß diesem Gesetz erfüllt, insbesondere wer den Informationspflichten gemäß den §§ 15 und 16 nachkommt« (§ 28 Abs. 1 KDG).

Zu der konkreten Vereinbarung im vorliegenden Fall erfährt man, dass es sich um eine Kooperation zwischen einem Caritasverband und einem Diakonischen Werk handelt, und zwar in Form einer rechtlich unselbständigen Einrichtung. Eine Kooperationsvereinbarung legt fest, dass die Leitung der EB durch die Diakonie und die stellvertretende Leitung durch die Caritas wahrgenommen wird und auf eine paritätische Besetzung der Arbeitsplätze geachtet wird. Der jeweils leitende Träger sei für die Einhaltung der Regelungen des Datenschutzes verantwortlich. Leider ist der Passus nicht im Wortlaut verfügbar, es klingt aber, als sei nicht ausdrücklich eine Anwendung des DSG-EKD vereinbart worden.

Rechtsweg zum IDSG

Dieser letzte Passus über die Zuständigkeit der Leitung der Stelle, die mit der Einhaltung des Datenschutzes betraut ist, wird von beiden Antragsgegnern – der Caritas und der Datenschutzaufsicht – zum Anlass genommen, die Zuständigkeit des IDSG zu bezweifeln, da das DSG-EKD einschlägig sei.

Eine weitere Verästelung kommt über den Sozialdatenschutz in den Fall. Da es sich bei der EB um Träger der freien Jugendhilfe handle, werde die Leistung im Rahmen eines privatrechtlichen Verhältnisses zum Leistungsempfänger erbracht, so dass der Zivilrechtsweg und nicht (wie bei öffentlichen Trägern) der Verwaltungsgerichtsweg eröffnet sei. In solchen Fällen muss gemäß § 61 Abs. 3 SGB VIII der Sozialdatenschutz grundsätzlich wie bei öffentlichen Trägern gewährleistet wird. Das IDSG sieht sich hier zuständig: Das KDG unterschreite das vorgebene Datenschutzniveau nicht, kann also angewandt werden, und damit verdränge der zivilrechtliche Rechtsweg nicht den kirchengerichtlichen in Datenschutzangelegenheiten.

Interessant ist aber, dass das Gericht den Beteiligten eine gewisse Regelungskompetenz zugesteht:

»Anders ist es nur, wenn in der zivilrechtlichen Vereinbarung zwischen den Beteiligten
ausdrücklich die entsprechende Geltung der oben genannten sozialrechtlichen
Datenschutzvorschriften geregelt ist, eigens Datenschutzvorschriften formuliert sind oder die DSGVO in Bezug genommen ist.« (Rn. 13)

Im vorliegenden Fall ist das nicht gegeben, so dass offen bleibt, wie eine solche Verabredung genau gestaltet sein müsste. Unklar bleibt auch, warum eine Rechtswahl in einer privatrechtlichen Vereinbarung zwischen einer betroffenen Person und einer verantwortlichen Stelle geregelt werden können soll – schließlich unterliegt die verantwortliche Stelle dem KDG entweder, oder sie tut es nicht. (Und das bestimmt sich nach kanonischer Rechtsform oder verbindlicher Übernahme in Statuten, nicht durch von Fall zu Fall geschlossenen Vereinbarungen mit Dritten.)

Die Gestaltung durch Vereinbarungen passt auch nicht zu den in der Entscheidung ansonsten getroffenen Aussagen zusammen, die gerade darauf abheben, dass die einzelnen Verantwortlichen immer ihren jeweiligen Datenschutzregimen unterfallen.

Das IDSG sieht sich jedenfalls mangels entsprechender Abreden als zuständig an, weil einer der gemeinsamen Verantwortlichen – die Caritas – dem KDG unterfällt, und dieser Verantwortliche als Antragsgegner gewählt wurde.

Anwendung des KDG in einer ökumenischen gemeinsamen Verantwortlichkeit

Das IDSG stellt fest, dass der Caritasverband Verantwortlicher gemäß § 2 KDSGO und § 4 Nr. 9 KDG ist. Wie in der DSGVO wird der Begriff im KDG so definiert, dass Verantwortlicher die Stelle ist, die »allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet«. Hier sei eine gemeinsame Verantwortlichkeit sowohl nach den Bestimmungen des KDG wie des DSG-EKD gegeben: Caritasverband und Diakonisches Werk »haben durch die Kooperationsvereinbarung vom 1. Januar 2018 gemeinsam die Zwecke der und die Mittel zur Verarbeitung von personenbezogenen Daten durch die gemeinsam geschaffene EB festgelegt«.

Die Zuweisung der »datenschutzrechtlichen Verantwortung an die Diakonie als Leitung der EB« schmälere nicht »die (externe) datenschutzrechtliche Verantwortung« der Caritas gegenüber der betroffenen Person. Die betroffene Person kann ihre Datenschutzrechte gegen alle beteiligten Verantwortlichen »im Rahmen des einschlägigen Gesetzes ungeachtet der Einzelheiten der zwischen den gemeinsam Verantwortlichen […] zu schließenden Vereinbarung über die jeweilige
Zuständigkeit zur Erfüllung der einzelnen datenschutzrechtlichen Verpflichtungen bei
und gegenüber jedem einzelnen der Verantwortlichen« geltend machen.

Dass die Diakonie nicht das KDG anwendet, ändert für das IDSG nichts an der Einstufung der Caritas als gemeinsam verantwortliche Stelle, für die das KDG gilt:

»Abgesehen davon, dass die Regelungen des KDG und des DSG-EKD zur gemeinsamen datenschutzrechtlichen Verantwortung materiell-rechtlich im Wesentlichen übereinstimmen, wird eine kirchliche Stelle im Sinn des § 3 Abs. 1 KDG nicht durch eine Kooperation mit einer nicht dem KDG unterliegenden Stelle von den Regelungen des KDG über die datenschutzrechtliche Verantwortlichkeit befreit. Auch ein eventuell gegenüber der EB erklärtes Einverständnis des Antragstellers mit einer ausschließlichen Geltung des DSG-EKD für die Unterstützung beim Umgang mit seinem Kind würde nicht von der Geltung der nicht disponiblen Vorschriften des KDG befreien.« (Rn. 17, Hervorhebungen ergänzt.)

Es komme auch nicht darauf an, wer in der Einrichtung die Daten verarbeitet, da nicht die natürliche Person verantwortliche Stelle sei, sondern »grundsätzlich die juristische Person als Rechtsträger der betroffenen Einrichtung oder des betroffenen Unternehmens«.

Damit ist dann klar, dass das IDSG zuständig ist und das KDG angewendet wird, unabhängig davon, ob ein problematisierter Verarbeitungsvorgang von Beschäftigten der Caritas oder der Diakonie operativ vorgenommen wurde. Im Rest der Entscheidung wendet das Gericht dann auch nur das KDG an und prüft nicht, welche Beschäftigten beteiligt waren.

Konsequenzen für ökumenische gemeinsame Verantwortlichkeiten

Auch wenn es nicht ausdrücklich in der Entscheidung ausformuliert ist: Faktisch führt die vom IDSG angewandte Argumentation dazu, dass in ökumenischen gemeinsamen Verantwortlichkeiten KDG und DSG-EKD parallel gelten. Sachverhalte werden dann nach dem Gesetz geprüft, das die verantwortliche Stelle anwendet, gegenüber der Rechte geltend gemacht werden. (Hätte sich die betroffene Person an das zuständige evangelische Kirchengericht gewandt, hätte man nach diesen Maßstäben also wohl damit zu rechnen, dass derselbe Fall im Lichte des DSG-EKD bewertet würde, was angesichts des Einklangs beider Gesetze mit der DSGVO nicht zu wesentlich unterschiedlichen Wertungen führen dürfte.)

Für das Handeln der Datenschutzaufsicht dürfte grundsätzlich dasselbe gelten: Geht man die evangelische oder katholische Aufsicht an, geht diese gegen den evangelischen oder katholischen Teil der gemeinsamen Verantwortlichkeit vor.

In der Praxis heißt das, dass bei Abweichungen zwischen KDG und DSG-EKD der strengere Maßstab eingehalten werden sollte, da sonst die Gefahr besteht, dass die Beschwerde beim strengeren Gesetzen unterliegenden Verantwortlichen platziert wird. (Mit der Reform des DSG-EKD sind die Unterschiede geringer geworden, aber nicht ganz verschwunden. Ein sehr relevantes Beispiel sind etwa die Fristen für die Erfüllung von Betroffenenrechten in § 14 Abs. 3 KDG und § 16 Abs. 3 DSG-EKD. Das DSG-EKD gestattet insgesamt drei Monate, das KDG erlaubt eine Verlängerung über einen Monat nur, wenn das unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist, ein Kriterium, das das IDSG streng auslegt.)

Noch ungeklärt ist, was passieren würde, wenn man dieselbe Beschwerde oder denselben Antrag sowohl bei katholischen wie evangelischen Aufsichten oder Gerichten vorbringt: Würden die angegangenen Institutionen trotz fehlender Regelungen gemeinsam vorgehen und sich koordinieren, oder würden sie je ein vom anderen völlig unabhängiges Verfahren für dieselbe Sache führen? Wird nur eine Seite angegangen, kann immer nur ein Datenschutzverstoß einer (oder mehrerer) verantwortlicher Stellen festgestellt werden, die der jeweiligen Zuständigkeit von Aufsicht oder Gericht unterliegen, obwohl die Verantwortlichkeit tatsächlich gemeinsam ist, mithin auch die Verantwortlichkeit für Verstöße.

Weitere relevante Punkte

Neben der gemeinsamen Verantwortlichkeit hat die Entscheidung auch in der Sache interessante Aspekte. Die Frage nach der Anwendbarkeit von Datenschutzrecht bei mündlicher Kommunikation wurde bereits in anderen Verfahren geklärt, hier gibt es nichts neues. Wichtig sind zwei Punkte:

  • Ein Datenschutzverstoß wurde festgestellt, da die Informationspflicht bei mittelbarer Datenerhebung (über die von der Polizei erhaltenen Informationen) nicht erfüllt wurde. Das dürfte etwas sein, das man in der Praxis leicht übersehen kann.
  • Anscheinend auch erstmals wurde § 48 Abs. 3 KDG angewandt, das Benachteiligungsverbot bei Ausübung von Beschwerderechten. Aus einer Datenschutzbeschwerde dürfen keine negativen Konsequenzen seitens der verantwortlichen Stelle gezogen werden wie hier durch die Feststellung eines zerstörten Vertrauensverhältnisses.

Fazit

Die Entscheidung klärt einige Punkte zur gemeinsamen Verantwortlichkeit, die bisher auch in der Kommentarliteratur ausgeblendet wurden. Der gewählte Weg, auf den gemeinsam Verantwortlichen abzustellen, für den das Gericht zuständig ist, erspart die Entwicklung von Kollisionsregeln und die Anwendung von Gesetzen aus dem jeweils anderen kirchlichen Rechtskreis.

Die sehr nachvollziehbare Argumentation hilft dabei, eigene gemeinsame Verantwortlichkeiten angemessen zu gestalten (und zwar im Ergebnis grundsätzlich so, wie ich das bereits einmal vorgeschlagen habe):

  • Eine Rechtswahl in der Vereinbarung über gemeinsame Verantwortlichkeit ist nicht möglich, die vereinbarte Zuständigkeit eines beteiligten Verantwortlichen für Datenschutz enthebt die anderen nicht von ihrer Verantwortlichkeit und der Anwendung ihres einschlägigen Rechts.
  • Die anzuwendenden Datenschutzgesetze richten sich nach den beteiligten gemeinsamen Verantwortlichen, nicht nach den jeweils handelnden natürlichen Personen.
  • Faktisch gelten alle beteiligten Datenschutzgesetze nebeneinander. Um Datenschutzverstöße auszuschließen, muss die jeweils strengste Regelung erfüllt werden.

Mehr zu gemeinsamer Verantwortlichkeit

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert