IDSG: Prozesskostenhilfe ja, DSGVO-Bußgeldkonzept nein

Schreiben Sie eine Antwort

Das Interdiözesane Datenschutzgericht hat zwei Entscheidungen veröffentlicht, die große Auswirkungen für die Praxis haben: Mittellose Betroffene können sich über die Möglichkeit freuen, Prozesskostenhilfe zu beantragen. Kirchliche Verantwortliche können sich freuen, dass die Bußgelder nach KDG nun wirklich niedriger ausfallen müssen als nach DSGVO.

Nahaufnahme einer Hand, die Münztürme baut.
(Foto von Towfiqu barbhuiya auf Unsplash)

Beide Entscheidungen werfen Fragen auf – die eine, wer die Rechnung bezahlt, die andere, wie so noch der Einklang gewahrt bleiben soll.

Inhalte Verbergen
1 Prozesskostenhilfe im kirchlichen Datenschutz – IDSG 23/2023
1.1 Der Fall
1.2 Die Entscheidung
1.3 Bewertung
2 KDG-Bußgeldobergrenze ist keine Kappungsgrenze – IDSG 05/2024
2.1 Der Fall
2.2 Vorträge
2.3 Die Entscheidung
2.4 Bewertung
3 Fazit

Prozesskostenhilfe im kirchlichen Datenschutz – IDSG 23/2023

Zum Volltext der Entscheidung: IDSG 23/2023 vom 16. Februar 2026

Der Fall

… ist in diesem Fall gar nicht so wichtig. Der Antragsteller bezieht Grundsicherung, der Streit dreht sich um ein katholisches Krankenhaus, in dem ein Sachverständigengutachten angefertig werden sollte. Warum genau sich die betroffene Person bei der Datenschutzaufsicht beschwert hat, wird nicht ganz klar. Jedenfalls reichte sie einen Antrag auf Prozesskostenhilfe beim IDSG ein, zusammen mit einem Nachweis über ihren Grundsicherungsbezug, allerdings ohne mitzuteilen, dass sie einen Rechtsbeistand mandatieren will.

Die Entscheidung

Der Antrag hatte keinen Erfolg und scheiterte mangels Rechtsschutzbedürfnis schon an der fehlenden Zulässigkeit: »Wenn demnach davon auszugehen ist, dass der Antragsteller das Verfahren, für das ein Anwaltszwang nicht besteht, ohne Rechtsanwalt betreiben will, entstehen keine Kosten, die durch eine Bewilligung von Prozesskostenhilfe abgedeckt werden sollten.« Außerdem war der Antrag unbegründet, die beabsichtigte Rechtsverfolgung hat keine hinreichende Aussicht auf Erfolg.

Interessant ist an der Entscheidung vor allem, dass das Gericht sie dennoch zum Anlass nimmt, Ausführungen zur Zulässigkeit von Anträgen auf Prozesskostenhilfe zu machen. Dass das möglich ist, ist bei weitem nicht ausgemacht. Wie auch das Gericht feststellt, fehlt dazu eine Regelung in der KDSGO. Dennoch kommt das Gericht zum Schluss, dass § 166 VwGO i. V. m. § 114 Abs. 1 Satz 1 ZPO auch im kirchlichen Datenschutzverfahren herangezogen werden kann, mithin Prozesskostenhilfe beantragt werden kann.

Die Gründe dafür sind naheliegend und überzeugend:

  • »Wenn ein Antragsteller die Mittel für ein gerichtliches Verfahren nicht aufbringen kann, erfordert es das Gebot des effektiven Rechtsschutzes, die Bewilligung von Prozesskostenhilfe zu ermöglichen.« (Rn. 16, Hervorhebung ergänzt.)
  • »In der Konsequenz dieses Einklangs liegt es, dass unbemittelten Antragstellern der Zugang zum kirchlichen Datenschutzgericht in ähnlicher Weise ermöglicht wird wie bei staatlichen Gerichten, deren Verfahrensrecht unter anderem durch Europarecht wie die DSGVO geprägt ist.« (Rn. 20, Hervorhebung ergänzt.)
  • Im kanonischen Prozessrecht gibt es die Regelung, dass der Bischof Bestimmungen zur »Gewährung des unentgeltlichen Rechtsschutzes oder einer Ermäßigung der Gerichtskosten« erlassen soll (c. 1649 § 1 Nr. 3 CIC).

Hinsichtlich des Einklangs bemerkt das Gericht, dass sich das Einklangerfordernis sowohl auf das materielle als auch auf das prozessuale Recht bezieht – der Einklang hat damit eine Ausstrahlungswirkung deutlich über die DSGVO hinaus.

Am wenigsten überzeugt der Verweis aufs kanonische Prozessrecht; c. 1649 § 1 CIC spricht von einer Soll-Regelung (»statuat«, also ein Jussiv), entsprechende Regelungen zu treffen. Dass mehrere kirchliche Normen aufgeführt werden, die vor anderen kirchlichen Gerichten Prozesskostenhilfe normieren, bewirkt noch nicht, dass automatisch auch vor den kirchlichen Datenschutzgerichten eine Regelung durch Auslegung angenommen werden muss. Höchstens ist es ein Hinweis darauf, dass der Gesetzgeber der KDSGO versäumt hat, die eigentlich deutlich angeratenen Regelungen zu treffen.

Im Gesamt überzeugen die Argumente, dass hier eine Lücke in der KDSGO vorliegt. Dass sie aus dem weltlichen Prozessrecht geschlossen wird, ist auf der Linie der ständigen Rechtsprechung des IDSG.

Offen bleibt aber, was passieren würde, wenn – anders als im vorliegenden Fall – tatsächlich jemand einen erfolgreichen Antrag stellen würde: Wer hätte die Prozesskostenhilfe zu tragen? Dazu sagt das IDSG nichts. Klar ist, dass im staatlichen Bereich die Länder die Prozesskostenhilfe tragen und das in den jeweiligen Justizhaushalten verbuchen. Analog dazu kämen zwei Möglichkeiten in Frage: Entweder müsste jeweils das Bistum, dessen KDG zur Anwendung kommt, (und in KDR-OG-Sachen der jeweilige Orden) die Prozesskostenhilfe tragen. Oder aber das Geld kommt aus den Sachkosten der kirchlichen Datenschutzgerichte; deren Haushalt und wie er gespeist wird, ist nicht bekannt, es könnte zumindest beim IDSG als interdiözesanem Gericht aber ein Umlageverfahren sein.

Bewertung

Dem Gericht scheint es sehr wichtig gewesen zu sein, das Signal zu setzen, dass Prozesskostenhilfe gewährt werden kann. Sonst hätte es sich nicht die Mühe gemacht, trotz Ablehnung auf ganzer Linie die Möglichkeit ausführlich zu verargumentieren.

Das spricht für das Gericht, dass es so deutlich durch einen Beschluss – und mithin der einzigen Form, in der das Gericht offiziell sprechen kann – Menschen Wege aufzeigt, wie sie Hilfe dabei bekommen, zu ihrem Recht zu kommen.

KDG-Bußgeldobergrenze ist keine Kappungsgrenze – IDSG 05/2024

Zum Volltext der Entscheidung: IDSG 05/2024 vom 16. Februar 2026

Der Fall

… ist ein typischer Krankenhausfall: Die betroffene Person hat sich einem geschlechtsangleichenden Eingriff unterzogen. Eine Auszubildende hat auf die Patient*innen-Akte zugegriffen und Inhalte der Akte dem gemeinsamen Freundeskreis mitgeteilt. Zum einen lag hier klar ein Mitarbeitendenexzess vor, mithin war für diesen Teil die Landesdatenschutzaufsicht zuständig. Das katholische Krankenhaus wurde von der Aufsicht belangt, weil es keine hinreichenden technischen und organisatorischen Maßnahmen zum Schutz der Gesundheitsdaten ergriffen hatte.

Im Rahmen des Bußgeldverfahrens informierte das Krankenhaus die Aufsicht über den Jahresumsatz 2022 in Höhe von 107.319.000 Euro, die Aufsicht setzte ein Bußgeld in Höhe von 38.500 Euro fest. Die Berechnung sei in Anlehnung an die EDSA-Leitlinien für die Berechnung von Geldbußen im Sinne der DSGVO erfolgt. Die DSGVO sieht deutlich höhere Bußgeldobergrenzen als das KDG vor: Der Höchstbetrag gemäß § 51 Abs. 5 KDG (alte Fassung) betrug 500.000 Euro, die DSGVO sieht je nach Verstoßkategorie gemäß Art. 83 Abs. 4 entweder bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes oder gemäß Art. 83 Abs. 5 20 Millionen Euro oder vier Prozent des Jahresumsatzes vor. Die Aufsicht nahm eine Einordnung in die erste Kategorie vor und damit 10 Millionen Euro als Referenzbuße für das Bußgeldmodell. Die Obergrenze aus dem KDG wurde als Kappungsgrenze verstanden: Das DSGVO-Bußgeldmodell wird 1:1 angewandt und Bußgelder, die höher als eine halbe Million Euro sind, werden auf diesen Betrag zurückgestutzt.

Vorträge

Gegen den Bußgeldbescheid hat das Krankenhaus geklagt. Das Hauptargument: »Gründe der Verhältnismäßigkeit sprächen dafür, dass § 51 KDG keine Deckelung, sondern den Bußgeldrahmen vorgebe. Kirchliche Einrichtungen nach § 3 KDG seien nicht in der Lage, Höchstbußgelder nach der DSGVO zu entrichten.« Es handle sich bei der Obergrenze also um einen Bußgeldrahmen, nicht um eine Kappungsgrenze – das sei im neuen KDG ausdrücklich geregelt, im alten wurde der Wert ebenso begründet.

Die Aufsicht brachte dagegen vor, dass die kirchlichen Aufsichten angehalten seien, »eine Berechnungsmethode für Bußgeldverfahren zu entwickeln, die anhand einheitlich festgelegter Bewertungskriterien eine Berechnung von Bußgeldern ermögliche, welche bei vergleichbaren Sachverhalten vergleichbare Ergebnisse gewährleiste«. Eine der DSGVO im Schutzniveau vergleichbare Regelung liege nur dann vor, wenn – zumindest bis zu dem festgelegten Höchstbetrag – auch die Bußgeldhöhe in einem vergleichbaren Rahmen ausfallen könne: »Auch auf der Sanktionsebene müsse dem Schutzniveau der DSGVO entsprochen werden, wie es Art. 91 Abs. 1 DSGVO erfordere.«

Die Entscheidung

Das IDSG folgt dem Vortrag des Krankenhauses. Dass ein Datenschutzverstoß vorliegt, war unstreitig. Die Höhe der Geldbuße sei aber ermessensfehlerhaft festgesetzt worden: »Denn § 51 Abs. 5 KDG ist nicht lediglich eine Kappungsgrenze, sondern ein Geldbußenrahmen, innerhalb dessen das Ermessen zur Höhe der Geldbuße auszuüben ist.«

Das IDSG sieht dadurch keinen Verstoß gegen das Einklanggebot aus Art. 91 DSGVO:

»Die Abweichung des § 51 Abs. 5 KDG von den hohen Beträgen des Art. 83 Abs. 4 bis 6 DSGVO ist wegen der Unterschiede der typischen Adressatenkreise gerechtfertigt. Art. 83 DSGVO geht von dem Leitbild der Wirtschaftsunternehmen mit Gewinnerzielungsabsicht aus. Demgegenüber richtet sich § 51 Abs. 5 KDG typischerweise an kirchliche und karitative Verantwortliche (§ 3 Abs. 1 KDG), die regelmäßig keine nennenswerte Gewinnerzielungsabsicht haben. Bei diesen Verantwortlichen ist zu erwarten, dass Geldbußen bis zu 500.000 Euro empfindlich genug sind (§ 51 Abs. 2 KDG, Art. 83 Abs. 1 DSGVO), um eine effektive Durchsetzung des Datenschutzes zu gewährleisten.« (Rn. 34.)

Als Ausgangspunkt für die Berechnung die Millionenbeträge der DSGVO zu setzen, widerspreche der Zwecksetzung der KDG-Regelung. Außerdem verstoße das gegen den Grundsatz der Verhältnismäßigkeit:

»Wenn hohe Ausgangsbeträge, die um ein Vielfaches über dem Betrag von 500.000 Euro liegen, bei der Berechnung angewendet werden, kann dies bei besonders schwerwiegenden Datenschutzverstößen von Verantwortlichen mit nicht unerheblicher Wirtschaftskraft dazu führen, dass die Kappung bei einer Mehrzahl von Fällen zur Anwendung kommt mit dem Ergebnis, dass besonders schwerwiegende Verstöße und extrem schwerwiegende Verstöße mit einer Geldbuße von 500.000 Euro gleichbehandelt werden. Dies würde einen „Rabatt“ für extreme Verstöße bedeuten, der mit den Ermessenskriterien des § 51 Abs. 2 und 3 KDG nicht vereinbar wäre.« (Rn. 36.)

Im Ergebnis wurde der Bußgeldbescheid komplett aufgehoben, anstatt das Bußgeld nach unten zu korrigieren oder auch nur einen Hinweis zu geben, was ein angemessenes Bußgeldmodell wäre. »Eine teilweise Aufhebung des Bescheides mit der Folge der Reduzierung der verhängten Geldbuße scheidet prozessual aus. Das Gericht ist nicht befugt, sein Ermessen an die Stelle des Ermessens der Datenschutzaufsicht zu setzen.«

Bewertung

Die Entscheidung wirft einige Fragen auf. Dass die kirchlichen Datenschutzgerichte selbst inzident prüfen, ob Regelungen des KDG mit Art. 91 DSGVO vereinbar sind, anstatt dem EuGH vorzulegen, ist man mittlerweile gewöhnt.

Hier begibt sich das IDSG aber in Selbstwidersprüche: Einerseits verteidigt es den extrem niedrigen Bußgeldrahmen des KDG als in Einklang stehend, weil kirchliche Einrichtungen gemeinwohlorientiert handelten und nicht so wirtschaftsstark seien, ignoriert aber zugleich, dass die DSGVO ihren deutlich höheren Bußgeldrahmen auch für Verantwortliche gelten lässt, die deutlich kleiner sind als ein Krankenhaus mit 107 Millionen Euro Jahresumsatz. Was ein kirchliches Krankenhaus mit diesem Jahresumsatz von einem Krankenhaus eines nichtkirchlichen gemeinnützigen Trägers mit demselben Jahresumsatz unterscheidet, bleibt das Geheimnis des Gerichts. Wo es dann aber in die Argumentation passt, tauchen später plötzlich doch kirchliche Verantwortliche »mit nicht unerheblicher Wirtschaftskraft« auf. Dass die DSGVO vom »Leitbild der Wirtschaftsunternehmen mit Gewinnerzielungsabsicht« ausgehe, ist schlicht falsch. Die DSGVO hat vielmehr eine einheitliche Regelung für alle Verantwortlichen, unabhängig von ihrer Gewinnerzielungsabsicht.

Wenig gelungen ist auch die Argumentation, dass bei einer Kappungsgrenze schwerwiegende nicht von extrem schwerwiegenden Fällen durch die Bußgeldhöhe unterschieden werden können. Das stimmt, ist aber vor allem ein Argument gegen den Einklang der KDG-Regelung, die die Decke so niedrig zieht. Die DSGVO hebt genau deshalb für große Verantwortliche auf den Umsatz statt eine feste Grenze ab. Denkt man die IDSG-Argumentation zu Ende, könnte der Bußgeldrahmen des KDG nie ausgeschöpft werden, weil immer eine etwas schwerwiegendere Datenschutzverletzung gedacht werden kann als die jeweils letzte schwerwiegendste. Oder weniger sophistisch formuliert: Auch wenn Obergrenzen keine Kappungsgrenzen sind, sind sie irgendwann ausgeschöpft, so dass besonders hohe Verstöße trotz unterschiedlicher Schwere irgendwann gleichbehandelt werden müssen. Das ist eine notwendige Schwäche des Prinzips Obergrenze.

Folgt man der Argumentation des IDSG, dass die Grenze im KDG ein Rahmen ist, der in Einklang mit der DSGVO steht, dann stellt sich die Frage, wie dieser Rahmen ausgefüllt werden soll. Naheliegend ist, dass – Einklang! – der Rahmen mit einem System ausgefüllt wird, wie er auch für die DSGVO herangezogen werden kann. Das würde aber bedeuten, dass es bei ansonsten identischer Lage nicht möglich wäre, Bußgelder in gleicher absoluter Höhe auszusprechen: Nimmt man an, dass die Berechnung der kirchlichen Aufsicht für diesen Fall nach DSGVO mit 38.500 Euro korrekt ist, dann wäre ein Krankenhaus eines nichtkirchlichen gemeinnützigen Trägers gleichen Umsatzes und gleicher wirtschaftlicher Lage für einen Verstoß derselben Schwere also mit diesem Betrag zu bebußen. Das hieße dann, dass man angesichts des kirchlichen Bußgeldrahmens von einem Zwanzigstel des DSGVO-Bußgeldrahmens (500.000 statt 10 Millionen Euro) ein Bußgeld von 1.925 Euro hätte festsetzen müssen. Klingt das nach Einklang? Ist das »wirksam, verhältnismäßig und abschreckend« bei 107 Millionen Euro Umsatz? Egal welches System man erdenkt: Wenn die Interpretation Kappungsgrenze verworfen wird, können und dürfen identische Sachverhalte selbst bei strukturell absolut vergleichbaren Verantwortlichen nach KDG hier, DSGVO da nicht mit identischer Buße belegt werden. Wo ist da der Einklang?

Wie ein Bußgeld gerichtsfest verhängt wird, zeigt die Entscheidung über ein Bußgeld der KDSA Ost (IDSG 21/2020 vom 12. Juli 2021, hier besprochen). Die Entscheidung erging mit einem fast gleich besetzten Spruchkörper, lediglich die kanonistische Beisitzerin ist neu. Damals wurde für den Fehlversand eines Arztbriefes in einem Krankenhaus mit 88 Millionen Euro Umsatz ein Bußgeld von 2.100 Euro verhängt. Das Bußgeld wurde nicht über ein objektivierbares System, sondern anhand einer Aufzählung von erschwerenden Erwägungen festgelegt, wobei unklar blieb, was die Basis war und mit welchem Gewicht die in Rn. 30 bis 35 aufgezählten Faktoren in die Berechnung eingingen. Das Gericht sah das als ausreichend an und folgte der Argumentation der KDSA Ost (Rn. 95–99), indem es den Grundsatz aus § 51 Abs. 2 KDG (wirksam, verhältnismäßig und abschreckend) und die in § 51 Abs. 3 KDG genannten zu berücksichtenden Aspekte gewahrt sah.

Unklar ist auch, nach welchen Kriterien das IDSG entscheidet, ob es nicht in der KDSGO genannte Tenorierungsmöglichkeiten sich einfach durch Auslegung aneignen kann. § 14 Abs. 2 KDSGO sieht keine Anfechtungsklagen vor, dennoch geht das IDSG in ständiger Rechtsprechung davon aus, dass Anfechtungsklagen zulässig sind, was auch in dieser Entscheidung erwähnt ist. Es diene der »Prozessökonomie, wenn dasselbe Gericht für die Überprüfung sämtlicher Regelungen eines Bescheides der Datenschutzaufsichten zuständig ist« (Rn. 20). In der schon erwähnten Entscheidung IDSG 21/2020 wird die Erweiterung der Möglichkeiten mit einer teleologischen Auslegung begründet (Rn. 55). Warum nicht mit exakt derselben Argumentation die Bußgeldhöhe in einem Bescheid Gegenstand des Tenors sein sollen kann, bleibt unklar.

Alles in allem ist die Entscheidung sehr unbefriedigend. Es ist zu wünschen, dass sie in der zweiten Instanz überprüft und korrigiert wird, und zwar im Idealfall durch eine Vorlage an den EuGH, ob der Bußgeldrahmen des KDG in Einklang mit der DSGVO steht.

Fazit

Trotz identischer Spruchkörper liegen hier zwei sehr unterschiedliche Entscheidungen vor. Die Entscheidung zur Prozesskostenhilfe ist menschlich sympathisch und juristisch auch gut nachzuvollziehen: Das Gericht zeigt, dass es sensibel für Nöte mittelloser Betroffener wie für das Einklangerfordernis und elementare Standards der Rechtsstaatlichkeit ist.

Die Entscheidung zum Bußgeldrahmen ist dagegen eher befremdlich in ihrer unthinterfragten Apologie der kirchlichen Gesetzgebung. Kaum eine Regelung des KDG verstößt evidenter gegen das Einklanggebot als der niedrige Bußgeldrahmen, und die Versuche des Gerichts, sich diese Diskrepanzen schönzuargumentieren, wirken extrem bemüht bis hin zum offenen Selbstwiderspruch. Die Entscheidung dürfte dazu führen, dass die Aufsichten sich entweder ein eigenes Bußgeldsystem ausdenken – oder dass sie wie in der Entscheidung zum fehlgeleiteten Arztbrief ein Bußgeld festlegen und dann Faktoren aufzählen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert