Das Interdiözesane Datenschutzgericht hat ein Bußgeld der KDSA Nord gekippt – die niedrige Obergrenze für Bußgelder im KDG dürfe nicht als Kappungsgrenze verstanden werden, eine Anwendung des Bußgeldmodelle des EDSA mit anschließender Kappung komme daher nicht in Frage.

In einem Gastbeitrag erläutert der Diözesandatenschutzbeauftragte der Nord-Bistümer, Andreas Bloms, wie die KDSA Nord die IDSG-Entscheidung interpretiert – und warum noch lange nicht gesagt ist, dass das Bußgeldkonzept der Aufsicht ganz gekippt ist.

Mit Beschluss vom 16. Februar 2026 hat das IDSG entschieden, dass die Katholische Datenschutzaufsicht Nord die Höhe der Geldbuße gegen ein Krankenhaus fehlerhaft festgesetzt habe. Der folgende Beitrag erhebt nicht den Anspruch, den Beschluss des IDSG umfassend darzustellen und zu bewerten. Vielmehr soll hier eine Einordnung des Beschlusses erfolgen, auch um den Verantwortlichen im Zuständigkeitsbereich der Katholischen Datenschutzaufsicht Nord die möglichen Folgen für unsere Bußgeldpraxis darzustellen.

Hintergrund

Im Rahmen eines Beschwerdeverfahrens gegen ein Krankenhaus ist festgestellt worden, dass dieses keine ausreichenden technischen und organisatorischen Maßnahmen ergriffen hatte, um die Patientendaten abgeschlossener Behandlungsfälle vor unberechtigten Zugriffen zu schützen. Dieser Mangel ermöglichte es, dass sich eine Auszubildende im Rahmen eines Mitarbeiterexzesses Zugriff zu einer Altakte eines Bekannten verschaffen konnte, um die Informationen privat zu nutzen.

Aufgrund dieses Verstoßes ist ein Bußgeldverfahren eingeleitet worden.

Die Festlegung der Höhe des Bußgeldes (hier 38.500 EUR) erfolgte anhand unseres standardisierten Verfahrens, das in Anlehnung an die EDSA-Leitlinien zur Berechnung von Geldbußen entwickelt worden war. Die EDSA-Leitlinien sowie unser Verfahren sind bereits im 10. Jahresbericht kurz vorgestellt worden.

Mit den EDSA-Leitlinien ist den Datenschutzaufsichten im Geltungsbereich der DSGVO ein überzeugendes Berechnungsmodell zur Verfügung gestellt worden, welches es den Aufsichten ermöglicht, Bußgelder transparent, nachvollziehbar und auf einer einheitlichen Grundlage festzulegen.

Da die datenschutzrechtlichen Pflichten und die möglichen Datenschutzverstöße durch kirchliche Verantwortliche aufgrund der überwiegend gleichen Regelungen in KDG und DSGVO mit denen der nicht-kirchlichen Verantwortlichen gleichgesetzt werden können, eignen sich die EDSA-Leitlinien gleichermaßen für eine Anwendung im kirchlichen Bereich.

Das zeigt sich auch im dargestellten Fall, dieser ist krankenhausspezifisch, nicht aber kirchenspezifisch.

Die EDSA-Leitlinien beinhalten aus unserer Sicht zwei wesentliche Werkzeuge.

1. Erstens ein differenziertes Prüfschema, mit dem in festgelegten Prüfschritten sichergestellt wird, dass Verstöße inhaltlich vergleichbar bewertet werden können, unabhängig davon, welche Behörde die Bewertung letztlich durchführt.
2. Zweitens liefert es die tatsächlichen Geldbeträge, die in diesem Schema für die Berechnung einzusetzen sind und die den Rahmen für die weiteren Betrachtungen bilden.

Mit Blick darauf, dass es durchaus vergleichbare Einrichtungen im kirchlichen und nicht-kirchlichen Bereich gibt und die datenschutzrechtlichen Pflichten und möglichen Verstöße überwiegend identisch sind (s.o.), sind – auch mit Blick auf das Einklanggebot in Art. 91 DSGVO – beide Werkzeuge der EDSA-Leitlinien (Prüfschema und Geldbeträge) herangezogen worden, um die Bußgeldhöhe zu ermitteln.

Die im KDG (alt) festgelegte Höchstgrenze von 500.000 EUR ist damit als „Kappungsgrenze“ verstanden worden, so dass bis zu diesem Betrag die Bußgeldhöhen kirchlicher Einrichtungen gleich ausfallen können wie die der (vergleichbaren) nicht-kirchlichen Einrichtungen.

Die Entscheidung des IDSG

Mit der Entscheidung des IDSG wird jedoch festgestellt, dass es sich bei der Höchstgrenze von 500.000 Euro in § 51 Abs. 5 KDG (alt) nicht um eine Kappungsgrenze handelt, sondern um einen Bußgeldrahmen, innerhalb dessen die Berechnung erfolgen muss.

Das IDSG stellt in dem Beschluss fest, dass die Datenschutzaufsicht durch die Festlegung des (zu hohen) Ausgangswertes in Anlehnung an die EDSA-Leitlinien ihr Ermessen überschritten habe:

„Als Ausgangspunkt ihrer Berechnung der Geldbuße hat die Antragsgegnerin in Anlehnung an die EDSA-Leitlinien einen Betrag von 10 Millionen Euro gewählt und den in § 51 Abs. 5 KDG genannten Betrag von 500.000 Euro lediglich als potentielle Kappungsgrenze angewendet. Dies stellt eine Ermessensüberschreitung des in § 51 Abs. 5 KDG vorgegebenen Ermessensrahmens dar. Denn § 51 Abs. 5 KDG ist nicht lediglich eine Kappungsgrenze, sondern ein Geldbußenrahmen, innerhalb dessen das Ermessen zur Höhe der Geldbuße auszuüben ist.“ (Beschluss IDSG 05/2024, Rn. 30)

Die Überschreitung des Ermessens bezieht sich auf die Heranziehung der Geldbeträge aus der EDSA-Leitlinie bzw. DSGVO und somit nur auf diesen einen Aspekt des Berechnungsverfahrens. Die Anlehnung an die EDSA-Leitlinien zur Berechnung von Geldbußen durch die KDSA Nord ist hiervon jedoch nicht berührt.

Diese Ermessensüberschreitung führte dazu, dass der Bescheid insgesamt aufzuheben war:

„Der Ermessensfehler führt zur Aufhebung des Bescheides vom 24. Mai 2024 in vollem Umfang. Eine teilweise Aufhebung des Bescheides mit der Folge der Reduzierung der verhängten Geldbuße scheidet prozessual aus.“(Beschluss IDSG 05/2024, Rn. 37)

Konsequenz

Grundsätzlich sehen wir in dem Beschluss des IDSG die Bestätigung, dass das hier angewandte Verfahren zur Berechnung von Bußgeldern genutzt werden kann. Da der beanstandete Ausgangswert die Basis für die Berechnung des Bußgeldes war, ist es aus Sicht des IDSG konsequent, den Bescheid insgesamt aufzuheben.

Klar ist aber, dass eine verhältnismäßige Anpassung bzw. Reduzierung der Bußgeldhöhe nicht in Betracht kommen kann. Ein Bußgeld in Höhe von 1.925 EUR anstatt 38.500 EUR (dies entspräche dem Verhältnis der o.g. Ausgangsbeträge) wäre weder wirksam, noch verhältnismäßig, noch abschreckend und widerspräche damit einer zentralen Voraussetzung für die Verhängung von Geldbußen (s. § 51 Abs. 2 KDG).

Nicht der Ausgangswert der Berechnung bestimmt im Ergebnis das festzusetzende Bußgeld, sondern die bestimmenden Faktoren nach § 51 Abs. 3 KDG und insbesondere die Anforderung, dass nach § 51 Abs. 2 KDG das Bußgeld wirksam, verhältnismäßig und abschreckend sein muss.

Der Beschluss muss vor diesem Hintergrund und mit Blick auf die im neuen KDG angehobenen Bußgeldhöhen geprüft werden, um ggf. Rechtsmittel einlegen zu können.