Hintergrund
/ 18. April 2023

Kirchliches Datenschutzrecht

„Mit Kirche habe ich nichts am Hut!“ Diesen Satz hört man öfter von Personen, die nie Mitglied einer Kirche waren oder die irgendwann aus einer Kirche ausgetreten sind. Er stimmt allerdings gerade im Datenschutz nur sehr begrenzt.

➧  Das war der Ausgangsfall

Eine Frau wird in einem Krankenhaus behandelt. Sie nimmt Einsicht in ihre Patientenakte. Dabei stellt sie fest, dass dort auch Unterlagen über eine ganz andere Frau enthalten sind. Diese andere Frau war ebenfalls Patientin in dem Krankenhaus. Ihre Unterlagen landeten versehentlich in der falschen Patientenakte.

➧  Deshalb betraf er die kirchliche Datenschutzaufsicht

Beide Frauen, um deren Behandlungsunterlagen es ging, waren Patientinnen eines kirchlichen Krankenhauses. Solche Krankenhäuser weisen niemanden ab, der Hilfe wünscht. Nach der Religion fragen sie höchstens, soweit es um den Wunsch nach Krankenhausseelsorge geht. Besonders nach Unfällen gibt es in manchen Regionen Deutschlands buchstäblich keine naheliegende Alternative zu kirchlichen Krankenhäusern.

Kirchen und religiöse Gemeinschaften dürfen eigenständige Datenschutzregelungen neben der Datenschutz-Grundverordnung (DSGVO) schaffen. Das sieht Art. 91 DSGVO unter bestimmten Voraussetzungen ausdrücklich so vor. Die großen Kirchen in Deutschland, aber auch kleinere Religionsgemeinschaften, haben davon Gebrauch gemacht.

➧  Das folgt daraus für den Ausgangsfall

Bei dem Krankenhaus im Ausgangsfall handelt es sich um ein Krankenhaus in katholischer Trägerschaft. Damit gelten für dieses Krankenhaus bei der Verarbeitung von personenbezogenen Daten die Datenschutzvorschriften der katholischen Kirche. Sie sind im „Gesetz über den Kirchlichen Datenschutz (KDG)“ enthalten. Der Sache nach handelt es sich bei diesem Gesetz um ein innerkirchliches Datenschutzgesetz.

Selbstverständlich verstößt es gegen die Vorgaben der KDG, wenn sensible Behandlungsunterlagen der falschen Person zugeordnet werden. Die Maßstäbe entsprechen insoweit den Anforderungen, die auch in der DSGVO festgelegt sind.

Die kirchliche Datenschutzaufsicht beließ es gleichwohl bei einer förmlichen Beanstandung. Ein wesentlicher Grund dafür war, dass keine generellen organisatorischen Schwächen im Krankenhaus festzustellen waren. Und bedauerliche Pannen im Einzelfall gibt es erfahrungsgemäß überall einmal.

➧  Das ist besonders für Kirchengegner wichtig

Die staatliche Datenschutzaufsicht ist in solchen Situationen außen vor. Sie hat keine Möglichkeit, Anordnungen zu treffen oder Geldbußen zu verhängen.

Wer dem kirchlichen Datenschutzrecht entgehen will, sollte auf die Trägerschaft von Einrichtungen wie Kindergärten, Krankenhäusern und Pflegeeinrichtungen achten. Für kirchliche Träger gilt das kirchliche Datenschutzrecht. Auf die Religion der Personen, die solche Einrichtungen in Anspruch nehmen, kommt es dabei nicht an.

Schicksal ist es allerdings, wenn man im konkreten Fall keine Wahl hat, welche Einrichtung man in Anspruch nehmen möchte. Wer nach einem Unfall in ein nahes kirchliches Krankenhaus eingeliefert wird, muss sich damit abfinden, dass seine Behandlungsunterlagen dem entsprechenden kirchlichen Datenschutzrecht unterliegen. Das gilt auch, wenn er mit der Kirche eigentlich nichts zu tun haben möchte.

➧  Das ist die Quelle

Der Ausgangsfall ist behandelt im Tätigkeitsbericht 2022 der KDSA Ost (Kirchliche Datenschutzaufsicht der ostdeutschen Bistümer und des Katholischen Militärbischofs), Seite 68. Dieser Tätigkeitsbericht ist am 31. März 2023 erschienen. Er ist abrufbar unter https://www.zaftda.de/tb-kirchen/katholische-kirche.

Dr. Eugen Ehmann