Souverän die Vorschriften beachten

Nicht zuletzt durch die Skandale bei Lidl oder der Deutschen Bahn ist der Datenschutz den meisten Menschen in Deutschland mittlerweile ein Begriff. Auch der aktuelle Fall des Bundestrojaners zeigt die gesteigerte Sensibilität in der Bevölkerung für den Schutz ihres Persönlichkeitsrechts. Die immer weiter ausgebauten Informationstechnologien (zum Beispiel Web 2.0, soziale Netzwerke¹) stellen eine besondere Chance - aber auch Herausforderung im operativen Tagesgeschäft der einzelnen Einrichtungen - dar. Die damit verbundenen Risiken sind den Verantwortlichen größtenteils noch im Verborgenen. Praktizierten Datenschutz in die operativen Abläufe einer jeden Einrichtung zu integrieren, ist unentbehrlich, um die ge­nannten Chancen nutzen und die Risiken vermeiden zu können.

Ist in den sensiblen Bereichen katholischer Einrichtungen der Datenschutz schon angekommen? In Gesprächen mit Verantwortlichen - von einzelnen Einrichtungen bis hin zu größeren Verbänden mit mehreren Fachbereichen und Standorten - zeigten sich unterschiedlichste Auffassungen.

Nachholbedarf vor allem in Einzeleinrichtungen

Größere Einrichtungen haben sich oftmals mit der Anordnung über den kirchlichen Datenschutz (KDO) sowie den weiteren datenschutzrechtlichen Verordnungen (Bundesdatenschutzgesetz - BDSG, Patienten-Datenschutzordnung - PatDSO etc.) be­schäftigt und diese Vorgaben, zumindest teilweise, umgesetzt. Die meisten angefragten Einrichtungen lehnten angebotene Gespräche über die Anforderungen des Datenschutzes jedoch mit der Begründung ab, sie warteten auf Vorgaben seitens der Diözesanbeauftragten für Datenschutz oder der Datenschutz gelte nur für große Einrichtungen. Häufig war auch zu hören, der Großteil personenbezogener Daten sei handschriftlich dokumentiert und Datenschutz nur beim Einsatz von Computern zu beachten.

Doch weit gefehlt: Sowohl die KDO als auch das Bundesdatenschutzgesetz (BDSG) gelten für alle personenbezogenen Daten, die erhoben, verarbeitet (zum Beispiel gespeichert) oder genutzt werden. Hier ist definitiv ein Handlungszwang vorgegeben, die Einrichtungsgröße ist dabei unerheblich. Selbst bei der schriftlichen Dokumentation in Papierform sind die rechtlichen Vorgaben anzuwenden. Dies gilt sowohl für alle personenbezogenen und personenbeziehbaren² Daten von und über Patienten, Bewohner, Ratsuchende oder andere Klient(inn)en als auch für die Daten der Mitarbeitenden.

Rechtliche Folgen von Daten­lecks

Wer hiergegen verstößt, kann - je nach Schwere des Vergehens - mit Schadenersatzklagen und/oder Bußgeldern von 50.000 bis 300.000 Euro rechnen. Und wie bei allen Gesetzen gilt auch hier der Grundsatz: "Unkenntnis schützt vor Strafe nicht."

Oftmals sind sich die Verantwortlichen (Geschäftsführer, Vorstände etc.) nicht darüber im Klaren, dass bei Verstößen gegen den Datenschutz neben der Haftungsproblematik auch eine strafrechtliche Brisanz vorliegt. In Deutschland gibt es kein sogenanntes "Unternehmens-, Verbands- oder Vereins-Strafrecht", sondern es gilt § 14 StGB, der ein hohes Maß persönlicher Verantwortung beim dienstlichen Handeln begründet. Da es bei Verletzungen des Persönlichkeitsrechts (Recht auf informationelle Selbstbestimmung) auch immer wieder Fälle gibt, welche strafrechtlich relevant sein können, ist hier äußerste Vorsicht geboten. Die Verantwortlichen haften in solchen Fällen auch in persona. Dies gilt es zu vermeiden.

Im Folgenden sollen einige häufig ge­stellte Fragen zur Anwendung und Umsetzung der Datenschutzgesetze (KDO, BDSG, Landesdatenschutzgesetze) im Bereich der Einrichtungen der katholischen Kirche beantwortet werden.

Sind die Daten aller Personen zu schützen?
Grundsätzlich bleibt die einzelne Person "Dateneigentümer". Die Einrichtungen sind also immer in der Rolle des sogenannten "Datentreuhänders". Demzufolge sind die rechtlichen Vorgaben zum Umgang mit personenbezogenen Daten zwingend einzuhalten. Allerdings können diese Daten zusätzlich auch sogenannten Berufsgeheimnissen unterliegen (zum Beispiel der ärztlichen Schweigepflicht, dem Beichtgeheimnis, dem Sozialgeheimnis, dem Telekommunikationsgeheimnis) und müssen explizit geschützt werden, um Kollisionen und Restriktionen (zum Beispiel aus dem StGB § 201ff.) zu vermeiden. Demzufolge ist es unerheblich, ob es sich um ein "sensitives Datum"³ handelt oder nicht. Nicht zu vergessen sind auch hier die datenschutzrechtlichen Anforderungen im Arbeitsrecht.

Wie kann man den Datenschutzanforderungen gerecht werden?
Grob gesagt, benötigt man zur Erhebung und Verarbeitung personenbezogener Da­ten entweder eine rechtliche Grundlage (zum Beispiel direkt aus der KDO oder aus anderen Gesetzen) oder die Einwilligung der betroffenen Person. Sodann müssen technische und organisatorische Maßnahmen (nach KDO § 6) ergriffen werden, um die erfassten personenbezogenen Da­ten zu schützen. Diese Maßnahmen können zum Beispiel im Verschlüsseln von Dateien im Computer oder im Verschließen von Schränken bestehen. Die Anforderungen sind jedoch weitaus umfassender und können in diesem Artikel nicht ausführlich dargestellt werden. Außerdem müssen die Rechte der Betroffenen (zum Beispiel Recht auf Auskunft, Berichtigung oder Löschung) berücksichtigt und zum Beispiel entsprechend der KDO/KDO-DVO (Durchführungsverordnung) umgesetzt werden.

Wird immer ein Datenschutzbeauftragter benötigt?
Das kommt auf den Einzelfall an. Laut KDO § 18a "können" die Einrichtungen eine(n) Datenschutzbeauftragte(n) bestellen. Werden allerdings personenbezogene Daten der besonderen Art erhoben (zum Beispiel Gesundheitsdaten - PatDSO), ist der/die Datenschutzbeauftragte zwingend zu bestellen. Dringend anzuraten ist je­doch grundsätzlich eine Bestellung. Allein hierdurch kann eine rechtssichere Behandlung der allgemeinen Datenschutzproblematik in der eigenen Einrichtung gewährleistet werden.

Welche Anforderungen muss der/die Datenschutzbeauftragte erfüllen?
Er/Sie muss eine ausreichende Fachkunde in den Gebieten des Datenschutzrechts sowie der branchenunabhängigen und der branchenspezifischen Rechtsgrundlagen besitzen, betriebswirtschaftliche Kenntnisse haben und sich mit den entsprechenden technischen und organisatorischen Maßnahmen auskennen. Er/Sie ist zu regel­mäßiger Weiterbildung verpflichtet. Außerdem dürfen grundsätzlich keine Geschäftsführer(innen)/Vorstände oder zum ­Beispiel EDV-Leitungskräfte als Da­tenschutzbeauftragte bestellt werden, da diese sonst sich selbst kontrollieren würden.

Wo gibt es mehr Informationen über die Anforderungen des Datenschutzes?
Die Fortbildungs-Akademie des Deutschen Caritasverbandes bietet seit ge­raumer Zeit diverse Schulungen für Datenschutzbeauftragte und andere Verantwortliche zum Thema Datenschutz an. So zum Beispiel

• Fachkundeausbildung Datenschutzbeauftragte;
• Vermittlung Grundlagenwissen Informations- und Kommunikationstechnologie für Datenschutzbeauftragte;
• "Werkstatt-Tage" für Datenschutzbeauftragte (Workshops zu verschiedenen Themen);
• "Datenschutz-Update"-Veranstaltungen (aktuelle Rechtsprechung etc.).

Fazit

Zusammenfassend lässt sich feststellen, dass in allen Einrichtungen der katholischen Kirche und ihrer Caritas regelmäßig Datenschutzgesetze zur Anwendung kommen und sich die Einrichtungen mit den Anforderungen dieser Gesetze beschäftigen müssen. Neben empfindlichen rechtlichen Konsequenzen stehen der Imageschaden der Einrichtungen oder auch arbeitsrechtliche, strafrechtliche und zivilrechtliche Ansprüche (zum Beispiel auf Schadenersatz bei Verletzung der Sorgfaltspflichten) im Raum, die durch einen datenschutzkonformen Umgang mit personenbezogenen Daten verhindert werden können. Dabei muss Datenschutz nicht teuer sein - wichtig ist, sich intensiv mit der Materie zu beschäftigen oder eine(n) Datenschutzberater(in) zu konsultieren.

Anmerkungen

1. Vgl. die Leitlinien für soziale Medien. In: neue caritas Heft 1/2012, S. 35 ff.
2. Informationen, aus denen auf bestimmte Personen geschlossen werden kann.
3. Sensitive Daten können beispielsweise Angaben zur Gesundheit oder religiösen Zugehörigkeit sein.