Grundsätze des Datenschutzes in caritativen Einrichtungen

Das Gesetz über den Kirchlichen Datenschutz (KDG) gilt nur für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für personenbezogene Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (§ 2 Abs. 1 und § 4 Nr. 8 KDG).

Beispiele: Texte in Textverarbeitungssystemen (Arztbriefe, Pflegedokumentation, Beschlussprotokoll einer Teamsitzung), Patienten- und Klientendatei, im PC vermerkte Behandlungs- oder Beratungstermine, Behandlungskostenrechnungen, digitale Fotos usw.

Eine Sammlung personenbezogener Daten ist nur dann eine Datei, wenn die Daten nach bestimmten Kriterien so strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind.

Beispiel: Listen von Personen mit zugehörigen Daten (Anschrift, Höhe der Spende, Informationswunsch usw.) sind eine Datei.¹

Keine Anwendung des KDG auf die verbale und nonverbale Kommunikation im beruflichen Alltag

Das KDG gilt nicht für unstrukturierte Daten, beispielsweise für die gesamte verbale (mündliche) und nonverbale Kommunikation der Krankenschwestern, Altenpflegerinnen, Erzieherinnen, Sozialarbeiterinnen und aller anderen Mitarbeiter während der Arbeitszeit im beruflichen Alltag.

Beispiele: Gespräche mit und über Patienten/Klienten, Angehörigen, Besuchern usw., Teamgespräche, Auskünfte, telefonische Beratung, Äußerungen über Eigenschaften, Verhalten, Gesundheit, Aussehen eines Menschen, Handzettel, Gesprächsnotizen, Tagebücher, Teilnehmerlisten, E-Mails, analoge Fotos, Word-Dokumente, gutachtliche Stellungnahmen² usw.

Im direkten Umgang mit Klienten/Patienten und Bewohnern sind deshalb die komplizierten Vorschriften des KDG über die Aufzeichnungs-, Aufklärungs- und Sicherungspflichten nicht anzuwenden. Jedoch sind stets die allgemeinen Grundsätze des Datenschutzes zu beachten.

Anwendung des allgemeinen Persönlichkeitsrechts

Personenbezogene Daten, die nicht vom KDG erfasst sind, sind nicht frei verwendbar; denn das Grund- und Menschenrecht auf informationelle Selbstbestimmung gilt allgemein und wird im Privatrecht (BGB) durch das allgemeine Persönlichkeitsrecht und im Strafrecht durch die Schweigepflicht geschützt (sehen Sie hierzu den Beitrag "Schweigepflicht der Mitarbeiter" auf unserer Homepage):

Deshalb können alle Menschen, die eine caritative Einrichtung aufsuchen, um dort Rat oder Hilfe zu erhalten, darauf vertrauen, dass ihre Daten nur erhoben, verarbeitet oder an Dritte weitergegeben werden, soweit dies für die von ihnen gewünschte Beratung, Behandlung, Betreuung erforderlich ist. Ihnen stehen bei Eingriffen in ihr Persönlichkeitsrecht Unterlassungs-, Widerrufs- und Schadensersatzansprüche zu.

Beim Umgang mit den Klienten/Patienten/Bewohnern sind u. a. folgende Grundsätze zu beachten:

• Das Recht auf informationelle Selbstbestimmung muss stets gewahrt werden. Eine zweckfremde Verarbeitung ist ohne Einwilligung des Betroffenen nur zulässig, wenn eine Rechtsvorschrift sie zulässt oder anordnet.
  
  Beispiel: Von einer Schuldnerberatungsstelle erfragte Daten zur persönlichen Situation dürfen nicht im Rahmen der Erziehungsberatung genutzt werden.
• Einwilligungen bedürfen zu ihrer Wirksamkeit zwar nicht der Schriftform. Ihre Dokumentation ist aber aus Beweiszwecken zweckmäßig.
• Bei der Aufnahme in die Einrichtung dürfen personenbezogene Daten nur erhoben werden, soweit diese für die Behandlung erforderlich sind.
• Nur Kollegen und Vorgesetzte, die an der Behandlung mitwirken, dürfen über alle personenbezogenen Daten informiert werden, die für die Behandlung bedeutsam sind. Sie dürfen nicht über einem Mitarbeiter persönlich anvertraute Daten informiert werden.
• Dritte Personen, auch nahe Angehörige, dürfen nur mit Einwilligung des Betroffenen über dessen personenbezogene Daten informiert werden.
  
  Beispiel: Unzulässig ist es, über einen Bewohner zu sprechen, wenn andere Bewohner, Besucher oder nichtbeteiligte Kollegen mithören können.
• Besucher dürfen nur mit Einwilligung des Betroffenen über dessen Aufenthalt in der Einrichtung informiert werden. Auch muss sichergestellt sein, dass Unbefugte keinen Zutritt zur Pflegeeinrichtung erhalten.
• Staatlichen Stellen dürfen personenbezogene Daten nur übermittelt werden, wenn eine Rechtvorschrift dies ausdrücklich zulässt oder anordnet.
• Behandlungs-, Patientenakten, Pflegedokumentationen usw. unterliegen als strukturierte Daten den besonderen Schutzvorschriften des KDG und der Durchführungsverordnung. Sie sind vor unbefugtem Zugriff zu sichern (sehen Sie hierzu den Beitrag "Schutz von Sozialdaten durch caritative Träger und deren Mitarbeiter" auf unserer Homepage).
• Die Nutzung dienstlicher IT-Systeme zu privaten Zwecken und die Nutzung privater IT-Systeme zu dienstlichen Zwecken sind grundsätzlich unzulässig und nur ausnahmsweise zulässig (§§ 19, 20 KDG-DVO).
• Bei der Übermittlung von personenbezogenen Daten per Fax oder E-Mail sind die besonderen Anforderungen der §§ 24, 25 KDG-DVO zu beachten.
• Kopier-/Scangeräte mit eigener Speichereinheit sind gegen Zugriffe unbefugter Dritter zu sichern (§ 26 KDG-DVO).

Verstöße gegen den Datenschutz sind zugleich Verstöße gegen die arbeitsrechtliche Geheimhaltungs- und häufig auch gegen die strafrechtliche Schweigepflicht (§ 203 StGB).

1 Europäischer Gerichtshof, Urteil vom 10.07.2018 - C-25/17, Rn 59.
2 Bundesgerichtshof, Urteil vom 29.11.2016 - VI ZR 530/15, Rn 18ff.