Schutz von Sozialdaten durch caritative Träger und deren Mitarbeiter
Sind Mitarbeiter der freien Träger zu Auskünften, Aushändigung von Unterlagen, Zeugenaussagen usw. verpflichtet und ggf. wie weit geht diese Verpflichtung?
1. Grundrecht und Menschenrecht auf informationelle
Selbstbestimmung
Der Staat hat nach dem Grundgesetz die Würde des Menschen zu achten und schützen (Art. 1 und 2 GG). Ihrem Schutz dient das allgemeine Persönlichkeitsrecht, das auch die Befugnis des Einzelnen umfasst,"grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden" (Informationelles Selbstbestimmungsrecht).1
Die Kirche erkennt im Kirchlichen Gesetzbuch, dem der höchste Rang in der kirchlichen Rechtsordnung zukommt, das Fundamentalrecht auf Persönlichkeitsschutz und Datenschutz an (Canon 220 CIC):2 "Niemandem ist es erlaubt, den guten Ruf, den jemand hat, rechtswidrig zu schädigen und das Recht irgendeiner Person auf Schutz der eigenen Intimsphäre zu verletzen."
2. Gesetz über den kirchlichen Datenschutz
Aufgrund des kirchlichen Selbstbestimmungsrechts haben die deutschen Bischöfe durch das "Gesetz über den kirchlichen Datenschutz" den Datenschutz in kirchlichen Angelegenheiten geregelt. Das kirchliche Selbstbestimmungsrecht wird durch das staatliche und das kirchliche Recht begrenzt.
2.1 Einklang mit dem staatlichen Datenschutzrecht
Die Datenschutzgrundverordnung hat das Selbstbestimmungsrecht der Kirche ausdrücklich anerkannt, jedoch einschränkend bestimmt, dass eine kirchliche Datenschutzregelung mit der Verordnung "in Einklang gebracht werden muss" (Art. 91 DSGVO).
Einklang bedeutet, dass der kirchliche Datenschutz die Grundrechte und Grundfreiheiten mindestens in gleichem Maße wie der staatliche Datenschutz schützen muss. Der kirchliche Schutz der personenbezogenen Daten darf nicht schwächer, aber stärker sein als der staatliche Schutz. Nicht erforderlich ist eine gleichartige Regelung, wohl aber eine, die gleichwertig ist und - unter Berücksichtigung besonderer kirchlicher Umstände - ein ebenso hohes Datenschutzniveau bietet wie das staatliche Datenschutzrecht.
Das staatliche Datenschutzrecht beruht auf drei Rechtsgrundlagen, die unmittelbar oder mittelbar auch von kirchlichen Einrichtungen zu beachten sind:
- EU-Datenschutzgrundverordnung enthält die grundlegende Regelung, die unmittelbar wie ein Gesetz gilt,
- Bundesdatenschutzgesetz,
- Sozialdatenschutz (§ 35 SGB I - Sozialgeheimnis).
Das "Gesetz über den kirchlichen Datenschutz" sieht keinen besonderen Schutz der Sozialdaten vor (sehen Sie hierzu Abschnitt 5.2).
2.2 Einklang mit dem kirchlichen Gesetzbuch
Das Fundamentalrecht eines jeden Menschen auf Schutz seiner Persönlichkeitssphäre bildet die kirchliche Grenze für Eingriffe in das Persönlichkeitsrecht (Canon 220 CIC).
Zum katholischen Profil gehört außerdem unabdingbar, dass die Kirche in ihrer caritativen Arbeit den Menschen, "die Begleitung, Unterstützung und Hilfe in Notlagen brauchen, angemessen und in christlichem Sinne begegnet".3
Kirchliche Datenschutzvorschriften dürfen somit
- keine Eingriffe in Persönlichkeitsrechte zulassen, die nicht wegen überwiegender kirchlicher Interessen erforderlich sind,
- den Persönlichkeitsschutz nicht auf bestimmte Notlagen beschränken. Sie müssen alle sozialen Daten einbeziehen, die sich ungünstig auf das gesellschaftliche Ansehen und die Teilhabe am Leben in der Gesellschaft auswirken können.
3. Umgang mit personenbezogenen Daten in caritativen
Einrichtungen
Das "Gesetz über den kirchlichen Datenschutz" verpflichtet die Träger caritativer Einrichtungen, das Recht natürlicher Personen bei der Verarbeitung personenbezogener Daten zu schützen (§ 3 Abs. 1
Buchst. b) KDG)
Auch alle Beschäftigten, die mit der Datenverarbeitung befasst sind, dürfen personenbezogene Daten nicht unbefugt offenbaren. Sie sind bei Aufnahme der Tätigkeit auf das Datengeheimnis und die Einhaltung der einschlägigen Datenschutzregelungen schriftlich zu verpflichten (§ 5 KDG, § 53 BDSG). Auch die entsprechend anwendbaren Regelungen über den Schutz des Sozialgeheimnisses müssen in die Verpflichtung einbezogen werden.
4. Grundbegriffe des Datenschutzrechts
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse, die sich einer bestimmten oder bestimmbaren natürlichen Person zuordnen lassen (§ 4 Nr. 1 KDG).
Sozialdaten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener), die von einem öffentlichen Sozialleistungsträger im Hinblick auf seine Aufgaben nach dem Sozialgesetzbuch erhoben, verarbeitet oder genutzt werden
(§ 67 Abs. 1 Satz 1 SGB X).
Beispiele für Sozialdaten:
- Angaben zur Person: Name, Geburtsort, Geburtsdatum, Nationalität, Familienstand,
- Kontaktdaten: Anschrift, E-Mail-Adresse, Telefonnummer, IP-Adresse,
- Einkommens- und Vermögensverhältnisse: Einkommen, Barvermögen, Sachvermögen, Schulden und Kredite, Bezug von Sozialleistungen,
- Körperliche Merkmale: Größe, Gewicht, Haarfarbe, Augenfarbe, Tätowierungen, Leistungsfähigkeit,
- Verhalten: Aufsuchen von Sozialbehörden, Verhalten im Gespräch, in der Familie, in der Öffentlichkeit, Straftaten, Kaufverhalten, Essgewohnheiten, Alkoholkonsum, usw.
Besondere personenbezogene Daten (= besondere Kategorien personenbezogener Daten) sind personenbezogene Daten, die besonders geschützt werden, weil sie sich auf Merkmale beziehen, die zu einer Benachteiligung führen könnten bzw. die zum höchstpersönlichen Lebensbereich gehören
- Zugehörigkeit zu Gewerkschaft, Berufsverband usw.,
- religiöse, philosophische und politische Orientierung an Konfession, Partei, Weltanschauung,
- rassische und ethnische Herkunft, nicht aber Staatsangehörigkeit,
- sexuelle Orientierung: Hetero-, Homo- und andere Formen der Sexualität,
- Gesundheit: nicht nur Krankheitsdaten, sondern alle mit der Gesundheit zusammenhängenden Daten.
Gesundheitsdaten: Zu den besonderen Kategorien personenbezogener Daten gehören alle Daten, die sich auf die Gesundheit des Patienten beziehen. Sie sind nicht gleichzusetzen mit medizinischen Daten.4
Nach der auch für das KDG maßgeblichen Definition der Weltgesundheitsorganisation ist "Gesundheit … ein Zustand des vollständigen körperlichen, geistigen und sozialen Wohlergehens und nicht nur das Fehlen von Krankheit oder Behinderung."
Zu den Gesundheitsdaten gehören deshalb auch Daten der Sozialsphäre - Alter, Aussehen, Verhalten, Gewicht, Größe, Leistungsvermögen - und psychosoziale Daten der Menschen, denen caritative Einrichtungen Hilfeleistungen erbringen. Psychosoziale Daten sind alle Daten, die sich auf das "soziale Wohlergehen" eines Menschen beziehen, auf seine Gefährdungen und Defizite, Entwicklungsstörungen, Charaktereigenschaften, familiäre Beziehungen, soziales Verhalten, Lebensgewohnheiten, Alkoholkonsum usw.5
Verarbeiten ist jedes Erheben, Erfassen, Speichern, Verändern, Ordnen, Übermitteln, Sperren, Löschen und Vernichten von personenbezogenen Daten (zu weiteren Einzelheiten siehe § 4 Nr. 3 KDG).
Beispiele: Daten werden erhoben durch Befragung, Beobachtung, Überwachung, Lesen von Akten oder Dateien.
Eine Mitarbeiterin verwendet personenbezogene Daten, wenn sie eine Kollegin darüber informiert, dass ein Heimbewohner gestürzt ist, damit die Kollegin sich darauf einstellen kann.
5. Einwilligung der betroffenen Person
Die Einwilligung der betroffenen Person ist in aller Regel die notwendige Grundlage für die Erhebung, Verarbeitung und Weitergabe personenbezogener Daten, weil Einrichtungen der Caritas keine gesetzlichen Eingriffsrechte zustehen.
Für die Einwilligung in die Verarbeitung von personenbezogenen Daten gilt § 8 KDK. Die Regelungen über die Verarbeitung von Sozialdaten in 67b Abs. 2 SGB X stimmen weitgehend.
Wer mit der caritativen Einrichtung einen Vertrag abschließt, erklärt dadurch sein allgemeines Einverständnis zur Datenverarbeitung im Rahmen des Vertragszwecks (§ 6 Abs. 1 Buchst. c) KGD; § 11 Abs. 2 Buchst. a) KDG; § 67b Abs. 1 SGB X).
Eine besondere Einwilligung ist aus diesem Grunde nur für Datenverarbeitungen erforderlich, die vom Vertragszweck nicht erfasst werden, insbesondere für die Übermittlung an Dritte und die Einholung von Auskünften bei Dritten.
Beispiele: Wünscht eine Frau eine anonyme mündliche Beratung, dürfen ohne ihre Einwilligung ihre Angaben zur Person und zum gewalttätigen Partner nicht gespeichert werden.
Eine Sozialarbeiterin darf nur mit Einwilligung der Eltern mit dem Lehrer über das Verhalten des Kindes in der Schule sprechen.
Der Verantwortliche muss nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 Abs. 1 DSGVO; § 8 Abs. 5 KDG). Auch eine nicht schriftlich erteilte Einwilligung sollte deshalb schriftlich dokumentiert werden.
Die Einwilligung ist die vorherige Zustimmung des Betroffenen. Eine nachträglich erteilte Zustimmung hebt die Rechtswidrigkeit nicht auf. Eine erteilte Einwilligung ist jederzeit widerrufbar (Art. 7 Abs. 3 DSGVO, § 8 Abs. 6 KDG).
Der Betroffene muss vor Erteilung der Einwilligung darauf hingewiesen werden, auf welche konkreten Daten sie sich erstreckt, welchen konkreten Zweck die vorgesehene Verarbeitung hat, auf die Folgen der Verweigerung und die jederzeitige Widerrufsmöglichkeit (Art. 7 Abs. 3 DSGVO; § 67 Abs. 2 Satz 2 SGB X; § 8 Abs. 1 Satz 1 KDG).
Die Einwilligung ist nur wirksam, wenn sie freiwillig abgegeben wird (Art. 7 Abs. 4 DSGVO; § 8 Abs. 1
Satz 2 KDG). Die Freiwilligkeit ist fraglich, wenn ein Betroffener Nachteile befürchten muss, falls er seine Einwilligung verweigert (§ 8 Abs. 7 KDG).
Die Einwilligung muss sich auf bestimmte Daten beziehen, die in der schriftlichen Einwilligungserklärung angegeben sind (Erwägungsgrund 32 zur DSGVO).
Die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten muss sich ausdrücklich auf diese beziehen (§ 8 Abs. 4 KDG).
Pauschale Einwilligungserklärungen und Einwilligungen, die sich auf zukünftige ungewisse Ereignisse und Handlungen beziehen, sind grundsätzlich unwirksam, weil der Betroffene nicht weiß, was zukünftig sein wird und deshalb auch nicht weiß, auf welche Informationen über die zukünftige Entwicklung sich seine Einwilligung bezieht wird. Unzulässig und unwirksam sind aus diesem Grunde beispielsweise in der Praxis den Klienten bei Beginn einer Beratung/Behandlung vorgelegte Formularerklärungen, mit denen behandelnde Ärzte, Therapeuten und andere Fachkräfte sämtlich von ihren Schweigepflichten entbunden werden.
Beispiel: Eine Familienhelferin lässt sich die Einwilligung zu einem Gespräch mit einer Mitarbeiterin des Jugendamts geben, ohne den Familienangehörigen zu erklären, welche Informationen und fachlichen Einschätzungen über die Familie sie dem Jugendamt mitteilen will.
Die Einwilligung soll schriftlich (§ 8 Abs. 2 KDG) oder auch elektronisch erfolgen (§ 67b Abs. 2 Satz 1
SGB X; § 36a SGB X). § 8 Abs. 2 Satz 3 KDG verlangt zwar die Schriftform. Ausnahmsweise kann aber wegen "besonderer Umstände" eine andere Form angemessen sein z. B. bei besonderer Eilbedürftigkeit, bei Analphabeten usw. Nur bei Bewusstlosigkeit einer Person darf eine Einwilligung in vermutlich ihrem Interesse entsprechende Maßnahmen angenommen werden.
Ausnahmsweise kann eine Einwilligung z. B. telefonisch erklärt werden. Wegen fehlender Sicherheit der Verarbeitung ist aber eine Einwilligung mittels einfacher E-Mail nicht zulässig (Art. 32 DSGVO).
Die Erteilung der Einwilligung ist eine höchstpersönliche Angelegenheit und setzt nicht Geschäftsfähigkeit nach dem BGB, sondern natürliche Handlungsfähigkeit voraus. Bisher war im deutschen Recht anerkannt, dass die Grundrechte auch Kindern zustehen und dass sich die Grundrechtsmündigkeit und Handlungsfähigkeit von Kindern und Jugendlichen in persönlichen Angelegenheit nach der individuellen Fähigkeit bestimmt, die Tragweite des Handelns zu beurteilen.
Die Einsichtsfähigkeit kann beeinträchtigt sein oder fehlen bei Leseschwäche, Sprach- und Verständnisschwierigkeiten und bei geistiger Behinderung. In diesen Fällen kann eine Einwilligung unwirksam sein.
Ist der betroffene Mensch aus tatsächlichen oder rechtlichen Gründen nicht in der Lage, die Einwilligung zu erteilen, ist die Erklärung durch seinen gesetzlichen Vertreter abzugeben.
6. Rechtmäßigkeit der Datenverarbeitung in caritativen
Einrichtungen
Die Kernaufgabe caritativer Einrichtungen besteht darin, personenbezogene Dienstleistungen in Form von Behandlung, Pflege, Erziehung, Beratung zu erbringen. Um diese Dienstleistungen erbringen zu können, müssen Mitarbeiter gewonnen und mit den erforderlichen Sachmitteln ausgestattet werden.
Die Leitung der Einrichtung ist für die Organisation verantwortlich. Um ihre Aufgaben erfüllen zu können, schließen caritative Einrichtungen unterschiedliche Verträge nach dem Bürgerlichen Gesetzbuch ab und stehen dabei im Wettbewerb mit anderen gemeinnützigen und gewerblichen Anbietern. Sie erheben personenbezogene Daten, verarbeiten diese und geben sie evtl. an Dritte weiter:6
Die Rechtmäßigkeit der Datenverarbeitung hängt davon ab, um welche Aufgabe es sich im konkreten Fall handelt und welche Regelung darauf anzuwenden ist. Unterschiedliche Datenschutzvorschriften gelten für den
- Bereich der gesundheitlichen und sozialen Hilfen: "Sozialdaten" insbesondere Daten aus Beratungs-, Behandlungs-, Betreuungsverträgen über medizinische, pflegerische oder soziale Dienstleistungen (sehen Sie hierzu Abschnitt 5.1).
- sonstigen Bereich der für alle geltenden Gesetze: Daten aus Beschaffungsverträgen, Kauf-, Miet-, Dienst- und Werkverträgen mit Lieferanten, Handwerkern, Kommunen zur Deckung des Sachmittel- und Dienstleistungsbedarfs, Daten der Tochtergesellschaften des caritativen Trägers, die nicht der kirchlichen Aufsicht unterliegen, Schuldaten, Erfüllung öffentlich-rechtlicher Pflichten im Arbeitsschutz,
- Bereich der kirchlichen Selbstbestimmung: Daten aus dem Bereich der Seelsorge, der betrieblichen Organisation und Verwaltung, soweit diese von kirchenrechtlichen Vorschriften bestimmt, Daten aus der Anwendung der Mitarbeitervertretungsordnung.
Für den Beschäftigtendatenschutz gilt die Sonderregelung in § 53 KDG.
6.1 Datenverarbeitung im Bereich der gesundheitlichen und sozialen
Hilfen
Caritative Einrichtungen erheben und bearbeiten personenbezogene Daten des (künftigen) Vertragspartners vor Abschluss, zur Durchführung und zur Beendigung von Beratungs-, Behandlungs-, Betreuungsverträgen über medizinische oder soziale Dienstleistungen.
Beispiele: Behandlungsvertrag, Heimvertrag, Vertrag über ambulante Pflege, Kita-Vertrag, Vertrag über erzieherische Hilfen, Beratungsverhältnis ohne ausdrückliche Vereinbarung usw.
6.2 Entsprechende Anwendung des gesetzlichen Sozialdatenschutzes
Für die öffentlichen Sozialleistungsträger, deren Behörden und Ämter ist eindeutig geregelt, dass alle Sozialdaten innerbehördlich wie ein Geheimnis behandelt werden und an dritte Personen und Stellen nur in den ausdrücklich vom Gesetz zugelassenen Fällen übermittelt werden dürfen (§ 35 SGB I).
Öffentliche Sozialleistungsträger bzw. Behörden oder Ämter sind u. a. Krankenkassen, Pflegekassen, Job-Center, Arbeitsagenturen, Jugendämter, Sozialämter, Träger der Sozialhilfe, Versorgungsämter.
Das Sozialgeheimnis umfasst nicht nur Daten in Dateien, sondern alle personenbezogenen Daten, die vom Sozialleistungsträger im Hinblick auf seine Aufgaben nach dem Sozialgesetzbuch erhoben, verarbeitet oder genutzt werden (§ 35 Abs. 2 Satz 2 SGB I). Ob der Betroffene ein Geheimhaltungsinteresse hat, wenn er beispielsweise einen Finger gebrochen hat, ist ohne Bedeutung.
Gleiche Schutzwürdigkeit der Sozialdaten im Bereich der Caritas
Von der Krankenhilfe, über die allgemeinen sozialen Hilfen bis zur Straffälligenhilfe erbringen caritative Einrichtungen Dienstleistungen, um hilfesuchenden, gefährdeten oder belasteten Menschen zu ermöglichen, den Alltag in Familie, Beruf oder Öffentlichkeit besser zu bewältigen. Die Mitarbeiter der Caritas haben in der Regel direkten Kontakt mit Betroffenen. Sie kennen deshalb erheblich mehr soziale und psychosoziale Daten aus dem unantastbaren Bereich privater Lebensgestaltung als die Sachbearbeiter der öffentlichen Kostenträger. Diese Daten müssen nach dem Grundgesetz noch stärker geschützt werden als beispielsweise die schutzwürdigen Gesundheitsdaten.7 Es wäre mit dem Willkürverbot des Grundgesetzes nicht vereinbar, diese besonders schutzwürdigen Sozialdaten bei freien Trägern aus dem Schutzbereich des Sozialgeheimnisses auszuschließen.
Auch das kirchliche Gesetzbuch verpflichtet zum Schutz der Intimsphäre und verbietet, was das gesellschaftliche Ansehen eines Menschen beeinträchtigen könnte (Canon 220). Es beschränkt die Verpflichtung nicht auf die körperliche Intimsphäre, sondern erstreckt sich auf alle Daten, deren Weitergabe Angst und Scham beim Betroffenen bzw. dessen soziale Ausgrenzung auslösen kann.8
Beispiele: Armut, Besuch einer Tafel, sexueller Missbrauch in der Familie.
Aus kirchlicher und aus verfassungsrechtlicher Sicht ist es deshalb geboten, alle Daten, die von einer caritativen Einrichtung im Rahmen ihrer caritativen Aufgaben erhoben, verarbeitet oder genutzt werden in Entsprechung zum gesetzlichen Sozialdatenschutz wie Sozialdaten zu schützen. Die gesetzlichen Vorschriften über das Sozialgeheimnis und den besonderen Schutz der Sozialdaten gelten somit entsprechend (§ 2 Abs. 2 BDSG; § 35 Abs. 2 SGB I).9 Diese haben Vorrang vor dem Bundesdatenschutzgesetz (§ 1 Abs. 3 BDSG).
Das KDG berücksichtigt den gesetzlichen Sozialdatenschutz nicht. Nur die "Anordnung über den Sozialdatenschutz in der freien Jugendhilfe in kirchlicher Trägerschaft" verpflichtet bisher caritative Träger, den Schutz der Sozialdaten in entsprechender Weise zu gewährleisten (§ 61 Abs. 3 SGB VIII). Diese Gewährleistungspflicht gilt aber spätestens mit Inkrafttreten der EU-Datenschutzgrundverordnung für alle personenbezogenen Daten, die im Rahmen sozialer Hilfen von freien Trägern verarbeitet werden (Hilfe für Kranke, Altenhilfe, Behindertenhilfe, Allgemeine Sozialhilfe, Wohnungslosenhilfe, Straffälligenhilfe usw.).
6.3 Verarbeiten von Sozialdaten
Für das Verarbeiten von Sozialdaten durch caritative Träger gelten § 35 SGB I, §§ 67-67c SGB X über den Schutz des Sozialgeheimnisses in entsprechender Anwendung. Insoweit ist das KDG nur anzuwenden, soweit es mit dem staatlichen Recht in Einklang steht.
Das SGB enthält keine vollständige Regelung des Sozialdatenschutzes. Ergänzend gilt die EU-DSGVO.
Die Verarbeitung und Nutzung von Sozialdaten sind nur zulässig, soweit eine Rechtsvorschrift sie zulässt bzw. anordnet oder soweit der Betroffene eingewilligt hat (§ 67b SGB X).
6.3.1 Erheben von Sozialdaten
Das Erheben von Sozialdaten durch caritative Einrichtungen ist rechtmäßig, wenn und soweit die Daten erforderlich sind, um die sich aus einem Vertrag über die soziale Dienstleistung ergebenden Rechte ausüben und die Pflichten erfüllen zu können (§ 67a Abs. 1 SGB X entsprechend; § 6 Abs. 1 Buchst. c) KDG). Dazu gehören die für die Leistungsabrechnung und die fachliche Dokumentation erforderlichen Daten. Auch das Erheben der erforderlichen besonderen Kategorien personenbezogener Daten ist zulässig.
Beispiel: Ein Arzt darf alle für seine Diagnose erforderlichen Daten zum Gesundheitszustand erheben, eine Sozialarbeitern die für die weitere Beratung nach einem sexuellen Missbrauch erforderlichen Daten.
Bei einem Heimvertrag sind Angaben zur Person, zum Pflegebedarf, zu Bezugspersonen usw. erforderlich.
Ersterhebung
Sozialdaten sind bei der betroffenen Person zu erheben (Ersterhebungsgrundsatz - § 67a Abs. 2 SGB X; § 62 Abs. 2-4 SGB VIII).
Befragungen von Nachbarn, Bekannten, Arbeitskollegen, Ämtern oder anderen freien Trägern ohne Kenntnis der betroffenen Person sind grundsätzlich unzulässig.
Beispiel: Bittet eine Frau eine Sozialarbeiterin um Rat in Partnerschafts- und Erziehungsproblemen, darf die Sozialarbeiterin ohne Einwilligung der Betroffenen nicht mit dem Partner und den Kindern Kontakt aufnehmen.
Das Erheben bei einer anderen Stelle oder Person ist ausnahmsweise zulässig unter den in § 67a Abs. 2 SGB X genannten Voraussetzungen, insbesondere, wenn Interessen der betroffenen Person nicht beeinträchtigt werden bzw. Interessen Dritter überwiegen.
Informationspflicht
Erhebt die Einrichtung die personenbezogenen Daten bei der betroffenen Person, hat sie zum Zeitpunkt der Erhebung umfassend über alle Umstände zu informieren, die für die betroffene Person zur Ausübung ihres informationellen Selbstbestimmungsrechts erheblich sein können (§ 15 Abs. 1 KDG) und eine faire und transparente Verarbeitung gewährleisten (§ 15 Abs. 2 KDG).
Beispiel: Zu Beginn einer Beratung ist u. a. über die Namen und Kontaktdaten der verantwortlichen Personen, den Zweck der Beratung, die Dauer der Speicherung, Auskunfts- und Beschwerderechte zu informieren.
Die Informationspflicht besteht nur dann nicht, wenn die Information für die betroffene Person nicht erforderlich, von geringer Bedeutung oder wenn die Auskunft die Wahrnehmung des Auftrags der Kirche gefährden würde (§ 15 Abs. 4 und 5 KDG).
§ 15 KDG beruht auf Art. 13 EU-DSGVO. Einschränkungen durch § 82 SGB X gelten nicht, weil die insoweit für betroffene Menschen günstigere Regelung des § 15 KDG Vorrang hat.
Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, ist diese zusätzlich über die erhobenen Daten und darüber zu informieren, aus welcher Quelle die Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen (§ 16 Abs. 1 KDG).
Die Information muss zum Zeitpunkt der ersten Information an die betroffenen Person erfolgen, wenn die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, in anderen Fällen innerhalb einer angemessenen Frist, spätestens innerhalb eines Monats (§ 16 Abs. 2 KDG). Eine Information ist nicht zu erteilen, wenn dadurch die Erfüllung der Aufgabe oder kirchliche Interessen beeinträchtigt würden (§ 16 Abs. 4-5 KDG).
§ 16 KDG beruht auf Art. 14 DSGVO. Einschränkungen durch § 82a SGB X gelten nicht, weil die insoweit für betroffene Menschen günstigere Regelung des § 16 KDG Vorrang hat.
Unterbleibt eine Information der betroffenen Person über die zu ihr erhobenen Daten, hat die Einrichtung durch geeignete Maßnahmen die berechtigten Interessen der betroffenen Person zu sichern. Sie hat schriftlich festzuhalten, aus welchen Gründen sie von einer Information abgesehen hat (§ 16 Abs. 6 KDG).
6.3.2 Speicherung, Veränderung und Nutzung der Sozialdaten
Hat sich eine caritative Einrichtung vertraglich zur Erbringung einer gesundheitlichen oder sozialen Dienstleistung verpflichtet, ist die Speicherung, Veränderung und Nutzung von besonderen Kategorien personenbezogenen Daten nur zulässig, soweit § 11 Abs. 2 KDG dies erlaubt bzw. soweit sie sich auf Daten bezieht, die der betroffene Mensch offensichtlich öffentlich gemacht hat (§ 67b Abs. 1 Satz 2 SGB X entsprechend; Art 9 Abs. 2 Buchst. a),c), e) und f) DSGVO).10
Die Speicherung, Veränderung und Nutzung der sonstigen Sozialdaten ist weitgehend in ähnlichem Umfang entsprechend § 67b Abs. 1 und § 67c Abs. 1 SGB X zulässig, soweit sie erforderlich ist
- für die vertraglich vereinbarte Beratung, Behandlung, Betreuung oder Versorgung und deren organisatorische, verwaltungsmäßige, finanzielle Abwicklung (§ 69 Abs. 1 Nr. 1 erster Halbsatz SGB X entsprechend; § 6 Abs. 1 Buchst. c) KDG; Art. 6 Abs. 1 DSGVO),
- zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt (Art. 6 Abs. 1 Buchst. c) DSGVO),
Beispiel: § 138 StGB verpflichtet zur Anzeige geplanter schwerer Straftaten. Eine Pflicht zur Anzeige bereits begangener Straftaten besteht nicht.
Die Mitarbeitervertretungsordnung verpflichtet Dienstgeber, die Mitarbeitervertretung vor der Kündigung eines Mitarbeiters über die Kündigungsgründe zu informieren (§ 30 MAVO). - um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 Buchst. d) DSGVO). Bei Verarbeitung besonderer Kategorien personenbezogener Daten ist zusätzlich erforderlich, dass die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben (Art. 9 Abs.2 Buchst. c) DSGVO),
Beispiel: Ein Altenheim teilt der Polizei Namen, Alter und Gesundheitsdaten eines verschwundenen schwerkranken Bewohners mit, um Suchmaßnahmen zu ermöglichen. - die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, eines mit der Erfüllung des Vertrags zusammenhängenden gerichtlichen Verfahrens einschließlich eines Strafverfahrens (§ 6 Abs. 1 Buchst g) KDG entsprechend § 69 Abs. 1 Nr. 2 SGB X; Art. 9 Abs. 2 Buchst. f) DSGVO),
Beispiel: Ein Krankenhaus darf einen Rechtsanwalt über die Behandlung eines Patienten informieren, der die Behandlungskosten nicht bezahlt hat, und ihm Vollmacht erteilen, den Zahlungsanspruch notfalls gerichtlich geltend zu machen. - die Richtigstellung unwahrer Tatsachenbehauptungen des Betroffenen in Zusammenhang mit dem Vertrag (§ 6 Abs. 1 Buchst. g) KDG entsprechend § 69 Abs. 1 Nr. 3 SGB X),
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt (Art. 6 Abs. 1 Buchst. f) DSGVO; Erwägungsgrund 47).
Beispiel: Strafanzeige gegen den mutmaßlichen Dieb, wenn keine andere Möglichkeit besteht, weitere Diebstähle im Altenheim zu vermeiden. - die Erfüllung der gesetzlichen Aufgaben der Rechnungshöfe (entsprechend § 69 Abs. 5 SGB X),
- die Wahrnehmung von Aufsichts-, Kontroll- und Disziplinarbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen für die verantwortliche Stelle (§ 6 Abs. 3 Satz 1 KDG, entsprechend § 67c Abs. 3 Satz 1 SGB X),
- die Veränderung oder Nutzung zu Ausbildungs- und Prüfungszwecken durch die verantwortliche Stelle, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen (§ 6 Abs. 3 Satz 2 KDG, entsprechend § 67c Abs. 3 Satz 2 SGB X),
- die Speicherung ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage (§ 6 Abs. 5 KDG, entsprechend § 67c Abs. 4 SGB X),
- für Zwecke der wissenschaftlichen Forschung oder Planung im Sozialwesen. Erhobene oder gespeicherte Sozialdaten dürfen von der caritativen Einrichtung nur für ein bestimmtes Vorhaben der wissenschaftlichen Forschung oder der Planung im Sozialwesen verändert oder genutzt werden. Die Sozialdaten sind zu anonymisieren, sobald dies nach dem Forschungs- oder Planungszweck möglich ist (entsprechend § 67c Abs. 5 SGB X in teilweiser Abweichung von § 6 Abs. 3 KDG). Außerdem muss das kirchliche Interesse an dem Forschungsvorhaben das Interesse der betroffenen Person an dem Schutz des Sozialgeheimnisses erheblich überwiegen (§ 6 Abs. 5 KDG).
Sozialdaten Verstorbener dürfen nur entsprechend den Vorschriften über den Sozialdatenschutz verarbeitet oder genutzt werden, ohne die sonst erforderliche Einwilligung nur dann, wenn schutzwürdige Interessen des Verstorbenen oder seiner Angehörigen dadurch nicht beeinträchtigt werden können (§ 35 Abs. 5 SGB I).
6.3.3 Interne Verwendung der Sozialdaten: Kommunikation mit Kollegen und Vorgesetzten
Innerhalb der Einrichtung ist die fachlich notwendige Kommunikation mit Kollegen und Vorgesetzten rechtmäßig und zulässig, soweit sie innerhalb einer Organisationseinheit erfolgt und für die vereinbarte Betreuung/Behandlung/Bearbeitung erforderlich ist (§ 35 Abs. 1 Satz 2 SGB I).
Beispiele: Die bei der Aufnahme in das Kinderheim erhobenen Personaldaten dürfen den Kollegen mitgeteilt werden, die für die kostenmäßige Abwicklung zuständig sind (Nutzung für die verwaltungsmäßige Abwicklung).
Zulässig ist es, bei Schichtwechsel im Altenheim die übernehmende Kollegin darüber zu informieren, dass eine Bewohnerin die Nachricht vom Tod eines Enkelkindes erhalten habe und deshalb nur schwer ansprechbar ist (Nutzung zur Erfüllung der heimvertraglichen Betreuungspflicht).
Im Team können Probleme einzelner Bewohner und Möglichkeiten der Problemlösung unter Berücksichtigung der individuellen gesundheitlichen Bedingungen erörtert werden.
Ausgenommen von der Mitteilung an Kollegen und Vorgesetzte sind solche Daten, die der Betroffene einem Mitarbeiter persönlich in der Erwartung mitgeteilt hat, dass dieser sie nicht Dritten mitteilt (Schweigepflicht nach § 203 StGB oder verfassungsrechtlicher Vertrauensschutz). Auch Kollegen und leitende Mitarbeiter, die für die konkrete Person/Angelegenheit nicht zuständig sind, dürfen nicht bzw. nur ohne Personenbezug informiert werden.
6.3.4 Verwendung der Daten zu einem anderen Zweck
Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie erhoben worden sind, ist zulässig, wenn eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt und kirchliche Interessen nicht entgegenstehen bzw. mit Einwilligung der betroffenen Person vorliegt (§ 6 Abs. 2 Buchst. a) und b) KDG).
In § 6 Abs. 2 Buchst. c) - h) KDG lässt das KDG die Datenverarbeitung zu Zwecken zu, die öffentlichen Stellen des Bundes und der Länder "im Rahmen ihrer Aufgabenerfüllung" vorbehalten sind (§ 23 BDSG). Diese Regelung des KDG steht nicht in Einklang mit dem staatlichen und dem kirchlichen Recht:
- Nach dem Bundesdatenschutzgesetz sind kirchliche Stellen, die caritative Aufgaben wahrnehmen, keine öffentlichen Stellen (§ 1 Abs. 1 Satz 1 KDG). Ihnen stehen deshalb die Eingriffsbefugnisse gemäß § 6 Abs. 2 Buchst. c) bis g) KDG schon aus diesem Grunde nicht zu.
- Mit dem kirchlichen Gebot, die Persönlichkeitssphäre eines jeden Menschen zu schützen, ist es unvereinbar, dass kirchlichen Stellen Eingriffsbefugnisse eingeräumt werden, die nicht einmal das staatliche Recht nichtöffentlichen Stellen einräumt. Mit dem kirchlichen Auftrag ist es unvereinbar, dass caritative Einrichtungen sich beispielsweise an der Verfolgung von Straftaten und Ordnungswidrigkeiten beteiligen (§ 6 Abs. 2 Buchst. g) KDG).
Zulässig ist die Verarbeitung zu einem anderen Zweck nur mit Einwilligung des Betroffenen oder zur Durchführung eines bestimmten Verfahrens der wissenschaftlichen Forschung oder Planung im Sozialbereich (§ 67c Abs. 2 SGB X). Verwendungen zu den in § 6 Abs. 2 Buchst. c) - h) KDG genannten Zwecken sind ausgeschlossen.
Beabsichtigt die Einrichtung, die personenbezogenen Daten für einen anderen Zweck einzusetzen als den, für den sie erhoben wurden, hat sie der betroffenen Person vor der Weiterverarbeitung alle für diesen anderen Zweck maßgeblichen Informationen zu vermitteln (§ 15 Abs. 3 und § 16 Abs. 3 KDG; Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO).
6.3.5 Übermittlung von Sozialdaten
Öffentliche Sozialleistungsträger sind einerseits wie andere Behörden zur gegenseitigen Rechts- und Amtshilfe verpflichtet (Art. 35 GG), andererseits hat jeder Mensch Anspruch darauf, dass unbefugte Übermittlungen unterbleiben (§ 35 Abs. 1 Satz 1 SGB I). Den öffentlichen Trägern sind zwar in §§ 68-78 SGB X Übermittlungsbefugnisse eingeräumt worden, damit sie ihre Amtshilfepflicht in beschränktem Umfang erfüllen können.
Diese Übermittlungsbefugnisse haben aber für caritative Träger keine Bedeutung, weil sie keine Amtshilfe leisten müssen.11 Sie können nur aufgrund besonderer gesetzlicher Regelung zur Übermittlung personenbezogener Daten berechtigt oder verpflichtet sein.
Beispiele: Pflicht eines jeden Menschen zur Anzeige geplanter schwerer Straftaten (§ 138 StGB); Pflicht zur namentlichen Meldung ansteckend erkrankter Personen (§§ 8, 9 Bundesinfektionsschutzgesetz).
Die Regelungen in § 6 Abs. 2 und § 11 Abs. 2 KDG, die kirchlichen und damit caritativen Trägern die zweckfremde Datenverarbeitung und zahlreiche Übermittlungsbefugnisse ohne Berücksichtigung des entsprechend zu beachtenden Sozialdatenschutzes einräumen, sind wegen der vorrangigen Regelung des Sozialdatenschutzes auf die Übermittlung von Sozialdaten nicht anwendbar. Deshalb wäre es rechtlich riskant, sie zu nutzen.
Beispiel: Teilt der Mitarbeiter einer caritativen Einrichtung auf Anfrage der Polizei mit, dass ein gesuchter Straftäter sich an bestimmten Tagen in der Einrichtung aufgehalten hat, verletzt er das Sozialgeheimnis. Ist nicht nachweisbar, dass der Mitarbeiter verständlich und umfassend über seine Geheimhaltungspflicht informiert worden ist, kann gegen die Verantwortlichen ein abschreckendes Bußgeld verhängt werden (§ 51 KDG).
6.3.6 Mitteilungspflichten aufgrund bereichsspezifischer Regelungen
Caritative Einrichtungen und deren Mitarbeiter können aufgrund allgemeiner gesetzlicher Vorschriften oder bereichsspezifischer Regelungen im Sozialgesetzbuch zur Übermittlung von Sozialdaten berechtigt oder verpflichtet sein. Im Sozialgesetzbuch bestehen Übermittlungspflichten u. a. in folgenden Fällen:
- Auskunftspflichten bei Leistungen zur Eingliederung in Arbeit (§ 61 SGB II),
- Auskunftspflichten bei Maßnahmen nach dem SGB III (§ 318 BGB),
- Pflicht der Ärzte und Krankenhäuser zur Mitteilung von Krankheitsursachen und drittverursachten Gesundheitsschäden (§ 294a SGB V),
- Pflicht zur Information des Jugendamtes bei Kindesgefährdung (§ 8a Abs. 4 SGB VIII; § 4 Kinderschutzgesetz),
- Meldepflichten des Heimträgers (§ 47 SGB VIII),
- Auskunftspflicht des Arztes oder Angehörigen eines anderen Heilberufs (§ 100 SGB X),
- Mitteilungspflichten der Leistungsträger in der Pflegeversicherung (§§ 104-106a SGB XI).
Außerdem verpflichten zahlreiche andere Gesetzen caritative Einrichtungen oder deren Mitarbeiter zu Auskünften oder Mitteilungen.
6.3.7 Keine Auskunfts-, Vorlage- und Zeugnispflicht in Gerichtsverfahren
Wenn keine Übermittlungspflicht besteht, besteht bei entsprechender Anwendung des § 35 Abs. 3 SGB I auf caritative Einrichtungen und deren Mitarbeiter auch
- keine Auskunftspflicht,
- keine Pflicht zur Vorlegung und Auslieferung von Schriftstücken, Akten oder Dateien,
- keine Pflicht zur Zeugenaussage in Verwaltungs- oder Gerichtsverfahren.
Die eindeutige gesetzliche Regelung soll sicherstellen, dass der Sozialdatenschutz bei öffentlichen Sozialleistungsträgern nicht von anderer Seite unterlaufen wird. Dieser Schutz wird aber unterlaufen, wenn Jugendämter, Polizeibehörden, Staatsanwälte oder Strafrichter, die auf Sozialdaten zugreifen wollen, Sozialarbeiter zu Aussagen zwingen wollen, psychisch extrem belasten, existentiell bedrohen und sie dadurch in Gewissenskonflikte bringen.
Beispiel: Ein Staatsanwalt leitet gegen einen Fanbetreuer, der den Namen eines Verdächtigen nicht nennen will, ein Strafverfahren wegen "Strafvereitelung im Amt in einem schweren Fall des Raubes" ein.12
Durch derartige Zugriffe wird die Vertrauensgrundlage für die soziale Hilfe untergraben und zerstört, die "zu den selbstverständlichen Pflichten eines Sozialstaats gehört."13 Den Konflikt zwischen Sicherung des Rechtsstaats einerseits und Erhaltung des Sozialstaats anderseits hat der staatliche Gesetzgeber nach dem Prinzip "Hilfe vor Strafe" entschieden: Die Mitarbeiter caritativer Einrichtungen sind in allen Verwaltungs- und Gerichtsverfahren, auch in Strafverfahren, nicht zu Aussagen über Sozialdaten verpflichtet.14
Aus entsprechender Anwendung des § 73 SGB X kann keine Aussagepflicht abgeleitet werden; denn die Vorschrift beruht auf der Amtshilfepflicht öffentlicher Sozialleistungsträger, die für caritative Träger nicht gilt.15
1 Grundlegend: Bundesverfassungsgericht, Urteil vom 15.12.1983 - 1 BvR 209/83, NJW 1984, 419.
2 Reinhardt in: Münsterischer Kommentar, Essen, Loseblatt, Band 2 can. 220, Ziffer 7;
Bloch, Die Stellungnahmen der römisch-katholischen Amtskirche zur Frage der Menschenrechte
seit 1215, 2007, 162.
3 Die deutschen Bischöfe; 98: Das katholische Profil caritativer Dienste und Einrichtungen,
herausgegeben vom Sekretariat der Deutschen Bischofskonferenz.
4 Wybitul, EU-Datenschutz-Grundverordnung, 2017, Rn 59.
5 Auch der Erwägungsgrund 53 zur EU-DSGVO "Verarbeitung sensibler Daten im Gesundheits- und
Sozialbereich" geht von einer gleichen Schutzwürdigkeit aus.
6 Zum "Hilfevertrag" im sozialhilferechtlichen Dreiecksverhältnis siehe Schindler/Elmauer in: Kunkel
u. a., SGB VIII, 2016, § 5 Rn 18.
7 Bundesverfassungsgericht, Beschluss vom 24.06.1993 - 1BvR 689/92, Rn 53-55.
8 Reinhardt in: Münsterischer Kommentar, Essen, Loseblatt, Band 2 can. 220, Ziffer 7;
Bloch, Die Stellungnahmen der römisch-katholischen Amtskirche zur Frage der Menschenrechte
seit 1215, 2007, 162.
9 Bieresborn, Neue Zeitschrift für Sozialrecht, 2018, 373.
10 Bieresborn, NZA 2017.
11 So auch Merkblatt zur "Anordnung über den Sozialdatenschutz …" in Arbeitshilfe Nr. 206 des
Sekretariats der Deutschen Bischofskonferenz, 2006/2018, Seite 114, Abschnitt 4 und Seite 117
Abschnitt 7 b).
12 Gutachten von Schruth /Simon, Strafprozessualer Reformbedarf des
Zeugnisverweigerungsrechts in der Sozialen Arbeit, am Beispiel der sozialpädagogischen
Fanprojekte im Fußball, 2018, 45ff.
13 Bundesverfassungsgericht, Beschluss vom 24.05.1977 - 2 BvR 988/75, Rn 69.
14 Zu weiteren verfassungsrechtlichen Wertungswidersprüchen siehe Dern in: Papenheim/Baltes
u. a., Verwaltungsrecht für die soziale Praxis, 2015, 289.
15 So auch schon Merkblatt zur "Anordnung über den Sozialdatenschutz …" in Arbeitshilfe Nr. 206
des Sekretariats der Deutschen Bischofskonferenz, 2006/2018, Seite 118.