Kirchliche Einrichtungen erhalten oftmals telefonische Anfragen, in denen zum Teil sensible Auskünfte über Personen begehrt werden, die in der Einrichtung angemeldet sind. Dabei ist die Identität der Anfragenden oftmals ungewiss.
Wann dürfen personenbezogene Daten überhaupt weitergegeben werden?
Es besteht grundsätzlich keine Verpflichtung zur Weitergabe von personenbezogenen Daten, es sei denn, dies ist gesetzlich vorgesehen. Für katholische Einrichtungen ergibt sich die gesetzliche Grundlage aus § 6 KDG. Darin heißt es:
„Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Dieses Gesetz oder eine andere kirchliche oder staatliche Rechtsvorschrift erlauben sie oder ordnen sie an;
b) die betroffene Person hat in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt;
c) die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
d) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
e) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
f) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im kirchlichen Interesse liegt oder in der Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
g) die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um einen Minderjährigen handelt, lit. g) gilt nicht für die von öffentlich-rechtlich organisierten kirchlichen Stellen in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“
Dies bedeutet: Besteht keine Verpflichtung, dürfen Daten nur weitergegeben werden, wenn dies gesetzlich zulässig ist oder die betroffene Person ausdrücklich eingewilligt hat.
Dabei ist zu berücksichtigen, dass alle Mitarbeiter/innen auf das Datengeheimnis verpflichtet sind und die unerlaubte Weitergabe von personenbezogenen Daten nicht nur arbeitsrechtliche, sondern ggf. auch haftungsrechtliche Konsequenzen nach sich ziehen kann.
Weitergabe personenbezogener Daten am Telefon
Wird eine telefonische Anfrage zu personenbezogenen Daten eines bei der katholischen Einrichtung angemeldeten Person verlangt, ist folgende Vorgehensweise aus datenschutzrechtlicher Sicht zu empfehlen:
a) Grundsätzlich sollten keine fernmündlichen Anfragen zu personenbezogenen Daten telefonisch beantwortet werden.
b) Ausnahmsweise können fernmündliche Anfragen nach personenbezogenen Daten telefonisch beantwortet werden, wenn
– … die Identität der Person nachgewiesen oder eine Vollmacht glaubhaft gemacht worden ist. Ggf. sind in diesem Zusammenhang behördliche Anordnungen zur Datenweitergabe vorzulegen.
– … eine Verifizierungsmaßnahme durchgeführt wurde.
Beispiel: Die katholische Einrichtung nimmt die Kontaktdaten der Bezugspersonen einer Person auf. Die Person erhält ein „Aktenzeichen“ oder sonstige Zahlenkombination. Diese wird ausschließlich gegenüber den Bezugspersonen kundgetan. Im Falle eines Anrufes dieser auskunftsberechtigten Personen können Kontrollfragen abgefragt werden (u.a. diese Zahlenkombination), um die Identifikation sicherzustellen.
Umsetzung in der Praxis
Um sicherzustellen, dass alle Beschäftigten Kenntnis über die Vorgehensweise erlangen, sollte eine Dienstanweisung, in welcher der Umgang mit Auskünften am Telefon erläutert wird, erstellt werden.
Update 23.10.2019
Die Angaben wurden hinsichtlich katholischer Einrichtungen konkretisiert.
Petra von Böhlen
24. Oktober 2019 @ 18:13
Grundsätzlich finde ich den Artikel zwecks Sensibilisierung gelungen. Leider ist er inhaltlich irreführend. Es wird über die „Weitergabe“ von personenbezogenen Daten gesprochen, jedoch als Rechtsgrundlage die Grundsatznorm für die Rechtmäßigkeit der Verarbeitung zitiert (§ 6 KDG bzw. § 6 DSG-EKD). Hier geht es jedoch um die Weitergabe, so dass die Rechtmäßigkeit nach den entsprechenden Paragraphen zu prüfen sind (§§ 9, 10 KDG bzw. §§ 8, 9 DSG-EKD). Die Rechtmäßigkeit einer Verarbeitung beinhaltet nicht notwendigerweise die Rechtmäßigkeit der Offenlegung an Dritte (Anrufer). Vielmehr müssen zunächst überhaupt die Voraussetzungen der §§ 6 KDG, DSG-EKD vorliegen und die weiteren Voraussetzungen hinzukommen (§§ 9, 10 KDG bzw. §§ 8, 9 DSG-EKD).
Anonymous
23. Oktober 2019 @ 12:27
Der Artikel suggeriert, dass das katholische Datenschutzrecht in allen kirchlichen Einrichtungen gelten würde…
Daniela Windelband
23. Oktober 2019 @ 13:22
Sie haben recht. Der Artikel beschreibt die Situation für katholische Einrichtungen. Für Einrichtungen anderer Religionsgemeinschaften, wie z. B. die Evangelischen Kirche, gelten die Bestimmungen des DSG-EKG.
Mit freundlichen Grüßen
Ihre Blogredaktion