Kirchliche Einrichtungen erhalten oftmals telefonische Anfragen, in denen zum Teil sensible Auskünfte über Personen begehrt werden, die in der Einrichtung angemeldet sind. Dabei ist die Identität der Anfragenden oftmals ungewiss.

Wann dürfen personenbezogene Daten überhaupt weitergegeben werden?

Es besteht grundsätzlich keine Verpflichtung zur Weitergabe von personenbezogenen Daten, es sei denn, dies ist gesetzlich vorgesehen. Für katholische Einrichtungen ergibt sich die gesetzliche Grundlage  aus § 6 KDG. Darin heißt es:

“Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Dieses Gesetz oder eine andere kirchliche oder staatliche Rechtsvorschrift erlauben sie oder ordnen sie an;

b) die betroffene Person hat in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt;

c) die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

d) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

e) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

f) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im kirchlichen Interesse liegt oder in der Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

g) die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um einen Minderjährigen handelt, lit. g) gilt nicht für die von öffentlich-rechtlich organisierten kirchlichen Stellen in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.”

Dies bedeutet: Besteht keine Verpflichtung, dürfen Daten nur weitergegeben werden, wenn dies gesetzlich zulässig ist oder die betroffene Person ausdrücklich eingewilligt hat.

Dabei ist zu berücksichtigen, dass alle Mitarbeiter/innen auf das Datengeheimnis verpflichtet sind und die unerlaubte Weitergabe von personenbezogenen Daten nicht nur arbeitsrechtliche, sondern ggf. auch haftungsrechtliche Konsequenzen nach sich ziehen kann.

Weitergabe personenbezogener Daten am Telefon

Wird eine telefonische Anfrage zu personenbezogenen Daten eines bei der katholischen Einrichtung angemeldeten Person verlangt, ist folgende Vorgehensweise aus datenschutzrechtlicher Sicht zu empfehlen:

a) Grundsätzlich sollten keine fernmündlichen Anfragen zu personenbezogenen Daten telefonisch beantwortet werden.

b) Ausnahmsweise können fernmündliche Anfragen nach personenbezogenen Daten telefonisch beantwortet werden, wenn

– … die Identität der Person nachgewiesen oder eine Vollmacht glaubhaft gemacht worden ist. Ggf. sind in diesem Zusammenhang behördliche Anordnungen zur Datenweitergabe vorzulegen.

– … eine Verifizierungsmaßnahme durchgeführt wurde.

Beispiel: Die katholische Einrichtung nimmt die Kontaktdaten der Bezugspersonen einer Person auf. Die Person erhält ein “Aktenzeichen” oder sonstige Zahlenkombination. Diese wird ausschließlich gegenüber den Bezugspersonen kundgetan. Im Falle eines Anrufes dieser auskunftsberechtigten Personen können Kontrollfragen abgefragt werden (u.a. diese Zahlenkombination), um die Identifikation sicherzustellen.

Umsetzung in der Praxis

Um sicherzustellen, dass alle Beschäftigten Kenntnis über die Vorgehensweise erlangen, sollte eine Dienstanweisung, in welcher der Umgang mit Auskünften am Telefon erläutert wird, erstellt werden.

Update 23.10.2019

Die Angaben wurden hinsichtlich katholischer Einrichtungen konkretisiert.