Eine Frau wird in einem Krankenhaus behandelt. Sie nimmt Einsicht in ihre Patientenakte. Dabei stellt sie fest, dass dort auch Unterlagen über eine ganz andere Frau enthalten sind. Diese andere Frau war ebenfalls Patientin in dem Krankenhaus. Ihre Unterlagen landeten versehentlich in der falschen Patientenakte.
Beide Frauen, um deren Behandlungsunterlagen es ging, waren Patientinnen eines kirchlichen Krankenhauses. Solche Krankenhäuser weisen niemanden ab, der Hilfe wünscht. Nach der Religion fragen sie höchstens, soweit es um den Wunsch nach Krankenhausseelsorge geht. Besonders nach Unfällen gibt es in manchen Regionen Deutschlands buchstäblich keine naheliegende Alternative zu kirchlichen Krankenhäusern.
Kirchen und religiöse Gemeinschaften dürfen eigenständige Datenschutzregelungen neben der Datenschutz-Grundverordnung (DSGVO) schaffen. Das sieht Art. 91 DSGVO unter bestimmten Voraussetzungen ausdrücklich so vor. Die großen Kirchen in Deutschland, aber auch kleinere Religionsgemeinschaften, haben davon Gebrauch gemacht.
Bei dem Krankenhaus im Ausgangsfall handelt es sich um ein Krankenhaus in katholischer Trägerschaft. Damit gelten für dieses Krankenhaus bei der Verarbeitung von personenbezogenen Daten die Datenschutzvorschriften der katholischen Kirche. Sie sind im „Gesetz über den Kirchlichen Datenschutz (KDG)“ enthalten. Der Sache nach handelt es sich bei diesem Gesetz um ein innerkirchliches Datenschutzgesetz.
Selbstverständlich verstößt es gegen die Vorgaben der KDG, wenn sensible Behandlungsunterlagen der falschen Person zugeordnet werden. Die Maßstäbe entsprechen insoweit den Anforderungen, die auch in der DSGVO festgelegt sind.
Die kirchliche Datenschutzaufsicht beließ es gleichwohl bei einer förmlichen Beanstandung. Ein wesentlicher Grund dafür war, dass keine generellen organisatorischen Schwächen im Krankenhaus festzustellen waren. Und bedauerliche Pannen im Einzelfall gibt es erfahrungsgemäß überall einmal.
Die staatliche Datenschutzaufsicht ist in solchen Situationen außen vor. Sie hat keine Möglichkeit, Anordnungen zu treffen oder Geldbußen zu verhängen.
Wer dem kirchlichen Datenschutzrecht entgehen will, sollte auf die Trägerschaft von Einrichtungen wie Kindergärten, Krankenhäusern und Pflegeeinrichtungen achten. Für kirchliche Träger gilt das kirchliche Datenschutzrecht. Auf die Religion der Personen, die solche Einrichtungen in Anspruch nehmen, kommt es dabei nicht an.
Schicksal ist es allerdings, wenn man im konkreten Fall keine Wahl hat, welche Einrichtung man in Anspruch nehmen möchte. Wer nach einem Unfall in ein nahes kirchliches Krankenhaus eingeliefert wird, muss sich damit abfinden, dass seine Behandlungsunterlagen dem entsprechenden kirchlichen Datenschutzrecht unterliegen. Das gilt auch, wenn er mit der Kirche eigentlich nichts zu tun haben möchte.
Der Ausgangsfall ist behandelt im Tätigkeitsbericht 2022 der KDSA Ost (Kirchliche Datenschutzaufsicht der ostdeutschen Bistümer und des Katholischen Militärbischofs), Seite 68. Dieser Tätigkeitsbericht ist am 31. März 2023 erschienen. Er ist abrufbar unter https://www.zaftda.de/tb-kirchen/katholische-kirche.
