Rückverfolgbarkeit bei Gottesdiensten: So geht es rechtskonform
Seit dem Pfingstwochenende ist in Nordrhein-Westfalen Pflicht, was zuvor schon einige Bistümer freiwillig praktiziert haben: Wer Gottesdienste – und andere öffentliche Veranstaltungen – besucht, muss Kontaktdaten beim Veranstalter hinterlassen. So steht es in der seit 30. Mai geltenden Corona-Schutzverordnung. Das Ziel: Rückverfolgbarkeit im Falle einer Corona-Infektion. Doch die rechtliche Umsetzung der Verordnung der Landesregierung hat in einigen Bistümern für Verwirrung gesorgt – nicht nur, weil sie nur drei Tage vor Inkrafttreten bekannt wurde: Die Formulierung ist zudem noch unklar. Einerseits besteht eine Pflicht, die Daten zu erheben, andererseits müssen die Daten der Teilnehmer "mit ihrem Einverständnis" erhoben werden. Dazu kommt die Verpflichtung, die Daten auf Papier bereitzuhalten – eine reine Online-Anmeldung ist also nicht zulässig. Fast eine Woche hatte es gedauert, bis die zuständige kirchliche Aufsichtsbehörde klären konnte, wie sie mit den Regeln umgehen soll. Auch eine Anfrage bei der Staatskanzlei konnte nicht alles aufklären.
"Die bestehenden Unklarheiten führen dazu, dass fast immer für die Speicherung der Daten eine wohl unnötige Einwilligung eingeholt wird", erläutert auch der Jurist Alexander Golland. Das Problem: Nach dem Gesetz über den kirchlichen Datenschutz (KDG) ebenso wie nach der europäischen Datenschutz-Grundverordnung (DSGVO) können Einwilligungen jederzeit zurückgezogen werden – dann müssten die Daten der betroffenen Person gelöscht werden, obwohl eine rechtliche Verpflichtung besteht, die Daten bereitzuhalten – beides zugleich ist nicht möglich. Golland warnt: "Entweder Sie löschen die Daten, was als Verstoß gegen die Corona-Schutzverordnung gewertet und mit einem Bußgeld von bis zu 25.000 Euro geahndet werden kann, oder Sie speichern die Daten dennoch, was als Datenschutzverstoß gewertet werden kann." Es drohen Maßnahmen durch die zuständige Datenschutzaufsicht, im schlimmsten Fall empfindliche Geldbußen.
Wer auf Einwilligung setzt, riskiert Geldbußen
Die scheinbare juristische Feinheit hat also sehr konkrete Auswirkungen. Immer noch kursieren auf Webseiten von Pfarreien und sogar Bistümern Muster-Datenschutzinformationen und -Formulare, mit denen die Einwilligung von Betroffenen eingeholt werden. Golland hat daher Formulare für Veranstalter entwickelt, mit denen sie diesen Problemen aus dem Weg gehen können und die für die Verwendung mit dem KDG, der DSGVO sowie dem evangelischen Datenschutzgesetz ausgelegt sind. "Schützen Sie Ihre Mitmenschen – durch Einhaltung von Infektionsschutz und Datenschutz!", appelliert der Jurist auf der Webseite, auf der er die Formulare kostenlos zum Download anbietet.
Auf eine Einwilligung wird bei den Formularen verzichtet, stattdessen verweisen sie auf die rechtliche Verpflichtung der Veranstalter, die durch die Corona-Schutzverordnung besteht. Auf der Rückseite sind die nötigen Datenschutz-Hinweise abgedruckt. Dieses Vorgehen entspricht auch der Empfehlung, die der für die nordrhein-westfälischen Bistümer zuständige Diözesandatenschutzbeauftragte Steffen Pau gegenüber katholisch.de abgegeben hatte – die Datenschutzaufsicht plant jedoch nicht, eigene Musterformulare herauszugeben. Das sei Aufgabe der jeweiligen betrieblichen Datenschutzbeauftragten in den Pfarreien und kirchlichen Einrichtungen.
Golland empfiehlt, die Daten auf Papier zu erheben, und zwar pro Person auf separaten Formularen – Listen, in die sich Teilnehmer eintragen, erzeugen zusätzliche Datenschutzprobleme, da so die Daten anderer Besucher eingesehen werden können. Das Bistum Münster empfiehlt seinen Pfarreien, Formulare wie bei einer Pfarrgemeinderatswahl in verschlossenen Behältnissen mit Einwurfschlitz zu sammeln. Nach vier Wochen müssen die Formulare vernichtet werden.