Am Mittwoch hat der Diözesandatenschutzbeauftragte für die Nordwest-Bistümer Andreas Mündelein seinen Tätigkeitsbericht für 2019 veröffentlicht. Nach seinem Kollegen für die Ost-Bistümer, der schon vor einigen Monaten veröffentlicht hat, ist das der zweite Bericht der kirchlichen Aufsichten.

Der Bericht kommt weitgehend ohne Überraschungen aus; die »Verunsicherungen, der Medienrummel und die gesamtkirchlichen Irritationen haben sich im Laufe des Berichtszeitraums 2019 nicht weiter fortgesetzt.« Beratungsnachfragen stagnieren auf hohem Niveau, Beschwerden und Meldungen von Datenpannen haben aber zugenommen. (Beschwerden +18,75 Prozent, Meldungen +73,30 Prozent, Prüfungen +90,67 Prozent; absolute Zahlen fehlen leider.) Positiv würdigt der DDSB, dass anlasslose Prüfungen ein gestiegenes Datenschutzbewusstsein gezeigt haben.
Social Media wird immer noch kritisch gesehen.

Dass die Datenschutzaufsicht Social-Media-Dienste als problematisch ansieht, ist keine Überraschung und in weiten Teilen rechtlich auch alternativlos. Dass kirchliche Stellen trotzdem auf Social Media setzen, wird daher weiterhin bemängelt – und sogar die grundsätzliche Notwendigkeit bestritten: Facebook-Fanpages werden als »angeblich notwendiges jugendkompatibles Medium« bezeichnet, die Behauptung einer nötigen Erreichbarkeit durch nicht datenschutzkonforme Messengerdienste bestritten. »Nicht alles was geht ist auch erlaubt, geschweige denn – und insbesondere von der Kirche – zu verantworten«, betont Mündelein. Das stimmt – diese pauschale Absage wird aber eher nicht dazu führen, dass das Datenschutzniveau erhöht wird. Wünschenswert wären Anhaltspunkte, wie die unstrittig bestehenden Probleme bei der Nutzung von Social-Media-Diensten reduziert werden können. Außerdem wird festgestellt, dass der Einsatz von WhatsApp auch mit einem Mobile-Device-Management-System nicht zulässig ist; interessanter wäre gewesen, ob zum Beispiel die von Lutz Neumeier bereits 2018 dargestellten Möglichkeiten, WhatsApp ohne Adressbuchzugriff zu betreiben, als zulässig erachtet werden.

Fälle, Anfragen und Beschwerden

Bei den exemplarisch genannten Fällen und Anfragen wird aber deutlich, dass die Mahnungen anscheinend nicht zu einer systematischen Verfolgung von Facebook- und WhatsApp-Nutzung führen. Genannt werden Fälle, deren Unzulässigkeit kaum zu bestreiten ist, so zum Beispiel nicht allgemein ein Instagram-Account, sondern der Fall eines Kita-Praktikanten, der Videos mit erkennbaren Kindern auf seinem Account gepostet hat.

Auch der Diebstahl einer Kamera mit Kinderbildern aus einer Kita, versehentlich an den falschen Patienten verschickte Patientendaten und unverschlüsselte Listen mit personenbezogenen Daten per E-Mail sind recht eindeutig. Spannender ist die Frage, ob das Erzbistum Hamburg Geburtstage seiner Jubilare im Amtsblatt veröffentlichen darf. Hier verlangt der DDSB künftig Einwilligung oder die Schaffung einer Rechtsgrundlage – oder ein von ihm als sozialadäquat angesehenes datensparsames Vorgehen: »Unbeschadet dessen wäre auch die Frage der Erforderlichkeit der Veröffentlichung nicht ohne Relevanz, weil das Ziel der Wertschätzung und Wahrnehmung der Jubilare auch auf einem anderen, die Persönlichkeitsrechte nicht beeinträchtigendem Weg, erreicht werden könnte, etwa durch Zusendung einer Glückwunschkarte.«

Tipps für die Datenschutzprüfung

Sehr erfreulich ist die Serviceorientierung, die in einigen Berichtsteilen sichtbar wird. Besonders der exemplarische Ablauf einer Datenschutzprüfung (S. 32ff.) hilft Verantwortlichen, sich gut vorzubereiten. Eine Liste typischer Feststellungen aus Prüfungen dürfte auch hilfreich sein, um eigene Versäumnisse zu bemerken – diese Liste sollte Pflichtlektüre für Verantwortliche und Datenschutzbeauftragte sein und kann als Checkliste zur Überprüfung des eigenen Datenschutzmanagements dienen.

In diesem Kontext ist auch die Ankündigung zu begrüßen, dass die Diözesandatenschutzbeauftragten an einem »Kirchlichen Datenschutzmodell« in Anlehnung an das bewährte Standard-Datenschutzmodell (SDM) arbeiten. Ein solches Modell hilft strukturiert bei der Umsetzung der gesetzlichen Vorgaben auf die Praxis.

Beteiligung am Kohärenzverfahren

Ein schon in den Vorjahren in verschiedenen Berichten genannter Punkt ist die Beteiligung der kirchlichen Aufsichten am in § 18 BDSG normierten »Kohärenzverfahren«, bei dem sich die unterschiedlichen Datenschutzbehörden auf einheitliche Verfahren verpflichten. Mehr oder weniger explizit war schon öfter zu lesen, dass die staatlichen Behörden nicht immer Wert darauf legen, die kirchlichen einzubeziehen. »Die Pflicht zur Beteiligung der kirchlichen Datenschutzaufsichten ist auf der Bundesebene nicht unumstritten«, schreibt Mündelein. Es habe sich aber ein Beteiligungsverfahren entwickelt, »bei dem die Kirchen wahrgenommen werden und sich gegebenenfalls selber in die Beratungsprozesse einbringen können«. Im aktuellen Tätigkeitsbericht des Bundesdatenschutzbeauftragten wird nur in einem Satz erwähnt, dass die Datenschutzkonferenz »den Informationsaustausch mit den spezifischen Aufsichtsbehörden aus den Bereichen der Medien und der Kirchen im Hinblick auf die Datenschutzgremien der EU« erweitert habe.

Perspektiven

Mit Blick auf die anstehende Evaluierung des KDG sieht Mündelein keine Notwendigkeit für grundsätzliche Veränderungen. Ob und welchen Bedarf er für Detailanpassungen sieht, geht aus dem Bericht nicht hervor. Für seine Behörde steht eine Änderung an: Sie soll Körperschaft des öffentlichen Rechts werden wie die Datenschutzzentren in Dortmund und Frankfurt.

Fazit

Der Bericht enthält keine großen Überraschungen. Langfristig interessant und relevant dürfte die Einführung eines »Kirchlichen Datenschutzmodells« sein. Praxisrelevant ist vor allem die Darstellung, wie eine Prüfung typischerweise abläuft – Anwender*innen des KDGs sollten diesen Teil auf jeden Fall lesen. Bei aller kritischen Rhetorik gegenüber Sozialen Medien scheint es doch eine gewisse Zurückhaltung zu geben; von großflächigen Maßnahmen ist nichts bekannt, auch wenn mir unter der Hand durchaus die eine oder andere Maßnahme der Nordwest-Datenschutzaufsicht wegen WhatsApp- und Facebook-Einsatz mitgeteilt wurde.

Leider gibt es keine Differenzierung der verhängten Maßnahmen, auch wenn immer wieder erwähnt wird, dass durchaus Bußgelder verhängt wurden. Damit ist aber klar, dass eine mir gegenüber von Mündelein geäußerte Hoffnung nicht eingetreten ist. 2018 hatte er mir im Interview gesagt, er hoffe nicht, »dass ich je in meiner Dienstzeit ein Ordnungsgeld verhängen muss«.

Bisher besprochene Tätigkeitsberichte der KDSA Nord

• Tätigkeitsbericht 2019 des Diözesandatenschutzbeauftragten Nordwest erschienen
• Keine Gelegenheit für Bußgelder – Tätigkeitsbericht 2020 der KDSA Nord
• Kita geprüft, Caritas kommt: Tätigkeitsbericht 2021 der KDSA Nord
• Auf zum letzten Bericht – Tätigkeitsbericht 2022 der KDSA Nord
• Harmonisiertes Bußkonzept – Tätigkeitsbericht der KDSA Nord 2023