Die Schonzeit ist vorbei: Der Tätigkeitsbericht des Datenschutzzentrums NRW

Die Schonzeit ist vorbei. Das ist der Grundtenor im heute veröffentlichten Bericht des Diözesandatenschutzbeauftragten für die nordrhein-westfälischen Bistümer für 2019. Immer wieder wird darin betont, dass nach dem von Beratung und Information geprägten Jahr der KDG-Einführung 2018 die Regelungen des Gesetzes über den kirchlichen Datenschutzes ab 2019 von der Aufsicht scharf geschaltet werden.

Im Berichtszeitraum wurden erst im vierten Quartal Geldbußen verhängt – zweimal für das Offenlegen von Gesundheitsdaten, einmal für das Versäumnis, eine Datenpanne zu melden. Über die neue Härte bei der Aufsicht hinaus gibt es vieles, was sich schon in anderen Berichten abgezeichnet hat. Besonders interessant sind drei Informationen: Zur Familienforschung, zum Patient*innendatenschutz und zum Kirchlichen Datenschutz-Modell.

Datenschutz und Kirchenbücher – Genealogie und Heimatforschung

Kirchenbücher sind eine wichtige Ressource für das Erstellen von Stammbäumen wie für die Regionalgeschichte. Aber auch hier greift oft noch der Datenschutz: „Die Kirchengemeinde darf also nur Kirchenbücher zur Einsichtnahme bereitstellen, deren Sperrfrist [120 Jahre gemäß kirchlicher Archivordnung] abgelaufen ist.“ Eine besonders kreative Lösung hat eine Gemeinde gefunden, über die berichtet wird: Nachdem das Datenschutzzentrum mitgeteilt hatte, dass es keine Rechtsgrundlage für den Zugriff eines Heimatforschers auf die jüngeren Kirchenbücher gibt, wurde der prompt befördert: „Die Gemeinde hat den Heimatforscher dann als ehrenamtlichen Archivar mit der Sichtung und Ordnung des Gemeindearchivs beauftragt.“ Die clevere Umgehung funktioniert aber nur eingeschränkt: Die gefundenen personenbezogenen Daten darf er nur dienstlich verwenden. Immerhin: Veröffentlichen darf er trotzdem, aber nur nach Freigabe durch die Gemeinde.

Patient*innendatenschutz

Während über die Evaluierung des KDG nichts verraten wird, gibt es immerhin einen Ausblick auf kommende gesetzgeberische Tätigkeit: eine Nachfolgeregelung für die aktuell in einzelnen Diözesen bestehenden Patientendatenschutzordnungen ist in Planung. Auch in diesem Fall wird wieder der Weg einer Vorlage auf Bundesebene angestrebt, die die einzelnen diözesanen Gesetzgeber dann in Kraft setzen (und so den Romvorbehalt umgehen – Gesetze auf Bischofskonferenzebene benötigen in der Regel die Zustimmung des Vatikans).

Kirchliches Datenschutz-Modell

Bereits der Nordwest-Diözesandatenschutzbeauftragte hatte in seinem Bericht ein Kirchliches Datenschutz-Modell in Anlehnung an das Standard-Datenschutz-Modell in Aussicht gestellt. Hat man dort nur erfahren, dass es kommen wird und ökumenisch geplant wird, geht der NRW-DDSB etwas mehr ins Detail: »Das Kirchliche Datenschutzmodell soll die gleiche Struktur wie das Standarddatenschutzmodell aufweisen (Hauptdokument und Anlagen). Nach der Anpassung des Hauptdokumentes wird die Arbeit mit den Bausteinen erfolgen, die nach und nach im staatlichen Bereich erarbeitet werden. Es ist auch beabsichtigt, gegebenenfalls eigene Bausteine für den kirchlichen Bereich einzubinden (für Prozesse, die im außerkirchlichen Bereich nicht relevant sind).« Angepeilt als Veröffentlichungstermin ist der Ökumenische Kirchentag im Mai 2021.

Aufsichtstätigkeit

In NRW bietet sich dasselbe Bild wie in den anderen Regionen: Es geht viel um Auskunftsrechte, Meldung von Datenpannen und abhanden gekommene Datenbestände – vor allem in Kindergärten. Warum man ausgerechnet in Kindergärten einbrechen sollte, bleibt unklar – dennoch scheint das überraschend häufig zu passieren, inklusive regelmäßigem Verlust von Datenträgern. Kindergärten sind daher das Ziel einer Querschnittsprüfung: Erst ein breit gestreuter Online-Fragebogen, danach zufällig ausgewählte 101 Kindergärten, die geprüft werden. Auch der Nordwest-Diözesandatenschutzbeauftragte macht das in seinem Gebiet.

So teilten sich Datenschutzverletzungen prozentual auf. Erläuterung: Diebstahl: Entwendung von Hardware mit unverschlüsselten Daten; Irrläufer: Korrekter Datenübermittlungsprozess, aber (menschlicher) Fehler bei Auswahl des Datenempfängers; Offenlegung: Unzulässiger Datenübermittlungsprozess, versehentlich oder vorsätzlich durchgeführt; Schadsoftware: z.B. fremdgesteuerter Zugriff auf Email-Kontakte, Verschlüsselung von Dateien; Verfügbarkeit: Defekt eines Datenträgers oder versehentliche Löschung, ohne Backup und Wiederherstellmöglichkeit. (Darstellung und Erläuterung: Tätigkeitsbericht S. 49.)

Die im Kapitel über die Aufsichtstätigkeit angesprochenen Themenbereiche sollten hellhörig machen. Damit macht das Datenschutzzentrum klar, wo künftig genauer hingeschaut wird: Mit Cloud-Nutzung, Einwilligung in schlechtere TOMs (also etwa in die Übersendung von Gesundheitsdaten per E-Mail), gemeinsamer Verantwortlichkeit (vor allem bei Facebook-Fanpages) und Auftragsverarbeitung sind es altbekannte Gebiete – aber auch die Gebiete, wo Rechtslage und Alltagshandeln oft besonders unangenehm aufeinander treffen.

Ceterum censeo

Leider scheint es einzureißen, dass die PDFs der Aufsichtsbehörden mit Dokumentenschutz gegen Copy and paste geschützt werden. Das ist zwar kinderleicht zu knacken (»crack pdf online« googeln genügt), aber doch immer wieder ein Ärgenis für reibungslose Textarbeit.

Fazit

Viele der geschilderten Verstöße und Versäumnisse müssten nicht sein. Es ist mittlerweile bekannt, wo die Schmerzpunkte der Aufsicht sind – und die sind auch allesamt sehr verständlich. Auf E-Mail-Verteiler im BCC achten, USB-Sticks nicht verschlampen, die Adressen von Patient*innenbriefe doppelt überprüfen, Datenpannen innerhalb der Frist melden, Datenschutzbeauftragte bei der Aufsicht benennen – all das ist zugleich leicht umsetzbar wie leicht zu vergessen.

Auffällig ist die starke Zurückhaltung im Bereich Social Media, Messenger und Cookiebanner: Zwar wird die Rechtslage nach den einschlägigen EuGH-Urteilen ausführlich referiert und die recht sichere Rechtswidrigkeit etwa von Facebook-Fanpages mehr als nur durch die Blume kommuniziert. Geprüft oder gar sanktioniert wird aber anscheinend nicht, und es wird auch nicht erwähnt, ob das ein pragmatisches Stillhalten oder die Ruhe vor dem Sturm ist.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.