Jupp Joachimski ist Diözesandatenschutzbeauftragter für die bayerischen Bistümer. Eigentlich sollte er das Amt heute abgeben – doch noch steht sein Nachfolger nicht fest. Der ehemalige Vorsitzende Richter am Obersten Bayerischen Landesgericht hat am Gesetzgebungsprozess für das Gesetz über den katholischen Datenschutz mitgewirkt. Auch bei der gerade stattfindenden Evaluierung des KDG ist er beteiligt. Bei Artikel 91 verrät er einige Details dazu.

(Ebenfalls heute ist ein Interview mit Joachimski auf katholisch.de erschienen. Dort geht es eher allgemein um seine Erfahrungen im kirchlichen Datenschutz. Zudem verrät er dort noch einen weiteren Punkt aus der KDG-Evaluierung: Das Schriftformerfordernis bei der Einwilligung soll fallen.)

Eine der großen Befürchtungen bei der Einführung des Gesetzes über den kirchlichen Datenschutz war die Möglichkeit, Bußgelder zu verhängen. Sind die Befürchtungen eingetreten?

Joachimski: Ich habe im Hinblick auf die Unsicherheiten, vor allem mit Blick auf die Rechtsprechung des Interdiözesanen Datenschutzgerichts, sogar ganz davon abgesehen, Geldbußen gegen natürliche Personen zu verhängen. Ich gehe davon aus, dass das keinen Bestand haben würde. Letztlich kam es dann dazu, dass ich überhaupt kein Bußgeld verhängt habe, weil mir die Rechtslage schlicht zu unsicher ist.

Inwiefern unsicher?

Joachimski: Bei den Bußgeldern gibt es zwei Probleme: Gegen Dienststellen, die öffentlich-rechtlich organisiert sind, kann gar kein Bußgeld verhängt werden. Damit scheiden bestimmt 80 Prozent der möglichen Adressaten aus, zum Beispiel alle Pfarreien. Und gegen andere Träger, etwa kirchliche Vereine oder Caritas-Dienststellen, könnte zwar ein Bußgeld verhängt werden, aber da kommt das zweite Problem hinzu: Das Gesetz sieht vor, dass ein Bußgeld verhängt werden kann, wenn ein Verantwortlicher, also die Leitung einer Stelle, »vorsätzlich oder fahrlässig« gegen das Gesetz verstößt.

Und das kommt nicht vor?

Joachimski: Ein typischer Fall sieht so aus: In einem kirchlichen Krankenhaus soll ein Arztbrief an den Hausarzt verschickt werden. Der wird aber versehentlich statt an Dr. Herbert Maier an Dr. Hubert Maier geschickt. Das ist eindeutig eine Datenschutzverletzung, die dem Sekretariat unterläuft, einmal in der Adressliste verrutschen reicht dafür aus. Kann ich das aber zum Gegenstand einer Bußgeldforderung machen? Wie hat denn die Krankenhausleitung das vorsätzlich oder fahrlässig herbeigeführt? Wenn die Sekretärin mit Arbeit überhäuft wurde, dann wäre die Datenschutzverletzung billigend in Kauf genommen worden. Das ist mir aber in keinem Fall untergekommen.

Braucht es also eine Gesetzesänderung?

Joachimski: In Bayern gibt es im staatlichen Bereich eine andere Regelung: Wenn eine natürlich Person, also ein Mitarbeiter oder ein Dienststellenleiter, eine Datenschutzverletzung herbeiführt, dann kann gegen ihn eine Geldbuße verhängt werden, allerdings mit einer deutlich geringeren Höchstsumme als nach der Datenschutzgrundverordnung. So eine Regelung wäre auch im KDG hilfreich, und eine entsprechende Änderung wird sicher auch kommen.

Die Evaluierung des KDG steht gerade an. Was ist davon über eine neue Bußgeldregelung noch zu erwarten?

Joachimski: Auftragsverarbeitung im Ausland ist ein weiteres Problem. Ein Beispiel: Ein Krankenhaus setzt medizinische Geräte eines Herstellers aus den USA ein. Wenn der nun eine Fernwartung der Geräte vornimmt, und auf diesen Geräten personenbezogene Daten verarbeitet werden, ist es bisher sehr schwierig, eine Lösung zu finden. Schließlich geht es hier sogar um besondere Kategorien personenbezogener Daten, nämlich Gesundheitsdaten. Eine Patentlösung gibt es nicht. Daher haben wir hier die Möglichkeit von Einzelfallregelungen vorgeschlagen, die man jeweils durch die Aufsichtsbehörden absegnen lassen muss.

Auch die Meldung von Datenschutzverletzungen ist momentan nicht ideal geregelt. Die müssen innerhalb von 72 Stunden gemeldet werden. Hier ist das KDG etwas oberflächlich: Wir wollen, dass die Meldefrist erst anläuft, wenn der Verantwortliche, sprich der Dienststellenleiter, von der Datenschutzverletzung Kenntnis erhält. Wir haben es schon oft gehabt, dass zum Beispiel in einem Kindergarten eingebrochen wurde: Der Einbruch war am Freitagabend, es wird etwas gestohlen, und der Verantwortliche hat es erst am Montagvormittag erfahren, dass ein Computer oder ein Aktenordner fehlt. Dann sind die 72 Stunden schnell vorbei. Praxisgerecht wäre es, die Frist ab Kenntnisnahme laufen zu lassen.

Dass der Großteil der Arbeit der Pressestellen vom Medienprivileg erfasst sein soll, scheint uns zu großzügig zu sein.

Das Medienprivileg hat für Unklarheiten gesorgt. Die Fragen-und-Antworten-Liste der Bischofskonferenz legt es besonders weit aus und geht dabei deutlich über die Rechtsprechung des BGH hinaus. Ist es aus Ihrer Sicht haltbar, die Arbeit der Pressestellen fast komplett unters Medienprivileg fallen zu lassen?

Joachimski: Ich verlasse mich da eher auf den BGH als auf die DBK. Ich warne davor, sich zu weit von der Rechtsprechung unseres obersten Bundesgerichts zu entfernen. Das hat auf die Dauer keinen Bestand. Wenn Fragen zum Medienprivileg eines Tages bei den kirchlichen Datenschutzgerichten landen, dann werden die sich eher dem BGH als der DBK anschließen. Auch in der Konferenz der Diözesandatenschutzbeauftragten haben wir das diskutiert und raten zur Vorsicht: Dass der Großteil der Arbeit der Pressestellen vom Medienprivileg erfasst sein soll, scheint uns zu großzügig zu sein.

Die Kirche hat sich entschieden, die Regeln zum Medienprivileg aus dem staatlichen Bereich, aus den Mediengesetzen der Länder und aus dem alten BDSG, zu übernehmen. Da Art. 85 DSGVO eine Öffnungsklausel ist: Wäre es denn Ihrer Ansicht nach zulässig, eine liberale Lösung wie von der Bischofskonferenz vorgeschlagen ins KDG zu schreiben?

Joachimski: Dagegen spricht, dass wir durch die Demokratiedefizite der Kirche gezwungen sind, den Datenschutz so streng zu regeln, wie wir es nur verkraften können. Diese Defizite können wir nicht wegdiskutieren.

Weiterlesen bei katholisch.de: