Bayern tickt anders, auch beim Datenschutz – das zeigt der heute erschienene Bericht des bayerischen Diözesandatenschutzbeauftragten, der bisher kompakteste: Mit zehn Seiten kommt Jupp Joachimski aus. Diese zehn Seiten haben es aber in sich. Die Neuerungen beim KDG sind schon aus meinen Interviews mit Joachimski (hier und auf katholisch.de) bekannt.
Die Situation der Datenschutzaufsicht in Bayern ist im Bericht erstmals in aller Deutlichkeit beschrieben: Der Diöezsandatenschutzbeauftragte in Teilzeit, ohne Vertreter*in und immer im Dienst (»Einen förmlichen Vertreter habe ich seit Juli 2018 nicht mehr. Dies hatte zur Folge, dass ich während sämtlicher Urlaubsabwesenheiten meine Dienstgeschäfte weiterführen musste.«), nur ein Mitarbeiter (zum Vergleich: das NRW-Datenschutzzentrum hat elf Planstellen), die Errichtung des 2018 beschlossenen Datenschutzzentrums kommt nicht von der Stelle.
Plastisch schildert Joachimski, wie er inklusive Sekretariatstätigkeiten alles selbst macht, selbst im Urlaub ist er am »tragbaren Computer, den ich stets mitführte« zu erreichen. Der Personalmangel hat ernste Folgen. Der DDSB sieht die nötige Leistungsfähigkeit seiner Behörde nicht als gegeben an: die Ausstattung »reicht unter den Bedingungen der seit 2018 gültigen Gesetzeslage nicht zur Erfüllung der Mindestanforderungen des KDG«. Das ist eine erste Bedrohung für den kirchlichen Datenschutz, die auch Joachimski klar benennt: die bayerische Datenschutzstelle bleibt »stark hinter den vergleichbaren Dienststellen anderer Bundesländer, aber auch gegenüber staatlichen Datenschutzaufsichten zurück, so dass auf Dauer die Gleichwertigkeit in Frage steht« – und damit steht und fällt die Erfüllung der Anforderungen, die die DSGVO an Religionsgemeinschaften mit eigenen Datenschutz-Strukturen stellt. Joachimski bleibt bei seinen Forderungen hinter der vergleichbaren NRW-Aufsicht zurück: Sechs Vollzeitstellen würden ihm genügen.
Über die Gründe für die mangelnde Ausstattung und die Verzögerung bei der Einrichtung des Nürnberger Datenschutzzentrums erfährt man nichts; es wird nur angedeutet, dass die Errichtung einer Körperschaft des öffentlichen Rechts (wie in Frankfurt und Dortmund schon erfolgt) auf sich warten lässt.
Reform des KDG
Zur Reform des Gesetzes über den kirchlichen Datenschutzes (KDG) erfährt man dasselbe wie bereits aus den Interviews der vorvergangenen Woche: Das Schriftformerfordernis der Einwilligung soll fallen, Auftragsverarbeitung im Ausland soll einfacher werden, die Meldefrist für Datenpannen ab Bekanntwerden beginnen und Geldbußen sollen auch gegen Verursacher*innen, nicht nur gegen Verantwortliche verhängt werden können.
Schrems II
Einerseits ist die Einschätzung der Auswirkungen des Endes des Privacy Shield deutlich: Explizit wird der Einsatz von Microsoft Teams und Zoom als unzulässig erachtet, ebenso pauschal MS Office. Zugleich vertritt Joachimski aber auch die sehr legere – und keineswegs herrschende – Meinung, dass es eine »gewisse Übergangsfrist zur Bereinigung der Probleme« eingeräumt werden müsse. Wie lange und von wem, steht nicht im Bericht.
Aufsichtstätigkeit
Anlasslose Außenprüfungen vielen während der Corona-Krise aus; stattdessen gibt es schriftliche Prüfungen von kirchlichen Stellen. Insgesamt gibt es verhältnismäßig wenige Vorfälle; 25–35 Beschwerden, 120 Meldungen von Datenpannen und 10 Beteiligungsverfahren bei Datenschutzfolgeabschätzungen pro Jahr werden prognostiziert. Die geschilderten Beschwerden und Pannen sind weitgehend die üblichen: Einbrüche, verlorene Datenträger, Mail-Adressen in offenen Verteilern, Spendenbriefe, mangelnde Auskunftserteilung.
Ein Fall tauchte so allerdings noch nicht in den anderen Berichten auf: »Sehr häufig dient das Beschwerdeverfahren im Datenschutzrecht der Fortsetzung von Auseinandersetzungen in einer gescheiterten Ehe«, schreibt Joachimski. Streitigkeiten um Abholzeiten in Kitas eskalieren anscheinend bis zur Datenschutzaufsicht.
Eine Seltenheit: Die Ergebnisse von Prüfungen konkreter Software wird genannt. Positive Stellungnahmen gab es zur kirchlichen Eigenentwicklung Communicare, Schoolfox und Kita-Info-App, abgeraten wurde vom Einsatz von Nembørn, Famly, Care und Teacher Studio – mit Ausnahme der allgemeinen Kommunikationsplattform Communicare alles Programme für Schulen und Kitas.
Anwendungsbereich des KDG
Ein Satz findet sich zur Zuständigkeit, die ein lange benanntes Problem anspricht: Wer genau fällt eigentlich unter den Zuständigkeitsbereich des KDG? Die Bischofskonferenz hat in ihrer FAQ-Liste Kriterien der Kirchlichkeitsprüfung benannt. Erstmals taucht davon etwas in einem Tätigkeitsbericht auf, wenn auch ohne nähere Ausführungen: »Einige Einrichtungen mit zweifelhaft kirchlichen Zielen habe ich nach näherer Prüfung als nicht-kirchlich eingestuft; die entsprechenden Verfahren gab ich an das Landesamt für Datenschutzaufsicht weiter.«
Fazit
Der Rechenschaftsbericht kann kaum anders denn als Hilferuf verstanden werden: Auch wenn es mit den Leitenden Betrieblichen Datenschutzbeauftragten der bayerischen Diözesen eine eigene Struktur gibt, die vieles im Bereich Beratung und Datenschutzmanagement übernehmen, was anderswo zur Arbeit der Aufsichtsbehörde gehört, reicht das Personal des Diözesandatenschutzbeauftragten kaum für eine reguläre Aufsichtstätigkeit – ohne Not; warum seit 2018 anscheinend nichts mit Blick auf das beschlossene Nürnberger Datenschutzzentrum passiert ist, ist nach wie vor unbekannt. Ein Risiko besteht durchaus: Wie Joachimski deutlich anmerkt, hängt ein eigenes Datenschutzrecht und eine eigene Datenschutzaufsicht der Kirchen wesentlich von der Gleichwertigkeit der kirchlichen Strukturen ab – und die ist in Bayern unter den geschilderten Bedingungen mehr als zweifelhaft.