Jetzt sind die katholischen Tätigkeitsberichte komplett: Die Diözesandatenschutzbeauftragte Ursula Becker-Rathmair, zuständig für die Südwest-Bistümer Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier, hat am Dienstag ihren Bericht für 2019 veröffentlicht. Er ist weitgehend überraschungsfrei, hat aber drastische Beispiele für die Praxisrelevanz von Datenschutz.
»Die Sensibilisierung für den Schutz der eigenen Daten hat an Fahrt aufgenommen«, betont Becker-Rathmair – auch sie hat mehr zu tun. Aber nicht so viel mehr, wie man bei diesen großen Bistümern erwarten könnte, jedenfalls in manchen Bistümern. Zeigen sich hier Compliance-Lücken bei den Verantwortlichen? Jedenfalls nicht in Trier: Das ist zahlenmäßig Spitzenreiter
Typische Pannen und Beschwerden
Wie bei den anderen Berichten dominieren dieselben Datenpannen und Sektoren: Vergessenes BCC bei Mails, verirrte Arztbriefe, gestohlene Geräte, aber auch Hacker- und Verschlüsselungstrojaner-Angriffe; Krankenhäuser, Kindergärten und Caritas-Einrichtungen waren Schwerpunkte. Die Arbeitsbelastung im Südwesten ist überschaubar: 167 Meldungen von Datenschutzverletzungen, 36 Beschwerden und 28 Anfragen (gezählt wird nicht jede Frage, sondern anscheinend nur die komplizierten, die ein Aktenzeichen erhalten haben).
So wie der bayerische DDSB Beschwerden als Instrument von Sorgerechtsstreitigkeiten ausmachte, ist auch hier die Aufsichsbeschwerde als zwischenmenschliches Instrument erwähnt: »Bei anderen Meldungen konnte man sich des Eindrucks nicht erwehren, dass der Datenschutz als willkommener Anlass genommen wurde, es aber bei genauerer Betrachtung eigentlich um Diffamierungen, verletzte Eitelkeiten oder etwa schlicht um Rachegelüste ging.« Bei den typischen Pannen wird gleichzeitig noch etwas empirische Alltagstechniksoziologie betrieben: »USB-Sticks werden dagegen mittlerweile oft am Tatort zurückgelassen. Hieraus lässt sich womöglich ein allgemeiner Trend im Nutzerverhalten weg von betagteren Speichermedien feststellen.«
Bußgelder wurden anscheinend nicht verhängt – jedenfalls werden keine erwähnt, dafür in einem Halbsatz für die Zukunft angekündigt.
Einzelne Fälle werden nur sehr wenige beschrieben – die sind aber sehr deutlich und eignen sich auch als Worst-case-Szenarien für Datenschutzschulungen, zeigen sie doch, wie scheinbar harmlose Pannen gravierende Folgen haben können: So wird beispielsweise von einem Einbruch im Kindergarten berichtet, bei dem eine Kamera mit Speicherkarte gestohlen wurde – auf der Kamera: Fotos von unbekleideten Kindern – unverständlich, wie es zu so etwas überhaupt kommen konnte. (Die Erklärung im Bericht: »im Rahmen eines Rollenspiels unbekleidet fotografiert«.) Hier wurde auch die Präventionsbeauftragte eingeschaltet. Ein anderer Fall berichtet von einem Schlüsselbord, auf dem Wohnungsschlüssel von Essen-auf-Rädern-Kund*innen aufbewahrt wurden – und daneben die dazugehörige Adressliste. Ein Einbruch führte zu einer Diebstahlserien. »Eine Verknüpfung von Daten mit bösen Folgen«, kommentiert die Datenschutzbeauftragte. Beim dritten Fall geht es um eine Adressliste einer Bildungsveranstaltung, auf der trotz vorigem Widerspruch die Adresse einer Teilnehmerin erschien, die von ihrem Exmann bedroht wurde.
Wo sind all die Datenschutzbeauftragten?
Bei der vorgeschriebenen Meldung der betrieblichen Datenschutzbeauftragten zeigt sich eine gewisse Renitenz: Entweder benennen kirchliche Einrichtungen viel zu selten welche, oder sie melden sie nicht ordentlich bei der Aufsicht. Dass es im ganzen Bistum Fulda nur 15 BDSB geben soll, ist kaum zu glauben. Nur die Zahlen aus Trier (fast 800 gemeldete DSB) scheinen halbwegs glaubhaft, alle anderen Bistümer bleiben teils extrem deutlich darunter.
Webseiten im Fokus
Auch die Südwest-DDSB hat einen Prüfungsschwerpunkt. Anders als ihre beiden nördlichen Kollegen, die Kindergärten prüfen, wendet sie sich Webseite zu: Systematisch wurden zunächst Bistumswebseiten, dann die von Caritas-Einrichtungen überprüft, mit erwartbarem Ergebnis: »Von den geprüften Websites katholischer Einrichtungen blieb keine ohne Beanstandung.« Mängel lagen vor allem in mangelhaften Datenschutzerklärungen: fehlende oder unnötigen Erwähnungen von Drittanbietern und irrtümliche Bezüge auf die DSGVO und Rechtsgrundlagen. Bemängelt wurden auch nicht-anonymisierte Google-Analytics-Nutzung und Cookies ohne Einwilligung. Nach Bistümern und Caritas sollen noch weitere Einrichtungen geprüft werden.
Sonst noch interessant
- Beschwerden bezogen sich häufig auf Fundraisingmaßnahmen. Hier wird angemerkt, dass es oft schwierig sei, eine Rechtsgrundlage dafür zu finden – wohl deshalb haben Berlin und Hildesheim mittlerweile eigene Ordnungen für den Datenschutz im Fundraising (verlinkt in der diözesanen Rechtssammlung)
- Erstmals wird die Frage der rechtlichen Zuständigkeit für ökumenische Einrichtungen thematisiert. Weder KDG noch DSG-EKD sehen dafür eine Regelung vor. Hier ging es um einen Energieversorger in katholischer und evangelischer Trägerschaft. Die Lösung war so elegant wie unbefriedigend mit Blick auf die Anwendbarkeit für andere Einrichtungen: Es gilt DSGVO, da der Energieversorger gemäß den Kriterien der Kirchlichkeitsprüfung gar keine kirchliche Einrichtung ist.
- Eine Untätigkeitsklage gegen die Diözesandatenschutzbeauftragte geht in die zweite Instanz (den Fall eines Betroffenen sexualisierter Gewalt, der seine Daten nicht an die Staatsanwaltschaft weitergegeben sehen wollte). Hier erfährt man, dass das wohl der erste Fall überhaupt für das Datenschutzgericht der DBK ist.
Fazit
Auch Becker-Rathmair betont wie ihre Kollegen, dass das KDG sich bewährt hat und akzeptiert wird – angesichts der mangelnden Meldedisziplin bei den betrieblichen Datenschutzbeauftragten wirkt das aber etwas optimistisch; auch die doch sehr geringe Fallzahl für die sieben teilweise sehr großen Bistümer scheint doch eher auf ein Vollzugsdefizit als auf eine überdurchschnittlich gute Compliance schließen.
Positiv hervorzuheben sind die plastischen Fälle aus der Praxis: Oft ist es schwer einzusehen, warum scheinbar harmlose Daten wie Adresslisten von Teilnehmenden überhaupt besonderen Schutzes bedürfen, und warum sich einfache technische und organisatorische Maßnahmen wie abschließbare Schränke oder gesondert aufbewahrte Speicherkarten lohnen. Die Beispiele aus dem Tätigkeitsbericht zeigen, was im schlimmsten Fall eintreten kann – und eignen sich daher besonders für praxisnahe, einsichtige Datenschutzschulungen.
Bisher besprochene Tätigkeitsberichte des KDSZ Frankfurt
- Wo sind all die Datenschutzbeauftragten hin? – Tätigkeitsbericht 2019 DDSB Südwest
- Rekordgeldbuße im Südwesten – Tätigkeitsbericht 2020 des KDSZ Frankfurt
- Flutdatenschaden – Tätigkeitsbericht 2021 des KDSZ Frankfurt
- Empfindliche Buße – Tätigkeitsbericht 2022 des KDSZ Frankfurt
- Aufsichtserschütterndes Urteil dräut – Tätigkeitsbericht 2023 des KDSZ Frankfurt