Jupp Joachimski ist der Steve Jobs unter den kirchlichen Datenschutzaufsichten. In seinen Berichten zieht er nach dem Pflichtteil immer noch gerne »one more thing« hervor. In seiner Funktion als Ordensdatenschutzbeauftragter ist das im jetzt erschienenen Bericht für 2020 diese Ankündigung: »In Kürze wird sogar ein von einem deutschen kirchlichen Rechenzentrum entwickeltes Konferenzprogramm auf den Markt kommen.«

Ansonsten wird nichts angeteasert, spannende Vorfälle gibt es anscheinend nicht – im Gegenteil: Auch die drei Ordensdatenschutzbeauftragten haben sich während der Corona-Krise in Zurückhaltung geübt, geht aus dem am Dienstag veröffentlichten Bericht für den Zeitraum vom 1. Februar 2020 bis zum 31. Januar 2021 hervor.

Kirchliche Gesetzgebung

Wieder einmal gibt es kleine Brotkrumen zur KDG- und KDR-OG-Evaluierung. Dem Bericht ist zu entnehmen, dass die von der zuständigen Arbeitsgruppe »Datenschutz und Melderecht« des Verbands der Diözesen Deutschlands angeforderte Stellungnahme der Diözesandatenschutzkonferenz noch nicht fertig ist, »doch zeichnen sich keine elementaren Änderungen ab, sondern im Wesentlichen Korrekturen in praktischer Hinsicht«, so der Bericht. Worum es dabei geht, hat Joachimski schon zuvor verraten. (Das KDG der verfassten Kirche entspricht bis auf ein paar ordensspezifische Formulierungen weitgehend der KDR-OG.)

Mit Blick auf die neuen Nebengesetze, das Seelsorge-Patientendatenschutzgesetz und das Verwaltungsverfahrensgesetz, wird bei ersterem eine Übernahme ins Ordensrecht empfohlen, wo relevant, letzteres wird für weniger wichtig erachtet: Zu familiär geht es bei den Gemeinschaften zu. Da im Bereich der Orden die jeweils zuständigen Gremien des jeweiligen Ordens verantwortlich sind, droht damit ein ziemlicher Wildwuchs – was gilt, ist kaum festzustellen angesichts von allein derzeit 239 Gemeinschaften, die sich dem Gemeinsamen Ordensdatenschutzbeauftragten unterworfen haben.

Tätigkeit der Aufsicht

Während Beschwerden und Beratungsbedarf deutlich gestiegen sind, ist die Zahl der Datenschutzverletzungen konstant geblieben. Vor allem pandemie-bedingte Fragen, etwa zu Konferenzprogrammen, prägten die Berartungstätigkeit. Sieben Beschwerden und 61 gemeldete Datenpannen sind sehr übersichtlich.

Vor-Ort-Prüfungen konnten nicht stattfinden, stattdessen wurde eine formularbasierte Prüfung entwickelt. Mit Blick auf Schrems II gibt es auch bei den Ordensdatenschutzbeauftragten Zurückhaltung: »Die Diözesan- und Ordensdatenschutzbeauftragten sind sich darin einig, dass der gegenwärtige, von der CoVid19-Pandemie bestimmte Zeitpunkt nicht der richtige ist, um die bestehenden Anwendungen von den Rechnern der Ordensgemeinschaften zu bannen. Sie warnen aber davor, mit der Neuanschaffung dieser Anwendungen ein finanzielles Risiko einzugehen, weil es gut sein kann, dass schon in wenigen Monaten der Betrieb damit aus rechtlichen Gründen beendet werden muss.«

Geldbußen wurden weiterhin keine verhängt – hier war vor allem Joachimski schon immer skeptisch. Durch ein Urteil des IDSG sehen sich die Ordensdatenschutzbeauftragten darin auch bestätigt: »Durch diese Rechtsprechung entsteht schon eine Ahndungslücke, die ggfs. durch eine Änderung der KDR-OG zu
beheben sein wird.«

Fazit

»Alles in Ordnung bei den Orden« war der Artikel zum letztjährigen Bericht überschrieben, und auch dieses Jahr ließe sich so titeln. Wieder gibt es viel Lob: »Die Datenschutzstrukturen in den Ordensgemeinschaften haben sich weiter kontinuierlich verbessert«, heißt es. Positiv vermerkt wurde, »dass generell die früher häufig vorhandene Abwehrhaltung gegenüber dem Datenschutz gewichen ist und sich eine sowohl datenschutzfreundliche wie praxisnahe Auffassung verbreitet hat«.

Eine Sache trübt den Blick auf den nur vierseitigen Bericht dann aber doch: Was nämlich nicht darin steht. Krankenhäuser und andere soziale Einrichtungen werden nur kurz bei den Datenpannen mit Blick auf die Aufsichtstätigkeit erwähnt. Angesichts von Konzernen in Ordenshand, die teilweise Milliardenumsätze haben, wäre das eine oder andere Wort dazu, wie eine Aufsicht, die anscheinend nur aus drei Teilzeit-Jurist*innen besteht, hier ein adäquates Schutzniveau sicherstellen will.