Von der Katholischen Datenschutzaufsicht Ost kommt traditionell der schnellste und der politischste der Tätigkeitsberichte der Diözesandatenschutzbeauftragten – so auch dieses Jahr. Programmatisch stellt Matthias Ullrich seinem diesjährigen Bericht ein Zitat der Schriftstellerin und brandenburgischen Verfassungsrichterin Juli Zehn voran: »Ein observierter Mensch ist nicht frei.«
Im letzten Jahr habe ich den politischen Teil deutlich kritisiert, als Öffentlichkeitsarbeit mit Fotos in den Kontext sexualisierter Gewalt gestellt wurden. Dieses Jahr kommt so etwas nicht vor – der Bericht spart trotzdem nicht mit klaren politischen Ansagen. Und viele praxisrelevante Tipps und Checklisten sind auch dabei.
Grundsätzliches zur aktuellen Lage
Das Kapitel »Entwicklung des Datenschutzes« ist Ullrichs Bericht zur Lage der Nation. Neben der trockenen, aber instruktiven Einordnung aktueller Rechtsprechung und Gesetzgebung widmet er sich ausführlich der Frage nach »Privilegien« für Geimpfte, durchaus grundrechtssensibel und sorgfältig abwägend. Deutlich äußert der Diözesandatenschutzbeauftragte seine Kritik an Begehrlichkeiten an Kontaktrückverfolgungsdaten und an der Vorratsdatenspeicherung, bei der er auch Probleme mit Blick auf Kirche und Caritas sieht.
Auffällig ist, dass bei der ansonsten umfassenden Erörterung von Schrems II die Auftragsverarbeitung nicht erwähnt wird; aufgrund der im Vergleich zur DSGVO strengeren Regelung in § 29 Abs. 11 KDG zu Auftragsverarbeitung in Drittländern ist die strenggenommen in den USA gar nicht mehr möglich. Bisher haben die katholischen Aufsichten dazu nichts gesagt (dass das Problem bewusst ist, zeigt die Reaktion auf die Brexit-Übergangsphase).
Zur bischöflichen Gesetzgebung
Hier im Blog wurde das neue Seelsorge-Patientendatenschutzgesetz positiv besprochen; im Vergleich zu den Vorgängernormen hat es das Schutzniveau erhöht. Ullrich dagegen äußert vor allem Kritik, unter anderem an der weiten Begriffsdefinition von »Patientendaten« (auch die Daten von Angehörigen werden unter die besonderen Kategorien gezählt) und der sehr vagen, undefinierten Unterscheidung zwischen »implementierten« und »nichtimplementierten« Seelsorgekonzepten.
Die Hauptkritik liegt darin, dass trotz Verbesserungen zu viel ohne Zustimmung des*der Patient*in möglich ist: »Die im Gesetz an dieser Stelle vorgesehene Reglung, wonach eine Seelsorge zu unterbleiben hat, wenn der Patient dies ausdrücklich nicht wünscht, stellt eine mit dem Datenschutzrecht nicht vereinbare ›OptOut-Regelung‹ dar«, bemängelt Ullrich und erwähnt außerdem kritische Äußerungen im Rahmen des Gesetzgebungsverfahrens seitens der Datenschutzaufsichten.
Das Verwaltungsverfahrensgesetz wird dagegen wohlwollend referiert – hier war der Handlungsdruck wohl groß.
Aufsichtstätigkeit
Im Kapitel über die Datenschutzaufsicht selbst klingt eine Unzufriedenheit mit einigen Aspekten des Verhältnisses zwischen Aufsicht und Verantwortlichen durch. »Eine Kooperation zwischen Verantwortlichen und der Datenschutzaufsicht verläuft häufig unbefriedigend«, schreibt Ullrich. Sehr deutlich legt er dar, welche Pflichten Verantwortliche nach dem KDG haben in ihrem Verhältnis zur Aufsicht. »Häufig kommt es zu Unstimmigkeiten über die Beratungspflicht der Datenschutzaufsicht«, klagt der Diözesandatenschutzbeauftragte. Dazu trage auch die Bezeichnung seiner Funktion bei, die anders als »Aufsicht« eine Verwechslung mit den betrieblichen DSB nahelege. (Aus journalistischer Perspektive sind Umbenennungspläne nur zu begrüßen: Jeder gesparte Buchstabe hilft bei Ungetümen wie »Konferenz der Diözesandatenschutzbeauftragten«.)
Weitere diskutierte Problembereiche sind »Meldepflicht contra Selbstbelastungsfreiheit« (hier sieht Ullrich keinen besonderen Schutz für juristische Personen als nötig an) und die Frage nach der Erzwingungsmöglichkeit von Geldbußen im Anschluss an eine Entscheidung des VG Ansbach. Sehr serviceorientiert ist der Leitfaden, was die grundsätzlich formlose Beschwerde enthalten sollte, um Früchte zu tragen.
Eine Übersicht über das Arbeitsaufkommen fehlt komplett; nicht einmal zu einer Aussage über die Tendenz der Entwicklung lässt sich Ullrich hinreißen.
Datenschutz allgemein
Den längsten Teil macht die Praxis aus. Sehr ausführlich widmet sich der Bericht der Frage von Fax (bitte keine besonderen Kategorien faxen!) und E-Mail. Mit Blick auf E-Mails wird vor allem eingeschärft, bei symmetrischer Verschlüsselung nicht verschlüsselten Anhang und Passwort über denselben Kanal zu schicken. »Ein solches Verfahren wäre vergleichbar mit dem Abschließen einer Tür und dem gleichzeitigen Danebenhängen des Schlüssels«, so Ullrich. Als Kanal für die Passwortübergabe wird auch SMS empfohlen, auch ein festes, gegebenenfalls periodisch wechselndes, Passwort sei zulässig. (Kurios – aber realistisch: asymmetrische Verschlüsselung wird hier erst gar nicht erwähnt; später kommt noch ein ausführlicher technischer Exkurs zu Mail und Fax). Ein weiterer praktische Hinweis ist der auf das getrennte Aufbewahren von Kameras und Speichermedien (vor allem bei Kindergarteneinbrüchen relevant).
Schwerpunkte gibt es zum Umgang mit Ausgangsersuchen (mit einer sehr ausführlichen, praxisnahen Erläuterung zur praktischen Umsetzung inklusive Checklisten) und zum Datenschutz im Krankenhaus. Ullrich vertritt die Position, dass mit den datenschutzrechtlichen Auskunftsansprüchen nicht die gesetzlich vorgesehene kostenpflichtige Auskunft ersetzt werden kann, gibt aber auch zu, dass man hier anderer Meinung sein kann. Neben dem Klassiker »Arztbrief falsch adressiert« wird auch ein besonders krasses Beispiel genannt: Gesundheitsämter hatten von Kliniken verlangt, Entlassungsberichte von Covid-Kranken zu faxen – nicht nur ohne Rechtsgrundlage, sondern auch unter Umgehung der Schweigepflicht und wohl auch strafrechtlich relevant.
Erfreulich ist der einziehende Pragmatismus im Bereich Schulen. Waren in den Vorjahren noch besonders strenge Sichtweisen gängig (etwa, wenn ein Telepräsenzroboter für ein Kind mit Inklusionsbedarf in Bausch und Bogen für unheilbar unzulässig erklärt wurde, »Fall Avatar«), hat Corona hier für einen Fokus auf Umsetzbarkeit gesetzt. »Trotz dieser neuen digitalen Medien darf dabei der Datenschutz nicht auf der Strecke bleiben, aber auch kein Hindernis sein«, betont Ullrich.
Dafür gibt es Hinweise zum Einsatz von Lernsoftware, zu technischen und organisatorischen Maßnahmen im Schulalltag – und, das ist besonders erfreulich, eine hohe Sensibilität für die Rechte von Kindern, etwa wenn die Ansicht vertreten wird, dass niemand zum Anschalten der Kamera verpflichtet werden darf, oder betont wird, dass Chats zwischen Schüler*innen nicht eingesehen werden dürfen. Auch über Corona hinaus waren Schulen relevant: Zu umfangreiche Aufnahme- und Anmeldebögen und Streit um Aufbewahrungsfristen und Herausgabepflichten von Klassenarbeiten standen auf der Tagesordnung.
Im Bereich des Beschäftigtendatenschutzes gibt es die Klarstellung, dass im kirchlichen Datenschutzrecht auch freiwillig bestellte Datenschutzbeauftragte Kündigungsschutz genießen, und dass der Kündigungsschutz selbst dann Bestand hat, wenn der EuGH ihn im Bereich des BDSG kippen würde – so jedenfalls Ullrichs Auslegung der Reichweite des kirchlichen Selbstverwaltungsrechts.
Atteste für Mund-Nasen-Schutze sorgen wohl immer wieder für Probleme; diese werden ausführlich diskutiert. Interessant ist der Praxisfall eines großen Unternehmens, das eine Mitarbeiter-App, die quasi ein betriebsinternes Social Network darstellt, einführen wollte – aufgrund des Übergreifens über das Arbeitsverhältnis hinaus sieht Ullrich das sehr kritisch.
Für das kommende Jahr kündigt der Bericht einen »KDSA Website Check 2021« an: Anlässlich des Umzugs der Geschäftsstelle der Aufsicht wurden Webseiten im Einzugsbereich überprüft, ob die Adresse in den Datenschutzinformationen geändert wurde – das Ergebnis war ernüchternd. Kirchliche Stellen, die der KDSA Ost unterfallen, sollten der Wink mit dem Zaunpfahl aufgreifen – der Bericht wird so konkret, was geprüft und erwartet wird, dass es kaum Argumente dafür gibt, hier mit Gnade wegen Unwissenheit durchzukommen, wenn die eigene Webseite durchfällt.
Ganz zum Schluss gibt es noch ein Schmankerl: Natürlich müssen im Bericht zum Corona-Jahr Videokonferenzsysteme vorkommen. Wie bereits berichtet setzt die KDSA Ost für ihre Videosprechstunde selbst Zoom ein. Auch wenn es keine Empfehlung einzelner Produkte gibt: »Was hier den Service von ›zoom‹ (beispielhaft auch für ähnliche Dienste) nach der hier vertretenen Ansicht betrifft, ist ein generelles Verbot der Nutzung aus datenschutzrechtlichen Gründen nicht zwingend veranlasst«, erläutert der Diözesandatenschutzbeauftragte. Die Hinweise zum konformen Einsatz sollten auch anderswo hilfreich sein, um den Einsatz von Videokonferenzsystemen, die auch bei großen Menschenmengen funktionieren, zu rechtfertigen.
Fazit
Corona hat für einen Pragmatismusschub gesorgt – aber nicht für einen Abbau des Datenschutzniveaus. War gerade der DDSB Ost bisher für eine besonders strenge Regelung bekannt, zeigt sich hier, dass sich Umsetzbarkeit und Datenschutz-Compliance nicht ausschließen müssen. Das ist ein sehr erfreuliches Signal und dürfte, anders als ein Datenschutz-Rigorismus, auch tatsächlich zu einer Erhöhung des Datenschutzniveaus führen.
Ein Trend zieht sich leider auch im aktuellen Bericht durch: Weder wird die Empfehlung der Datenschutzkonferenz zum Aufbau der Berichte umgesetzt (wie es im Bereich der Religionsgemeinschaften etwa Jehovas Zeugen tun), noch werden wenigstens Vergleichszahlen zu Beschwerden, Bußen, Pannen und Meldungen genannt.
Sehr deutlich ist die letztlich fruchtlose Kritik am Patient*innen-Datenschutz – hier zeigen sich zwei Punkte: Ohne eine kritische Öffentlichkeit kommt auch kirchliche Gesetzgebung nicht aus. Und die fehlt gerade im Verwaltungsrecht vor Inkraftsetzung völlig. Und, grundsätzlich: Das KDG hat nun einmal die (nicht im Einklang mit der DSGVO stehende) Rechtsgrundlage, dass erlaubt ist, was ein anderes kirchliches oder staatliches Gesetz erlaubt – pauschal, ohne Bedingungen. Im Gefüge des kirchlichen Datenschutzrechts sind daher auch wie von Ullrich im PatDSG als der Systematik fremd kritisierte Normen möglich – ändern wird sich das nur, wenn diese vom Gesetzgeber liebgewonnene Rechtsgrundlage aufgegeben wird. Ob freiwillig oder durch die Feststellung von außen, dass diese Rechtsgrundlage den Einklang mit der DSGVO gefährdet.
Bisher besprochene Berichte der KDSA Ost
- Wie übergriffig ist Öffentlichkeitsarbeit? – Anmerkungen zum Bericht 2019 der KDSA Ost
- Pragmatismusschub dank Corona bei der KDSA Ost – Tätigkeitsbericht 2020
- Mitarbeiterexzesse galore – Tätigkeitsbericht der KDSA Ost 2021
- Ein Bistum ohne Datenschutz – Tätigkeitsbericht 2022 der KDSA Ost
- Renitente Verantwortliche – Tätigkeitsbericht 2023 der KDSA Ost