Keine Gelegenheit für Bußgelder – Tätigkeitsbericht 2020 der KDSA Nord

Noch schnell vor der Sommerpause hat die Katholische Datenschutzaufsicht Nord am Donnerstag ihren Tätigkeitsbericht für 2020 veröffentlicht – natürlich ein weiterer Corona-Bericht. Die Pandemie hat sich neben dem Ausfall von allen Vor-Ort-Prüfungen bis auf zwei vielfältig in der Aufsichts- und Beratungstätigkeit niedergeschlagen.

Titelseite des Tätigkeitsberichts 2020 der KDSA Nord

Titelseite des Tätigkeitsberichts 2020 der KDSA Nord

Eine auffällige Leerstelle im Bericht sind die Aufsichtsmaßnahmen: Zwar werden einige Fälle geschildert, in denen durchaus gravierende Datenschutzverstöße vorliegen. Bußgelder werden jedoch nicht erwähnt. Auf Anfrage teilte mir der Diözesandatenschutzbeauftragte Andreas Mündelein mit, dass er keine Möglichkeit hatte, Bußgelder zu verhängen – die besonders gravierenden Fälle waren bei öffentlich-rechtlich organisierten Stellen und damit durch das KDG von Bußgeldern ausgenommen. Der Glaubwürdigkeit der kirchlichen Selbstverwaltung trägt diese Regelung nicht bei.

Zahlen zur Aufsichtstätigkeit

Ansonsten gibt es auch in diesem Bericht leider keine Statistik in absoluten Zahlen zur Aufsichtstätigkeit. Was man erfährt: Die Datenschutzverletzungen haben aufgrund verstärkter Nutzung digitaler Kommunikation deutlich zugenommen, insgesamt um 83 Prozent. Die Anfragen dagegen sind um 38 Prozent rückläufig, auch die Anzahl der Prüfungen ist um 25 Prozent rückläufig. Prüfungen nach Aktenlage konnten die fehlenden Vor-Ort-Termine nicht kompensieren. Die Beschwerden blieben im Vergleich zum Vorjahr konstant. Der DDSB sieht darin eine Etablierung des KDG und seiner Umsetzung durch immer routiniertere Datenschutzbeauftragte.

Zukunft der Aufsicht

2020 hat die Aufsicht ihren Namen von »Der Diözesandatenschutzbeauftragte des Erzbistums Hamburg, der Bistümer Hildesheim, Osnabrück und des Bischöflich Münsterschen Offizialats in Vechta i.O.« in »Katholische Datenschutzaufsicht Nord« geändert. Die im gleichen Zuge geplante Errichtung einer Körperschaft des öffentlichen Rechts wurde coronabedingt verschoben und könnte noch 2021 abgeschlossen sein. Die Umbenennung spart nicht nur Tinte: Sie »ist auch der Vereinheitlichung der Bezeichnungen der katholischen Aufsichtsbehörden geschuldet und dient damit der Orientierung der Betroffenen im Hinblick auf die Wahrnehmung Ihrer [sic!] Rechte«, erläutert der DDSB. Gute Rechtskultur fängt beim Namen an.

Personell bleibt die KDSA Nord kompakt: Sie umfasst jetzt vier Vollzeitstellen und liegt damit im mittleren Bereich: Mehr als doppelt so viel wie die bayerischen Aufsicht (zwei Personen mit weniger als zwei Stellen), aber ein Drittel der NRW-Aufsicht (11 Planstellen).

Zur Konferenz der Diözesandatenschutzbeauftragten erfährt man, dass sie sich 2020 eine Geschäftsordnung gegeben hat, die aber bisher nicht veröffentlicht ist.

Zur Gesetzgebung

Erfreulich ist, dass zum Nachzeichnen der rechlichen Entwicklung auf Bundes- und Europaebene auch das Landes- und Diözesanrecht im Blick ist; die übergeordneten Ebenen doppeln sich in vielen Berichten, dieser Überblick ist hilfreich.

Dabei äußert der DDSB Kritik an der Hildesheimer »Anordnung zum Schutz personenbezogener Daten in katholischen Schulen in freier Trägerschaft«: Hier bemängelt er in § 6 Abs. 7 der Anordnung einen zu freigiebigen Erlaubnistatbestand für die Weitergabe von Daten an nichtöffentliche Stellen. Das bestätigt den hier bereits mit Blick auf die Hamburger Schuldatenschutzordnung geäußerten Eindruck, dass Spezialgesetze die Tendenz haben, Schutzstandards abzusenken.

Der Nord-DDSB hat wie andere Aufsichten außerdem Anfragen an den Patient*innen-Datenschutz. Die eigentlich positive Entwicklung, dass Seelsorge in umfassende Behandlungskonzepte als Spiritual Care einbezogen wird – im Seelsorge-PatDSG unter die Variante »implementierte Seelsorge« gefasst – , sieht er kritisch: »Durch die Integration der Seelsorge im Sinne einer ganzheitlichen Behandlung des Patienten in den Krankenhausalltag, mit der Folge der Weitergabe u.a. der Konfessionszugehörigkeit, ohne die Einwilligung des Patienten, wird der Grundsatz, ›jeden Zwang zur Seelsorge‹ fernzuhalten konterkariert.« Das Argument, es handle sich nun einmal um eine katholische Einrichtung, könne nicht ziehen, schließlich können nicht alle Patient*innen in allen Situationen das Krankenhaus frei wählen. »Ob das Seelsorge-PatDSG insoweit geeignet ist, ›ohne jeden Zwang‹ (s.o. Art 141 WRV) die Seelsorge in einem katholischen Krankenhaus zu organisieren, ist auch im Rahmen des Gesetzgebungsverfahrens durch die Datenschutzaufsichten mehrfach problematisiert worden«, schließt der DDSB. Es lohnt sich, den ganzen Passus zu lesen (S. 13–16), der sehr kritisch die Frage nach einem angemessenen Datenschutzniveau in Spezialgesetzen diskutiert.

Konkrete Fälle

Bei den geschilderten Fällen gibt es viel Corona: So wird auch hier die Frage nach der Zulässigkeit von Temperaturmessungen abgewogen. Die seien »weder geeignet noch erforderlich […], um zuverlässige Ergebnisse im Rahmen der Zugangskontrolle zu erhalten«. Interessant ist die Frage, ob auch ohne eine gesetzliche Regelung Besuchslisten zur Kontaktverfolgung zulässig sind – im Bistum Hildesheim in Niedersachsen fehlte eine derartige Rechtsgrundlage im staatlichen wie im kirchlichen Recht für den kirchlichen Bereich. Hier sei »berechtigtes Interesse« nach Ansicht des DDSB nicht einschlägig. (»Lebenswichtiges Interesse« als mögliche Rechtsgrundlage wird interessanterweise gar nicht angeführt, obwohl der DSGVO-Erwägungsgrund 46 explizit die Überwachung von Epidemien und deren Ausbreitung als Anwendungsgebiet nennt.) Stattdessen sei das Mittel der Wahl ein gutes Hygienekonzept. Wo es eine gesetzliche Grundlage gibt, ist – auch das keine Überraschung – statt einer fortlaufenden Liste auf einzelne Zettel zurückzugreifen.

Hilfreich ist eine Einschätzung zu Aufbewahrungsfristen von Einwilligungserklärungen. Im konkreten Fall ging es um Einwilligungen für die Veröffentlichung von Fotos auf einer Schulhomepage. Klar ist, dass sie so lange aufbewahrt werden müssen, wie die Bilder online sind. Nicht geregelt ist, was passiert, wenn die Bilder offline genommen werden. Der Vorschlag des DDSB: »Mangels anderweitiger Vorgaben haben wir empfohlen, die Einwilligungserklärungen für eine Frist von drei Jahren nach Entfernung der Bilder auf der Homepage aufzubewahren. Diese Frist orientiert sich an der Regelverjährungsfrist gemäß § 195 BGB.« Dazu weisen die Datenschutz-Notizen in ihrer Besprechung des Berichts darauf hin, dass eine Aufbewahrung von Einwilligungen für die Gesamtdauer der Veröffentlichung von Print-Produkten kaum praktikabel ist – aber das ist ein Problem, das auch im Geltungsbereich der DSGVO besteht, schließlich muss hier (Art. 7 Abs. 1 DSGVO) wie dort (§ 8 Abs. 5 KDG) eine Einwilligung nachgewiesen werden, wenn sich eine Verarbeitung darauf beruft.

Fazit

Die KDSA Nord legt für ein ungewöhnliches Jahr einen überraschungsfreien Tätigkeitsbericht vor. Mittlerweile scheint sich tatsächlich sehr vieles eingegroovt zu haben, die kirchlichen Stellen scheinen ihr Datenschutzmanagement im Griff zu haben.

Was auffällt, sind die Leerstellen, nicht nur bei den Bußgeldern: Von Social Media ist quasi gar nicht die Rede – obwohl dort nach wie vor die größte Rechtsunsicherheit bei gleichzeitig flächendeckendem Einsatz vorliegt. Das ist schon fast zu auffällig. Warten die Aufsichten hier darauf, dass im staatlichen Bereich ein Exempel statuiert wird (etwa durch den BfDI gegen Facebook-Seiten von Bundesbehörden?), um dem dann zu folgen?

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.