Betroffenenrechte mangelhaft – Tätigkeitsbericht 2020 des Katholischen Datenschutzzentrums NRW

»Corona.« Mit einem Seufzer beginnt das Vorwort des Tätigkeitsberichts des Katholischen Datenschutzzentrums Dortmund für 2020. Die Bericht der Aufsicht für die NRW-Bistümer und den VDD kommt wie die anderen bereits erschienenen Berichte natürlich nicht um das alles beherrschende Thema herum, setzt aber noch einige andere Schwerpunkte: Schrems II und Brexit sind von außen gesetzt. (Und bieten für regelmäßige Leser*innen hier nichts neues.) Eine intensive Auseinandersetzung mit Betroffenenrechten und eine Kita-Querschnittsprüfung sind selbst gewählt.

Titelseite des Tätigkeitsberichts 2020
Fünf Zeilen für den Namen der Behörde. Eine mögliche Umbenennung in KDSA NRW wird im Bericht aber nicht angesprochen.

Im vergangenen Jahr hieß es hier zum Tätigkeitsbericht für 2019 »Die Schonzeit ist vorbei«. Auch in diesem Jahr macht der DDSB deutlich, dass (zum Veröffentlichungszeitraum) nach mehr als drei Jahren KDG nicht mit allzu viel Nachsicht zu rechnen ist. Die großen Bußgeld-Hämmer blieben dennoch aus.

Aufsichtstätigkeit

Auch in diesem Bericht erfährt man wenig absolute Zahlen: Meldungen von Datenpannen sind deutlich um mehr als 50 Prozent angestiegen, darunter einige Fälle von Erpressungstrojanern, »viele« Beschwerden bezogen sich auf die Rückverfolgbarkeit von Besucher*innen und mangelhaften Umgang mit Betroffenenrechten, Anfragen und Beratungswünsche blieben auf einem »sehr hohen« Niveau. Im Berichtszeitraum wurde nur ein Bußgeld unbekannter Höhe verhängt – dabei ging es um das Recht auf Berichtigung. In einigen Fällen wurden Untersagungsverfügungen erlassen und damit Datenverarbeitungen verboten. Im Vergleich zum Vorjahr fehlt leider eine Aufschlüsselung, wie sich Meldungen und Beschwerden auf Fallgruppen aufteilen.

Hilfreich ist ein Abschnitt, der transparent macht, wie mit Beschwerden umgegangen wird. Beschwerden im eigentlichen Fall sind nur solche von betroffenen Personen; Eingaben von Dritten werden als »Hinweise« bearbeitet. Der wesentliche Unterschied: Bei Hinweisen erhält die hinweisende Person keine Rückmeldung, wie mit dem Hinweis verfahren wurde. Dabei sind auch anonyme Hinweise möglich. Um bearbeitet zu werden, müssen sie »hinreichend substantiiert vorgetragen worden sein und [es muss] ausgeschlossen werden können, dass hier das anonym ausgeübte Beschwerderecht aus persönlichen Gründen missbraucht wird«.

Gesetzgebung

Über die Evaluierung des KDG erfährt man in der Sache wenig; immerhin etwas mehr zum Zeitplan: Bereits im Jahr 2021 sei geplant, die Überlegungen der zur Evaluierung eingesetzten VDD-Arbeitsgruppe vorzulegen. Wem und wie öffentlich vorgelegt wird, ist nicht ausgeführt. (Was ansonsten zur Evaluierung schon bekannt ist, stand neulich hier zu lesen.)

Mit Blick auf das Seelsorge-Patientendatenschutzgesetz zeigt sich die NRW-Aufsicht deutlich zurückhaltender als die KDSAen Ost und Nord, die sehr deutliche Vorbehalte vorgebracht haben. Als Schwierigkeit wird eine rechtskonforme Einholung von Einwilligungen von Patient*innen genannt. Wie bei den anderen Aufsichten wird vor allem das Konzept einer »implementierten« Seelsorge, also einer Einbindung in die Behandlungskonzepte, als potentiell problematisch betrachtet. »Ob die Erklärung im Behandlungsvertrag wirklich ausreicht, wird im konkreten Einzelfall der Verwendung im Vertrag jeweils zu untersuchen sein. Es wird im Einzelfall zu untersuchen sein, ob sich ein Patient im Rahmen der Darstellungen über eine implementierte Seelsorge wirklich die Gedanken macht, dass seine Gesundheitsdaten dem Krankenhausseelsorger offenbart werden.«

Schwerpunktthemen

Corona

In NRW gibt es dieselben großen Problemkreise wie anderswo: Rückverfolgbarkeit, mobiles Arbeiten, Videokonferenzen, Gottesdienstübertragung. Zur Gottesdienst-Streams wird in einem Nebensatz angedeutet, dass von im Bild auftauchenden Mitwirkenden Einwilligungen erforderlich seien – in der Regel wurde bisher davon ausgegangen, dass hier Interessensabwägungen ausreichen sollten. Einige Fälle bezogen sich auf die Rückverfolgbarkeit; auch hier keine Überraschung: Statt offen einsehbarer Listen sollte zu einzelnen Zetteln gegriffen werden, die sich in der Abfrage auf die gesetzlich vorgesehenen Daten beschränken.

Mit Blick auf Videokonferenzsysteme übt die Aufsicht Zurückhaltung; man ist sich wohl bewusst, dass die auch bei kirchlichen Stellen favorisierten US-basierten Lösungen von Microsoft, Zoom und Cisco nur schwer zu ersetzen sind, und setzt stattdessen auf möglichst datensparsame und im DSGVO-Gebiet bleibende Konfigurationen, während die Übertragung mancher Metadaten in die USA zähneknirschend geduldet zu werden scheint.

Kita-Querschnittsprüfung

Als erste Aufsicht legt NRW detailliertere Ergebnisse aus ihrer Kita-Querschnittsprüfung vor – weitere Prüfungen laufen beim BfD EKD und bei der KDSA Nord. Grundsätzlich wird ein positives Fazit gezogen: »Das Thema Datenschutz wird flächendeckend im Bereich der Kindertagesstätten mit einer höheren Priorität behandelt«, heißt es im Bericht. Bereiche, in denen nach der ersten Online-Umfrage besonders viele Nachfragen bei den Einrichtungen nötig waren, sind Zugangskontrolle, Weitergabekontrolle, Löschen von Daten, Zutrittskontrolle, Backup & Restore, Datensicherheit/Verschlüsselung und Löschen von Daten.

Die Prüfung soll im ersten Halbjahr 2021 abgeschlossen worden sein. Es ist zu hoffen, dass bei einer weiteren Veröffentlichung zum Thema etwas detaillierter auf konkrete Probleme eingegangen wird; mit den sehr technischen Stichworten der Fallgruppen lässt sich jedenfalls kaum etwas direkt für die Praxis aus dem Bericht ablesen, wenn man nicht ohnehin schon sensibilisiert ist. Nachdem aber Abläufe in einer Kita auch als Referenzbeispiel des Kirchlichen Datenschutzmodells beschrieben werden sollen, gibt es eine gute Chance, dass demnächst eine praktischere Veröffentlichung folgt.

Betroffenenrechte

Dem Abschnitt über Betroffenenrechte merkt man ein gewisses Unverständnis an: Auch im Jahr 3 des KDG gebe es in diesem zentralen Bereich immer noch viel Nachholbedarf: »Gerade das Recht auf Auskunft, aber auch das Recht auf Löschung werden dabei von den kirchlichen Stellen und Einrichtungen unterschätzt«, so der Bericht. In kaum einer Einrichtung würden »Trockenübungen« gemacht, um die Abläufe eines Auskunftsersuchens zu erproben.

Ausführlich widmet sich der Bericht dem Auskunftsrecht und seinen Fristen – 1 Monat, in komplizierten Fällen 3 Monate –, den Informationen über unmittelbare oder mittelbare Verarbeitung und den Rechten auf Berichtigung und Löschung, allerdings weitgehend mit einer verständlich aufbereiteten Darstellung der Rechtslage ohne praktische Hinweise für die Implementierung eines Betroffenenrechtemanagements (mit Ausnahme des Hinweises auf eine Trockenübung).

Fazit

Immer noch gibt es viel zu tun bei der Gestaltung eines guten Datenschutzmanagements in den Einrichtungen – und immer noch sind es nicht spektakuläre Einzelfälle, sondern vermeidbare Fehler im Alltagsgeschäft, die die Arbeit der Aufsicht zum großen Teil prägen. Fehlgelaufene Arztbriefe, offene E-Mail-Verteiler, schlechte Auskunftsprozesse: Mit etwas Arbeit und Schulung ließe sich da noch einiges herausholen.

Ein konstantes Ärgernis ist, dass sich die meisten katholischen Aufsichten mit Zahlen extrem bedeckt halten und bestenfalls prozentuale Veränderungen nennen. Hier wäre es zur Vergleichbarkeit mit den staatlichen Aufsichten hilfreich, wenn sich die kirchlichen Aufsichten an die Vereinbarung der staatlichen zum Aufbau der Berichte halten würden.

Insgesamt hinterlässt der Bericht aber einen ganz guten Eindruck von einer Aufsicht, die durchaus mit Augenmaß und Beratungsfokus agiert; allzu rigide Tendenzen, die in der Anfangszeit des KDG befürchtet und teilweise auch durch Beschlüsse der katholischen Datenschutzkonferenz anklangen, sind eher kein Thema mehr. Das wird besonders mit Blick auf die Behandlung von Videokonferenzsystemen deutlich, wo der Schwerpunkt nicht darauf liegt, was alles nicht geht, sondern wie man aus der misslichen Ausgangslage das beste herausholt. Wie bei der KDSA Ost und im Bericht des vergangenen Jahres fällt auf, dass von Social Media gar keine Rede ist – trotz Schrems-II-Schwerpunkt. Ob da etwas Konzertiertes bevorsteht – oder setzt man die begrenzten Ressourcen einfach da ein, wo sie mehr bringen?

(Und, ein Lob zum Schluss: Nach der Mopperei über kopiergeschützte PDFs im Vorjahr und bei anderen Aufsichten wurde dieser Bericht ohne Dokumentenschutz zum Verhindern von Copy & Paste veröffentlicht. Das dadurch einfachere Zitieren dürfte nicht nur Journalist*innen helfen, sondern auch Datenschutzbeauftragten, die Ausschnitte in Mails und Dokumente kopieren wollen.)

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.