Der Tätigkeitsbericht 2020 der katholischen Aufsicht für den Südwesten ist da – und damit ist der 2020er-Reigen vorerst abgeschlossen. (Der bayerische DDSB berichtet immer von September bis September statt zum Kalenderjahr.) Natürlich gibt es wieder viel Corona – und in einem Nebensatz den Hinweis auf die bisher höchsten bekannten Geldbußen im kirchlichen Datenschutz.
Erstmals ziert der heilige Johannes Nepomuk den Tätigkeitsbericht – anlässlich der Errichtung als KdÖR hat das Katholische Datenschutzzentrum Frankfurt ein Siegel und einen Schutzpatron bekommen. (Und der NRW-Datenschutzpatron Ivo einen Kollegen.) Er möge, so die Diözesandatenschutzbeauftragte, »den Blick dafür öffnen, wann man reden und wann man vielleicht besser schweigen sollte«.
Entwicklung des KDSZ Frankfurt
Stellenplan und Budget fehlen leider; man erfährt, dass eine weitere Verwaltungskraft und ein IT-Referent eingestellt wurde, eine weitere Stelle für eine IT-Sachbearbeitung wurde vor kurzem ausgeschrieben. Erstaunlich aufwendig schien der Prozess der Errichtung als Körperschaft des öffentlichen Rechts gewesen zu sein – einige Bundesländer sind beteiligt, und das Institut für Staatskirchenrecht hat eine (nicht öffentliche) Stellungnahme dazu verfasst.
Aufsichtstätigkeit
Die Südwest-DDSB wurde im Vergleich zum Bericht des vergangenen Jahres anscheinend von ihren Kollegen eingenordet: Eine transparente Auflistung von Zahlen vermisst man nun auch im Südwesten. Die Meldung von Datenpannen habe im »mittleren einstelligen Prozentbereich« zugenommen (2019: 167 Meldungen), über 50 kamen aus dem Gesundheitsbereich und betrafen die falsche Übermittlung und Weitergabe von besonderen Kategorien personenbezogener Daten – die DDSB nimmt aber zugleich eine hohe Dunkelziffer an.
Die Beschwerden seien »leicht« zurückgegangen (2019: 36 Beschwerden), die Anfragen (auch durch die Corona-Lage) »enorm« angestiegen (2019: 28 mit Aktenzeichen, ohne informelle Auskünfte per Mail und Telefon).
An Aufsichtsmaßnahmen wurden Beanstandungen, Anordnungen und Bußgelder ohne weitere Aufschlüsselung erwähnt. Lapidar im Nebensatz eingeschoben erfährt man, dass die Bußen »teils in fünfstelliger Höhe« erfolgt seien – das ist der bisherige Rekord im kirchlichen Datenschutz. Mit gewisser Wahrscheinlichkeit dürfte man mehr dazu irgendwann aus veröffentlichten Entscheidungen der Datenschutzgerichte erfahren.
Ein großes Thema war im vergangenen Jahr die katastrophal niedrige Zahl der der Aufsicht gemeldeten betrieblichen Datenschutzbeauftragten. Das ist – auch ohne Zahlen – besser geworden, aber wohl auch nicht überall: »Einige (Erz-)Diözesen haben sich ein Beispiel am Bistum Trier genommen, das im Jahr 2019 einen Großteil seiner Datenschutzbeauftragten gemeldet hat.«
Ausführlich geschildert wird eine Querschnitt-Prüfung zur Rückverfolgung von Gottesdienstteilnehmenden; der komplette Fragebogen ist abgedruckt. Man erfährt allerdings nur, dass die Abfrage größtenteils positive Ergebnisse ergeben hat, keine Details.
Fälle
Der Südwest-Bericht ist immer einer der kurzweiligsten – die DDSB Ursula Becker-Rathmair beschreibt die Fälle plastisch in einem Aktenzeichen-XY-Stil. So entstehen für Datenschutzschulungen hervorragend geeignete Fall-Miniaturen wie die unter der Überschrift »Bettelbrief und verbrannte Erde im Pfarrbüro«, die von einer Pfarrsekretärin handelt, die ihre dienstliche Korrespondenz mit einem privaten Account abwickelte. Bis zum Hack. Mit trockenen Humor werden absurde Details eingestreut, die aus dem Drehbuch von Eberhofer-Krimis stammen könnten, etwa hier: »Unter den verloren gegangenen Geräten befand sich sogar das Mobilteil eines Festnetztelefons mit zahlreichen darauf befindlichen personenbezogenen Daten, das unauffindbar aus einer Einrichtung offensichtlich weit in ein angrenzendes Feld geworfen wurde.«
Die verschiedenen Kategorien von Datenpannen enthalten keine großen Überraschungen. Nach dem schon erwähnten Falschversand kommen vor allem – größtenteils harmlose – Mailverteiler-Versehen vor. Geschildert werden aber auch zwei besonders krasse Fälle aus Schulen, in denen sensible Daten zu Leistung und Sozialverhalten von Schüler*innen versehentlich an alle Eltern der jeweiligen Klassen der betroffenen Personen verschickt wurden. Wieder sind abhanden gekommene Geräte Thema, unter anderem wurden einige Datenträger an Fotodruckern in Drogeriemärkten vergessen.
Trotz der ausführlichen Thematisierung von Schrems II bleibt der gesamte Themenkomplex Social Media eine Leerstelle – wie in anderen aktuellen Aufsichtsberichten.
Grundsätzliche Themen
Mehrfach (»immer wieder«) seien »knifflige Fragen« zur Zuständigkeit der staatlichen oder kirchlichen Datenschutzaufsicht aufgetaucht; erläutert wird dies nur mit Verantwortlichen, denen ihre Zugehörigkeit nicht klar war. Auf die nach wie vor offenen Fragen nach gemeinsamer Verantwortlichkeit und ökumenischer Trägerschaft von verantwortlichen Stellen wird nicht explizit eingegangen.
Unter der Überschrift »Datenschutz ist Opferschutz« wird knapp die Beratungstätigkeit bei einem Folgeprojekt der MHG-Missbrauchsstudie zur Erkennung systemischer Risiken erwähnt, außerdem sei die Aufsicht auch im Rahmen der laufenden Aufarbeitung von Missbrauchsfällen hinzugezogen worden.
Die Klientel der Frankfurter Aufsicht scheint besonders klagefreudig zu sein: Von sechs Klagen im Berichtsjahr wird berichtet, darunter eine vor dem staatlichen Verwaltungsgericht (leider ohne Aktenzeichen und Nennung des Gerichts). Das hat allerdings – wenig überraschend – die Klage abgewiesen mangels Zuständigkeit. Bemerkenswert dabei: Immerhin subsidiär könne die staatliche Gerichtsbarkeit herangezogen werden, »sofern der innerkirchlich vorgegebene Rechtsweg ausgeschöpft ist«. Bei der Probe aufs Exempel dürfte interessant werden, wann ein staatliches Gericht den kirchlichen Rechtsweg als ausgeschöpft ansieht: Die KDSGO kennt zwar keine Rechtsmittel gegen Entscheidungen des Datenschutzgerichts der DBK, kirchenrechtlich steht aber noch der Weg über eine außerordentliche Berufung an die Apostolische Signatur oder gleich an den Papst zur Verfügung.
Fazit
Eine wesentliche Anforderung an den kirchlichen Datenschutz ist der Einklang mit dem Schutzniveau des weltlichen – dazu gehört auch eine wirksame Aufsicht. Ob die kirchlichen Aufsichten vergleichbar mit ihren staatlichen Pendants sind, ist immer schwerer zu beurteilen. Was die geschilderten Fälle, Rechtspositionen und Aufsichtsmaßnahmen angeht, machen die kirchlichen Aufsichten einen guten Eindruck – aber angesichts der oft sehr geringen Personalausstattung und der anscheinend strategischen Zurückhaltung bei der Nennung absoluter Fallzahlen kann man kaum beurteilen, ob die kirchlichen Aufsichten auch in der Fläche wirksam sind. Die im Vorjahr veröffentlichten Zahlen sind jedenfalls im Vergleich zu den Zahlen der Landesdatenschützer*innen erstaunlich niedrig.
Positiv hervorzuheben ist der schon im Bericht der KDSA Ost festgestellte Pragmatismusschub durch Corona, ohne dass dadurch die Ansprüche abgesenkt wurden. Fielen die kirchlichen Aufsichten in der Anfangszeit durch apodiktische Aussagen zu Social Media und Fotos auf, bei denen andere Grundrechte weniger zum Tragen kamen, ist das Bewusstsein für Abwägungen nun deutlich gewachsen, wie es der Südwest-Bericht auch explizit formuliert: »Auch das Katholische Datenschutzzentrum Frankfurt/M. musste sich mit der Abwägung zwischen dem Recht auf körperliche Unversehrtheit und dem Recht auf Bildung, der Abgrenzung zwischen dem Recht auf informationelle Selbstbestimmung und der Religionsausübungsfreiheit, der Spannung zwischen Datenschutz und Elternrecht beschäftigen.« Der Hoffnung aus dem Nachwort, dass der Datenschutz aus der Pandemie sogar gestärkt hervorgehen könnte, gibt das Futter: Durch eine abwägende Einbettung in das Gesamt der Rechte gewinnt er an Plausibilität.
Bisher besprochene Tätigkeitsberichte des KDSZ Frankfurt
- Wo sind all die Datenschutzbeauftragten hin? – Tätigkeitsbericht 2019 DDSB Südwest
- Rekordgeldbuße im Südwesten – Tätigkeitsbericht 2020 des KDSZ Frankfurt
- Flutdatenschaden – Tätigkeitsbericht 2021 des KDSZ Frankfurt
- Empfindliche Buße – Tätigkeitsbericht 2022 des KDSZ Frankfurt
- Aufsichtserschütterndes Urteil dräut – Tätigkeitsbericht 2023 des KDSZ Frankfurt