Wann kommt das Katholische Datenschutzzentrum Nürnberg?

»Die Freisinger Bischofskonferenz errichtet in Nürnberg ein kirchliches Datenschutzzentrum, das als unabhängige kirchliche Behörde die Aufgaben der Datenschutzaufsicht wahrnehmen wird«, hieß es knapp und unscheinbar im März 2018 in der Erklärung zur Frühjahrsvollversammlung der bayerischen Bischöfe in Augsburg. Jetzt, dreieinhalb Jahre später, gibt es immer noch kein Datenschutzzentrum Nürnberg, seit gut einem Jahr ist die Amtszeit des Diözesandatenschutzbeauftragten ausgelaufen (er führt das Amt bis zum Amtsantritt seiner Nachfolge weiter, wie es das Kirchenrecht vorsieht), seine »Behörde« ist die mit Abstand am schlechtesten ausgestattete katholische Datenschutzaufsicht, wie der Leiter selbst in dramatischen Worten in seinem letztjährigen Tätigkeitsbericht schrieb.

Eine Glühbirne ohne Lampenschirm hängt an einem Kabel von einer Decke mit weiß-blauen Rauten herab.
Erstmals kommt dank der Auskunft der Freisinger Bischofskonferenz etwas Licht ins Dunkel um das Katholische Datenschutzzentrum Nürnberg. (Das Symbolbild zeigt eine Lampe in der Bonner Kreuzbergkirche, wo die Wittelsbacher als Kölner Kurfürsten auch mal was zu sagen hatten.)

Möglicherweise kommt jetzt etwas Bewegung in die Sache. Oder auch nicht. Auf Nachfrage teilte mir das Erzbistum München und Freising mit, dessen Pressestelle in Personalunion die der Freisinger Bischofskonferenz bildet, wie es um die Nürnberger Neugründung steht: Es fänden »vorbereitende Schritte« statt, der Prozess soll »schnellstmöglich, aber auch mit der angemessenen Gründlichkeit« abgeschlossen werden.

Gründung einer KdÖR

Zu den vorbereitenden Schritten gehört laut Pressestelle die Gründung einer Körperschaft des öffentlichen Rechts, um die Unabhängigkeit der Aufsicht zu ermöglichen. »Zwischen den Diözesen findet eine breit angelegte Abstimmung statt, die der Komplexität dieses wichtigen Themas gerecht werden muss«, so der Sprecher. Zum Vergleich: Anderswo geht es deutlich schneller. Bereits 2015 wurde das Katholische Datenschutzzentrum Dortmund als KdÖR errichtet, 2017 folgte das Frankfurter Datenschutzzentrum, die Nord-Aufsicht wird gerade, verzögert durch Corona, in eine Körperschaft umgewandelt. Im Gegensatz zur bayerischen Behörde sind in Frankfurt und im Norden auch Bistümer und Zuständigkeitsbereiche beteiligt, die mehr als ein Bundesland umfassen. Wann es in Nürnberg so weit ist? »Eine präzise zeitliche Eingrenzung kann noch nicht vorgenommen werden«, heißt es von der Pressestelle.

Neue*r Diözesandatenschutzbeauftragte

An der Errichtung des Datenschutzzentrums hängt auch die Personalie des Leiters. Der derzeitige Diözesandatenschutzbeauftragte Jupp Joachimski geht auf die 80 zu und hat das geplante Ende seiner Amtszeit gut ein Jahr überschritten. Er steht also nicht mehr für die Leitung der neuen Behörde zur Verfügung, bleibt aber bis zum Amtsantritt seines Nachfolgers, so die Pressestelle, im Amt. »Nach Gründung der Körperschaft wird die Stelle ausgeschrieben werden«, wird außerdem mitgeteilt – das wäre gerade im Vergleich zu den meist im Hinterzimmer von den Parteien ausgekungelten Landesdatenschutzbeauftragten ein erfreuliches Mehr an Transparenz.

Ressourcenmangel gefährdet europarechtliche Vorgaben

Der bayerische Schwebezustand bringt in der Theorie handfeste Risiken mit sich. Im vergangenen Tätigkeitsbericht sparte Joachimski nicht mit dramatischen Schilderungen der aktuellen Lage, die Ausstattung »reicht unter den Bedingungen der seit 2018 gültigen Gesetzeslage nicht zur Erfüllung der Mindestanforderungen des KDG«, klagte er. Das ist deshalb riskant, weil die Bedingung für die Zulässigkeit kirchlichen Datenschutzrechts sein Einklang mit den Wertungen des staatlichen ist, und an eigene Aufsichten dieselben Anforderungen wie an staatliche gestellt sind, nämlich eine hinreichende Ausstattung mit Ressourcen (Art. 52 Abs. 4 DSGVO entspricht in dieser Hinsicht § 43 Abs. 4 KDG). Es besteht also die Gefahr, dass eine dauerhaft und wissentlich derart schlecht ausgestattete Aufsicht Konsequenzen für das System des kirchlichen Datenschutzes hat.

Theoretisch ist das Risiko deshalb, weil es keinen klaren Weg gibt, wie ein derartiger Mangel zu Konsequenzen führen könnte; zwar ist bekannt, dass es staatliche Aufsichten gibt, die die Rechtmäßigkeit von kirchlichen Aufsichten kleinerer Gemeinschaften in Frage stellen und das auch gerichtlich überprüfen lassen; auf Anfrage teilte das Bayerische Landesamt für Datenschutzaufsicht bereits im Februar mit, dass es nicht tätig werden wolle: »Für das BayLDA besteht kein Anlass, sich mit dieser Frage zu befassen«, außerdem seien bisher keine Beschwerden über die Untätigkeit der kirchlichen Aufsicht bei der BayLDA eingegangen. Wie ein eventueller Gerichtsweg von Beteiligten, die mit der Arbeit unzufrieden sind, aussehen könnte, ist über die kirchliche Datenschutzgerichtsbarkeit hinaus auch nicht klar; für wirkliche Konsequenzen müsste wohl der EuGH über eine Vorlagefrage befasst werden.

Von der Pressestelle gibt es immerhin die Zusicherung, dass die Ausführungen des Diözesandatenschutzbeauftragten ernst genommen würden und sie in die weiteren Planungen einfließen würden. »Die notwendigen Ressourcen für einen wirksamen Datenschutz werden bereitgestellt«, so der Sprecher.

Fazit

Die Situation in Bayern bleibt prekär. Monate nach der ersten Anfrage (der einige weitere folgten), ist die erste Antwort der zuständigen Freisinger Bischofskonferenz in der Sache überraschend unkonkret und ausweichend.

Im Herbst steht jetzt die nächste Vollversammlung der Freisinger Bischofskonferenz an. Dort wäre die Gelegenheit, notwendige Weichen auch konkret zu stellen. Dem kirchlichen Datenschutz in Bayern wäre es zu wünschen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.