Wanderaufsicht ohne Buße – Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten 2020/2021

Der bayerische Diözesandatenschutzbeauftragte hat die aktuelle Tätigkeitsberichtsrunde abgeschlossen – mit seinem auf den 1. Oktober datierten und spät am Montag veröffentlichten Bericht für den Zeitraum vom 1. Oktober 2020 bis zum 30. September 2021 liegen nun alle katholischen Berichte vor.

Titelseite des Tätigkeitsberichts des bayerischen Diözesandatenschutzbeauftragten.
Schlicht wie immer: Der Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten für 2020/2021

Wie immer schmucklos, ist er mit 14 Seiten dieses Mal so lang wie noch nie in Bayern. Drama wie im letzten Jahr der Hilferuf wegen der mangelnden Ausstattung der Aufsicht gibt es höchstens zwischen den Zeilen – und der DDSB Jupp Joachimski zeigt wieder einmal, dass er unter seinen Kolleg*innen der mit der stärksten juristischen Durchdringung der komplizierten Verwaltungsmaterien ist.

Aufsichtstätigkeit

Der Trend zu sparsamen Informationen zieht sich auch in Bayern durch. Zahlen zu Datenpannen fehlen komplett, man erfährt lediglich, dass die Aufsicht den Eindruck hat, dass keine systemischen Versäumnisse, sondern »völlig durchgehend Einzelfallversehen meist ungeübter Mitarbeiter« vorgelegen hätten. »Nachforschungen nach unterlassenen Instruktionen oder zu hohem Druck auf die Beschäftigten blieben durchwegs ergebnislos«, so Joachimski. Auch die Zunahme von Hackerangriffen und Erpressungstrojanern habe zu keinen größeren Problemen geführt.

Eine interessante Beobachtung wird zu Auswirkungen des coronabedingten mobilen Arbeitens gemacht – das führte nämlich entgegen der Erwartungen nicht zu einem Anstieg von Datenpannen: »Ein ganz wesentlicher Gesichtspunkt scheint mir zu sein, dass der weitgehende Wegfall der Fahrt zum Arbeitsplatz zu entspannterem Arbeiten als sonst führte. Nicht unerheblich dürfte auch gewesen sein, dass die Ablenkung durch Gespräche mit Kollegen geringer war als sonst.«

Die Beschwerden gingen um 20 Prozent im Vergleich zum Vorjahr zurück, die Erfolgsquote – eine Kennzahl, die m. W. ansonsten noch nicht thematisiert wurde – lag bei 30 Prozent. Schwerpunkt der erfolgreichen Beschwerden waren Versäumnisse bei den Auskunftspflichten. Auch hier gebe es aber keine grundsätzlichen Probleme: »Meist waren es bloße Versehen, welche den Beschwerden ihren Erfolg bescherten.« Wie im Vorjahr führt Joachimski wieder die Tendenz an, Beschwerden einzubringen, denen eigentlich sachfremde Gründe zugrundeliegen, etwa die Beschaffung zusätzlicher Munition in arbeitsrechtlichen Auseinandersetzungen.

Geldbußen werden nicht thematisiert.

Blick auf Gesetzgebung und Rechtsprechung

Der DDSB geht nicht nur auf die Entwicklungen im staatlichen Bereich ein, sondern äußert sich auch zu den diversen kirchlichen Entwicklungen im Datenschutzrecht. Zur Evaluierung des KDG erfährt man, dass ein tragfähiger Entwurf für eine Neufassung »spätestens im Jahr 2022« vorliegen werde; das deckt sich mit den bereits bekannten Informationen.

Angesprochen wird eine »Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern und Einrichtungen«, die es in mehreren Diözesen neu geben solle; das ist allerdings der Name der Vorgängernorm, die neuen Regeln stehen in den Seelsorge-Patientendatenschutzgesetzen und beschränken sich – anders als die Vorgängernorm – auf Regeln für die Seelsorge; die Einschätzung aus Bayern, dass das Bayerische Krankenhausgesetz eine sehr sachgerechte Regelung habe und daher ein Seelsorge-PatDSG nicht notwendig sei, ist daher nicht nachvollziehbar – das BayKrG regelt Seelsorge gar nicht.

Knapp wird das Verwaltungsverfahrensgesetz gewürdigt (»schafft Klarheit«), während die neue Rechtsgrundlage für institutionelle Missbrauchsaufarbeitung im DSG-EKD ausgiebig besprochen und auch den katholischen Gesetzgebern eine derartige Regelung empfohlen wird: »Es erscheint mehr als nur sinnvoll, dass auch die katholische Kirche sichere Rechtsgrundlagen für eine transparente, konsequente und umfassende Aufarbeitung sexualisierter Gewalt im kirchlichen Kontext schafft.« Konkrete Pläne dazu sind noch nicht bekannt, auch wenn das Problem laut Bischofskonferenz auf dem Schirm sei.

Ausführlich widmet sich der Bericht der Rechtsprechung der kirchlichen und staatlichen Gerichte, wenn auch weitgehend dokumentierend. Aus der Auswahl gerade der staatlichen Entscheidungen – Grundsatzfragen nach dem Begriff der Verarbeitung, Umgang mit Schadensersatz, Ansprüche auf aufsichtliches Handeln, aber auch Dauerbrenner wie das Faxen – zeigen besondere Interessenschwerpunkte. Vorsichtige Kritik wird an einem Beschluss des IDSG zum Funktionsträgerprinzip geäußert: »Hier übersieht das IDSG § 3 OwiG („nulla poena sine lege“): Aus rechtstaatlichen Gründen kann die Anwendung einer Strafnorm nicht mit einer Analogie begründet werden. Das KDG enthält in § 51 Abs.1 die Schuld des Verantwortlichen als Voraussetzung für die Geldbuße. Eine dem Art. 82 Abs.3 DSGVO entsprechende Vorschrift fehlt im kirchlichen Datenschutzrecht.« (Hier wäre eine kanonistische Betrachtung interessant, inwiefern trotz Referenzierung des OWiG solche eigentlich rechtsstaatsfremde Schlüsse gezogen werden können: Das noch im CIC/1917 zu findende Analogieverbot – can. 2219 § 3 – ist im geltenden CIC/1983 nicht mehr zu finden, und die Generalstrafklausel can. 1399 CIC hebelt »nulla poena sine lege« weitgehend aus.)

Zukunft der Aufsicht

Im letzten Jahr wurde die unzureichende Ausstattung der Aufsicht in drastischen Worten beklagt. In diesem Jahr hat sich nichts gebessert, die Kritik ist eher zwischen den Zeilen. Immer noch gibt es nur einen Mitarbeiter. Diverse Umzüge fanden im vergangenen Jahr statt, die Joachimski trocken schildert: »Unser gemeinsames Büro wurde im November 2020 wegen Bauarbeiten vom Ordinariatsgebäude München, Kapellenstr. 4 in ein anderes Gebäude des Ordinariats in der Schrammerstr. 3, München, verlegt, am 7.9.2021 wegen des Platzbedarfs einer anderen Abteilung innerhalb dieses Gebäudes in ein kleineres Zimmer.«

Zur geplanten Einrichtung einer angemessen ausgestatteten Behörde weiß der aktuelle Behördenchef auch nicht mehr, als hier schon zu lesen war. Etwas verschnupft klingt, dass er »durch lediglich inoffizielle Hinweise« erfahren habe, »dass die Aufstufung der Dienststelle zur Körperschaft des öffentlichen Rechts, die Erstellung einer Satzung für diese und die Ausschreibung meiner Stelle demnächst in Angriff genommen werden solle, anschließend dann der Umzug der Behörde nach Nürnberg«.

Weitere Beobachtungen

  • Mit Blick auf Schrems II wird mit Verweis auf die Landesdatenschutzaufsichten angedeutet, dass die Schonzeit für Social-Media-Dienste zu Ende gehen könnte.
  • Wieder einmal nennt der bayerische DDSB Namen, wo sich andere vornehm zurückhalten: er teilt mit, dass die verschiedenen Austauschrunden der kirchlichen Datenschützer per Videokonferenz mit »unbedenklichen Programmangeboten« realisiert wurde: Big Blue Button, Bliss oder Teamviewer.
  • Praxisrelevant sind Checklisten und Ablaufpläne für die Organisation von Homeoffice und die Durchführung einer Datenschutzfolgenabschätzung.

Fazit

Wann es denn wirklich irgendwann einmal mit der bayerischen Aufsicht weitergeht, ist immer noch unklar. Auch wenn der Tätigkeitsbericht dieses Mal weniger dramatisch ausfiel und Joachimski großes Interesse daran hat, das grundsätzlich gute Datenschutzmanagement in den Bistümern zu würdigen, um den Dramagrad noch einmal herunterzustufen: Lange ist dieses Interregnum in der Nachspielzeit des bald 80jährigen Joachimski nicht mehr zu verlängern.

Abseits davon zeigt der aktuelle Bericht positive wie negative Tendenzen: Gut ist der wache und bisweilen kritische Blick auf das rechtliche Umfeld. Angesichts der immer noch übersichtlichen Öffentlichkeit für die Weiterentwicklung des kirchlichen Datenschutzes hilft jeder Diskussionsbeitrag. Ein fortwährendes Ärgernis ist die in der Tendenz noch sinkende Intransparenz, was die Zahlen angeht.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.