Nordisch knapp zu Austritt und Aufgaben – Tätigkeitsbericht BfD Nordkirche 2021

Ist die Situation des Datenschutzes in der Nordkirche im Großen und Ganzen in Ordnung? »Ich konnte das nicht bestätigen, sondern muss auf die Gefahren des oftmals nicht ausreichenden Datenschutzes und IT-Sicherheitsschutzes für die Betroffenen und unsere Kirche hinweisen«, berichtet der Beauftragte für den Datenschutz der Nordkirche in seinem nun vollständig vorliegenden Tätigkeitsbericht für den Zeitraum ab September 2019 von der Aussprache bei der Landessynode.

Titelseite des Berichts des BfD Nordkirche vom November 2021
Mit neun Seiten ist der Bericht des BfD Nordkirche recht kompakt, knapp die Hälfte war auch schon von der Landessynode bekannt.

Ganz so schlimm ist es dann aber mit Blick auf den Bericht nicht. Jedenfalls nicht schlimmer als in anderen Landeskirchen und Bistümern – und von schlimmeren Aufsichtsmaßnahmen als Beanstandungen ist auch nicht die Rede.

Der knappe Bericht ergänzt den mündlichen Bericht bei der Landessynode im November und bietet relativ wenige Details. Insbesondere im Teil zu Corona werden viele Themen und Fragen benannt, etwa nach der Zulässigkeit von Luca und speziellen Videokonferenzsystemen. Es bleibt beim Verweis auf die beiden Stellungnahmen der evangelischen Datenschutzkonferenz.

Zur Evaluation des DSG-EKD erfährt man relativ wenig, lediglich dass sie läuft und dass die Nordkirchen-Aufsicht umfangreiche Änderungs- und Formulierungsvorschläge eingereicht hat, dazu kommen Berichte über die Schulungstätigkeit und das Kirchliche Datenschutzmodell.

Aufsichtstätigkeit

Die Anzahl der Datenpannen hat sich im Berichtszeitraum »deutlich« erhöht; absolute Zahlen fehlen aber. Die Erhöhung liege auch daran, dass die Verpflichtung zur Datenpannenmeldung bekannter geworden sei. Die Gründe sind die üblichen: Verluste von Geräten, Fehlläufer bei E-Mails und Faxen, falsche Dateifreigaben. Sehr nah an der Praxis dürfte die Einschätzung getroffener Schutzmaßnahmen sein: »Das Sicherheitsniveau hängt in der Regel nicht mit dem Risiko, sondern mit der Aufmerksamkeit der Einrichtung für den Datenschutz zusammen«, so von Loeper.

Grundsätzlich skeptisch zeigt sich der Beauftragte gegenüber der Digitalisierung von Akten: »Für mich ist die Erkenntnis daraus, dass eine elektronische Aktenverwaltung für bestimmte sehr risikobehaftete Datenverarbeitung schlicht nicht geeignet ist.« IT-Prozesse seien auch ohne Sicherheitslücken für Fehler aufgrund menschlichen Versagens gefährdeter: »Ein Klick und die Daten sind draußen und sie können nicht mehr zurückgeholt werden.« Direkt danach werden immer wieder passierende Einbruchsdiebstähle. Da helfen dann auch keine Papierakten mehr, im Gegensatz zu Zugangskontrolle und Verschlüsselung.

Exemplarische Fälle

Einige Einzelfälle werden eigens betrachtet. Interessant ist der Fall einer Abberufung einer örtlich Beauftragten für den Datenschutz (öDSB) durch den Verantwortlichen: »Die kirchliche Stelle legte der öDSB gravierende Datenschutzmängel zur Last. Aber die aufgelistete Mängel waren Versäumnisse bei der Umsetzung der datenschutzrechtlichen Bestimmungen«, so der Bericht – also im Zuständigkeitsbereich der Leitung. Aufgrund der Abberufung ohne Rechtsgrundlage wurde eine Beanstandung ausgesprochen. Zulässig sei sie nur in entsprechender Anwendung des § 626 BGB (fristlose Kündigung aus wichtigem Grund).

Ausführlicher wird auch die Frage nach dem Anschreiben von aus der Kirche Ausgetretenen durch die Kirchengemeinde thematisiert. Zwar sind personenbezogene Daten grundsätzlich zu löschen, wenn sie zur Aufgabenerfüllung nicht mehr erforderlich sind, das bedeute aber keine sofortige Löschpflicht in diesem Fall: »Es kann durchaus als kirchliche Aufgabe angesehen werden, ein Kirchenmitglied, das ausgetreten ist, nicht „sang- und klanglos“ ziehen zu lassen, vielleicht sogar zu versuchen, es dazu zu bewegen, seine Entscheidung noch einmal zu überdenken oder zumindest die Gründe für seinen Austritt in Erfahrung zu bringen, um daraus Schlüsse für die kirchliche Arbeit zu ziehen.« Als Rechtsgrundlage dafür wird § 6 Nr. 3 DSG-EKD, also Aufgabenwahrnehmung, angeführt. Das ist eine der sehr wenigen Äußerungen überhaupt zu dieser Rechtsgrundlage; ableiten lässt sich daraus, dass auch die Nordkirchen-Aufsicht keine rechtlich definierte und explizit zugewiesene Aufgabe voraussetzt, wie es bei der korrespondierenden DSGVO-Rechtsgrundlage durch Art. 6 Abs. 3 DSGVO verlangt wird. Im vorliegenden Fall hält der BfD einen zeitlich engen Zusammenhang mit dem Austritt für notwendig und eine Nachfrage innerhalb von vier bis sechs Wochen für vertretbar.

Andere Fälle werden nur angerissen, Positionen der Aufsicht lassen sich daraus aber dennoch herauslesen: Problematisiert werden Gemeindebriefe mit Fotos und Kasualiendaten ohne Einwilligung im Internet, Faxversand von Gesundheitsdaten per Fax über Voice over IP (»d.h. offen über das Internet«) und das Einholen einer Einwilligung in den Versand sensibler Daten über unverschlüsselte E-Mail.

Fazit

So schlimm scheint es im Norden dann doch nicht zu sein, es scheint das übliche Maß an Pannen und Mängeln in der Datenschutzorganisation zu herrschen. Mit dem Bericht für den Zeitraum ab September 2019 dürfte der vorletzte der Nordkirche erschienen sein; die Landessynode hat die Übertragung der Aufsicht auf die EKD beschlossen.

Besonders viel konnte man nicht aus dem knappen Bericht herauslesen. Immerhin: Ein Hinweis auf die Anwendung der Rechtsgrundlage »Aufgabenwahrnehmung« ist sonst selten und wird dankbar genommen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert