Das kirchliche Berichtsjahr beginnt mit einer Überraschung: Nicht die Ordensaufsicht, sondern die KDSA Nord eröffnet den Reigen mit ihrem Tätigkeitsbericht für 2021 – im letzten Jahr musste man sich bis Ende Juli gedulden. Allzu viel Konkretes erfährt man aber nicht – der Bericht macht generell einen sehr deskriptiven und zurückhaltenden Eindruck.
Mit dem Bericht wird auch das angekündigte Ergebnis der Querschnittsprüfung in Kindertagesstätten vorgestellt – inklusive des verwendeten Fragebogens. Der dürfte aufgrund seiner allgemeinen Gestaltung auch für alle anderen kirchlichen Stellen nützlich sein.
Zahlen zur Aufsichtstätigkeit
Wieder einmal gibt es so gut wie keine konkreten Zahlen. Mitgeteilt wird lediglich, dass die Meldung von Datenschutzverletzungen angestiegen sei, die Zahl der Beschwerden und Beratungsanfragen sei vergleichbar mit dem Vorjahr. Der Anstieg der Datenpannen gehe vor allem auf die Exchange-Lücke Hafnium zurück, betroffen waren in erster Linie Kirchengemeinden – leider fehlen auch dazu Zahlen.
Im vergangenen Jahr wurde noch mitgeteilt, dass es keine Gelegenheit gegeben hätte, Bußgelder zu verhängen – in diesem Jahr taucht das Wort Bußgeld nicht einmal auf.
Ausstattung der Behörde
Auch 2021 ist die KDSA Nord nicht zur Körperschaft des öffentlichen Rechts upgegradet worden, was eigentlich schon seit 2019 geplant ist. Immerhin habe unter Federführung des Katholischen Büros in Bremen ein erstes Treffen der beteiligten Diözesen stattgefunden. Im Nachgang dieses Treffens sollte sich das Katholische Büro dann um Kontakt und die nötigen Abstimmungen mit dem Bremer Senat kümmern. »Das ist aber noch nicht erfolgt, so dass mit einem neuen Anlauf im laufenden Jahr 2022 zu rechnen ist«, heißt es im Bericht.
Personell ändert sich nichts: Vier Vollzeitstellen inklusive Sekretariat. Die Haushaltsmittel wurden leicht auf 424.500 Euro erhöht (2020: 421.100 Euro).
Zur Gesetzgebung
Wie üblich gibt es einen Überblick über relevante Gesetzgebungstätigkeit. Vor allem die kirchliche Gesetzgebung wird dabei in diesem Jahr bloß deskriptiv behandelt. Im Vorjahr gab es noch Kritik am abgesenkten Schutzniveau durch Spezialgesetze, und das obwohl in diesem Jahr die Hamburger Schuldatenschutz-Durchführungsverordnung erwähnt wird: Die Verordnung senkt die Betroffenenrechte gerade von jüngeren Schüler*innen deutlich ab, wie hier schon kritisiert wurde – vom DDSB Nord gibt es keine Kritik.
Zum TTDSG wird angemerkt, dass es noch Fragen hinsichtlich der Zuständigkeit für die datenschutzrechtlichen Regelungen gibt: »Noch nicht geklärt scheint die Frage der Zuständigkeit der Landesaufsichtsbehörden für den Datenschutz zu sein. Gleiches ist auch noch für die kirchlichen Datenschutzaufsichtsbehörden zu prüfen.« Der BfD EKD und das KDSZ Dortmund scheinen da schon etwas forscher ihre Zuständigkeit anzunehmen.
Mit Blick auf das Betriebsrätemodernisierungsgesetz wird die – im kirchlichen Raum nicht anwendbare – Norm als Argument herangezogen, dass MAVen wohl eher keine eigenständigen Verantwortlichen sind: »Da sich Aufgaben und Rechtsstellung der Mitarbeitervertretung nicht grundsätzlich von denen eines Betriebsrates unterscheiden, erscheint es sachgerecht, auch ohne eine entsprechende gesetzliche Regelung, die Mitarbeitervertretungen nicht als eigene Verantwortliche zu betrachten, sondern die Verantwortlichkeit auch in diesem Teil der Einrichtung beim Arbeitgeber zu sehen.«
Konkrete Fälle und Problemstellungen
Auch die KDSA Nord betrachtet Luca sehr kritisch – nach einer umfangreichen Schilderung der Problematik schließt sich der DDSB seinem Ost-Kollegen an: »Nach alledem rät auch die KDSA Nord von der Nutzung der Luca-App im Hinblick auf den kirchlichen Bereich ab.«
In Bezug auf Faxe wird auf die KDG-DVO verwiesen: Grundsätzlich nicht tauglich für Gesundheitsdaten – aber in Ausnahmefällen wie medizinischen Notfällen könne die Verwendung zulässig sein, »wenn die ergänzenden organisatorischen Maßnahmen nach § 24 Abs. 4 KDG-DVO (Abstimmung des Sendezeitpunktes sowie des Empfangsgeräts) strikt eingehalten werden«.
Lediglich drei Beschwerden werden geschildert: Über die Herausgabe einer privaten Telefonnummer eines Ehrenamtlichen ohne Einwilligung (»Herausgabe datenschutzrechtlich unzulässig«, Konsequenz unbekannt), aufgrund von einem Update sowie einer fehlerhafter Wiederherstellung aus einem Backup unvollständige Datenschutzerkärungen (schnell behoben, keine Anordnungen) und über einen Gottesdienst, bei dem Personalausweis und Impfzertifikat fotografiert wurden: »Noch am Tag des Eingangs der Beschwerde ist bis zur abschließenden Klärung des Sachverhalts ein vorläufiges Verbot der Erhebung und weiteren Verarbeitung von Fotografien der Impfzertifikate und der Personalausweise ausgesprochen worden.« Ergebnis: Verbot der Erhebung, Anordnung zur Löschung der widerrechtlich erhobenen Daten. Wenn das die schlimmsten Fälle waren, wird auch klar, warum keine Bußgelder erwähnt werden: es geht hier (außer bei den nicht so gravierenden Datenschutzerklärungen) um nicht bußbare öffentlich-rechtlich verfasste Stellen.
Bei den Datenpannen gab es wieder Kita-Einbrüche, bei denen unverschlüsselte Datenträger abhanden kamen, einen Fall, in dem einem potentiellen Vermieter Informationen über eine Mitarbeiterin herausgegeben wurden, und Datendiebstahl von personenbezogenen Daten auf einem dienstlich genutzten Privat-Laptop eines Lehrers.
Kita-Querschnittsprüfung
Die Prüfung von 38 zufällig ausgewählten Kindertagesstätten fand komplett aus der Ferne durch Fragebögen und Nachfragen statt und erstreckte sich auf fünf Themenbereiche: Betrieblicher Datenschutzbeauftragter, Grundlagen zur Datenverarbeitung, Organisatorischer Datenschutz, Löschen und Verschlüsseln von Daten sowie allgemeine technische und organisatorische Maßnahmen.
Grundsätzlich wird ein positives Fazit gezogen. Es zeige sich, dass die Einrichtungen auf einem »guten Weg im Hinblick auf die Umsetzung datenschutzrechtlicher Vorgaben« seien. Zugleich wurden in 22 der 38 Einrichtungen »Nachbesserungsbedarfe festgestellt« und »Bescheide in Form einer Verwarnung zugestellt«, in den restlichen 16 nur Hinweise. Nachbesserungsbedarfe gab’s vor allem bei TOMs wie Zugangs-, Zugriffs- und Zutrittskontrolle, Hinweise vor allem zum Löschen, zur Aktualität von Virenscannern und wiederum TOMs: »Einrichtungsübergreifend kann festgestellt werden, dass die meisten Nachbesserungsbedarfe im Bereich der Vermeidung unberechtigter Nutzung von IT-Systemen und dort speziell in der Sicherstellung der Aktualität vergebener Berechtigungen identifiziert worden sind. Die meisten Hinweise für eine mögliche Verbesserung des Datenschutzes wurden im Themenbereich Löschen von Daten formuliert«, so der Bericht.
Der aus 59 Fragen bestehende Fragebogen ist im Anhang abgedruckt. Dabei fällt vor allem auf, dass er vollkommen generisch ist und gar nicht auf besondere Verarbeitungssituationen in Kitas eingeht: Besondere Anforderungen beim Umgang mit Daten von Kindern, Spezialitäten wie Entwicklungsdokumentationen oder Kommunikation mit Eltern (mittels Technik wie mittels Aushängen an Türen und Schwarzen Brettern) tauchen gar nicht auf. Das ist schade mit Blick auf besondere Risiken, aber nützlich, um ihn in beliebigen anderen Organisationen zur kritischen Selbstüberprüfung zu verwenden.
Einen Ausblick auf die nächste Querschnittsprüfung gibt es auch: als nächstes steht die Caritas auf dem Prüfstand, wieder mit fünf Themengebieten, die wieder sehr generisch klingen (Gegenstand der Prüfung sind die Themenbereiche Datengeheimnis, Auskunftsersuchen und Informationspflichten, Verzeichnis von Verarbeitungstätigkeiten, Meldungen an die Aufsicht sowie Technik und Organisation).
Fazit
Allzu viel Neues erfährt man aus dem Bericht nicht; durch die deutliche Zurückhaltung, was Zahlen und Konsequenzen zur Aufsichtstätigkeit angeht bleibt es doch sehr deskriptiv. Etwas mehr Wertung und Bewertung würde helfen, um ein Gefühl für Schwerpunktsetzungen zu bekommen, gerade angesichts der wenigen geschilderten Fälle. Die lediglich relative Angabe der Entwicklung der Aufsichtstätigkeit führt auch dazu, dass die verschiedenen kirchlichen Aufsichten nicht vergleichbar sind.
Auffällig ist, dass bei den kirchlichen Gesetzen diesmal völlige Zurückhaltung geübt wird – das ist schade angesichts der sehr wenigen Instanzen, die überhaupt Feedback für kirchliche Gesetzgeber liefern. Gerade die Hamburger Schuldatenschutz-Durchführungsverordnung hätte doch etwas Kritik vertragen – da war der letztjährige Bericht klarer.
Bisher besprochene Berichte der KDSA Nord
- für 2019: Tätigkeitsbericht des Diözesandatenschutzbeauftragten Nordwest erschienen
- für 2020: Keine Gelegenheit für Bußgelder – Tätigkeitsbericht 2020 der KDSA Nord
- bei den Datenschutz-Notizen für 2021: Katholische Datenschutzaufsicht Nord veröffentlich Tätigkeitsbericht für 2021