Im Erzbistum Freiburg gibt es eine einmalige Besonderheit: Das Referat Datenschutz im Erzbischöflichen Ordinariat veröffentlicht einen Jahresbericht und damit quasi die Gegenblende aus Sicht der Datenschutzbeauftragten zum Bericht der zuständigen Aufsicht.
Jetzt wurde der Bericht für 2021 veröffentlicht. Das Referat ist nicht nur für das Ordinariat zuständig, sondern stellt mit seinen fünf Vollzeitkräften zugleich die betrieblichen Datenschutzbeauftragten für weitere Einrichtungen und insbesondere die Seelsorgeeinheiten der Erzdiözese.
Interessant ist der Blick in die praktische Umsetzung. So erfährt man, dass Datenschutzfolgenabschätzungen für Revisionssoftware, das diözesane Hinweisgebersystem, die Personalverwaltung und Kursverwaltungssoftware angefertigt wurden und werden. Gar kein Thema scheinen Social-Media- und Messengerdienste zu sein – hier hätte man gerne mehr über den Erfolg der (allerdings nicht vom Datenschutz-Referat verantworteten) Threema-Kampagne erfahren, aber Schweigen zu diesem Thema ist zwischen Pragmatismus und Resignation auch sehr verständlich.
Auch der Umgang mit der großen Anzahl an betreuten Verantwortlichen wird geschildert: Im Erzbistum gibt es allein 224 Seelsorgeeinheiten, die als Kirchengemeinde gemäß § 3 Abs. 1 lit. a) KDG einen Datenschutzbeauftragten zu bestellen haben. Dabei wird das Ziel ausgegeben, jeden Verantwortlichen in zwei Vor-Ort-Terminen zu besuchen – das dauert. Genaue Zahlen erfährt man nichts, aber immerhin von einem »hohen Abdeckungsgrad. (Solche Termine gerade für einfach zu behebenden ToM-Kleinkram extrem hilfreich – etwa wenn im Pfarrbüro der Monitor nur ein wenig gedreht wird, damit er nicht von Dritten einsehbar ist.)
Über die Kindergarten-Prüfoffensive der Aufsicht erfährt man hier aus Verantwortlichensicht. Bislang waren systematischen Kita-Prüfungen nur aus dem Norden und NRW sowie der EKD bekannt, die Frankfurter Aufsicht hat keine öffentlich angekündigt. Zwar gibt es noch keine schriftlichen Ergebnisse, aber mündliche Rückmeldungen. Die dürften exemplarisch sein für die Konsequenzen einer Organisation, die auf wenige zentrale als externe Datenschutzbeauftragte bestellte Expert*innen baut: »Unterlagen zum Datenschutz sind gut; die konkrete Umsetzung der Datenschutzmaßnahmen vor Ort ist ausbaufähig«, heißt es wenig überraschend im Bericht. Mängel scheint es beim Bewusstsein über die Verteilung von Verantwortlichkeiten zwischen Stiftungsratsvorsitzendem, Kindergartengeschäftsführung und Kindergartenleitung zu geben.
Generell wird hoher Schulungsbedarf angesprochen – bei dieser Organisationsform sind die Aufgaben nur durch Qualifizierung der Verantwortlichen und ihrer Mitarbeitenden zu erreichen, weil der*die Datenschutzbeauftragte eben nicht wie in Einrichtungen mit interner Bestellung faktisch die Aufgaben des Verantwortlichen wahrnehmen kann. Entsprechend nehmen Schulungen verschiedener Berufsgruppen einen großen Teil der Arbeit ein.
Erfreulich ist die Transparenz über wichtige Kennzahlen – die Aufsichten halten sich da ja leider sehr bedeckt. Bekanntgewordene Datenpannen gab es in den Einrichtungen insgesamt im Jahr 2021 nur 13, davon 8 meldepflichtig (Vorjahr: 22 und 11), bei den Kirchengemeinden 2021 10, davon 6 meldepflichtig (Vorjahr: 15 und 6). Das wirkt angesichts der großen Zahl an Einrichtungen sehr niedrig, deckt sich aber mit den weniger konkreten, aber sehr niedrigen Zahlen der zuständigen Frankfurter Aufsicht. Auch in Freiburg war die Exchange-Lücke Hafnium relevant, drei Schulen waren betroffen, ansonsten gab es Klassiker: Fehlversand, Datenträgerdiebstahl, offene E-Mail-Verteiler. Ganz konkret wird neben den drei Hafnium-Fällen nur die Veröffentlichung des vertraulichen Inhalts einer Stiftungsratssitzung auf der Website einer Kirchengemeinde.
Noch niedriger sind die Zahlen der Beschwerden: 2 bei Einrichtungen, 5 bei Kirchengemeinden. Die genannten Beispiele sind dafür aber sehr deutlich: Heimliches Abfotografieren einer WhatsApp-Nachricht auf dem privaten Smartphone eines Ehrenamtlichen, Verdacht auf Verletzung von Briefgeheimnis und Datenschutz in einer Kindertagesstätte sowie Weitergabe von personenbezogenen Daten eines Mitarbeitenden an eine dritte Person durch den Verantwortlichen ohne Rechtsgrundlage werden genannt.
Bei beiden Kategorien gibt es keine Angaben zu Konsequenzen der Aufsicht. Bußgelder dürften ohnehin bei den meisten betreuten Verantwortlichen keine Rolle spielen (da es sich um öffentlich-rechtlich verfasste Stellen handelt), dennoch hätte man gerne erfahren, wie die Aufsicht mit den teils schweren genannten Problemen umgeht. Außerdem hätte man gerne noch mehr zu Auskunftsersuchen erhalten – dazu stehen nur ganz allgemeine Hinweise im Bericht.
Fazit
Dass in der Kirche Dinge veröffentlicht werden, die nicht veröffentlicht werden müssen, ist fernab jeder Selbstverständlichkeit – umso mehr ist das Freiburger Ordinariat und sein Referat Datenschutz dafür zu loben, dass es diesen Bericht als Unikum in der kirchlichen Datenschutzlandschaft gibt. (Dazu kommt die ebenso öffentlich zugängliche Informationsseite mit vielen Handreichungen, Vorlagen und Formularen, die auch außerhalb Freiburg nützlich sind.) Der Einblick aus Verantwortlichen- und Datenschutzbeauftragtenperspektive ist eine wertvolle Gegenblende zu den Tätigkeitsberichten der Aufsichten, die in der Regel nur das detailliert abbilden können, wo es Probleme gibt.
Dass es nur so wenige Pannen und Beschwerden gibt, überrascht. Die meisten versehentlich offenen E-Mail-Verteiler und ähnliche Alltagspannen dürften gar nicht auf Diözesanebene ankommen – und anscheinend sind Kindergarteneinbrüche zumindest in Baden nicht die Volkssportart, die sie nach den Berichten der Aufsichten zu sein scheinen.