Nach Juli Zeh im letzten Jahr greift der Diözesandatenschutzbeauftragte  für die Ostbistümer und den Militärbischof Matthias Ullrich in die Glückskeks-Kiste: »Nicht der Wind, sondern das Segel bestimmt die Richtung« stellt er seinem Tätigkeitsbericht für 2021 voran und setzt damit einen etwas optimistischeren Akzent als im vergangenen Jahr – verbunden mit dem Appell, mit den eigenen Daten und denen anderer gut umzugehen.

Noch einmal ist Bericht über ein Corona-Jahr zu erstatten, das schlägt sich natürlich auch in besonderen Problemkreisen wie Impfstatusabfrage im Beschäftigungsverhältnis nieder. Dazu kommen wie jedes Jahr im Osten klare politische Ansagen zu staatlicher Überwachung und praxisnahe Tipps. Was leider auch hier wieder fehlt: Klare Zahlen zur Aufsichtstätigkeit.

Grundsätzliche Einschätzungen

Der Bericht spricht von einer sehr unterschiedlichen Umsetzung in den verschiedenen Bistümern, ohne sie beim Namen zu nennen. »Insbesondere in einem Bistum« fehle es noch an der (vorgeschriebenen) Bestellung betrieblicher Datenschutzbeauftragter. Hier rächt es sich, dass der Gesetzgeber öffentlich-rechtlich verfasste kirchliche Stellen privilegiert hat und von Geldbußen ausgeschlossen hat: »Zwar sind der Aufsicht wegen § 51 Abs. 6 KDG für die Verhängung einer Geldbuße die Hände gebunden, jedoch sind die Verantwortlichen (in der Regel die Kirchenvorstände) darauf hingewiesen worden, dass die Einrichtungen von den betroffenen Personen auf Schadenersatz in Anspruch genommen werden können«, heißt es mit dem Hinweis, dass bei vorsätzlichen Pflichtvernachlässigungen verantwortliche Personen in Regress genommen werden können. Dazu muss es aber erst zum Konflikt kommen.

Die Caritas wird dagegen als gutes Beispiel genannt. Auffällig ist, dass auch in diesem Jahr überhaupt nichts über den Zuständigkeitsbereich der Militärseelsorge genannt wird. Diese Leerstelle wird allerdings dadurch relativiert, dass aufgrund der eigentümlichen Verschränkung von Bundesverteidigungsministerium bzw. Bundeswehr und dem Militärbischofsamt der Anwendungsbereich kirchlichen Datenschutzrechts dort ohnehin auf wenige Stellen begrenzt sein dürfte.

Ausführlich widmet sich das Kapitel »Datenschutz allgemein« neben sehr praktischen Fragen wie Versuchen des Missbrauchs von Betroffenenrechten im Stil von Abmahnfallen grundsätzlichen Erwägungen wie der Frage nach Ausweisdokumenten auf dem Smartphone – das meiste davon war bereits auf der Webseite zu lesen. Nach wie vor ist Ullrich eine der ganz wenigen kirchlichen Stimmen, die eine explizit freiheitsrechtsorientierte Position laut und deutlich vernehmbar vertreten.

Entwicklungen im Datenschutzrecht

Ausführlich widmet sich der Bericht der Gesetzgebung. In der Besprechung zweier erwarteter EuGH-Entscheidungen zum Kündigungsschutz des Datenschutzbeauftragten und zur Vereinbarkeit von Betriebsratsmitgliedschaft und Bestellung zum Datenschutzbeauftragten sieht der DDSB keine Auswirkungen auf Anwender*innen des KDG: »Da das KDG mit der DS-GVO nur in Einklang stehen und nicht mit ihr identisch sein muss, darf einen Regelung des KDG nur nicht gegen grundsätzliche Wertentscheidungen der DS-GVO verstoßen« heißt es; Regelungen des KDG stünden auch dann im Einklang, wenn sie über das DSGVO-Niveau hinausgingen.

Der längere Abschnitt zu Entwicklungen in Deutschland stellt zwar viele Gesetze und Gesetzesvorhaben deskriptiv dar, allerdings mit wenig Bezug zu spezifisch kirchlichen Problemen. Zumindest beim TTDSG hätte man sich doch auch eine Ansage gewünscht, ob hier ausreichende Rechtsklarheit über die Zuständigkeit der kirchlichen Aufsicht besteht. (§ 44 Abs. 1 KDG wird wohl als hinreichend bestimmt verstanden.) Mit Blick auf kirchliches Reformpotential auf staatliche Initiative hin sieht Ullrich eine MAVO-Änderung in Analogie zum neuen Mitbestimmungstatbestand für die Gestaltung der mobilen Arbeit im BetrVG als sinnvoll an.

Zur Evaluierung des KDG kann auch hier nur darauf verwiesen werden, dass der VDD Anfang 2020 eine Arbeitsgruppe eingerichtet hat und mit einem überarbeiteten Entwurf nicht vor Sommer 2023 zu rechnen ist. Das ist grundsätzlich bekannt – wenn aber tatsächlich im Sommer 2023 erst ein Entwurf vorliegen sollte, dürfte die ganze Reform noch länger als bislang erwartet dauern.

Aufsichtstätigkeit

Wieder einmal fehlen Zahlen. Zu erfahren ist lediglich, dass die Anzahl der Anfragen und die Meldung von Datenschutzvorfällen konstant geblieben sei, Geldbußen scheinen anders als im Vorjahr nicht verhängt worden zu sein.

Dafür werden Prüfungen ausführlich geschildert: Hilfreich dürfte die umfangreiche Darstellung einer Vor-Ort-Prüfung einer Seniorenwohneinrichtung sein, aus der sich einiges für praktische Gestaltung technischer und organisatorischer Maßnahmen ablesen lässt. Wieder einmal zeigt sich: Wer Akten in verschließbaren Schränken lagert, bewegt sich schon im oberen Bereich.

Die angekündigte Prüfaktion in Pfarreien ist noch nicht abgeschlossen, hier wird auf den nächsten Bericht verwiesen. Der verwendete Fragebogen ist online zu finden.

Ausführlich widmet sich der Bericht zwei Schwerpunkten: dem Gesundheits- und dem Bildungswesen. Im Gesundheitswesen werden verschiedene Datenschutzverletzungen geschildert: Ein Dienstplan, der abfotografiert wird und versehentlich in einer großen WhatsApp-Gruppe landet, ein TikTok-Video aus einem Pflegeheim, Zugriff auf Patientenakten erkrankter Kolleg*innen und auf Beschäftigtenakten zwecks Flirtanbahnung – in all diesen Fällen lagen Mitarbeiterexzesse vor, nur gelegentlich gab es kleine Beanstandungen des Verantwortlichen, der ansonsten aufgrund von Schulungen und Regelungen wie Verbot der Nutzung von Privathandys im Dienst nachweisen konnte, sein möglichstes getan zu haben. Ullrich vertritt hier klar die (nachvollziehbare und eigentlich eindeutige) Position, dass er nicht für Mitarbeiterexzesse zuständig sei, da das KDG nur für kirchliche Stellen Anwendung findet. Ob das die dann eigentlich zuständige staatliche Aufsicht auch so sieht, ist zumindest nicht überall sicher, wie der BfD EKD in seinem letzten Tätigkeitsbericht mitzuteilen hatte – dort wurde bei ehemaligen ehrenamtlichen Gremienmitgliedern von einer Landesdatenschutzaufsicht (unverständlicherweise) weiterhin die Zuständigkeit der kirchlichen Aufsicht angenommen; auch wenn der Fall natürlich anders gelagert ist: zumindest in manchen Konstellationen scheint zumindest eine Landesdatenschutzaufsicht doch eine Zuständigkeit der kirchlichen Aufsicht für Einzelpersonen anzunehmen bzw. deren Exzess-Handeln der kirchlichen Stelle zuzurechnen.

Bei einer Prüfung von 12 kirchlichen Schulen wurde bei 9 festgestellt, dass die dienstliche Nutzung privater Endgeräte dort zulässig sei, insgesamt gab es wenig zu beanstanden. Interessant sind Aussagen zur Leistungskontrolle in der Schule durch Videos. Dort wird (schlüssig) vertreten, dass dies ohne Einverständnis von Eltern und Schüler*innen nicht möglich sei. Aber: »Diese Einverständniserklärung kann auch durch das schlüssige Handeln erfolgen, indem das Video aufgenommen und zur Bewertung zur Verfügung gestellt wird.« Auf die Problematik des grundsätzlichen Schriftformerfordernisses für Einwilligungen im KDG wird gar nicht eingegangen. Immerhin wird deutlich gemacht, dass aus dem Versagen der Einwilligung keine nachteiligen Konsequenzen entstehen dürfen und eine alternative angeboten werden muss.

Im Rahmen einer konzertierten Webseiten-Prüfaktion zu Schrems II wurden etwa 100 Domains aus dem Zuständigkeitsbereich der Aufsicht überprüft. Anhand der IP wurde auf den Serverstandort geschlossen, der größtenteils innerhalb der EU lag. Überraschend: Bei der Webseitenanalyse wurde vorwiegend Matomo eingesetzt – aus der gefühlten Alltagsevidenz wäre ein deutlich höherer Anteil an Google Analytics zu erwarten gewesen. Versäumnisse lagen hauptsächlich im Bereich von Einbettungen von Inhalten Dritter und der korrekten Cookie-Setzung und -Einwilligung.

Eine Stichproben-Prüfung auf ungepatchte Exchange-Server im vierten Quartal habe einige Ergebnisse ans Licht gebracht. Generell zeigt sich in den beschriebenen Prüfmaßnahmen ein hohes Maß an technischer Kompetenz, den die Aufsicht mittlerweile vorweisen kann. Wieder einmal widmet sich ein ausführliches Kapitel der Frage der Zulässigkeit des Faxens.

Praxistipps

Auch wieder einmal wird festgestellt, dass weder S/MIME noch PGP alltagstaugliche Verfahren zur Ende-zu-Ende-Verschlüsselung von E-Mails sind. Als Alternative wird sehr ausführlich mit einer bebilderten Anleitung gezeigt, wie sich PDFs mit der Freeware pdf24.org verschlüsseln lassen – Ausreden zählen also nicht mehr. (Die Tools von pdf24.org können übrigens auch den Kopierschutz entfernen, den die KDSA Ost leider auch wieder dieses Jahr im Berichts-PDF aktiviert hat – das ist gerade ärgerlich angesichts der hohen Praxistauglichkeit, wenn man sich etwa die Formulare und Beispielformulierungen nicht einfach aus dem Bericht kopieren kann.)

Im Anhang findet sich eine mit anderthalb Seiten sehr kompakte Checkliste zur Selbstkontrolle für Verantwortliche sowie ein Muster zur Informationspflicht für Fotos, und auch zwischendurch finden sich immer wieder Praxistipps zu verschiedenen Verarbeitungssituationen.

Fazit

Die hohe Praxisorientierung dürfte für viele Verantwortliche eine große Hilfe sein. Vergleichsweise hoch ist die Transparenz über Prüfungen – aber leider fehlen auch hier die Zahlen zu Beschwerden, Pannenmeldungen sowie Beanstandungen mit Anordnungen und Geldbußen. Die Aussagen zur fehlenden Bestellung betrieblicher Datenschutzbeauftragter deuten darauf hin, dass ohne Geldbußen relativ wenig Durchsetzungskraft dazusein scheint – hier hätte man gerne erfahren, ob nur streng gemahnt wurde oder klare Anordnungen nicht durchgesetzt werden konnten. Der Rechtsweg dafür findet sich im Gesetz über das Verwaltungsverfahren im kirchlichen Datenschutz, § 26 Abs. 4 KDS-VwVfG, nach dem die Bischöfliche Aufsicht eingeschaltet werden kann, »um rechtmäßige Zustände herzustellen« – der Klageweg vor die kirchliche Datenschutzgerichtsbarkeit steht den Aufsichten nicht zur Verfügung.

Auffällig ist weiterhin eine Leerstelle: Social Media kommt fast gar nicht vor, lediglich im Kontext von besonders problematischen Konstellationen wie dem Teilen von Bildern und Videos von Kindern und Klient*innen. Social-Media-Auftritte von kirchlichen Stellen werden ebenso wenig wie (über das Telegram-Verbot hinaus) Messenger-Nutzungen problematisiert. Eine deutlich Äußerung zu Facebook erfolgte erst nach Ende des Berichtszeitraums, nachdem sich die DSK zu Wort gemeldet hatte: Argumente dafür, dass alle auf den Bundesdatenschutzbeauftragten warten, der mit ersten Sanktionen gegen Behörden-Facebook-Fanpages so einen Dominoeffekt auslösen könnte.