Der Datenschutzbeauftragte für Kirche und Diakonie, der für die Landeskirchen Sachsens und Sachsen-Anhalts und die Diakonie Sachsens und Mitteldeutschlands zuständig ist, hat seinen zweiten Tätigkeitsbericht vorgelegt. Die Berichtsjahre 2020 und 2021 decken die ersten beiden Corona-Jahre ab – aber es geht nicht nur um Corona.
Drei große Schwerpunktthemen widmen sich einem großen Datenschutz-Systemaudit, dem Einsatz von Microsoft-Produkten und Sprachassistenten in der Pflege – eine sehr praktische und nicht DSG-EKD-spezifische Schwerpunktsetzung, die auch für Anwender*innen anderer Datenschutzgesetze relevant sein dürfte.
Schwerpunktthemen
Datenschutz-Systemaudit
Ein Schwerpunkt des Berichts ist ein Datenschutz-Systemaudit einer »zentralen kirchlichen Stelle«, der detailliert geschildert wird und in die Teilbereiche »Überwachen«, »Sicherstellen«, »Sensibilisieren, Informieren und Beraten«, »Unterrichten von Betroffenen«, »Schulen und Fortbilden örtlich Beauftragter« sowie »Prüfen von Verarbeitung« aufgeschlüsselt wird. Dabei wird jeweils aufgeführt, was die Aufsicht in den einzelnen Teilbereichen getan hat.
Das Fazit: »noch viel zu tun« – eine solche sorgfältige Prüfung wünscht man eher keiner Stelle, auch wenn das Ergebnis sicher lohnend ist. Das kleinteilig beschriebene Vorgehen dürfte für die Planung eines internen Audits hilfreich sein, damit ein externer später nicht so weh tut.
Microsoft
Wenig überraschend steht ganz am Anfang die Feststellung, dass Microsoft Office von Haus aus nicht datenschutzkonform ist, wie jedes andere Tool auch: Es kommt auf Art und Zweck der Verarbeitung an. Abgehoben wird bei den Aufgaben für die verantwortliche Stelle allgemein auf die Ergänzung des Verarbeitungsverzeichnisses um Aspekte der verwendeten Mittel und dokumentierte Risikoanalysen.
Auch wenn betont wird, dass jeder Dienst »grundsätzlich einsetzbar« sei, bleibt die Frage, wie das insbesondere für die Cloud-Produkte von Microsoft sicherzustellen wäre – die Aussage ist auch von der Klarstellung her zu lesen, dass pauschale Erlaubnisse und Verbote von Software nicht zur Aufgabe der Aufsicht gehören. Der Hinweis darauf, dass »fehlende personelle und finanzielle Ressourcen für die anfängliche und dann fortwährend gepflegte und dokumentierte Planung, Implementierung, Administration und Schulung« sowie »fehlende Kapazitäten für die Erfüllung der Rechenschaftspflicht für den rechtskonformen Einsatz gemäß den Datenschutzanforderungen und den Anforderungen des (kirchlichen) Arbeits- und Mitbestimmungsrechts« dazu führen, dass der Einsatz komplexer Software und Dienste wie M365 »nur eingeschränkt oder nicht« möglich ist, dürfte insbesondere kleine Stellen vor große Herausforderungen stellen. Konkrete Anwendungshinweise gibt es zu Windows sowie Microsoft Office mit und ohne Cloud.
Den Hinweis auf eine Exit-Strategie und Alternativen sollte man ernstnehmen: »Die Erfahrungen der jüngsten Geschichte zeigen, dass politische Entscheidungen die Verfügbarkeit von Ressourcen beeinträchtigen können. Das kann auch für IT-Ressourcen aus der „Wolke“ Wirklichkeit werden«, gibt die Aufsicht zu bedenken.
Sprachassistenten in der Pflege
Besonders lesenswert ist der Bericht des DSBKD auch dieses Mal aufgrund des besonderen Augenmerks für Diakonie-relevante Fragestellungen. Dieses Mal gibt es einen Schwerpunkt zu Sprachassistenten, die gerade in der Pflege gerade ein großes Thema sind, da Sprachsteuerung gerade für pflegebedürftige Menschen sehr hilfreich sind. Die Kehrseite ist die umfangreiche Datenverarbeitung, insbesondere durch Always-on-Mikrofone – mit der besonderen Schwierigkeit, dass »die zu pflegenden Menschen oder auch deren Angehörige zu verantwortlichen Personen im Sinne des geltenden Datenschutzrechts werden«, führt der Bericht aus. Das Haushaltsprivileg könne nicht zur Anwendung kommen. Das wirft gerade im ambulanten Bereich neue Probleme auf, wo der Einsatz kaum kontrollierbar ist, aber auch stationär, wo Kontrolle eingeschränkt möglich ist, aber oft unpopulär sein dürfte.
Der Bericht macht dabei die Fürsorgepflicht des Dienstgebers stark. Das Vorhandensein von Sprachassistenten soll bei der vorgeschriebenen Gefährdungsanalyse berücksichtigt werden: »Der damit einhergehende Überwachungsdruck, dem das Pflegepersonal bei der Erbringung der Pflegeleistung in dem überwachten Raum ausgesetzt ist, kann zu psychischen Belastungen führen, weil das eigene Verhalten (permanent) anderen (dem Anbieter des digitalen Sprachassistenten und dem Nutzer) präsentiert wird.« Zur Sicherstellung eines überwachungsfreien Arbeitsplatzes sollen Dienstgeber auf Aufklärung und Klauseln im Heim- oder Pflegevertrag setzen. Die Rechtsgrundlage der Einwilligung seitens Beschäftigter falle regelmäßig aus mangels Freiwilligkeit. Im Ergebnis wird empfohlen, Sprachassistenten von Klient*innen bei Anwesenheit von BEschäftigten auszuschalten.
Nicht überzeugend ist die vertretene Meinung, dass schon die Stimme allein als biometrisches Datum unter die besonderen Kategorien personenbezogener Daten fallen würde. Erst aufbereitete Stimmprofile dürften so einzuschätzen sein – sonst würde jede Audio-Aufnahme schon die hohen Anforderungen an besondere Kategorien aufwerfen. (Ähnlich restriktiv in Bezug auf Videos zeigte sich bereits der BfD EKD, in der Besprechung seiner Foto-Handreichung finden sich auch Hinweise und Links, warum diese Position wohl zu scharf sein dürfte.)
Weitere Themen
- In Sachen Corona werden die Standard-Themen von Kontaktnachverfolgung über Impfnachweise alle angerissen. Ein plastisches Beispiel für besondere Herausforderungen kirchlicher Organisationskultur wird genannt: »Im konkreten Fall wurde durch ein Programm, auf das sämtliche Mitarbeiter Zugriff haben, zum Gebet für eine ungeimpfte Person aus dem Kollegium aufgerufen, welche an Corona erkrankt war. Im Kollegenkreis war sehr schnell bekannt, um welche Person es sich handelt, auch wenn kein Name genannt wurde.«
- Auch beim Themenfeld Kita sind die Klassiker dabei, von Adresslisten über Kita-Apps bis zur Einbrüchen mit Datenverlust. Überhaupt sind notwendige und optionale Fotos von Kindern ein großes Thema. Deutlich wird darauf hingewiesen, dass typische Fotodruckdienstleister wie Drogeriemärkte nicht genutzt werden können, wenn kein Auftragsverarbeitungsvertrag abgeschlossen werden kann.
Aufsichtstätigkeit
Leider hält sich auch der DSBKD mit konkreten Zahlen zur Ausübung der aufsichtsrechtlichen Befugnisse zurück. Anlasslose Kontrollen »wurden und werden stichprobenweise« durchgeführt, Beanstandungen werden erteilt – konkreter wird es nicht. Anordnungen wurden nicht erteilt, Hinweise genügten. Erstmals erfährt man von Bußgeldverfahren im Geltungsbereich des DSG-EKD: Zwei gab es im Berichtszeitraum – beide wurden aber eingestellt, nachdem die festgestellten Missstände behoben wurden.
Beschwerden und Beratungen nahmen zu, allen Beschwerden konnte außergerichtlich abgeholfen werden. »Leider ist in diesem Zusammenhang auch ein Trend festzustellen, der sich darin widerspiegelt, dass Problemstellungen des Datenschutzes dazu benutzt werden, um anderen Ansprüchen gegenüber der verantwortlichen Stelle Nachdruck zu verleihen«, klagt der Bericht – allgemein eine beklagte Tendenz. Aber kein, über die man sich wundern müsste: Das Datenschutzrecht stellt die Instrumente zur Verfügung, also werden sie genutzt.
Weitere Beobachtungen
- Die Aufsicht nutzt für ihre Arbeit BigBlueButton; ob selbstgehostet oder per Dienstleister, erfährt man aus dem Bericht nicht.
- Mitarbeiter der Behörde sind im Gutachterausschuss der EKD tätig, der Lieferantenaudits vornimmt. Das bringt Expertise in die Beratungen ein, führt aber auch zu einer – im Bericht nicht problematisierten – Konstellation, in der die Aufsicht institutionell an Stellen mitwirkt, die sie zumindest mittelbar beaufsichtigt.
- Die Evangelische Kirche in Mitteldeutschland (EKM) wurde zu einer Durchführungsverordnung zum DSG-EKD beraten.
- An einigen Stellen kommt das Strafrecht ins Spiel: Ein verlorener USB-Stick mit Kita-Fotos löst ein Ermittlungsverfahren wegen vermeintlichen Kindesmissbrauchsdarstellungen aus (eingestellt), eine Einrichtung darf nicht die Anweisung erteilen, dass Dokumente, deren Inhalte unter die strafbewährte Schweigepflicht aus § 203 StGB fallen, allgemein in der Einrichtung zugänglich gemacht werden, und eine Institution hat die kompletten Daten eines Exchange-Servers ohne richterlichen Beschluss an die Polizei nach einem vermeintlichen Cyber-Angriff herausgegeben und riskiert Schadensersatzpflicht bei Beifang – alles Folgen, denen man sich lieber nicht aussetzen will.
- Der DSBKD duldet Auftragsverarbeitung ohne Unterwerfungserklärung – aber ausschließlich in Fällen, in denen es nachweislich keine alternativen Anbieter gibt.
- Die Aufsicht vertritt die auch von Gernot Sydow vertretene Ansicht, dass die EU nicht bei allen kirchlichen Tätigkeiten Regelungskompetenz hat, und verschärft sie dahingehend, dass dies sogar die »überwiegende Anzahl« der Verarbeitungen betreffe. Für eigene Aufsichten hieße das: »Für den allein kirchlichen Anwendungsbereich könnten die Kirchen eigene Aufsichtsbehörden mit einem je eigenen Regelungskatalog errichten.« Das würde interessante Gestaltungsmöglichkeiten eröffnen. Wenn man sie denn nutzte.
Fazit
Bei jedem evangelischen Tätigkeitsbericht muss es einmal gesagt werden: Der gesetzlich vorgeschriebene zweijährliche Turnus ist einfach zu lang. Der DSGVO-analoge Jahresturnus sorgt dafür, dass aktuelle Fragen nur mit einem Jahr im Bericht auftauchen – einige der Hinweise zu Corona hätte man im letzten Jahr gut gebrauchen können.
Zu DSG-EKD-Spezifika erfährt man dieses Mal wenig; die meisten behandelten Themen betreffen keine kirchlichen Besonderheiten. Zur Evaluierung des DSG-EKD, zu der es im letzten Bericht zumindest Hinweise gab, steht nun gar nichts im Bericht mit Ausnahme der Aussage, dass sie Thema im Arbeitskreis Rechtsgespräch war, einem Austauschformat zwischen evangelischen Aufsichten und EKD.
Besonders lesenswert sind wie beim letzten Mal die Themen aus dem Diakonie-Bereich: Die ausführlichen Hinweise zum Schwerpunktthema Sprachassistenten sind sehr praxisrelevant. Erfreulich ist, dass auch eine Arbeitshilfe zum Thema angekündigt wird.