Die Gemeinsame Datenschutzaufsicht der Bayerischen (Erz-)Diözesen hat ihren Tätigkeitsbericht für 2021/2022 veröffentlicht – immer noch in der alten Konstellation, in der Jupp Joachimski Diözesandatenschutzbeauftragter mit einem Mitarbeiter und ohne rechtlich selbständige Stelle ist. Über den Stand der Errichtung des geplanten Kirchlichen Datenschutzzentrums Bayern in Nürnberg erfährt man nichts.

Ansonsten gibt es vor allem Einblicke in Entscheidungen zu in kirchlichen Einrichtungen verwendeter Software – und deutliche Kritik an der Mehrheits-Rechtsposition der kirchlichen Aufsichten und Datenschutzgerichte zum Bußgeld.

Aufsichtstätigkeit

Auch in Bayern gibt man sich bedeckt, was absolute Zahlen zur Aufsichtstätigkeit angeht. Die Zahl der Beschwerden ging im Vorjahr um etwa 20 Prozent zurück, Joachimski weist wieder darauf hin, dass das Datenschutzrecht oft lediglich als Vorwand dient, nicht als eigentlicher Grund der Beschwerde anzusehen ist. Interessant ist die Erfolgsquote: 30 Prozent der Beschwerden hatten Erfolg, meist Beschwerden zu unterlassenen oder verspäteten Auskunftsbegehren. »Auf der anderen Seite ist zu vermerken, dass gerade keine grundlegenden Schwächen in der Organisation oder Struktur der Dienststellen zu begründeten Beschwerden führten«, erläutert der DDSB: »Meist waren es bloße Versehen, welche den Beschwerden ihren Erfolg bescherten.«

Bußgelder wurden anscheinend auch in diesem Berichtszeitraum nicht verhängt, Ortstermine waren pandemiebedingt auch weiterhin mit Ausnahme einer durch eine Beschwerde notwendigen Begehung nicht möglich. Zahlen zu Datenpannen und sonstigen Sanktionen fehlen.

Festgestellt wird ein deutliches Ansteigen von Hackerangriffen auf kirchliche Einrichtungen. Mit der – nicht im Bericht erwähnten – Caritas München liegt der prominenteste aktuelle kirchliche Fall in Joachimskis Zuständigkeitsberich. »Offensichtlich haben sich die Angreifer in jüngster Zeit auf gemeinnützige Organisationen konzentriert, weil der Aufwand zur Überwindung der Abwehrmaßnahmen in der freien Wirtschaft offensichtlich zu groß ist«, erläutert der DDSB. Dabei seien »ganz erhebliche« Lösegelder geflossen, die zum Teil bis in den Millionenbereich gingen – bei der Caritas hatte man mitgeteilt, dass nicht bezahlt wurde. Im Homeoffice sieht der DDSB keine gesteigerte Gefahrenlage: »Keine einzige dieser Pannen war dadurch entstanden, dass Mitarbeiter während der Corona-Pandemie von zu Hause aus ihrer Beschäftigung nachgingen. Es entsteht der Eindruck, dass die entspanntere Arbeitssituation zu Hause auch für einen entspannteren Umgang mit der EDV sorgt«, so Joachimski weiter.

Streit um Bußgelder und Funktionsträgerprinzip

Joachimski vertritt seit Jahren klar die Position, dass § 51 Abs. 1 KDG so auszulegen sei, dass Bußgelder ein Verschulden der Einrichtungs- oder Dienststellenleitung erfordern und im Verantwortungsbereich von Beschäftigten liegende Datenpannen aufgrund der Rechtslage nicht mit einem Bußgeld belegt werden können. Diese Position vertritt er auch im aktuellen Bericht vehement, explizit gegen die Mehrheitsmeinung der kirchlichen Datenschutzinstitutionen: »Anders als das Interdiözesane Datenschutzgericht stehe ich auf dem Standpunkt, dass das Funktionsträgerprinzip wegen seines Verstoßes gegen § 30 OWiG im Bereich des KDG nicht anwendbar ist. Ich sehe keinen Anlass, eine Geldbuße in Fällen zu verhängen, in denen es u. U. später zu einer Aufhebung wegen einer anderslautenden Entscheidung des Europäischen Gerichtshofs kommen kann.« Hier bezieht sich Joachimski auf EuGH-Vorlagefragen des Berliner Kammergerichts.

Er beklagt auch, dass das IDSG die Unterschiede zwischen DSGVO und KDG nicht berücksichtigt. Anders als im KDG findet sich in der DSGVO nicht die explizite Formulierung, dass Bußgelder verhängt werden können, wenn »ein Verantwortlicher oder ein Auftragsverarbeiter vorsätzlich oder fahrlässig gegen Bestimmungen dieses Gesetzes« verstößt. Die Entscheidung des EuGH könne daher auch nicht notwendig eins zu eins in den kirchlichen Datenschutz übertragen werden.

Ein weiterer Konfliktpunkt ist die Frage, wann Einrichtungen im Wettbewerb stehen – abweichend vom Grundsatz, dass öffentlich-rechtlich verfasste Stellen ausgenommen sind, können Bußgelder gegen sie verhängt werden, »soweit sie als Unternehmen am Wettbewerb teilnehmen« (§ 51 Abs. 6 KDG). Die Kontroverse entzündet sich an Kindergärten, die von einem Teil der Diözesandatenschutzbeauftragten als im Wettbewerb stehend aufgefasst werden, nicht jedoch von Joachimski. Seine Argumentation wirkt aber etwas zielorientiert, wenn er darauf hinweist, dass Kindergärten für einen »recht beachtlichen« Teil der Datenpannen verantwortlich sind. (Sein Nordwest-Kollege dagegen bedauert eher, dass er keine Bußgelder gegen öffentlich-rechtliche Stellen verhängen kann.) Außerdem weist der DDSB darauf hin, dass Kindergärten Teil der Daseinsvorsorge sind – und wendet sich mit einer etwas überraschenden Argumentation gegen eine Einstufung als Wettbewerb: »Ich vertrete diese Ansicht auch deswegen nicht, weil amtsbekannt gerade bei Kindergärten nicht wirklich ein Wettbewerb stattfindet, sondern die Eltern der zu betreuenden Kinder für ihre Auswahl die der Wohnung näher liegenden Einrichtungen bevorzugen.« Wer schon einen Kindergartenplatz gesucht hat, wird eine Meinung dazu haben, wie relevant solche Vorlieben dabei sind.

Die Debatte um Bußgelder wird auch in der jüngst anlässlich des 80. Geburtstags von Joachimski erschienenen Festschrift von der stellvertretenden NRW-DDSB Stephanie Melzow aufgegriffen. (Ein vertiefter Blick in die Festschrift folgt im Laufe der Woche.)

Einschätzungen zu Software und Diensten

Mit Blick auf die Einführung von Software nimmt der bayerische DDSB eine sehr aktive Rolle ein: Er spricht von seiner »Genehmigung« zur Einführung von Produkten. Wie üblich sind dabei Microsoft-Produkte im Fokus: »Ich bin dazu übergegangen, Neuinstallationen von MS Office nur noch dann zu genehmigen, wenn mir vom betrieblichen Datenschutzbeauftragten unterschriftlich bestätigt wird, dass die Installation von MS ONE abgeschaltet wird.« Außerdem lege er Wert darauf, keine namens-, sondern nur funktionsbezogene Benutzerkonten einzurichten. Wie sich das mit der in der Regel bestehenden Notwendigkeit von personenbezogenen E-Mail-Konten verträgt, wird nicht ausgeführt. Mittelfristig wolle Joachimski die an Neuinstallationen gestellten Bedingungen auch bei Bestandsinstallationen durchsetzen.

Entspannt habe sich die Lage bei Videokonferenzsystemen. Hier schließt sich Joachimski nach Inkrafttreten des TTDSG der Position der LDI NRW an, dass sich die Zulässigkeit der Anwendung dieser Programme ausschließlich aus dem TTDSG ergebe und damit der BfDI die zuständige Aufsichtsbehörde sei.

Bei Facebook schließt sich die Aufsicht der Position der DSK an. Joachimski weist auch darauf hin, dass die Einschätzungen prinzipiell auch auf andere soziale Medien anwendbar sei, »wenn auch häufig nicht in der Klarheit und Rigorosität«. Namentlich werden TikTok und Twitter genannt, bei denen es naheliegend erscheine, dass sie ähnlich wie Facebook zu bewerten seien.

Eine bayerische Besonderheit ist, dass die Ergebnisse von Datenschutzfolgenabschätzungen für den Einsatz von Software veröffentlicht werden. Die Liste ist online. Webex fällt in der Liste durch.

Blick auf Gesetzgebung und Rechtsprechung

Mit einem Entwurf für eine Neufassung des KDG rechnet Joachimski für 2023; dieses Jahr wurde vorher auch schon ausgegeben. Außerdem deutet er Konflikte bei der Evaluierung an, ohne die strittigen Punkte zu benennen. »Insgesamt ist es wohl vernünftiger, diesen Streitpunkten auf den Grund zu gehen als zur Vermeidung einer Verspätung der Evaluation schnelle Lösungen anzustreben«, heißt es knapp.

Die von Joachimski angeführte Rechtsprechung aus dem Berichtszeitraum ist erwartbar, sehr knapp und ohne Wertung. Dafür erfährt man von bayerischen Verfahren vor den kirchlichen Datenschutzgerichten: Nur noch zwei Verfahren aus dem Zuständigkeitsbereich Bayern sind anhängig, in einem Fall hat die Aufsicht zusammen mit einem Verantwortlichen Rechtsmittel gegen eine Entscheidung beim DSG-DBK eingelegt. Details zu den Verfahren gibt es nicht.

Fazit

Womöglich ist der aktuelle Bericht der letzte in dieser Konstellation – auch mit Blick auf die Festschrift für Joachimski (dazu mehr im Laufe der Woche) deutet sich an, dass der Schwebezustand der bayerischen Aufsicht bald beendet sein wird. Mit dem wohl anstehenden Abgang Joachimskis wird die katholische Datenschutzlandschaft jedenfalls einen streitbaren Diözesandatenschutzbeauftragten verlieren, der durch seine oft konträren Meinungen die Rechtsentwicklung maßgeblich befördert.

In der Sache ist der bayerische Tätigkeitsbericht wie meist eher unspektakulär – die Aufsichtstätigkeit scheint trotz der prekären Personalsituation reibungslos zu laufen. Dennoch: Eine angemessene Ausstattung der bayerischen Aufsicht tut not. Auch wenn die Hilferufe nicht mehr im Bericht stehen: In Sachen Ressourcen hat sich seit dem Tätigkeitsbericht 2019 nichts geändert.