Nach Corona ist immer noch während Corona – und das Jahr der Flut. Unter den sieben Bistümern, die das Katholische Datenschutzzentrum Frankfurt beaufsichtigt, sind die von der Flut am schwersten betroffenen – das Ahrtal gehört zum Bistum Trier. Das prägt auch den Tätigkeitsbericht für 2021, der nun erschienen ist.

Der Südwest-Tätigkeitsbericht gehört immer zu denen, die sich am unterhaltsamsten lesen. Die Diözesandatenschutzbeauftragte Ursula Becker-Rathmair hat ein Talent, Datenschutzvorfälle so lakonisch mit trockenem Humor zu schildern, dass man bei Datenschutzschulungen eins zu eins aus dem Tätigkeitsbericht vorlesen möchte. Auch wenn sie sich angesichts der Flut erschüttert zeigt: Auch das prägt wieder den Bericht.

Katastrophenjahr

Flut im Ahrtal

Das Ausmaß der Katastrophe im Sommer 2021 wird deutlich, wenn die Diözesandatenschutzbeauftragte Fälle schildert, an die zuvor wohl niemand gedacht hat: Ganze Einrichtungen wurden komplett zerstört. »Wohl dem, der seine Daten in der Cloud speichert«, kommentiert Becker-Rathmair, betont aber zugleich, dass Fragen zu Datenverlusten oder möglichen Meldepflichten nicht an erster Stelle standen, »aber sie stellten sich eben auch«.

Die Diözesandatenschutzbeauftragte schildert, wie die Meldungen in Frankfurt eingingen: »Vor allem die Berichte aus dem Epizentrum der Katastrophe, der Gemeinde Schuld, in der sich viele Einrichtungen befunden haben, ließen einen fassungslos zurück. Kindergärten und andere katholische Institutionen wurden einfach weggeschwemmt oder stark beschädigt. Die verheerenden Folgen der Flut waren zu Beginn gar nicht absehbar. Ganze Schränke mit Unterlagen und Datenbeständen wurden unauffindbar aus den Gebäuden gespült, Computer, Laptops, Kameras und Handys folgten ihnen.«

Lobend erwähnt sie das Pflichtbewusstsein in den Einrichtungen, die eigentlich vor ganz anderen Problemen standen: »Dass so schnell nach der Jahrhundertflut von den verantwortlichen Stellen an den Datenschutz gedacht wurde, zeigt dessen hohen Stellenwert.« Seitens der Aufsicht sei pragmatisch vorgegangen worden. Die Frage nach Ahndung von Datenschutzverletzungen habe sich nicht gestellt – gleichwohl wird die Hoffnung ausgedrückt, dass die Erfahrungen genutzt werden, um die Digitalisierung voranzutreiben, um nicht noch einmal Papieraufzeichnungen unrettbar zu verlieren.

Corona

Der Bericht zum Jahr 2 von Corona muss natürlich auch wieder Corona-Themen abhandeln. Dabei wird deutlich, wie dynamisch die Lage auch im Recht war. Bei sieben Bistümern in fünf Bundesländern ist schon die Feststellung, was überhaupt gilt, anspruchsvoll. »Die Suche im Rahmen von eingereichten Beschwerden und gemeldeten Datenschutzverletzungen nach den aktuellen einschlägigen Rechtsgrundlagen für einzelne Maßnahmen in katholischen Einrichtungen erforderte daher zum Teil detektivische Detailarbeit«, berichtet Becker-Rathmair.

Kirchliches Recht

Gesetzgebung

• Weitgehend deskriptiv wird über die Personalaktenordnung für Kleriker und Kirchenbeamte berichtet. Auch die Diözesandatenschutzbeauftragte teilt die Skepsis, ob es so einfach möglich ist, in der PAO die Zuständigkeit für Rechtsbehelfe einfach der kirchlichen Datenschutzgerichtsbarkeit zuzusprechen: »Ob diese Inanspruchnahme der kirchlichen Datenschutzgerichte von der KDSGO auch gedeckt ist, ist ihr allerdings nicht so ohne Weiteres zu entnehmen.«
• Im Berichtszeitraum ist in allen Südwest-Bistümern das Gesetz über das Verwaltungsverfahren im kirchlichen Datenschutz (KDS-VwVfG) in Kraft getreten.
• Das Gesetz zur Regelung des Rechtsinstruments nach § 29 KDG im Erzbistum Freiburg (hier zeigt sich der legislative Flickenteppich, viele, aber nicht alle Bistümer haben weitgehend wortgleiche §-29-KDG-Gesetze erlassen) wird für seine Minderung des Verwaltungsaufwandes erwähnt.
• Das Seelsorge-Patientendatenschutzgesetz ist in Fulda, Limburg und Trier in Kraft getreten. Anders als ihr Kollege im Norden, der deutliche Kritik am Datenschutzniveau des Seelsorge-PatDSG äußerte, lobt die Südwest-DDSB es – wenn man die Formulierung »um die Stärkung der Datenschutzrechte von Patienten bemüht« als Lob auffassen will.

Rechtsprechung

• Ausführlich würdigt der Bericht die Entscheidung des IDSG, in der das europarechtliche Funktionsträgerprinzip stark gemacht wird (IDSG 14/2020, Beschluss vom 19. April 2021) – das scheint unter den Diözesandatenschutzbeauftragten gerade ein großer Konfliktpunkt zu sein, wie auch der über Festschrift für und Tätigkeitsbericht des bayerischen DDSB ausgetragene Wechsel an Argumenten anzeigt.
• Der Fall des leitenden Pfarrers, der um des Grundsatzes der Richtigkeit willen in Corona-Kontaktlisten von Gottesdiensten Einsicht nehmen will, was ihm die Aufsicht verbieten will, aber beide Instanzen zulassen (DSG-DBK 01/2021, Beschluss vom 12. Juli 2021), wird als »umstritten« bezeichnet. Auch hier wurde er sehr kritisch besprochen, und unter der Hand hört man aus DDSB-Kreisen durchaus deutlicheren Unmut als »umstritten« zu dieser Entscheidung.
• Im Berichtszeitraum gab es zwei Klagen gegen die Aufsicht.

Aufsichtstätigkeit

Statistik

Leider verzichtet auch der aktuelle Bericht auf absolute Zahlen. Man erfährt, dass die Zahl der gemeldeten Datenschutzverletzungen leicht gestiegen ist, bei gleichbleibenden Anlässen: fehlgelaufene Arztbriefe, Einbrüche in Kitas oder offene Mail-Verteiler. Die Anzahl der Beschwerden ist auf Vorjahresniveau, auch hier Standards, von Corona-Kontaktdatenerfassung zu Spendenaufrufen. Die Anzahl der Anfragen ist gestiegen. Zu Bußgeldern gibt es keine Tendenz. Erwähnt wird eine Geldbuße für eine Einrichtung, die in einem Schulungsvideo, das online verfügbar war, Kund*innendaten zeigte.

Kita-Prüfung

Zur Prüfung von zufällig ausgewählten Kitas in den einzelnen Bistümern wurde ein Fragebogen entwickelt, der leider nur unlesbar klein abgedruckt ist, außerdem gab es Ortsbesuche. Das Zwischenfazit fällt positiv aus: In der Regel gingen die Kitas sorgsam mit personenbezogenen Daten um, Optimierungsmöglichkeiten gebe es noch bei den Dokumentationspflichten und bei der regelmäßigen Schulung der Mitarbeiter*innen im Datenschutz.

Fazit

Der Tätigkeitsbericht hinterlässt den Eindruck einer korrekten, dabei aber pragmatischen Amtsführung. Die Empathie mit den Flutopfern ist spürbar, ebenso wie die Bereitschaft, mit Ausnahmesituationen flexibel umzugehen.

Ein bleibendes Ärgernis ist die Intransparenz zu absoluten Zahlen der Aufsichtstätigkeit – hier wäre es wünschenswert, wenn sich die Aufsichten dem von der Datenschutzkonferenz des Bundes und der Länder ausgearbeiteten Standard anschließen würden. Eine weitere Leerstelle ist die Personal- und Ressourcenausstattung: hierzu erfährt man nichts. Angesichts von Vorwürfen der Untätigkeit – hier berichtet, aber auch im Tätigkeitsbericht anlässlich einer Klage erwähnt – täten sich die Aufsichten selbst einen Gefallen, transparent über ihre Arbeitsbelastung zu berichten.