Flut, Kita und Videoüberwachung – Tätigkeitsbericht des KDSZ Dortmund 2021

Gerade noch rechtzeitig vor Weihnachten kommt der letzte Tätigkeitsbericht des Jahres – das KDSZ Dortmund hat sich bis in den Dezember damit Zeit gelassen, über das Jahr 2021 zu berichten. Aus dieser Distanz wirken die großen Themen des Vorjahres schon sehr weit weg – wie stark Corona noch das letzte Jahr geprägt hat, hat man gar nicht mehr präsent.

Cover des Tätigkeitsberichts für 2021 des KDSZ Dortmund
Cover des Tätigkeitsberichts für 2021 des KDSZ Dortmund

Auch in Nordrhein-Westfalen waren einige Regionen von der Flut betroffen, wenn auch nicht so stark wie in Rheinland-Pfalz: Der Tätigkeitsbericht der Südwest-Aufsicht war massiv von diesem Thema und eindrücklichen Katastrophenschilderungen geprägt; in NRW ist es nur ein Thema unter mehreren.

Aufsichtstätigkeit

Immerhin gibt es Kuchendiagramme zur Aufsichtstätigkeit – absolute Zahlen fehlen aber noch immer. Die deutliche absolute Mehrheit der Vorgänge sind Meldungen von Datenschutzpannen, gefolgt von Anfragen (etwa ein Viertel), Beschwerden und wenigen Hinweisen. Ob und welche Maßnahmen erlassen wurden, wird nicht aufgeschlüsselt. Insbesondere ist in diesem Jahr nicht bekannt, ob überhaupt Bußgelder erlassen wurden; da im vergangenen Jahr ein Bußgeld explizit erwähnt wurde, liegt der Schluss nah, dass 2021 keines verhängt wurde.

Musterfälle sind nicht eigens beschrieben, wohl aber wurden einige typische Fallgruppen benannt – das übliche: fehlgelaufene Korrespondenz, unzulässige Datenübermittlungen, die Problematik privater E-Mail-Konten und Geräte im dienstlichen Kontext.

Gesetzgebung

Beim Überblick über die staatliche und kirchliche Gesetzgebung zeigt sich eine nützliche Neuerung: Einigen Abschnitten ist ein Kasten mit Auswirkungen auf kirchliche Einrichtungen nachgestellt. Moniert wird ein Fehlen einer klaren Regelung zur datenschutzrechtlichen Verantwortlichkeit von Mitarbeitervertretungen im kirchlichen Recht. Bis dahin verfährt die Aufsicht analog zur staatlichen Regelung, in der eine Verantwortlichkeit der Betriebsräte ausgeschlossen wird: »Das Katholische Datenschutzzentrum wird die vom Bundesgesetzgeber jetzt für die Betriebsräte gefundene Lösung zukünftig bei Beschwerden oder in der Beratung kirchlicher Einrichtungen als Grundlage seiner Auslegung dieser Frage nehmen.«

Mit Urteilen hält sich der NRW-Diözesandatenschutzbeauftragte generell zurück. Das Seelsorge-PatDSG wird zwar erfreulich ausführlich vorgestellt, Kritik am Datenschutzniveau wie bei Tätigkeitsberichten anderer Aufsichten taucht aber nicht auf. Im Blick sind auch kirchliche Gesetze, die Datenschutzregelungen treffen, aber eigentlich kein Datenschutzrecht sind, konkret die Ordnung für das Verfahren zur Anerkennung des Leids. Die großen Änderungen im Bereich Personalakten traten alle erst 2022 in Kraft, daher muss man hierzu auf den nächsten Tätigkeitsbericht warten. Zur KDG-Evaluation erfährt man leider nichts Substantielles – dass die Arbeitsgruppe 2021 tagte und noch nicht fertig ist, war schon bekannt.

Gut ist, dass neben staatlicher und katholischer Gesetzgebung auch die der EKD im Blick ist. Mit der Aufarbeitungsverordnung und der Schaffung einer Rechtsgrundlage für Missbrauchsaufarbeitung im DSG-EKD war auch hier Aufarbeitung ein Schwerpunkt. 

Schwerpunktthemen

Die Schwerpunkte von 2021 sind im wesentlichen die von 2020 – mit Ausnahme des Hochwassers ist nichts wesentlich Neues dazugekommen. Wie im vergangenen Bericht wird auch dieses Mal ein Schwerpunkt auf Betroffenenrechte gelegt – in diesem Jahr auf das Auskunftsrecht. Dazu wird ausführlich die einschlägige Entscheidung des BGH zitiert (Urteil des BGH vom 15. Juni 2021, Az. VI ZR 576/19).

Corona

Viele Corona-Fragen waren zu klären, die akut keine Rolle mehr spielen: 2021 war der Umgang mit Impfnachweisen, die Frage nach der Zweckbindung der im Zuge der Pandemie erhobenen Daten und die Nutzung der Luca-App auf der Agenda. Recht lapidar wird dabei auf Selbstverständliches hingewiesen: »Bei der Nutzung dieser oder anderer, vergleichbarer Apps ist darauf zu achten, dass die Zweckbindung der erhobenen Daten eingehalten wird und die Daten solcher Apps nicht für andere Zwecke als die Kontaktnachverfolgung bei einer Infektion verwendet werden.«

Mit Kontaktverfolgung befasste sich auch das hier ausführlich abgebildete (und kritisierte) Verfahren vor den kirchlichen Datenschutzgerichten, das die Aufsicht letztlich verloren hat. Trotz Niederlage würdigt die Aufsicht die Leistungsfähigkeit der Gerichte, die trotz fehlender Normierung eines Eilverfahrens zu schnellen Entscheidungen in der Lage waren: »Gerade aufgrund der damals aktuellen Rechtsfrage und der Vorbildfunktion für andere Pfarreien war diese Entscheidungszeit sehr zu begrüßen.

Kita-Querschnittsprüfung

Die Querschnittsprüfung von 100 zufällig ausgewählten katholischen Kitas wurde beendet, der Fragebogen – wieder recht generisch zusammengestellt ohne große Kita-Besonderheiten – findet sich im Anhang des Berichts. Insgesamt ist die Aufsicht zufrieden, nur in wenigen Fällen mussten Beanstandungen und Anordnungen ausgesprochen werden. Verschlüsselung von Endgeräten scheint immer selbstverständlicher zu sein – die vielen Warnungen vor Einbrüchen scheinen Wirkung gezeigt zu haben.

Verbesserungspotential wird bei Löschkonzepten und der Weitergabekontrolle gesehen. Explizit wird die Kita-Software »KitaPLUS«, die ausweislich der Referenzen des Betreibers in allen fünf NRW-Bistümern eingesetzt wird: »In Bezug auf Mängel bei der Weitergabekontrolle wurde häufig die Argumentation vorgetragen, die Kita nutze zentrale Systeme (etwa KitaPLUS) und habe deshalb mit diesen Themen „nichts zu tun“. Dabei wird von den Verantwortlichen jedoch übersehen, dass auch bei Beauftragung eines Dienstleisters und der Verwendung eines zentralen Systems die Verantwortung für die Datenverarbeitung nicht abgegeben werden kann.«

Neben der großen Kita-Querschnittsprüfung wurde eine weitere Prüfung zum Umgang mit der Hafnium-Sicherheitslücke in Microsoft Exchange durchgeführt. Die Beschreibung zeigt, dass die Aufsicht technisch gut aufgestellt ist und solche Prüfungen auch selbständig umsetzen kann.

Folgen des Hochwassers

Das Juni-Hochwasser 2021 hat im Gebiet des KDSZ Dortmund nicht so umfassend zugeschlagen wie in Rheinland-Pfalz. Dennoch gab es einige Schäden und Datenverluste. Wie die Südwest-Aufsicht betont auch der NRW-DDSB, sich zunächst zurückgehalten zu haben, um die akut notwendigen Aufräum- und Wiederaufbauarbeiten nicht zu verzögern. Danach lag der Schwerpunkt auf Schutzmaßnahmen für die neu aufgebauten Aktenlagerung gelegt. Dabei ist eine kompakte Checkliste entstanden, die Datenbestände organisiert und abgesichert werden können, die im Bericht veröffentlicht wurde.

Videoüberwachung

Videoüberwachung ist ein regelmäßiges Thema der Aufsichten: hohe Eingriffsintensität bei häufiger Anwendung. Das KDG hat mit § 52 eine eigene Norm, die Videoüberwachung regelt und unter anderem zur »Aufgabenerfüllung und Ausübung des Hausrechts« erlaubt. Bei der Aufgabenerfüllung zeigt sich die Aufsicht großzügig: »Eine Beobachtung zur Aufgabenerfüllung i. S. d. Norm liegt vor, wenn der überwachte Raum einen kirchlichen Zweck erfüllt.« Da fällt es dann auch nicht sehr ins Gewicht, dass die ebenfalls zulässige Interessenabwägung als eng auszulegender Auffangtatbestand aufgefasst wird.

Die besondere Eingriffsintensität bei der Überwachung von Kirchen wird eigens thematisiert: »Es sollte außerhalb der Gottesdienstzeiten sichergestellt werden, dass die Besucher die Möglichkeit haben, einen Platz zu finden, an dem sie ungestört und unbeobachtet beten können. Das gilt z. B. insbesondere im Bereich vor den Beichtstühlen. Während der Gottesdienste wird eine Videoüberwachung regelmäßig nicht erforderlich sein, weil in dieser Zeit im Allgemeinen keine konkreten Gefahren für Altäre, Kunstwerke und andere bedeutende Gegenstände bestehen. Auch muss berücksichtigt werden, was ein Betroffener vernünftigerweise erwartet, z. B. sich zu normalen Zeiten unbeobachtet in einem Kirchenraum zum Gebet aufhalten zu können.«

Fazit

Der Dortmunder Tätigkeitsbericht hat erneut einen großen Fokus auf praktische Anwendbarkeit gelegt: Der Fragebogen der Querschnittsprüfung, die Checkliste zum Hochwasserschutz, die Infokästen zu Auswirkungen auf kirchliche Einrichtungen sowie die Erläuterungen zur Videoüberwachung lassen sich direkt im eigenen Datenschutzmanagement nutzen.

Schade ist weiterhin, dass so wenig Transparenz über absolute Zahlen herrscht – angesichts der geschilderten Tätigkeit darf man annehmen, dass es eigentlich keinen Grund gibt, die Vergleichbarkeit mit den staatlichen Aufsichten zu scheuen, die sich auf ein einheitliches Muster für ihre Tätigkeitsberichte geeinigt haben.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert