Auf zum letzten Bericht – Tätigkeitsbericht 2022 der KDSA Nord

Der erste Tätigkeitsbericht des Jahres kommt aus dem Norden. Zugleich ist es der letzte Tätigkeitsbericht des schon in den Ruhestand verabschiedeten Diözesandatenschutzbeauftragten Andreas Mündelein.

Titelseite des Tätigkeitsberichts 2022 der KDSA Nord

Der Bericht über die Tätigkeit der KDSA Nord für 2022 ist der erste, der nicht mehr durchweg von Corona geprägt ist – lediglich der Verzicht auf Vor-Ort-Termine und die Notwendigkeit von Videokonferenzen sind noch übriggeblieben, ansonsten herrscht auch bei den Fällen wieder Alltag.

Zahlen zur Aufsichtstätigkeit

Wieder gibt es nur relative Angaben: Datenpannen wurden in der Größenordnung des Vorjahres gemeldet, Beschwerden und Beratungsanfragen waren leicht rückläufig. Bußgelder werden nicht erwähnt.

Vor-Ort-Prüfungen gab es erst im zweiten Halbjahr bei zwei Kirchengemeinden und einer Caritas-Einrichtung.

Ausstattung der Behörde

Inklusive Sekretariat hat die KDSA Nord vier Vollzeitstellen. Die Haushaltsmittel für 2022 standen zum Zeitpunkt der Berichtslegung (also im Dezember!) noch nicht fest; im Vorjahr waren es 424.500 Euro.

Für 2023 hat der DDSB die begründete Hoffnung, dass die KDSA Nord den Körperschaftsstatus erhält. Der finale Satzungsentwurf sei fertiggestellt, zu Beginn des Jahres soll über das Katholische Büro Bremen das Errichtungsverfahren mit der Landesregierung eingeleitet werden.

Zur Gesetzgebung

Das TTDSG wird die Frage nach der Zuständigkeit der Datenschutzaufsicht für Kommunikationsanwendungen, insbesondere Videokonferenzdienste. § 29 TTDSG weist die Zuständigkeit dem Bundesdatenschutzbeauftragten zu. Der Nord-DDSB schließt sich in seinem Bericht dem bayerischen an und sieht die Zuständigkeit »zumindest für den Bereich der Videokommunikationssysteme in der kirchlichen Anwendung« auch beim BfDI. Leider wird nicht ausgeführt, ob unter »geschäftsmäßiger Erbringung von Telekommunikationsdiensten« nur der Betrieb eigener Infrastruktur im engeren Sinn oder schon die Nutzung von Videokonferenzdiensten über Auftragsverarbeitung oder gemeinsame Verantwortlichkeit erfasst ist.

Zur Evaluation des KDG erfährt man nichts Neues, nur eine erneute Bestätigung, dass der Prozess läuft und die Diözesandatenschutzbeauftragten in einer Arbeitsgruppe (über die man auch nicht mehr erfährt) eingebunden sind.

Konkrete Fälle und Problemstellungen

Dürfen Meldedaten an die Kirchenzeitung weitergegeben werden? Gleich zweimal tauchten solche Fälle auf. Die Aufsicht sieht das – zumindest zu Marketingzwecken – nicht als vom Bundesmeldegesetz gedeckt an.

Am Beispiel eines Kontaktformulars zur Übermittlung von Krankenakten erläutert die Aufsicht einige Kriterien, die bei einem solchen Dienst zu beachten sind.

Querschnittsprüfung Caritas

Die Querschnittsprüfung Caritas fand per Online-Fragebogen statt. Der (sehr knappe) Fragebogen ist im Anhang des Berichts abgedruckt und wie die bekannten Fragebögen zu Kita-Prüfaktionen sehr allgemein gehalten, allerdings mit einer anderen Strategie: Weniger Fragen, kaum Auswahlmöglichkeiten, stattdessen eine Liste mit offenen Fragen. Gefragt wurde nach dem Datengeheimnis, Betroffenenrechten, Auftragsverarbeitung sowie technischen und organisatorischen Maßnahmen. Die Methode wirkt, als würde sie bessere Ergebnisse bringen als ein Ankreuzformular – allerdings eignet sich der Fragebogen damit auch weniger als Checkliste für Dritte.

Vor allem bei den ToMs gab es Nachbesserungsbedarf, speziell bei Berechtigungskonzepten. Im Bericht werden die Zahlen der Hinweise und Nachbesserungsbedarfe kleinteilig ausgewiesen. Leider bleibt es dabei bei einer Zuordnung von Zahlen zu Stichworten; typische Fehler und Versäumnisse werden nicht genannt.

Sonstiges

Immer noch ist das Fallbeispiel einer Kita für das Kirchliche Datenschutzmodell nicht veröffentlicht. Die Arbeiten daran laufen. Ein Veröffentlichungszeitpunkt wird allerdings nicht genannt.

Fazit

Andreas Mündelein beendet seinen Bericht mit einer persönlichen Schlussbemerkung, in der er feststellt, dass Datenschutz zwar »irgendwie im Bewusstsein der Beteiligten angekommen ist, aber zunehmend als eher lästig und zukunftsbehindernd eingeschätzt wird«. Der scheidende DDSB schließt daher mit dem Appell, »dass auch die normative Kraft des Faktischen im Bereich der grundrechtsrelevanten Rechte keine Rechtfertigung darstellen kann, den erforderlichen Schutz zu relativieren«.

Der Bericht ist sicher auch der durch den Ruhestand zum Jahreswechsel knappen Zeit für die Fertigstellung wegen selbst eher knapp ausgefallen. Gut ist, dass einige konkrete Fallbeispiele genannt werden – das dürfte in der Praxis mehr helfen als die auch erfolgte quantitative Auswertung der Caritas-Prüfung. Hier wäre es schön gewesen, wenn die Ergebnisse etwas systematisiert und zu praxisnahen Tipps zusammengefasst worden wären. Es wäre zu wünschen, wenn die erhobenen Daten beispielsweise zum Vorgehen bei Mitarbeitendenschulungen oder zu Verfahren bei Auskunftsersuchen oder Informationspflichten in Bewerbungsverfahren zu Best- (oder, auch immer sehr unterhaltsam, Worst-) Practice-Beispielen zusammengefasst würden.

Eine Besprechung des Berichts ist auch bei den Datenschutz-Notizen erschienen.

Bisher besprochene Tätigkeitsberichte der KDSA Nord

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert