Im März 2018 hat die Freisinger Bischofskonferenz beschlossen, ein kirchliches Datenschutzzentrum in Nürnberg als Datenschutzaufsicht einzurichten. Statt einer Behörde ist die Einrichtung mittlerweile ein Running Gag – immer noch muss der mittlerweile 80-jährige Diözesandatenschutzbeauftragte mit einem halben Mitarbeiter die sieben bayerischen Diözesen beaufsichtigen.

Nun gibt es aber Hoffnung, dass auch das katholische Bayern eine angemessen ausgestattete Aufsicht bekommt. Auch wenn die Freisinger Pressestelle weiterhin keine konkrete Auskünfte geben will (oder kann), weiß man nun wenigstens durch eine Stellenanzeige für den oder die Diözesandatenschutzbeauftragte*n mehr.

Die aktuelle Lage in Bayern

Die Ausstattung der Gemeinsamen Datenschutzaufsicht der bayerischen (Erz-) Diözesen »reicht unter den Bedingungen der seit 2018 gültigen Gesetzeslage nicht zur Erfüllung der Mindestanforderungen des KDG«, stellte der Diözesandatenschutzbeauftragte Jupp Joachimski 2019 in seinem Tätigkeitsbericht fest. Seither hat er zwar auf derart drastische Ansagen verzichtet. Geändert hat sich an der Ausstattung seiner Anderthalb-Mann-Behörde aber nichts. Damals ging Joachimski davon aus, dass auf Dauer die europarechtlich gebotene Gleichwertigkeit mit den staatlichen Aufsichten in Frage steht, wenn nicht (im Vergleich zur Ausstattung etwa in NRW oder im Südwesten moderate) sechs Planstellen zur Verfügung stünden.

In der Festschrift zum 80. von Joachimski, die die NRW-Aufsicht im vergangenen Jahr herausgegeben hat, klang es, als stünde die Errichtung unmittelbar bevor. In der Festschrift wurde auch erstmals der Name »Katholisches Datenschutzzentrum Bayern« mitgeteilt; es solle in »naher Zukunft« kommen, war im Vorwort von Kardinal Reinhard Marx, dem Vorsitzenden der Freisinger Bischofskonferenz, zu lesen. Etwas später tauchten die reservierten Domainnamen kdsz-bayern.de und kath-datenschutzzentrum-bayern.de im Netz auf.

Im vergangenen Oktober teilte das bayerische Kultusministerium auf Anfrage mit, dass ihm noch kein Antrag auf Verleihung der Eigenschaft einer Körperschaft des öffentlichen Rechts an ein Datenschutzzentrum der Freisinger Bischofskonferenz vorliege. [Ergänzung, 9. Februar 2023]Am Donnerstag teilte das bayerische Kultusministerium mit, dass der Antrag dem Ministerium mittlerweile vorliege. »Wir gehen davon aus, dass eine Entscheidung über den Antrag im Verlaufe des Frühjahrs erfolgen kann«, so der Sprecher.[/Ergänzung] Der Diözesandatenschutzbeauftragte selbst teilte mit, dass er von einer abgestimmten Satzung der Aufsicht wisse und sein Vertrag noch bis Ende 2022 verlängert worden sei – und anscheinend läuft der Vertrag auch derzeit noch weiter.

Aktuelle Entwicklungen

Im Dezember wurde die Stelle einer »Leitung des Katholischen Datenschutzzentrums (Diözesan-Datenschutzbeauftragter) (m/w/d)« ausgeschrieben – und zwar anscheinend sehr dezent: Außer einer Veröffentlichung im Stellenportal des Erzbistums Bamberg scheint die Ausschreibung nicht extern verteilt worden zu sein. Ausweislich der Bamberger Anzeige (die mir die Pressestelle nachträglich zur Verfügung gestellt hat) lief die Bewerbungsfrist bis zum 31. Januar, die Pressestelle der Freisinger Bischofskonferenz gab an, dass die Frist schon am 9. Januar abgelaufen sei.

In der Ausschreibung werden Namen und Rechtsform bestätigt: Es ist die Rede vom »neu errichtete[n] Katholische[n] Datenschutzzentrum Bayern (KdöR)«. Im Bayerischen Ministerialblatt ist eine Errichtung dieser Körperschaft noch nicht verzeichnet.

Der Aufgabenkatalog ist mit Blick auf § 44 KDG grundsätzlich erwartbar, auch wenn er nicht eins zu eins die Liste der Aufgaben aus dem Gesetz aufzählt. Erwartet wird lediglich ein rechtswissenschaftliches Studium oder eine vergleichbare Qualifikation (auch das KDG verlangt keine Volljurist*innen – das zweite Staatsexamen ist nur eine Soll-Vorschrift) sowie sowie möglichst eine »Zertifizierung« als Datenschutzbeauftragte*r. In Aussicht gestellt wird eine »der Verantwortung angemessene Vergütung« – ohne Details zur Eingruppierung. Anscheinend steht auch noch nicht fest, auf welche Amtszeit die neue Leitung bestellt wird; in der Ausschreibung steht der gesetzliche Rahmen von vier bis acht Jahren.

Genaueres zu den geplanten Zeitläufen konnte oder wollte die Pressestelle der Freisinger Bischofskonferenz nicht mitteilen. »Wenn eine Person gefunden ist, wird es sicherlich eine entsprechende Mitteilung zu der Personalie geben«, teilte ein Sprecher mit. Eine Nachfrage, ob es einen Termin für die Errichtung gebe, blieb unbeantwortet.

Fazit

Nach fünf Jahren scheint es nun endlich wirklich damit voranzugehen, einen europarechtskonformen Zustand der katholischen Datenschutzaufsicht in Bayern herzustellen. Die kurze und klandestine Ausschreibung deutet darauf hin, dass nach der passenden Person gar nicht so aufwendig zu suchen war – wer das allerdings sein könnte, ist momentan reine Spekulation: Jemand aus dem Kreis der leitenden Datenschutzbeauftragten in den bayerischen Diözesen? In München und Freising hat die stellvertretende Datenschutzbeauftragte jedenfalls jüngst eine Dissertation vorgelegt, die nicht die schlechteste Bewerbung wäre. Die Offenheit für Nicht-Volljurist*innen könnte aber auch darauf hindeuten, dass jemand mit beispielsweise wirtschaftsjuristischer Qualifikation aus der Beratung in den Kirchendienst wechselt. Wie gesagt: Alles Spekulation.

Auf die neue Leitung der Diözesandatenschutzaufsicht kommen einige Aufgaben zu: Zwar hat Jupp Joachimski mit beeindruckendem Einsatz trotz minimaler Ressourcen eine Rumpfaufsicht am Laufen gehalten – eine angemessen ausgestattete Behörde muss nun aber erst aufgebaut werden. Eine auch personell schlagkräftige Aufsicht hat das Potential, die Struktur mit starken leitenden diözesanen betrieblichen Datenschutzbeauftragten ordentlich aufzumischen. Wenn das mit dem Personal denn so schnell geht: Hier geeignete Leute zu finden (vor allem im IT-Bereich) wird anspruchsvoll; in Nürnberg dürfte es an besser als die Kirche zahlenden IT-Arbeitgebern jedenfalls nicht mangeln.

Fehlen wird auch eine starke Mindermeinungsstimme in der katholischen Datenschutzkonferenz: Unter den durchweg aus der Verwaltung stammenden Leitungen der Aufsichten sticht Joachimski als einziger ehemaliger Berufsrichter heraus. Er hat die katholische Datenschutzlandschaft vor allem mit seiner juristischen Expertise und einer fachlichen Streitbarkeit geprägt – dem Vernehmen nach war er, von der Frage nach Bußgeldern und Funktionsträgerprinzip bis zum Umgang mit Fotos, oft in der Minderheit unter den Diözesandatenschutzbeauftragten. Während sich seine Sicht bei den Bildrechten letztlich durchgesetzt hat, dürfte seine Position zur faktischen Nichtverhängbarkeit von Bußgeldern kaum bei einer Nachfolge Bestand haben – dann könnte auch in Bayern ein kälterer Wind wehen.