Bei der KDSA Ost darf man sich jedes Jahr auf klare grundrechtliche Ansagen ebenso wie ausführliche Berichte aus dem prallen kirchlichen (Datenschutz-)Leben freuen. So nimmt auch der jetzt erschienene Tätigkeitsbericht für 2022 wieder diese Perspektiven ein.
Geprüft wurden vor allem Kitas und Pfarreien, und während in den meisten anderen Berichten kirchlicher Aufsichten das allgemeine Datenschutzbewusstsein gelobt wird, findet der Diözesandatenschutzbeauftragte Matthias Ullrich eine Diözese, in der sich Pfarreien so gut wie gar nicht um das geltende Recht scheren.
Grundsätzliche Einschätzungen
Das Vorwort beginnt mit einer Studie der TU Braunschweig: Je häufiger Datenschutzschulungen in Unternehmen stattfinden, desto höher schätzen Beschäftigte ihr Wissen ein. Nur die Akzeptanz steigt nicht notwendig mit der Zahl der Schulungen: »Die Bereitschaft, sich an Regeln zu halten, war bei den Beschäftigten grundsätzlich hoch, sie sank aber dann, wenn Regelungen nicht verstanden oder nachvollzogen werden konnten.« Die KDSA Ost will daher einen Schwerpunkt darauf setzen, Datenschutz verständlich und nachvollziehbar zu machen.
Entwicklungen im Datenschutz
Wie in jedem Jahr weitet Ullrich den Blick über das Tagesgeschäft des Datenschutzmanagements. Dazu gehört etwa eine Besprechung der aktuellen Entwicklungen beim Personenstandsgesetz. In den Personenstadsregistern wurde der Religionseintrag gestrichen. Anders als die beiden Lobby-Büros der großen Kirchen argumentiert der Diözesandatenschutzbeauftragte nicht zweifelhaft identitär, sondern spricht sich für die Änderung aus und nennt sie »konsequent und erforderlich«, auch mit Verweis auf die unselige Geschichte von Personenregistern, die die Religionszugehörigkeit enthalten. »Bei den Angaben zur Religionszugehörigkeit in den Personenregistern handelt es sich um Daten, die für staatliche Zwecke nicht benötigt werden. Auch wenn eine wirksame Einwilligung Betroffener vorläge, wäre deshalb die Verarbeitung wegen des Verstoßes gegen Grundsätze der Datenverarbeitung unzulässig«, betont Ullrich. Es ist sehr erfrischend, in der Kirche eine Stimme zu haben, die sich konsequent grundrechtsorientiert äußert und sich nicht von religiöser Identitätspolitik und staatskirchenrechtlicher Besitzstandswahrung leiten lässt.
Außerdem geht es um den Sonderkündigungsschutz von Datenschutzbeauftragten, Fingerabdrücke im Personalausweis, Online-Handel, Facebook-Fanpages (dazu unten mehr), Vorratsdatenspeicherung, Kündigungen aufgrund von Datenschutzverstößen, Cloud- und IT-Dienstleistungen von US-amerikanischen Anbietern, Schadensersatz und die Frage nach Anschriften als personenbezogenes Datum. Ein weiterer Block widmet sich dem Zensus, Zugriff auf Sozialdaten im Ermittlungsverfahren, Assistenzsysteme im Fahrzeug und dem E-Rezept.
Um Religionszugehörigkeit geht es auch bei den Entwicklungen in der Kirche. Ullrich beschäftigt sich mit der Frage des Kirchenaustritts und gibt neben der Position der Deutschen Bischofskonferenz (die an einen Kirchenaustritt arbeitsrechtliche Folgen für Beschäftigte und quasi alle Rechtsfolgen der Exkommunikation für alle Gläubigen knüpfen) auch die Position des Päpstlichen Rats für die Gesetzestexte wider, der in einem rechtlich-administrativen Austritt nicht notwendig einen Abfall von der Glaubensgemeinschaft sieht. Aus den Höhen der Kanonistik kommt Ullrich dann wieder auf die Konsequenzen der EuGH-Vorlagen Egenberger (Kirchenzugehörigkeit als Einstellungsvoraussetzung) und Hebamme (Kirchenaustritt vor Dienstantritt als Kündigungsgrund) für das kirchliche Arbeits- und Datenschutzrecht zurück: »Die Entscheidung des EuGHs zu dieser Vorlage hat direkte Auswirkungen auf das Fragerecht katholischer Einrichtungen im Zusammenhang mit Stellenbesetzungen. Künftig wird darüber hinaus, das Fragerecht auch durch die am 22.11.2022 von der Vollversammlung des VDD beschlossene neue Grundordnung eingeschränkt werden.«
Aufsichtstätigkeit
Wieder gibt es keine Zahlen – nicht nur fehlen absolute Zahlen, selbst relative Entwicklungen gibt es weder umfassend noch kompakt an einer Stelle. Immerhin erfährt man, dass mindestens zweimal Geldbußen verhängt wurden. Der Schwerpunkt liegt stattdessen auf exemplarischen Fallkonstellationen. Ausführlich werden Probleme mit offenen Mailverteilern geschildert und praktische Tipps zum Umgang mit E-Mails aufgezeigt. Später gibt es Schwerpunkte zu Datenschutz im Gesundheitswesen, an Kitas und Schulen, im Beschäftigungsverhältnis und zum technischen Datenschutz.
Querschnittsprüfungen
Pfarrgemeinden
Die Prüfung von 41 Pfarreien wurde in vier von fünf Bistümern ohne nennenswerte Beanstandungen beendet. In einem – nicht namentlich genannten – Bistum scheint aber so ziemlich alles im Argen zu liegen: fehlende Bestellung von Datenschutzbeauftragten, keine Verarbeitungsverzeichnisse, nur in einer Pfarrei gab es eine Datenschutzkonzeption, nur eine Pfarrei hat Prozesse für Beschwerden und Pannen definiert, Datenschutzschulungen finden nicht oder nicht regelmäßig statt, Verpflichtungen aufs Datengeheimnis und Einwilligungserklärungen waren mangelhaft, private Endgeräte wurden ohne Vereinbarungen verwendet.
Schon im letzten Bericht wurde bemängelt, dass in einem Bistum die Pflicht zur Bestellung von Datenschutzbeauftragten nicht eingehalten wurde. Die Rechtskonformität verweigernden Pfarreien sind fein raus: Bußgelder können gegen öffentlich-rechtlich verfasste Verantwortliche nicht verhängt werden.
Caritative Einrichtungen
Geprüft wurden ein Caritas-Regionalzentrum und ein Seniorenzentrum. Beide Prüfungen sind so detailliert geschildert, dass Leitungen solcher Einrichtungen den Tätigkeitsbericht als Vorlage zum Prüfen des eigenen Datenschutzkonzepts verwenden können. Lesenswert sind vor allem die Ausführungen zu den verschiedenen Konstellationen und Rechtsgrundlagen für Fotos.
Systematisch geprüft wurde die Bestellung von Datenschutzbeauftragten in Kindergärten sowie die Gestaltung von Anmelde- und Einwilligungsformularen. Bei den Anmeldeformularen werden häufig viel zu viele Daten abgefragt, bei Einwilligungsformularen für Fotos kommt es häufig zu einem Wildwuchs an Einwilligungen, aber auch zu wenig Differenzierung und mangelnden Informationen.
Interessant ist die Position, dass auch Pfarreikindergärten eigene Verantwortliche sind: »Datenschutzrechtlich verantwortlich sind [die] Kindertagesstätten selbst bzw. die Einrichtungsleitung, da diese über Zweck und Mittel der Datenverarbeitung entscheiden und Weisungen gegenüber Mitarbeitenden und Betroffenen sowie auch Sorgeberechtigten aussprechen.« Das dürften wohl nicht alle Pfarreien so handhaben.
Datenpannen
Eine Abschiedsmail an 367 Kontakte ist das Paradebeispiel für einen unzulässigen offenen Mailverteiler. Außerdem erfährt man, dass in der kirchlichen Meldewesen-Anwendung e-mip zeitweise auf Daten anderer Diözesen zugegriffen werden konnte – und das auch aus Neugierde genutzt wurde.
Ein besonders krasser Fall wird neben den üblichen falsch versandten Patient*innen-Daten, versehentlichen Offenlegungen und absichtlicher widerrechtliche Einsicht in Daten im Kapitel übers Gesundheitswesen geschildert: Eine Frau beschwerte sich über ein kirchliches Krankenhaus im Umgang mit einer Frau, die nach einer Hausgeburt zur Behandlung kam. Der Fall eskalierte bis zur Einschaltung des Jugendamts wegen vermeintlicher Kindswohlgefährdung und landete schlussendlich beim Interdiözesanen Datenschutzgericht (einer der Fälle, die mündlich verhandelt wurden). Vor Gericht bekam die Aufsicht Recht, das Krankenhaus schien sich in Widersprüche, Lügen bis hin zu Verleumdungen gegen die Aufsicht zu versteigen. (Der Diözesandatenschutzbeauftragte berichtet von seiner Anzeige gegen den Prozessbevollmächtigten und eine Beschwerde bei der Anwaltskammer.)
Praxistipps
Natürlich kommen Facebook-Fanpages vor. Ullrich wiederholt die bekannte Position der DSK und macht sie sich zu eigen. Kirchliche Einrichtungen werden aufgefordert, ihre Fanseiten zu deaktivieren, »sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können« – und das können sie wohl nicht.
Ausführlich widmet sich der Bericht der Veröffentlichung von personenbezogenen Daten im Pfarrbrief. Dazu werden verschiedene Anlässe und passende Rechtsgrundlagen durchdekliniert: Alters- und Ehejubiläen erfordern demnach eine Einwilligung, sofern es keine rechtliche Grundlage wie eine Jubiläumsordnung gibt. Sakramentenspendungen erfordere eine Einwilligung, ein kirchliches Interesse bestehe nicht. Dass auch hier eine Rechtsgrundlage geschaffen werden könnte, wird nicht erwähnt. Sterbefälle zu veröffentlichen wird als zulässig erachtet mit der Empfehlung, aus Sicherheitsgründen die letzte Adresse nicht zu nennen. Die Veröffentlichung von Dienstplänen von Ministranten und Mesnerinnen sei nicht erforderlich, stattdessen sollen die Pläne an die betroffenen Personen direkt übermittelt werden.
Die Abschnitte zu Kita und Schule sowie zum Beschäftigtendatenschutz lohnen sich. Dort sind einige praktische Tipps etwa zur Kommunikation von Personalausfällen oder zu Schuljahrbüchern genannt.
Fazit
Mit 124 Seiten ist der Tätigkeitsbericht der KDSA Ost sehr ausführlich. Einiges kennt man schon von den regelmäßigen kurzen Meldungen auf der Webseite der Aufsicht. Insbesondere die detaillierten Einblicke in die Prüfungen sind sehr hilfreich und praxisrelevant. Schön ist auch, dass Fälle vor den Datenschutzgerichten transparent gemacht werden.
Die vielen aus dem Leben gegriffenen Beispiele dürften Verantwortlichen helfen, sich selbst zu überprüfen. Dabei ist die Struktur aber bisweilen etwas unübersichtlich, wenn etwa Kita-Themen in mehreren Abschnitten bisweilen mit inhaltlichen Wiederholungen auftauchen. Für einen systematischen Überblick wäre es hilfreich, wenigstens Tendenzen zur Entwicklung von Beschwerden, Pannenmeldungen, Bußgeldern und Beratungen zu kennen, um das allgemeine Datenschutzniveau einzuschätzen.
Erschreckend ist das anscheinend datenschutzmanagementfreie ungenannte Bistum – da Bußgelder hier nicht verhängt werden können, sollte sich irgendwann die Frage stellen, ob die vornehme Diskretion noch angebracht ist.
Bisher besprochene Berichte der KDSA Ost
- Wie übergriffig ist Öffentlichkeitsarbeit? – Anmerkungen zum Bericht 2019 der KDSA Ost
- Pragmatismusschub dank Corona bei der KDSA Ost – Tätigkeitsbericht 2020
- Mitarbeiterexzesse galore – Tätigkeitsbericht der KDSA Ost 2021
- Ein Bistum ohne Datenschutz – Tätigkeitsbericht 2022 der KDSA Ost
- Renitente Verantwortliche – Tätigkeitsbericht 2023 der KDSA Ost