Die Corona-Fragestellungen sind fast nur noch von historischem Interesse. Mit etwas Glück ist der Tätigkeitsbericht für 2022 des KDSZ Dortmund der letzte, in dem Fragestellungen dazu ausführlicher dargestellt werden müssen. Das nächste große Thema sind Schadsoftware, Ransomware und Cyberangriffe: Die nehmen laut allen aktuellen Tätigkeitsberichten einen großen Raum ein.

In diesem Jahr bringt der Tätigkeitsbericht der NRW-Aufsicht einiges an praxisrelevanten Aussagen zur Anwendung von Rechtsgrundlagen – auch wenn einige schwierige Fragen noch offen sind.

Gesetzgebung und Rechtsprechung

Im vergangenen Jahr gab es einige relevante kirchliche Gesetzgebung. So wird im Tätigkeitsbericht die neue Personalaktenordnung vorgestellt. Dabei legt sich der DDSB nicht fest, ob alle Regelungen der PAO dem KDG-Schutzniveau entsprechen. Es fällt auf, dass bei der Weitergabe der Akte an Dritte mit Einwilligung explizit der Gleichklang mit dem KDG betont wird, unmittelbar danach aber die Pflicht der Weitergabe der Akte bei Wechsel in eine andere Diözese aber ohne solche Wertung auskommt. (Dank der KDG-Rechtsgrundlage der Erlaubnis oder Anordnung durch ein anderes Gesetz dürfte aber auch das kein großes Problem sein.)

Bei der Kirchlichen Archivordnung wird nicht ausgeführt, welche Regelungen daraus hinter dem Schutzniveau des KDG zurückbleiben – es scheint aber deutliche Bedenken zu geben. Immerhin erfährt man, dass die KAO derzeit evaluiert wird und die dazu vom VDD eingerichtete Arbeitsgruppe noch keine Empfehlungen für eine Änderung vorgelegt hat.

Zur KDG-Evaluation gibt es nur den bekannten Stand: Die Arbeitsgruppe arbeitet, es gibt noch kein Ergebnis.

Das Urteil, mit dem das VG Hannover das eigene Datenschutzrecht der SELK kassiert hat, wird vom KDSZ als Bestätigung für das KDG interpretiert: Mit der KDO bestanden schon vor Inkrafttreten der DSGVO umfassende kirchliche Datenschutzregelungen, die bis zur Geltung der DSGVO durch das KDG in Einklang gebracht wurden.

Aufsichtstätigkeit

Vorfälle, Anfragen, Beschwerden – und kein Bußgeld

Absolute Zahlen zur Aufsichtstätigkeit fehlen auch in diesem Jahr. Immerhin gibt es Tortendiagramme. Gut zwei Drittel der Vorgänge waren Meldungen von Datenpannen, das letzte Drittel teilt sich auf Anfragen (etwa ein Sechstel), Beschwerden und Hinweise (sehr wenige) auf. Von Bußgeldern ist nicht die Rede. 2022 waren sechs Verfahren vor dem Interdiözesanen Datenschutzgericht mit Beteiligung des KDSZ Dortmund anhängig.

Bei den Anfragen wird neben der im Vorjahr ausführlich behandelten Videoüberwachung die Weitergabe von Daten an Dritte ohne Einwilligung thematisiert: Anscheinend fordern staatliche Stellen gerne (vor allem von caritativen Einrichtungen) Daten ein, ohne dass immer klar ist, auf welcher Rechtsgrundlage das erfolgt. »Grundsätzlich ist den Verantwortlichen zu raten, bei Ersuchen von staatlichen Stellen nicht übereilt personenbezogene Daten herauszugeben, bevor unzweifelhaft geklärt ist, auf welcher rechtlichen Grundlage welche Daten von der anfordernden Stelle verlangt werden können«, empfiehlt die Aufsicht.

Die Zahl der Datenpannen ist hoch und im Vergleich zum Vorjahr leicht gestiegen. An der Spitze stehen Offenlegungen etwa durch Fehlversand, Schadsoftware und offene E-Mail-Verteiler. Google Fonts bekommt das kleinste Kuchenstück, aber auch das einzige, das so kleinteilig bezeichnet wird. Exemplarisch werden zwei Ransomware-Fälle und ein Cyberangriff auf einen Auftragsverarbeiter geschildert. Bei einem Fall landeten Daten im Darknet.

Im Dortmunder Bericht taucht der schon im Bericht der KDSA Ost erwähnte Vorfall bei der Meldewesen-Software e-mip etwas ausführlicher auf. So erfährt man, dass es sich um einen Fehler beim Einspielen eines Updates handelte, der an einem Januarwochenende etwa zwölf Stunden lang allen registrierten Benutzenden in den angeschlossenen 15 Diözesen einen Vollzugriff auf Daten der Schutzklasse II und III (darunter fallen die besonderen Kategorien personenbezogener Daten) ermöglichte. Schon im Mai kam es zu einem weiteren, aber anders gelagerten Vorfall, bei dem es sich wohl um den von der KDSA Ost geschilderten handelt: 17 Personen haben unberechtigt Daten von 28 Menschen abgerufen. In diesem Fall konnten anscheinend lediglich bestimmte Daten in einer anderen Gemeinde als der eigentlich zugeordneten abgerufen werden. (Verantwortliche Stelle für das »Mainzer Meldewesenverfahren« ist das Bischöfliche Ordinariat Mainz, ein Bußgeld scheidet also aus.)

Bei den Beschwerden wird wieder ein Schwerpunkt auf das Auskunftsrecht gelegt. Die Aufsicht betont dabei, dass es jeder betroffenen Person zusteht, dass die Auskunft unverzüglich, längstens innerhalb eines Monats und die Frist nur in Ausnahmefällen verlängert werden darf, sowie dass eine Auskunftsverweigerung nur innerhalb des gesetzlichen Rahmens zulässig ist. »Gerade ein wiederholtes Berufen auf diese Ausnahmeregelungen in gleichgelagerten Auskunftsanfragen zeigt eher, dass der Verantwortliche keinen (angemessenen) Prozess zur fristgerechten Beantwortung implementiert hat«, heißt es zu Fristverlängerungen. Später wird unter Verweis auf ein Urteil des LG Bonn (Beschluss vom 24. Mai 2022, Az.: 9 O 158/21) betont, dass eine pauschale Verweigerung der Beauskunftung von Inhalten, die aus Sicht der kirchlichen Stelle der betroffenen Person schon bekannt sind, nicht zulässig ist.

Unter der Überschrift »Digitalisierung in Schulen« geht es um den Einsatz cloudbasierter Officeprogramme. Hier gab es eine Beratung gemeinsam mit einem Bistum. (Microsoft wird im konkreten Fall nicht genannt.) Die Drittstaatenübertragungen, die trotz Zwischenschaltung eines Dienstleisters stattfinden, sollten über organisatorische Maßnahmen abgemildert werden: Eine Vorgabe, keine personenbezogenen Daten aus dem von Personen aus dem Schulleben und Umfeld in den Dokumenten zu nutzen, und pseudonyme Anmeldedaten. Als Patentlösung kann das nicht herangezogen werden: Eine Verknüpfung des Accounts mit der eigenen E-Mail-Adresse und die Verknüpfung von Telemetriedaten werden genannt, außerdem die Aufhebung der Pseudonomyisierung beim Speichern von Dokumenten mit personenbezogenen Daten. Eine abschließende Bewertung – hier auch explizit für MS 365 – hat die Aufsicht im Berichtsjahr nicht erreicht.

Prüfungen und Beratungen

Detaillierte Beschreibungen von Prüfungen gibt es in diesem Jahr nicht. Dafür finden sich Anhaltspunkte, wann geprüft wird: Genannt wird eine Kita, die im Rahmen der Querschnittsprüfung den Kontakt mit der Aufsicht eingestellt hat. Das führte zu einer Vor-Ort-Prüfung. (Merke: Aufsicht ghosten ist keine gute Idee.) Außerdem gibt es Hinweise, wie anlasslose Prüfungen zustande kommen: Demnach werden nach dem Zufallsprinzip Gemeinden oder Einrichtungen ausgewählt, die dann themenbezogen überprüft werden.

Eine geschilderte Prüfung bezog sich auf die Jugendarbeit einer Kirchengemeinde: »Im Fokus stand insbesondere der Umgang mit den personenbezogenen Daten der Minderjährigen von deren Eintritt in die Gemeinde, ihre Beteiligung am Leben in der Gemeinde, bis hin zum Ausscheiden aus der Gemeinde.« Hier wäre eine etwas ausführlichere Schilderung interessant gewesen: Gerade in der Jugendarbeit dürfte nicht immer klar sein, wer eigentlich verantwortliche Stelle ist, vor allem dann, wenn neben Pfarrjugendgruppen wie Ministrant*innen auch Pfarrgruppen von Jugendverbänden ins Spiel kommen.

Erläuterungen zu Rechtsgrundlagen

Einwilligung durch Stillschweigen?

Konkludente Einwilligungen sieht die Aufsicht grundsätzlich als möglich an, sofern alle Anforderungen einer Einwilligung vorliegen, die Willensbekundung also für den bestimmten Fall in informierter Weise freiwillig und unmissverständlich abgegeben wird. Aus einer ausbleibenden Antwort auf eine E-Mail mit einer Bitte um Einwilligung lässt sich die Einwilligung aber nicht ableiten: »Stillschweigen stellt keine eindeutig bestätigende Handlung dar«, wie schon in DSGVO-Erwägungsgrund 32 festgehalten wird. Stattdessen müsse eine ausbleibende Antwort als fehlende Einwilligung gewertet werden. Im geschilderten Fall musste nicht geprüft werden, ob vom grundsätzlichen Schriftformerfordernis des KDG abgewichen werden durfte – dazu gibt es also nach wie vor keine aufsichtlichen Aussagen.

Berechtigtes Interesse im Arbeitsumfeld

In einem Fall schildert der Bericht Möglichkeiten und Grenzen von berechtigtem Interesse: 100 Beschäftigte wurden über die Kündigung eines Mitarbeiters und seine neue Stelle informiert, die Rechtsgrundlage sollte ein berechtigtes Interesse sein. Für die Information über das Verlassen der betroffenen Person ließ das die Aufsicht gelten, nicht aber für die Information über die neue Stelle.

Hilfreich ist, dass die Interessenabwägung ausformuliert wird: »Vorliegend konnte sich der Beschwerdegegner (Verantwortliche) auf sein berechtigtes Interesse berufen, dass die Information, dass die betroffene Person die Einrichtung verlassen werde, für die dienstliche Organisation erforderlich war. Auch überwogen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht. Dass eine seitens der betroffenen Person gewünschte Absprache bezüglich der Art und Weise einer Bekanntmachung nicht erfolgt ist, wog im Vergleich zum Interesse des Verantwortlichen, einen möglichst reibungslosen Arbeitsübergang zu schaffen, nicht besonders schwer.« (In der Fallbeschreibung heißt es, es wurde informiert, dass die betroffene Person »gekündigt hat«, in der Erläuterung heißt es nur noch, dass die Information darüber, dass sie »die Einrichtung verlassen werde«, von berechtigtem Interesse abgedeckt sei. Mit der dargelegten Argumentation ist fraglich, ob die Information über die Art der Beendigung auch zulässig ist, da lediglich die Tatsache des Endes für die dienstliche Organisation erforderlich ist.)

Hilfsweise Rechtsgrundlagen bei fehlender Einwilligung

Kann eine verantwortliche Stelle bei verweigerter oder widerrufener Einwilligung sich auf andere Rechtsgrundlagen berufen? Die Aufsicht sieht das (wie die DSK und der EDSA) nicht so, jedenfalls dann nicht, wenn nicht von Anfang an darauf verwiesen wird. »Indem die Daten verarbeitende Stelle bei der betroffenen Person eine Einwilligung einholt, signalisiert sie dieser, dass es für die Zulässigkeit einer Datenverarbeitung gerade auf das Einverständnis ankommen soll. Dann aber wäre es ein in sich widersprüchliches Verhalten, wie vorliegend im Falle der Verweigerung der Einwilligung, doch wieder auf einen alternativen Zulässigkeitstatbestand zurückzugreifen«, heißt es im Bericht. Der betroffenen Person dürfe keine Entscheidungsmacht suggeriert werden, die tatsächlich gar nichts besteht.

Nur in Einzelfällen sei eine alternative Rechtsgrundlage zulässig, »wenn die betroffene Person bei Einholung der Einwilligung auf diesen weiteren Legitimationstatbestand hingewiesen wird«. Selbst wenn die Aufsicht hier Möglichkeiten sieht: Wenn ohnehin von vornherein schon alternative Rechtsgrundlagen zur Einwilligung festgestellt werden, ist es klüger und transparenter, auch gleich diese allein anzuführen. Und es spart den Ärger, wenn doch der Widerruf kommt.

Fazit

Der Tätigkeitsbericht ist erfreulich praxisrelevant. Hinweise zur Bedeutung von Gerichtsentscheidungen und Positionen von anderen Institutionen für kirchliche Einrichtungen sind sehr hilfreich. Gerade die Ausführungen zur Anwendung von Rechtsgrundlagen in Zweifelsfällen klären einige Fragen – wenn auch nur Fragen, die schon an anderer Stelle für die DSGVO geklärt wurden. Leider sind nämlich immer noch die großen Fragen zu Rechtsgrundlagen im KDG offen: Wie genau funktioniert kirchliches Interesse? Wann kann sich eine öffentlich-rechtlich verfasste Stelle auf berechtigtes Interesse berufen? Was sind die »besonderen Umstände«, die ein Abweichen vom Schriftformerfordernis der Einwilligung ermöglichen? Hier wären klare Positionen der Aufsichten (am besten durch einen Beschluss der katholischen Datenschutzkonferenz) dringend nötig.

Auch wenn wenig bei der Evaluierung des Datenschutzrechts passiert: Immerhin schafft die Rechenschaftspflicht der Datenschutzaufsichten ein wenig Transparenz über kirchliche Gesetzgebung, die die Gesetzgeber selbst nicht herstellen wollen. Von der Evaluierung der KAO hätte man ohne den Bericht wohl nichts erfahren.