Am 24. Mai ist das Gesetz über den kirchlichen Datenschutz fünf Jahre in Kraft. Nach einiger Aufregung zu Beginn hat sich der Datenschutz in der katholischen Kirche nun eingespielt. Viele Aufregerthemen wie Social Media und Messenger sind in der Praxis gar nicht so konfliktträchtig wie ursprünglich gedacht.
Für den Vorsitzenden der katholischen Datenschutzkonferenz, Matthias Ullrich, ist das KDG ein Solitär im kirchlichen Recht: Nirgends sonst geben Bischöfe so viel Macht an unabhängige Behörden ab. Im Interview erzählt er, wie er mit einem widerspenstigen Bistum umgeht – und warum Datenschutz für ihn eine politische Mission ist.
Frage: Das KDG wird fünf Jahre alt. Was hat sich bewährt, wo gibt es Probleme?
Ullrich: Das KDG ist im kirchlichen Bereich etwas Besonderes: Die Bischöfe haben unabhängige Behörden damit beauftragt, ein Rechtsgebiet zu beaufsichtigen und sogar Ordnungsmaßnahmen zu verhängen – und sie halten sich dabei völlig heraus. Das ist etwas, was es sonst in der Kirche nirgends gibt. Und tatsächlich hat auch nie ein Bischof oder sonst jemand versucht, auf meine Tätigkeit als Aufsicht unbotmäßig Einfluss zu nehmen. Wenn jemand eine Entscheidung nicht gut findet, dann wird das über den Rechtsweg geklärt, so wie es das Gesetz vorsieht. Es ist auch allen Beteiligten völlig klar, dass die kirchlichen Aufsichten das Recht zur Not auch gegen kirchliche Stellen durchsetzen und nicht den Datenschutz im kirchlichen Interesse so hinbiegen, dass die Kirche Standards unterschreiten könnte.
Frage: Was ist denn der Mehrwert davon, dass die Kirche das selbst durch eigene unabhängige Behörden sicherstellt? Ohne eigenes Datenschutzrecht würden die staatlichen Aufsichten die DSGVO genauso gewissenhaft gegenüber kirchlichen Stellen anwenden wie die kirchlichen das KDG.
Ullrich: Ja, das ist richtig. Dass die Kirche aufgrund ihres Selbstverwaltungsrechts eigenes Datenschutzrecht setzen kann, ist noch kein hinreichender Grund dafür, dass sie es tut. Die kirchlichen Gesetzgeber haben die DSGVO im Wesentlichen übernommen und nur so verändert, dass Begrifflichkeiten auf kirchliche Belange passen.
Frage: Es gibt allerdings auch deutliche Abweichungen: Die maximale Bußgeldhöhe ist auf 500.000 Euro gedeckelt, und gegen öffentlich-rechtlich verfasste Stellen kann gleich gar kein Bußgeld verhängt werden – also etwa gegen alle Pfarreien und Bistümer. Ist das der Sinn der Sache?
Ullrich: Das halte ich für überbewertet. Der Staat hat seine Behörden auch von Bußgeldern ausgenommen, und da zieht das kirchliche Datenschutzrecht für kirchliche Behörden gleich. Zumal es ja auch Ausnahmen gibt, wenn öffentlich-rechtlich verfasste Stellen wirtschaftlich tätig sind. Das trifft nach meiner Auffassung für Kitas von Pfarreien zu.
Frage: In Ihrem aktuellen Tätigkeitsbericht üben Sie deutliche Kritik an einem Bistum in Ihrem Zuständigkeitsbereich. Es scheint, dass dort in der Fläche in den Pfarreien das Datenschutzmanagement völlig vernachlässigt wird. Hätten Sie da nicht gerne die Möglichkeit gehabt, Bußgelder zu verhängen?
Ullrich: Ja, in dem Fall schon. Wenn es nur die Möglichkeit gibt, hinzuweisen und zu beanstanden, ist man darauf angewiesen, dass die Leute vor Ort dann auch etwas verändern. Leider ist das in diesem Bistum auf taube Ohren gestoßen. Dann heißt es »ja, ja, wir ändern das«, und dann wird doch nicht immer das umgesetzt, was nach dem Gesetz erforderlich wäre. Das Ärgerliche daran ist, dass ich die Gesetze ja nicht gemacht habe. Der Bischof hat das KDG für sein Bistum erlassen. Und wenn dann ein ganzes Bistum das Recht des Bischofs nicht einhält, und der Generalvikar nicht auf die Beachtung der Gesetze des Bischofs achtet, dann finde ich das schlicht befremdlich und ärgerlich. Aber leider sind uns da die Hände gebunden.
Frage: Eine Eskalationsstufe haben Sie noch: Bisher waren Sie diskret. Sie könnten aber auch das Bistum beim Namen nennen. Kommt das noch?
Ullrich: Darüber habe ich auch schon nachgedacht. Das ist ja nicht das erste Mal, dass wir diesen Fall im Tätigkeitsbericht benennen. Wenn sich das nicht bessert, werde ich das Bistum im nächsten Tätigkeitsbericht auch beim Namen nennen.
Frage: Seit zwei Jahren ist die Evaluation des KDG überfällig. Wie steht es aktuell darum?
Ullrich: Die Evaluierung ist nach drei Jahren angelaufen, wie es das Gesetz vorsieht, und jetzt wird seit zwei Jahren daran gearbeitet. Das stockt etwas und scheint nicht die höchste Priorität zu haben. Als Diözesandatenschutzbeauftragte arbeiten wir aber nicht direkt mit. Wir können ja nicht die Gesetze selbst machen, deren Umsetzung wir beaufsichtigen sollen. Wir haben aber über einen Vertreter unsere Anliegen in die Evaluation eingebracht.
Frage: Nämlich?
Ullrich: Vor allem fehlt es an Durchsetzungsmöglichkeiten. Bis jetzt ist es zwar noch nie vorgekommen, dass eine Einrichtung nicht gezahlt hat, wenn sie eine Geldbuße auferlegt bekommen hat. Aber wenn das einmal vorkommen würde, können wir eigentlich nichts machen. Bei Zuwendungsempfängern könnten wir uns an den Zuwendungsgeber wenden. Der würde dann das Bußgeld abführen und die Zuwendung entsprechend kürzen. Aber ein Vollstreckungsverfahren gibt es nicht – und das ist natürlich unbefriedigend, wenn der Druck so herausgenommen wird, den man vorher aufgebaut hat.
Frage: Lässt sich das Problem überhaupt lösen, ohne dass der Staat freiwillig die Vollstreckung übernimmt?
Ullrich: Wahrscheinlich nicht. Am Anfang hat man wohl darauf spekuliert, dass der Staat kirchliche Entscheidungen durchsetzt. Das wurde aber dankend abgelehnt. Ich vermute, dass jede mögliche Regelung daran scheitern wird, dass der Staat mitspielen müsste.
Frage: Wie sieht es beim materiellen Datenschutzrecht aus? Gibt es da Änderungsbedarf?
Ullrich: Nein. Das materielle Recht muss ohnehin im Einklang mit der DSGVO stehen, und das ist, denke ich, schon jetzt ganz gut geregelt. Wo identische Regeln getroffen werden, kann Rechtssprechung zur DSGVO auch fürs KDG angewandt werden. Manchmal nützt uns aber auch unsere Eigenständigkeit. Der staatliche Gesetzgeber steht jetzt vor Problemen, weil der EuGH die Regelung zum Beschäftigtendatenschutz im hessischen Landesdatenschutzgesetz kassiert hat, die sich so auch im BDSG findet. Staatliche Gesetzgeber sind an das Wiederholungsverbot des EU-Rechts gebunden. Kirchliche nicht, so dass die KDG-Regelung zum Beschäftigtendatenschutz trotzdem noch Bestand hat.
Frage: Was würde passieren, wenn das angekündigte Beschäftigtendatenschutzgesetz wirklich käme? Gilt dann der kirchliche Beschäftigtendatenschutz aus § 53 KDG statt dem staatlichen Gesetz, oder hebelt das staatliche Gesetz über § 2 Abs. 2 KDG die kirchliche Norm aus?
Ullrich: Ich gehe davon aus, dass die Kirche rechtzeitig in Anlehnung ans staatliche ein eigenes Beschäftigtendatenschutzgesetz schaffen würde, so dass sich die Frage gar nicht stellen wird.
Frage: Auch wenn Sie mit dem materiellen Recht im Großen und Ganzen zufrieden sind. Eines der großen Rätsel des KDG ist die Rechtsgrundlage des kirchlichen Interesses. Wann kann man sich darauf berufen? Haben Sie da eine Patentlösung?
Ullrich: Nein, keine Patentlösung. Bei solchen offenen Rechtsbegriffen kommt es am Ende auf die Rechtsprechung der Gerichte an. In unserer Aufsichtstätigkeit gehen wir mit dem kirchlichen Interesse eher restriktiv um und verlangen, dass es um erhebliche Interessen geht. Kirchliches Interesse ist nicht einfach alles, was irgendwie der Kirche nützlich wäre – schließlich gilt es, Persönlichkeitsrechte zu schützen.
Frage: Und braucht es zur Aufgabenwahrnehmung im kirchlichen Interesse eine explizite Übertragung von Aufgaben?
Ullrich: Ja, das würden wir so vertreten.
Frage: Vor fünf Jahren waren die großen Aufregerthemen Social Media und Messenger-Dienste. Wenn man in die Tätigkeitsberichte der Aufsichten schaut, scheint das kein großes Problem zu sein, oder?
Ullrich: In der Konferenz der Diözesandatenschutzbeauftragten haben wir schon 2016 einen Beschluss gefasst, der vor allem auf WhatsApp abzielte: Sowohl die Nutzung auf Dienstgeräten wie auf privaten Geräten zu dienstlichen Zwecken haben wir als unzulässig betrachtet. Das haben die Bistümer sehr gut umgesetzt und andere, zulässige Messenger-Dienste eingeführt. Wenn es überhaupt Probleme gibt, dann sind das in der Regel Mitarbeiterexzesse: Wenn etwa Mitarbeitende in Pflegeeinrichtungen Bewohner auf TikTok zur Schau stellen, oder wenn man sich über WhatsApp über Patienten austauscht. Ansonsten ist das bei Einrichtungen kaum ein Thema.
Frage: Ein Thema sind aber Facebook-Fanseiten. Trotz vieler Appelle und Beschlüsse ist kein großes Fanseiten-Sterben bei kirchlichen Einrichtungen zu beobachten.
Ullrich: Ja, das ist im kirchlichen nicht anders als im staatlichen Bereich. Verantwortliche sagen, dass sie die Fanseiten brauchen, um junge Menschen überhaupt erreichen zu können. Die Argumentation trägt aber meines Erachtens nicht, Facebook ist unter Jugendlichen lange nicht mehr so populär wie früher einmal. Ich kann natürlich verstehen, dass man sich mit dem Abschalten schwertut, wenn da viel Geld und Hirn in den Aufbau geflossen sind. Die ganze Thematik ist noch nicht abgeschlossen. Mit der Klage des Bundespresseamts gegen den Bescheid des Bundesdatenschutzbeauftragten ist jetzt etwas angestoßen, so dass irgendwann eine Klärung kommt.
Frage: Sie halten sich zurück. Es ist ja kein Geheimnis, dass die Bistümer in Ihrem Zuständigkeitsbereich Facebook-Fanseiten betreiben.
Ullrich: Ja.
Frage: Wenn aber eine Beschwerde käme, müssten Sie tätig werden. Beschwert sich wirklich niemand über Facebook-Fanseiten?
Ullrich: Das hat es tatsächlich noch nicht gegeben. Wenn wir von Verantwortlichen angefragt werden, sagen wir immer klar unsere Rechtsposition und raten deutlich von Fanseiten ab, weil die Wahrscheinlichkeit groß ist, dass bald Beanstandungen ins Haus stehen.
Frage: Facebook beschäftigt uns seit über zehn Jahren, und eigentlich ist alles dazu schon gesagt. Was sind für Sie die wirklich interessanten Zukunftsthemen im Datenschutz?
Ullrich: Mich interessiert besonders der Beschäftigtendatenschutz. Ich bin mir allerdings recht sicher, dass das angekündigte Gesetz auch in dieser Legislaturperiode nicht kommen wird. Es gibt noch nicht einmal einen Gesetzesentwurf. Möglicherweise bringt aber die erwähnte EuGH-Entscheidung doch noch etwas Geschwindigkeit in die Sache – aber ein mit der heißen Nadel gestricktes Gesetz kann auch niemand wollen.
Frage: Sie sind schon einige Jahre Diözesandatenschutzbeautragter. Was begeistert Sie am Thema? Warum machen Sie nach all den Jahren immer noch Datenschutz?
Ullrich: Datenschutz ist politisch. Ein Beispiel: Immer noch ist im KDG die Rede von »Rasse« bei den besonderen Kategorien der personenbezogenen Daten. Das muss aus diesem Gesetz raus, das muss aus allen Gesetzen raus. Alle Menschen sind gleich, es gibt keine »Rassen«. Da könnte die Kirche in ihrem Gesetz mit gutem Beispiel vorangehen und diesen für mich völlig befremdlichen Begriff rausnehmen. An diesem kleinen Beispiel sehen Sie, worum es mir geht: den Schutz von Persönlichkeitsrechten und Menschenrechten. Dafür will ich mich einsetzen. Das ist mir das Wichtigste. Dafür arbeite ich auch weiter gern.
Am Montag erschien das Interview mit dem BfD EKD Michael Jacob zu fünf Jahren DSG-EKD. Auf katholisch.de werfe ich auch einen Blick zurück auf fünf Jahre KDG – mit neuen Informationen zum aktuellen Stand der Evaluation.