Fediverse und Facebook-Verbot – das plant der neue Chef des KDSZ Bayern

Fünf Jahre hat es vom Beschluss bis zur Einrichtung des Katholischen Datenschutzzentrums Nürnberg gedauert: Aufbauen wird die neue katholische Datenschutzaufsicht für die bayerischen Bistümer Dominikus Zettl. Der Jurist und Fachanwalt für Strafrecht ist seit dem 1. April als Diözesandatenschutzbeauftragter im Dienst. Viel übernehmen konnte er von seinem Vorgänger nicht: Büro, IT-Infrastruktur, ein Großteil des Personals – alles wird neu in der neuen Behörde.

Porträtfoto Dominikus Zettl
Dominikus Zettl ist seit 1. April 2023 Diözesandatenschutzbeauftragter für die bayerischen Bistümer. Zuvor war er betrieblicher Datenschutzbeauftragter des Erzbistums München und Freising. Vor seinen Tätigkeiten im Datenschutz war Zettl als Rechtsanwalt und Fachanwalt für Strafrecht tätig.

Was Zettl übernommen hat, ist ein großes Thema: Wie umgehen mit dem »Facebook-Verbot«, das sein Vorgänger Jupp Joachimski noch auf den letzten Metern seiner Dienstzeit erlassen hat? Im Interview erzählt der neue Diözesandatenschutzbeauftragte, wie es jetzt mit dem Datenschutz im katholischen Bayern weitergeht – und was seine Pläne für das Fediverse sind.

Frage: Herr Zettl, Sie sind jetzt seit gut zwei Monaten bayerischer Diözesandatenschutzbeauftragter und bauen das neue Katholische Datenschutzzentrum Bayern auf. Wie läuft es?

Zettl: Ich habe Telefon, Internet und E-Mails – alles, was man so braucht. Die technische Infrastruktur kann ich als ganz neue Behörde selbst gestalten, und das nutze ich: Wo es nur geht, setze ich auf Open-Source-Lösungen und Serverstandorte in der EU, von Office über Cloud zu Videokonferenzen. Bisher gelingt das auch sehr gut. Neben dem Aufbau habe ich vom ersten Tag an die Aufsichtstätigkeit fortgeführt und Beschwerden und anderes Tagesgeschäft erledigt. Und ich habe natürlich auch ein gewisses Erbe von meinem Vorgänger übernommen …

Frage: Das Erbe ist das »Facebook-Verbot«, das Jupp Joachimski kurz vor Ende seiner Amtszeit erlassen hat, mit einer Frist, die an ihrem ersten Arbeitstag abgelaufen ist. Wie steht es darum?

Zettl: Mein Vorgänger hat diese Ankündigung mit dem Bescheid des Bundesdatenschutzbeauftragten gegen das Bundespresseamt begründet. Dieser Bescheid wird jetzt vom zuständigen Verwaltungsgericht überprüft, und so lange hat das aufschiebende Wirkung. Ich sehe das so, dass das von Joachimski ausgesprochene Verbot damit zwangsläufig erst einmal ruhen muss. Der Bundesdatenschutzbeauftragte hatte eine lange Anhörungsphase, bis er seinen Bescheid erlassen hat. Das plane ich ähnlich: Ich will die Ordinariate der bayerischen Diözesen anschreiben und sie auffordern, mir zunächst darzulegen, wer welche Social-Media-Dienste auf welcher Rechtsgrundlage nutzt und welche technischen und organisatorischen Maßnahmen ergriffen wurden. Gibt es Datenschutzfolgenabschätzungen? Wie begegnen die Verantwortlichen den Risiken, die die Datenschutzkonferenz identifiziert hat? Das alles muss klar sein, bevor ich Bescheide verschicke. Ideal wäre natürlich, wenn bis dahin das Verfahren um das Bundespresseamt abgeschlossen wäre. Aber auch, wenn ich davon überzeugt bin, dass die Argumente des Bundesdatenschutzbeauftragten tragen, und das tue ich, ist klar, dass dieses Verfahren wohl zwangsläufig den Europäischen Gerichtshof mit einer Vorlagefrage beteiligen muss, und das kann dauern.

Frage: Bei Ihrem Vorgänger klang das alles sehr viel markiger, bis hin zur Überschrift »Facebook-Verbot« – obwohl Sie rechtlich gar keine Möglichkeit haben, als Aufsicht solche Allgemeinverfügungen zu erlassen.

Zettl: Das ist so, und das weiß auch Herr Joachimski sehr genau. Unter der deutlichen Überschrift stand dann im Ergebnis nur, dass er sich die Rechtsauffassung im Bescheid des Bundesdatenschutzbeauftragten zu eigen macht. Dass die Überschrift für Wirbel sorgt und aufrüttelt, war sicher gewollt. Die Intention war vor allem, wie man es juristisch so schön sagt, die Verantwortlichen bösgläubig zu machen: Jetzt kann sich niemand mehr darauf zurückziehen, dass man nichts gewusst hätte.

Frage: Und was heißt das jetzt für die Praxis? Bisher wurde anscheinend nirgends das angebliche Verbot umgesetzt, die Facebook-Seiten laufen weiter, nun eben bösgläubig.

Zettl: Den betrieblichen Datenschutzbeauftragten der bayerischen Bistümer habe ich gesagt, dass sie jetzt zwar sehr viel Zeit in Maßnahmen und Datenschutzfolgenabschätzungen investieren könnten. Sie könnten aber auch die Zeit sinnvoll nutzen und zum Beispiel Accounts im Fediverse eröffnen: Mastodon, Friendica, Pixelfed, Peertube – da gibt es einiges. Oder den Newsbereich auf der Webseite aufmöbeln und ordentliche RSS-Feeds anbieten. Natürlich macht ein alternativer Kanal die Facebook-Seite nicht legal. Aber wo Alternativen angeboten werden, sinkt nach meiner Rechtsauffassung zumindest das Schadenersatzrisiko. Wenn es alle Informationen auch auf einem alternativen Kanal gibt, kann kaum argumentiert werden, dass man als Nutzer quasi gezwungen wird, Facebook zu nutzen.

Frage: Und wie halten Sie es selbst? Wird das KDSZ Bayern die erste kirchliche Aufsicht im Fediverse?

Zettl: Ob ich es schaffe, der Erste zu sein, weiß ich nicht. Ich plane aber schon einen Auftritt. Momentan überlege ich, auf welchem Server. Am liebsten hätte ich eine eigene Mastodon-Instanz auf einem eigenen Server, aber da muss ich sehr gut klären, ob ich die Kapazitäten habe – mit einem Server allein ist es ja noch nicht getan, die IT-Sicherheit und die Administration müssen auch sichergestellt werden, und das kann schnell teuer werden.

Frage: Wie sieht es denn mit Ihren Ressourcen aus? Laut Ihrem Vorgänger hatte die Aufsicht bisher ein Jahresbudget von 150.000 Euro. Bleibt es dabei?

Zettl: Nein, das Budget ist inzwischen höher. Ich habe ungefähr 400.000 Euro für Personalkosten und 50.000 Euro für Sachkosten. Das kann ich offen sagen, schließlich bin ich gesetzlich verpflichtet, den Haushalt offenzulegen. Das ist deutlich mehr als vorher – aber es sind Beträge, die 2018 von der Freisinger Bischofskonferenz festgelegt wurden, ohne dass seither Tarifsteigerungen und Inflation eingepreist wurden. Das funktioniert im Rumpfgeschäftsjahr 2023, aber im nächsten Jahr wird es schon knapp.

Frage: Die bayerische Aufsicht war bislang sehr übersichtlich: ihr Vorgänger und ein Mitarbeiter. Gibt es schon neues Personal?

Zettl: Durch die Gründung des KDSZ als Körperschaft geht das alles nicht so schnell, es gibt einiges an Bürokratie zu erledigen. Mein eigener Arbeitsvertrag mit dem KDSZ läuft auch erst seit dem 1. Juni, vorher war ich vom Erzbistum München und Freising abgeordnet. Jetzt kann ich mit Ausschreibungen beginnen: Ich kann drei Referentinnen und Referenten und eine Person fürs Sekretariat ausschreiben.

Frage: Im größenmäßig ähnlichen Nordrhein-Westfalen hat die katholische Aufsicht elf Planstellen. Reichen da ihre fünf Stellen?

Zettl: Auch die fünf Stellen wurden 2018 festgelegt. Mittlerweile gibt es die Erfahrungen von den anderen Aufsichten, und da scheint mir die aktuelle Ausstattung etwas knapp bemessen zu sein. Ich schreibe bald den Antrag für den nächsten Haushalt, und da werde ich sicher eine oder zwei weitere Stellen beantragen.

Frage: Welche inhaltlichen Schwerpunkte setzen Sie?

Zettl: Ein großes Thema sind Kindergärten. Dort geht es häufig um Kita-Apps zur Kommunikation mit den Eltern. Dann ganz allgemein die Öffentlichkeitsarbeit. Da wird momentan noch viel auf Facebook fokussiert, und manche Presseabteilungen denken, die Welt bricht zusammen, wenn sie keine Facebook-Fanseite haben. Aber mal ganz ehrlich: Wann haben Sie das letzte Mal die Facebook-Seite ihres Bistums benutzt, um sich zu informieren? Die tatsächliche Bedeutung von Facebook, gerade bei jüngeren, ist doch bei weitem nicht mehr so hoch, wie man denkt. Nach Corona steht es jetzt an, die Vor-Ort-Prüfungen wieder aufzunehmen. Meine eigene Öffentlichkeitsarbeit will ich auch ausweiten. Zu den gesetzlichen Aufgaben der Aufsicht gehört auch, Verantwortliche und die Öffentlichkeit zu sensibilisieren. Da mussten bisher Abstriche gemacht werden, weil einfach kein Personal dafür da war.

Frage: In Bayern ist auch die Frage nach Bußgeldern interessant. Anscheinend wurden bisher noch keine verhängt. Ihr Vorgänger vertritt die Position, dass oft gar keine Bußgelder verhängt werden können: Anders als die anderen katholischen Aufsichten geht er davon aus, dass Geldbußen gegen Verantwortliche nicht nach dem Funktionsträgerprinzip verhängt werden können. Ist das auch Ihre Position?

Zettl: Ich sehe das Funktionsträgerprinzip kritisch. Ein typischer Fall ist der Fehlversand eines Arztbriefs durch Verwaltungspersonal. Dafür haben andere katholische Aufsichten schon Bußgelder verhängt. Nur stellt sich eben die Frage, was denn die Leitung dafür kann, wenn eine Sekretärin einmal einen schlechten Tag hat? Wenn sich systematische Mängel feststellen lassen, wenn Datenschutzschulungen fehlen, wenn der Zeitdruck zu hoch ist – dann kann ich ein Verschulden der Leitung feststellen. Aber nicht bei einem bloßen Fehler einzelner Beschäftigter. Ohne zurechenbares Verschulden tue ich mir schwer damit, Bußgelder gegen Verantwortliche zu verhängen – jedenfalls beim ersten Mal. Wenn es häufiger zu ähnlichen Fehlern kommt, dann kommen wir schon in den Bereich einer Organisationsverantwortung.

Frage: Die katholischen Aufsichten halten sich mit Zahlen zur Aufsichtstätigkeit bedeckt. Wollen Sie Zahlen zu Geldbußen veröffentlichen?

Zettl: Ich frage mich, wie aussagekräftig das wäre. Gegen einen Großteil der Verantwortlichen kann ich gar keine Bußgelder verhängen: Wenn sie öffentlich-rechtlich verfasst sind, geht das nur da, wo sie im Wettbewerb stehen. Dann bleiben im Wesentlichen nur Einrichtungen der Caritas, Vereine und Verbände übrig. Da könnte eine Veröffentlichung absoluter Zahlen schnell sehr klein wirken, obwohl wir uns mit unserer Effektivität der Aufsicht nicht verstecken müssen.

Frage: Die Evaluierung des KDG steht an. Was haben Sie auf dem Wunschzettel für eine Reform?

Zettl: An einigen Stellen würde ich mir mehr Klarheit wünschen. Ein viel diskutiertes Thema ist das »kirchliche Interesse«. Was ist das eigentlich? Wann kommt es zum Tragen? Aus meiner eigenen Erfahrung als betrieblicher Datenschutzbeauftragter weiß ich, dass Verantwortliche diese Rechtsgrundlage nicht gerne nutzen, weil es unklar ist, wie man sie anwendet. Ich habe öfter dazu geraten, eine Verarbeitung auf kirchliches Interesse zu stützen, aber das wurde nie gemacht.

Frage: Als Aufsicht brauchen Sie aber eine Position, wenn ein Fall mit dieser Rechtsgrundlage auf Ihren Schreibtisch kommt. Wie legen Sie als Diözesandatenschutzbeauftragter kirchliches Interesse aus? Die Spannweite liegt zwischen »rechtlich bindend fixierte und definierte Aufgabenübertragung« und »wird schon irgendwie der Kirche nützen«. Wo sind Sie in diesem Kontinuum?

Zettl: Im ersten Schritt müssen Verantwortliche feststellen, dass ihre Datenverarbeitung im kirchlichen Interesse ist und darlegen, warum das so ist. Dabei hilft es sicher, wenn die Datenverarbeitung im Dienste einer klar definierten Aufgabe erfolgt. Im Bereich der Datenverarbeitung im Rahmen der Missbrauchsaufarbeitung hätte man beispielsweise gut argumentieren können, dass hier eindeutig ein überragendes kirchliches Interesse vorliegt, und die Sichtung von Akten durch Kommissionen oder Kanzleien darüber datenschutzrechtlich konstruieren können. Hat man aber nicht. In einem Bistum will man jetzt Namen von Missbrauchstätern veröffentlichen. Ich bin gespannt, ob man sich datenschutzrechtlich dabei auf ein kirchliches Interesse beruft – immerhin geht es um massive Eingriffe in Persönlichkeitsrechte.

Frage: Sind Fälle aus dem Bereich des Umgangs mit Missbrauch häufig?

Zettl: Als Diözesandatenschutzbeauftragter hatte ich dazu noch keinen Fall. Als betrieblicher Datenschutzbeauftragter hatte ich vor allem Kontakt mit Beschuldigten und deren Anwälten wegen des Umgangs mit deren Daten, aber auch mit Betroffenen, die sich über das Datenschutzrecht umfangreichere Akteneinsicht wünschen. Das ist verständlich, aber kann oft nicht zum Ziel führen. Berichte, interne Ermittlungsunterlagen und Akten enthalten in der Regel nicht die personenbezogenen Daten einzelner Betroffener. Wenn Betroffene Auskunft begehren, kann man ihnen häufig nur sagen, dass die einzigen auffindbaren personenbezogenen Daten über sie in Briefen sind, die sie selbst geschrieben haben.

Frage: Wenn eine verantwortliche Stelle keine Auskunft erteilt, können Betroffene verlangen, dass die Stelle der Aufsicht gegenüber Auskunft gibt, so dass wenigstens festgestellt werden kann, ob die Auskunftsverweigerung zurecht erfolgt ist. Kommt das vor?

Zettl: Mir sind solche Fälle noch nicht bekannt. Aber das wäre eine gute Möglichkeit, um in solchen Fällen vielleicht doch noch etwas zu erreichen. Dann könnte wenigstens ich als unabhängige Stelle noch einmal bestätigen, dass wirklich keine entsprechenden Daten vorhanden sind.

Frage: Als Jurist sind Sie vielseitig verwendbar. Sie haben sich für den Datenschutz entschieden und bleiben jetzt auch erstmal für mindestens eine Amtszeit als Diözesandatenschutzbeauftragter dabei. Was begeistert Sie an dem Thema?

Zettl: Datenschutz ist ein sehr spannendes Rechtsgebiet, das sich immer weiterentwickelt. Die ersten Datenschutzgesetze gibt es seit den 1970er-Jahren, mit gut 50 Jahren ist es ein sehr junges Rechtsgebiet. Dadurch gibt es viele Gestaltungsmöglichkeiten und dank der technischen Entwicklungen immer neue Fragestellungen. Diese Verknüpfung von Recht und Technik finde ich faszinierend – das hat mich schon als Anwalt begeistert, und das findet man so in keinem anderen Rechtsgebiet.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert