Ungerade Jahre sind evangelische Berichtsjahre. Jetzt liegt der neue Tätigkeitsbericht des BfD EKD für die Jahre 2021 und 2022 vor – und damit noch einmal ein stark von Corona-Maßnahmen geprägter Bericht. Und nicht nur davon: »Menschen erleben die momentanen Zeiten zunehmend als eine krisenhafte Zuspitzung unseres gesellschaftlichen Miteinanders. Eine Krise folgt auf die andere: Corona-Pandemie, Klimawandel, Krieg in Europa, Energieversorgung und Inflation«, schreibt Michael Jacob in seinem Vorwort: »Da haben es Freiheits- und Grundrechte nicht immer ganz leicht in der gesellschaftlichen und politischen Debatte durchzudringen.«

Diese Ansagen dann im Kleinklein von Zoom, Facebook und Microsoft, Kita-Einbrüchen, CC-Fails und verlorenen USB-Sticks auch deutlich zu machen, ist anspruchsvoll. Es gibt aber doch auch praktische Fälle, in denen Datenschutz als Grundrechtsschutz sehr deutlich wird. Auf der operativen Ebene lohnt sich der Bericht: Er schafft dringend nötige Transparenz über die sonst sehr bedeckte evangelische Kirchengerichtsbarkeit und gibt in vielen Fallbeispielen wichtige Hintergründe zur Praxis des – mangels Kommentar und angesichts wenig Judikatur – immer noch weniger ergründeten DSG-EKD.

Evaluierung des DSG-EKD

So transparent wie hier wurde die geplante Evaluierung noch nicht geschildert. Das EKD-Kirchenamt steuert den Prozess und hat dazu 2022 eine Arbeitsgruppe eingerichtet. Neben der Arbeitsgruppe gibt es eine »Resonanzgruppe«, »die über die Ergebnisse der Arbeitsgruppe berät, bevor der Gesetzesentwurf im Jahr 2024 in den Gesetzgebungsprozess der EKD eingespeist wird«. In der Resonanzgruppe arbeitet Jacob mit, in beiden Gruppen sind Vertreter*innen von Landeskirchen und Aufsichtsbehörden vertreten. Die EKD-Synode 2024 soll dann über einen Gesetzesentwurf beschließen. Zu ersten inhaltlichen Ergebnissen der Evaluierung äußert sich der Bericht nicht.

Kirchengerichtsbarkeit

Es war ein langer Kampf, überhaupt aus dem EKD-Kirchengericht eine Zahl herauszubekommen: 23 Verfahren mit Datenschutzbezug soll es laut Auskunft vom Januar geben. Aus dem Tätigkeitsbericht erfährt man nun mehr: in 13 Verfahren vor den Kirchengerichten war der BfD EKD seit 2019 Beklagter.

Sehr erfreulich ist, dass zu neun abgeschlossenen Verfahren kurze Zusammenfassungen gegeben werden. Sehr knapp wird das aufsehenerregende Urteil zum Recht auf Kopie mit Blick auf die materielle Frage zum Recht auf Kopie erwähnt, ohne die überschießende Position insbesondere der zweiten Instanz zu erwähnen. Bisher unbekannte Fälle sind unter anderem ein Verfahren zur Lagerung von Patient*innen-Unterlagen eines ehemaligen Krankenhauses, zur Herausgabe eines Kirchenvorstandsprotokolls und zur Verwendung einer bestimmten Zoom-Konfiguration. Alle Fälle werden so knapp geschildert, dass man daraus in der jeweiligen Materie wenig ableiten kann.

Organisation und Ressourcen der Behörde

Mittlerweile gibt es 23 Planstellen, die auch alle besetzt sind. Zuständigkeit und interne Organisation werden sehr detailliert geschildert. Beim Finanzbedarf beschränkt sich der Bericht auf die Schilderung des Prozederes, nach dem er verabschiedet wird hier gab es eine Änderung des DSK-EKD, eine Bewertung, ob die Ausstattung so passt, taucht nicht auf.

Aufsichtstätigkeit

Der BfD EKD ist etwas transparenter als die katholischen Aufsichten und gibt Zahlen zu seiner Aufsichtstätigkeit an. Die Aufschlüsselung in die Kategorien »Aufsicht«, »Beratung« und »Weiterbildung« bleibt allerdings etwas hinter dem Standard der staatlichen Aufsichten zurück. Immerhin ist nun ablesbar, dass die Tätigkeiten in der Kategorie Aufsicht von 2021 auf 2022 leicht von 491 auf 547 gestiegen sind. Darunter fallen jeweils für diese beiden Jahre 328 und 352 Datenpannen sowie 163 und 195 Beschwerden. »Dabei verfestigt sich der Eindruck, dass den Datenpannen häufig ähnlich gelagerte Verstöße – insbesondere Diebstahl und Verlust von dienstlichen mobilen Endgeräten sowie falsch adressierte E-Mails oder Faxe – zu Grunde liegen.« Welche und wie viele Beanstandungen und Anordnungen ausgesprochen werden, bleibt offen. Wie schon im vergangenen Bericht fällt der große Stellenwert auf, der Weiterbildung zukommt. Bußgelder werden nicht erwähnt.

Neben einigen Informationen zur Zusammenarbeit mit staatlichen und anderen kirchlichen Aufsichten gibt es auch gute Nachrichten zum Kirchlichen Datenschutzmodell. Bisher wurde nur mitgeteilt, dass die Arbeitsgruppe der Ökumenischen Datenschutzkonferenz mit Veröffentlichung des Praxisbeispiels ihre Arbeit beendet hat. Nun ist sicher, dass es weitergeht: »Die Weiterentwicklung des Modells und die Rezeption künftiger SDM-Versionen, wird zukünftig durch eine neue ständige Arbeitsgemeinschaft „KDM-Werkstatt“ sichergestellt.«

Themen und Fälle

Ausnahmen von der Auskunftspflicht

Ein Schwerpunkt des Berichts liegt auf dem Feld der Auskunft. Besonders interessant sind zwei Fälle, in denen es um nach Ansicht der Aufsicht zulässige Konstellationen geht, in denen nicht beauskunftet werden muss.

Eine betroffene Person wollte von einem Kirchengemeinderat Auskunft über Daten aus einem Protokoll des Gremiums. Hier sah der BfD die Weigerung als zulässig an. Der Auskunftsanspruch habe zwar grundsätzlich bestanden, sei in diesem Fall aber ausgeschlossen nach § 19 Abs. 2 DSG-EKD, namentlich aufgrund einer speziellen Rechtsvorschrift geheim zu haltenden Daten. Das sei bei Kirchengemeinderäten der Fall, wenn sie in nichtöffentlicher Sitzung tagen, »sofern der Verhandlungsgegenstand der Verschwiegenheitspflicht unterliegt«. Damit dürfe auch das Protokoll nur den Mitgliedern zugänglich gemacht werden.

In einem anderen Fall stellte sich die Frage, ob die Einsatzstellenleitung gegenüber dem Bundesfreiwilligendienstträger Auskunft über Evaluierungsprotokolle begehren kann. In dem geschilderten Fall geht es um Kritik an der Leitung durch Bufdis, von denen es in der Einsatzstelle so wenige gibt, dass auch bei einer Anonymisierung eine Rückführung auf bestimmte Personen drohte. Der Träger habe sich rechtmäßig auf eine Ausnahme berufen: »Bei der dabei vorzunehmenden Interessenabwägung waren das Interesse der Einsatzstellenleitung an einer vollständigen Auskunft gegen das Schutzinteresse der Bundesfreiwilligen abzuwägen. Der Träger ist dabei zu dem Ergebnis gelangt, dass der Schutz der Bundesfreiwilligen höher zu bewerten ist als das Auskunfsinteresse der Einsatzstellenleitung.« Das teilt die Aufsicht – ein Beispiel, wie eine sorgfältige Abwägung zu einem Ergebnis kommt, das die Grundrechte der strukturell schwächeren Partei schützt.

Übertragung von Gottesdiensten, Videoüberwachung und Videokonferenzen

Eine Besonderheit des DSG-EKD ist die Erlaubnisnorm in § 53 für die Aufzeichnung und Übertragung von Gottesdiensten und kirchlichen Veranstaltungen, die auf den ersten Blick quasi alles erlaubt, solange nur »durch geeignete Maßnahmen über Art und Umfang der Aufzeichnung oder Übertragung informiert« wird. Der BfD EKD wendet diese Norm deutlich restriktiver an, als der isolierte Wortlaut es nahelegt. Eine reine Information genügt für ihn nur, wenn die Teilnehmenden nicht im Video erkennbar sind. »Sofern die Gottesdienstbesucher jedoch auf den Videos zu erkennen sind, ist neben § 53 DSG-EKD noch eine weitere Rechtsgrundlage für die Anfertigung des Videos erforderlich«, so der BfD EKD. Das könne beispielsweise das nachgebaute berechtigte Interesse (§ 6 Nr. 4 in Verbindung mit § 6 Nr. 8 DSG-EKD) oder eine Einwilligung sein.

Bei der Verwendung von Zoom unterscheidet der BfD EKD drei Konstellationen: Zoom in Reinform, Zoom über Dienstleister wie das explizit genannte Connect4Video, die Metadaten in den USA verarbeiten, und schließlich Zoom über Dienstleister, die Inhalts- und Metadaten auf deutschen Servern verarbeiten wie Connect4Video über den WGKD-Rahmenvertrag. Nur die letzte Variante ist unter umständen zulässig. Dennoch bestehen Risiken US-amerikanischen Datenzugriffs über den Cloud Act, daher muss abgewogen werden, welche Inhalte übertragen werden.

In einem Fall zu Zoom in der Schule war weniger Zoom als Dienstleister interessant – hier hatte eine Lehrkraft auf eigene Initiative Zoom statt der von der Schule zur Verfügung gestellten datenschutzkonformen Lösung verwendet. Sehr zu begrüßen ist, dass der BfD EKD hier seine Betonung von Datenschutz als Grundrechtsschutz einlöst und die Rechte von Jugendlichen stark macht: Schüler*innen mussten in dem Fall Bild und Ton während des Unterrichts stets eingeschaltet haben. »Diesbezüglich ist zu beachten, dass eine verpflichtende Teilnahme der Schülerinnen und Schüler ohne Bild und Ton mit dem Bildungs- und Erziehungsauftrag der Schule – also der Aufgabenerfüllung nach § 6 Nr. 3 DSG-EKD – begründet werden kann. Wenn aber Bild und Ton der Schülerinnen und Schüler erfasst werden, stellt dies einen tiefgreifenden Grundrechtseingriff dar, welcher einer gesonderten Rechtsgrundlage bedarf. Bei Video- und Tonübertragungen aus dem häuslichen Umfeld ist zu berücksichtigten, dass dieser Bereich nach Art. 13 Grundgesetz (GG) besonders geschützt ist.« Lediglich eine kurze Aktivierung von Bild und Ton am Beginn könne zur Anwesenheitskontrolle zulässig sein. Ansonsten werden datenschutzfreundliche Voreinstellungen empfohlen: »So sollten das Mikrofon und die Kamera bei der Anmeldung stets deaktiviert sein, sodass die Nutzenden selbst entscheiden können, ob und wann sie das Mikrofon und die Kamera aktivieren.« Schüler*innen stehen in einem besonderen Verhältnis von Machtasymmetrie, ihre Rechte kommen oft zu kurz (so etwa in der katholischen Schuldatenschutzgesetzgebung). Umso erfreulicher, wenn der BfD EKD hier sehr deutlich die Grundrechte von Jugendlichen gegen Kontrollwünsche der Schule verteidigt.

Zur Videoüberwachung teilt der BfD EKD seine Rechtsposition mit, dass dabei in der Regel keine biometrischen und gesundheitlichen Daten erhoben werden, soweit sie nicht die Erhebung sensibler Daten bezweckt. »Dies wäre der Fall, wenn Gesichtserkennungssoftware eingesetzt und Daten tatsächlich ausgewertet werden.« In Bezug auf Fotos hatte der BfD EKD zuvor noch eine deutlich schärfere (und weniger überzeugende) Position vertreten.

Veröfentlichung von Amtshandlungen und Geburtstagen im Internet

Auch wenn in Landeskirchen Rechtsgrundlagen zur Veröffentlichung von Geburtstagen und Ehejubiläen bestehen, greifen die nach Ansicht des BfD EKD nicht für Internetveröffentlichungen. Grund dafür sei der unbestimmt große Adressatenkreis, der über die Gemeindemitglieder hinausgeht. »Sollen Amtshandlungen, Geburtstage oder Ehejubiläen im Internet veröfentlicht werden, ist zwingend eine Einwilligung der betrofenen Personen zur datenschutzkonformen Datenverarbeitung einzuholen«, stellt der BfD EKD fest – oder, das erwähnt er nicht, es wird durch den Gesetzgeber eine ausdrückliche Rechtsgrundlage für die Internetveröffentlichung in Kraft gesetzt.

Softwareprüfungen

Spendentools werden als zulässig angesehen, wenn ihre Verwendung freiwillig ist: »Damit die Nutzung des Portals durch die Spendenden wirklich freiwillig erfolgt, muss allerdings eine alternative Methode, etwa die herkömmliche Bargeldsammlung, weiterhin angeboten werden.« (Keine Aussagen finden sich zum verwendeten Zahlungsdienstleister – einige der verbreiteten sind ja US-basiert.)

Kurios ist der Fall eines Intranets einer Landeskirche, bei dem die Beschäftigten sich mit Geburtsdatum und privater Adresse anmelden mussten. Mehrere Beschäftigte hätten sich darüber beschwert. »Bei diesen Angaben handelte es sich um Pflichtangaben, ohne die eine Registrierung nicht möglich war. Darüber hinaus bemängelten die Beschäftigten, dass seitens der verantwortlichen Stelle nicht darüber informiert wurde, zu welchem Zweck die verschiedenen personenbezogenen Daten erhoben wurden.« Dass überhaupt eine so evident nicht erforderliche und damit rechtswidrige Verarbeitung passieren kann, ist schon verwunderlich genug. Interessant ist die Formulierung, was nach der Beanstandung passiert ist: Anscheinend wurde keine Untersagung der Verarbeitung ausgesprochen. »Die Verstöße wurden beanstandet und auf die Überarbeitung des Registrierungsprozesses sowie auf die Einhaltung der Informationspflichten gegenüber den Beschäftigten hingewirkt«, heißt es. Auffällig ist daran, dass zwar auf das Hinwirken hingewiesen wird, nicht aber darauf, dass die angemahnte Landeskirche die Datenschutzverstöße auch abgestellt hat.

Verschiedene Software wurde geprüft und bewertet. Dabei werden auch Produkte genannt. Die Einschätzungen zu Windows 10 und Microsoft 365 sind keine Überraschungen. Bei der Kita-Software KiDz gab es Bedenken, die aber mittlerweile weitgehend ausgeräumt seien. Bei weiteren ungenannten Kita-Apps gab es Probleme. Die Kirchen-App Churchpool wird kritisch bewertet: Einbettung von Drittanbieter-Tools, unzureichende Datenschutzinformationen und Nutzungsbedingungen sowie ein fehlender Vertrag zur Auftragsverarbeitung.

Fazit

Im Vergleich zum vorigen Bericht des BfD EKD stellt der aktuelle eine erfolgreiche Weiterentwicklung dar. Die Transparenz über Gerichtsverfahren ist dringend nötig und könnte (etwa durch größere Detailtiefe und die Nennung von Aktenzeichen) noch ausgeweitet werden. Die ausgewählten Fälle sind sehr praxisrelevant und geben wichtige Einblicke in die Auslegung des DSG-EKD durch die Aufsicht sowie hilfreiche Ansätze, die eigene Datenschutzorganisation zu überprüfen.

Im Blick behalten sollte man die Durchsetzung von Anordnungen der Aufsicht und allgemein den Status von Datenschutz in der Organisation von Landeskirchen. Möglicherweise ist es in den einen Fall des Intranets zu viel hineingelesen – aber die Kombination aus einer offensichtlich grob rechtswidrigen Verarbeitung in Kombination mit einer undeutlichen Auskunft, ob Abhilfe geschaffen wurde, wirft Fragen auf. Aus dem katholischen Bereich ist bekannt, dass es dort ein Bistum mit erheblichen Durchsetzungsdefiziten gibt – das ist natürlich auch evangelisch möglich.