Empfindliche Buße – Tätigkeitsbericht 2022 des KDSZ Frankfurt

Im vergangenen Jahr musste die Frankfurter Diözesandatenschutzbeauftragte einen Katastrophenbericht abgeben: Corona und Hochwasser. In diesem Jahr hat sich die Lage entspannt. Das Hochwasser ist kein Thema mehr, die Corona-Themen tauchen wohl zum letzten Mal auf. Der Tätigkeitsbericht des KDSZ Frankfurt für 2022 ist im neuen Normal angekommen.

Titelseite des Tätigkeitsberichts des KDSZ Frankfurt für 2022
Der Tätigkeitsbericht für 2022 ist mit 40 Seiten, davon einige zur Dokumentation von Positionen der katholischen Datenschutzkonferenz, noch kompakt.

Der Frankfurter Tätigkeitsbericht ist immer eher praktisch angelegt: Einige plastische Fallschilderungen, zu streitigen Fragen des Datenschutzrechts dagegen kaum etwas. Zahlen gibt es kaum, aber so deutliche Hinweise auf verhängte Geldbußen wie bei keiner anderen kirchlichen Aufsicht. Ein guter Vorsatz zu Geld und Zahlen wurde leider auch dieses Jahr nicht umgesetzt.

Recht und Gesetzgebung

EDSA und DSK

Kirchliche Gesetzgebung

In diesem Jahr widmet sich die Diözesandatenschutzbeauftragte sehr ausführlich der bischöflichen Gesetzgebung in ihrem Bereich. Das ist sehr erfreulich; Diözesanrecht fliegt immer etwas unter dem Radar. (Und Mainz ist eine der wenigen Diözesen, die immer noch kein online auffindbares Amtsblatt hat.) Bewertungen der einzelnen Gesetze enthält sie sich allerdings weitgehend.

Rechtsprechung

Aufsichtstätigkeit

Statistik

Wieder fehlen absolute Zahlen. Die Gesamtzahl der Meldungen von Datenschutzverletzungen sei im Vergleich zum Vorjahreszeitraum nahezu gleich geblieben, die Themenbereiche die üblichen vom Kita-Einbruch zum Arztbrief. Zugenommen habe die Anfertigung unerlaubter Foto- und Videoaufnahmen in Kitas und Sozialeinrichtungen, bisweilen mit Veröffentlichung. Außerdem kamen einige Speicherkarten mit Fotos abhanden.

Das KDSZ Frankfurt verhängt entweder überdurchschnittlich viele Bußgelder oder ist deutlich transparenter als die anderen Aufsichten. Als bußgeldrelevant werden mehrere Fälle genannt:

  • Ein »mittlerer vierstelliger« Betrag für die beharrliche Weigerung, mit der Aufsicht zusammenzuarbeiten.
  • »Deutlich teurer« war das Bußgeld für eine medizinische Einrichtung, die Datenträger mit Gesundheitsinformationen falschen Patient*innen zugeordnet hatte.
  • »Etwas günstiger« waren falsch kuvertierte Arztbrife bei mangelnde Schulung der Beschäftigten.
  • »Empfindlich« war das Bußgeld für ein Imagevideo einer Einrichtung, in dem Echtdaten von klar erkennbaren Personen und Kund*innen auftauchten. Bemerkenswert ist ein genannter verschärfender Umstand: »zu seinen Lasten musste sich allerdings vorliegend auswirken, dass der Film zuvor auch vom betrieblichen Datenschutzbeauftragten geprüft und abgesegnet worden war« – zu laxe bDSB sind also nicht praktisch, sondern ein Kostenrisiko.

Die Beschwerden sind quantitativ auf dem Vorjahresniveau, offene E-Mail-Verteiler sind wieder vorne mit dabei. Zur Menge der Anfragen insgesamt gibt es keine Angabe, die Corona-bezogenen gingen jedoch deutlich zurück. Erwähnt werden Anfragen zur Durchführung von Studien zur Aufarbeitung sexuellen Missbrauchs im kirchlichen Umfeld und zur Offenlegung von Kirchenaustritten gegenüber dem Kirchengemeinderat. Leider geht der Bericht bei diesen interessanten Themen nicht weiter in die Tiefe.

Die Zahl der Klagen gegen Bescheide der Aufsicht ist erneut gestiegen. Genannt werden der Einsatz von Microsoft 365 an Schulen, die Vernichtung von Akten im Rahmen des betreuten Umgangs (möglicherweise DSG-DBK 04/2022) und eine Datenschutzschulung, die einem Pfarrer auferlegt wurde, über dessen heimliches Kopieren einer WhatsApp-Nachricht sich eine betroffene Person beschwert hatte. Eine weitere Klage im Kontext einer »beinharte[n] arbeitsrechtliche[n] Auseinandersetzungen im Kita-Milieu« wurde zurückgezogen. Aktenzeichen und Stand dieser Fälle werden nicht genannt.

Prüfungen

Die schon im vergangenen Bericht besprochene Kita-Prüfung wurde fortgeführt, die Bewertung hat sich nicht geändert: »Die Einrichtungen gehen sorgsam mit den ihnen überlassenen personenbezogenen Daten um.«

Eine anlassbezogene Prüfung betrifft ein nur allgemein als »Auskunftssystem« bezeichnetes System, bei dem durch ein Software-Update die Mandantenfähigkeit zeitweise aufgehoben wurde. Die etwas kryptische Formulierung verweist wohl auf die Panne in der kirchlichen Meldewesen-Anwendung e-mip geht, die kurz von der KDSA Ost und etwas ausführlicher vom KDSZ Dortmund geschildert wurde. Die verantwortliche Stelle für das »Mainzer Meldewesenverfahren« ist das Bischöfliche Ordinariat Mainz, also im Zuständigkeitsbereich des KDSZ Frankfurt.

Fälle

Die Fallschilderungen sind wie immer in Frankfurt kurzweilig formuliert und eindrücklich. Damit eignen sie sich hervorragend, um als Fallbeispiele in Datenschutzschulungen verwendet zu werden.

Überraschend sind die Fälle nicht, alles bewegt sich im Rahmen der herrschenden Meinung und üblicher Verstöße. Aber es sind Kuriositäten dabei: Etwa dass eine verantwortliche Stelle nur Betroffene einer Datenpanne – ein Versand mit offenem Verteiler – informiert hat, die unter 60 Jahre alt waren. Begründung: »Die meisten Adressaten – die Mehrheit ist über 60 Jahre alt – öffnen das E-Mail nicht oder/und erkennen die Panne nicht.« Zurecht anderer Ansicht: die Datenschutzaufsicht.

Entwicklung der Aufsicht

  • Bisher war die Aufsicht im Frankfurter Haus am Dom untergebracht. Im Berichtszeitraum stand der Umzug in größere Räumlichkeiten an, seit Mai 2023 ist die Aufsicht am Frankfurter Roßmarkt.
  • Aus dem Bericht geht hervor, wie sich die katholische Datenschutzkonferenz in Arbeitskreisen der DSK einbringt: Zur Mitarbeit in den Arbeitskreisen Technik und Grundsatz kamen 2022 die AKs Medien sowie Gesundheit und Soziales dazu, bei letzterem vertritt ein Mitarbeiter des KDSZ Frankfurt die katholischen Aufsichten.
  • Im Bericht tauchen entgegen der Ankündigung der Diözesandatenschutzbeauftragten aus dem Februar keine Zahlen zur Ausstattung der Aufsicht auf. Eine Offenlegung sieht § 43 Abs. 4 KDG vor. Für 2021 nannte die DDSB ein Budget von 1.307.500 Euro und 10 Planstellen.

Fazit

Nach den dramatischen Szenen des vorigen Berichts ist es beruhigend, dass zumindest datenschutzrechtlich anscheinend wieder alles in normalen Bahnen ist – die Flutschäden des vergangenen Jahres wurden nicht mehr aufgegriffen.

Ausgesprochen positiv ist die Transparenz bezüglich der Bußgelder – leider nur für den kirchlichen Bereich: Immer noch ist es nicht selbstverständlich, auch nur auf dieser allgemeinen Detailtiefe und ohne Beträge über Geldbußen kirchlicher Aufsichten informiert zu werden. Dabei sind Geldbußen eine klar messbare Kennzahl, wie schlagkräftig Aufsichten sind. Das dürfte den Transparenzerwartungen auch enge Grenzen setzen: bei vollständiger und bezifferter Aufzählung von verhängten Geldbußen würde allzu deutlich, dass die Kirchen sich durch den Ausschluss von öffentlich-rechtlich verfassten Stellen als Bußgeldempfänger ihr Datenschutzrecht sehr komfortabel eingerichtet haben.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert