Im vergangenen Jahr musste die Frankfurter Diözesandatenschutzbeauftragte einen Katastrophenbericht abgeben: Corona und Hochwasser. In diesem Jahr hat sich die Lage entspannt. Das Hochwasser ist kein Thema mehr, die Corona-Themen tauchen wohl zum letzten Mal auf. Der Tätigkeitsbericht des KDSZ Frankfurt für 2022 ist im neuen Normal angekommen.
Der Frankfurter Tätigkeitsbericht ist immer eher praktisch angelegt: Einige plastische Fallschilderungen, zu streitigen Fragen des Datenschutzrechts dagegen kaum etwas. Zahlen gibt es kaum, aber so deutliche Hinweise auf verhängte Geldbußen wie bei keiner anderen kirchlichen Aufsicht. Ein guter Vorsatz zu Geld und Zahlen wurde leider auch dieses Jahr nicht umgesetzt.
Recht und Gesetzgebung
EDSA und DSK
- Die Leitlinien des EDSA zum Auskunftsrecht werden auch für den kirchlichen Bereich aufgrund der Entsprechung von § 17 Abs. 3 KDG zu Art. 15 Abs. 3 DSGVO empfohlen.
- Ansonsten weist das KDSZ Dortmund auf die FAQ der DSK zu Facebook-Fanpages (ohne eine kirchliche Kontextualisierung) und die DSK-Position zu Microsofts Cloud-Diensten hin.
Kirchliche Gesetzgebung
In diesem Jahr widmet sich die Diözesandatenschutzbeauftragte sehr ausführlich der bischöflichen Gesetzgebung in ihrem Bereich. Das ist sehr erfreulich; Diözesanrecht fliegt immer etwas unter dem Radar. (Und Mainz ist eine der wenigen Diözesen, die immer noch kein online auffindbares Amtsblatt hat.) Bewertungen der einzelnen Gesetze enthält sie sich allerdings weitgehend.
- Die Einsichtsnormen in Akten zur Missbrauchsaufarbeitung werden für den Bereich des KDSZ Frankfurt knapp analysiert; besonders hervorgehoben wird das Gesetz aus Fulda. Eine Einschätzung zu eventuellen Konflikten mit dem Datenschutzrecht gibt es nicht.
- Im Berichtszeitraum kamen zwei weitere §-29-Gesetze in Mainz und Rottenburg-Stuttgart dazu, mit denen die Auftragsverarbeitung geregelt wird.
- Das Freiburger Diözesangesetz für virtuelle Gremiensitzungen wird gewürdigt. Dabei weist die Diözesandatenschutzbeauftragte auf die Notwendigkeit hin, die datenschutzrechtlichen Vorgaben zu stärken.
- In Mainz wurde ein Schutzkonzept für Kita-Kinder verabschiedet, das auch datenschutzrechtliche Vorgaben macht.
Rechtsprechung
- Einige exemplarische Entscheidungen staatlicher Gerichte werden vorgestellt: zu immateriellem Schadensersatz, zur außerordentlichen Kündigung eines Betriebsratsmitglieds wegen eines Datenschutzverstoßes und die hier schon besprochene Entscheidung zur Berliner Kirchensteuertelle und der Anwendbarkeit kirchlichen Rechts.
- Als wichtige Entscheidungen der katholischen Datenschutzgerichte werden die Fälle einer ordinariatsinternen Datenweitergabe, zur Anwendbarkeit des KDG auf Gespräche (hier mit Kritik, weil der erweiterte Anwendungsbereich im Beschäftigtendatenschutz nicht berücksichtigt wurde), das Auskunftsbegehren eines Vaters gegen den Willen der Tochter (ein Frankfurter Fall) sowie zu Autokennzeichen genannt.
Aufsichtstätigkeit
Statistik
Wieder fehlen absolute Zahlen. Die Gesamtzahl der Meldungen von Datenschutzverletzungen sei im Vergleich zum Vorjahreszeitraum nahezu gleich geblieben, die Themenbereiche die üblichen vom Kita-Einbruch zum Arztbrief. Zugenommen habe die Anfertigung unerlaubter Foto- und Videoaufnahmen in Kitas und Sozialeinrichtungen, bisweilen mit Veröffentlichung. Außerdem kamen einige Speicherkarten mit Fotos abhanden.
Das KDSZ Frankfurt verhängt entweder überdurchschnittlich viele Bußgelder oder ist deutlich transparenter als die anderen Aufsichten. Als bußgeldrelevant werden mehrere Fälle genannt:
- Ein »mittlerer vierstelliger« Betrag für die beharrliche Weigerung, mit der Aufsicht zusammenzuarbeiten.
- »Deutlich teurer« war das Bußgeld für eine medizinische Einrichtung, die Datenträger mit Gesundheitsinformationen falschen Patient*innen zugeordnet hatte.
- »Etwas günstiger« waren falsch kuvertierte Arztbrife bei mangelnde Schulung der Beschäftigten.
- »Empfindlich« war das Bußgeld für ein Imagevideo einer Einrichtung, in dem Echtdaten von klar erkennbaren Personen und Kund*innen auftauchten. Bemerkenswert ist ein genannter verschärfender Umstand: »zu seinen Lasten musste sich allerdings vorliegend auswirken, dass der Film zuvor auch vom betrieblichen Datenschutzbeauftragten geprüft und abgesegnet worden war« – zu laxe bDSB sind also nicht praktisch, sondern ein Kostenrisiko.
Die Beschwerden sind quantitativ auf dem Vorjahresniveau, offene E-Mail-Verteiler sind wieder vorne mit dabei. Zur Menge der Anfragen insgesamt gibt es keine Angabe, die Corona-bezogenen gingen jedoch deutlich zurück. Erwähnt werden Anfragen zur Durchführung von Studien zur Aufarbeitung sexuellen Missbrauchs im kirchlichen Umfeld und zur Offenlegung von Kirchenaustritten gegenüber dem Kirchengemeinderat. Leider geht der Bericht bei diesen interessanten Themen nicht weiter in die Tiefe.
Die Zahl der Klagen gegen Bescheide der Aufsicht ist erneut gestiegen. Genannt werden der Einsatz von Microsoft 365 an Schulen, die Vernichtung von Akten im Rahmen des betreuten Umgangs (möglicherweise DSG-DBK 04/2022) und eine Datenschutzschulung, die einem Pfarrer auferlegt wurde, über dessen heimliches Kopieren einer WhatsApp-Nachricht sich eine betroffene Person beschwert hatte. Eine weitere Klage im Kontext einer »beinharte[n] arbeitsrechtliche[n] Auseinandersetzungen im Kita-Milieu« wurde zurückgezogen. Aktenzeichen und Stand dieser Fälle werden nicht genannt.
Prüfungen
Die schon im vergangenen Bericht besprochene Kita-Prüfung wurde fortgeführt, die Bewertung hat sich nicht geändert: »Die Einrichtungen gehen sorgsam mit den ihnen überlassenen personenbezogenen Daten um.«
Eine anlassbezogene Prüfung betrifft ein nur allgemein als »Auskunftssystem« bezeichnetes System, bei dem durch ein Software-Update die Mandantenfähigkeit zeitweise aufgehoben wurde. Die etwas kryptische Formulierung verweist wohl auf die Panne in der kirchlichen Meldewesen-Anwendung e-mip geht, die kurz von der KDSA Ost und etwas ausführlicher vom KDSZ Dortmund geschildert wurde. Die verantwortliche Stelle für das »Mainzer Meldewesenverfahren« ist das Bischöfliche Ordinariat Mainz, also im Zuständigkeitsbereich des KDSZ Frankfurt.
Fälle
Die Fallschilderungen sind wie immer in Frankfurt kurzweilig formuliert und eindrücklich. Damit eignen sie sich hervorragend, um als Fallbeispiele in Datenschutzschulungen verwendet zu werden.
Überraschend sind die Fälle nicht, alles bewegt sich im Rahmen der herrschenden Meinung und üblicher Verstöße. Aber es sind Kuriositäten dabei: Etwa dass eine verantwortliche Stelle nur Betroffene einer Datenpanne – ein Versand mit offenem Verteiler – informiert hat, die unter 60 Jahre alt waren. Begründung: »Die meisten Adressaten – die Mehrheit ist über 60 Jahre alt – öffnen das E-Mail nicht oder/und erkennen die Panne nicht.« Zurecht anderer Ansicht: die Datenschutzaufsicht.
Entwicklung der Aufsicht
- Bisher war die Aufsicht im Frankfurter Haus am Dom untergebracht. Im Berichtszeitraum stand der Umzug in größere Räumlichkeiten an, seit Mai 2023 ist die Aufsicht am Frankfurter Roßmarkt.
- Aus dem Bericht geht hervor, wie sich die katholische Datenschutzkonferenz in Arbeitskreisen der DSK einbringt: Zur Mitarbeit in den Arbeitskreisen Technik und Grundsatz kamen 2022 die AKs Medien sowie Gesundheit und Soziales dazu, bei letzterem vertritt ein Mitarbeiter des KDSZ Frankfurt die katholischen Aufsichten.
- Im Bericht tauchen entgegen der Ankündigung der Diözesandatenschutzbeauftragten aus dem Februar keine Zahlen zur Ausstattung der Aufsicht auf. Eine Offenlegung sieht § 43 Abs. 4 KDG vor. Für 2021 nannte die DDSB ein Budget von 1.307.500 Euro und 10 Planstellen.
Fazit
Nach den dramatischen Szenen des vorigen Berichts ist es beruhigend, dass zumindest datenschutzrechtlich anscheinend wieder alles in normalen Bahnen ist – die Flutschäden des vergangenen Jahres wurden nicht mehr aufgegriffen.
Ausgesprochen positiv ist die Transparenz bezüglich der Bußgelder – leider nur für den kirchlichen Bereich: Immer noch ist es nicht selbstverständlich, auch nur auf dieser allgemeinen Detailtiefe und ohne Beträge über Geldbußen kirchlicher Aufsichten informiert zu werden. Dabei sind Geldbußen eine klar messbare Kennzahl, wie schlagkräftig Aufsichten sind. Das dürfte den Transparenzerwartungen auch enge Grenzen setzen: bei vollständiger und bezifferter Aufzählung von verhängten Geldbußen würde allzu deutlich, dass die Kirchen sich durch den Ausschluss von öffentlich-rechtlich verfassten Stellen als Bußgeldempfänger ihr Datenschutzrecht sehr komfortabel eingerichtet haben.
Bisher besprochene Tätigkeitsberichte des KDSZ Frankfurt
- Wo sind all die Datenschutzbeauftragten hin? – Tätigkeitsbericht 2019 DDSB Südwest
- Rekordgeldbuße im Südwesten – Tätigkeitsbericht 2020 des KDSZ Frankfurt
- Flutdatenschaden – Tätigkeitsbericht 2021 des KDSZ Frankfurt
- Empfindliche Buße – Tätigkeitsbericht 2022 des KDSZ Frankfurt
- Aufsichtserschütterndes Urteil dräut – Tätigkeitsbericht 2023 des KDSZ Frankfurt