Letztes Jahr hatte der Norden die Nase vorn, in diesem Jahr beginnt wieder die Ordensdatenschutzaufsicht den Reigen der Tätigkeitsberichte mit dem Rückblick auf Februar 2023 bis Januar 2024. Geprägt ist er von viel Lob: In den Orden päpstlichen Rechts scheint es sehr gut zu laufen – davon zeugen auch die Zahlen, die veröffentlicht wurden.

Die Zahl der beaufsichtigten Ordensgemeinschaften ist mit 238 konstant. Der fromme Wunsch des vergangenen Jahres, dass Corona Vergangenheit sein möge, konnte erst in der zweiten Hälfte des Berichtszeitraums erfüllt werden – erstmals waren wieder Vor-Ort-Prüfungen möglich.

Kirchliche Gesetzgebung

Um die KDG-Evaluierung ist es still geworden. Würden die Ordensdatenschutzbeauftragten nicht jedes Jahr einen aktuellen Stand geben, wüsste man gar nichts. Leider ist der Stand jedes Jahr der gleiche: Evaluierung läuft, nichts Näheres bekannt. Die verlängerte Evaluierungsfrist bis Mai 2023 wurde wieder einmal gerissen.

Dieses Mal steht wieder fast wortgleich der Hinweis im Bericht, dass eine Eingliederung der KDR-OG ins KDG gewünscht wird – auch da scheint es keine Fortschritte zu geben. Auf eine eigenständige Reform der KDR-OG darf man wohl nicht hoffen: »Soweit Änderungen des KDG als Ergebnis der Evaluierung erfolgen sollten, werden sie in den KDR-OG-Entwurf übernommen, soweit sie nicht speziell für die verfasste Kirche gelten sollen.«

Tätigkeit der Aufsicht

Erfreulich ist, dass die Ordensdatenschutzaufsicht mehr Zahlen nennt als die Kolleg*innen in den Diözesen:

• die Beschwerden gingen auf 27 zurück. Genannt werden unbefugte Datenweitergabe in Krankenhäusern bzw. Altenheimen, Zusendung von Bitten um Spenden trotz einer vorhandenen Abmeldung des Empfängers sowie Datenweitergabe bei Vorbereitung von Entschädigungszahlungen.
• die Zahl der Datenpannen blieb mit 73 etwa gleich, vor allem Hacking und Phishing kam vor. Sie betrafen meistens fehlgeleitete Briefe oder E-Mails, verlorene Speichermedien oder entwendete Datenträger, vereinzelt Datenverluste durch Hackerangriffe.
• Aus den Pannen erwuchs kein einziges Bußgeldverfahren.
• 128 schriftliche und etwa 185 telefonische Auskünfte wurden bei der Aufsicht eingeholt. Themen waren unter anderem Fragen zur Datenschutzerklärungen, Auslandskontakten, Pflegedokumentation und Auskunft, Spendenaufrufen, Verwendung von Microsoft Office 365, Löschung von Daten, Veröffentlichungen und Pressestelle, Veröffentlichung von Fotos, Herausgabe von Urkunden, Videokonferenztools.
• Zwei Vor-Ort-Schwerpunktprüfungen fanden in Ordenskliniken statt, bei denen der Weg von Patientendaten von der Aufnahme bis ins Archiv geprüft wurde.

Weitere Hinweise

• Hilfreich ist ein kompaktes Prüfschema zum Drittstaatentransfer in Anlehnung an die Arbeitshilfe der Datenschutzkonferenz. Das Schema enthält zwar keine Überraschungen, aber es schadet sicher nicht, als Ordensgemeinschaft auch von der eigenen Aufsicht bestätigt zu bekommen, dass man mit den Standard-Methoden vorankommt, und dass man bei der Prüfung ein Vorgehen nach Aufsichtsart vorweisen kann.
• Auch wenn der Ordensdatenschutzbeauftragte Jupp Joachimski bekannt für seine Zweifel am Funktionsträgerprinzip bei Geldbußen ist, sind Bußgelder auch mit dieser Ansicht denkbar. Kommt es zum Bußgeld, stellt die Aufsicht fest, dass gerichtliche Entscheidungen nach der DSGVO als Anhaltspunkte für Schadensersatzansprüche nach der KDR-OG herangezogen werden können.

Fazit

Die Ordensdatenschutzbeauftragten ziehen selbst ein ausgesprochen positives Fazit: Schon immer wurde hier viel gelobt, jetzt sei die Situation noch besser geworden: »Es sind fast durchwegs gute Datenschutzkenntnisse vorhanden, was sich auch an Art und Inhalt der Anfragen durch die Gemeinschaften erkennen lässt. Die Datenschutzmotivation lässt kaum Wünsche übrig. So wird der Datenschutz nicht als lästige Pflicht angesehen und es wird erkannt, dass nicht die Datengesamtheit als solche, sondern die Persönlichkeit der Betroffenen das zu schützendes Objekt ist.«

Sehr erfreulich ist, dass es Zahlen zu den einzelnen Aufsichtstätigkeiten gibt. Mangels Vergleichbarkeit im kirchlichen Bereich kann man nur anhand der Größenordnung von 238 beaufsichtigten Orden einschätzen, ob das viel oder wenig ist – die Orden sind aber ausgesprochen heterogen: von der kleinen Gemeinschaft bis zum Pflegeorden mit angegliedertem Milliarden-Krankenhaus-Konzern ist alles dabei. Die geringe Anzahl der Beschwerden – also das, was Verantwortliche nur über Wohlverhalten steuern können – scheint aber das Fazit der Aufsicht selbst zu bestätigen.

Sehr gefreut hat mich, dass am Ende empfohlen wird, zwei Newsletter zu abonnieren: »Die regelmäßige Lektüre der Newsletter stärkt deutlich das Verständnis für Zusammenhänge im Datenschutz.« Von dem einen kann ich sagen, dass er sehr empfehlenswert ist (der Newsletter der Datenschutz-Notizen), beim anderen schweige ich höflich. Es ist nämlich meiner.