Für das KDSZ Frankfurt ist das vergangene Jahr »das Jahr, in dem ›KI‹ verstärkt Fahrt aufnahme«, heißt es im frisch erschienenen Tätigkeitsbericht 2023. Allzu viele Fälle mit KI-Bezug werden allerdings nicht beschrieben.

Viel interessanter ist ein Fall, bei dem die katholische Südwest-Aufsicht beteiligt ist und der in der zweiten Instanz vor dem Datenschutzgericht der DBK verhandelt wird: Hier sieht die Aufsicht je nach Ausgang große Konsequenzen für die katholischen Aufsichten insgesamt.

Recht und Gesetzgebung

Staatlicher Bereich

• Bei der Entwicklung im staatlichen Bereich werden das Hinweisgeberschutzgesetz und der Digital Services Act knapp vorgestellt.
• Beim Angemessenheitsbeschluss zum EU-US Data Privacy Framework merkt man Skepsis: Auf Linie anderer Aufsichten ist Frankfurt zurückhaltend und rechnet mit Klagen. Außerdem weist die Aufsicht darauf hin, dass das DPF wirklich nur den Datentransfer regelt und kein Freibrief ist, damit auch Datenschutzgrundsätze und ToMs als erledigt anzusehen.

Kirchliche Gesetzgebung

Eine Stärke des Frankfurter Berichts ist dieses Jahr wieder der Blick auf die Gesetzgebung in den beaufsichtigten Diözesen. Erwähnt werden unter anderem die Einrichtung von internen Meldestellen gemäß Hinweisgeberschutzgesetz in Freiburg und Fulda, das neue Beschwerdemanagement in Limburg sowie Akteneinsichtsnormen zur Aufarbeitung in Fulda, Freiburg und Trier. Anscheinend geht die Aufsicht davon aus, dass diese Spezialgesetze das Datenschutzniveau des KDG wahren – jedenfalls wird nicht erwähnt, dass sie daran zweifeln würde.

Rechtsprechung

• Wieder werden einige Entscheidungen staatlicher und kirchlicher Gerichte referiert; Schwerpunkte liegen unter anderem auf Fragen des Auskunftsrechts. Hier deutet die Aufsicht auch eigene Positionen an. Einmal wird Verantwortlichen empfohlen, einen Prozess für die Erfüllung des Rechts auf Kopie zu implementieren, einmal geht es um den Unterschied zwischen Recht auf Kopie und zivilrechtlichem Auskunftsanspruch zu Patientenakten: »Ob dann allerdings der Verantwortliche wirklich die Kopie der kompletten Patientenakte unentgeltlich herausgeben muss oder im Rahmen des Auskunftsanspruchs nur Kopien der personenbezogenen Daten (aus der Patientenakte) wie es ausdrücklich im Gesetzestext von KDG und DSGVO heißt, werden wohl wieder die staatlichen oder kirchlichen Gerichte beantworten müssen.«
• Laut Bericht sind 2023 keine neuen Klagen gegen Bescheide der Aufsicht eingegangen, offen sind noch drei Verfahren beim IDSG. »In diesen geht es unter anderem um gesetzliche Grundlagen zu Löschfristen in kirchlichen Einrichtungen und nach wie vor um den Einsatz von Microsoft 365 an katholischen Schulen.«
• Spannend ist die zweite Instanz. Ein Verfahren zieht sich und scheint weniger spektakulär zu sein (um was genau es geht, erfährt man nicht). Das andere wird umso ominöser (und mit ebensowenig Details) angetextet: »Im zweiten Verfahren vor dem DSG-DBK lässt das Kath. Datenschutzzentrum Frankfurt/M. eine Entscheidung des IDSG überprüfen, die – so sie wider Erwarten Rechtskraft erlangen sollte – weitreichende Konsequenzen für kirchliche Datenschutzaufsichten mit sich brächte.« Von den bereits veröffentlichten Entscheidungen des IDSG scheint keine derartige Sprengkraft zu haben.

Aufsichtstätigkeit

Leider gibt es wieder keine absoluten Zahlen; die Aufsichten bleiben ihrer Linie treu.

Statistik

• Die Zahl der Datenschutzverletzungen ist »nahezu gleich« geblieben, Meldungen aus Gesundheitswesen sind um 30 Prozent gestiegen, Meldungen aus dem schulischen Umfeld haben sich sogar verdreifacht. Die Probleme sind die altbekannten: Offene E-Mail-Verteiler und Offenlegung durch Verluste. Zwei kuriose Fälle seien herausgegriffen. In einem wurde ein Diensthandy in der Straßenbahn gestohlen, während der Besitzer Erste Hilfe leistete, in einem anderer hat ein Lehrer Abiturprüfungslisten auf dem Weg zum Bäcker verloren: »Hier stellte sich allerdings die Frage, ob das Mitführen der Listen in der Hosentasche eine geeignete technische Maßnahme zum Schutz der personenbezogenen Daten darstellt, was von der Aufsichtsbehörde mit einem klaren „Nein“ beantwortet wurde.«
• Die Beschwerden waren leicht rückläufig, 30 Prozent kamen aus dem Krankenhausumfeld, viele Beschwerden erfolgten wegen unzureichender Auskunft.
• Die Anfragen gingen um 25 Prozent zurück.
• Nach den Rekordbußgeldern im vergangenen Jahr wurde dieses Mal gar kein Bußgeld erwähnt.

Prüfungen

Die Tiefenprüfungen bei Kitas liefen weiter, jetzt auch mit Vor-Ort-Prüfungen, die Aufsicht zeigt sich weitgehend zufrieden. Außerdem gab es anlassbezogene Prüfungen von Webseiten und eine angekündigte Prüfung eines kompletten Caritasverbands. Insgesamt scheinen die Prüfungen keine größeren Probleme zu Tage gefördert haben. Leider wird – anders als bei anderen Tätigkeitsberichten – auf eine ausführliche Darstellung der Prüfungen verzichtet. Das ist immer eine gute Hilfe, um sich selbst zu überprüfen.

Fälle

In den vergangenen Jahren zeichnete sich der Frankfurter Tätigkeitsbericht durch lebendige und kurzweilige Schilderungen von Fällen aus, die sich sehr gut für Datenschutzschulungen eignen. Dieses Mal ist der Bericht etwas nüchterner formuliert.

• Leider scheint zu den immer wieder vorkommenden Fällen auch die Veröffentlichung von Bildern und Videos von Kindern und hilfsbedürftigen Personen in Messengern und Social Media zu gehören. In der Regel scheint es sich um Fälle zu handeln, die nicht der verantwortlichen Stelle, sondern den einzelnen Beschäftigten zuzuordnen sind. Die Aufsicht weist deutlich darauf hin, dass in solchen Fällen arbeitsrechtliche Konsequenzen drohen.
• Ein schönes Beispiel für eine einfache technisch-organisatorische Maßnahme ist die Anmeldung an einer Notfallambulanz. Eine im Zuge des Infektionsschutzes dort angebrachte Scheibe sorgte dafür, dass man am Empfang lauter sprechen musste, um verstanden zu werden. Das führte zu einer Beschwerde. Die Abhilfe: Eine Trennung von administrativer und inhaltlicher Aufnahme, die sensiblen Daten werden später in einem abgetrennten Bereich erhoben.
• Eine Kita informierte alle Eltern über einen Ausfall einer Erzieherin aufgrund einer langfristigen Erkrankung. In der Information sah die Aufsicht eine meldepflichtige Datenschutzverletzung.

Entwicklung der Aufsicht

• Zum 1. Januar 2023 hat die zweite fünfjährige Amtszeit von DDSB Ursula Becker-Rathmair begonnen – Kontinuität in der Aufsicht.
• Der schon im vergangenen Jahr angekündigte Umzug vom Haus am Dom in ein Gebäude am Frankfurter Roßmarkt ist abgeschlossen. Von der Einweihung der neuen Geschäftsstelle gibt es Bilder. Zitiert wird der Segensspruch von der Feier: »Freiheit ohne Grenzen, Frieden ohne Bedingungen, Achtsamkeit ohne Kompromisse, Leben ohne Gewalt. Das wünschen wir uns, lieber Gott.« (Ich habe Anfragen an den Freiheitsbegriff.)

Fazit

Der Südwest-Bericht ist in diesem Jahr reichlich unspektakulär. Nach den teils dramatischen Berichten der vergangenen Jahre mit Corona und Flut kann man das der Aufsicht auch wünschen. Zur Auslastung und zu den Ressourcen der Aufsicht erfährt man relativ wenig; weder wird – wie vom Gesetz vorgesehen – der Haushalt transparent gemacht, noch gibt es Informationen zum Personal und (was für Betroffene sehr interessant wäre) zur Verfahrensdauer – hier erfährt man auf anderen Wegen von Betroffenen oft Unzufriedenheit, ohne dass man an den Berichten ablesen könnte, ob das einzelne Fälle sind oder die Aufsicht am Limit ist.

Dieses Mal ist vor allem die Perspektive spannend: Es ist zu hoffen, dass im kommenden Jahr auch etwas Konkretes zu KI-Anwendungen in der Kirche zu finden ist. Themen gibt es genug – von Übersetzungssoftware im caritativen Bereich über medizinische Diagnostik bis zu Formulierungshilfen von Briefen und Berichten. Schließlich schaut man auch gespannt auf das DSG-DBK – und ob durch die anstehende Entscheidung wirklich die Aufsichtslandschaft umgepflügt wird.