Harmonisiertes Bußkonzept – Tätigkeitsbericht der KDSA Nord 2023

Schreiben Sie eine Antwort

Der erste Neue hat seinen ersten Bericht vorgelegt: der seit 1. Januar 2023 amtierende Diözesandatenschutzbeauftragte der Nordbistümer Andreas Bloms hat den Tätigkeitsbericht 2023 der KDSA Nord veröffentlicht. (Der zweite Neue in Bayern steht noch aus.)

Titelseite des 10. Tätigkeitsbericht der KDSA Nord

Das Layout bleibt nordisch nüchtern und blau, das Format wurde etwas verändert. Neu sind graue Kästen mit Hinweisen dazu, was zu den referierten Themen zu beachten ist – kompakt und praxisnah.

Inhalte Verbergen
1 Zahlen zur Aufsichtstätigkeit
2 Ausstattung der Behörde
3 Entwicklungen im Datenschutz
3.1 Bußgeld-Leitlinien des EDSA
3.2 Kirchliche Normen
4 Konkrete Fälle und Problemstellungen
4.1 Weitergabe von Meldedaten und kirchliches Interesse
4.2 Wildtierkamera in der Kirche
4.3 Schwerpunkt Krankenhaus
4.4 Prüfungen
5 KI und Datenschutz
6 Sonstiges
7 Fazit
8 Bisher besprochene Tätigkeitsberichte der KDSA Nord

Zahlen zur Aufsichtstätigkeit

Auch Bloms schert nicht aus der Absprache der katholischen Aufsichten aus: Absolute Zahlen gibt es nicht. Wie bei anderen Aufsichten scheint sich das Volumen eingependelt zu haben. Beschwerden und Pannenmeldungen haben sich nicht wesentlich verändert, lediglich ein leichter Anstieg bei Beratungsanfragen wird angeführt.

Ob und welche Bußgelder verhängt wurden, bleibt im Dunkeln.

Ausstattung der Behörde

Es ist langsam ein Running gag: Immer noch ist die KDSA Nord keine Körperschaft des öffentlichen Rechts. Die Verzögerung wurde einst mit Corona begründet, jetzt gibt’s gar keine Erklärung mehr, warum die Errichtung stockt. »Wir schauen jedoch weiterhin optimistisch ins folgende Jahr«, heißt es. Na dann. (Anderswo scheint die Errichtung von Körperschaften Formsache zu sein. Liegt’s am säkularen Bremen, dem Sitz der Aufsicht?)

Mittlerweile sind alle vier Stellen (der Stellenumfang blieb unverändert) besetzt. Ausgesprochen erfreulich ist, dass die KDSA Nord ihre Haushaltsmittel im Tätigkeitsbericht beziffert – das ist leider nicht selbstverständlich trotz gesetzlicher Verpflichtung, den Haushalt zu veröffentlichen (§ 43 Abs. 4 KDG). In 2023 wurden Haushaltsmittel in Höhe von 298.920 EUR aufgewendet, für 2022 betrugen die Haushaltsmittel 418.322 EUR. Warum 2023 die Summe um über 100.000 Euro gesunken ist, wird nicht erläutert. Durch die zeitweise Vakanz einer Stelle und den Wechsel zum neuen Diözesandatenschutzbeauftragten, der deutlich weniger Berufsjahre vorweisen kann als sein verrenteter Vorgänger, war aber mit einer Einsparung zu rechnen.

Entwicklungen im Datenschutz

Bußgeld-Leitlinien des EDSA

Im Mai 2023 hat der EDSA Bußgeld-Leitlinien veröffentlicht. Die KDSA Nord vertritt hier die Ansicht, dass auch im kirchlichen Datenschutz die Bußgelder anhand dieser Leitlinien harmonisiert werden sollen – was nicht ganz einfach ist angesichts der Höchstgrenze von 500.000 Euro.

Die KDSA will das damit lösen, dass sie die halbe Million als Kappungsgrenze versteht: »für identische Datenschutzverstöße im Geltungsbereich der DSGVO wie auch im Geltungs- bereich des KDG gelten – bis zur genannten Höchstsumme – vergleichbare Maßstäbe.« Nur so lasse sich eine »vergleichbar wirksame, verhältnismäßige und abschreckende Wirkung bei der Verhängung einer Geldbuße erzielen«. Daher will die Aufsicht ab 2024 auch das eigene (bisher nicht veröffentlichte) Bußgeldberechnungsverfahren an die EDSA-Leitlinien anpassen und 2024 anwenden. (Der BfD EKD hat in diesem Jahr sein Bußgeldkonzept veröffentlicht.)

Kirchliche Normen

Hilfreich ist, dass die KDSA Nord neben einem Überblick über die relevante staatliche und europäische Gesetzgebung hinaus sich auch die Mühe macht, das einschlägige Diözesanrecht aufzuführen. Im Berichtszeitraum kamen Ausführungsbestimmungen zum Hinweisgeberschutz in Hamburg und Osnabrück und Ausführungsbestimmungen zur Personalaktenführung dazu – Belegstellen werden jeweils angeführt. In Hildesheim ist die Fundraising-Ordnung außer Kraft getreten. Bewertet werden die kirchlichen Gesetze nicht.

Konkrete Fälle und Problemstellungen

Weitergabe von Meldedaten und kirchliches Interesse

Zu den Kuriositäten der Tätigkeitsberichte gehört, dass mit Abschluss des Berichtsjahres alles hinter einem Schleier der Unwissenheit verschwindet. So wird dieses Mal über den Streit um die Weitergabe von Meldedaten an eine bistumseigene Kirchenzeitung berichtet, dessen Ausgang vor Gericht noch offen sei. Tatsächlich hat das IDSG die Entscheidung dazu im Juni 2024 veröffentlicht und der Aufsicht nicht recht gegeben: Die Weitergabe sei in diesem Fall durch kirchliches Interesse gedeckt.

Die KDSA Nord nutzt ihren Bericht über diesen Vorgang, um sich zur Rechtsgrundlage des kirchlichen Interesses zu äußern. Sie wendet sich gegen eine zu extensive Auslegung und verlangt, objektive Kriterien heranzuziehen:

»Um den Anwendungsbereich sinnvoll einzugrenzen, kann zunächst die Einordnung der betreffenden Tätigkeiten in eine der folgenden Kategorien erfolgen:

  • Seelsorge und Verkündigung
  • Caritative Aktivitäten
  • Pflege und Förderung des Bekenntnisses

Im Weiteren sollte bedacht werden, dass diese Kategorien in ihrem Kern berührt sein müssen und nicht jede Motivation, die im entfernten Sinne (auch) einer der genannten Kategorien dienen (kann), dazu führt, dass das kirchliche Interesse als Rechtsgrundlage herangezogen werden kann.«

Ausdrücklich nicht verlangt wird, dass kirchliches Interesse an eine kirchenrechtliche Norm anknüpfen muss. (Denn die Rechtsgrundlage lautet vollständig »Aufgabenwahrnehmung im kirchlichen Interesse«, so dass sich die Frage stellt, ob Aufgaben ausdrücklich zugewiesen werden müssen.)

Wildtierkamera in der Kirche

Anhand einer Gemeinde, die Vandalismus mit einer im Supermarkt gekauften Wildtierkamera im Eingangsbereich eindämmen wollte, wird ausführlich geschildert, unter welchen Bedingungen Videoüberwachung zulässig ist. Hilfreich ist die Ausführung zu religiösen Besonderheiten: »Es ist zudem zu beachten, dass es Bereiche gibt, die grundsätzlich nicht überwacht werden dürfen, da der Eingriff in die Ausübung der Glaubensfreiheit nicht gerecht- fertigt werden kann. Hierzu zählen beispielsweise der Beichtstuhl oder Bereiche, die für das Gebet genutzt werden.«

Schwerpunkt Krankenhaus

Ausführlich geht es um besondere Situationen im Krankenhaus.

  • Eindringlich fordert die Aufsicht dazu auf, fehlgeleitete Arztbriefe immer als Datenpanne zu melden: »Eine Offenlegung dieser Daten an Unbefugte führt daher im Regelfall zu einer Gefahr für die Rechte und Freiheiten der betroffenen Patienten und damit zu einer Meldepflicht gemäß § 33 Abs. 1 KDG
  • Leider scheint es immer wieder vorzukommen, dass in wissenschaftlichn Veröffentlichungen bei klinischen Bildern personenbezogene Daten nicht entfernt werden. Wichtig: »Da ein Rückschluss auf einen konkreten Patienten auch ohne Angabe der Klardaten auf den Bildern möglich sein kann, sollten mögliche Veröffentlichungen auch im Rahmen des Einwilligungsmanagements berücksichtigt werden.«
  • Typische Mitarbeiterexzesse sind leider Beschäftigte mit Handy: »Vom Phänomen des Live-Streamings über Social-Media-Plattformen blieben auch kirchliche Gesundheitseinrichtungen im Berichtszeitraum nicht verschont.«
  • Interessant ist, was man als Laie über Klinik-Informations-Systeme erfährt: So gibt es die Möglichkeit, Patient*innen als VIP zu markieren und sie pseudonym zu behandeln. Das soll man nicht nur mit Promis tun, sondern auch mit Beschäftigten, die selbst in der Einrichtung behandelt werden.

Prüfungen

Dieses Mal hat die Aufsicht geprüft, ob die im Nachgang von Prüfungen getroffenen Anordnungen auch umgesetzt wurden. Das ist schon deshalb interessant, weil man eigentlich erwarten könnte, dass das ohnehin passiert – oder man wenigstens mit der Anordnung die Aufforderung verbindet, über die Umsetzung zu berichten.

Durch eine Datenpannenmeldung geriet eine Kita, die schon 2021 geprüft wurde, in den Fokus – und siehe da: Die Anordnung, Datenträger zu verschlüsseln, wurde nicht umgesetzt. Eine Prüfung von zwölf geprüften Kitas ergab, dass nur drei sofort die umfassende Umsetzung der Anordnung nachweisen konnten, bei sieben wurde zwar etwas getan, es waren aber noch Hinweise nötig. In zwei Kitas sah die Aufsicht einen Vor-Ort-Termin als notwendig an.

Für 2024 werden weitere Prüfungen angekündigt:

  • Ein Einzelverfahren in Beratungsstellen der Caritas auf Grundlage einer Dokumentenprüfung
  • Prüfung des Einsatzes von Videoüberwachungsanlagen in Bildungseinrichtungen: »Zur datenschutzrechtlichen Bewertung des konkreten Einsatzes von Videoüberwachungsanlagen sind neben der Sichtung von Konzepten, Lageplanskizzen und Screenshots ebenso Vor-Ort-Besichtigungen vorgesehen.«
  • Die Prüfung des Verfahrens zum Umgang mit Datenschutzverletzungen in vorwiegend kleineren Einrichtungen ist bereits bekannt

KI und Datenschutz

Der Bericht der KDSA Nord dürfte der erste einer kirchlichen Aufsicht sein, der sich ausführlicher dem Umgang mit künstlicher Intelligenz und insbesondere Large Language Models widmet. Grundsätzlich gibt sich die Aufsicht gelassen: »Hinsichtlich der Konformität bzgl. der Anforderungen aus dem KDG unterscheiden sich KI-Methoden nur unwesentlich von anderen Verfahren, mit denen personenbezogene Daten verarbeitet werden.« Es brauche eine Rechtsgrundlage, Zweckbindung, Datensparsamkeit und Transparenz müssten sichergestellt werden sowie Betroffenenrechte beachtet werden. Anscheinend geht die Aufsicht nicht davon aus, dass immer eine Datenschutzfolgenabschätzung beim Einsatz von KI-Tools vorgenommen werden muss – darauf deutet jedenfalls der Hinweis auf den Gesetzestext hin, dass dies dann erforderlich sei, sofern die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat.

Die große Gelassenheit überrascht etwas, sind doch immer noch viele Fragen ungeklärt. Tatsächlich relativ einfach dürfte es sein, zu entscheiden, ob man personenbezogene Daten von der KI verarbeiten lassen darf (grundsätzlich ja, wenn sie nicht zum Anlernen verwendet werden). Sehr schwierig ist aber die Frage, ob und welche Rechte daraus entstehen, dass personenbezogene Daten für das Training von Modellen verwendet werden.

Der sehr allgemeine Zugang dürfte auch damit zusammenhängen, dass KI in der Aufsichtstätigkeit noch keine direkte Rolle gespielt hat: »Das im Jahr 2023 großgeschriebene Thema der Künstlichen Intelligenz, die datenschutzrechtlichen Implikationen sowie mögliche Einsatzszenarien sind zumindest bisher noch nicht an uns herangetragen worden.« Die Aufsicht geht aber davon aus, dass das anders wird.

Sonstiges

  • Die KDSA Nord geht regelmäßig dann von einem Mitarbeiterexzess aus, wenn »bestehende technische und organisatorische Maßnahmen bewusst umgangen oder missachtet und […] die weitere Verwendung dieser Daten zu rein privaten Zwecken (z. B. Posting über private Social Media Accounts[) erfolgt]«. (Zuständig ist dann die jeweilige Landesdatenschutzaufsicht.)
  • Bei einer Fristverlängerung von Auskunftsersuchen muss der Grund, warum die verantwortliche Stelle die Verlängerung braucht, transparent nachvollziehbar gemacht werden: »Formelhafte Formulierungen genügen den Anforderungen nicht.«
  • In Kitas und Schulen sind Einbrüche und das Abhandenkommen von Datenträgern immer noch typische Anlässe für Datenpannen. Es gibt einige praxisnahe Tipps zum Umgang mit Datenträgern und Backups.
  • Für den Umgang mit Fotos in Kitas mahnt die Aufsicht ein für die Beschäftigten stets nachvollziehbares Einwilligungsmanagement an.
  • Kurz wird auf die Untersagung des Betriebs der Facebook-Seite der Bundesregierung durch den BfDI eingegangen. Zum Umgang der Aufsicht mit kirchlichen Facebook-Seiten heißt es nur sehr knapp: »Die Konferenz der Diözesandatenschutzbeauftragten hat bereits mehrfach die Empfehlung ausgesprochen, auf den Betrieb einer Facebook-Fanpage zu verzichten.«
  • Das EU-US Data Privacy Framework scheint teilweise als Freibrief verstanden zu werden, dass jetzt Datenverarbeitung in den USA völlig unproblematisch sei: »Leider wird bei aller Freude über diese aus Sicht der Einrichtungen positive Entwicklung nicht immer gesehen, dass es auch andere Faktoren bei der Übermittlung von personenbezogenen Daten in Drittstaaten gibt. So ist ebenso die nach wie vor bestehende Zugriffsmöglichkeit auf die dort gespeicherten personenbezogenen Daten zu berücksichtigen. Auch die Datenverarbeitung zu (nicht zulässigen) eigenen Zwecken durch den Auftragsverarbeiter ist derzeit noch ein ungelöstes Problem.«

Fazit

Die neu eingeführten Hinweis-Kästen sind eine sehr gute Ergänzung zum Bericht. Praxisnah wird so deutlich, was Verantwortliche aus dem Bericht konkret mitnehmen können. Das Jahr 2023 scheint relativ unspektakulär gewesen zu sein – nach den Corona-Jahren scheint nun wirklich dieses Thema zu den Akten gelegt worden zu sein.

Bemerkenswert ist die Erkenntnis, dass Anordnungen der Aufsicht anscheinend nicht nachverfolgt werden – bei allem Verständnis für die im Norden extrem knappe Ausstattung der Aufsicht wünscht man sich da doch wenigstens ein einfaches Wiedervorlageverfahren, um so etwas nicht nur durch Sonderprüfungen nachzuhalten. Bemerkenswert ist auch, dass recht forsch die Anwendung eines harmonisierten Bußgeldkonzeptes angekündigt wird – bisher schienen die kirchlichen Aufsichten nicht übermäßig bußgeneigt. (Wenn auch nicht immer aus eigener Zurückhaltung, sondern wegen der Privilegierung der verfassten Kirche, die Bußgelder gegen Körperschaften des öffentlichen Rechts ausschließt.)

Interessant dürfte es werden, wenn die ersten KI-Fälle in den Aufsichten aufschlagen – das müsste eigentlich eher schneller als längerfristig der Fall sein: Von systematisch eingeführten KI-Anwendungen im Personalauswahlbereich und bei der medizinischen Diagnostik bis zur Schatten-IT mit Übersetzungssoftware und ChatGPT zum Formulieren von E-Mails ist einiges dabei, was auch in der Kirche zu Konflikten führen kann.

Bisher besprochene Tätigkeitsberichte der KDSA Nord

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert