Gerade noch so vor Weihnachten gibt es den Tätigkeitsbericht 2023 des Katholischen Datenschutzzentrums Dortmund. Anders als im vergangenen Jahr, wo es einige Aussagen zur Anwendung verschiedener Rechtsgrundlagen gab, ist dieses Jahr kein so allgemeiner Schwerpunkt festzustellen.
Dennoch gibt es wieder vieles, das für die Praxis relevant ist: Einschätzungen zu Facebook-Fanpages und der neuen Outlook-App, Einschätzungen zu kirchlicher Gesetzgebung und die Ergebnisse der großen Prüfungen.
Gesetzgebung
Grundordnung des kirchlichen Dienstes
2023 gab es einige relevante kirchliche Gesetzgebung – vor allem die Novelle der Grundordnung des kirchlichen Dienstes hat einige Änderungen mit sich gebracht, die auf den Datenschutz durchschlagen.
Vor allem, dass Sachverhalte aus dem Kernbereich persönlicher Lebensgestaltung keine arbeitsrechtlichen Konsequenzen mehr nach sich ziehen dürfen, verändert die Frage nach Erforderlichkeiten: »Soweit der Kernbereich privater Lebensgestaltung nach der Neufas- sung der Grundordnung keiner Bewertung mehr unterliegen darf und dem Zugriff des Dienstgebers entzogen ist, besteht damit datenschutzrechtlich auch keine Rechtsgrundlage für eine (weitere) Verarbeitung davon betroffener personenbezogener Daten, soweit die Verarbeitung dieser Daten nicht nach anderen (z. B. steuerlichen) Vorschriften für den Dienstgeber noch notwendig ist«, heißt es im Bericht.
Aufarbeitungsnormen
Außerdem befasst sich der Bericht mit Einsichtsnormen zur Missbrauchsaufarbeitung, insbesondere mit der Musterordnung zur Verwendung von Sachaktenbeständen. Hier weist die Aufsicht darauf hin, dass es aus Betroffenenkreisen die Forderung gibt, Akten nur nach Einwilligung zu verwenden. Die – grundsätzlich positiv bewertete – Musterordnung setzt aber gerade darauf, eine Rechtsgrundlage anstelle einer Einwilligung zu schaffen, was im Bericht kritisch gesehen wird: »Bei den Regelungen wird jedoch davon ausgegangen, dass jeder vom sexuellen Missbrauch Betroffene zur Förderung der Aufklärung bereit ist, seine persönliche Geschichte durch Weitergabe der entsprechenden Akten (z. B. Interventionsakte oder Akte wegen eines Antrags auf Anerkennung des Leids) an die Kommissionen, Rechtsanwälte oder Wissenschaftler ohne seine vorherige Einwilligung zu offenbaren.«
Vor dem Hintergrund der zu beachtenden Vorgaben des KDG sei die Ordnung nicht unproblematisch, soweit sie »eine Offenlegung der Daten der Betroffenen des Missbrauchs ohne deren Einwilligung und ohne eine Anonymisierung dieser Daten ermöglicht«. (Die Aufsicht geht davon aus, dass zu einer Anonymisierung auch eine Anonymisierung des Tathergangs gehört; einer entsprechenden Beschwerde im Kontext der Münsteraner Missbrauchsstudie hat sie Recht gegeben. Dieser Fall wird später auch noch einmal eigens aufgegriffen. Über den Stand des dazu anhängigem Verfahrens vor dem IDSG erfährt man dabei nichts.)
Aufsichtstätigkeit
Statistik
Wieder gibt es keine absoluten Zahlen zur Aufsichtstätigkeit, aber immerhin Kuchendiagramme, die das prozentuale Verhältnis der unterschiedlichen Vorgänge deutlich machen. Mehr als drei Viertel der Vorgänge sind Meldungen von Datenpannen, gefolgt von Anfragen (etwa doppelt so viele wie Beschwerden), Beschwerden und Hinweisen.
Im Vergleich zum Vorjahr seien die Meldungen um 17 Prozent gestiegen. Die meisten davon betreffen Offenlegungen etwa durch Fehlversand, gefolgt von Schadsoftware und Angriffen sowie Verlust etwa durch Diebstahl. Einige Fallbeispiele zeigen, was alles schiefgehen kann – etwa wenn ein Kita-Kind Unterlagen für Malpapier hält und das Gemalte mit nach Hause nimmt.
Bei den Beschwerden bezog sich die größte Gruppe auf Auskunftsersuchen, gefolgt von »Sonstiges«, Weitergabe, Offenlegung und Videoüberwachung.
Gar keine Informationen gibt es zu Bußgeldern – bei einer Querschnittsprüfung wird erwähnt, dass keine verhängt werden mussten, ob es überhaupt welche gab, bleibt im Dunkeln.
Laut dem Bericht waren 2023 neun Verfahren vor dem IDSG und ein Verfahren vor dem DSG-DBK anhängig. Abgeschlossen wurde ein Verfahren in der ersten Instanz.
Prüfungen und Beratungen
- Die Prüfung der Firm-App des Bonifatiuswerks bekommt einen eigenen Abschnitt. Im Rahmen der Prüfung hat das Bonifatiuswerk festgestellt, dass tatsächlich eine gemeinsame Verantwortlichkeit vorliegt, und seine Datenschutzinformationen entsprechend angepasst. Damit seien Bedenken der Aufsicht ausgeräumt worden.
- Anlasslos wurde eine Kirchengemeinde geprüft mit dem Schwerpunkt Jugendarbeit über den ganzen Verarbeitungszyklus von Daten von Minderjährigen: »von deren Eintritt in die Kirchengemeinde über ihre Beteiligung am Leben in der Kirchengemeinde bis hin zum Ausscheiden aus der Kirchengemeinde«. Dabei wurden keine größeren Feststellungen zu Verstößen gemacht. Leider geht der Bericht nicht näher darauf ein, wie Gemeinden hier gut vorgehen können. (Insbesondere das Zusammenspiel von gemeindlicher und verbandlicher Jugendarbeit wäre spannend.)
- Zufällig ausgewählte Webseiten kirchlicher Stellen wurden auf ihre Transportverschlüsselung hin überprüft; 80 Prozent hatten ein angemessenes Schutzniveau.
- Mit einem Online-Fragebogen wurde eine Querschnittsprüfung zur E-Mail-Sicherheit durchgeführt (über die hier bereits berichtet wurde), deren Ergebnisse detailliert vorgestellt werden.
- Die zweite Fragebogen-Prüfung bezog sich auf betriebliche Datenschutzbeauftragte. In zwei Dritteln der geprüften Einrichtung wurde seit Inkrafttreten des KDG ein Datenschutzaudit durch bDSB durchgeführt. Interessant ist, dass vor allem externe bDSB bestellt sind – und nur in 39 Prozent der Einrichtungen waren die bestellten bDSB schon einmal in der Einrichtung.
- Geprüft wurden außerdem Datenschutzerklärungen unter anderem der Webseiten der Bistümer und Diözesancaritasverbände in NRW sowie des Verbands der Diözesen Deutschlands. Bei allen kontaktierten Einrichtungen wurden die Informationen überarbeitet; typische Fehler und Hinweise, wie es besonders gut geht, stehen leider nicht im Bericht, aber da nun teilweise bekannt ist, welche Seiten geprüft wurden, kann man immerhin die aktuellen Fassungen auf den jeweiligen Webseiten anschauen und gegebenenfalls adaptieren.
Ressourcen
Sehr erfreulich ist, dass Dortmund wie keine andere katholische Aufsicht transparent über die zur Verfügung stehenden Mittel Auskunft gibt: Für das Kalenderjahr 2023 werden Mittel in Höhe von 1.364.000 Euro genannt, für 2024 1.264.000 Euro – Gründe für den Rückgang der Mittel werden nicht genannt. Weiterhin gibt es elf Planstellen.
Themen
Evaluation des KDG
Im Vorwort geht der Diözesandatenschutzbeauftragte kurz auf die Evaluation des KDG ein. Sein Haus habe sich dabei auf die Regelungen zur Aufsicht konzentriert: »Unsere Anregungen zielten hierbei beispielsweise auf eine klarere Formulierung der Aufgaben und Befugnisse der kirchlichen Datenschutzaufsichten. Damit sollten zukünftig Fragen und Missver- ständnisse zu den Aufgaben und Befugnissen der kirchlichen Aufsich- ten vermieden werden, die derzeit beim Vergleich der aktuellen Textfas- sungen von DSGVO und KDG zu diesen Punkten aufkommen könnten.«
Ein Blick in den Anhörungsentwurf der KDG-Novelle zeigt, dass zur Aufsicht tatsächlich einiges angegangen werden soll.
Facebook-Fanpages
Die Haltung der Aufsicht bleibt unverändert: Verantwortlichen wird empfohlen, auf Facebook-Seiten zu verzichten und dahingehend auch einige kirchliche Einrichtungen beraten. »Dies hat in den meisten Fällen aber nicht dazu geführt, dass die kirchlichen Stellen einen aus Sicht der Datenschutzaufsichten datenschutzkonformen Betrieb der Facebook-Fanpages erreicht beziehungsweise die Fanpages deswegen nicht (mehr) unterhalten haben.« Auffällig ist, dass von Konsequenzen angesichts in den Augen der Aufsicht rechtswidrigen Verhaltens keine Rede ist.
Das bayerische Facebook-Verbot wird zwar erwähnt, aber nicht problematisiert, dass das KDG Aufsichten gar nicht dazu ermächtigt, derartige Allgemeinverfügungen zu erlassen. Für die Zukunft warnt die Aufsicht: »Zwar hat sich das Katholische Datenschutzzentrum einer solchen Allgemeinverfügung nicht angeschlossen, es wird in Zukunft aber bei Prüfungen und Beschwerden verstärkt auf dieses Thema achten und gegebenenfalls handeln.«
Auskunftsrecht
In diesem Jahr ist ein Schwerpunkt des Berichts das Auskunftsrecht nach § 17 KDG. Weitgehend orientiert sich die Aufsicht dabei an Rechtsprechung und Rechtsauffassungen zur DSGVO:
- Mit dem EuGH verlangt das KDSZ Dortmund auch im kirchlichen Datenschutz, grundsätzlich Empfänger von Daten konkret und nicht nur Empfängerkategorien zu benennen. Sollen ausnahmsweise nur Kategorien benannt werden, sind die Gründe dafür klar darzulegen und zu dokumentieren.
- Die EDSA-Leitlinien zum Auskunftsrecht können nach Ansicht der Aufsicht aufgrund der parallelen Formulierung im KDG auch im kirchlichen Datenschutzrecht angewandt werden.
Einzelne Themen
- Das KDSZ Dortmund schließt sich der Cookie-Banner-Taskforce des EDSA an und wird die Ergebnisse in eigene Prüfungen einfließen lassen.
- Die Outlook-App in Windows 11, die das neue Standard-Kalender- und E-Mail-Programm werden soll, wird aufgrund der Übertragung von Zugangsdaten an Microsoft als problematisch eingestuft.
- Ein Dauerbrenner-Thema sind Namensschilder von Beschäftigten: Hier bleibt Dortmund auf Linie der auch von anderen Aufsichten vertretenen Position, dass entweder Vor- oder Nachname zulässig ist, allenfalls mit Abkürzung eines Namensteils bei großen Einrichtungen, für eine Nennung des vollen Namens aber überwiegende Gründe angeführt werden müssen.
Fazit
Es scheint alles recht unspektakulär zu sein in NRW: Datenpannen im üblicher schwere, wenn auch steigendem Umfang. Einige Kuriositäten aus den Fallschilderungen lassen sich sicher gut in Datenschutzschulungen verwenden. Hilfreich sind auch die klare Ansagen hinsichtlich Auskunftsrecht und Cookie-Bannern; an anderer Stelle wären ähnlich konkrete Hinweise auch hilfreich gewesen, vor allem bei den Datenschutzerklärungen.
Bemerkenswert ist, welchen Überhang externe Datenschutzbeauftragte haben – die zudem in den meisten Fällen die Einrichtungen gar nicht durch Besuche kennen. Hier zeichnet sich ein Desiderat für empirische Datenschutzforschung ab: Welche Auswirkungen hat die Entscheidung für interne oder externe Datenschutzbeauftragte? Wie viel Kontakt braucht es, um nicht nur aus Compliance-Gründen bDSB bestellt zu haben?
Bisher besprochene Tätigkeitsberichte des KDSZ Dortmund
- Die Schonzeit ist vorbei: Der Tätigkeitsbericht des Datenschutzzentrums NRW 2019
- Betroffenenrechte mangelhaft – Tätigkeitsbericht 2020 des Katholischen Datenschutzzentrums NRW
- Flut, Kita und Videoüberwachung – Tätigkeitsbericht des KDSZ Dortmund 2021
- Rechtsgrundlagenarbeit – Tätigkeitsbericht des KDSZ Dortmund 2022
- Sehr externe Datenschutzbeauftragte – Tätigkeitsbericht des KDSZ Dortmund 2023