Der erste Tätigkeitsbericht des Jahres kommt wieder von den Ordensdatenschutzbeauftragten. Der Bericht für den Zeitraum 1. Februar 2024 bis 31. Januar 2025 bleibt mit sieben Seiten knapp und kommt ohne detaillierte Fallbeschreibungen aus. Für die Praxis lässt sich dennoch wieder das eine oder andere ableiten.

2024 kam ins Umfeld der Ordensdatenschutzaufsicht eine neue Aufgabe dazu: Ein zentrales Meldeportal sammelt die verschiedenen gesetzlich festgelegten Beschwerde- und Meldemöglichkeiten an einer Stelle: Selten ist Compliance in der Kirche so benutzerfreundlich angelegt.

Kirchliche Gesetzgebung

Knapp geht es um die Evaluierung des KDG. Die Ordensaufsicht rechnet damit, dass der Prozess 2025 abgeschlossen ist – das ist mittlerweile auch der offizielle Zeitplan. Auf den Anhörungsentwurf des KDG geht der Bericht nicht ein.

Dafür geht es um die Frage, ob die KDR-OG ins KDG eingegliedert wird; das sei »durchaus wünschenswert«, bisher aber nicht passiert – die Eingliedung wäre an sich ganz einfach und würde keinerlei Anpassungen erfordern: Das KDG könnte einfach (so wie es bei der Grundordnung des kirchlichen Dienstes jetzt schon gemacht wird) von Orden päpstlichen Rechts in ihren Statuten als anwendbar erklärt werden. Ordensspezifische Regelungen gibt es mit Ausnahme der Terminologie in der KDR-OG nicht. Eine Ankündigung gibt es: »Soweit Änderungen des KDG als Ergebnis der Evaluierung erfolgen sollten, werden sie in den KDR-OG-Entwurf übernommen, soweit sie nicht speziell für die verfasste Kirche gelten sollen.«

Tätigkeit der Aufsicht

Erfreulich ist, dass die Ordensaufsicht deutlich mehr Zahlen nennt als die anderen katholischen Aufsichten.

• Beschwerden haben im Berichtszeitraum leicht abgenommen auf 33 Fälle (Vorjahr 27) – vor allem Klassiker wie Auskunftsersuchen und im Kontext von Spenden zogen sie nach sich.
• Die Zahl der Datenpannen ist auf 63 gesunken (von 73; im Bericht aber als »gestiegen« angegeben), vor allem aufgrund von Malware, aber auch aufgrund von fehlgeleiteten Briefen.
• Bußgelder wurden wie im Vorjahr keine verhängt.
• Die Zahl der Beratungsanfragen – 107 schriftlich und ca. 190 telefonisch (Vorjahr 128 und 185) – ist in etwa konstant geblieben. Neu in der Liste der Beispiele ist die an erster Stelle aufgeführte »Aufarbeitung von Unrecht«.
• Erstmals nach Corona gab es wieder Vor-Ort-Prüfungen: 2024 wurden zwei Ordenskrankenhäuser geprüft, noch im Januar 2025 zwei Ordensverwaltungen. Leider gibt es bis auf ein Lob keine Details zu den Prüfungsergebnissen – angesichts der Vielzahl entsprechender Einrichtungen hätte man hier gut anonymisiert darstellen können, was erwartet wird und wie man typischen Fehlern begegnet.

One stop shop für Meldungen

2024 ging ein zentrales Meldungsportal der Deutschen Ordensobernkonferenz online: An zentraler Stelle sind Meldungen gemäß Hinweisgeberschutzgesetz, von Datenschutzverstößen und zu sexualisierter Gewalt möglich. Für Ordensgemeinschaften mit unter 250 Beschäftigten ist die Gemeinsame Meldestelle der Ordensgemeinschaften in Deutschland (GMdO) zuständig, größere Gemeinschaften können sich der Infrastruktur der Ordensobernkonferenz bedienen und sie mit der Abwicklung ihrer internen Meldestelle betrauen – davon Gebrauch gemacht haben die Jesuiten, die Missionsschwestern von Hiltrup, die Vinzentinerinnen und die Schulstiftung Seligenthal.

Zuständig für die Meldungen ist der Ordensdatenschutzbeauftragte Jupp Joachimski.

Weitere Hinweise

• Einen Hinweis geben die Ordensdatenschutzbeauftragten immer wieder: Die Mahnung, völlig auf personalisierte E-Mail-Adressen zu verzichten zugunsten von Funktions-E-Mail-Adressen. Das ist teilweise tatsächlich sinnvoll und machbar (das angegebene Beispiel oekonom@beispielorden.de), dass aber in der Regel alle Mitglieder und Mitarbeitende eines Ordens persönliche Adressen brauchen, lässt sich damit kaum abbilden. (Die drei Ordensdatenschutzbeauftragten erreicht man jedenfalls per E-Mail unter $nachname@orden.de – dem Beispiel der Aufsicht sollte man lieber folgen als dem allgemeinen Rat der Aufsicht, damit nicht sr.maria.32131@beispielorden.de mit sr.maria.98773@beispielorden.de kommunizieren muss – wenn man die Vorgaben den überhaupt durch solche Pseudonymisierung als erfüllt ansieht.)
• Unter den angeführten Gerichtsentscheidungen ist wie im Vorjahr die Entscheidung »Deutsche Wohnen« des EuGH (Urteil vom 5. Dezember 2023 – C807/21 [im Bericht als C80/21 angeführt]): Geldbußen setzen zwar schuldhafte Verstöße vor, es ist aber nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder es Kenntnis davon hatte. Bisher hatte insbesondere der Ordensdatenschutzbeauftragte Jupp Joachimski sich gegen das Funktionsträgerprinzip im kirchlichen Datenschutz ausgesprochen, auch nach diesem Urteil. Leider steht die Entscheidung im Tätigkeitsbericht ohne weitere Anmerkung, ob die Aufsicht mittlerweile ihre Ansicht geändert hat.
• Sehr serviceorientiert ist, dass bei den Gerichtsentscheidungen zur DSGVO die parallelen Normen in der KDR-OG angegeben werden – darüber hinaus wären ein, zwei Sätze zur Einordnung der Auswahl der angeführten Entscheidungen hilfreich.

Fazit

Der Bericht ist kompakt und auf den Punkt. Positiv stechen die absoluten Zahlen zur Aufsichtstätigkeit hervor – was leider wieder fehlt, nachdem es zwischenzeitlich immerhin auf der Webseite der Aufsicht aufgeführt wurde, ist die Angabe zu den Ressourcen der Aufsicht.

Bei den Orden ist das nämlich einigermaßen prekär: Klinikkonzernen mit Milliardenumsatz stehen zwei Außendienstmitarbeiter und drei Ordensdatenschutzbeauftragte gegenüber. Immerhin kam es jetzt zu gleich zwei Prüfungen von Krankenhäusern. Hier hätte man gern etwas mehr erfahren.

Vorbildlich ist das neue Meldeportal der Orden – an einer Stelle Beschwerdemöglichkeiten zu sammeln erleichtert es ungemein, sich Recht zu verschaffen und erzeugt einen Eindruck von Transparenz. Getrübt wird das allerdings dadurch, dass nur die Datenschutzaufsicht zur Rechenschaft verpflichtet ist – aber vielleicht sorgt die Personalunion ja dafür, dass künftig auch die eine oder andere Tendenz aus den anderen Gebieten beim Datenschutz-Bericht durchscheint.