Der Bund Freikirchlicher Pfingstgemeinden sticht unter den vielen Freikirchen und Freikirchenbünden durch ihre auch nach außen hin sehr sichtbare Datenschutzaufsicht heraus: Tätigkeitsberichte freikirchlicher Aufsichten sind Mangelware, die BFP-Aufsicht dagegen liefert. Jetzt ist der dritte Tätigkeitsbericht für die Jahre 2022 und 2023 erschienen.
Datenschutzorganisation
Die BFP-DSO hat als Besonderheit eine Opt-out-Regelung: Gemeinden können selbst entscheiden, ob sie die kirchliche Regelung oder die DSGVO anwenden wollen; wie zuvor hat keine der mittlerweile 870 Gemeinden davon Gebrauch gemacht. Damit ist die Aufsicht der BFP für alle Gemeinden zuständig.
Nicht im Bericht, aber in der Pressemitteilung zum Bericht erfährt man, dass die Datenschutzaufsicht derzeit aus vier Personen besteht. Im vergangenen Bericht wurde mitgeteilt, dass die Berufung von Daniel Aderhold zum Beauftragten des Bundes für den Datenschutz 2020 für weitere fünf Jahre ausgesprochen wurde; dieses Jahr endet damit die Amtszeit. (Eine Wiederberufung ist möglich.)
Aufsichtstätigkeit
Schwerpunkte der Beratungstätigkeit waren dem Bericht zufolge Fragen zu Fotos aus dem Gemeindeleben, die datenschutzkonforme Gestaltung von Formularen sowie dem Umgang mit Beschäftigtendaten und Daten von Ehrenamtlichen.
Geprüft wurde gemeinsam mit anderen kirchlichen Aufsichtsbehörden der Vereinigung Evangelischer Freikirchen (VEF) der Einsatz der Software »ChurchTools«: »Das Ergebnis war, das von Seiten dieser Arbeitsgruppe keine Bedenken gegen den Einsatz dieser Anwendung bestehen. Voraussetzung für den sicheren Betrieb ist die korrekte und datenschutzkonforme Einrichtung und Administration durch die jeweiligen Mitarbeiter.«
Datenschutzverletzungen wurden drei gemeldet, nämlich ein offener E-Mail-Verteiler mit über 300 Adressen, ein unberechtigter Zugang zu einem E-Mail-Postfach und ein unberechtigter Zugang zu einem Bankkonto.
Eine Beschwerde wird erwähnt. Besonders interessant ist dabei, dass der Fall durch die Bremische Landesdatenschutzaufsicht an die BFP-Aufsicht weitergegeben wurde; in der Vergangenheit gab es immer wieder Zweifel, ob die Landesdatenschutzaufsichten die Aufsichten kleinerer Gemeinschaften kennen und als Aufsichten akzeptieren. Im Dezember hatte mir der BFP-Datenschutzbeauftragte Daniel Aderhold mitgeteilt, dass neben diesem Fall auch zwei Fälle von der bayerischen Aufsicht weitergegeben wurden – zumindest zwei Landesdatenschutzaufsichten kennen und akzeptieren also die BFP-Aufsicht. Warum sie dann nicht in der Liste auftaucht, die die ZASt im Auftrag der DSK führt, ist nicht bekannt. In der Sache ging es bei der Bremischen Beschwerde um die Veröffentlichung eines Fotos in einer Festschrift einer BFP-Gemeinde. Die Aufsicht stellte einen Datenschutzverstoß fest, beließ es aber angesichts der geringen Schwere bei einer Ermahnung, ein Bußgeld wurde ausdrücklich nicht verhängt.
Kirchliche Gesetzgebung
Die BFP-Datenschutzordnung wurde in der aktuellen Berichtsperiode nicht angepasst (anders als in der vorigen). Dafür hat der BFP im März 2023 eine Archivordnung erlassen. Das digitale Archiv ist nach Anmeldung online verfügbar. Die Archivordnung des Bundes Freikirchlicher Pfingstgemeinden KdöR ist etwas kompakter als die evangelischen und katholischen Pendants, regelt aber grundsätzlich alles Erforderliche. Im Tätigkeitsbericht wird lediglich auf die Gesetzgebung hingewiesen, eine Bewertung gibt es nicht.
Mit seiner Ordnung beabsichtigt der Bund, »Studenten, Historikern und Interessierten einen Einblick in seine geschichtliche Entwicklung, in sein Wirken und seine Frömmigkeitspraxis sowie in das theologische Denken in Vergangenheit und Gegenwart ermöglichen«. (Eine Verwendung zu Aufarbeitungszwecken wird nicht erwähnt, auch die Datenschutzordnung hat keine Aufarbeitungsnorm.) Die Ordnung normiert eine grundsätzliche Archivpflichtigkeit für Stellen des Bundes (das schließt Gemeinden ein), die durch eine Anbietungspflicht umgesetzt werden soll. Was archivwürdig ist, definiert die Ordnung. Interessant ist, dass ein großer Fokus auf Digitalisaten liegt: Die Archivierung soll primär digital erfolgen; die Formulierung der Aufbewahrung als »entweder nur in digitaler Form oder auch in physischer Form« lässt es zu, Originale nicht notwendig aufzubewahren. Das ist ökonomisch, aber nicht notwendig archivarisch sinnvoll. Der Zugang zum Archiv soll nur zu den Digitalisaten erfolgen.
Datenschutzrechtlich relevant ist, dass die BFP-DSO unberührt bleibt, sie ist also umfassend auf Archivmaterial mit personenbezogenen Daten anzuwenden. Spezielle archivrechtliche Regelungen gibt es in der BFP-DSO kaum, lediglich die Erlaubnis, besondere Kategorien personenbezogenener Daten für Archivzwecke zu verarbeiten (§ 7 Abs. 2 lit. g) BFP-DSO); Archivierung als Löschsurrogat wie in der katholischen KAO und neu im evangelischen DSG-EKD gibt es nicht ausdrücklich.
Grundsätzlich gilt eine Schutzfrist von 20 Jahren nach Archivgutschluss, für personenbezogenes Archivgut von 10 Jahren nach dem Tod der letztversterbenden betroffenen Person, bei nicht feststellbarem Todesdatum 90 Jahre nach dem Geburtstag, ist auch das unbekannt, gelten 60 Jahre nach Archivgutschluss.
Die Fristen sind damit kürzer als in der evangelischen (grundsätzlich 30 Jahre, allerdings ab Entstehung des Archivguts, nicht ab der letzten Änderung, 30 Jahre nach dem Tod bei personenbezogenem Archivgut, 120 Jahre ab Geburt bei nicht feststellbarem Todesdatum) und katholischen (40 Jahre, 30 Jahre nach dem Tod bei personenbezogenen Archivgut, 120 Jahre ab Geburt bei nicht feststellbarem Todesdatum, 70 Jahre bei unbekannten Lebensdaten) Archivordnung. Anders als in der KAO sind auch keine besonderen Fristen für Archivgut mit besonderen Geheimhaltungsvorschriften und bischöfliche Nachlässe geregelt (dort beidemale 60 Jahre).
Vor Fristablauf darf Archivgut nach Genehmigung eines Antrags im Einzelfall durch den Generalsekretär des Bundes oder den Archivbeirat verwendet werden oder dann, wenn die Bundesleitung einen Forschungsauftrag erteilt. Bei personenbezogenem Archivgut ist dann lediglich sicherzustellen, dass die »schutzwürdigen Belange Betroffener oder Dritter angemessen berücksichtigt« werden – eine Einwilligung betroffener Personen wird nicht ausdrücklich verlangt.
Fazit
Die regelmäßigen Berichte der BFP-Aufsicht sorgen für Transparenz, ebenso der eigene Auftritt im Netz. Das ist im freikirchlichen Bereich leider keine Selbstverständlichkeit – es zeigt aber, dass es auch für kleinere Gemeinschaften möglich ist, die Datenschutzaufsicht überzeugend selbst in die Hand zu nehmen. (Jedenfalls den Teil, den man von außen sieht – aber selbst daran scheitern die meisten kleinen Gemeinschaften.)
Inhaltlich gibt es keine Überraschungen: Offene E-Mail-Verteiler und Bildrechte kennen eben keine Konfession.