Der erste diözesane Bericht einer katholischen Aufsicht kommt wieder einmal von der KDSA Ost. Der Tätigkeitsbericht für 2024 ist geprägt von der aktuellen politischen Lage: So deutlich wie keine andere kirchliche Datenschutzaufsicht macht der Diözesandatenschutzbeauftragte Matthias Ullrich Grundrechte, Demokratie und den Beitrag des Datenschutzes dazu stark.

Nach zwei Jahre, in denen massive Defizite vor allem in der verfassten Kirche benannt wurden, scheint 2024 etwas ruhiger gewesen zu sein: Kein neues Rekordbußgeld wie 2023, die geschilderten Fälle sind weitgehend Standardsituationen. Das heißt aber auch: Wer den Bericht liest, hat hinterher einen gut gefüllten Werkzeugkasten, um diesen Standardsituationen zu begegnen.

Grundsätzliche Einschätzungen

Dieses Jahr stellt der Diözesandatenschutzbeauftragte Matthias Ullrich seinem Bericht ein Zitat von Ranga Yogeshwar voran: »Wenn ich mir die deutsche Geschichte der letzten hundert Jahre anschaue, weiß ich nicht, ob ich mehr Angst vor Kriminellen haben muss als vor dem Staat.« Ullrich erinnert daran, dass er 2016 die Hauptgefahr bei der Datenverarbeitung durch Unternehmen gesehen habe. Heute verschiebt er den Akzent:

»Nun haben sich die gesellschaftlichen Parameter geändert. Demokratische Wahlen sind keine Garantie mehr dafür, dass demokratische Parteien gewählt werden. Radikale Parteien stellen regelmäßig das vermeintliche Volksinteresse vor das Interesse des Einzelnen. Damit ist konsequenter Weise für Persönlichkeitsrechte kein Raum mehr. Für Parteien dieser Denkrichtung wird Datenschutz zum Feind.«

Auch über den programmatischen Einstieg legt die KDSA Ost in ihrem Tätigkeitsbericht einen Schwerpunkt auf gesellschaftliche Fragen. Umfangreich widmet sie sich etwa dem Thema Digitalzwang und der elektronischen Patientenakte.

Entwicklungen im Datenschutz

Einen Schwerpunkt im kirchlichen Datenschutz legt die KDSA Ost dieses Jahr auf Datenschutz in der Aufarbeitung von Missbrauch. Sie stellt fest, dass die Interventionsordnung und ihre Ausführungsordnung zwar an vielen Stellen die Verarbeitung von meist besonderen Kategorien personenbezogener Daten erfordern, die Rechtsgrundlagen für die Weitergabe und Verarbeitung der Daten durch die verschiedenen Personen und Institutionen in den Normen aber nicht geregelt sind. Sehr hilfreich ist, dass das Institutionengeflecht in Diagrammen aufgeschlüsselt wird, die die Zusammenarbeit und Datenflüsse datenschutzrechtlich aufzeigen.

Die Aufsicht vertritt die Position, dass tatsächlich eine Datenweitergabe zwischen den beteiligten Stellen geschehen muss, das Behalten von Kopien an jedem Glied der Kette scheide aus: »Nur auf diese Weise ist sicher zu stellen, dass einem Auskunftsanspruch von Betroffenen umfangreich entsprochen werden kann. Außerdem ist bei einem solchen Verfahren gewährleistet, dass personenbezogene Daten nicht von einzelnen Empfängern kopiert werden.«

Im Berichtsjahr habe ein Workshop mit Vertretungen aller beteiligten Institutionen stattgefunden, um die Datenverarbeitung gemeinsam zu klären. Dabei einigte man sich darauf, alle Daten zu digitalisieren, ausschließlich einen zentralen Speicherort zu verwenden und aufgabenbezogene und zeitlich beschränkte Zugriffsrechte einzurichten.

Zu laufenden Verfahren aus dem Bereich der Missbrauchsaufarbeitung gibt es keine Informationen. Ebenfalls keine Rolle im Bericht spielt die laufende Novellierung des KDG – hier wäre eine Einschätzung aus den Aufsichten sehr interessant gewesen.

Aufsichtstätigkeit

Prüfungen

• Erneut wurde ein Seniorenheim geprüft. Geprüft wurden Abläufe im Zusammenhang mit dem Betrieb des Heims, insbesondere die Verwaltung und Aufbewahrung der Bewohnerakten, der Pflegedokumentation und der Personalakten. Nur Kleinigkeiten wurden bemängelt, Beanstandungen keine ausgesprochen. Bei den Aufnahmeanträgen wird erwähnt, dass die Abfrage von Geburtsort, Geburtsland, Staatsangehörigkeit und Beruf zu Nachfragen führte. Da es aber Gründe dafür gab – genannt wird nur, dass der Beruf für die Biographiearbeit benötigt wird –, war die Abfrage kein Problem. Hier sollte man mitnehmen, dass bei Formularen strikt auf die Erforderlichkeit der erhobenen Daten geachtet werden muss. Wenn die aber gegeben ist, ist vieles pragmatisch und problemlos möglich.
• Die Prüfung einer Beratungseinrichtung dürfte die Realität an vielen Orten abbilden: Ein grundsätzliches Bewusstsein für Datenschutz ist da, aber ein Datenschutzkonzept fehlt. Hier fällt der faire Umgang der Aufsicht mit der verantwortlichen Stelle auf: Keine Sanktionen, aber die Auflage, das Datenschutzkonzept nachzuarbeiten. Da sich der Bericht auf den Zeitraum 2024 bezieht und die Auflage bis Ende Juni 2025 zu erfüllen ist, hat die Einrichtung mehr als ein halbes Jahr (je nach Prüfungstermin deutlich mehr) Zeit, ein Datenschutzkonzept zu erarbeiten. Das ist ausgesprochen machbar.
• Die Firm-App des Bonifatiuswerks wies bei den ersten beiden Überprüfungen noch Defizite auf, am Ende konnte aber nach Entfernung unzulässiger Datenübertragungen an Drittanbieter ein positives Ergebnis erzielt werden.

Datenpannen, Fälle und Vorfälle

• Fehlversände von E-Mails sind weiterhin typische Pannenquellen: Falsche Dateien in Anhängen (in einem Fall mit sensiblen Daten mehrerer Menschen) und vor allem offene E-Mail-Verteiler – die seien »Datenpanne Nr. 1«. Wieder einmal hätten gegen Pfarreien Bußgelder verhängt werden können, wenn dies rechtlich möglich wäre.
• Die andere Standard-Panne sind falsch versandte Unterlagen von Patient*innen. Dazu kommen im Gesundheitsbereich Unterlagen, die an unberechtigte Angehörige herausgegeben werden.
• Unzurechen erfüllte Auskunftsansprüche führen immer wieder zu Beschwerden. Hilfreich ist ein ausführlicher Exkurs zu Auskunftsrechten in der Kita, auch mit Blick auf die Situation bei nicht sorgeberechtigten Eltern und Verwandten.
• Weiterhin steigt die Zahl der Cyberangriffe.
• Manchmal braucht’s aber gar keinen Angriff, der Verlust einer Kamera bei einem Kita-Ausflug, deren Speicherkarte seit 2022 nicht mehr geleert wurde, sorgt auch für einen Datenschutzvorfall.
• Ein kurioser Fall kommt aus dem Sozialbereich: Eine Einrichtung wollte Gelder, die an Klient*innen auszuzahlen sind, zunächst auf die Privatkonten ihrer Mitarbeitenden überweisen, die dann das Geld abheben und ausgeben sollten. Hier stellt die Aufsicht fest, dass die Verwendung der bekannten Kontodaten eine unzulässige Zweckänderung darstellt, die auch nicht durch eine Einwilligung geheilt werden kann.

Bußgelder

Nur ein konkretes Bußgeld wird neben der allgemeinen Bemerkung erwähnt, dass offene Mail-Verteiler und unzureichende Auskunftserteilung durchaus gebußt werden: Eine Kinderbetreuungseinrichtung hatte gegenüber der Elternvertretung mitgeteilt, dass ein Mitarbeiter aufgrund von strafrechtlich relevantem Verhalten, das aber nicht im Zusammenhang mit der Betreuung von Kindern und der pädagogischen Arbeit stand, fristlos gekündigt wurde. Das Protokoll der Elternvertretungsversammlung wurde in der Kita ausgehängt. Nach Auffassung der Aufsicht hätte es genügt, über die Entlassung zu informieren und dass der Grund dafür nicht die Arbeit mit den Kindern betroffen hat. Angesichts der erheblichen Diskreditierung des ehemaligen Beschäftigten hat die Aufsicht ein Bußgeld im unteren vierstelligen Bereich verhängt.

Gerichtsverfahren

Seit dem Tätigkeitsbericht 2020 weiß man von dem Streit um die Weiterleitung von Maskenattesten durch eine Schule an ein Gesundheitsamt; über die IDSG-Entscheidung aus dem Jahr 2024 habe ich berichtet. Im Bericht erfährt man nun die Geschichte aus der Perspektive der Aufsicht. Durchaus süffisant wird die Geschwindigkeit des kirchlichen Datenschutzgerichts kommentiert: »Nur nebenbei bemerkt: Die Schülerin hatte die Schule längst verlassen und Mund-Nasen-Bedeckungen spielten im Schulalltag schon lange keine Rolle mehr.«

Praxistipps

• Das Dauerbrennerthema Messenger wird ausführlich besprochen. Als grundsätzlich datenschutzkonform einsetzbare Alternativen zu den großen Diensten werden Communicare, Threema, Wire und Signal genannt, und zwar ausdrücklich nicht als »Rundum-Sorglos-Empfehlung«. Weiterhin favorisiert die Aufsicht aber selbstgehostete Dienste. Am Ende bleibe es aber im Einzelfall zu bewerten, ob ein bestimmter Dienst für einen gewünschten Einsatzzweck auch tatsächlich die richtige Lösung sei, insbesondere auch mit Blick auf den Kontrollverlust, der mit der Versendung von Inhalten und deren Weiterleitung einhergeht.
• Für die Gestaltung von lokalen Cloud-Speichern werden verschiedene praxisnahe Konzepte überblicksmäßig vorgestellt.
• Hilfreich mit Blick auf Auskunftsersuchen ist die Handreichung zum wirksamen digitalen Schwärzen.

Fazit

Die Standard-Kritik greift auch hier: Zahlen fehlen leider weitgehend; hier gibt der Bericht noch weniger Anhaltspunkte dafür, wie die Auslastung und Arbeitsverteilung quantitativ einzuschätzen ist. Erfreulich ist dagegen, dass der Bericht – wie jedes Jahr – früh im Jahr erscheint. Vieles daraus kennt man sogar schon aus der regelmäßig und gut gepflegten aktuellen Rubrik der Webseite der Aufsicht. Im Vergleich zu den vergangenen beiden Jahren gibt es weniger deutliche Kritik an Verantwortlichen vor allem aus dem verfasst-kirchlichen Bereich mit nachlässigen Datenschutzkonzepten – die Kritik an der Ausnahme öffentlich-rechtlich verfasster kirchlicher Stellen vom Bußgeldregime wird aber erneuert.

Der Tätigkeitsbericht der KDSA Ost hat zwei große Stärken: Zum einen der klare grundrechtliche Fokus, der wach und kritisch Datenschutz als Abwehrrecht vor der Folie grundrechtsgefährdender gesellschaftlicher und politischer Tendenzen stark macht. Zum anderen die Befassung mit spezifisch kirchlichen Verarbeitungssituationen. Neben dem oben thematisierten Thema der Aufarbeitung ist auch ein Exkurs zum Umgang mit Meldedaten in Bezug auf den Kirchenaustritt zu nennen – Leser*innen von Artikel 91 kennen die Position bereits, da sie zuerst hier als Gastbeitrag erschienen ist. Mit solchen Arbeitsschwerpunkten trägt die Aufsicht dazu bei, überhaupt zu plausibilisieren, warum es ein paralleles kirchliches Datenschutzregime gibt.