Grundrechtsbasierte Datennutzung – Tätigkeitsbericht des BfD EKD 2023/2024

Schreiben Sie eine Antwort

Alle zwei Jahre kommt der Tätigkeitsbericht des BfD EKD – seit es nur noch diese eine evangelische Datenschutzaufsicht gibt, ist es der einzige Bericht nach DSG-EKD. Mit dem Tätigkeitsbericht für die Jahre 2023/24 hat es der BfD EKD so erst jetzt endlich aus der Corona-Zeit herausgeschafft.

BfD EKD Michael Jacob (l.) übergibt den Tätigkeitsbericht 2023/24 an die EKD-Ratsvorsitzende Kirsten Fehrs
BfD EKD Michael Jacob (l.) übergibt den Tätigkeitsbericht 2023/24 an die EKD-Ratsvorsitzende Kirsten Fehrs (Bildquelle: BfD EKD, Montage fxn)

Politisch sieht BfD EKD Michael Jacob den Datenschutz unter Druck: Dass Datenschutz oft nur unter dem Vorzeichen angeblichen »Bürokratieabbaus« verhandelt wird, dass Datennutzung als Gegenspieler zum Datenschutz aufgebaut wird und dass Datenschutz im Umgang mit Zukunftstechnologien als Bremser dargestellt wird, bereiten ihm Sorge. Hier will Jacob mitgestalten:

»Mit Blick nach vorne haben wir als kirchliche Datenschützer mit unserem Thema etwas beizutragen … für eine schlankere und bürokratieärmere Gestaltung des Datenschutzes … für eine offenere und aufgeschlossenere, aber weiterhin grundrechtsbasierte Datennutzung und … für einen verantwortungsbewussten, auf einer christlichen Datenethik basierenden Einsatz von Zukunftstechnologien. Lassen Sie uns diese Chancen gemeinsam nutzen!«

Inhalte Verbergen
1 Organisation und Ressourcen der Behörde
2 Aufsichtstätigkeit
3 Themen und Fälle
3.1 Auskunftspflicht
3.2 Datenschutz im Missbrauchskontext
3.3 Seelsorge und Gemeindealltag
4 Kleinere Beobachtungen
5 Fazit
6 Bisher besprochene Berichte des BfD EKD

Organisation und Ressourcen der Behörde

Ein Viertel des Berichts befasst sich mit der Struktur und Arbeitsweise der Behörde. Weiterhin gibt es 23 besetzte Planstellen. Die Einblicke in die technische wie rechtliche Infrastruktur der Organisation sorgen nicht nur für Transparenz, sondern können auch Anhaltspunkte für eine zeitgemäße und rechtskonforme Organisation geben. Insbesondere eine Liste interner Regelungen – wie eine Geschäftsordnung, einem IT-Sicherheitskonzept, Dienstvereinbarungen zur privaten Nutzung von Internet und E-Mail sowie Dienstansweisungen und Qualitätsmanagement – ist dabei instruktiv.

Erstmals berichtet die Aufsicht über den Prozess »Zukunftsstrategie des BfD EKD«, für den unter anderem eine Zukunftswerkstatt veranstaltet wurde. »Ziel der Zukunftswerkstatt war es, Anforderungen an die Aufgabenerfüllung und die Dienstleistungsangebote des BfD EKD zu identifizieren.« Viel konkreter wird es nicht, vor allem Beratung und Weiterbildung seien weiterentwickelt worden.

Aufsichtstätigkeit

Erfreulich ist, dass es einige absolute Zahlen zur Tätigkeit der Aufsicht gibt, jeweils nach den Jahren 2023 und 2024 aufgeschlüsselt – allerdings weiterhin weniger konkret als bei staatlichen Aufsichten. Es gab 450 und 754 Datenpannen sowie 159 und 153 Beschwerden. Die Datenpannen betreffen die üblichen Fehlerquellen wie Diebstahl und Verlust von Datenträgern und falsch adressierte Korrespondenz. Der deutliche Anstieg 2024 geht auf die Datenpanne bei der Kita-App »StayInformed« zurück.

Insgesamt gab es 2023 1085 »Tätigkeiten« in den Bereichen Aufsicht, Beratung und Weiterbildung, 2024 1332. Der Bereich Aufsicht liegt dabei jeweils deutlich vor der Beratung, Fortbildungen gab es 14 bzw. 12. Bußgelder werden wieder keine erwähnt.

Bereits bekannt sind die Informationen zur Schwerpunktprüfung in Krankenhäusern – hier wurde der Abschlussbericht ebenfalls schon besprochen.

Der BfD EKD beteiligt sich rege an der Arbeit der DSK – da wo er es darf: »Eine konkrete Mitwirkung in der Datenschutzkonferenz selbst konnte bislang nicht erreicht werden.« Dafür beteiligt sich die evangelische Aufsicht an acht DSK-Arbeitskreisen, nämlich Grundsatz, Technik (inkl. Mitwirkung in der Unterarbeitsgruppe Standard-Datenschutzmodell), Beschäftigtendatenschutz, Gesundheit und Soziales, Schulen und Bildungseinrichtungen, Zertifizierung, Medienkompetenz sowie Künstliche Intelligenz.

Themen und Fälle

Auskunftspflicht

Das Recht auf Auskunft ist regelmäßig umfassend Thema. Dieses Mal geht es etwa um die Freiwilligkeit. Beispiel für mangelnde Freiwilligkeit sind Kita-Anmeldungen, bei denen bei verweigerten Einwilligungen zur Veröffentlichung von Fotos mit Konsequenzen gedroht wird: »So erreichen uns Mitteilungen von Erziehungsberechtigten, dass die Kinder – sofern in die Anfertigung von Fotos nicht eingewilligt wird – nicht an Aktionen oder Ausflügen teilnehmen dürfen.« Die Aufsicht bemängelt die Verhältnismäßigkeit: Wenn Kitas daran scheitern, nur die Kinder zu fotografieren, bei denen eine Einwilligung vorliegt, oder diese wenigstens nachträglich auf Fotos unkenntlich zu machen, »so wäre es naheliegend, von einer Anfertigung der Bilder abzusehen, nicht jedoch dem Kind die Teilnahme an dem Ausflug oder der Aktion zu verwehren«.

Bei der Frage nach dem Umfang der Auskunftspflicht macht sich der BfD EKD das EuGH-Urteil vom 4. Mai 2023 (C-487/21) zueigen: »Mit den mitgeteilten Daten muss es der anfragenden Person möglich sein, die Richtigkeit ihrer personenbezogenen Daten zu überprüfen, um gegebenenfalls weitere Betroffenen- rechte geltend zu machen.« Im Berichtszeitraum galt noch das DSG-EKD vor der großen Novelle, mithin ohne explizites Recht auf Kopie. Dass das Fehlen in der Praxis nach der Rechtsauffassung des BfD EKD kaum große Auswirkungen hat, ist mit der Novelle nur noch von historischem Interesse. Konkret vertritt er diese Position: »Eine Auskunft nach § 19 DSG-EKD sollte […] eine originalgetreue und verständliche Reproduktion oder Abschrift der Daten der betroffenen Person enthalten«.

Datenschutz im Missbrauchskontext

Eine Beschwerde bezog sich auf die Kommunikation mit einer von Missbrauch betroffenen Person; die kirchliche Fachstelle für Prävention, Intervention und Aufarbeitung hatte diese Bezeichnung auf dem Briefumschlag als Absender vermerkt, der Brief war so gefaltet, dass die Betreffzeile im Fensterumschlag lesbar war. Angesichts des Kontexts empfiehlt der BfD EKD, Briefe besonders sorgsam zu prüfen und auf dem Umschlag als Absender die übergeordnete Stelle anzugeben, so dass nicht sofort gegenüber Dritten deutlich wird, um was es geht.

Der Umgang mit personenbezogenen Daten im Kontext sexualisierter Gewalt ist eines der Themen, die im Vorwort als kirchenspezifisch benannt werden. Leider bleibt es bei diesem einen Fall zum Thema. Gerne hätte man zum Beispiel etwas gelesen zu Datenschutz in der Aufarbeitung. Immerhin kündigt der BfD EKD an, sich dem Thema allgemein in Zukunft umfassend zu widmen.

Seelsorge und Gemeindealltag

Der Fall eines Pfarrers, der seine dienstliche und seelsorgliche Kommunikation partout nicht über den Dienstaccount, sondern über eine E-Mail-Adresse bei einem kostenlosen Anbieter abwickeln wollte, ist wohl exemplarisch – jedenfalls hört man oft von freischwebenden Pfarrpersonen, die sehr schwer in eine geordnete und rechtskonforme Kommunikation eingespurt werden können. Die Aufsicht schien recht entgegenkommend vorangegangen zu sein: »Trotz Nachfrage und Hilfestellungen konnte der Pfarrer den Nachweis der datenschutzkonformen Nutzung der E-Mail-Adresse des Freemailers nicht führen.« Bemängelt wird der fehlende Auftragsverarbeitungsvertrag und ein nicht nachweislich und durch DSFA geprüftes Schutzniveau. »Aufgrund der fehlenden Nachweise war zu befürchten, dass die personenbezogenen Daten der Seelsorgesuchenden nicht ausreichend vor dem unberechtigten Zugriff Dritter geschützt waren und damit neben dem Datenschutz auch das Seelsorgegeheimnis verletzt wurde.« Folge war eine Untersagung.

Die Streamingnorm § 53 DSG-EKD kommt ohne eine audrückliche Erwähnung der Rechte der betroffenen Personen aus. Das kann zu dem Schluss verleiten, dass sie generell jedes Streaming von Gottesdiensten unabhängig von ToMs erlaubt. Der BfD EKD sieht das nicht so (wie er bereits zuvor mitgeteilt hatte): Wenn einfache Teilnehmende im Bild sind, brauche es eine Einwilligung, generell ist auf die Datenschutzgrundsätze und die Regeln zur Drittlandübertragung hinzuweisen. Als Alternative zur dauerhaft vorgehaltenen Aufnahme etwa auf YouTube empfiehlt die Aufsicht, das Streaming über Videokonferenztools zu realisieren.

Wiederum nur noch historisch sind die Ausführungen zu öffentlichen Gratulationen, falls es keine landeskirchliche Spezialnorm dafür gibt; dieses Thema wurde durch die neue Gemeindemitgliederkommunikationsnorm § 50b Abs. 2 DSG-EKD deutlich vereinfacht. Auf Basis der alten Rechtsgrundlage erteilte der BfD EKD einer Interessenabwägung eine Absage und sah Einwilligungen als einzige zulässige Rechtsgrundlage an.

Positiv fällt das Fazit zu Online-Wahlen zu Gemeindegremien aus. Die Wahlen erfolgten Wahlen seien dank guter Planung rechtskonform erfolgt. Allgemein gibt die Aufsicht einige Maßstäbe für Online-Wahlen aus: »Wichtig ist aus Sicht des BfD EKD die Wahrung des Wahlgeheimnisses (z. B. durch Pseudonymisierung der Wählerinnen und Wähler gegenüber dem Dienstleister) und die Sicherstellung der Einmaligkeit der Stimmabgabe (z. B. durch wirk- same Synchronisierung des Online-Stimmabgabevermerks mit dem Wählerverzeichnis). Auch sollte immer für die Wählerinnen und Wähler neben der OnlineStimmabgabe mindestens eine klassische Option – Präsenz- oder Briefwahl – verbleiben.«

Löschen aus dem Taufbuch ist zur Zeit ein angesagtes Thema. Auch der BfD EKD macht einige Ausführungen dazu und kommt zu dem zu erwartenden Schluss: »Im Ergebnis ist daher festzustellen, dass ein nach § 21 Abs. 3 Nr. 2 DSG-EKD überwiegendes kirchliches Interesse an der Speicherung der Taufdaten besteht und der Löschanspruch in der Regel nicht erfolgreich geltend gemacht werden kann.« An Rechtssprechung wird eine Entscheidung des Bayerischen VGH angeführt (Beschluss 7 ZB 14.357 vom 16. Februar 2015, im Bericht falsch 2025).

Kleinere Beobachtungen

  • Im vorigen Bericht wurde ausführlicher über Gerichtsverfahren berichtet. Anscheinend ist die Klagefreudigkeit gegen Aufsichtsentscheidungen gering: Von vier im Berichtszeitraum beendeten Verfahren wird berichtet, drei davon durch Klagerücknahme, eines durch Abweisung. Die absolute Zahl der Verfahren und die Sachverhalte werden nicht genannt.
  • Bei der Krankenhaus-Prüfung und in einigen Fällen (etwa der Vernichtung von Corona-Testnachweisen ohne Schreddern auf einem Wertstoffhof) wird deutlich: (Fehlende) Löschkonzepte sind häufig Fehlerquellen. Ein kurzer Exkurs im Kapitel »Aufbewahrung und Löschung« fasst knapp und praktikabel zusammen, wie ein gutes Löschkonzept entworfen wird.
  • Ein kurioser Fall findet sich im Abschnitt zum Beschäftigtendatenschutz: Eine Person wird aufgrund von Datenschutzverstößen gekündigt. Der Arbeitgeber informiert darüber die Belegschaft in einem öffentlich einsehbaren Aushang – inklusive Name und Grund. Es wurde eine Beanstandung ausgesprochen. Ob die verantwortliche Person ebenfalls gekündigt und an den Einrichtungspranger gestellt wurde, steht nicht im Bericht.
  • Multi-Faktor-Authentifizierung gilt dem BfD EKD mittlerweile als Stand der Technik.
  • Eine Anfrage zum deutschen Übersetzungsdienst DeepL wurde gestellt. Grundsätzlich wird die kostenpflichtige Version als tragbar bewertet, problematisiert wird nur der Vorbehalt einer Nutzung der Daten für eigene Zwecke des Anbieters. Bei besonderen Kategorien (etwa im Gesundheitskontext) wird aber eine rein offline funktionierende Lösung empfohlen.
  • Eine krasse Datenpanne ist politisch verursacht: »Beim Antritt einer Reise in ein Land im Nahen Osten haben Sicherheitskräfte das Handgepäck der Mitarbeiterin eines Missionswerkes beschlagnahmt, das unter anderem auch einen Laptop und ein Smartphone sowie Arbeitsdokumente enthielt. […] Eine forensische Untersuchung des Laptops durch die zuständige IT-Abteilung der kirchlichen Einrichtung ergab, dass die Festplatte in der Zwischenzeit aus- und wieder eingebaut wurde.« Es ist zu befürchten, dass solche Probleme nicht weniger werden.

Fazit

Auch über die hier erwähnten Fälle hinaus sind die Beispiele aus der Praxis sehr hilfreich. Es lohnt sich, den Bericht bei der Konzeption von Datenschutzschulungen durchzugehen und passende Fälle heranzuziehen.

Sehr wenig erfährt man über Bußgelder – ein ziemlich beredtes Schweigen. Gemäß DSG-EKD ist es nach wie vor meistens nicht möglich Bußgelder zu verhängen. Da hilft auch der deutlich erhöhte Rahmen nicht. Das vor einiger Zeit durch den BfD EKD veröffentlichte, durchaus strenge Bußgeldkonzept bleibt eine Farce, wenn es nicht zum Einsatz kommt. Und bisher gibt es kaum Hinweise darauf, dass je ein evangelisches Bußgeld verhängt wurde. Mit dieser Selbstprivilegierung gefährdet die EKD den Einklang ihres Gesetzes. Schade, dass der BfD EKD das anscheinend durch sein Schweigen mitträgt. Von katholischen Aufsichten hat man durchaus schon sehr kritische Töne zur Privilegierung öffentlich-rechtlich verfasster kirchlicher Stellen im KDG gehört.

Für die nächste Zeit verheißt der Bericht einiges Interessantes: Beide Themen, die im Vorwort als wichtig markiert wurden – neben dem Komplex des Missbrauchs Künstliche Intelligenz – kamen im vorliegenden Bericht noch nicht besonders ausführlich vor. Hoffentlich gibt es dazu nicht erst in zwei Jahren Positionen der Aufsicht. Erfreulich ist die nächste angekündigte Schwerpunktprüfung: Der Umgang mit Meldedaten ist eines der sensibelsten Felder im Kernbereich kirchlicher Datenverarbeitung.

Bisher besprochene Berichte des BfD EKD

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert