Beim Datenschutz geht es um das pralle Leben – das macht der frisch erschienene Tätigkeitsbericht des KDSZ Frankfurt für 2024 deutlich: Von Teufelsaustreibungen bis zum datenschutzkonformen Einfrieren und Vergraben der Plazenta ist einiges dabei. (Die üblichen Standardsituationen gibt’s natürlich auch.)

Mittlerweile liegt der siebte Tätigkeitsbericht des KDSZ Frankfurt vor – für die Diözesandatenschutzbeauftragte Ursula Becker-Rathmair ein gutes Zeichen: »Das „verflixte 7. Jahr“ ist damit abgeschlossen, die diesem oftmals zugeschriebene Gefahr größerer Veränderungen hat sich nicht bewahrheitet: Leitung, Team, Standort und Aufgabenbereich der Datenschutz- aufsicht sind unverändert. Die Zahl 7 sollte daher im biblischen Sinne als etwas Positives verstanden werden.«

Recht und Gesetzgebung

Kirchliche Gesetzgebung

Die Entwicklung des Diözesanrechts in den beaufsichtigten Diözesen wird detailliert dargestellt; das ist sehr hilfreich, um einen Überblick zu bekommen.

Besprochen werden die beiden Regelungen zu Einsichts- und Auskunftsrechten in Limburg und Rottenburg-Stuttgart, die im Berichtszeitraum erlassen wurden. Der Bericht verweist auf eine zentrale Problemstellung bei dieser Art von Ordnung, die eine gesetzliche Grundlage für die Nutzung von vorhandenen Aktenbeständen für den ursprünglich nicht intendierten Zewck der Aufarbeitung mit sich bringen: Wahren die Regelungen noch das Datenschutzniveau des KDG? Am Beispiel der Limburger Ordnung wird darauf hingewiesen, dass in der Aktenordnung geregelt wird, dass das KDG unberührt bleibt. Damit greife § 2 Abs. 2 KDG, der das Datenschutzniveau des KDG sichert: »Heikel wird dieser Punkt vor allem dann, wenn die Musterordnung Einsicht und Auskunft in Unterlagen ohne die Einwilligung der betroffenen Person gewährt.« Das Problem wird lediglich benannt. Wie die Aufsicht in der Praxis damit umgeht, ob sie etwa im Spannungsfall teile der Aktenordnungen als unbeachtlich ansieht, erfährt man nicht.

Aufgezählt ohne weitere Bewertung werden die gemeinsame Verantwortlichkeit bei der Nutzung der App »kitaplus«, die interne Meldestelle und der Hinweis auf das Widerrufsrecht gegen Spendenaufrufe in Rottenburg-Stuttgart, der neue (hier sehr gelobte) Jubiläumserlass in Mainz, datenschutzrechtliche Musterverträge und die Regelung zu digitalen MAV-Sitzungen in Fulda, die Regelung zum Umgang mit erweiterten Führungszeugnissen und eine neue Dienstordnung für Kita-Beschäftigte in Speyer und das Hinweisgebersystem in Trier.

Im Ausblick gibt es eine vorsichtig optimistische Prognose zur Novelle des KDG: »Die Novellierung des KDG, deren erster Entwurf im November 2024 veröffentlicht wurde, scheint in nicht allzu weite Ferne gerückt – vielleicht lässt sich im nächsten Tätigkeitsbericht bereits Konkretes dazu berichten.«

Kirchliche Rechtsprechung

Viel Freude hat der Bericht mit dem hier bereits besprochen Exorzismus-Fall, inklusive einer wunderbaren Illustration mit einem Fresko einer Teufelsaustreibung durch den heiligen Antonius aus der Kirche San Francesco in Montefalco und launiger Antextung: »Das Auskunftsersuchen des Beteiligten ließ nicht lange auf sich warten und damit der Schwenk vom Teufel zum Datenschutz – vom Dunkel ins Licht.« Der Fall ist vor allem relevant, da dort kirchliches Interesse ausbuchstabiert wird. Entsprechend hebt die Aufsicht einen Kernsatz hervor: »Der durch das Evangelium geprägte Auftrag der Kirche (vgl. can. 747 § 1 CIC) verlangt einen konsequenten Einsatz für den Opferschutz, der auch die Einbeziehung staatli- cher Stellen umfassen kann.«

Erwähnt werden der Fall der Weiterleitung eines Attests ans Gesundheitsamt, der Fall zum Kölner Gutachten, bei dem ebenfalls das kirchliche Interesse näher bestimmt wird, sowie die Heranziehung der staatlichen VwGO durch die kirchlichen Datenschutzgerichte.

Aufsichtstätigkeit

Statistik

• Bei den gemeldeten Datenschutzverletzungen wird ein Rückgang um 8 Prozent verzeichnet. 48 Prozent kommen aus Einrichtungen der Kinder- und Jugend- sowie Alten- und Behindertenhilfe, aus der verfassten Kirche nur 8 Prozent. Inhaltlich gibt es vor allem die Klassiker vom E-Mail-Verteiler bis Einbrüche. Problematisiert wird besonders das fehlende Unrechtsbewusstsein beim Einstellen von Material in Social-Media-Dienste.
• Die Zahl der Beschwerden blieb etwa konstant bei einem leichten Rückgang im Gesundheitsbereich. Vor allem ging es um Auskunftsrechte.
• Die Anfragen gingen leicht zurück. Thematisch ging es bunt zu, ein Thema scheint sich aber dann doch zu wiederholen: die Aufsicht betont im Bericht, dass von ihr keine Produktempfehlungen oder -freigaben erteilt werden.
• Zwei aktuelle Gerichtsverfahren mit Beteiligung des KDSZ Frankfurt werden erwähnt. Zur Gesamtzahl heißt es, dass »einige wenige« dazugekommen seien und »einige« durch Vergleich oder Rücknahme abgeschlossen werden konnten. Beim DSG-EKD seien zwei Alt-Verfahren anhängig.
• Über Bußgelder erfährt man auch nicht außer der Erwähnung, dass manche der Klagen sich auf Bußgeldbescheide beziehen.

Prüfungen

Über die Prüfung von Schulwebseiten hat das KDSZ Dortmund bereits berichtet (und ich habe daraus eine Checkliste für Webseiten abgeleitet). Ergebnisse der gemeinsam mit der KDSA Nord angegangenen Prüfung von Pflegeheimen gibt es noch nicht, die ebenfalls mit dem Norden koordinierte Abfrage zum Umgang mit Datenpannen soll im nächsten Bericht thematisiert werden.

Der Bericht weist darauf hin, dass bei solchen Prüfungen die Einrichtungen zufällig ausgewählt werden – es kann aber auch gezielt geprüft werden, wie am Beispiel eines Krankenhauses erläutert wird: »Dessen Website wies aus Datenschutzsicht erhebliche Mängel
auf und bedurfte einer dringenden Überarbeitung.«

Fälle

Vieles wiederholt sich in den vielen Tätigkeitsberichten über die Jahre. Manche Sachverhalte kommen dann aber doch unerwartet: »Das Vergraben der Plazenta und anschließend darauf einen Baum zu pflanzen, ist ein bekannter Brauch. Doch soll es sich natürlich um die eigene Plazenta handeln.« Der Datenschutz kam dadurch ins Spiel, dass die frischen Eltern zwar die richtige Plazenta von einem kirchlichen Krankenhaus erhalten aber, aber mit einem falschen Aufkleber, aus dem Gesundheitsdaten Dritter hervorgingen. In dem Krankenhaus gibt es jetzt einen standardisieten Prozess zum Vorgang des Plazentaeinfrierens.

In zwei Fällen geht es um Betrug: Personalabteilungen hatten über E-Mail Nachrichten über angeblich geänderte Kontoverbindungen erhalten, in beiden Fällen wurde anschließend das Gehalt an die Konten der Betrüger*innen überwiesen. Das KDSZ empfiehlt hier einen Prozess, der solche sensiblen Datenänderungen besser absichert.

Wie neulich schon im Bericht des BfD EKD sorgt eine dienstlich verwendete private E-Mail-Adresse für Ärger. Beschwert hat sich ein Namensvetter des in der Seelsorge tätigen Beschäftigten, der immer wieder Fehlläufer an seine Adresse bekommen hat, die sich nur durch die Domain unterscheidet. »Neben der Betrachtung der datenschutzrechtlichen Aspekte war die Datenschutzaufsicht in diesem Fall vor allem auch damit befasst, zu klären, warum dem Eigentümer der E-Mail-Adresse nicht daran gelegen war, in dieser seit Langem andauernden und misslichen Situation für Abhilfe zu sorgen.«

Fazit

Der Frankfurter Bericht bleibt sich treu: Weiterhin ist der Bericht dieser Aufsicht der mit den am unterhaltsamsten formulierten Fallbeschreibungen. Das ist nicht nur angenehm zu lesen, sondern auch eine gute Grundlage, um diese Fälle direkt in Schulungen zu verwenden.

Die umfassende Auflistung von einschlägigem Diözesanrecht und Fällen der kirchlichen Datenschutzgerichte ist sehr hilfreich; bisweilen könnte es etwas mehr Mut zur Bewertung geben. Vor allem bei der Darstellung von Recht und Rechtsprechung aus dem Bereich der DSGVO wäre gelegentlich ein Hinweis hilfreich, ob die Sachverhalte direkt auf den kirchlichen Datenschutz übertragen werden können.

Im Ausblick zeichnet sich wie in anderen aktuellen Tätigkeitsberichten ab, dass KI künftig für die Aufsichten ein großes Thema ist – noch gibt es dazu keine veröffentlichten Fälle. Im kommenden Jahr dürfte das anders werden.

Ceterum censeo: Absolute Zahlen zur Aufsichtstätigkeit gibt es wieder nicht.