Langsam kommt KI auch mit tatsächlichen Fällen in die Tätigkeitsberichte von Aufsichten – so wie jetzt im 11. Jahresbericht der KDSA Nord für 2024. Damit können über allgemeine Hinweise konkrete Erfahrungen aus der Praxis in Handreichungen umgemünzt werden.

Ansonsten ist der Datenschutz im Norden 2024 wenig überraschend – aber wieder liegt ein sehr praxisnaher und für das eigene Datenschutzmanagement nützliche Bericht vor mit hilfreichen Handreichungen nicht nur zu KI, sondern auch zu Videoüberwachung und Kinderfotos.

Entwicklungen im Datenschutz

Kirchliche Gesetzgebung

Wie im vergangenen Jahr listet die KDSA Nord das Ortsdatenschutzrecht der Nord-Bistümer auf:

• Ordnungen zur Regelung von Auskunfts- und Einsichtsrechten zur Aufarbeitung sexualisierter Gewalt in Hamburg, Hildesheim und Osnabrück
• §-29-Gesetz zur Auftragsverarbeitung in Hildesheim
• IT-Endbenutzerrichtlinie in Osnabrück

Die Aufarbeitungsordnungen werden etwas detaillierter vorgestellt und in ihren rechtlichen Kontext gestellt.

Rechtsprechung kirchlicher Gerichte

Zwei Fälle des IDSG greift die Aufsicht heraus: die Entscheidung zur Münsteraner Aufarbeitungsstudie und zum Umfang von Auskunften.

Die KDSA Nord begrüßt die Entscheidung zur Studie aus Münster und sieht sie als von hoher Relevanz für die Auslegung von Aufarbeitungsnormen. Herausgehoben werden Kriterien für die Anonymisierung und die Ausführungen zur Interessenabwägung:

»Das IDSG lässt erkennen, dass auch im Falle privilegierter wissenschaftlicher Forschung und gleichzeitigem Bestehen eines erheblichen kirchlichen Interesses an der Missbrauchsaufarbeitung der Bistümer das Schutzinteresse der vom Missbrauch betroffenen Person höherrangig sein kann, insbesondere wenn es um höchstpersönliche Informationen aus den Verfahren zur Anerkennung des Leids geht, die streng zweckgebunden erhoben worden sind.«

Bei der Entscheidung zu Auskunftsrechten im Kontext von Betreuungsakten betont die Aufsicht die weite Auslegung des IDSG. »Durch die weite Auslegung erlangt die sorgfältige Abwägung der kollidierenden Grundrechte von Dritten besonderes Gewicht.« Pauschale Verweise auf die Vertraulichkeit könnten nicht genügen.

Zahlen zur Aufsichtstätigkeit

Der Norden schert nicht aus: Absolute Zahlen gibt es nicht. Die Zahl der Beschwerden ist stabil, die gemeldeten Datenschutzverletzungen sind leicht angestiegen, als Grund wird eine Datenschutzverletzung angegeben, die mehrere Einrichtungen betroffen hat.

Ein Kirchengemeindeverband wurde anlasslos geprüft, dabei wurden mehrere Anordnungen ausgesprochen. Die Prüfung von Videoüberwachungsanlagen an Schulen läuft. Gemeinsam mit dem KDSZ Frankfurt läuft eine Sensibilisierungskampagne zu Datenschutzverletzungen, mehr als 100 Einrichtungen werden befragt. Die Ergebnisse sollen im kommenden Tätigkeitsbericht präsentiert werden.

Ein Bußgeld wurde verhängt, das derzeit vor dem IDSG angegangen wird – das ist immer gut, weil so mit etwas Glück durch Veröffentlichung der Entscheidung Transparenz herbeigeführt wird (wie bisher einmal bei einem Bußgeld der KDSA Ost geschehen). Insgesamt seien vier neue Verfahren vor dem IDSG im Berichtszeitraum dazugekommen, damit seien sechs dort und eines am DSG-DBK anhängig.

Konkrete Fälle und Problemstellungen

Hilfreich sind die grau hinterlegten praktischen Hinweise, die einigen Fällen beigegeben werden. Solche Hinweise gibt es zu Videoüberwachung, Transport von Unterlagen, Umgang mit Daten, die durch den Kontext sensibel werden, Unterlagen in verlassenen Gebäuden, ToMs beim E-Mail-Versand, Umgang mit Schüler*innen-Daten, Einsatz von KI-Tools, Zugriffskonzepte, Fotos durch Dritte

Wie schon der bayerische Diözesandatenschutzbeauftragte in seinen Tätigkeitsberichten beschrieb, gab es auch im Norden einigen Beschwerden, die sich nicht auf datenschutzrechtliche Sachverhalte bezogen. Genannt werden die Anfechtung einer Gremienwahl wegen Verfahrensfehlern und Auskunftbegehren zu Unterlagen und Sitzungsprotokolle ohne personenbezogene Daten.

Fälle im Gesundheitsbereich

Die Übersicht der Hinweise zeigt, dass im Norden die üblichen Datenpannen passieren. Eine besonders unschöne zeigt ein Fall aus einem Krankenhaus, wo durch Auto-Adress-Vervollständigung versehentlich eine Arzt-Mail an einen Mailverteiler geschickt wurde. »So hatten 42 Empfänger die Möglichkeit, von der Wunddokumentation des Patienten Kenntnis zu nehmen.«

Kurios ist der Fall einer medizinischen Studie, bei der ein Arzt seine Frau für Telefoninterviews eingespannt hat: »durch die Kenntnis des Klinikaufenthaltes und die Geeignetheit der Patienten für die Studie des Ehemannes, deren Fachrichtung der Ehefrau bekannt sein dürfte, [waren] zweifellos Rückschlüsse auf den Gesundheitszustand der Patienten möglich«.

Fotografieren und Verlieren von Kinderbildern

Regelmäßig kommen Kinderbilder durch den Einbruch in Kitas abhanden. Die Aufsicht betont, dass bei solchen Verlusten die Eltern über den Datenverlust benachrichtigt werden müssen, wenn die Datenträger unverschlüsselt waren. Auch die Vermutung, es handle sich wohl lediglich um Beschaffungskriminalität, die Inhalte der gestohlenen Datenträger seien gar nicht interessant, werden nicht gelten gelassen:

»Gerade im Falle von reiner Beschaffungskriminalität kann nämlich davon ausgegangen werden, dass die Geräte zeitnah im Internet, Darknet, ins Ausland etc. verkauft werden, ohne dass die Täter im Vorfeld des Verkaufs eine datenschutzkonformeLöschung der Bilder von den Geräten vornehmen.«

Ausführlich geht es um »Besucherfotos«, also Fotografieren in Einrichtungen durch Eltern und andere Besucher*innen. Es wird empfohlen, Rahmenbedingungen zu setzen, indem per Hausrecht das Fotografieren verboten wird. Fotos sollen stattdessen unter der Verantwortung der Einrichtung angefertigt werden und den Erziehungsberechtigten unter Beachtung der erteilten Einwilligungen zur Verfügung gestellt werden. ». Je nach Veranstaltung kann es auch eine Lösung sein, eine „Fotoecke“ einzurichten, die für private Fotografie zu nutzen ist.« Bei Beschwerden über Fotos durch Dritte sei »soweit wie möglich eine Mitwirkung geboten, beispielsweise durch Kontaktaufnahme mit den verantwortlichen Personen«, geboten.

Prüfung von Überwachungskameras an Schulen

An 17 Schulen im Zuständigkeitsbereich der KDSA Nord gibt es nach Kenntnis der Aufsicht Videoüberwachung. An einer Schule sind es sogar 14 Kameras. 2025 sollen sechs der Schulen geprüft werden. Für die zu prüfenden Schulen wie für alle dürfte sehr hilfreich sein, dass vorab ein Fragenkatalog dazu veröffentlicht wird, den Verantwortliche beantworten können müssen.

KI und Datenschutz

KI-Themen ziehen sich durch den Bericht, beginnen mit der KI-Verordnung im Kapitel über rechtliche Entwicklungen. Die Aufsicht legt besonderen Wert darauf, Datenschutz »von Beginn an (bei der Erstentscheidung und Auswahl eines Systems) und in jeder Phase (Implementierung, ggf. Training, Einsatz etc.)« zu berücksichtigen.

Datenschutzfolgenabschätzungen

Eine Datenschutzfolgenabschätzung »dürfte« nach der vertretenen Ansicht in den meisten Fällen erforderlich sein – besondere Kriterien, wann nicht, werden nicht genannt. Immerhin ist das eine etwas zurückhaltendere Position als die anderer kirchlicher Aufsichten, die während der Pandemie teils schon Videokonferenzsysteme immer als derart neuartige Systeme auffassen wollten, dass es einer DSFA bedarf. (Praktikabel dürfte wohl sein, sich an den Risikoklassen der KI-Verordnung zu orientieren und mindestens dann auf eine DSFA zu verzichten, wenn kein besonderes Risiko vorliegt.)

Maßnahmen zum Einsatz von KI-Systemen

Anhand eines Falles, bei dem (schlecht) anonymisierte Daten in ChatGPT eingegeben wurden, um einen Entwicklungsbericht im Kontext von betreutem Jugendwohnen anzufertigen, werden Kriterien für die Nutzung von KI-Systemen genannt. Betont wird, dass nur geprüfte und freigegebene Systeme eingesetzt werden dürfen; gerade bei KI ist die Gefahr von Schatten-IT. Beispielhaft werden folgende Maßnahmen genannt:

• Sicherstellung, dass Mitarbeitern bei Neueinstellungen das Verbot bekanntgemacht wird (z.B. Aufnahme des Verbots in einem Merkblatt, Beschreibung des Verbots bei der Erstinformation zum Datenschutz)
• Erstellung einer Mitarbeiterrichtlinie
• regelmäßige Sensibilisierungsmaßnahmen
• Nachbelehrung sämtlicher Mitarbeiter
• Trennung von Anwender- und Administratorenrechten
• regelmäßige Überprüfung und ggf. Anpassung der getroffenen Maßnahmen

Ausstattung der Behörde

2024 waren alle vier Planstellen besetzt. Es wurden Haushaltsmittel in Höhe von 378.372 Euro aufgewendet (2023: 298.920 Euro; 2022: 418.322 Euro); die Formulierung deutet bereits an, dass nicht der Planansatz, sondern die tatsächlichen Ausgaben beziffert werden. Auf Nachfrage erläuterte der Diözesandatenschutzbeauftragte Andreas Bloms, dass sich so auch die Schwankungen erklären. Veränderungen in der Mittelzuweisung gebe es nicht, die Schwankungen kämen durch organisatorische und personelle Veränderungen
zustande.

Weiterhin ist die KDSA Nord nicht als Körperschaft des öffentlichen Rechts errichtet. Dieses Mal erfährt man gleich gar nichts über den Fortschritt dieses Langzeitprojekts. Auf Anfrage sagte Bloms aber, dass es keine Neuigkeiten gebe, die Errichtung einer Körperschaft aber weiterhin vorgesehen ist.

Sonstiges

• 2024 wurde das erste Zertifizierungsverfahren nach Art. 42 DSGVO in Deutschland akkreditiert. Das könne auch im Bereich des KDG als Faktor für hinreichende Garantien hervorgezogen werden. Es müsse aber stets darauf geachtet werden, dass eventuelles Sondergut des KDG bei den zertifizierten Verfahren beachtet wird, ansonsten brauche es ergänzend die Einhaltung der nicht abgedeckten Regelungen aus dem katholischen Datenschutzrecht.
• Das EuGH-Urteil zu Bestellungen bei einer Onlineapotheke (Urteil vom 4. Oktober 2024 – C-21/23) hat besondere Kategorien personenbezogener Daten besonders weit ausgelegt. Das könne auch im Bereich des KDG herangezogen werden, mit allen damit verbundenen Problemen: »Allein der Kontext, in dem (isoliert betrachtet) wenig sensible Daten wie Name und Anschrift verarbeitet werden, kann dazu führen, dass die Datenschutzklasse III anzunehmen ist.«
• Ein konstantes Ärgernis scheinen Datenschutzinformationen aus der Retorte zu sein. Oft würde mit Textbausteinen über Verarbeitungen informiert, die es gar nicht gebe. Die Aufsicht mahnt daher neben Zielgruppenfokussierung und Übersichtlichkeit ein Beschränkung auf die tatsächlich stattfindenden Datenverarbeitungen an. »Zusammengefasst: Die Datenschutzinformation muss so gestaltet sein, dass die Inhalte zutreffen und die betroffene Person diese verstehen kann.«

Fazit

Mit 38 Seiten ist der Nord-Bericht auf der kompakteren Seite im Vergleich zu den Berichten der anderen kirchlichen Aufsichten, aber das stellt keinen Makel dar. Die Praxishinweise sind hilfreich, die Themenauswahl relevant. Schön ist, dass das Diözesanrecht der beaufsichtigten Bistümer im Blick ist und Entscheidungen der kirchlichen Datenschutzgerichtsbarkeit kritisch gewürdigt werden.

Bisher besprochene Tätigkeitsberichte der KDSA Nord

• Tätigkeitsbericht 2019 des Diözesandatenschutzbeauftragten Nordwest erschienen
• Keine Gelegenheit für Bußgelder – Tätigkeitsbericht 2020 der KDSA Nord
• Kita geprüft, Caritas kommt: Tätigkeitsbericht 2021 der KDSA Nord
• Auf zum letzten Bericht – Tätigkeitsbericht 2022 der KDSA Nord
• Harmonisiertes Bußkonzept – Tätigkeitsbericht der KDSA Nord 2023
• KI ist da – Tätigkeitsbericht der KDSA Nord 2023