Die KDSA Ost hat ihren Tätigkeitsbericht für das Berichtsjahr 2023 vorgelegt. Auf 116 Seiten geht es vor allem praxisorientiert zu: Detaillierte Prüfberichte und Schilderungen, wie man etwa ein Verarbeitungsverzeichnis einer Kita richtig gestaltet, machen diesen Bericht zur Arbeitshilfe.

Krass sind einige der Fälle, die der Diözesandatenschutzbeauftragte Matthias Ullrich schildert: Von einem plastischen Chirurgen, der Fotos einer Patientin zweckentfremdet bis zu einem Bistum, das so gar keine Lust hat, auf ein Auskunftsersuchen zu reagieren, tun sich Abgründe auf. In den beiden Fällen gab es kein Bußgeld – ein weiterer Extremfall hat aber sogar eine fünfstellige Buße nach sich gezogen. Ein Motiv zieht sich in vielen Fällen durch: Wo es schief läuft, sorgt renitentes Verhalten von Verantwortlichen oft für weitere Eskalation.

Grundsätzliche Einschätzungen

Die Ordensdatenschutzbeauftragten hatten ihren beaufsichtigten Stellen durchweg ein gutes Zeugnis ausgestellt. Im Gebiet der KDSA sieht es durchwachsener aus. Neben konkreten Situationen, die Anlass zu Beanstandungen geben, ist allgemein die Rede davon, dass bei manchen Stellen Datenschutz nur auf der Schauseite gepflegt wird: »Gelegentlich scheint man sich den Regelungen ergeben zu haben, um mit ein bisschen Datenschutzkosmetik Ärger zu vermeiden.« Dennoch wird insgesamt das Fazit gezogen, dass Datenschutz in den Einrichtungen »nicht nur angekommen, sondern auch etabliert« ist.

Entwicklungen im Datenschutz

Viele der besprochenen Themen sind schon aus den regelmäßig gepflegten aktuellen Nachrichten auf der KDSA-Webseite bekannt, auf die hier im Wochenrückblick regelmäßig hingewiesen wird.

Besonders interessant – allerdings auch schon zuvor auf der Webseite veröffentlicht – sind die Beobachtungen speziell zur kirchlichen Rechtsentwicklung. Angeführt wird die Auswirkung der reformierten Grundordnung auf die Erforderlichkeit der Verarbeitung von Daten zur Religionszugehörigkeit sowie die Frage nach der Erforderlichkeit des Aufgebots. Die KDSA Ost stellt hier wichtige Querverbindungen mit kirchlichen Rechtsmaterien abseits des Datenschutzrechts her – das passiert ansonsten viel zu selten.

Aufsichtstätigkeit

Die Aufsichtstätigkeit wird fall- und praxisorientiert mit vielen Details geschildert. Was fehlt, sind Zahlen zum Volumen der Aufsichtstätigkeit. Während andere kirchliche Aufsichten zumindest angeben, wie sich die Zahl von Beschwerden, Datenpannen und Beratungen entwickeln (absolute Zahlen gibt es nur von der Ordensaufsicht), fehlt bei der KDSA Ost sogar diese Information.

Prüfungen

• Die Aufsicht berichtet über eine angekündigte Vor-Ort-Kontrolle eines MAV-Büros. Das ist schon allein eine relevante Information, weil damit klar ist, dass auch die Arbeit von MAVen und ihre Datenschutz-Compliance im Blick der Aufsicht ist. Im vorliegenden Fall hat sich die MAV aber durch exzessive Terminverschiebungswünsche widerspenstig gezeigt. Keine gute Idee: »Die Weigerungen, den Anweisungen der Datenschutzaufsicht zu folgen und der Datenschutzaufsicht während der Geschäftszeiten Zutritt zu gewähren, stellen je für sich einen Verstoß gegen die Bestimmungen des KDG dar.«
• Prüfungen eines Caritas-Regionalzentrums und eines Seniorenzentrums werden geschildert – das erste ein Positivbeispiel, das zweite ein negatives. Die detailliert geschilderten Prüfergebnisse sind hilfreich, um als bDSB selbst einmal eine Übung zu planen: Wären so Schwächen in meinem Datenschutz-Management gefunden worden?
• Nach der Kita-Querschnittsprüfung im Jahr zuvor wurden zwei Kindertagesstätten, die nicht reagiert haben, vor Ort geprüft. Ein Problem waren fehlende Einwilligungen für Fotos in Entwicklungsdokumentationen; eine Kita ging davon aus, dass das über den Betreuungsvertrag abgedeckt sei. Die Aufsicht sieht das nicht so, Fotos seien nicht erforderlich, um die gesetzliche Verpflichtung zur Führung einer Entwicklungsdokumentation zu erfüllen.
• Wieder wurden im Berichtsjahr Webseiten anlasslos überprüft. Häufig bemängelt wurden Einbettungen von Inhalten von Drittanbietern, etwa Schriften (oft Google oder Adobe Fonts) oder Social-Media-Embeds. Schon vor dem Cookiebanner gesetzte Cookies und Datenschutzinformationen, die nicht den tatsächlichen Stand der Webseite abbilden, waren weitere Probleme.

Datenpannen und Vorfälle

• Der Klassiker »offener E-Mail-Verteiler« wird in einigen Beispielen erläutert. Ein eigener Abschnitt widmet sich dem korrekten Versand von E-Mails.
• Das Auskunftsrecht sorgt ebenfalls regelmäßig für Ärger. In einem Fall landete ein Auskunftsersuchen per E-Mail im Spam-Ordner und wurde übersehen – das liegt in der Verantwortung des Verantwortlichen. Spam händisch überprüfen ist also nötig.
• Ein weiterer Fall zeigt massive Defizite in einem Bistum. Erst nach deutlich über einem Jahr, mehrfachen Mahnungen der betroffenen Person und einer Beanstandung durch die Datenschutzaufsicht konnte das Auskunftsbegehren mit einer Einigung abgeschlossen werden. Die Aufsicht hätte hier gerne ein Bußgeld verhängt. Indes: Sie kann es nicht, da sich die bischöflichen Gesetzgeber für ihre eigenen Behörden von Bußgeldern ausgenommen haben. »Ein vergleichbar renitentes Verhalten eines nicht öffentlich-rechtlich verfassten Verantwortlichen hätte mit Sicherheit eine nicht unerhebliche Geldbuße nach sich gezogen«, schreibt Ullrich, der den Vorgang als »erschreckend« einordnet: »Wenn der Ortsordinarius als Gesetzgeber sich nicht an seine eigenen Gesetze hält, stellt sich schnell die Frage, ob dieses Gesetz mit der DS-GVO in Einklang steht«.
• Ausführlich geht es um Datenschutz im Gesundheitswesen. Fehlversände, in der Öffentlichkeit verlorene Akten sowie verspätete oder verweigerte Auskünfte sind Standardfälle. Krass ist ein Fall, in dem ein plastischer Chirurg Fotos einer Patientin ohne Einwilligung für Schulungen verwendete. Auch wenn das Gesicht unkenntlich gemacht wurde, handle es sich um personenbezogene Daten.
• In einer Kita wurde das E-Mail-Konto übernommen, alle Eltern wurden aufgefordert, Geld für die angeblich in der Türkei feststeckende Kita-Leiterin zu überweisen – zum Glück ging niemand auf diese Variante des Enkeltricks herein.

Bußgelder

Im Fall der renitenten MAV wurde ein Bußgeld angedroht, im Fall des renitenten Bistums konnte keines verhängt werden. Berichtet wird nur über eine erfolgte Geldbuße.

Mit einer Einrichtung gab es einen Streit um Videoüberwachung. Die Aufsicht ordnete an, drei Kameras abzuschalten. Vor dem IDSG wurde ein Vergleich geschlossen, später erklärte der Verantwortliche gegenüber der Aufsicht, dass sie alle drei Kameras abgeschaltet habe. Das wurde bei einer unangekündigten Kontrolle überprüft – und die Kameras liefen noch. Der Verantwortliche räumte ein, dass der Betrieb unzulässig war. Ein Bußgeld in fünfstelliger Höhe wurde ohne Rechtsmittel akzeptiert und bezahlt.

Praxistipps

• Ausführlich wird besprochen, wie man mit dem Recht am eigenen Bild in Betreuungssituationen umgehen sollte. Der DDSB weist hier auf die höchstpersönlichen Rechte der betreuten Person hin: »Die Einwilligungsfähigkeit der Betreuten ist daher konkret und bezogen auf den Einzelfall zu prüfen. Ist diese gegeben, muss sie zwingend eingeholt werden.« Falls nicht, sei eine Einwilligung durch den*die Betreuer*in nicht ausgeschlossen.
• Konfliktträchtig sind Fundraising-Maßnahmen von caritativen Einrichtungen. Ein Fall wird geschildert, in dem ein Caritasverband über einen Dienstleister Fundraising-Briefe verschicken lässt und dieser Dienstleister dafür auch angemietete Adressen benutzt. Dabei wurden aber auch Adressen von Personen verwendet, die gegenüber dem Caritasverband schon einen Werbewiderspruch erklärt hatten. Der Verband muss aber sicherstellen, dass Widersprüche respektiert werden, auch wenn er selbst gar keinen Zugriff auf die gemieteten Adressen hat. Eine aus Sicht der KDSA Ost wohl zulässige Lösung ist die Übermittlung einer Sperrdatei an die Dienstleister.
• Wie ein Verarbeitungsverzeichnis für Kitas aussehen sollte und was typische Verarbeitungstätigkeiten in der Kita sind, wird ausführlich geschildert. Damit sollte es keine Ausrede mehr geben, kein Verarbeitungsverzeichnis zu haben.
• Löschkonzepte und der Umgang mit personenbezogenen Daten in persönlichen E-Mail-Postfächern sind die Endgegner jedes Datenschutzkonzepts. Die Hinweise zur Löschung personalisierter E-Mail-Konten von Beschäftigten sind daher sehr hilfreich. Die Empfehlung: Klare schriftliche Vorgaben für das Vorgehen beim Ausscheiden eines Mitarbeiters machen, personalisierte Postfächer deaktivieren, private E-Mails löschen, nach Möglichkeit durch die betroffene Person selbst vor dem Ausscheiden. Im Idealfall werden persönliche E-Mails in einem separaten Ordner gespeichert.

Kleinere Beobachtungen

Schuleingangsuntersuchungen gehören eigentlich nicht zur direkten Zuständigkeit der KDSA Ost, durch kirchliche Schulen gibt es aber Berührungspunkte. Um sich hier ein Bild zu verschaffen, hat Ullrich mit Hilfe von Informationsfreiheitsgesetzen Informationen der zuständigen staatlichen Stellen besorgt. Hier sieht man, wie IFG-Regelungen einen unerwarteten Nutzen haben und zum Grundrechtsschutz beitragen.

Fazit

Der Bericht der KDSA Ost ist jedes Jahr besonders praxisorientiert. Der Orientierung an Einzelfällen steht das Fehlen sogar von relativen Entwicklungen der absoluten Zahlen der Aufsichtstätigkeit gegenüber. Die Vielzahl an geschilderten Fällen ermöglicht es, das eigene Datenschutzmanagement konkret zu verbessern. Eine didaktisch sehr gelungene Entscheidung ist, eine positiv und eine negativ verlaufende Vor-Ort-Kontrolle zu schildern. So wird unmittelbar deutlich, was Faktoren für gutes und schlechtes Datenschutzmanagement sind.

Einzelne geschilderte Fälle befremden, allen voran das renitente Bistum und die ohne Einwilligung verwendeten Fotos einer Patientin. Dass so etwas immer noch geschehen kann, zeigt, wie wichtig eine gute Datenschutzaufsicht ist, und wie wichtig es ist, dass Verantwortliche den Sinn von Datenschutz verstehen und alle Beschäftigten bis in die Führungsebene ordentlich schulen. Deutlich wird auch, dass man mit der Aufsicht durchaus reden kann – während Ignorieren und Aussitzen zur Eskalation führen.

Durchweg wird deutlich, dass bei Ullrich »Datenschutz schützt nicht Daten, sondern Menschen« nicht nur eine Phrase ist. Es geht nicht um Compliance um der Compliance willen, sondern um den Respekt und den Schutz von Grundrechten mit Hilfe des Rechts: Das gilt für den Fall der Patientin, deren Fotos für Schulungen zweckentfremdet wurden, und das gilt für die Frage nach den Einwilligungen von Betreuten, wo es nicht selbstverständlich ist, dass deren individuelle Fähigkeit zur Einwilligung stark gemacht wird.

In den vorigen beiden Berichten wurde bemängelt, dass ein Bistum massive Defizite im Datenschutzmanagement seiner Pfarreien hatte. Im aktuellen Bericht wird dieser Fall nicht noch einmal aufgegriffen. Es steht also zu hoffen, dass die Defizite behoben wurden. Ob es sich bei dem renitenten Bistum aus dem aktuellen Bericht um dasselbe handelt, wird nicht genannt. Wichtig sind die sehr deutlichen Worte dazu, dass der Bischof als Gesetzgeber sich selbst nicht an sein Gesetz hält und seine Verwaltung auch nicht dazu anhält, verbunden mit der Klage über die fehlende Bußgeldmöglichkeit. Leider können sich diese Bistümer unter dem Schutz der Anonymität verstecken. Wünschenswert wäre, dass die Aufsichten hier weniger diskret vorgehen – etwa in Anlehnung an den Tätigkeitsbericht des BfDI: Dort werden in den Anlagen detailliert alle Kontrollen und Beanstandungen aufgeführt, für nicht-öffentliche Stellen anonym nur mit Branchenbezeichnung, für öffentliche Stellen unter Nennung der Behörde. Für diese Nennung gibt es in § 15 BDSG keine explizite Rechtsgrundlage – daher sollte auch die fehlende Rechtsgrundlage im KDG kein Hindernis darstellen.