Besserer Datenschutz oder bürokratisches Monster?
Vor 100 Tagen kam der große Einschnitt beim Datenschutz: Erst trat das Gesetz über den kirchlichen Datenschutz (KDG) in Kraft, am Tag darauf die europäische Datenschutzgrundverordnung (DSGVO). Die Gesetze sollten den Datenschutz in der ganzen Europäischen Union auf ein neues Niveau heben. Mehr Schutz für die personenbezogenen Daten jedes einzelnen Menschen in der EU – und auch für den kirchlichen Datenschutz ein grundlegendes Update. Und was hat sich in der Praxis verändert? "Nichts", sagt Elaine Rudolphi nach kurzem Überlegen. Die Theologin ist pastorale Mitarbeiterin in einer Bremer Pfarrei und beschäftigt sich intensiv mit Technik. So gut wie alle Aspekte ihrer täglichen Arbeit in der Seelsorge haben mit Menschen zu tun – und damit mit personenbezogenen Daten.
„Theoretisch sind die Datenschutzregeln schon unpraktisch, praktisch bleiben sie aber weitgehend Theorie.“
Kurz vor dem Stichtag, an dem die neuen Gesetze in Kraft traten, war sie schon äußerst kritisch gegenüber den neuen Datenschutzregeln. Zu praxisfremd schienen ihr die Regeln: Ohne WhatsApp wäre der Gemeindealltag kaum zu organisieren. Heute, 100 Tage später, ist es nicht anders. "80 Prozent der Kommunikation in meiner Gemeinde läuft immer noch über unverschlüsselte E-Mail, der Rest großteils über WhatsApp", sagt Rudolphi – also eigentlich nicht datenschutzkonform. Aber wie soll das auch anders gehen mit den vielen Ehrenamtlichen, die man kaum auf eine einheitliche, sichere Kommunikationsform verpflichten kann? An Rudolphi liegt es nicht: Neben WhatsApp hat sie noch fünf datenschutzkonforme Messenger auf dem Handy: Threema, Signal, Telegram und wie sie alle heißen – für die Leute, denen Datenschutz wichtig ist.
Befürchtungen haben sich nicht erfüllt
Was Rudolphi erzählt, hört man von vielen aus Pfarreien und Verbänden: Theoretisch sind die Datenschutzregeln schon unpraktisch, praktisch bleiben sie aber weitgehend Theorie. Die ersten Befürchtungen, dass die neuen Regeln pastorale Arbeit unmöglich machen würden, dass Ehrenamtliche mit Abmahnungen überzogen würden, dass das Fotografieren beim Gemeindefest unmöglich werden würde, dass es Bußgelder von den Datenschutzaufsichten hageln würde, sind nicht eingetreten.
Das muss nicht sein, hat auch der oberste kirchliche Datenschützer klargestellt: Auch weiterhin gibt es Möglichkeiten, Erinnerungen aus dem Kindergarten und der Jugendarbeit ohne Schwärzungen darzustellen.
Kleinere Aufreger gab es: Das Sommerlager der Katholischen Studierenden Jugend aus Bonn zum Beispiel, bei dem alle Teilnehmer für das Gruppenfoto eine Papiertüte über den Kopf gezogen hatten. "Katholische Jugendarbeit. Ab sofort ohne Gesicht", hatten sie darüber geschrieben und auf Facebook damit einige Lacher und viel Wut über das neue Gesetz geerntet. Oder das Erzbistum Freiburg, das die Gottesdienstübertragungen aus dem Freiburger Münster ausgesetzt hatte, weil man befürchtete, das nur mit Unterschriften von allen Mitfeiernden zu dürfen: Praktisch unmöglich also. Mittlerweile sendet die Erzdiözese wieder: Man brauche keine Einwilligung, die Berufung auf die Ausübung einer Aufgabe, die im kirchlichen Interesse liegt, genüge. Und dann war da der Kindergarten in Dormagen, der bundesweit durch die Presse ging, weil er in Fotoalben zum Abschluss der Kindergartenzeit Bilder von Kindern geschwärzt hatte. Das fand auch der Vorsitzende der Konferenz der Diözesandatenschutzbeauftragten, Andreas Mündelein, "merkwürdig".
Datenschutzaufsichten haben viele Handreichungen herausgegeben
Alles halb so wild, hatte Mündelein in seinem Bilanzinterview katholisch.de gesagt: Weder seien bisher Bußgelder verhängt worden, noch seien er und seine Kollegen von der Datenschutzaufsicht darauf aus, möglichst harte Strafen auszusprechen. Stattdessen wollen sie beraten. Und da gibt es viel zu tun: Wie bei den staatlichen Landesdatenschutzaufsichten ist auch bei den kirchlichen Behörden – fünf davon gibt es in Deutschland – die Zahl der Anfragen deutlich gestiegen. Einige Beschlüsse haben die Datenschützer gefasst, um das Gesetz möglichst einheitlich anzuwenden. So wurden Regeln für das Fotografieren präzisiert. War zuerst noch unklar, ob man Bilder von öffentlichen Veranstaltungen ohne Einwilligung aller Abgebildeten veröffentlichen darf, wurde auf ein Gerichtsurteil hin das nun doch als zulässig erachtet. Nur die Regeln für Fotos mit Kindern bleiben weiterhin sehr streng. Leitfäden für die elektronische Kommunikation, für die Nutzung von Messengerdiensten und von Cookies, mit denen zum Beispiel das Nutzungsverhalten auf Webseiten gemessen wird, wurden veröffentlicht.
Linktipp: Infothek des Katholischen Datenschutzzentrums
Die Diözesandatenschutzbeauftragten stellen praktische Handreichungen und Checklisten zur Verfügung, damit der Umstieg auf das neue Gesetz über den kirchlichen Datenschutz gelingt.Und dennoch bleiben einige Unklarheiten, die Unsicherheit gerade bei Ehrenamtlichen und an der Basis bleibt groß – und nicht nur da: Auch in der Caritas machte die neue Datenschutzgesetzgebung einigen Wirbel, erzählt Stefan Banning, der Datenschutzbeauftragte des Kölner Diözesancaritasverbandes: "Es gab sehr viel Aufregung wegen des KDG und der DSGVO." Viele Datenschützer wiegeln ab, wenn man fragt, ob die Aufregung berechtigt war. Nicht so Banning. Zu bürokratisch scheint ihm die neue Gesetzgebung, und vieles passt nicht recht auf soziale Einrichtungen, wie sie die Caritas betreibt. Vor allem die umfangreichen Informationspflichten seien kompliziert: "Viele stellen die Frage, ob das am Ende dem Datenschutz für die Klienten dienlich ist, wenn wir sie mit so viel Papier und so vielen Informationen versorgen müssen", erzählt Banning aus der Praxis der sozialen Einrichtungen: Viele Klienten sprächen kein Deutsch, man arbeite mit älteren Menschen und Menschen mit Behinderung. Die kleinteiligen Regelungen, die vielen Fachbegriffe sorgten eher für Rechtsunsicherheit: "Das wird eher zu einer ablehnenden Haltung führen, statt den Datenschutz zu fördern", glaubt Banning.
Bärendienst für den Datenschutz?
So geht es auch Rudolphi in ihrer Arbeit in der Pfarrei: Sie sieht sich immer wieder in der Rolle, Regeln erklären zu müssen, hinter denen sie eigentlich gar nicht steht und die sie auch für kontraproduktiv hält. Denn gegen Datenschutz ist sie nicht – nur muss der auch praktikabel sein und angenommen werden. Zuviel Bürokratie sieht sie daher kritisch. "Das schadet dann auch dem Anliegen des Datenschutzes", fürchtet sie: Weil die Menschen überfordert von den komplizierten Regeln seien, würden sie noch weniger Wert auf Datenschutz legen.
Linktipp: Kirchlicher Datenschutz: Gut gemeint, schlecht umgesetzt
Die Verwirrung ist groß: Rechtsunsicherheit, mangelnde Informationen, lebensferne Auslegungen. Das neue kirchliche Datenschutz-Gesetz schadet dem eigentlichen Anliegen, kommentiert Felix Neumann.Banning wünscht sich für die Caritas Datenschutzgesetze, die die Besonderheiten der sozialen Einrichtungen besser berücksichtigen. "Wie sich ein Gesetz in der Praxis sozialer Institutionen auswirkt, vom Kindergarten bis zum Altenheim, und was das für Folgen hat, das hat vorher keiner richtig reflektiert." Rudolphi wird noch grundsätzlicher, wenn man sie nach ihrem Wunsch für Reformen am KDG fragt: "Abschaffen", sagt sie kategorisch. "Die DSGVO reicht völlig aus. Die Kirche braucht kein eigenes Datenschutzgesetz." Das sei ein Denken aus einer lange vergangenen Zeit, wenn die Kirche eigene Gesetze aufstelle und nicht einfach die allgemeinen Gesetze anwende. Sie kritisiert auch, dass das KDG in seiner Präambel nur ganz weltlich auf die EU verweist und keine theologische Begründung liefert: Warum dann die Kirche ein eigenes Gesetz braucht, ist ihr nicht verständlich.
Innerhalb von drei Jahren soll das Gesetz überprüft werden
Das sieht einer der Richter am neu eingerichteten kirchlichen Datenschutzgericht anders. Stefan Korta ist Kirchenrechtler und arbeitet als Anwalt in seiner eigenen kanonistischen Kanzlei. Im Sommer wurde er als beisitzender Richter des "interdiözesanen Datenschutzgerichts" berufen und wird künftig über Beschwerden gegen Entscheidungen der kirchlichen Datenschutzaufsicht und Klagen gegen kirchliche Stellen, die Daten mutmaßlich zu Unrecht verarbeiten, entscheiden. "Der kirchliche Datenschutz wurzelt ganz fundamental in kirchlichem Recht, unabhängig von der Formulierung im KDG", betont er. Das kirchliche Recht kennt im Kanon 220 des CIC eine Bestimmung, die auf den Persönlichkeitsschutz der Gläubigen abhebt: "Niemand darf den guten Ruf, den jemand hat, rechtswidrig schädigen und das persönliche Recht eines jeden auf den Schutz der eigenen Intimsphäre verletzen", steht da. Daraus leitet Korta dann ab, warum es eigene kirchliche Regeln braucht: "Wenn der einzelne Gläubige das Recht hat, dass seine Persönlichkeitsrechte geschützt werden, dann gibt es auch eine Verpflichtung der kirchlichen Verwaltung, das umzusetzen."
„Niemand darf den guten Ruf, den jemand hat, rechtswidrig schädigen und das persönliche Recht eines jeden auf den Schutz der eigenen Intimsphäre verletzen.“
Bisher hatten Korta und seine Kollegen an den neuen Datenschutzgerichten noch nicht so viel zu tun. Ein erstes Treffen der neuen Richter gab es Ende August, verrät die Bischofskonferenz, und bisher lägen auch noch keine Verfahren vor, die es zu bearbeiten gelte. Korta rechnet aber durchaus mit Arbeit: Wenn aus dem jedem Bistum pro Halbjahr auch nur ein Fall vor Gericht gehe, dann kämen auf die Richter über 50 Verfahren pro Jahr zu. Das sind dann einige Gelegenheiten, das kirchliche Datenschutzgesetz in allen Facetten auszuloten und Erfahrungen zu sammeln. Deshalb ist der Kirchenrechtler auch zurückhaltend, wenn man ihn nach seinen Ideen zur Reform des KDG fragt. Er halte nichts davon, ein so frisches Gesetz schon einer Fundamentalkritik zu unterziehen: "Wir haben jetzt diese neuen Normen, und wir sollten sie zunächst anwenden und die Entscheidungen abwarten, wo wirklich Änderungsbedarf ist." Im übrigen habe der Gesetzgeber, also die deutschen Bischöfe, eine dreijährige Frist vorgesehen, innerhalb derer das Gesetz überprüft werden solle.
Kritik aus Verbänden und der Wissenschaft
Andere waren in den ersten 100 Tagen nicht so zurückhaltend: Aus den Jugendverbänden und von der Gesellschaft katholischer Publizisten kam Kritik an der unklaren Rechtslage bezüglich Bildern, auch die Internetseelsorger haben einen detaillierten Katalog an Änderungswünschen vorgelegt. In der Rechtswissenschaft wird diskutiert, ob das KDG überhaupt europarechtskonform ist, oder ob manche Regeln, etwa zur Übertragung von Daten in Nicht-EU-Ländern, nicht zu lax formuliert sind. Der Kirchenrechtler Thomas Schüller nennt das KDG gar ein "bürokratisches Monster" und beklagt Unklarheiten, wer denn nun wirklich davon erfasst ist und fragt nach, warum Bistümer und Pfarreien von den drohenden Bußgeldern ausgenommen sind.
Datenschutz mit Brief und Siegel: Die Kirche regelt den Datenschutz mit eigenen Institutionen wie dem katholischen Datenschutzzentrums in Dortmund. Im Siegel der Aufsichtsbehörde ist der heilige Ivo zu sehen, der Patron der Datenschützer.
Am Anfang war nicht nur die Unsicherheit, sondern auch die Panik groß. Die Unsicherheit ist nach 100 Tagen bei vielen geblieben. Kaum jemand, mit dem man in der Kirche über Datenschutz spricht, ist rundum zufrieden mit den neuen Regeln. Die Panik scheint sich aber gelegt zu haben. Kaum eine Befürchtung ist eingetreten – bisher. Und so haben sich die meisten haben arrangiert mit dem Gesetz über den kirchlichen Datenschutz, manche ignorieren es, an vielen Stellen wird viel Aufwand eingesetzt, um datenschutzkonform zu arbeiten. Ob das KDG eine Erfolgsgeschichte für den Schutz der persönlichen Daten in der Kirche wird, oder ob es tatsächlich nur ein bürokratisches Monster ist, das die Seelsorge behindert, bleibt offen.