Datenschutz: "Niemand sollte vor Geldbußen Angst haben"
Seit dem 24. Mai 2018 gilt das neue Gesetz über den kirchlichen Datenschutz (KDG). Ein Tag vor der europäischen Datenschutzgrundverordnung (EU-DSGVO) ist in der Kirche ein umfangreiches neues Regelwerk in Kraft getreten. Seither wird viel diskutiert: Sind die Regeln zu streng? Zu weltfremd? Was darf man jetzt überhaupt noch? Dass die Regeln eingehalten werden, dafür sorgen die Diözesandatenschutzbeauftragten. Als Aufsichtsbehörde sind sie dafür verantwortlich, dass das Gesetz eingehalten wird. Im Gespräch mit katholisch.de berichtet Andreas Mündelein, der Vorsitzende der Konferenz der Diözesandatenschutzbeauftragten, von den ersten zwei Monaten KDG – und wie es jetzt mit dem Datenschutz in der Kirche weitergeht.
Frage: Herr Mündelein, das KDG ist seit gut zwei Monaten in Kraft. Was sind Ihre ersten Erfahrungen?
Andreas Mündelein: Das neue Gesetz ist für viele Betroffenen recht überraschend gekommen. Es hatten zwar alle im Hinterkopf, dass es da etwas neues gibt und dass man etwas machen muss, aber als es dann so weit war, waren viele sehr überrascht. Das hat zu vielen Nachfragen, Bedenken und Irritationen geführt.
Frage: Und auch zu einer großen Unsicherheit. Ist das gerechtfertigt?
Mündelein: Eigentlich nicht. Deswegen nicht, weil es ja vorher schon eine Anordnung über den kirchlichen Datenschutz, die KDO, gab. An sich waren alle Beteiligten ohnehin schon gehalten, sich um den Datenschutz in ihren Einrichtungen zu kümmern. Von daher hätte das nicht so überraschend sein dürfen. Es gibt allerdings ein paar Punkte im KDG, die sich deutlich geändert haben. Das sind vor allem die Informationspflichten, die auf den Verantwortlichen zukommen, die nun sehr umfangreich sind.
Frage: Vor allem die Bußgelder sorgen für Angst.
Mündelein: Die sind jetzt wie ein Menetekel an der Wand, ja. Aber nach unserer Auffassung ist das nur am Rande interessant. Es gibt ganz andere Möglichkeiten, wie wir Aufsichtsbehörden dafür Sorge tragen können, dass der Datenschutz eingehalten wird. Im wesentlichen ist das eine Frage der Kommunikation mit den Einrichtungen. Ich gehe davon aus, dass man zu vernünftigen Ergebnissen kommen kann, wenn man mit den Beteiligten vernünftig redet – ohne mit Geldbußen drohen zu müssen.
„Ich hoffe nicht, dass ich je in meiner Dienstzeit ein Ordnungsgeld verhängen muss.“
Frage: Wurden schon Bußgelder verhängt?
Mündelein: Nein. Und ich hoffe auch nicht, dass ich je in meiner Dienstzeit ein Ordnungsgeld verhängen muss. Eine Buße zu verhängen ist die Ultima ratio, es gibt jede Menge andere Möglichkeiten, die man vorher noch ausspielen kann. Davor sollte niemand Angst haben.
Frage: Die Landesdatenschützer klagen über einen enormen Anstieg von Beschwerden. Ist das im kirchlichen Bereich ähnlich?
Mündelein: Die Anzahl der Beschwerden und Anfragen hat auch bei uns deutlich zugenommen. Dabei geht es um viele unterschiedliche Bereiche: Das geht von Videoüberwachung über Patientenakten bis hin zu Fragen zu Fotos in der Öffentlichkeitsarbeit und Jugendarbeit.
Frage: Haben die kirchlichen Aufsichtsbehörden genug Kapazitäten, um ihre Arbeit zu machen?
Mündelein: Das Ziel einer Personalausstattung, mit der wir alle unsere Aufgaben wahrnehmen können, haben wir sicherlich noch nicht erreicht. Aber wir sind auf einem guten Weg, und zwar bundesweit bei allen fünf kirchlichen Aufsichtsbehörden. Wenn wir sehen würden, dass wir keine Chance haben, unsere Aufgaben zu erfüllen, müssten die Bischöfe nachlegen.
„Die Sensibilität für den Datenschutz ist bei den Generalvikaren und bei den Bischöfen sehr groß.“
Frage: Welchen Stellenwert geben die Bischöfe dem Datenschutz?
Mündelein: Die Bischöfe haben allesamt verstanden, dass genug Personal zur Verfügung stehen muss, damit die Aufgaben wahrgenommen werden können. Das Gesetz sieht vor, dass es eine vergleichbare Datenschutzaufsicht wie im staatlichen Bereich gibt. Keiner von uns Aufsichtsbehördenleitern hat den Eindruck, man würde kaltgestellt nach dem Motto "wenn ihr kein Personal habt, dann könnt ihr eure Aufgaben nicht machen und dann seid ihr auch nicht gefährlich". Die Sensibilität für den Datenschutz ist bei den Generalvikaren und bei den Bischöfen sehr groß.
Fragen: Macht sich das auch in den Gemeinden bemerkbar?
Mündelein: Alle Bistümer sind dabei, betriebliche Datenschutzbeauftragte in der Fläche zu etablieren. Es ist gut, dass die Kirchengemeinden nicht alleingelassen werden und es für kirchliche Einrichtungen immer einen Ansprechpartner gibt. Wir arbeiten mit den Datenschutzbeauftragten der Pfarreien und anderen Einrichtungen gerne und gut zusammen und versuchen, Netzwerke zu knüpfen, die dazu führen, dass der Datenschutz ernstgenommen und gepflegt wird.
Frage: Gerade Ehrenamtliche beklagen sich über den Aufwand. Wird es eine Handreichung für Vereine und Ehrenamtliche geben?
Mündelein: Ja, aber das geht nicht so schnell, wie wir das gerne hätten. Wir haben es auf der Agenda, und wir werden Arbeitshilfen veröffentlichen, die sehr praxisrelevant formuliert sein werden: Wenn ich das und das tun will, dann muss ich mich so und so verhalten.
Linktipp: Infothek des Katholischen Datenschutzzentrums
Die Diözesandatenschutzbeauftragten stellen praktische Handreichungen und Checklisten zur Verfügung, damit der Umstieg auf das neue Gesetz über den kirchlichen Datenschutz gelingt.Frage: Auch aus der Pastoral und der Öffentlichkeitsarbeit viel Kritik, etwa am Verbot der WhatsApp-Nutzung, an den Regeln für Fotografien von Kindern, aber auch grundsätzlich an den hohen Hürden, die das Gesetz für die schriftliche Dokumentation von Einwilligungen aufstellt. Wie gehen Sie damit um?
Mündelein: Wir nehmen das sehr ernst. Unser Ausgangspunkt ist, zu vermitteln, dass wir die Hüter des Datenschutzrechts sind: Wir sind eine Aufsichtsbehörde. Wir sorgen dafür, dass das Grundrecht auf informationelle Selbstbestimmung des einzelnen auch wirklich eingehalten wird. Da gibt es natürlich bestimmte gesetzliche Voraussetzungen, die man einhalten muss. Wenn das mit der Praxis nicht kompatibel ist oder zu Irritationen führt, nehmen wir das ernst und schauen, wie wir das lösen können. Wir reden mit den Leuten und versuchen, Lösungen zu finden, die mit dem Datenschutzrecht, das wir zu vertreten haben, kompatibel sind.
„Wir sorgen dafür, dass das Grundrecht auf informationelle Selbstbestimmung des einzelnen auch wirklich eingehalten wird.“
Frage: Und wenn das nicht möglich ist?
Mündelein: Was das Gesetz vorsieht, muss nicht für die nächsten 2000 Jahre so bleiben. Wir müssen es mit Leben ausfüllen und sehen, wie es in der Praxis funktioniert. Und wenn sich in den nächsten drei Jahren zeigt, dass es nun gar nicht geht, dann muss man schauen, wie man es anpassen kann, so dass es funktioniert. Und zwar ohne diesen Schutzgedanken aufzugeben.
Frage: Diesen dreijährige Überprüfungszeitraum sieht das KDG selbst vor. Wie wird diese Überprüfung ablaufen?
Mündelein: Beim Verband der Diözesen Deutschlands gibt es eine zuständige Stelle. An die geben wir unsere Rückmeldungen zu Anpassungen am Gesetz, die uns sinnvoll erscheinen.
Frage: Haben Sie schon Rückmeldungen an den Gesetzgeber?
Mündelein: Ein Beispiel sind Regeln für betriebliche Datenschutzbeauftragte. Die müssen bisher nur von den Einrichtungen im verfasstkirchlichen Bereich den Aufsichtsbehörden mitgeteilt werden, das betrifft also nicht die Caritasverbände. Wir glauben, dass es für eine Kommunikation zwischen den Einrichtungen und der Aufsichtsbehörde wichtig ist, die Datenschutzbeauftragten zu kennen. Wir können denen nicht alle nachlaufen, dafür sind die Bereiche zu groß.
„Was das Gesetz vorsieht, muss nicht für die nächsten 2000 Jahre so bleiben.“
Frage: Eine mögliche Rückmeldung könnte sich auch auf die vom KDG geforderte Schriftform bei Einwilligungen beziehen. Sehen Sie diese Regelung ähnlich problematisch wie viele Kritiker?
Mündelein: Das geht meines Erachtens nicht über die EU-DSGVO hinaus, es geht nämlich nur darum, dass man nachweisen kann, dass die Einwilligung in der rechtlich vorgeschriebenen Weise erfolgt ist. Ich verstehe die Formulierung des KDG als Hilfestellung für die Verantwortlichen. Das dient dem Grundrechtsschutz des Betroffenen. Nun stellt sich die Frage, wie man den Nachweis erbringt. In der Regel erfolgt der schriftlich, dann ist man auf der sicheren Seite. Aber es gibt noch andere Möglichkeiten, zum Beispiel in elektronischer Form.
Frage: Welche Rolle spielt die Rechtsfortbildung im staatlichen Bereich für Ihre Arbeit?
Mündelein: Auf der Grundlage der EU-DSGVO und des Bundesdatenschutzgesetzes wird es einige Gerichtsentscheidungen geben. Das KDG folgt weitgehend der EU-DSGVO, alle Begriffsdefinitionen wurden übernommen, damit haben wir auch die Möglichkeit, die Urteile staatlicher Gerichte in unsere Beurteilungen einfließen zu lassen. Gerade gab es zum Beispiel die Entscheidung hinsichtlich des Kunsturhebergesetzes und des Presseprivilegs des Oberlandesgerichts Köln. Wir haben dann geschaut, wie wir das bei uns anwenden können. Und auf dieser Basis haben wir dann neue Empfehlungen veröffentlicht.
Frage: Welche Themen beschäftigen die Konferenz der Diözesandatenschutzbeauftragten gerade?
Mündelein: Einige. Wir beraten über den Umgang mit Cookies, wie Facebook-Fanpages datenschutzkonform eingesetzt werden können, und wir beschäftigen uns damit, für welche Arten von Datenverarbeitung man auf jeden Fall eine Datenschutzfolgeabschätzung durchführen muss. Und natürlich sind auch Messenger-Dienste immer wieder ein Thema.
Frage: Gibt es etwa Hoffnung auf WhatsApp-Nutzung?
Mündelein: Nein. Aber auch da sind wir nicht außerhalb des Lebens. Auf dienstlichen Geräten wird WhatsApp weiterhin grundsätzlich verboten sein, weil die Kontaktdaten ohne Einwilligung auf fremde Server hochgeladen werden. Unter ganz engen Bedingungen könnte man WhatsApp eventuell benutzen: Nämlich dann, wenn man es komplett außerhalb aller Cloud-Systeme betreibt, so dass sichergestellt ist, dass keinerlei Daten weitergegeben werden. Das ist schwierig, auch wenn es dafür technische Lösungen zu geben scheint. Das erscheint mir aber fast unmöglich. Wir sollten stattdessen lieber Sorge dafür tragen, dass in der Kirche datenschutzkonforme Messengerdienste so breit akzeptiert werden wie WhatsApp.