Warum der kirchliche Datenschutz so streng ist – und auch bleiben wird

Eigentlich sollte Jupp Joachimski am 1. Oktober schon im Ruhestand sein: Nach 13 Jahren lief seine Amtszeit als bayerischer Diözesandatenschutzbeauftragter Ende September aus – doch noch gibt es keinen Nachfolger und er bleibt im Anfang. In 13 Jahren hat Joachimski viel erlebt – vor allem die letzten Jahre waren turbulent: Das neue Gesetz über den kirchlichen Datenschutz, das 2018 in Kraft trat, hat vieles neu geregelt und für einige Verunsicherung gesorgt. Joachimski hat daran mitgearbeitet – und arbeitet auch jetzt an seiner Reform. Was den kirchlichen Datenschutz jetzt beschäftigt und wie es weitergeht mit der Datenschutzaufsicht in der Kirche, verrät er im Interview.

Frage: Herr Joachimski, früher waren Sie Richter und haben sich unter anderem mit Betäubungsmittelrecht beschäftigt. Dann wurden Sie katholischer Datenschützer. Wie kam es dazu?

Joachimski: Ich habe mich ja nicht nur mit Betäubungsmittelrecht beschäftigt, sondern mit einer ganzen Reihe von Rechtsgebieten, zum Schluss war ich auch im bürgerlichen Recht tätig. Das Angebot, Diözesandatenschützer zu werden, habe ich wohl deshalb bekommen, weil ich mich sehr früh, seit 1980, mit der EDV beschäftigt habe. Ab Mitte der 1980er habe ich das EDV-Grundbuch mitentwickelt, ich habe auch selbst Verfahrenshilfen für die Justiz programmiert. Das war wohl auch einer der Gründe, warum mein Vorgänger mich empfohlen hat: Die EDV-Kenntnisse, die ihm Schwierigkeiten gemacht haben, habe ich mitgebracht. In dieser Stellung sind sie auch notwendig.

Frage: Es gibt fünf Diözesandatenschutzbeauftragte in Deutschland. Sie sind der einzige, der vorher nicht bei der Kirche gearbeitet hat. Sie sind Richter, die anderen kommen aus dem Bereich kirchlicher Verwaltung und Compliance. Üben Sie ihr Amt anders aus als ihre Kollegen?

Joachimski: Ich bringe die EDV-Praxis mit. Ich war zuvor auch schon Datenschutzbeauftragter der Staatsanwaltschaft und EDV-Referent des Bayerischen Obersten Landesgerichts, und immer hatte ich eine Grundüberlegung: Der beste Datenschutz wäre, den Betrieb einzustellen. Das geht natürlich nicht, also müssen wir den Datenschutz so gestalten, dass der Betrieb trotzdem läuft.

Frage: Ich hätte erwartet, dass Sie als Richter ein besonderes Augenmerk auf die Abwägung von Grundrechten haben.

Joachimski: Grundrechte abwägen ist der Ausgangspunkt von allem. Das ist so selbstverständlich, dass ich darüber gar nicht nachdenke. Ich bin nicht darauf aus, etwas zu verbieten, was den Menschen grundgesetzlich garantiert ist, Kommunikation etwa. Wir haben stets zwei Dinge zu beachten: Einmal die rechtliche Seite, einmal die tatsächliche. Die beiden müssen zu einer Übereinkunft finden. Wenn die sich nicht vertragen, gibt es ein Problem.

Frage: Ich frage nach den Grundrechten, weil Sie 2018 kurz nach Inkrafttreten des neuen Datenschutzrechts der erste und einzige unter den Diözesandatenschützern waren, der bei der Frage von Abbildungen von Personen lange bewährte Abwägungskriterien des Bildrechts stark gemacht haben, um Veröffentlichungen zu ermöglichen, während Ihre Kollegen von dieser Abwägung nichts wissen wollten.

Joachimski: Das waren Streitpunkte, wobei sich da die Meinung der Kollegen doch entscheidend geändert hat: Die sind nun auch nicht mehr der Auffassung, dass alles verboten ist. Vielleicht haben meine Diskussionsbeiträge dazu beigetragen.

Frage: Gab es noch weitere Konfliktpunkte in der Konferenz der Diözesandatenschutzbeauftragten?

Joachimski: Die Konferenz hat sich zunächst daran gewöhnen müssen, wie die Praxis in der Kirche ist, wie es tatsächlich abläuft. Vielleicht hatte ich da etwas mehr Gespür dafür, weil bei mir persönlich einfach sehr viele Leute angerufen haben, während bei den Kollegen die Anrufe bei den Mitarbeitern eingehen und sie das alles nicht so ungefiltert mitbekommen haben. Ich habe dieses Problem nicht, weil ich nur einen einzigen Mitarbeiter habe.

Frage: Für ganz Bayern?

Joachimski: Für ganz Bayern.

Frage: Dabei hatte die Freisinger Bischofskonferenz doch schon 2018 angekündigt, ein eigenes kirchliches Datenschutzzentrum in Nürnberg zu errichten. Was ist daraus geworden?

Joachimski: Das wurde angekündigt, aber ich habe keinen Marschbefehl bekommen. Ich kann nicht einfach sagen: Wir ziehen um. 2018 ist eine Mitarbeiterin ausgeschieden aus meiner Dienststelle, die konnte ich wegen dieser Unsicherheit bis heute nicht ersetzen.

Frage: Ist es dann um die kirchliche Datenschutzaufsicht in Bayern mangels Personal schlecht bestellt?

Joachimski: Nein. Wir haben in Bayern ein System, das die Dienststellen stärker stellt als anderswo. Die Ordinariate haben fast alle einen Volljuristen als betrieblichen Datenschutzbeauftragten, der den Datenschutz koordiniert. Diese leitenden betrieblichen Datenschutzbeauftragten haben das komplette Datenschutzmanagement übernommen, während ich mich auf die Aufgaben der Datenschutzaufsicht konzentrieren kann. Ich bin der Auffassung, dass ich nicht erst zu etwas raten und dann hinterher dessen Rechtmäßigkeit prüfen kann. Das funktioniert so nicht. Ich erkläre das den Laien immer so: Der Kollege Betrieblicher Datenschutzbeauftragter sagt, was zu tun ist, und wenn's nicht richtig ist, was getan wurde, dann knurre ich.

Frage: 2018 konnte man den Eindruck gewinnen, dass alles anders und ganz schlimm wird. Wie hat sich das seit der Einführung des neuen Gesetzes über den kirchlichen Datenschutz seither entwickelt?

Joachimski: Am Anfang waren natürlich alle sehr aufgeregt. Ich habe auch den Verdacht, dass manche Anwaltskanzlei das ganz gerne gesehen und auch geschürt hat in der Hoffnung auf ein gutes Geschäft – und es ist ja auch ein gutes Geschäft für viele geworden. Die Aufregung hat sich mittlerweile gelegt, die Beschwerdebereitschaft aber nicht. Die ist in der Corona-Krise sogar noch gewachsen. Ich habe deutlich mehr Beschwerden als in der Zeit zuvor. Das hängt wohl damit zusammen, dass die Leute Zeit haben, sich zu beschweren; manchen ist wohl langweilig.

Frage: Sind das auch gerechtfertigte Beschwerden?

Joachimski: Nicht alle. Bei vielen ist auch nicht klar, was da eigentlich gewollt ist. Da werden Briefe von der Pfarrei oder Spendenwerbung von der Caritas als Belästigung empfunden; wenn ein Familienname falsch geschrieben ist, soll das schon ein Datenschutzverstoß sein…

Frage: Was sind die berechtigten Beschwerden?

Joachimski: Das sind auch im kirchlichen Bereich dieselben Probleme wie überall: E-Mails mit offenem Verteiler zum Beispiel, so dass alle die Adressen der anderen sehen. Oft kommen auch Beschwerden, wenn Auskünfte nicht so erteilt werden, wie es das Gesetz vorsieht. Bußgelder habe ich aber nicht verhängt – da ist die rechtliche Situation momentan noch zu unübersichtlich. Ich rechne damit, dass Bußgelder schnell von den kirchlichen Datenschutzgerichten kassiert würden. Hier wird man auch etwas am Gesetz ändern müssen.

Frage: Ohnehin steht die Evaluierung des Gesetzes über den kirchlichen Datenschutz gerade an. Wo sehen Sie außer bei den Bußgeldern noch Änderungsbedarf am Gesetz über den kirchlichen Datenschutz (KDG)?

Joachimski: Etwa bei der Übertragung von Daten in Drittländer, außerdem bei der Meldefrist von Datenschutzverletzungen. Besonders praxisrelevant ist die Frage der Einwilligung. Dafür braucht es bisher die Schriftform. Das sorgt für Probleme – denken Sie an Fotografien! Schon das Fotografieren selbst ist eine Verarbeitung personenbezogener Daten, die Veröffentlichung eine weitere. Jetzt geht der Pfarrer mit der Kamera auf dem Pfarrfest herum und dann braucht er von jedem, den er vor die Linse bekommt, eine Einwilligung, und zwar eine schriftliche. Und wenn er das noch veröffentlichen will, braucht es eine weitere Einwilligung, wieder schriftlich. Da beißt sich das praktische Bedürfnis mit dem rechtlichen.

Frage: Die Einwilligung ist im kirchlichen Datenschutz deutlich strenger geregelt als in der Datenschutzgrundverordnung. Warum?

Joachimski: Wir haben als Kirche ein gewisses Defizit gegenüber dem Staat: alle EU-Mitgliedsstaaten sind demokratische Rechtsstaaten. Die Kirche aber ist keine Demokratie und kein Rechtsstaat und kann es auch nicht sein. Der Bischof ist Legislative, Judikative und Exekutive in einer Person. Wir haben ein Demokratiedefizit, und deshalb waren wir an manchen Stellen bei der Entwicklung des KDG strenger, um zu zeigen, dass wir bereit sind, solche Defizite auszugleichen. Bei der Einwilligung waren wir aber zu streng. Deshalb wollen wir das ändern. Künftig soll, wenn die Schriftform nicht sinnvoll ist, nur noch die Beweisbarkeit sichergestellt werden.

Frage: Ein weiteres großes Thema war die Nutzung von Social Media und Messenger-Diensten in der Kirche. Zur Tätigkeit der kirchlichen Datenschutzaufsicht mit Blick auf WhatsApp und Facebook gab es viel Kritik. Können Sie die nachvollziehen?

Joachimski: Ja, natürlich. Jeder hat schließlich irgendwie mit WhatsApp zu tun. Ich selbst habe es natürlich nicht auf dem Handy, aber ich kann nachvollziehen, dass es verwendet wird: Das ist einfach praktisch. Gleichzeitig sehe ich es aber auch kritisch, dass bei sozialen Netzwerken viele bereit sind, alles mögliche Private preiszugeben. Diese Haltung ist mir nicht verständlich. Rechtlich, erst recht nach dem jüngsten Urteil des Europäischen Gerichtshof zur Datenübermittlung in die USA, haben wir ohnehin keinen Spielraum, WhatsApp und Facebook für den Einsatz in der Kirche zu befürworten. Da lässt uns das Urteil vom EuGH überhaupt keine Möglichkeit.

Frage: Selbst die staatlichen Datenschutzaufsichten sind relativ machtlos gegen die US-amerikanischen Social-Media-Unternehmen. Sind Sie als kirchliche Datenschutzaufsicht da nicht in einer viel größeren Ohnmachtssituation? Können Sie da überhaupt etwas ausrichten?

Joachimski: Ich könnte von heute auf morgen anordnen, dass in der Kirche dieser oder jener Dienst nicht mehr verwendet werden darf. Das wäre vermutlich sogar begründet und hätte vor Gericht Bestand. Aber wir müssen ja irgendeine Art der Kommunikation haben. Wir müssen uns überlegen: Was tun wir, was gibt es für Alternativen? Wie gehen wir mit den sozialen Netzwerken um? Sollen wir, was momentan wohl die rechtliche Leitlinie ist, strenger eingreifen, wenn es um Datenübertragungen außerhalb der EU geht, oder sollen wir die Augen zudrücken? Die Welt ist zusammengewachsen, und man wird sehen müssen, wie wir damit umgehen. Das wird die Aufsichtsbehörden in den nächsten Jahren beschäftigen.

Frage: Am 30. 9. war Ihre Amtszeit eigentlich zu Ende. Sie gehen jetzt noch in die Verlängerung, bis ein Nachfolger kommt. Welchen Rat geben Sie ihrem Nachfolger oder Ihrer Nachfolgerin mit?

Joachimski: Mein Nachfolger muss wie ich ein Jurist sein und für einen solchen ist es völlig selbstverständlich, jede Überlegung von der Verfassung und den Grundrechten her zu beginnen. Darüber hinaus kommt man aber ohne entsprechende EDV-Kenntnisse nicht aus. Man wird von den IT-Stellen sehr schnell an die Wand diskutiert, wenn man nicht weiß, wie die Zusammenhänge im technischen Bereich sind. Ich wende etwa gleich viel meiner Zeit für die rechtliche wie für die technische Fortbildung auf. Der zweite Punkt: Ich würde raten, auf das zu hören, was die Dienststellenleiter einem am Rande der Gespräche sagen. Denn die haben schon einen Überblick darüber, was machbar ist und was nicht. Das hängt mit meiner Prämisse zusammen: Der Betrieb muss laufen, dann erst kann ich sehen, dass ich das auch datenschutzgerecht gestalte. Also: gut zuhören und schauen, dass ich von dem, was die Praktiker sich vorstellen, wenigstens einen Teil realisieren kann. Alles andere ergibt sich von selbst.