Bayerische kirchliche Datenschutzaufsicht kann Aufgaben kaum erfüllen
Der Diözesandatenschutzbeauftragte für die bayerischen Diözesen, Jupp Joachimski, sieht aufgrund zu geringer personeller und finanzieller Ausstattung seine Behörde auf Dauer nicht in der Lage, die rechtlichen Mindestanforderungen für eine kirchliche Datenschutzaufsicht zu erfüllen. In seinem am Montag veröffentlichten Tätigkeitsbericht beklagt er, dass "die bayerische kirchliche Datenschutzaufsicht stark hinter den vergleichbaren Dienststellen anderer Bundesländer, aber auch gegenüber staatlichen Datenschutzaufsichten" zurückbleibe und auf Dauer so die rechtlich geforderte Gleichwertigkeit der kirchlichen Datenschutzaufsicht mit den staatlichen Behörden in Frage stehe. Zudem sei eine Mitarbeit in den bundesweiten Gremien der kirchlichen Datenschutzaufsichten kaum möglich. Zugleich berichtet er von einem seit Inkrafttreten des Gesetzes über den kirchlichen Datenschutz (KDG) im Mai 2018 von einem um 300 Prozent gestiegenen Aufkommen an Beschwerden von Betroffenen über Datenschutzverletzungen. Die Anzahl der Anzeigen von Datenpannen habe sich seither von ein bis zwei Meldungen pro Jahr auf zwei bis drei pro Woche erhöht. Im Bericht geht er außerdem auf Details zu den Beschwerden und Datenschutzverletzungen ein.
Joachimski, der das Amt des Diözesandatenschutzbeauftragten in Teilzeit ausfüllt, stehen zwei Planstellen zur Verfügung, von der eine seit 2018 nicht besetzt werden konnte. Die Aufsichtstätigkeit kann aufgrund des Fehlens eines Vertreters laut Bericht nur dadurch sichergestellt werden, dass der Diözesandatenschutzbeauftragte auch während Urlauben weiterarbeitet. Auch die Büroorganisation obliegt vollständig dem Behördenleiter. Die für einen ähnlich großen Bereich zuständige nordrhein-westfälische Aufsichtsbehörde, das Katholische Datenschutzzentrum Dortmund, kann laut dessen Tätigkeitsbericht über elf Planstellen verfügen.
"In hohem Maße unzureichend"
"Auf die Dauer ist diese Personalausstattung in hohem Maße unzureichend", so Joachimski im Bericht. Für die bayerische Aufsicht sieht er sechs Planstellen als ausreichend an. Die gegenwärtige Ausstattung lasse sich aber aufgrund der besonderen Situation im Hinblick auf den geplanten Umzug nach Nürnberg "zeitweise" vertreten. Das in Bayern praktizierte System "Leitender betrieblicher Datenschutzbeauftragter" in den einzelnen Diözesen, die für das Datenschutzmanagement zuständig sind, entlaste zudem die Aufsicht, wie Joachimski im Interview mit katholisch.de betonte.
2018 hatte die Freisinger Bischofskonferenz die Einrichtung eines kirchlichen Datenschutzzentrums in Nürnberg beschlossen, die allerdings noch nicht umgesetzt wurde. Laut Bericht wurde die Anerkennung als Körperschaft des öffentlichen Rechts beantragt, ein Zeitplan ist dem derzeitigen Chef der Aufsichtsbehörde jedoch nicht bekannt. Die Amtszeit des ehemaligen Vorsitzenden Richters am bayerischen Obersten Landesgerichts als Diözesandatenschutzbeauftragter sollte Ende September enden. Bis zur Benennung eines Nachfolgers führt er das Amt jedoch kommissarisch weiter.
Die seit Mai 2018 geltende EU-Datenschutzgrundverordnung erlaubt es Kirchen und Religionsgemeinschaften, unter bestimmten Bedingungen eigenes Datenschutzrecht anzuwenden und kirchliche Datenschutzaufsichten einzurichten, die die Einhaltung der kirchlichen Gesetze überwachen. Dabei muss allerdings sichergestellt sein, dass innerhalb der Religionsgemeinschaften ein Datenschutzniveau herrscht, das im Einklang mit dem EU-Recht steht. In Deutschland haben die katholische und die evangelische Kirche sowie mehrere kleinere Religionsgemeinschaften von der Öffnungsklausel Gebrauch gemacht und wenden eigenes Datenschutzrecht an. In Deutschland gibt es fünf katholische Datenschutzaufsichten in Bremen, Dortmund, Frankfurt am Main, München und Schönebeck, die jeweils für mehrere Bistümer zuständig sind. (fxn)