Drei Jahre KDG: Das kirchliche Datenschutzrecht auf der Probe
Seit genau drei Jahren gilt ein neues Datenschutzrecht: Am 24. Mai 2018 trat das Gesetz über den Kirchlichen Datenschutz (KDG) in Kraft, am 25. Mai wurde die europäische Datenschutzgrundverordnung wirksam. Damals gab es viel Aufruhr und Unsicherheit – nun steht eine erste Bilanz an: Das KDG selbst sieht vor, dass es nach drei Jahren überprüft wird. Zuständig dafür, dass das Gesetz auch eingehalten wird, sind die katholischen Datenschutzaufsichten. Die Diözesandatenschutzbeauftragte Ursula Becker-Rathmair ist für die Südwest-Diözesen Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier zuständig und als Vorsitzende der Konferenz der Diözesandatenschutzbeauftragten in diesem Jahr oberste kirchliche Datenschützerin. Im Interview mit katholisch.de berichtet sie, wie es derzeit um den Datenschutz in der Kirche bestellt ist – und welche Änderungen sie sich am kirchlichen Datenschutzgesetz wünscht.
Frage: Als 2018 die neuen Datenschutzgesetze in Kraft traten, gab es viel Unsicherheit und Unverständnis. Hat sich der Trubel nach drei Jahren gelegt?
Becker-Rathmair: Jetzt ist es ein anderer Trubel. Dass je Ruhe eingekehrt wäre, konnte ich nicht feststellen: Irgendwas war immer, und gerade im Moment ist es die Pandemiesituation, die noch einmal ganz neue Fragen aufwirft – nach Video- und Telefonkonferenzen, wie man mit Listen von Geimpften und Nichtgeimpften im Beschäftigungsverhältnis umgeht und so weiter. Die Fragen sind sehr vielfältig und stellen auch uns immer wieder vor neue Situationen.
Frage: Hat sich denn der Stellenwert des Datenschutzes erhöht, nachdem das Thema so präsent geworden ist?
Becker-Rathmair: Ganz eindeutig ja. Es gab in der Tat bei den Einrichtungen einen Schub, insbesondere auch im verfasst-kirchlichen Bereich. In allen sieben Diözesen, für die ich zuständig bin, sind Datenschutzstellen eingerichtet worden für Kirchengemeinden und für die Einrichtungen, die zu den Ordinariaten gehören, ganze Stabsstellen mit vier, fünf betrieblichen Datenschutzbeauftragten, die ihre Aufgaben auch sehr gut wahrnehmen. Das Bewusstsein für Datenschutz ist seit 2018 überall deutlich gewachsen.
Zur Person
Die Juristin Ursula Becker-Rathmair ist seit 2018 Diözesandatenschutzbeauftragte für die südwestdeutschen Bistümer mit Sitz in Frankfurt am Main. 2021 übernimmt sie turnusgemäß den Vorsitz der Konferenz der Diözesandatenschutzbeauftragten, in der sich die Aufsichtsbehörden von Bistümern und Orden zusammenschließen. Die gebürtige Kölnerin leitete zuvor fast 27 Jahre die Rechtsabteilung im Bistum Erfurt und war als Justiziarin mit allen Rechtsgebieten, die eine Diözese betreffen, befasst. Ab 1992 war sie im Bistum Erfurt zudem Diözesandatenschutzbeauftragte.
Frage: Schlägt sich das auch in den Beschwerden von Betroffenen nieder, die bei Ihnen eingehen?
Becker-Rathmair: Ja, da gibt es ganz unterschiedliche Anfragen und Beschwerden, oft geht es um Spendenaufrufe, die bei irgendjemandem gelandet sind, der das nicht will oder nicht weiß, woher die Adresse dafür kommt. Vertauschte Arztbriefe kommen vor, aber auch kompliziertere Sachverhalte, die auch schon vor dem kirchlichen Datenschutzgericht gelandet sind.
Frage: Was sind denn solche besonders konfliktträchtigen Themen?
Becker-Rathmair: Immer wieder erreichen uns Anfragen, wo Einrichtungen ihren Informationspflichten nicht oder nicht ausreichend nachkommen. Kann ich beispielsweise verlangen, dass mein Arbeitgeber mir jegliche Korrespondenz herausgibt, in der mein Name vorkommt, im schlimmsten Fall also unzählige E-Mails? Das ist eine Frage, die auch schon staatliche Gerichte beschäftigt hat.
Frage: Und wo passieren besonders schlimme Datenpannen?
Becker-Rathmair: Erstaunlich häufig geht es um Einbrüche in Kindertagesstätten. Da geht es zwar eigentlich um Beschaffungskriminalität, aber wenn ein Laptop mit Personaldaten oder eine Kamera mit Kinderfotos auf der Speicherkarte gestohlen wird, dann sind da ganz schnell auch personenbezogene Daten betroffen, und oft auch besonders sensible. Das ist ein Feld, wo man sehr vorsichtig sein und genau hinschauen muss.
Frage: Können Sie das denn? Immer wieder klagen Datenschutzaufsichten über mangelnde Ressourcen. Ist das bei Ihnen auch so?
Becker-Rathmair: Am Anfang war ich hier in Frankfurt allein, aber das hat sich deutlich gebessert. Ich habe zwei Juristen und zwei ITler im Team, aber wir sind nach wie vor auf der Suche nach Mitarbeitern auf Sachbearbeiterebene – die sind sehr schwer zu finden.
Frage: Corona verändert sicher auch, wie Sie Einrichtungen prüfen können. Wie arbeitet eine Datenschutzaufsicht während einer Pandemie?
Becker-Rathmair: Vor-Ort-Prüfungen bleiben natürlich auf der Strecke, das ist in der Pandemie-Situation kaum möglich. Deshalb haben wir uns andere Schwerpunkte vorgenommen: Wir prüfen beispielsweise Webseiten von kirchlichen Einrichtungen, ob sie datenschutzkonform sind, etwa mit Blick auf die Datenschutzerklärungen und Cookies. Außerdem haben wir Fragebogen an Kirchengemeinden geschickt, um die Kontaktnachverfolgung von Gottesdienstbesuchern zu überprüfen: Was wird gesammelt, wie werden die Daten aufbewahrt, an wen gegebenenfalls weitergegeben, wird alles ordnungsgemäß gelöscht… So können wir auch bei der aktuellen Pandemie-Lage unsere Aufsichtstätigkeit erfüllen, ohne dass wir durch Vor-Ort-Besuche das Infektionsrisiko erhöhen.
Frage: Ein Thema, das in der Anfangszeit des neuen Datenschutzrechts für viel Wirbel gesorgt hat, sind Fotos, vor allem von Kindern und Jugendlichen. Ist das immer noch so ein großes Thema?
Becker-Rathmair: Diese Fragen haben sich weitgehend beruhigt. 2018 gab es noch eine gewisse Unsicherheit, die Geschichten von geschwärzten Kindergesichtern in Kita-Erinnerungsfotos gingen ja durch die Presse, aber solche Probleme scheinen vorbei zu sein. Nach dem zweiten Beschluss in der Konferenz der Diözesandatenschutzbeauftragten gibt es dazu nicht mehr besonders viele Anfragen, das läuft relativ geräuschlos. Jetzt geht es eher um speziellere Themen, nicht mehr um Ferienfreizeiten: Etwa Fragen dazu, wie man in der Pflege Wunddokumentationen anfertigen kann, wenn demente Personen keine Einwilligung dazu geben können.
Evaluierung des Gesetzes über den kirchlichen Datenschutz
Das KDG sieht eine Evaluierung innerhalb von drei Jahren ab Inkfrafttreten vor. Dieser Prozess findet derzeit Zeit und wird nicht vor Ende 2023 abgeschlossen sein. Die Deutsche Bischofskonferenz kündigte an, dass auch kirchliche Verbände um Rückmeldung gebeten werden. Doch der Spielraum der kirchlichen Gesetzgeber ist durch das Europarecht begrenzt.
Frage: Das Gesetz über den kirchlichen Datenschutz sieht vor, dass es nach drei Jahren evaluiert wird – also jetzt. Wo sehen Sie da Handlungsbedarf?
Becker-Rathmair: Einiges dazu hat mein bayerischer Kollege Jupp Joachimski im vergangenen Jahr im katholisch.de-Interview schon genannt. Ich könnte mir vorstellen, dass eine Regelung zum Streaming von Gottesdiensten, wie es sie im evangelischen Datenschutzrecht gibt, sinnvoll wäre. Aber grundsätzlich bin ich der Meinung, dass sich das Gesetz bewährt hat und man nicht mehr ändern sollte, als wirklich zwingend nötig ist.
Frage: Gibt es rechtliche Probleme, die in Ihrer Arbeit immer wieder auftauchen?
Becker-Rathmair: Im Bereich der gemischten Trägerschaften würde ich mir wünschen, dass es eindeutiger wäre, welches Datenschutzrecht anzuwenden ist. Das betrifft beispielsweise ökumenische Sozialeinrichtungen in gemeinsamer Trägerschaft von Caritas und Diakonie. Da tauchen immer wieder Fragen auf, welche Aufsicht – die katholische oder die evangelische – eigentlich zuständig ist. Das ist aber weniger ein Problem auf Ebene des Gesetzes als auf Ebene der Einrichtungen, die selbst nicht klar haben, wo sie dazugehören. Ich hatte sogar einmal einen Fall einer Einrichtung, die "Caritas" hieß, aber bei näherer Betrachtung ergab sich dann, dass es gar keine kirchliche Einrichtung war.
Frage: Zuletzt eine ganz praktische Frage: Was ist ihr Tipp, um ein besseres Datenschutzniveau in der Gesellschaft zu erreichen?
Becker-Rathmair: Das ist ganz einfach: Selbst darauf achten, was mit den eigenen Daten passiert, und sich selbst befragen, was man damit macht: Nutze ich WhatsApp, bin ich bei Facebook, oder gibt es dazu Alternativen? Mache ich bei jedem Gewinnspiel mit und gebe überall alle meine Daten preis, oder muss das nicht sein? Wenn jeder für sich selbst ein wenig besser schaut, was er macht, ist schon viel gewonnen.