Katholische Datenschutzaufsicht Bayern verbietet Facebook-Fanseiten
Die katholische Datenschutzaufsicht in Bayern hat kirchlichen Stellen den Betrieb von Facebook-Seiten untersagt. Am Donnerstag teilte der Diözesandatenschutzbeauftragte für die bayerischen Bistümer, Jupp Joachimski, mit, dass er die Auffassung des Bundesdatenschutzbeauftragten teile, der zuvor der Bundesregierung den Betrieb einer Facebook-Seite untersagt hatte. "Diese Anordnung setze ich entsprechend für die Dienststellen der katholischen Kirche in Bayern mit der Maßgabe in Kraft, dass die Ausführungsfrist am 31.3.2023 endet", so Joachimksi. Die Anordnung diene auch der Vermeidung von Schadensersatzansprüchen gegen kirchliche Einrichtungen.
Seit Jahren kritisieren die katholischen wie die staatlichen Datenschutzaufsichten die Nutzung von Facebook-Seiten aufgrund von Datenschutzmängeln. Bereits 2018 hatte die katholische Datenschutzkonferenz erstmals die Empfehlung ausgesprochen, auf das Betreiben von Facebook-Seiten zu verzichten. Auf eine Durchsetzung der Empfehlung durch Anordnungen, Beanstandungen und Bußgelder haben die katholischen Aufsichten aber bislang verzichtet. Entgegen der Formulierung der bayerischen Datenschutzaufsicht gehört es nicht zu den Kompetenzen der kirchlichen Aufsichtsbehörden, allgemeine Anordnungen zum Verbot der Nutzung von Social-Media-Diensten auszusprechen. Gemäß dem Gesetz über den kirchlichen Datenschutz (KDG) können lediglich Bescheide gegen einzelne verantwortliche Stellen ergehen, die dann auch eine Anordnung umfassen können, bestimmte Verarbeitungstätigkeiten wie den Betrieb einer Facebook-Seite zu beenden. Ob bereits konkrete Bescheide seitens des bayerischen Diözesandatenschutzbeauftragten ergangen sind, oder ob Bescheide erst nach Ende der Frist ergehen sollen, ist noch nicht bekannt. Gegen einen Bescheid einer katholischen Datenschutzaufsicht steht der Rechtsweg zu den kirchlichen Datenschutzgerichten offen.
Amtszeit des Datenschutzbeauftragten endet voraussichtlich im April
Unklar ist, wie es nach dem Ende der durch die Aufsicht gesetzten Frist weitergeht. Das Fristende fällt zusammen mit dem voraussichtlichen Ende der Amtszeit von Joachimski. Die Freisinger Bischofskonferenz plant seit 2018 die Einrichtung eines Katholischen Datenschutzzentrums in Nürnberg als Datenschutzaufsicht, die die seit 2007 von Joachimski geleitete "Gemeinsame Datenschutzaufsicht der bayerischen (Erz-)Diözesen" ablösen soll. Der bisherige Diözesandatenschutzbeauftragte kündigte an, dass die neue Behörde voraussichtlich zum 1. April errichtet werde. Die eigentlich vorgesehene Amtszeit des 80-jährigen Juristen endete bereits im Oktober 2020, mangels Nachfolge führt er sein Amt aber seither weiter.
Am Mittwoch veröffentlichte der Bundesdatenschutzbeauftragte einen Bescheid, den er gegen das Bundespresseamt erlassen hatte. Mit dem 44-seitigen Dokument wird dem Amt untersagt, die Facebook-Seite der Bundesregierung weiter zu betreiben, und führt dazu Argumente auf der Grundlage eines Kurzgutachtens der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) an. Das Gutachten stellte unter anderem fest, dass Seitenbetreiber vom Facebook-Mutterkonzern Meta nicht ausreichend über Datenverarbeitungen informiert werden und sie so Benutzende nicht angemessen informieren können. Außerdem fehle es an geeigneten Rechtsgrundlagen für das Setzen von Cookies zur Analyse des Nutzungsverhaltens. Der bayerische Diözesandatenschutzbeauftragte macht sich diese Position mit seiner Entscheidung nun zu eigen. Der Europäische Gerichtshof hatte 2018 festgestellt, dass sowohl Facebook als auch die jeweiligen Fanseiten-Betreiber gemeinsam für die Einhaltung der datenschutzrechtlichen Vorschriften zuständig sind.
Die seit Mai 2018 geltende EU-Datenschutzgrundverordnung erlaubt es Kirchen und Religionsgemeinschaften, unter bestimmten Bedingungen eigenes Datenschutzrecht anzuwenden und kirchliche Datenschutzaufsichten einzurichten, die die Einhaltung der kirchlichen Gesetze überwachen. Dabei muss allerdings sichergestellt sein, dass innerhalb der Religionsgemeinschaften ein Datenschutzniveau herrscht, das im Einklang mit dem EU-Recht steht. In Deutschland haben die katholische und die evangelische Kirche sowie mehrere kleinere Religionsgemeinschaften von der Öffnungsklausel Gebrauch gemacht und wenden eigenes Datenschutzrecht an. In Deutschland gibt es fünf katholische Datenschutzaufsichten in Bremen, Dortmund, Frankfurt am Main, München und Schönebeck, die jeweils für mehrere Bistümer zuständig sind, sowie eine Datenschutzaufsicht für die Ordensgemeinschaften päpstlichen Rechts. Die bayerische Aufsicht ist die mit Abstand am schlechtesten ausgestattete der diözesanen Behörden. 2019 warnte Joachimski, dass "die bayerische kirchliche Datenschutzaufsicht stark hinter den vergleichbaren Dienststellen anderer Bundesländer, aber auch gegenüber staatlichen Datenschutzaufsichten" zurückbleibe und auf Dauer so die rechtlich geforderte Gleichwertigkeit der kirchlichen Datenschutzaufsicht mit den staatlichen Behörden in Frage stehe. Seither hat sich an der Ausstattung der bayerischen Aufsicht nichts geändert. Eine Verbesserung wird mit der Errichtung des neuen Datenschutzzentrums in Nürnberg erwartet. (fxn)