Katholische Datenschutzaufsicht Nord veröffentlich Tätigkeitsbericht für 2020

Der Tätigkeitsbericht der Katholischen Datenschutzaufsicht Nord (KDSA-Nord)für das Jahr 2020 ist veröffentlicht. Abrufbar hier

Erwartungsgemäß wurde die Arbeit der Datenschutzaufsicht stark durch die Corona-Pandemie beeinflusst. So haben im gesamten Jahr 2020 nur zwei Vor-Ort-Prüfungen stattgefunden, wohingegen die Prüfung nach Aktenlage stark zugenommen hat.

Pandemie prägt Tätigkeit der Aufsichtsbehörde

Wie auch wir in unserer Beratung bemerkt haben, hat die Pandemie aber vor allem zu einer Vielzahl von verschiedenen datenschutzrechtlichen Fragestellungen geführt. Schon zu Beginn des Jahres wurde der Einsatz von Videokonferenzsystemen immer wichtiger. Zentrale Frage hierbei war, welche Software datenschutzrechtlich zulässig sei. Aus dem Bericht ergibt sich dazu nicht viel Neues. Verwiesen wird noch einmal auf die vom Katholischen Datenschutzzentrum Frankfurt a.M. dazu herausgegebenen Beurteilungskriterien (abrufbar hier). Außerdem wird noch einmal deutlich gemacht, dass die Anforderungen, die an ein Videokonferenzsystem zu stellen sind, vor allem auch von der Art der personenbezogenen Daten abhängen und auch die Sicherheit der Datenverarbeitung besonders wichtig ist.

Korrekte Kontaktnachverfolgung

Auch zur Kontaktnachverfolgung nimmt der Bericht Stellung. Die Datenschutzaufsicht macht noch einmal klar, dass eine papierbasierte Kontaktdatenerfassung nicht in einer Liste, sondern über einzelne Meldezettel erfolgen muss. So wird verhindert, dass alle Besucher die Daten der vorherigen Besucher einsehen können. Eine Kontaktdatenerfassung ist außerdem nur dann erlaubt, wenn dies durch die jeweilige Corona-Verordnung explizit vorgeschrieben ist. Eine vorsorgliche Kontaktdatenerfassung, wenn keine gesetzliche Verpflichtung besteht, ist somit nicht möglich. Andernfalls fehlt es an einer datenschutzrechtlichen Rechtsgrundlage. Das berechtigte Interesse gemäß § 6 Abs. 1 lit. g KDG dürfte hier nicht einschlägig sein. Letztlich kommt es hier aber – wie stets bei dieser Rechtsgrundlage – auf das Ergebnis der Interessenabwägung an.

Zu den Möglichkeiten der App-gestützten Kontaktnachverfolgung, etwa über die Luca-App oder die Corona-Warn-App, äußert sich der Diözesandatenschutzbeauftragte noch nicht. Dies liegt aber wohl daran, dass sich der Bericht nur auf das Jahr 2020 bezieht, diese Apps jedoch erst im Laufe des Jahres 2021 eingesetzt wurden.

Aufbewahrung von Einwilligungserklärungen

Der Bericht behandelt jedoch auch Themen, die nicht direkt durch Corona beeinflusst wurden. So hat sich beispielsweise eine katholische Schule mit der Frage an die Datenschutzaufsicht gewandt, wie lange Einwilligungserklärungen für die Veröffentlichung von Fotos auf einer Webseite aufbewahrt werden müssen. Der Diözesandatenschutzbeauftragte stellt hier klar, dass die Einwilligungen mindestens so lange aufbewahrt werden müssen, wie die Fotos auf der Webseite veröffentlicht sind. Wie lange die Einwilligungserklärung aufbewahrt werden müssen, nachdem die Fotos von der Webseite entfernt wurden, ist nicht konkret vorgegeben. In Anlehnung an § 195 BGB empfiehlt der Diözesandatenschutzbeauftragte jedoch eine Aufbewahrungsfrist von 3 Jahren nach Ende der Fotonutzung.

Für Webseiten sind diese Aussagen durchaus einleuchtend. Offen bleibt jedoch die Frage, wie mit Einwilligungserklärungen für gedruckte Fotos vorzugehen ist. Wenn Fotos in Flyern oder Broschüren veröffentlicht werden, ist es durchaus denkbar, dass diese noch 20 Jahre vorhanden sind und sei es auch nur in Archiven oder Kellern. Eine Einwilligungserklärung für eine so lange und vor allem unbestimmte Zeit aufzubewahren, erscheint in der Praxis kaum machbar.

Lob für die externen betrieblichen Datenschutzbeauftragten

Der Tätigkeitsbericht findet an mehreren Stellen Lob für die Arbeit der externen betrieblichen Datenschutzbeauftragten der verschiedenen kirchlichen und caritativen Einrichtungen. Der Diözesandatenschutzbeauftragte führt auf die gute Arbeit der Datenschutzbeauftragten etwa den Rückgang von an ihn gerichteten Anfragen zurück. Er geht davon aus, dass die meisten Einrichtungen sich bei datenschutzrechtlichen Fragen zunächst an ihre externen betrieblichen Datenschutzbeauftragten wenden.

Uns, als externer betrieblicher Datenschutzbeauftragter für viele katholische Einrichtungen in Norddeutschland freut dieses Lob natürlich ganz besonders. Auch aus unserer Sicht funktioniert die Kommunikation mit der Datenschutzaufsicht, nicht zuletzt wegen der regelmäßigen Treffen der Datenschutzaufsicht mit den betrieblichen Datenschutzbeauftragten.

Fazit: Zunahme an Datenpannen

Die Pandemie hat die KDSA-Nord vor Herausforderungen gestellt, von denen 2019 niemand ahnen konnte. Bemerkenswert ist die enorme Zunahme an Datenpannen um ganze 83% im Vergleich zum Vorjahr Die KDSA-Nord sieht hierin jedoch keine Verschlechterung des allgemeinen Datenschutzniveaus. Stattdessen wird diese Zahl eher positiv dahingehend gedeutet, dass das Bewusstsein für den Datenschutz nun immer mehr Einrichtungen und Verantwortliche erreicht hat und damit auch Datenpannen besser erkannt werden.