Die Katholische Datenschutzaufsicht Nord (KDSA-Nord) hat auf ihrer Homepage den Tätigkeitsbericht für das Jahr 2021 veröffentlicht (abrufbar hier). Am interessantesten dürften die Ergebnisse der Querschnittsprüfung sein, die 2021 abgeschlossen wurde.
Kita-Querschnittsprüfung
Anlass für die Durchführung der Querschnittsprüfung war die Zunahme der Meldungen über Datenverluste bedingt durch gestohlene – unverschlüsselte – Laptops und Datenträger in Kindertageseinrichtungen. Hierzu wurden insgesamt 38 zufällig ausgesuchte Kindertagesstätten in kirchlicher Trägerschaft ausgewählt. Über einen elektronischen Fragebogen wurden allgemeine aber auch einrichtungsspezifische Themen zur Einhaltung der datenschutzrechtlichen Vorgaben überprüft. Vor-Ort-Termine haben in diesem Zusammenhang nicht stattgefunden. Die Prüfung erstreckte sich dabei auf die Themenbereiche: Betrieblicher Datenschutzbeauftragter, Grundlagen zur Datenverarbeitung, Organisatorischer Datenschutz, Löschen und Verschlüsseln von Daten sowie allgemeine technische und organisatorische Maßnahmen.
Insgesamt zieht die Aufsichtsbehörde ein positives Fazit. Die Einrichtungen seien im Hinblick auf die Umsetzung datenschutzrechtlicher Vorgaben auf einem guten Weg. Bei 22 der 38 Einrichtungen wurden Nachbesserungsbedarfe festgestellt. Diese Einrichtungen haben insofern Bescheide in Form einer Verwarnung erhalten, für die übrigen 16 Einrichtungen enthielten die Bescheide lediglich Hinweise, das heißt, die Erfüllung der datenschutzrechtlichen Vorgaben kann noch verbessert werden. Die meisten Nachbesserungsbedarfe wurden im Bereich der Vermeidung unberechtigter Nutzung von IT-Systemen und dort speziell in der Sicherstellung der Aktualität vergebener Berechtigungen identifiziert. Hinweise erfolgten vor allem zum Löschen von Daten (Archivierung, Datenträgervernichtung, etc.), zur Aktualität von Virenscannern sowie zur Überprüfung von Zugriffs- und Zutrittsberechtigungen.
Von besonderem Interesse – auch im Hinblick auf nachfolgende Prüfungen durch die KDSA-Nord – dürfte der im Anhang des Tätigkeitsberichts abgedruckte Fragebogen für die Querschnittsprüfung sein. Dieser besteht aus insgesamt 59 Fragen und kann aufgrund der sehr allgemein gehaltenen Fragen ohne weiteres auch auf andere Einrichtungstypen übertragen werden. Die besonderen Verarbeitungstätigkeiten, insbesondere beim Umgang mit Daten von Kindern, wurden nicht berücksichtigt.
Inhalt der nächsten – bereits gestarteten – Querschnittsprüfung, diesmal bei der Caritas, sind die Themenbereiche Datengeheimnis, Auskunftsersuchen und Informationspflichten, Verzeichnis von Verarbeitungstätigkeiten, Meldungen an die Aufsicht sowie Technik und Organisation. Dieses Mal wurden weniger Einrichtungen (fünf) ausgewählt und weniger Fragen (lediglich acht) zur Beantwortung vorgelegt.
Zahlen zur Aufsichtstätigkeit
Leider gibt es kaum konkrete Zahlen zur Aufsichtstätigkeit. Es wird lediglich ausgeführt, dass es mehr Meldungen von Datenschutzverletzungen als im Vorjahr gegeben habe, die Anzahl an Beschwerden und Beratungsanfragen sei aber vergleichbar mit dem Vorjahr gewesen. Bei den gemeldeten Datenpannen handele es sich neben den üblichen Einbruchdiebstählen in Kindertageseinrichtungen insbesondere um die Vorfälle der Sicherheitslücke „Hafnium“ bei Exchange-Servern.
Aussagen dazu, ob und in welcher Höhe Bußgelder verhängt wurden, finden sich nicht im Tätigkeitsbericht.
Beratung, Beschwerden und Datenpannen
Sehr ausführlich hat sich die KDSA-Nord mit der Luca-App beschäftigt, die durchweg kritisch gesehen wird. Die KDSA-Nord rät insofern von der Nutzung im kirchlichen Bereich ab.
Zur Zulässigkeit der Nutzung von Faxgeräten verweist die KDSA-Nord auf die geltende Durchführungsverordnung zum Gesetz über den kirchlichen Datenschutz (KDG-DVO). Nur in Ausnahmefällen, wie z. B. in medizinischen Notfällen könne die Nutzung eines Faxgerätes für die Übermittlung von Gesundheitsdaten zulässig sein, wenn die ergänzenden organisatorischen Maßnahmen nach § 24 KDG-DVO eingehalten würden. Konkret geht es dabei um die Abstimmung des Sendezeitpunktes sowie des Empfangsgerätes.
Von den eingegangenen Beschwerden werden im Tätigkeitsbericht lediglich drei Sachverhalte geschildert:
So sei die Herausgabe einer privaten Telefonnummer durch eine Kirchengemeinde zur Kontaktaufnahme ohne Einwilligung der betroffenen Person unzulässig. Welche Konsequenzen dieser Verstoß hatte, wird nicht geschildert. Mehrere Beschwerden habe es zu Datenschutzerklärungen auf Homepages kirchlicher Einrichtungen gegeben, da diese zumeist unvollständig gewesen seien. Da die Mängel umgehend behoben worden seien, hätten in diesen Fällen keine datenschutzrechtlichen Anordnungen getroffen werden müssen.
Spannender ist da schon der geschilderte Fall über einen Gottesdienst, bei dem Personalausweise und Impfzertifikate im Rahmen der 3G-Einlasskontrolle fotografiert wurden. Hier wurde noch am Tag des Eingangs der Beschwerde ein bis zur abschließenden Klärung des Sachverhalts vorläufiges Verbot der Erhebung und weiteren Verarbeitung von Fotografien der Impfzertifikate und der Personalausweise ausgesprochen. Im Ergebnis erfolgte dann das endgültige Verbot der Erhebung sowie die Anordnung zur Löschung der widerrechtlich erhobenen Daten.
Von den gemeldeten Datenpannen entfielen viele Fälle auf die Microsoft Exchange Schwachstelle „Hafnium“. Ob und inwiefern – insbesondere bei der Annahme eines unzureichenden Patchmanagements – hier datenschutzrechtliche Anordnungen und Sanktionen erfolgten, wird nicht geschildert. Darüber hinaus gab es wieder Einbrüche in Kindertagesstätten, bei denen unverschlüsselte Datenträger mit Daten der betreuten Kinder entwendet wurden, einen Fall, in dem einem möglichen künftigen Vermieter telefonisch Informationen über eine Mitarbeiterin über den Bestand des Arbeitsverhältnisses herausgegeben wurden sowie einen Fall von Datendiebstahl von dienstlichen personenbezogenen Daten auf einem dienstlich genutzten Privat-PC einer Lehrkraft. Erwähnenswert ist hierbei, dass es für die Privatnutzung keine Genehmigung gegeben hatte und die Lehrkräfte bereits über dienstliche Geräte verfügten. In diesem Fall erfolgte die Anordnung, ein dokumentiertes Verfahren an den Schulen zu etablieren.
Neues aus Gesetzgebung und Rechtsprechung
Kurz geht die KDSA-Nord auf relevante neue Gesetze ein (Gesetz über das Verwaltungsverfahren im kirchlichen Datenschutz, Durchführungsverordnung zum Schutz personenbezogener Daten in katholischen Schulen im Erzbistum Hamburg, Gesetz zur Regelung des Rechtsinstruments nach § 29 KDG und Verordnung zur Durchführung des Gesetzes zur Regelung des Rechtsinstruments nach § 29 KDG), ohne sich inhaltlich und unter datenschutzrechtlichen Gesichtspunkten damit weiter auseinanderzusetzen. Zum Telekommunikation-Telemedien-Datenschutz-Gesetz wird lediglich ausgeführt, dass hier die Zuständigkeiten der Aufsichtsbehörden noch nicht geklärt seien, während das Betriebsrätemodernisierungsgesetz als Anhaltspunkt dafür herhalten könne, dass auch die kirchlichen Mitarbeitervertretungen nicht als eigene Verantwortliche zu betrachten seien, sondern die Verantwortlichkeit auch in diesem Teil der Einrichtung beim Arbeitgeber zu sehen sei.
Fazit
Insgesamt enthält der Tätigkeitsbericht wenig Orientierung sowohl für die kirchlichen Einrichtungen selbst als auch für die datenschutzrechtliche Beratung. Es handelt sich eher um eine Beschreibung der Tätigkeit im Berichtszeitraum, die ohne viel rechtliche Würdigung bzw. die Bewertung von datenschutzrechtlich relevanten Vorgängen auskommt. Auch die fehlenden Zahlen zur Aufsichtstätigkeit und insbesondere zu datenschutzrechtlichen Konsequenzen (Bußgelder, Anordnungen, etc.) sind für eine Untermauerung der Umsetzung des Kirchlichen Datenschutzrechts nicht förderlich.
Hilfreich für die Beratung ist allerdings sicherlich der zur Verfügung gestellte Fragenkatalog der Querschnittsprüfung im Bereich Kindertagesstätten, den man wegen der fehlen Spezifizierung ohne weiteres auf andere Einrichtungstypen übertragen kann.