Die Katholische Datenschutzaufsicht Nord (KDSA-Nord) hat auf ihrer Homepage den Tätigkeitsbericht für das Jahr 2022 veröffentlicht (abrufbar hier). Dabei handelt es sich um den letzten Tätigkeitsbericht des bisherigen Diözesandatenschutzbeauftragten Andreas Mündelein, der sich Ende 2022 in den wohlverdienten Ruhestand verabschiedet hat. Die Funktion des Diözesandatenschutzbeauftragten wird seit dem 1.1.2023 von seinem bisherigem Stellvertreter Andreas Bloms wahrgenommen. Herr Mündelein dankt in seinem Tätigkeitsbericht den verschiedenen beteiligten Personen und Stellen für die gute Zusammenarbeit.
Inhaltlich sind vor allem die Ergebnisse der Querschnittsprüfung interessant, die erstmalig bei den Caritasverbänden durchgeführt und 2022 abgeschlossen wurde.
Querschnittsprüfung Caritas
Wie schon bei der Überprüfung der Kindertagesstätten (wir berichteten) wurde bei der Prüfung erneut auf das Instrument eines elektronischen Fragebogens zurückgegriffen. Der Fokus lag auf den Bereichen Datengeheimnis, Betroffenenrechte, Informationspflichten, Auftragsverarbeitung sowie den technischen und organisatorischen Maßnahmen (TOMs). Ausgewählt wurden die fünf großen Caritas-Verbände in Norddeutschland.
Einrichtungsübergreifend stellt die KDSA-Nord fest, dass Nachbesserungsbedarf bei den TOMs besteht. In diesem Bereich wurden auch die meisten Hinweise für eine mögliche Verbesserung speziell beim Prüfpunkt Berechtigungskonzept formuliert. Insgesamt wurden aufgrund der festgestellten Verbesserungsbedarfe zwei Bescheide (Verwarnungen) und drei Informationsschreiben (einschließlich Hinweise) versandt. Die Verwarnungen enthielten dabei jeweils einen Nachbesserungsbedarf.
Dankenswerterweise hat die KDSA-Nord – wie auch schon bei der Querschnittsprüfung im Bereich der Kitas – im Anhang des Tätigkeitsberichts den verwendeten Fragenkatalog abgedruckt. Dieser ist auch für andere kirchliche Einrichtungen interessant, da sich daraus schließen lässt, welche Punkte für die Datenschutzaufsicht besonders relevant sind.
Da es diesmal keinen Ausblick auf eine erneute Querschnittsprüfung gibt, ist davon auszugehen, dass der Fokus der Prüfungstätigkeit nun wieder verstärkt auf Vor-Ort-Prüfungen gelegt werden soll.
Zahlen zur Aufsichtstätigkeit
Leider gibt es auch für das Jahr 2022 keine konkreten Zahlen zur Aufsichtstätigkeit. Der Eingang von Beschwerden sei im Vergleich zum Vorjahr leicht rückläufig, dafür sei die Meldung von Datenschutzverletzungen auf dem Niveau des Vorjahres. Pandemiebedingt wurden lediglich zwei Kirchengemeinden und ein Dienst der Caritas besucht.
Aussagen dazu, ob und in welcher Höhe Bußgelder verhängt wurden, finden sich nicht im Tätigkeitsbericht.
Beratung, Beschwerden und Datenpannen
Der Tätigkeitsbericht gibt außerdem Einblick in beispielhafte Beratungsanfragen, Beschwerden und Datenpannen, die die KDSA Nord im Jahr 2022 bearbeitet hat. Weiterhin ist die Weitergabe von Meldedaten an Zeitungsverlage Thema. Die Weitergabe der beim Bistum vorliegenden Meldedaten an die Kirchenzeitung sei unzulässig, wenn dies zu dem Zweck erfolge, die Meldedaten für die Anwerbung von Neukunden zu nutzen. Im Vordergrund stehe hierbei das wirtschaftliche Interesse des Zeitungsverlages, die Abonnentenzahl zu erhöhen. Dieses wirtschaftliche Interesse sei nicht vereinbar mit § 42 Abs. 1 Bundesmeldegesetz.
Erstmalig befasst sich der Tätigkeitsbericht mit der Einrichtung eines Kontaktformulars mit Uploadfunktion in einer Gesundheitseinrichtung. Die KDSA Nord gibt hierzu Hinweise zu den allgemeinen Gefährdungen, die zu einer Kompromittierung der Daten oder zu einem Verstoß gegen datenschutzrechtliche Vorgaben führen können und berücksichtigt hierbei insbesondere den Umstand, dass im konkreten Fall Gesundheitsdaten betroffen waren.
Von den eingegangenen Beschwerden wird im Tätigkeitsbericht nur ein Sachverhalt geschildert. Eine Beschwerdeführerin hatte wegen einer möglicherweise unrechtmäßigen Offenlegung von Daten ihren Auskunftsanspruch geltend gemacht, dieser war dann erst während des Beschwerdeverfahrens vollumfänglich erfüllt worden. Gegenüber der verantwortlichen Kirchengemeinde wurde eine Verwarnung ausgesprochen.
Bei den Datenpannen wird über einen Fall der Veröffentlichung einer Notfallkontaktliste anstelle einer Klassenliste in einer Schulklasse berichtet. Diese unbefugte Offenlegung von personenbezogenen Daten sei insbesondere durch unzureichende Zugriffsbeschränkungen erfolgt. Solche Notfallkontaktlisten sollten während der allgemeinen Schulzeiten über das Sekretariat und nicht ohne TOMs für die Lehrkräfte allgemein zugänglich sein.
Darüber hinaus wird über einen datenschutzrechtlichen Klassiker berichtet: einen verlorenen USB-Stick mit personenbezogenen Daten. In diesem Fall handelte es sich um Patientendaten, die auf einem USB-Stick an einen Empfänger per Post geschickt werden sollten. Offenbar wurde der Brief in der Sortieranlage beschädigt, wodurch der USB-Stick abhanden kam. Die KDSA-Nord weist darauf hin, dass nach § 13 Abs. 2 S. 2 lit. a KDG-DVO mobile Geräte oder Datenträger, auf denen personenbezogene Daten der Datenschutzklasse III gespeichert werden, zu verschlüsseln seien. Hierbei sei ebenso zu berücksichtigen, dass personenbezogene Daten der Datenschutzklasse III überhaupt nur dann auf mobilen Geräten gespeichert werden dürften, wenn dies aus dienstlichen Gründen zwingend erforderlich ist.
Neues aus Gesetzgebung und Rechtsprechung
Kurz geht die KDSA-Nord auf das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ein und schließt sich der Auffassung der Landesbeauftragten für den Datenschutz Nordrhein-Westfalen an, wonach gem. § 29 TTDSG der Bundesbeauftragte für den Datenschutz für die Aufsicht über Videokonferenzdienste hat. Im kirchlichen Bereich lasse die überfällige Evaluation des Gesetzes über den Kirchlichen Datenschutz weiter auf sich warten.
Fazit
Leider enthält auch dieser Tätigkeitsbericht wenig Orientierung sowohl für die kirchlichen Einrichtungen selbst als auch für die datenschutzrechtliche Beratung. Lediglich der Fragebogen der Querschnittsprüfung kann als Priorisierung der Aufsichtsbehörde gedeutet werden. Ob diese Ausrichtung unter der Führung von Herrn Bloms bestehen bleibt, ist allerdings unklar. Insgesamt handelt es sich eher um eine Beschreibung der Tätigkeit im Berichtszeitraum, die ohne viel rechtliche Würdigung bzw. die Bewertung von datenschutzrechtlich relevanten Vorgängen auskommt. Wünschenswert wären darüber hinaus Zahlen zur Aufsichtstätigkeit und insbesondere zu datenschutzrechtlichen Konsequenzen (Bußgelder, Anordnungen etc.). Mit Spannung bleibt also zu erwarten, wie sich die KDSA Nord unter Herrn Bloms entwickeln wird.