Der Diözesandatenschutzbeauftragte der Erzdiözesen Köln und Paderborn sowie der Diözesen Aachen, Essen und Münster und der Verbandsdatenschutzbeauftragten des Verbandes der Diözesen Deutschlands haben ihren 4. Tätigkeitsbericht (Berichtszeitraum 01.01. – 31.12.2019) veröffentlicht. Der Bericht deckt einen bunten Strauß an Themen ab.

Kirchliches Datenschutzmodell

In Anlehnung an das Standarddatenschutzmodell der weltlichen Aufsichtsbehörden, erarbeiten die katholischen und evangelischen Aufsichtsbehörden ein ökumenisches Kirchliches Datenschutzmodell (KDM). Dieses soll einerseits den Aufsichtsbehörden dienen, um vor Ort Prüfungen durchzuführen. Andererseits sollen die verantwortlichen Stellen mit dem KDM ihre Prozesse selbst überprüfen und verbessern können. Zieltermin für die Veröffentlichung ist der Ökumenische Kirchentag im Mai 2021 in Frankfurt/ Main (Seite 22 f.).

Meldungen von Datenpannen

Der Umfang gemeldeter Datenpannen hat massiv zugenommen. Im Vergleich zum 2 Halbjahr 2019 betrug der Anstieg im ersten Halbjahr 2020 50 Prozent, im 2. Halbjahr hat sich dieser sogar verdoppelt. Zu den Top 3 der der gemeldeten Datenpannen gehören:

  • Faxfehlversand von Kranken-, Befund- oder Entlassberichten
  • Verlust von Daten infolge von Einbruchdiebstählen in Kindertagesstätten (mehr als 100 Fälle!!!)
  • Störung des Schutzzieles Verfügbarkeit durch Maleware

Beschwerden

Zunehmend machen Betroffene von ihren Datenschutzrechten Gebrauch und nutzen ihr Beschwerderecht. Die meisten Beschwerden gab zu folgenden Themen:

  • Wiederholte Datenverarbeitung zur gezielten Ansprache bei Spendenaktionen trotz erklärtem Widerspruch
  • Fehlversand von Arztberichten
  • Unberechtigte Einsichtnahme in elektronische Patientenakten

Prüfungsschwerpunkte

Neben anlassbezogenen Prüfungen führt das Katholisches Datenschutzzentrum anlasslose Prüfungen durch. Hier lag der Schwerpunkt im Berichtszeitraum auf einer Querschnittsprüfung von kirchlichen Kindertagesstätten.

Bußgelder

Im 4. Quartal 2019 wurden gegen drei kirchliche Einrichtungen Bußgelder erlassen. Diese betrafen die unbefugte Offenbarung von Gesundheitsdaten (zwei Fälle) sowie die unterlassene Meldung eines meldepflichtigen Verstoßes und einer entsprechenden Aufforderung durch die Datenschutzaufsicht. Leider wurden keine Ausführungen zur Höhe der verhängten Bußgelder gemacht.

Beschlüsse der Konferenz der Diözesandatenschutzbeauftragen

Hervorzuheben ist die Zusammenstellung der Beschlüsse der Konferenz der Diözesandatenschutzbeauftragen. Diese sind chronologisch aufgeführt und werden kompakt inhaltlich zusammengefasst.