In der Kürze liegt die Würze, ist der erste Gedanke beim Aufruf des Tätigkeitsberichts des Diözesandatenschutzbeauftragten der Bayerischen (Erz-Diözesen). Auf ganzen elf Seiten wird über den Zeitraum 4.4.2019 bis 30.9.2020 berichtet. Vielen Dank an dieser Stelle an Felix Neumann vom Artikel-91-Blog für die Verlinkung.
Ungeachtet seiner Länge bietet der Tätigkeitsbericht inhaltlich viele interessante Aspekte, die wir im Folgendem kurz beleuchten wollen.
Änderungen des kirchlichen Datenschutzrechts
Der DSGVO einen Schritt voraus, wurde im KDG eine Regelung aufgenommen, die eine Überprüfung (und Anpassung) des Gesetzes innerhalb von drei Jahren ab Inkrafttreten vorsieht. Wer sich mit dem KDG intensiv beschäftigt, wird sicher sofort einige Regelungen vor Augen haben, bei denen durchaus Anpassungsbedarf bestünde. Tatsächlich ist die Überprüfung durch die Diözesandatenschutzbeauftragten im vollen Gang und betrifft unter anderem folgende Regelungen.
§ 8 Abs. 2 – Schriftformerfordernis bei Einwilligungen als Regelfall
Diese Regelung hat in der Vergangenheit immer wieder zu Problemen geführt. Um diesen zu begegnen, soll die Schriftform einer Beweisbarkeit der Einwilligung weichen.
§ 29 Abs. 11 Auftragsverarbeitung im Ausland
Die Anforderungen, die bislang an Auftraggeber und Auftragnehmer gestellt werden sind für die praktische Umsetzung zu hoch. Hier wird über eine Streichung diskutiert, mit dem Argument, dass die Regelungen der §§ 39 ff KDG genügend Sicherheit bieten.
§ 33 – Meldung von Datenpannen
Bislang wurde der Beginn der Meldefrist an die Verwirklichung des Tatbestandes der Datenschutzverletzung geknüpft. Gerade wenn die Datenpanne vor dem Wochenende oder vor Feiertagen passierte, war die Frist häufig abgelaufen oder so vorangeschritten, dass eine fristgemäße Meldung nicht mehr möglich war. Diesbezüglich wird überlegt, den Fristbeginn an das Bekanntwerden der Datenschutzverletzung zu knüpfen.
§ 51 – Verhängung von Geldbußen
Derzeit laufen mögliche Bußgeldverhängungen ins Leere. Einerseits weil bestimmte Einrichtungen nach § 51 Abs. 6 von der Bußgeldverhängung ausgenommen sind. Andererseits, weil ein vorsätzlicher oder fahrlässiger Verstoß gefordert wird, die Datenschutzverletzung regelmäßig auf ein einfaches Handlungsmissgeschick eines Beschäftigten zurückzuführen ist und dem Verantwortlichen weder Vorsatz noch Fahrlässigkeit zur Last gelegt werden kann. Hier soll in einer gesonderten Norm die Möglichkeit der Bußgeldverhängung für natürliche Personen geschaffen werden. Als Blaupause soll hier Art. 23 Bayerisches Landesdatenschutzgesetz dienen.
Beschwerden
Ein weiterer Punkt, auf den dezidiert eingegangen wird, sind Beschwerden über Datenverarbeitungen. Deren Anzahl stieg auch beim Diözesandatenschutzbeauftragten der Bayerischen (Erz-Diözesen) kontinuierlich. Waren es 2007 gerade einmal zwei pro Jahr und 2017 sechs, so stieg die Anzahl zwischen Mai 2018 bis September 2020 um 300%. Pro Jahr rechnet der Diözesandatenschutzbeauftragte mit 25-35 Beschwerden.
Die Beschwerden betrafen vor allem nicht ausreichende Informationen nach § 15 KDG, die Speicherung nicht erforderlicher Daten im Beschäftigungsverhältnis und die Dokumentation von Gottesdienstbesuchern zur Corona-Kontaktnachverfolgung.
Datenpannen
Auch im Bereich der Datenpannen ist ein massiver Anstieg seit dem Inkrafttreten des KDG zu verzeichnen: Waren es früher von ein bis zwei Meldungen pro Jahr sind es heute zwei bis drei Meldungen pro Woche.
Die Datenpannen betrafen meist die Falschversendung medizinischer Dokumente per Post oder Mail, die Nichtnutzung der BCC-Funktion, den Diebstahl von Hardware oder den Verlust von Datenträgern im öffentlichen Raum.
Datenschutzfolgenabschätzung
Bei Datenschutzfolgenabschätzungen sieht das KDG vor, dass der Diözesandatenschutzbeauftragte zur Stellungnahme aufgefordert werden kann. Von dieser Möglichkeit wird zunehmend Gebrauch gemacht, so dass auch hier ein Anstieg zu verzeichnen ist. Derzeit werden rund zehn Stellungnahmen pro Jahr angefordert.
Positive Stellungnahmen erfolgen bei den folgenden Verfahren:
- Communicare
- Schoolfox
- Kita-Info-App
- ATOSS Time Control
Negative Stellungnahmen erfolgten (idR wegen der Beteiligung von US-Unternehmen) bei:
- Nemborn
- Famly
- Care
- Teacher Studio
Personelle Situation
Der Diözesandatenschutzbeauftragten der Bayerischen (Erz-) Diözesen verfügt über einen Mitarbeiter, der überwiegend im Außendienst tätig ist und Kontrolltätigkeiten in den Einrichtungen durchführt. Eine Backoffice-Kraft gibt es nicht. Insgesamt wird die Personalausstattung als „im hohen Maße unzureichend“ eingeschätzt, die Beschäftigung von drei weiteren Mitarbeitende im Außendienst sei indiziert. Zusätzlich bedürfe es eines Vertreters des Diözesandatenschutzbeauftragten sowie zwei halber Stellen in der Geschäftsstelle.
Erfahrungsbericht
Abgeschlossen wird der Tätigkeitsbericht mit einem persönlichen Erfahrungsbericht eines Prüfers. Schlug dem Fachreferenten bei seinen Prüfungen der kirchlichen Einrichtungen anfänglich Abwehr und Misstrauen entgegen, wird er heute als Unterstützer und Dienstleister angesehen. Inzwischen kommt es zu einer sehr konstruktiven Zusammenarbeit mit den betrieblichen Datenschutzbeauftragten.
Der Tätigkeitsbericht ist hier abrufbar.
Beschäftigtendatenschutz-Woche! – Wochenrückblick KW 45 | Artikel 91
6. November 2020 @ 11:40
[…] die ein eigenes §-29-KDG-Gesetz zur Auftragsdatenverarbeitung erlassen haben. Außerdem haben die Datenschutz-Notizen über den bayerischen Tätigkeitsbericht berichtet: »kurz und brisant« ist das Urteil, ähnlich wie […]