Die Rechte der Person schützen

Jeder hat ein Grundrecht auf informationelle Selbstbestimmung. Datenschutz schützt dieses Persönlichkeitsrecht, betont der Diözesan-Datenschutzbeauftragte der Region-Ost, Matthias Ullrich.    Foto:Grafikdesign Michael Koch/kdsa ost

Einmal im Jahr legt der Diözesan-Datenschutzbeauftragte der Region Ost, Matthias Ullrich, einen Bericht vor. Im aktuellen, 110 Seiten starken Heft, informiert Ullrich über Entwicklungen des Datenschutzes in der Bundesrepublik einschließlich der kirchlichen Einrichtungen, zu ausgewählten Rechten und Pflichten der Datenschutzaufsicht, aber auch über Fragen der konkreten Alltagspraxis im Umgang mit Daten sowie des technischen Datenschutzes. Eigene Kapitel sind den Bereichen Gesundheitswesen und Schule sowie dem Beschäftigtenverhältnis gewidmet. Dabei kommen auch datenschutzrelevante Aspekte im Kontext der Corona-Situation zur Sprache.

Herr Ullrich, wie steht es um den Datenschutz in der Katholischen Kirche der Region Ost?

Im Jahr 2016 bin ich allein gestartet, um diese Dienststelle zu etablieren. Inzwischen nehmen wir unsere Aufgaben zu viert war. So konnten wir die Arbeit auf Fachreferate mit speziell zuständigen Mitarbeiterinnen und Mitarbeitern verteilen. Fast alle Pfarreien, Krankenhäuser, Schulen, Kitas und Sozialeinrichtungen haben betriebliche Datenschutzbeauftragte bestellt. Es gibt eine breite Vernetzung zwischen unserer Datenschutzaufsicht und den Einrichtungen in den Bistümern. Das macht deutlich, dass die Kirche den Datenschutz ernst nimmt.

In welchen Bereichen stellt Ihr Bericht erhebliche Verstöße fest?

Diözesan-Datenschutzbeauftragter Matthias Ullrich

Teilweise werden fahrlässig Regeln nicht beachtet. Schlimmer noch ist, wenn sie ignoriert werden, weil sie vermeintlich einer schnellen Erledigung im Wege stehen, zum Beispiel beim Versenden von E-Mails. Wo Schnelligkeit vor Sicherheit geht, passieren die häufigsten und gröbsten Fehler und Verstöße. In den kirchlichen Einrichtungen werden personenbezogene, häufig sehr sensible Daten verarbeitet. Wir schulden es denjenigen, die unseren Einrichtungen Vertrauen entgegenbringen, ihre Persönlichkeitsrechte vor unbefugten Dritten zu schützen. Dazu gehört auch, neben der Verwendung aktueller Sicherheitsmechanismen nur so viele Daten zu erheben, wie zur Erfüllung der jeweiligen Aufgabe notwendig sind, und sie nur solange, wie erforderlich, zu speichern. Erhebliche Verstöße sind oft dort festzustellen, wo Daten aus unreflektierter Gewohnheit unnötig gespeichert sind, zum Beispiel auch auf Internet-Seiten von Gemeinden.

Gibt es erfreuliche Entwicklungen in Sachen Datenschutz?

Der Datenschutz ist in der Fläche angekommen. Zunehmend wird wahrgenommen, dass es sich dabei nicht nur um eine lästige Pflicht handelt, sondern um einen Schutz vor überbordender Vereinnahmung durch intransparente Systeme. Die Menschen verstehen, dass es nicht darum geht, ob man etwas zu verbergen hat, sondern darum, seine Freiheit nicht einschränken zu lassen.

Lange waren die dienstliche Verwendung von Video-Kommunikationssystemen wie Skype oder Zoom tabu. Nun nutzen Sie als Datenschützer für Ihre Videosprechstunden selbst „Zoom“. Machen die Pandemiezeiten pragmatischer?

Als Datenschutzaufsicht haben wir stets darauf verzichtet, ein Videokonferenzsystem zu empfehlen oder zu verbieten. Das ist auch gar nicht möglich, da sich solche Systeme häufig ändern. Das ist am Beispiel „Zoom“ gut zu sehen. Nach starker Kritik hat der Anbieter deutlich nachgebessert. Dennoch empfehlen wir den Dienst nicht, obwohl wir ihn selbst nutzen. Verantwortlich für die datenschutzrechtliche Zulässigkeit bleibt derjenige, der das System verwendet und andere zur Teilnahme einlädt. Er muss die Einstellungen im System vornehmen, mit denen rechtswidrige Nutzungen ausgeschlossen werden. Die Übernahme der vom Anbieter eingerichteten Einstellungen reicht dafür regelmäßig nicht aus. Wenn solche Einstellungen nicht geändert werden können, wie das häufig bei Freeware der Fall ist, sind Zweifel an der Zulässigkeit angebracht. Als Aufsicht wollen wir nicht pauschal Verbote aussprechen, sondern die Anwender konstruktiv unterstützen.

Wie verhält es sich aktuell mit dem Messaging-Dienst WhatsApp von Facebook?

WhatsApp legt in seinen ausführlichen Geschäftsbedingungen, die man akzeptieren muss, bevor man die App nutzt, dar, dass der Dienst alle Daten einschließlich Bildern und Kontakten ausliest und nutzen darf. Das ist aber gerade im Zusammenhang mit Caritas und Seelsorge ein Problem. Dort geht es um sensible Daten. Es muss geheim bleiben, welche Kontakte Schuldner- oder Eheberater auf ihrem Smartphone gespeichert haben, da man sonst Rückschlüsse auf die Persönlichkeit Betroffener ziehen kann. Das gilt nicht zuletzt in der Pandemie.

Derzeit arbeiten etliche Menschen von zu Hause. Sehen Sie beim „Home-Office“ besondere Probleme beim Datenschutz?

Auch zu Hause dürfen personenbezogene Daten Dritten nicht zugänglich sein. Telefonate müssen so geführt werden, dass die Vertraulichkeit gewahrt bleibt. Unterlagen müssen verschließbar gelagert werden können. Rechner sind zu sperren, wenn sie nicht benutzt werden oder der Arbeitsraum verlassen wird. Die Nutzung privater Laptops oder PC’s ist grundsätzlich untersagt. Das ist im Rahmen des kirchlichen Datenschutzes ausdrücklich festgelegt. Für Ausnahmen sind konkrete Regelungen vorgesehen. Teilweise greifen diese Vorgaben erheblich in die Persönlichkeitsrechte von Arbeitnehmern ein. So zum Beispiel das Recht des Arbeitgebers auf Löschung durch Fernzugriff aus wichtigem und unabweisbarem Grund oder die jederzeitige Überprüfbarkeit durch den Arbeitgeber. Schwer zu erfüllen ist auch der Nachweis einer Löschung der zu dienstlichen Zwecken verarbeiteten personenbezogenen Daten, wenn die erlaubte Nutzung des privaten IT-Systems endet. Home-Office oder mobiles Arbeiten entpflichten den Arbeitgeber nicht, Arbeitnehmern die für die Erbringung der geschuldeten Arbeitsleistung erforderlichen Arbeitsmittel zur Verfügung zu stellen. Genau das passiert aber häufig nicht. Die Einhaltung dieser Regelungen wird deshalb ein Prüfungsschwerpunkt im laufenden Jahr sein.

Interview: Eckhard Pohl

Hintergrund: Diözesan-Datenschutz
Matthias Ullrich ist Diözesan-Datenschutzbeauftragter für das Erzbistum Berlin, die Bistümer Dresden-Meißen, Erfurt, Görlitz und Magdeburg sowie den Katholischen Militärbischof.
Gemäß einer Sondervorschrift in der Europäischen Datenschutzgrundverordnung beaufsichtigen – anstelle der Landesbeauftragten – kirchliche Datenschutzbeauftragte die Einhaltung des Datenschutzes in den kirchlichen Einrichtungen. Sie sind berechtigt, bei Verstößen Sanktionen gegen die jeweiligen Einrichtungen zu verhängen.Jede betroffene Person, die sich in ihren Persönlichkeitsrechten verletzt sieht, kann sich bei der Datenschutzaufsicht beschweren.
Matthias Ullrich und Mitarbeiter bieten Beratungen und Online-Sprechstunden an. Sie informieren über aktuelle Entwicklungen des Datenschutzes und unterstützen Einrichtungen und Pfarreien bei der Umsetzung.
Die Dienststelle des Datenschutzbeauftragten Ost besteht seit 2016 und befindet sich in Schönebeck (Elbe).

Tätigkeitsberichte des Beauftragten unter: www.kdsa-ost.de