Rechenschaftsbericht der Datenschutzaufsicht für die Jahre 2020-2022

Die gemeinsame Datenschutzaufsicht besteht aus der Anskar-Kirche Deutschland e.V., Apostolische Gemeinschaft e.V., Die Heilsarmee in Deutschland KdöR und der Kirche des Nazareners Deutscher Bezirk e.V. Als Arbeitsgrundlage dienen die verschiedenen Datenschutzordnungen der Mitgliedskirchen und die gemeinsam beschlossene Geschäftsordnung.

Zu den Zuständigkeiten der gemeinsamen Aufsichtsbehörde gehören die Sicherstellung eines wirksamen Datenschutzes, die Vorgabe und Überwachung von Maßnahmen bei Datenschutzvorfällen sowie deren Sanktionierung. Dabei achtet sie darauf, dass Einklang in der Beurteilung von Datenschutzverstößen herrscht zwischen ihrem Handeln und dem Handeln staatlicher Aufsichtsbehörden.

Die zugrunde liegenden Datenschutzordnungen berücksichtigen hierbei die kirchlichen Belange, so dass ein angemessener Datenschutz installiert und beurteilt werden kann. Weiterhin sorgen diese Ordnungen dafür, dass keine kirchlichen Mittel als Strafgelder bei Datenschutzverstößen abfließen.

Die Mitgliedskirchen berufen sich zur Umsetzung der eigenen Datenschutzordnungen auf die Öffnungsklausel des Art. 91 DSGVO, welche Kirchen das Recht einräumt, umfassende eigene Regeln zum Schutz natürlicher Personen anzuwenden. Sie berufen sich weiterhin auf das verfassungsmäßig garantierte Recht zur Selbstverwaltung gemäß Art. 140 GG, welches Art. 137 Abs. 3 der deutschen Verfassung vom 11.8.1919 einbezieht: „Jede Religionsgesellschaft ordnet und verwaltet ihre Angelegenheiten selbständig innerhalb der Schranken des für alle geltenden Gesetzes.“. Die Öffnungsklausel in Art. 91 DSGVO beinhaltet einen Stichtag und wird teilweise als reine Bestandschutzklausel verstanden. Damit geht jedoch einher, dass diese Auslegung Kirchen diskriminiert, welche vor Inkrafttreten der DSGVO keine umfassenden Regelungen getroffen haben oder welche erst nach Inkrafttreten der DSGVO entstanden sind. Eine Ungleichbehandlung von Kirchen auf Basis einer Stichtagsregelung ist nicht in Einklang zu bringen mit dem Art. 17 Abs. 1 AEUV (auf welchen ausdrücklich in EG 165 zu Art. 91 DSGVO Bezug genommen wird): „Die Union achtet den Status, den Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren Rechtsvorschriften genießen, und beeinträchtigt ihn nicht“. Die Mitgliedskirchen vertreten daher die Ansicht, dass Kirchen unabhängig von einem Stichtag eigene Regelungen zum Datenschutz treffen können, wenn diese mit der DSGVO übereinstimmen. Dies beinhaltet ebenfalls das Recht und die Verpflichtung, eigene Aufsichtsbehörden zu berufen. Davon abgesehen sind eigene Aufsichtsbehörden, welche den kirchlichen Datenschutz überwachen, als „spezialisierte“ Aufsichtsbehörden zudem thematisch und fachlich für die Beurteilung von Datenschutzvorfällen und -themen durch die Kenntnis der kirchlichen Gegebenheiten und Regelungen besser geeignet.

Die gemeinsame Aufsichtsbehörde besteht seit Beginn aus den gleichen Mitgliedskirchen. Veränderungen gab es im Berichtszeitraum lediglich in Hinblick auf einzelne Vertreter der Mitgliedskirchen. Die Teilnehmer der Aufsichtsbehörde sind in der AG Datenschutz des VEF (Vereinigung Evangelischer Freikirchen) integriert und diskutieren auf dieser Ebene aktuelle Themen.

Die Aufsichtsbehörde wird nur im Anrufungsfall tätig. Bei vorliegenden Beschwerden ist die betroffene Kirche von der Bearbeitung ausgeschlossen und die anderen drei Mitgliedskirchen bearbeiten den Fall. Die Aufsichtsbehörde kann gemäß der Datenschutzordnung der jeweiligen Kirche angemessene Maßnahmen festlegen.

Im Berichtszeitraum fand sich das Gremium regelmäßig zu Beratungen und Besprechungen zusammen. Insgesamt wurden drei Beschwerden bearbeitet.

Ein Vorfall bezog sich hierbei auf eine Beschwerde eines Nachbarn, der sich durch eine Videoüberwachung zur Gebäudesicherung in seinen Rechten beeinträchtigt sah. Die Beschwerde ging zuerst an die staatliche Aufsichtsbehörde, wurde dort dann aber an uns zurückgeleitet. Die Existenz einer eigenen Datenschutzaufsicht wurde hierbei letztendlich durch die Datenschutzbehörde von Hamburg anerkannt. Nach ausführlicher Prüfung wurde die Beeinträchtigung der Rechte des Beschwerdeführers anerkannt. Die verursachende Einrichtung erhielt Auflagen, um datenschutzkonformes Handeln sicherzustellen. Die Maßnahmen wurden umgesetzt.

Ein weiterer Vorfall bezog sich auf ein unrechtmäßiges Offenlegen von Gesundheitsdaten. Eine unbefugte Person verschaffte sich Zutritt zu einem Büro und las dort Patientenakten. Die Akten waren nicht entsprechend der datenschutzrechtlichen Vorgaben gelagert. Der Vorfall wurde durch die Einrichtung selbst gemeldet, es erfolgte eine Anzeige gegenüber der widerrechtlich handelnden Person. Durch den Träger wurden umfangreiche Maßnahmen ergriffen, um die Sicherheit der personenbezogenen Daten/Gesundheitsdaten zu gewährleisten. Weitere Maßnahmen waren nicht erforderlich.

Die dritte Beschwerde beinhaltete die unerlaubte Offenlegung von persönlichen Informationen im Rahmen eines Rundbriefes. Nach Kenntnisnahme des Vorkommisses wurden die Informationen umgehend aus dem Netz genommen, sowie die entsprechenden Printmedien der Vernichtung zugeführt. Der Beschwerdeführer wurde über die Umsetzung der Maßnahmen fristgerecht informiert.

Alle drei Fälle zeichneten sich durch eine gute Kooperation zwischen der gemeinsamen Datenschutzaufsicht und den verursachenden Stellen aus. Anfragen der Aufsicht wurden zeitnah und umfangreich beantwortet und notwendige Maßnahmen zeitnah umgesetzt.

S. Grünberg, J. Habekost, H. Leisinger, R. Tumat