Im Interview mit Matthias Ullrich, Autor des Buches Beschäftigtendatenschutz der katholischen Kirche

Redaktion: Herr Ullrich, Sie sind seit 2016 Diözesandatenschutzbeauftragter der ostdeutschen Bistümer. Bitte stellen Sie uns Ihre Behörde, die Datenschutzaufsicht Ost (www.kdsa-ost.de), kurz vor und erläutern deren Aufgaben und Tätigkeiten!

Herr Ullrich: Unsere Behörde ist eine Aufsicht „spezifischer Art“ gemäß Artikel 91 Abs. 2 DS-GVO. Als solche üben wir die Datenschutzaufsicht über alle katholischen Einrichtungen auf dem Gebiet der (Erz-)Bistümer Berlin, Dresden-Meißen, Erfurt, Görlitz und Magdeburg aus.

Personen, die meinen von einer Datenschutzverletzung betroffen zu sein, können sich an unsere Behörde wenden und ihre Beschwerde prüfen lassen.

Wir unterrichten regelmäßig über datenschutzrechtliche Themen, Risiken und Gesetze. Dabei kommt es uns besonders darauf an, Verständnis für den Sinn des Datenschutzes zu vermitteln.

Wir führen mehrmals jährlich in verschiedenen Einrichtungen anlasslose Prüfungen durch, um festzustellen, ob personenbezogene Daten dort entsprechend den gesetzlichen Regelungen verarbeitet werden. Dazu gehört auch die Kontrolle der technisch organisatorischen Maßnahmen, u. a. auch der Datenschutzkonzepte und der Regelungen mit denen Mitarbeitende und Besucher auf den Datenschutz verpflichtet werden.

Neben dem Austausch mit den anderen katholischen Datenschutzaufsichten arbeiten wir regelmäßig mit den Landesdatenschutzaufsichten zusammen.

Redaktion: Im Frühjahr erschien Ihr neues Buch „Beschäftigtendatenschutz der katholischen Kirche“ mit der klaren Botschaft „Datenschutz schützt Menschen“. Bitte erläutern Sie kurz diese Schutzfunktion.

Herr Ullrich: Die Bezeichnung „Datenschutz“ lässt vermuten, dass es dabei um die Sicherung oder Erhaltung von Daten geht. Das ist abstrakt und betrifft nur einen Teilaspekt des Datenschutzes, nämlich die Datensicherheit.

Wichtigste Aufgabe des Datenschutzes ist es aber die informationelle Selbstbestimmung zu schützen. Das bedeutet zum einen, dass jeder Mensch selbst entscheiden können muss, wem er welche Daten über sich mitteilt. Es bedeutet aber auch, dass jeder Mensch Zugang zu ungefilterten Informationen haben muss. Wenn wir von Dritten nur noch mit Informationen versorgt werden, die in Kenntnis unseres Persönlichkeitsprofils auf uns zugeschnitten sind, bedeutet diese selektive Bereitstellung Manipulation und Lenkung des Einzelnen. Der Mensch würde dabei nur noch als Objekt wahrgenommen und in der freien Entfaltung der Persönlichkeit eingeschränkt. Dies widerspräche unserem Grundgesetz.

Redaktion: Oft steht der Datenschutz in der Kritik, mehr Arbeit zu machen als zu nutzen. Wie stehen Sie zu dieser Aussage?

Herr Ullrich: Man kann eine Arbeitsaufgabe nicht gut erledigen, wenn dabei der Datenschutz missachtet wird. Das ist vergleichbar mit Hygienevorschriften, die im Gesundheitsbereich zu beachten sind oder mit Arbeitssicherheitsregeln die eingehalten werden müssen. Auch diese Vorschriften nehmen Zeit in Anspruch, sie sind aber für die Sicherheit der Betroffenen einzuhalten. So ist es auch beim Datenschutz. Die dafür aufgewandte Zeit ist im Interesse der Sicherheit für die Menschen und ihre Persönlichkeitsrechte erforderlich.

Redaktion: In Ihrem Buch (Seite 13, Randnummer 10) behaupten Sie: "Datenschutz ist heute wichtiger denn je!" Woran machen Sie diese zunehmende Bedeutung fest?

Herr Ullrich: Der elektronische Datenaustausch ist heute allgegenwärtig. Beim Surfen im Internet, beim bargeldlosen Bezahlen, bei der Nutzung unseres Smartphones u. ä. Oftmals wissen wir gar nicht, wer bei welchen Gelegenheiten personenbezogene Informationen über uns erfasst und in Big-Data -Anwendungen verarbeitet. Durch die immer weiter steigende Vielzahl der Daten hinterlassen wir dabei Spuren, aus denen auf unsere Persönlichkeit geschlossen werden kann. Ständig größere Rechnerkapazitäten und immer bessere Algorithmen eröffnen unbekannten Dritten die Möglichkeit große Datenmengen ohne oder gegen unseren Willen zu verarbeiten und so in unsere Persönlichkeitssphäre einzudringen, uns zu durchschauen.

Dieses Risiko wird mit zunehmender Abhängigkeit von IT-Technik größer.

Redaktion: Die Kirchen gehen nicht nur im kollektiven Arbeitsrecht, sondern auch im Bereich des Datenschutzes einen Sonderweg. Im katholischen Bereich existiert mit dem Kirchlichen Datenschutzgesetz (KDG) ein eigenes Gesetz, das staatliche Bundesdatenschutzgesetz (BDSG) findet keine Anwendung. Worin unterscheiden sich die Inhalte des kirchlichen und des staatlichen Regelungswerkes?

Herr Ullrich: Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht in Europa. Es ist für alle Mitgliedstaaten der Europäischen Union zwingendes Recht. Aufgrund der sogenannten Vollharmonisierung die mit der DS-GVO erreicht werden soll, sind die einzelnen Mitgliedstaaten daran gehindert eigene Datenschutzgesetze zu erlassen, sofern solche nicht durch die DS-GVO ausdrücklich zugelassen werden. Das BDSG ist das deutsche Gesetz, mit welchem nur die Öffnungsklauseln der DS-GVO ausgefüllt werden.

In den grundsätzlichen Inhalten unterscheiden sich das KDG und die DS-GVO nicht wesentlich. Das KDG nimmt über weite Teile die Regelungen der DS-GVO wörtlich auf, oder gleicht den Text der kirchlichen Terminologie an. Die auffälligste Differenz besteht bei der Festlegung der Bußgeldhöhe. Während die DS-GVO einen Strafrahmen von 20.000.000 € oder 4% des weltweiten Umsatzes zulässt, beträgt die höchste Geldbuße in den kirchlichen Gesetzen 500.000 €.

Redaktion: Die seit 2018 geltende Europäische Datenschutz-Grundverordnung (DS-GVO) greift dagegen auch für die Kirche. Wie sehr hat das Europäische Recht den nationalen (kirchlichen) Datenschutz in den letzten 4 Jahren beeinflusst?

Herr Ullrich: Anders als beim kirchlichen Arbeitsrecht sind die Kirchen in der Ausgestaltung des Datenschutzrechtes nicht völlig frei. Art. 91 Abs. 1 DS-GVO legt fest, dass das Datenschutzrecht der Kirchen mit der europäischen Regelung „in Einklang“ stehen muss. Das bedeutet, die kirchlichen Datenschutzgesetze müssen die strukturellen Leitideen und Grundsätze der DS-GVO aufnehmen. Würde das Schutzniveau des kirchlichen Rechts das der DS-GVO unterschreiten, würde dadurch die Zulässigkeit des kirchlichen Datenschutzgesetzes insgesamt in Frage gestellt.

Die DS-GVO greift aber nicht direkt für die Kirchen. Das KDG (wie das DSG-EKD) steht mit der DS-GVO auf einer Stufe. Ist der Geltungsbereich der kirchlichen Datenschutzgesetze eröffnet, findet die DS-GVO daneben keine Anwendung!

Gleichwohl ist mit dem Inkrafttreten der DS-GVO der Datenschutz deutlich mehr in die öffentliche Wahrnehmung getreten, was sicher auch maßgeblich mit den dort verankerten hohen Strafandrohungen zusammenhängt. Auch die kirchlichen Datenschutzaufsichten sind nun berechtigt, Geldbußen zu verhängen. Außerdem wird durch die explizite Regelung von Schmerzensgeldansprüchen deutlich gemacht, dass dem Gesetzgeber der Schutz der Persönlichkeitsrechte wichtig ist.

Durch die genannten Tatsachen sind die kirchlichen Datenschutzaufsichten deutlich gestärkt worden, was sich nicht zuletzt in der Aufstockung des Personals wiederspiegelt.

Redaktion: Die Datenschutzaufsichten sind Meldestellen für Datenschutzverletzungen. Wo liegen häufige Gründe für Beschwerden? Wie viele Meldungen gehen bei Ihnen ein und wie muss man sich eine Datenschutzprüfung vorstellen?

Herr Ullrich: Anfragen oder Mitteilungen gehen fast täglich bei uns ein aber nicht jeder gemeldete Sachverhalt stellt auch tatsächlich einen Datenschutzverstoß dar. Oft werden auch Vorgänge gemeldet, bei denen eine persönliche Betroffenheit nicht gegeben ist. Wir nehmen aber auch solche Meldungen zum Anlass für eine Prüfung.

Bei einer Meldung geben wir den Sachverhalt dem Verantwortlichen zunächst zur Kenntnis und fordern ihn auf dazu aus seiner Sicht Stellung zu nehmen. Meistens ergeben sich aus der Stellungnahme weitere z. T. tiefergehende Fragen die mit dem Verantwortlichen geklärt werden. Ist der Sachverhalt dann aus unserer Sicht eindeutig dargelegt, findet durch uns eine rechtliche Bewertung statt. Diese wird dem Verantwortlichen erneut zugestellt damit er sich auch dazu äußern kann. Dann wird dem Verantwortlichen ein abschließender Bescheid zugestellt. Die Beschwerdeführerin erhält eine Mitteilung über die Inhalte des Bescheides.

Bei komplexeren Sachverhalten werden anlassbezogene Außenprüfungen durchgeführt. Dabei kann es vorkommen, dass die Prüfung sich auch auf andere Bereiche erstreckt.

Grundsätzlich benennen wir die Namen von Petenten nicht gegenüber Verantwortlichen. Jedoch ergibt sich deren Identität teilweise aus dem Sachverhalt oder aber in einem gerichtlichen Verfahren, bei dem wir verpflichtet sind unsere Akte dem Gericht offen zu legen.

Gründe für Beschwerden bestehen häufig in der unautorisierten Weitergabe von personenbezogenen Daten durch den Verantwortlichen. Im Krankenhaus betrifft das die Weitergabe von Patientendaten an Hausärzte oder Angehörige, denen Patienten nicht zugestimmt haben, ansonsten die Veröffentlichung von Fotos von Beschäftigten in Imagebroschüren der Dienstgeberin oder aber die Bekanntgabe von Abwesenheitsgründen an Kollegen. Vor allem im Bereich des Beschäftigtendatenschutzes geht es immer wieder um Videoüberwachungen, Zeiterfassungssysteme und andere zur Überwachung der Leistung oder des Verhaltens geeignete Geräte. Referatsübergreifend kommt es immer wieder zur Abfrage von personenbezogenen Daten, für die es schon an einem Erhebungszweck fehlt oder wenn ein solcher gegeben ist, an der Erforderlichkeit der Verarbeitung zur Erreichung dieses Zwecks. Hier ist festzustellen, dass Personalakten immer wieder personenbezogene Daten enthalten, die keinen Bezug zum Beschäftigungsverhältnis haben.

In letzter Zeit wurden uns auch häufiger Cyberangriffe gemeldet, die eine Prüfung durch uns erforderlich machen, um festzustellen ob eine Gefahr für die Rechte und Freiheiten von Personen damit verbunden ist.

Redaktion: Sie bieten nicht nur Beratung, sondern auch Schulungen zum Beschäftigtendatenschutz an. Welche Kenntnisse wollen Sie dabei vermitteln, wo besteht aus Ihrer Sicht noch Informationsbedarf bei Dienstgebern und Mitarbeitenden?

Herr Ullrich: Dienstgeberinnen muss klar sein, dass sie auch für die Datenverarbeitung bei der MAV verantwortlich sind. Sie müssen also wissen, wie ihre MAV die personenbezogenen Daten verarbeitet, die von der Dienstgeberin z. B. im Rahmen von personellen Einzelmaßnahmen zur Verfügung gestellt werden. Es liegt somit auch im eigenen Interesse der Dienstgeber, dass die MAV-Mitglieder Datenschutzschulungen besuchen.

Gleichzeitig sollten Dienstgeberinnen aber auch wissen, dass Maßnahmen gem. § 36 Abs. 9 MAVO, die zur Überwachung von Verhalten oder Leistung der Beschäftigten geeignet sind einen datenschutzrechtlichen Bezug besitzen. Eine unterlassene Beteiligung der MAV verstößt gegen das Gesetz und macht die Maßnahme unzulässig. Die Verarbeitung so erlangter personenbezogener Daten verstößt auch gegen die Grundsätze des Datenschutzes und ist auch nach § 7 Abs. 1 lit. a) KDG unzulässig, da Daten eben nicht auf rechtmäßige Weise in einer für die Betroffenen nachvollziehbaren Weise erhoben worden sind.

Die Mitarbeitervertretungen betrachten wir neben betrieblichen Datenschutzbeauftragten als wichtige Institution, die auf die Einhaltung des Datenschutzes achtet. Die Mitarbeitervertretungen sind dazu durch § 26 Abs. 1 S. 2 MAVO angehalten, der sie verpflichtet darauf zu achten, dass alle Beschäftigten nach Recht und Billigkeit behandelt werden. Zum Schutz der Beschäftigten ist es für die MAV-Mitglieder wichtig, sich auch mit den Regelungen des KDG auseinander zu setzen. Ziel des KDG ist es Persönlichkeitsrechte der Beschäftigten zu schützen. Das KDG ergänzt damit die arbeitsrechtlichen Regelungen.

Redaktion: Wer im privaten Umfeld freiwillig persönliche Daten preisgibt, z.B. in den sozialen Netzwerken, der wird sich im beruflichen Kontext vielleicht wenig Gedanken machen, ob seine Persönlichkeitsrechte ausreichend geschützt werden. Sind Mitarbeiterinnen und Mitarbeiter genügend dafür sensibilisiert, was mit ihren Beschäftigtendaten geschieht?

Herr Ullrich: Häufig ist zu beobachten, dass Menschen durchaus hinterfragen, warum Dritte personenbezogene Daten von ihnen verarbeiten wollen, obwohl sie selbst in Apps, Messangerdiensten oder in Social-Media-Diensten eher freigiebig mit solchen Daten umgehen. Ein solches Verhalten mag widersprüchlich sein, dennoch steht es Jedermann zu, selber zu entscheiden wer seine personenbezogenen Daten verarbeiten darf.

Nach den Grundsätzen für die Verarbeitung personenbezogener Daten (§7 KDG) müssen diese für eindeutige legitime Zwecke verarbeitet werden. Dabei ist die Verarbeitung auf das zur Zweckerreichung notwendige Maß zu beschränken. Das muss für Beschäftigte nachvollziehbar geschehen. Deshalb steht es allen Mitarbeitenden zu, die Dienstgeberin nach dem Zweck der Verarbeitung und danach zu fragen ob eine Verarbeitung für den genannten Zweck erforderlich ist. Das kann die verpflichtende Angabe von Vor- und Zunamen auf einem Namensschild, in einer E-Mailadresse oder im Telefonverzeichnis betreffen. Auch die verpflichtende Angabe einer privaten Telefonnummer oder den Umgang mit Arbeitsunfähigkeitsbescheinigungen.

Außerdem können alle Beschäftigten von der Dienstgeberin die Erfüllung der Informationspflichten gem. §§ 14 ff. KDG verlangen. Die Dienstgeberin ist danach verpflichtet, den Betroffenen Auskunft über alle bei ihr verarbeiteten Daten zu erteilen. Dazu gehört u. a. auch die Mitteilung an wen die Daten ggf. weitergeleitet werden und wann sie gelöscht werden.

Redaktion: Was raten Sie Mitarbeitervertretungen, die den Beschäftigtendatenschutz in ihrer Einrichtung verbessern wollen?

Herr Ullrich: Alle Mitarbeitervertretungen sollten darauf hinwirken, mit ihren Dienstgeberinnen eine Dienstvereinbarung zur Verarbeitung personenbezogener Daten abzuschließen. Darin sollte zunächst umfangreich für alle technischen Einrichtungen geregelt sein, dass diese nicht zur Kontrolle von Leistung und Verhalten der Beschäftigten verwendet werden dürfen. Darüber hinaus ist mindestens festzulegen für welche Zwecke die jeweiligen Einrichtungen personenbezogene Daten verarbeiten und dass eine Zweckänderung unzulässig ist, sowie wer auf die jeweiligen personenbezogenen Daten unter welchen Voraussetzungen zugreifen darf.

Redaktion: Wie halten Sie es selbst mit dem Datenschutz im persönlichen und beruflichen Umfeld? Was lehnen Sie ab, worauf legen Sie besonderen Wert?

Herr Ullrich: Ich kommuniziere noch am liebsten telefonisch, wenn ein persönliches Gespräch nicht möglich ist. Um auch auf anderem Wege erreichbar zu sein, habe ich Threema auf meinem Smartphone. Wer damit nicht arbeitet, kann mich per SMS erreichen.

Ich achte darauf, dass Fotos aus meinem privaten Umfeld nicht im Internet eingestellt werden auch indem ich Bekannte darauf hinweise Bilder, auf denen ich abgebildet bin nicht entsprechend zu verwenden.

Ich akzeptiere Cookie-Banner zumindest nicht ohne Einstellungen vorgenommen zu haben, lehne Kunden- und Rabattkarten ab, nehme nicht an Gewinnspielen teil und trage keine Smartwatch.

Zusammengefasst bemühe ich mich persönliche Informationen über mich nur persönlich im Bekanntenkreis zu offenbaren.

Redaktion: Erlauben Sie uns noch eine weitere Frage: Wenn Sie sich nicht mit Datenschutz beschäftigen, was machen Sie gerne in Ihrer Freizeit?

Herr Ullrich: Ich habe verschiedene Hobbys und versuche mir Bewegung zu verschaffen als Ausgleich für die Schreibtischtätigkeit.