Kirchliches Datenschutzgesetz – eine Bilanz nach vier Jahren
Vier Jahre sind nun seit dem Inkrafttreten des Kirchlichen Datenschutzgesetzes (KDG) am 24. Mai 2018 vergangen. Die Evaluierung zur Überprüfung der Praxistauglichkeit ist bereits in vollem Gange. Gemeinsam mit Dr. Anna Keller, Referentin Datenschutz des Diözesan-Caritasverbands für das Erzbistum Köln e.V. und externe Datenschutzbeauftragte für katholische Stellen, haben wir einen Blick auf die bisherige Bilanz und den Stand der Reform geworfen.
Datenschutz – eine tägliche Herausforderung
Ganz allgemein betrachtet, hat das Thema Datenschutz in den letzten Jahren nicht nur im kirchlichen Kontext an Bedeutung gewonnen – in allen Bereichen ist das Bewusstsein für den Datenschutz gestiegen. „Die Menschen sind viel sensibler im Umgang mit ihren Daten geworden“, so Keller im webtvcampus:gefragt-Interview. Es werden viel mehr Auskunftsverlange von Betroffenen gestellt und auch Mitarbeitende seien vorsichtiger in ihrer täglichen Arbeit mit personenbezogenen Daten geworden.
Wichtig sei es, erklärt Keller, die Datenschutzinformationen auf den neuesten Stand zu halten und sicherzustellen, dass neue Regelungen umgesetzt werden. „Datenschutz wird uns immer begleiten – das ist gut so, aber gleichzeitig auch eine Herausforderung“, betont die betriebliche Datenschutzbeauftragte des Diözesan-Caritasverbands.
Warum ein eigenes Datenschutzgesetz für die Kirche?
Neben dem kirchlichen Recht zur Selbstbestimmung und freien Religionsausübung, gibt es einen entscheidenden Faktor, der ein eigenes Datenschutzrecht erforderlich macht: Die spezielle Organisation der Kirche mit all ihren Strukturen und Sonderfällen. Denn diese unterliegt einer gewissen Komplexität, für deren Regelung die DSGVO nicht ausreicht. Der Umgang mit Taufbüchern oder dem Beichtgeheimnis sind nur zwei Beispiele von vielen, bei denen das staatliche Datenschutzrecht keine passenden Bestimmungen bereithält.
Hinzu kommen die vielen kirchlichen Pflege- oder Kindertageseinrichtungen, Krankenhäuser und sozialen Stellen, in denen personenbezogene Daten verarbeitet werden müssen und die auf entsprechende Regularien angewiesen sind. Das KDG und auch die Durchführungsverordnung wurden geschaffen, „weil es um so viele Betroffene geht“, erinnert Keller. Selbstverständlich müsse das Kirchliche Datenschutzrecht stets in Einklang mit der DSGVO stehen. Um die Verantwortlichen bei der Realisierung des KDG und der Durchführungsverordnung zu unterstützen, hat Dr. Keller gemeinsam mit anderen Datenschutzexperten das „KDG Audit“ entwickelt, ein Excel-Tool für katholische Stellen zur grafikgestützten Beurteilung der Umsetzung des KDG.
KDG – Der Umgang mit sensiblen Daten Dritter
Gerade in sozialen und gesundheitlichen Einrichtungen hat man mit sehr sensiblen Daten zu tun – das können beispielsweise Gesundheitsdaten aus Krankenhäusern, Videoaufnahmen aus Kindertagesstätten oder Fotos zur Wunddokumentation in Pflegeeinrichtungen sein. Keller weist darauf hin, dass eine regelmäßige Mitarbeiterschulung zum Umgang mit solchen persönlichen Daten hier besonders essenziell ist. Auch die Technik schreite immer weiter voran. Wenn Online-Medien zum Einsatz kommen, wie es bei Videokonferenzen zum Beispiel der Fall ist, müsse der jeweilige Mitarbeitende immer wissen, worauf datenschutzrechtlich zu achten sei.
Was passiert bei Datenschutzverletzungen?
„Datenpannen passieren ganz schnell und ganz oft“, bemerkt Keller. Und häufig ist einem noch nicht einmal bewusst, dass man gerade den Datenschutz anderer verletzt hat. Beispielsweise, wenn man ein Foto seiner dreijährigen Tochter bei Instagram hochlädt, auf dem im Hintergrund noch andere Kinder zu sehen sind. Wenn einem der Laptop geklaut wurde, man sein Diensthandy verloren oder eine E-Mail versehentlich an den falschen Empfänger versendet hat. „In dem Bereich muss man immer wieder sensibilisieren“, appelliert Keller.
Dennoch ist es wichtig, die Mitarbeitenden darüber aufzuklären, dass ihnen selbst bei einer Datenschutzverletzung nichts geschieht. Es käme auch nicht darauf an, welchem Mitarbeiter die Datenpanne passiert ist. „Es fällt immer auf das jeweilige Unternehmen zurück“, erklärt die Datenschutzbeauftragte für katholische Stellen. Daher seien die Unternehmen verpflichtet, zu schulen und darauf zu achten, dass sich alle Mitarbeitenden an die innerbetrieblichen Vorgaben halten.
Wie ist der bisherige Stand der Evaluierung des KDG?
Viel ist hinsichtlich der Evaluierung des KDG laut Keller noch nicht bekannt. Es sei zu erwarten, dass die meisten Regelungen bestehen bleiben. Sie könne sich gut vorstellen, dass das Schriftformerfordernis bei Einwilligungen geändert und so wie bei der DSGVO gestaltet werde. Ansonsten sei abzuwarten, welche Ergebnisse die Überprüfung bringen würde.
Über webtvcampus: gefragt
Bei „webtvcampus: gefragt“ kommen Experten aus der Gesundheitsbranche zu gesellschaftlich relevanten Themen der Klinik- und Pflegeszene zu Wort. Immer mit dabei: der grüne Sessel. Wollen Sie Platz nehmen?