Verschiedene Social Media-Apps auf einem iPhone.
Diözesen, Verbände und Pfarreien wären betroffen

Datenschützer: Kirchliche Facebook-Seiten besser abschalten

Millionen Deutsche sind bei Facebook – klar, dass da auch kirchliche Einrichtungen vertreten sind. Doch rechtlich ist das schwierig, finden Datenschützer – und empfehlen deshalb Pfarreien, Verbänden und Bistümern: Raus aus Facebook!

Bremen - 15.11.2018

Die Konferenz der Diözesandatenschutzbeauftragten empfiehlt kirchlichen Einrichtungen, auf das Betreiben von Facebook-Fanseiten zu verzichten. In dem am Donnerstag veröffentlichen Beschluss betonen die Datenschützer, dass "eine datenschutzrechtliche Haftung des Betreibers einer Fanpage nicht wirksam ausgeschlossen werden kann".

Im Juni hatte der Europäische Gerichtshof (EuGH) in einem Urteil entschieden, dass sowohl Facebook als auch der Betreiber einer Facebook-Fanseite selbst für die Einhaltung des Datenschutzrechts verantwortlich sind. Um eine Facebook-Seite rechtskonform zu betreiben, braucht es daher unter anderem eine Vereinbarung zwischen dem US-Unternehmen und dem Seitenanbieter, in der die Verteilung der aus dem Datenschutzrecht erwachsendenden Pflichten zwischen den Beteiligten geregelt werden.

Gegenüber katholisch.de erläuterte der Vorsitzende der Diözesandatenschützerkonferenz, der für die Nord-Bistümer zuständige Andreas Mündelein, dass Seitenbetreiber die Vorgaben des europäischen Gerichtshofs einhalten müssen, um sich nicht einer unerlaubten Weitergabe von personenbezogenen Daten schuldig zu machen. Sollte gegen eine kirchliche Stelle eine Beschwerde wegen einer Facebookseite bei der Datenschutzaufsicht eingehen, reagiere man "im Rahmen einer Einzelfallprüfung". Dabei werde geprüft, inwieweit die Vorgaben des EuGH erfüllt sind: "Ergebnis offen", so Mündelein.

Auch die staatlichen Datenschützer sehen Facebook in der Pflicht

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlichte im September eine Liste von Fragen, auf die Facebook und Seitenbetreiber Auskunft geben können müssen, um eine Fanseite rechtskonform zu betreiben. Die kirchlichen Datenschützer verweisen in ihrem Beschluss darauf, dass dieser Fragenkatalog auch von kirchlichen Stellen, die eine Fanseite betreiben, beachtet werden soll.

Facebook reagierte erst im Oktober auf das Urteil unter anderem mit der Bereitstellung einer entsprechenden Vereinbarung für Seitenbetreiber, die nach Ansicht der Konferenz der Diözesandatenschutzbeauftragten die Fragen der DSK jedoch nicht vollständig beantwortet.

Weitere Beschlüsse unter anderem zu Fotos von Minderjährigen

Neben dem Beschluss zu Facebook-Fanseiten hat die Konferenz der Diözesandatenschutzbeauftragten noch zwei weitere Dokumente veröffentlicht. Abermals wurde die Rechtsposition der Datenschützer zu Fotos von Kindern und Jugendlichen präzisiert. In einem Beschluss zum rechtswirksamen Verzicht auf Einwilligungen bei Fotoaufnahmen betont die Konferenz, dass die Personensorgeberechtigten eines Minderjährigen stets für eine Veröffentlichung ihre Einwilligung mit Blick auf jedes einzelne Bild erteilen müssen. Pauschale Vereinbarungen zum Verzicht auf dieses Recht und die Erteilung von Vollmachten an Dritte, diese Entscheidung anstelle der Eltern zu treffen, sind nichtig.

Außerdem veröffentlichte die Konferenz eine Handreichung zur Weitergeltung der Durchführungsverordnung (KDO-DVO) zur Kirchlichen Datenschutzordnung (KDO) auch unter der neuen Rechtslage. Die KDO war im Mai 2018 mit Inkrafttreten des Gesetzes über den kirchlichen Datenschutzes (KDG) außer Kraft getreten, eine an die neue Rechtslage angepasste Durchführungsverordnung wurde jedoch nicht verabschiedet, so dass bis zu einer neuen Regelung die KDO-DVO weitergilt.

Kirche hat eigenes Datenschutzgesetz

Das KDG ist seit dem 24. Mai in Kraft. Mit dem von den Bischöfen erlassenen Gesetz regelt die katholische Kirche den Datenschutz in ihrem Bereich. Religionsgemeinschaften dürfen eigene Datenschutzgesetze anwenden, sofern sie im Einklang mit der seit dem 25. Mai 2018 geltenden europäischen Datenschutzgrundverordnung stehen. Dabei sind sie verpflichtet, unabhängige Datenschutzaufsichtsbehörden einzurichten. Dazu wurden in Deutschland fünf Behörden eingerichtet, die von einem Diözesandatenschutzbeauftragten geleitet werden und jeweils für mehrere Bistümer zuständig sind. Die Konferenz der Diözesandatenschutzbeauftragten berät gemeinsame Themen und spricht Empfehlungen aus. Beschlüsse der Konferenz sind nicht unmittelbar bindend, machen aber den Prüfmaßstab transparent, nach dem die Datenschutzaufsichten handeln. (fxn)

15. November, 16.40 Uhr: Ergänzt um Stellungnahme von Andreas Mündelein.