Im Juli 2024 starteten die Katholische Datenschutzaufsicht Nord und das Kath. Datenschutzzentrum Frankfurt/M. eine Sensibilisierungskampagne in Form einer Online-Umfrage zum Umgang mit Datenschutzverletzungen. Die Kampagne, an der insgesamt 240 Einrichtungen teilgenommen haben, ist zwischenzeitlich abgeschlossen und die beiden Aufsichtsbehörden haben die Ergebnisse ausgewertet.
Im Rahmen dieser Online-Umfrage wurden folgende Einrichtungsarten zur Teilnahme aufgefordert:
- Krankenhäuser
- Vereine und Verbände
- Kirchengemeinden
- Beratungsstellen
- Alten- und Pflegeheime
- Kindertagesstätten
- Soziale Einrichtungen der Behinderten-, Kinder- und Jugendhilfe
Mit einiger Ausdauer und Geduld konnten nahezu alle Einrichtungen zu einer Teilnahme bewegt werden.
In vielen der teilnehmenden Einrichtungen ist ein Bewusstsein für den hohen Stellenwert des Schutzes personenbezogener Daten vorhanden. Ob der Schutz dieser Daten möglicherweise verletzt wurde und was im Falle einer Datenschutzverletzung konkret zu unternehmen ist, ist aber – so hat die Umfrage gezeigt – teilweise unklar.
Deutlich wurde, dass zwischen den Ehrenamtsbereichen und den kirchlichen Einrichtungen, die nicht dem Ehrenamtsbereich zuzuordnen sind, große Unterschiede beim Umgang mit Datenschutzverletzungen bestehen.
Nicht in allen Einrichtungen existiert jedoch ein festgelegtes Verfahren zum Umgang mit Datenschutzverletzungen, es haben daher nicht alle Mitarbeitenden die Möglichkeit, sich angemessen zu verhalten. An die Erstellung eines Konzepts zum Umgang mit Datenschutzverletzungen sollte sich folglich die Erarbeitung eines Sensibilisierungskonzepts für die Mitarbeitenden anschließen. Darüber hinaus gehören auch Zuständigkeits- und Vertretungsregelungen zu den Umsetzungsmaßnahmen.
Die Katholische Datenschutzaufsicht Nord und das Kath. Datenschutzzentrum Frankfurt/M. empfehlen den Einrichtungen nicht nur, ein Konzept zum Umgang mit Datenschutzverletzungen – soweit noch nicht vorhanden – zu erarbeiten. Es gilt auch sicherzustellen, dass allen Mitarbeitenden dieses Konzept sowie ihre eigene Rolle in dem Konzept bekannt sind und die Umsetzung des Konzeptes tatsächlich erfolgt. Denn festgestellt wurde ebenfalls, dass zum Teil solche Konzepte existieren, sie aber nicht immer gelebt werden.
Eine Hilfestellung zur Umsetzung fehlender bzw. zur Verbesserung bereits bestehender Konzepte zum Umgang mit Datenschutzverletzungen wird folgen.