Katholischer Datenschutz in Italien – das Datenschutzdekret der italienischen Bischofskonferenz

Kirchlicher Datenschutz ist keine deutsche Spezialität. Dass Art. 91 DSGVO, der Religionsgemeinschaften unter bestimmten Bedingungen erlaubt, eigenes Datenschutzrecht anzuwenden, ein deutscher Sonderwunsch war, wird oft vermutet – und die Lobbytätigkeit des Katholischen Büros in Berlin scheint darauf hinzudeuten. Tatsächlich gibt es aber auch in anderen europäischen Ländern kirchliche Datenschutzgesetze – und das schon lange vor Inkrafttreten der DSGVO. (Eine Übersicht gibt es hier in der Rechtssammlung, eigene Artikel sind bereits zum Vatikan und zu Polen erschienen.)

Römische Kirchen, italienische Flaggen
Bildquelle: Photo by Renata Rodrigues on Unsplash

Mindestens seit 1999 hat die italienische Bischofskonferenz eigene Regeln zum Datenschutz, die wie von der DSGVO vorgesehen 2018 in Einklang mit der DSGVO gebracht wurde. Ein Blick in das Generaldekret »Disposizioni per la tutela del diritto alla buona fama e alla riservatezza«Bestimmungen über den Schutz des Rechts auf einen guten Ruf und der Vertraulichkeit«) zeigt ein Gesetz, aus dem weitaus mehr als aus den deutschen Kirchengesetzen der kirchliche Charakter deutlich wird – es wirft aber auch einige Fragen auf, ob das alles europarechtlich so möglich ist.

Weiterlesen

Verwirrend: Rechtsgrundlagen und Thüringen – Wochenrückblick KW 42/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

In der aktuellen Ausgabe des Datenschutz-Berater ist wieder ein Artikel von mir zum kirchlichen Datenschutz: Ausführlich befasst er sich mit den Besonderheiten der Rechtsgrundlagen in den kirchlichen Datenschutzgesetzen. Leser*innen hier kennen bereits Teile der Argumente aus der Betrachtung der Rechtsgrundlagen »anderes Gesetz« und »kirchliches Interesse«, dazu kommt die neue Aufarbeitungs-Rechtsgrundlage im DSG-EKD. Die Beschäftigung mit diesem Angelpunkt des Datenschutzrechts ist bei den kirchlichen Datenschutzgesetzen bisher reichlich unterbelichtet – trotz der großen Unterschiede, die sic him Detail zwischen unpraktisch und möglicherweise europarechtswidrig bewegen. Mein Fazit im Artikel: »Trotz des oft behaupteten Gleichklangs der drei Datenschutzgesetze zeigt ein näherer Blick, dass doch erhebliche Unterschiede bestehen, die keineswegs nur akademisch sind. […] Beide Kirchen wären gut beraten, bei den anstehenden Novellierungen besonders kritisch auf diesen zentralen Teil ihrer Datenschutzgesetze zu blicken.«

Der thüringische Landesdatenschutzbeauftragte hat seinen Bericht für 2020 veröffentlicht. Fälle mit kirchlichem Bezug gibt es keine – aber eine Kuriosität: Die eigene Regelung des Datenschutzes in den Kirchen wird nämlich erwähnt – aber viel miteinander geredet wird unter den für Thüringen zuständigen Aufsichten anscheinend nicht. Im evangelischen Bereich wird als zuständige Aufsicht nur der BfD EKD genannt – der ist zwar für den größten Teil zuständig, aber auch der Datenschutzbeauftragte für Diakonie und Kirche ist relevant, der die Diakonie Mitteldeutschland und die Landeskirche Sachsens, die auch thüringische Teile hat, im Beritt hat. Besonders kurios: Statt der Katholischen Datenschutzaufsicht Ost wird der betriebliche Datenschutzbeauftragte des Bistums Erfurt als für Datenschutzverstöße zuständig genannt.

Die Datenschutz-Notizen stellen das katholische Seelsorge-Patientendatenschutzgesetz kompakt vor. Relevant ist es für kirchliche Häuser – und auch da nicht für alle: Anders als das KDG wurde es (noch?) nicht in allen Bistümern erlassen, auch im Bereich der Orden und des KDR-OG scheint es bislang trotz des großen Ordenskrankenhaussektors nicht in Kraft zu sein. Einen Überblick darüber hat schon vor einigen Wochen Curacon veröffentlicht, und eine etwas ausführlichere Beratung gab es nach der ersten öffentlichgewordenen Inkraftsetzung auch hier – mit einer eher positiven Bewertung im Vergleich zu den Vorgängernormen. Die Aufsichten – etwa die KDSA Nord – dagegen haben sich eher kritisch geäußert im Vergleich zum allgemeinen Datenschutzniveau und mit Blick auf unklare Rechtsbegriffe.

Weiterlesen

EKD-Aufsichten zu Schrems II – Weniger ausnahmsweise als Art. 49 DSGVO

Die Konferenz der Beauftragten für den Datenschutz in der EKD  hat eine Gemeinsame Stellungnahme zur Datenübermittlung in die USA veröffentlicht. Dass eine gemeinsame Stellungnahme in Arbeit ist, wurde bereits vor zwei Wochen durch die verspätete Veröffentlichung einer Position des Datenschutzbeauftragten für Kirche und Diakonie bekannt und löst den selbst gegebenen Abstimmungsauftrag aus der Stellungnahme aus dem Juli des vergangenen Jahres ein..

Ein Verriegelungsknopf an einem Oldtimer, im Hintergrund eine US-Flagge.
Symbolbilder für Drittlanddatenübertragungen sind ohnehin alle Unsinn, warum also nicht das, das immerhin einen Knopf an einem Auto zeigt? (Photo by Nick Fewings on Unsplash)

Inhaltlich ist die nun für den gesamten landeskirchlichen Bereich abgestimmte Stellungnahme fast keine Überraschung: Im wesentlichen wird das in § 10 Abs. 2 DSG-EKD festgelegte Verfahren zur Drittlandsdatenübermittlung ohne Angemessenheitsbeschluss und Standarddatenschutzklauseln vorgestellt, dazu kommt eine detaillierte Geschichte der Datenübermittlung in die USA, eine Erörterung des Marktortprinzips der DSGVO und ein Überblick über die durch den CLOUD-Act erzeugten Probleme – die eine kleine Überraschung: Die Antwort auf die Frage, ob das DSG-EKD wie Art. 49 DSGVO nur ausnahmsweise Datenübertragungen in Drittländer ohne Angemessenheitsbeschluss normiert.

Weiterlesen

Alle Völker und Rassen – Wochenrückblick KW 41/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Bei der Eule beschäftigt sich Philipp Greifenstein mit der Kategorie des »Rassischen« in evangelischen Kirchengesetzen – ein lesenswerter Beitrag zu kirchlicher Rechtskultur. Er fragt: »Wenn sich schon der Deutsche Bundestag mit einer Reform Zeit lässt, könnten dann nicht die Kirchen mit guten Beispiel voran gehen, und den Rassebegriff und seine verschwurbelten Geschwister wie „Abstammung“ und „Ethnie“ aus ihren Gesetzen entfernen?« Betroffen sind dabei auch die kirchlichen Datenschutzgesetze. Sowohl das DSG-EKD (§ 4 Nr. 2 lit. b)) wie das KDG (§ 4 Nr. 2) haben aus Art. 9 Abs. 1 DSGVO die Wendung »rassische und ethnische Herkunft« bei der Definition der besonderen Kategorien personenbezogener Daten übernommen. In der Fachöffentlichkeit wurde das bisher nur von Matthias Ullrich in seiner Kommentierung von § 11 KDG in Sydows KDG-Kommentar problematisiert: »Auch der kirchliche Gesetzgeber hat es an dieser Stelle versäumt, die Formulierung „rassische“ Herkunft aus dem Gesetz zu entfernen, bzw. nicht aufzunehmen. Wissenschaftlich ist längst erwiesen, dass es menschliche Rassen nicht gibt.« Ullrich sieht den Begriff als nicht erforderlich an, um die gewünschte Regelung zu treffen: »Das Begriffspaar „rassische und ethnische Herkunft“ wird stets zusammen verwendet und zielt auf die Zugehörigkeit einer bestimmten Bevölkerungsgruppe ab, die durch gemeinsame Herkunft, Kultur oder ein besonderes Zusammengehörigkeitsgefühl geprägt wird.« Ullrich plädiert dafür, lediglich »ethnische Herkunft« zu schreiben. Mit Blick darauf, dass »rassisch« eben nicht auf biologische Tatsachen, sondern auf biologistische Zuschreibung abhebt, wäre das vielleicht doch etwas zu wenig. (Ausführlich dazu Matthias Hong im Verfassungsblog.)

Auf Twitter habe ich mich mit Michael Hilpüsch darüber unterhalten, ob das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) eigentlich im kirchlichen Bereich gilt. Tut’s das? Laut Anwendungsbereich unterliegen ihm »alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen« (§ 1 Abs. 3 TTDSG). Kirchlicher Datenschutz wird einerseits in Ausübung des Selbstorganisationsrecht der Kirchen gesetzt – verdrängt es dann alle Gesetze dieser Materie? Oder gilt das TTDSG, weil die kirchlichen Datenschutzgesetze beide Regelungen haben, denen zufolge ihnen Spezialgesetze vorgehen (§ 2 Abs. 2 KDG und § 2 Abs. 6 DSG-EKD)? Und welche kirchlichen Einrichtungen sind eigentlich »Unternehmen« im Sinne des TTDSG? Das Zusammenwirken der kirchlichen Gesetze mit weltlichen und die deutlich unterschiedliche Systematik, was den Vorrang des jeweiligen Datenschutzgesetzes im Vergleich zu anderen Gesetzen angeht, bleibt eine der kompliziertesten Fragen des kirchlichen Datenschutzes – und eine der ungeklärtesten.

Ein Terminhinweis in eigener Sache: In der kommenden Woche, 21. Oktober, 17–18.30 Uhr sitze ich beim iRights.Lab auf einem digitalen Podium zum Thema »Ist das Kirche oder kann das weg? Über die Moral in einer digitalen Gesellschaft« – die Teilnahme ist kostenlos, Anmeldung beim iRights.Lab.

Weiterlesen

Wanderaufsicht ohne Buße – Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten 2020/2021

Der bayerische Diözesandatenschutzbeauftragte hat die aktuelle Tätigkeitsberichtsrunde abgeschlossen – mit seinem auf den 1. Oktober datierten und spät am Montag veröffentlichten Bericht für den Zeitraum vom 1. Oktober 2020 bis zum 30. September 2021 liegen nun alle katholischen Berichte vor.

Titelseite des Tätigkeitsberichts des bayerischen Diözesandatenschutzbeauftragten.
Schlicht wie immer: Der Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten für 2020/2021

Wie immer schmucklos, ist er mit 14 Seiten dieses Mal so lang wie noch nie in Bayern. Drama wie im letzten Jahr der Hilferuf wegen der mangelnden Ausstattung der Aufsicht gibt es höchstens zwischen den Zeilen – und der DDSB Jupp Joachimski zeigt wieder einmal, dass er unter seinen Kolleg*innen der mit der stärksten juristischen Durchdringung der komplizierten Verwaltungsmaterien ist.

Weiterlesen

Impfstatus abfragen und kaum Schrems-II-Ausnahmen – Wochenrückblick KW 40/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Beauftragte für den Datenschutz der EKD hat eine Stellungnahme zur Verarbeitung des Impf- und Genesenenstatus veröffentlicht. Recht klar legt er dar, dass die Verarbeitung des Status für die Durchführung des Beschäftigungsverhältnisses grundsätzlich nicht erforderlich ist und nur in den im Infektionsschutzgesetz aufgezählten Einrichtungen eine gesetzliche Grundlage vorliegt. Tarifverträge und Dienstvereinbarungen kämen auch nicht in Frage, so dass in der Regel nur die Einwilligung bleibt, die allerdings wie immer im Arbeitsverhältnis besonders gut abgesichert sein muss in Hinblick auf die Freiwilligkeit. Gegen die Freiwilligkeit spricht laut BfD EKD »Ausüben von sozialem Druck oder eine behauptete Pflicht«. Interessant dagegen: Anreize nicht, sogar im Gegenteil. »Ein Indiz für die Freiwilligkeit besteht dann, wenn Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erhalten. Beschäftigte können beispielsweise ihren Impf- und Serostatus zweckgebunden freiwillig an den Betriebsarzt offenlegen, um die vorgeschriebenen regelmäßige Testung abzuwenden.« In jedem Fall verpflichtend ist nach Ansicht des BfD EKD eine Datenschutzfolgenabschätzung.

In der vergangenen Woche ging es um weitere Kommentare zum kirchlichen Datenschutzrecht. Auf Anfrage teilte mir der Nomos-Verlag mit, dass der dort geplante DSG-EKD-Kommentar von dem Dresdener Professor Ralph Wagner herausgegeben wird, der Erscheinungstermin wird mit voraussichtlich 2. Halbjahr 2022 angegeben – allerdings ist das der erwähnte Kommentar, der laut dem Mitautor Alexander Golland schon dieses Jahr erscheinen soll. Hoffen wir auf den früheren Termin. Außerdem ist ein weiteres Werk in Sicht: Neben Mitarbeitervertretungsordnung und Kirchlicher Arbeitsgerichtsordnung wird der ebenfalls für 2022 von Hermann Reichold, Thomas Ritter und Christian Gohm herausgegebene angekündigte Kommentar(Affiliate Link) auch die Kirchliche Datenschutzgerichtsordnung abdecken. Besondere Desiderate dafür: außerordentliche Rechtsbehelfe und § 2 Abs. 1 S. 2 KDSGO i.V.m. Art. 267 AEUV. (Also: Wie kommt der Fall vor die obersten Kirchengerichte in Rom, und wie kommt man zu Antworten vom EuGH, ob eine kirchliche Norm in Einklang mit der DSGVO steht?)

Der Datenschutzbeauftragte für Kirche und Diakonie hat eine etwas erratische Veröffentlichungspraxis. Diese Woche ist auf der Seite neben einem Text über die Prüfung von Software-Lösungen anhand der Vertragsbedingungen eine auf 10. Juni datierte Position zur »Datenübermittlung in Drittstaaten nach geltendem Recht und der Rechtsprechung des EuGH« erschienen. Ziel dabei ist eine möglichst große Kohärenz mit den Positionen anderer Aufsichten, insofern gibt es keine Überraschungen in der ausführlichen Übersicht und dem vorgestellten Prüfschema. Im wesentlichen wurde die Position des BfDI auf das kirchliche Recht übertragen. Wichtig ist vor allem die klare Ansage, dass die Ausnahmeregeln für die Übertragung auch wirklich Ausnahmen darstellen müssen: »Die Anwendung der Zulässigkeitsvoraussetzungen nach § 10 Abs. 2 Nrn. 1-6 DSG-EKD für Datenübermittlungen in sogenannte unsichere Drittstaaten, zu denen nach dem EuGH Urteil derzeit auch die USA gehören, dürfen nicht dazu führen die in § 10 Abs. 1 DSG-EKD als Grundregel geltende Voraussetzung „ad absurdum“ zu führen, wonach jede Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen nur zulässig ist, wenn ein angemessenes Datenschutzniveau besteht.«

Um das DSG-EKD ging es in dieser Woche auch bei Dr. Datenschutz – dort gibt es einen kompakten Überblick über die Besonderheiten des evangelischen Datenschutzgesetzes.

Weiterlesen

Wann kommt das Katholische Datenschutzzentrum Nürnberg?

»Die Freisinger Bischofskonferenz errichtet in Nürnberg ein kirchliches Datenschutzzentrum, das als unabhängige kirchliche Behörde die Aufgaben der Datenschutzaufsicht wahrnehmen wird«, hieß es knapp und unscheinbar im März 2018 in der Erklärung zur Frühjahrsvollversammlung der bayerischen Bischöfe in Augsburg. Jetzt, dreieinhalb Jahre später, gibt es immer noch kein Datenschutzzentrum Nürnberg, seit gut einem Jahr ist die Amtszeit des Diözesandatenschutzbeauftragten ausgelaufen (er führt das Amt bis zum Amtsantritt seiner Nachfolge weiter, wie es das Kirchenrecht vorsieht), seine »Behörde« ist die mit Abstand am schlechtesten ausgestattete katholische Datenschutzaufsicht, wie der Leiter selbst in dramatischen Worten in seinem letztjährigen Tätigkeitsbericht schrieb.

Eine Glühbirne ohne Lampenschirm hängt an einem Kabel von einer Decke mit weiß-blauen Rauten herab.
Erstmals kommt dank der Auskunft der Freisinger Bischofskonferenz etwas Licht ins Dunkel um das Katholische Datenschutzzentrum Nürnberg. (Das Symbolbild zeigt eine Lampe in der Bonner Kreuzbergkirche, wo die Wittelsbacher als Kölner Kurfürsten auch mal was zu sagen hatten.)

Möglicherweise kommt jetzt etwas Bewegung in die Sache. Oder auch nicht. Auf Nachfrage teilte mir das Erzbistum München und Freising mit, dessen Pressestelle in Personalunion die der Freisinger Bischofskonferenz bildet, wie es um die Nürnberger Neugründung steht: Es fänden »vorbereitende Schritte« statt, der Prozess soll »schnellstmöglich, aber auch mit der angemessenen Gründlichkeit« abgeschlossen werden.

Weiterlesen

Kein Stream beim Synodalen Weg – Einwilligungen sind schuld

Grundsätzlich hat die zweite Synodalversammlung des Synodalen Wegs am vergangenen Wochenende transparent gearbeitet, mit guter Öffentlichkeitsarbeit und umfassender Veröffentlichung von Ergebnissen. Beim Livestream kam es aber gelegentlich zu Aussetzern aus »rechtlichen Gründen«. Nicht nur die Öffentlichkeit, sondern – das wurde aber schnell korrigiert – auch die (möglicherweise aus zwingenden medizinischen Gründen) remote teilnehmenden Synodalen wurden teilweise von der Beratung ausgeschlossen.

Screenshot aus dem Livestream der zweiten Synodalversammlung: »Gleich geht es weiter. Aus rechtlichen Gründen können Ton und Bild nicht übertragen werden«
So sah es im Livestream aus, wenn nichts zu sehen war. (Screenshot aus dem Livestream der zweiten Synodalversammlung)

Die rechtlichen Gründe liegen darin, wie der Livestream datenschutzrechtlich gestaltet wurde: nämlich mit Einwilligungen der einzelnen Teilnehmenden. Das ist auch hier die scheinbar einfachste, tatsächlich aber schlechteste Rechtsgrundlage, die genau zu solchen Problemen führt. Dabei wäre es eigentlich so einfach, hier eine datenschutzrechtlich saubere Lösung zu wählen, die Teilhabe ermöglicht, auch wenn kein Medienprivileg greift.

Weiterlesen

DSG-EKD-Kommentar in Sicht! Wochenrückblick KW 39/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

DSGVO-Kommentare – und damit Kommentierungen des Kirchenartikels – gibt es ca. beliebig viele. Die kirchlichen Datenschutzgesetze sind da weit schlechter abgedeckt. Lediglich der KDG-Kommentar von Sydow ist bisher auf dem Markt. Doch es kommt Bewegung auf den Markt: Auf Twitter verriet Alexander Golland, der bereits eine Rechtssammlung zum kirchlichen Datenschutz veröffentlicht hat, dass noch in diesem Jahr ein Kommentar zum DSG-EKD erscheinen soll. Gollands Foto ist zu entnehmen, dass er die Rechtsgrundlagen kommentiert. Ansonsten gibt es (noch nicht zitierfähige) Indizien, dass auch im katholischen Bereich noch weitere Kommentare zu erwarten sind – die Recherche bei den Verlagen dazu läuft.

Von Faxen geht eine seltsame Faszination für Datenschutz-Aufsichten aus. Jetzt hat sich auch noch der hessische Landesdatenschutzbeauftragte gemeldet, ähnlich wie diverse Kolleg*innen zuvor. Und auch im kirchlichen Datenschutz ging’s diese Woche ums Faxen: Die KDSA Nord freut sich über die absehbare Ablösung des Faxes in Krankenhäusern durch »Kommunikation im Medizinwesen (KIM)«, den Kommunikationsstandard der mehrheitlich vom Bundesgesundheitsministerium getragenen Dienstleistungsgesellschaft gematik.

Weiterlesen

Sicherer Freiraum für Kinder – Datenschutz bei der KjG Rheinbach

In vielen kleinen Vereinen gilt Datenschutz vor allem als eins: lästig. Anders in der Katholischen jungen Gemeinde Rheinbachden Leiter*innen des Jugendverbandes ist es wichtig, für Kinder und Jugendliche einen sicheren Ort zu schaffen. Dazu gehört auch, die Privatsphäre zu achten und informationelle Selbstbestimmung zu wahren. Datenschutz wird dort deshalb nicht nur als Pflichtaufgabe angesehen, sondern aktiv gestaltet. Im Interview erzählt Berni Escamilla, Mitglied der Pfarrleitung und des Datenschutz-Komitees, wie es dazu kam und was andere Vereine von der KjG Rheinbach lernen können.

Eine Kindergruppe bei einer Ferienfreizeit. Keine Gesichter sind erkennbar.
Auch wenn keine Gesichter erkennbar sind: Der Blick des Kindes in der Mitte und der geschickte Aufbau in mehreren Bildebenen zieht in das Bild hinein und macht das Motiv lebendig. (Bildquelle: KjG Rheinbach)

Frage: Ihr beschäftigt euch seit einigen Jahren sehr viel damit, wie ihr eure Jugendarbeit datenschutzkonform gestalten könnt. Warum hat das für euch einen so großen Stellenwert?

Bernardo Escamilla: Zum einen, weil wir einfach auf der richtigen Seite des Gesetzes stehen wollen, aber auch, weil wir umfassend auf unsere Mitglieder und besonders die Kinder achtgeben wollen. Wir sehen unseren Auftrag nicht nur darin, den Kindern einen Freiraum zu geben, in dem sie sich entfalten und entwickeln können, wir wollen diesen Freiraum auch so gestalten, dass er so gut es geht ein sicherer Raum für Kinder ist. Alle unsere Leiter nehmen an den Schulungen des BDKJ zur Prävention sexualisierter Gewalt teil, und genauso halten wir es für sinnvoll, beim Datenschutz auf diese Aspekte zu achten.

Weiterlesen