Videokonferenzgesetz Nord, Exchange-Check West – Wochenrückblick KW 37/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Seit Donnerstag tagt die Synode der Nordkirche. Auf der Tagesordnung steht auch ein »Kirchengesetz über die Durchführung von Sitzungen und die Beschlussfassung kirchlicher Gremien auch mittels Videokonferenzen (Videokonferenzengesetz − VidKoG)«: eine allgemeine Rechtsgrundlage, nicht nur für Seuchenzeiten. Neben den erwartbaren datenschutzrechtlichen Bestimmungen (in der Regel keine Aufzeichnung, Vertraulichkeit beachten, Anbieter müssen europäische Datenschutzstandards einhalten, § 3) und überraschenden Regelungen (implizit gibt es eine grundsätzliche Pflicht, mit Video teilzunehmen, § 7 Abs. 2) wird in der Begründung auch auf öffentliche Sitzungen eingegangen. Dort wird zwar betont, dass es für ein öffentlich zugängliches Streaming grundsätzlich die »Zustimmung« aller Betroffenen brauche, andere Rechtsgrundlagen seien aber zulässig. Und die werden nicht übermäßig hoch gehängt: »Nach Auskunft des örtlichen DS-Beauftragten und des DS-Referenten der EKD ist eine Regelung in der Geschäftsordnung als ausreichende Rechtsgrundlage anzusehen.« (Die Streaming-Rechtsgrundlage § 53 DSG-EKD wird anscheinend nicht für einschlägig gehalten.)

Erst kommt die Exchange-Lücke, und dann auch noch die Aufsicht: Das KDSZ Dortmund berichtet über eine Prüfung anlässlich der im Frühjahr festgestellten Sicherheitslücke im Microsoft-Exchange-Server. Haben die geprüften Einrichtungen rechtzeitig Patches eingespielt? Der Bericht ist aufschlussreich und erfreulich. Aufschlussreich, weil die Aufsicht ihren Prüfprozess grob dokumentiert und erkennen lässt, dass im Haus genügend Expertise ist, um technische Prüfungen durchzuführen: »In einem ersten Schritt wurden durch das Katholische Datenschutzzentrum die öffentlich verfügbaren Informationen der E-Mail-Server der Einrichtungen abgefragt. So konnte auch erkannt werden, ob die Sicherheitslücke noch besteht.« Und erfreulich, weil es keine Beanstandungen gegeben hat: »Die Antworten der angeschriebenen Einrichtungen zeigten durchweg ein angemessenes und professionelles Verhalten der Verantwortlichen.«

Weiterlesen

Welches Recht für ökumenische Einrichtungen?

Schreiben Sie eine Antwort

Solide konfessionelle Milieus haben Vorteile: Wo’s die gibt, braucht man sich nicht um Rechtsfragen der Ökumene zu kümmern Monokonfessionelle Milieus gibt’s aber immer weniger, das Bewusstsein und der Bedarf für die Zusammenarbeit aller Christ*innen immer mehr, und dementsprechend auch immer mehr ökumenische institutionelle Kooperationen: Besonders im sozialen Bereich gibt es viele Einrichtungen in ökumenischer Trägerschaft: Dem Selbstverständnis nach christlich, aber eben nicht nur einer Gemeinschaft zugehörig. Das wirft rechtliche Fragen auf, auch für den Datenschutz: Gilt kirchliches Recht – und wenn ja welches?

Schild mit der Aufschrift »COMPASS Diakonie Caritas Haus«
Auch wenn Diakonie und Caritas draufstehen: Ob es ein katholisches, ein evangelisches oder ein ökumenisches Haus im Rechtssinn ist, erkennt man daran noch nicht. (Caritas/Roland Knillmann)

Im Bereich des Datenschutzes sind die konfessionellen Gesetze wenig hilfreich; dort kommen solche Konstruktionen schlicht nicht vor. Die jeweiligen Festlegungen zum organisatorischen Anwendungsbereich gehen von Stellen aus, die zu genau einer Kirche gehören. Was zu gelten hat, wenn eine Institution evangelisch und katholisch getragen wird, und das womöglich noch zu gleichen Gesellschaftsanteilen, ist ungeklärt. Mit Blick auf das kirchliche Arbeitsrecht hat sich der ehemalige Präsident des Kirchen- und des Verfassungsgerichtshofs der EKD Harald Schliemann in der aktuellen Ausgabe der ZMV (4/2021, S. 182–185) mit der Frage ökumenischer Trägerschaft befasst – ein Aufsatz, der zwar nicht vom Datenschutzrecht handelt, aber doch auch dafür erhellend ist.

Weiterlesen

Reformbedarf beim DSGVO-Kirchenartikel

Schreiben Sie eine Antwort

Mit der DSGVO ist alles in Ordnung. Kein Änderungsbedarf. Nur die Durchsetzung könnte etwas besser sein (looking at you, Ireland). Das war in etwa das Fazit der ersten Evaluierungsrunde der DSGVO im vergangenen Jahr, trotz vieler Kritik im Detail. Erst recht nicht wurde dabei Art. 91 DSGVO angefasst, der Religionsgemeinschaften unter bestimmten Bedingungen eigenes Datenschutzrecht und eigene Aufsichten zugesteht – dabei gäbe es dort viel zu tun.

Bücherstapel mit Lesezeichen
(Photo by Bernd Klutsch on Unsplash)

Ein Blick in die Kommentarliteratur zeigt, wie unklar dieser Artikel tatsächlich ist: Der Wortlaut sagt, dass nur schon vor der DSGVO etabliertes kirchliches Datenschutzrecht zulässig ist. Ist das mit dem Gleichbehandlungsprinzip vereinbar? Der Artikel fordert »umfassende« Regeln – muss dann wirklich alles geregelt werden, was auch die DSGVO regelt? Und schließlich braucht es einen »Einklang« mit den Wertungen der DSGVO – also alles genauso, nur eigen? Oder doch etwas Spielraum? Und nur nach oben oder auch nach unten?

Weiterlesen

Beichtgeheimnis im Petersdom – Wochenrückblick KW 36/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

In seiner kleinen Geschichte des Datenschutzrechts wendet sich Roland Hoheisl-Gruler in den aktuellen Folgen dem Beichtgeheimnis und seiner Entstehung sowie prominenten Fällen von Märtyrern für das Beichtgeheimnis zu. Lesenswert ist dabei – neben den historischen Hintergründen – auch das säkulare Plädoyer für das Seelsorgegeheimnis: »Gerade solche Gespräche – die nicht nur dem Seelenheil im religiösen Sinne – sondern auch hinsichtlich des Bewusstwerdens eigenem Fehlverhaltens – wichtig und richtig sind, müssen jeglichem staatlichen Zugriff entzogen werden und auch entzogen bleiben. Nur so – wenn die Vertraulichkeit und der Schutz von Informationen und Inhalten gewährleistet ist, kann das Instrument Wirkung entfalten.«

Logo von age

Die erste stabile Version des neuen asymmetrischen Verschlüsselungswerkzeugs age ist erschienen. »age« steht für »actually good encryption« – und das Logo ist die Kuppel des Petersdoms. Mehr zu den kryptographischen Hintergründen steht bei Heise. Die hier einschlägige und naheliegende Frage habe ich Filippo Valsorda, dem Entwickler von age, gestellt: Was hat der Petersdom mit asymmetrischer Verschlüsselung zu tun? Die Schlüssel Petri sind es schon mal nicht – die schließen symmetrisch. Des Rätsels Lösung: »The origin of the logo is purely secular: it’s an architectural note of the Rome skyline I personally appreciate, having recently moved to the city, and enjoying working from the Orange Tree Garden which has a particularly good view of it

Weiterlesen

Kirchliches Datenschutzrecht vor staatlichen Gerichten?

Schreiben Sie eine Antwort

Wer in Fragen des kirchlichen Datenschutzes den Rechtsweg beschreiten tun, muss das erst über die kirchliche Gerichtsbarkeit tun. Direkt die staatlichen Gerichte anrufen geht nicht. Von einem entsprechenden Versuch berichtet das Katholische Datenschutzzentrum Frankfurt in seinem aktuellen Tätigkeitsbericht, wie hier bereits berichtet wurde.

Eine Statue der Justitia mit verbundenen Augen und Waage
Bildquelle: Photo by Tingey Injury Law Firm on Unsplash

Nach der ersten Antwort des Vorsitzenden Richters der entscheidenden Kammer liegt mir nun die vollständige Entscheidung vor, nämlich ein Beschluss zur Ablehnung eines Antrags auf Bewilligung von Prozesskostenhilfe (VG Frankfurt am Main, Beschluss vom 1. Juli 2020 – Z 5 K 1077/20.F). Weiterhin ist das Ergebnis – dass staatliche Gerichte nicht für kirchlichen Datenschutz zuständig sind – wenig überraschend, der ausführliche Beschluss gibt aber Hinweise darauf, wann doch einmal eine kirchliche Datenschutzsache vor einem weltlichen Gericht landen könnte.

Weiterlesen

Impffragen und Jubiläum im Geheimarchiv – Wochenrückblick KW 35/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Frage, ob Beschäftigte von ihren Arbeitgeber*innen nach dem Impfstatus gefragt werden dürfen, beherrscht diese Woche die Pandemie-Diskussion. Gegenüber dem ZDF hat sich dazu auch Theologe und Ethikratsmitglied Andreas Lob-Hüdepohl geäußert: »Der Datenschutz ist ein wichtiges Gut, allerdings werden die Daten nicht um ihrer selber geschützt, sondern sie dienen der Persönlichkeitssphäre der betroffenen Mitarbeiterinnen und Mitarbeiter, von daher muss man tatsächlich in dieser Situation eine Güterabwägung vornehmen, nämlich zwischen dem Gut der geschützten Daten um des Persönlichkeitsschutzes willen, oder aber das Wissen um bestimmte Daten, in diesem Fall Gesundheitsdaten, auch um Personen zu schützen, nämlich im Betrieb, von daher ist das grundsätzlich anzudenken und möglicherweise sogar erforderlich.« Lob-Hüdepohl betont dabei die ethische Notwendigkeit einer rechtlichen Regelung: »denn nur was gesetzlich geregelt ist, dagegen kann ich mich gegebenenfalls auch wehren, das ist ein Rechtsstaatsprinzip«, so der Berliner Theologe.

Das Katholische Datenschutzzentrum Dortmund feiert sein fünfjähriges Jubiläum und die Bestätigung von Steffen Pau als Diözesandatenschutzbeauftragter auf fünf weitere Jahre. (Amtsblatt- und Artikel-91-Leser*innen wussten das schon.) In der Meldung hebt das Datenschutzzentrum seine organisatorische Vorreiterrolle hervor, die die Errichtung als KdÖR darstellte: »In der Folge entstand für die südwestlichen (Erz-)Bistümer in Deutschland das „Katholische Datenschutzzentrum Frankfurt am Main“ (KdöR). Auch die Freisinger Bischofskonferenz plant zur Unterstützung des gemeinsamen Diözesandatenschutzbeauftragten der bayerischen (Erz-)Bistümer ein „kirchliches Datenschutzzentrum“ in Nürnberg zu errichten.« Wann das der Fall sein wird, ist trotz vieler Nachfragen bei der Pressestelle der Freisinger Bischofskonferenz noch nicht zu erfahren.

Im Würzburger »Kanon des Monats« geht es im September um die bischöflichen Geheimarchive. Jessica Scheiper, die das Thema bereits vor einigen Wochen bei Feinschwarz angesprochen hatte, legt jetzt noch einige kanonistische Details nach. Dazu gehört auch der Verweis auf can. 490 § 3 CIC: »Aus dem Geheimarchiv bzw. Geheimschrank dürfen keine Dokumente herausgegeben werden.« Das hat auch für die Betroffenenrechte des Datenschutzrechts erhebliche Auswirkungen: Das Universalkirchenrecht ist höherrangiges Recht als das KDG und geht damit den datenschutzrechtlichen Auskunftsrechten vor. Da im Geheimarchiv unter anderem »Akten der Strafsachen in Sittlichkeitsverfahren« gelagert werden, hebelt das insbesondere die Rechte von Betroffenen sexualisierter Gewalt aus.

Weiterlesen

Kirchliche Datenschutzaufsicht: Ausstattung gut bis ungenügend

Schreiben Sie eine Antwort

Das schönste Gesetz nutzt nichts, wenn es nicht auch umgesetzt wird. Beim Datenschutzrecht ist ein Faktor dabei die Leistungsfähigkeit der Aufsicht. Der Europäische Datenschutzausschuss EDPB hat daher die Aufsichtsbehörden der Staaten, in denen die DSGVO gilt, unter die Lupe genommen und ihre Ressourcenausstattung verglichen: »Overview on resources made available by Member States to the Data Protection Authorities and on enforcement actions by the Data Protection Authorities«. Aufgrund des Prinzips der federführenden Behörde (»one stop shop«) hat eine schlecht ausgestattete Aufsicht Auswirkungen auf alle – »a lack of resources in a supervisory authority competent to handle cross-border cases, can after all have tangible consequences for citizens across the EU«.

Fünf unterschiedlich hohe Stapel mit Eurocent-Münzen
So transparent lässt sich das Budget nicht bei allen kirchlichen Aufsichten ermitteln. (Symbolbild: Photo by Ibrahim Rifath on Unsplash)

Nicht betrachtet wurde die Ausstattung der kirchlichen Aufsichtsbehörden, die (mindestens in Deutschland und Polen) einen beachtlichen Teil von Stellen beaufsichtigen, die oft mit besonders sensiblen Daten hantieren. Der von den Kirchen geforderte Einklang mit dem DSGVO-Datenschutzniveau steht und fällt dort, wo eigene Aufsichten eingerichtet werden, mit deren Ausstattung. Ein Blick in Tätigkeitsberichte und Kirchenhaushalte kann zumindest ein wenig Licht ins Dunkel bringen.

Weiterlesen

Zoom-12-Punkte-Plan und Kinderfoto-Alarmismus – Wochenrückblick KW 34/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Datenschutzbeauftragte für Kirche und Diakonie hat eine 12-Punkte-Liste für die Überprüfung oder Planung des datenschutzkonformen Einsatzes eines Videokonferenzsystems veröffentlicht – sicherlich eine nützliche Grundlage für die Einführung, wenn auch zur vierten Welle doch etwas spät: Wer hat jetzt noch kein Videokonferenzsystem? Rechtlich ist an der Handreichung nichts zu beanstanden und für Menschen, die mit Datenschutz vertraut sind, auch ohne Überraschungen. Für alle anderen muss sie aber befremdlich wirken. Sicher hat eine Videokonferenz eine höhere Eingriffsintensität als andere Kommunikationsmittel. Aber gibt es auch nur vergleichbare Checklisten für Telefon, E-Mail und Fax? Muss man sich wirklich noch die Frage stellen, ob eine Videokonferenz im Vergleich zu Telefonkonferenzen »erforderlich« ist? Stellt sich jemand die Frage, ob ein Telefonat im Vergleich zu einer E-Mail im Vergleich zu einem Brief im Vergleich zu einem persönlichen Besuch »erforderlich« ist? Besser wird das wohl erst, wenn Videokonferenzen für alle so unauffällig wie Telefone sind.

Im aktuellen Tätigkeitsbericht des KDSZ Frankfurt ist die Rede von einem Versuch, ein staatliches Verwaltungsgericht für eine Klage gegen eine Entscheidung der kirchlichen Aufsicht zu bemühen, leider ohne Aktenzeichen und Gericht zu nennen. Daher habe ich weiter recherchiert: Auf Nachfrage teilte mir das Verwaltungsgericht Frankfurt mit, dass das Klageverfahren (Az. 5 K 1077/20.F) ohne eine sachliche Entscheidung nach Klagerücknahme beendet und durch Beschluss vom 6. August 2020 eingestellt wurde. »Darauf, dass die Klage auf dem Verwaltungsrechtsweg nicht zulässig, eine Verweisung an das Interdiözes Datenschutzgericht aber auch nicht möglich ist, ist bereits in der Eingangsverfügung hingewiesen worden«, so der Vorsitzende der fürs Datenschutzrecht zuständigen 5. Kammer. Die Zitate aus dem Tätigkeitsbericht stammen daher nicht aus einer rechtskräftigen Entscheidung in der Sache, sondern, so das Gericht, wohl lediglich aus einer Ablehnung einer Bewilligung von Prozesskostenhilfe.

Das in der vergangenen Woche schon erwähnte Urteil des OLG Düsseldorf hat die KDSA Ost zum Anlass genommen, noch einmal einzuschärfen, wie problematisch von ihr Kinderfotos im Netz bewertet werden, inklusive dem Drohen mit Pädophilen, die Kinderfotos abgreifen und einem locker sitzenden Bußgeldfinger. Wieder kommt die Mahnung ohne jegliche Differenzierung, um was für Bilder es sich handelt – und (ich wiederhole mich) ohne zu bedenken, dass Kinder und Jugendliche nicht nur Sicherheitsinteressen, sondern auch Teilhabe- und Repräsentanzinteressen haben. Ein besserer Ansatz wäre, sowohl objektiv untragbare Darstellungen (Nacktheit, entwürdigende Situationen) zu benennen wie medienpädagogische Methoden zu zeigen, um mit den Betroffenen selbst ins Gespräch kommen, welche Darstellungen sie selbst in der Öffentlichkeit haben wollen und welche Möglichkeiten bestehen, informationelle Selbstbestimmung auszuüben.

Weiterlesen

Noch weniger Betroffenenrechte im Osnabrücker Schuldatenschutz

Schreiben Sie eine Antwort

Nach dem Erzbistum Hamburg hat auch das Bistum Osnabrück eine Durchführungsverordnung zum Schutz personenbezogener Daten in katholischen Schulen veröffentlicht. Schon die Hamburger Ordnung hat einen zwiespältigen Eindruck hinterlassen: Während die digitalen Methoden und Werkzeuge angemessen berücksichtigt wurden, wurden die Betroffenenrechte von Schüler*innen empfindlich eingeschränkt.

Ein Kind zeichnet mit einem Stylus auf einem Tablet
Ein Kind zeichnet mit einem Stylus auf einem Tablet (Photo by Jeswin Thomas on Unsplash)

Die Osnabrücker Verordnung ähnelt in weiten Teilen der Hamburger, mit einigen Umstellungen und kleineren Änderungen – aber auch mit substantiellen Unterschieden. Und zwar nicht zum Besseren.

Weiterlesen

Rekordgeldbuße im Südwesten – Tätigkeitsbericht 2020 des KDSZ Frankfurt erschien

Schreiben Sie eine Antwort

Der Tätigkeitsbericht 2020 der katholischen Aufsicht für den Südwesten ist da – und damit ist der 2020er-Reigen vorerst abgeschlossen. (Der bayerische DDSB berichtet immer von September bis September statt zum Kalenderjahr.) Natürlich gibt es wieder viel Corona – und in einem Nebensatz den Hinweis auf die bisher höchsten bekannten Geldbußen im kirchlichen Datenschutz.

Die Titelseite des Tätigkeitsbericht 2020 der KDSZ Frankfurt
Den Bericht des KDSZ Frankfurt ziert eine schöne Statue des hl. Johannes Nepomuk – leider ist auch in der verwendeten Stockphoto-Datenbank nicht herauszufinden, wo diese Statue steht. Vielleicht weiß es ein*e Leser*in?

Erstmals ziert der heilige Johannes Nepomuk den Tätigkeitsbericht – anlässlich der Errichtung als KdÖR hat das Katholische Datenschutzzentrum Frankfurt ein Siegel und einen Schutzpatron bekommen. (Und der NRW-Datenschutzpatron Ivo einen Kollegen.) Er möge, so die Diözesandatenschutzbeauftragte, »den Blick dafür öffnen, wann man reden und wann man vielleicht besser schweigen sollte«.

Weiterlesen