Personalität & Solidarität & Datenschutz – Wochenrückblick KW 48

Die Publizistische Kommission der Deutschen Bischofskonferenz hat Thesen beschlossen: »Digitalität und Künstliche Intelligenz: Technik im Dienst des Geist-begabten und Selbst-bewussten Menschen«. Als Mitglied der »Expertengruppe Social Media« war ich an der Ausarbeitung beteiligt. Wichtig war mir dabei ein differenzierter Blick auf Datenschutz und informationelle Selbstbestimmung, der sich in These 6, »Informationelle Selbstbestimmung und freies Agieren in Öffentlichkeiten sind gegeneinander abzuwägen«, niedergeschlagen hat: Datenschutz darf nicht so ausgestaltet sein, dass (digitale) Öffentlichkeit unmöglich wird. Kommunikation heißt, sich der Öffentlichkeit und anderen Menschen auszusetzen, in Wort und Bild und damit mit personenbezogenen Daten.

»Denn nur so kann die Öffnung auf andere Menschen hin geschehen«, heißt es in den Thesen. Wichtig war es mir, in den Kategorien der katholischen Soziallehre zu argumentieren, die den Menschen weder atomistisch vereinzelt noch totalitär oder utilitaristisch vergemeinschaftet denkt: »Das Personalitätsprinzip steht daher zwangsläufig in Balance zum Solidaritäts- und Gemeinwohlprinzip. Insofern ist bei der Regulierung von personenbezogenen Daten das Recht auf informationelle Selbstbestimmung so auszugestalten, dass die Regulierung Kommunikation und Vergemeinschaftung nicht zu sehr behindert und die gleichwertigen Grundrechte der Meinungs- und Vereinigungsfreiheit ebenso zum Tragen kommen.«

Apropos Vergemeinschaftung: Zu Weihnachten sieht das Referat Datenschutz im Erzbistum Freiburg es wieder möglich an, mit kirchlichem Interesse als Rechtsgrundlage für Streaming-Gottesdienste zu argumentieren; zu Beginn der Pandemie wurde noch (wenig überzeugend) argumentiert, dass bei reduzierter Öffentlichkeit Einwilligungen nötig seien. In den Musterdatenschutzinformationen aus Freiburg zu kirchlichen Amtshandlungen findet sich übrigens auch eine sehr gelungene Formulierung der Rechtsgrundlage, die kirchliches Interesse ans Kirchenrecht rückbindet: »Fotografien bei Erstkommunionfeiern und Firmungen und deren Veröffentlichung im Pfarrblatt und/ oder der homepage der Kirchengemeinde erfolgen im Rahmen des Verkündigungsdienstes gem. CIC-1983, Can. Nr. 761 und damit auf einer rechtlichen Grundlage gem. § 6 Abs. 1 lit. f KDG.«

Und apropos Dienstgemeinschaft: Die Evangelische Kirche Berlin-Brandenburg-schlesische Oberlausitz hat nun eine Rechtsgrundlage für die Publikation von Personalnachrichten im Kirchlichen Amtsblatt geschaffen.

Weiterlesen

Kirchliche Datenschutzgerichte im Licht des Europarechts (Besprechung Martini/Botta, DÖV)

Immer noch sind die wissenschaftlichen Veröffentlichungen zum Datenschutzrecht der Kirchen sehr übersichtlich; vieles ist noch unklar, auch weil der Art. 91 DSGVO, der Religionsgemeinschaften eigenes Datenschutzrecht ermöglicht, bei näherer Betrachtung einige Unklarheiten aufweist. Dem Wortlaut nach schreibt der Artikel nur einen Bestandschutz für bereits bestehendes Datenschutzrecht der Religionsgemeinschaften fest – auch wenn das kaum mit dem Religionsverfassungsrecht (mancher) Mitgliedstaaten vereinbar ist, dem der Vertrag über die Arbeitsweise der EU (AEUV) in seinem Art. 17 wiederum Bestandschutz gewährt.

Zeitschrift »Die Öffentliche Verwaltung«

Während etwa die deutsche Datenschutzkonferenz Art. 91 wörtlich-restriktiv auslegt, reihen sich Mario Martini und Jonas Botta ein unter die Kommentatoren, die den Artikel im Licht von Religionsfreiheit und Selbstverwaltungsrecht interpretieren. Die Juristen am Deutschen Forschungsinstitut für öffentliche Verwaltung (FÖV) – Martini als Leiter des Programmbereichs Digitalisierung, Botta als Forschungsreferent – haben in der aktuellen Ausgabe von »Die Öffentliche Verwaltung« einen Aufsatz mit dem Titel »Kirchliche Datenschutzgerichtsbarkeit zwischen Selbstbestimmungsrecht und Rechtsschutzgarantie« (DÖV 2020, S. 1045–1054) veröffentlicht, in dem sie sich schwerpunktmäßig mit dem Verhältnis kirchlicher Datenschutzgerichtsbarkeit zu Rechtsschutzvorgaben der DSGVO und des Unionsrechts befassen. Über die Frage der Datenschutzgerichtsbarkeit hinaus liefern sie einige gute Argumente zur Interpretation von Art. 91 DSGVO.

Weiterlesen

Vereins-Datenschutz im Bundestags-Bürokratie-Check

Der Bundestagsausschuss für Familie, Senioren, Frauen und Jugend hatte am Montag eine öffentliche Anhörung zum Thema »Datenschutzgrundverordnung (DSGVO) bzw. Bürokratieabbau im Ehrenamt« auf der Tagesordnung. Die Beiträge der Sachverständigen zeigen einiges auf, was im Bereich Datenschutz gerade schiefläuft – geben aber auch einige Hinweise, wie es besser gehen könnte.

Ein Wegweiser mit der Aufschrift »Haus der Vereine«
(Bild: Frank Vincentz, Weener – Beningaweg + Haus der Vereine 01 ies, Zuschnitt und Montage von fxn, CC BY-SA 3.0)

Stellenweise lesen sich die eingereichten Stellungnahmen, als sei es noch Mai 2018 – Angst vor hohen Bußgeldern, kuriose Missverständnisse, Fotos als beherrschendes Thema und manchmal sogar der Wunsch, das mit dem Datenschutz lieber ganz zu lassen. Naturgemäß ging es um die DSGVO und nicht um den kirchlichen Datenschutz. Aber auch für die Datenschutzpraxis in den Religionsgemeinschaften lassen sich Schlüsse ziehen.

Weiterlesen

Auf dem religiösen Auge blind – Wochenrückblick KW 47

Mit der Hamburger Datenschutzaufsicht hat nun die vorletzte Behörde (nur Mecklenburg-Vorpommern fehlt) auf die Presseanfragen zum Umgang mit kleinen Religionsgemeinschaften geantwortet, ein Tag nach Veröffentlichung der Recherche. Eine überraschende Erkenntnis der Abfrage ist eine Nicht-Meldung: Nämlich darüber, welche Religionsgemeinschaften mit eigenem Datenschutzrecht überhaupt bei den Aufsichten bekannt sind. Das sind bei den meisten über römisch-katholische Kirche und evangelische Landeskirchen hinaus keine – und das obwohl es ein Austauschtreffen von Datenschutzkonferenz und spezifischen Aufsichtsbehörden gibt (dazu gehören neben denen der Religionsgemeinschaften auch die von Medien). Bei den meisten Aufsichten ist es nicht auf dem Schirm, wer überhaupt eigenes Datenschutzrecht anwendet. Das scheint Methode zu haben: 2019 wurde von der Datenschutzkonferenz ein Zusatztext abgelehnt »über eine beabsichtigte Registrierung als spezifische Aufsichtsbehörde zur Verwendung auf der Homepage der DSK-Mitglieder«.

Den bisher einzigen Überblick über Religionsgemeinschaften mit eigenem Datenschutzrecht gibt’s hier in der Rechtssammlung – bisher sind (mir) 16 kleinere Gemeinschaften bekannt, darunter nur eine (die Israelitische Religionsgemeinschaft Württembergs), die nicht aus dem weiteren christlichen Spektrum kommt.

… und erst nach Veröffentlichung des Wochenrückblicks veröffentlicht der Diözesandatenschutzbeauftragte für die norddeutschen Bistümer die Nachricht der Woche: Seine Behörde trägt jetzt den neuen, deutlich griffigeren Namen »Katholische Datenschutzaufsicht Nord« (und anders als bei der KDSA Ost klappt auch die Weiterleitung auf die neue Adresse reibungslos). Weiterhin auf der To-do-Liste: Die Umbenennung der Konferenz der Diözesandatenschutzbeauftragten in »Katholische Datenschutzkonferenz« und die Errichtung des Nürnberger Datenschutzzentrums.

Weiterlesen

Kleine Religionsgemeinschaften im Fokus von Datenschutzbehörden

In Berlin, Hessen, Nordrhein-Westfalen und Niedersachsen haben die Landesdatenschutzaufsichten Zweifel an der eigenen Datenschutzgesetzgebung verschiedener Religionsgemeinschaften. Auf Anfrage von »Artikel 91« haben die Behörden angegeben, das Datenschutzrecht kleinerer Religionsgemeinschaften auf die Erfüllung der europarechtlichen Anforderungen zu überprüfen. Laut einem Sprecher der nordrhein-westfälischen Aufsicht sei es sowohl beim Katholischen Bistum der Alt-Katholiken in Deutschland sowie bei der Neuapostolischen Kirche Westdeutschland (NAK) »fraglich, ob das eigene Datenschutzrecht die Anforderungen des Art. 91 (1) DS-GVO« erfüllt. Im äußersten Fall könnte das dazu führen, dass die betroffenen Gemeinschaften die DSGVO anwenden müssen und ihre eigenen Aufsichten keine Rechtsgrundlage haben. Inwiefern das mit dem grundgesetzlich (und europarechtlich) verbürgten Selbstverwaltungsrecht der Kirchen vereinbar wäre, ist noch nicht abzusehen.

Ein fest installiertes Fernglas zeigt auf einen Kirchturm
(Photo by Markus Spiske on Unsplash)

Mit Verweis auf das laufende Verfahren wollten die Berliner und die niedersächsische Landesdatenschutzbeauftragten keine näheren Angaben zu den Zweifeln und zu den betroffenen Religionsgemeinschaft machen. Auch aus Hessen gibt es keine Angabe zu den betroffenen Gemeinschaften.

Auf Anfrage bestätigte allerdings der Datenschutzbeauftragte der Selbständigen Evangelisch-Lutherischen Kirche (SELK), Jochen Springer, dass die niedersächsische Aufsicht »die vorläufige Auffassung vertritt, dass die SELK nicht zum Kreis der Berechtigten nach Art. 91 DSGVO zählt und hierüber voraussichtlich demnächst eine gerichtliche Entscheidung eingeholt werden muss«. Auch andere Landesdatenschutzaufsichten hätten bei kleineren Gemeinschaften ähnliche Nachfragen gestellt, »die auf eine Aberkennung der kirchlichen Selbstverwaltungsrechte in Datenschutzfragen abstellen«, so Springer.

Weiterlesen

Fünf gute Gründe gegen die Einwilligung

Datenschutz ist gleich Einwilligung – das dürfte das hartnäckigste Datenschutz-Missverständnis sein. Das ist keine Überraschung: Selten wird Datenschutz so sichtbar wie bei der Einwilligung in eine Datenverarbeitung; eine Unterschrift, um etwas zu erlauben, ist intuitiv und ohne größere Rechtskenntnis verständlich – und wer als Verantwortliche*r eine Unterschrift einholt, hat das gute Gefühl, sich um den Datenschutz gekümmert zu haben.

Das Problem: Meistens sind Einwilligungen gar nicht nötig, oft schaffen sie neue Probleme, und manchmal sorgen sie sogar für erhebliche Rechtsunsicherheit – und unfair sind sie gelegentlich auch noch. Auch wenn die Einwilligung weit vorne bei den Rechtsgrundlagen steht – eigentlich sollte sie viel eher die letzte Auffangmöglichkeit sein, wenn keine andere Rechtfertigung für eine Datenverarbeitung greift – warum das so ist und wie es besser geht, zeigt dieser Artikel.

Weiterlesen

ÖKT, KDM, ohjeohje: Wochenrückblick KW 46

Der Ökumenische Kirchentag steht auf der Kippe, die Veranstaltenden wollen es noch nicht ganz wahrhaben, in der FAZ wurden Fakten geschaffen und später wieder hinter der Einschätzung des Kirchendezernenten der Stadt aufgeräumt. Was das mit kirchlichem Datenschutz zu tun hat? Eigentlich war der ÖKT als Veröffentlichungstermin für das Kirchliche Datenschutzmodell (KDM) vorgesehen, war im Bericht des NRW-Diözesandatenschutzbeauftragten zu lesen. Und außerdem biete ich dort einen Workshop mit dem Arbeitstitel »Datenschutz mit Augenmaß. Impulse für die Praxis« an.

Ansonsten im kirchlichen Datenschutz eine ruhige Woche ganz ohne offizielle Veröffentlichungen.

Weiterlesen

Ausnahmen von der Ausnahme – Datenschutz beim Bund Freikirchlicher Pfingstgemeinden

Grundsätzlich hatten alle Kirchen und Religionsgemeinschaften die Möglichkeit, ein eigenes Datenschutzrecht gemäß Art. 91 DSGVO anzuwenden – welche das sind, ist nicht immer einfach herauszufinden, und oft herrscht selbst bei den bekannten (ich weiß momentan von 15 Gemeinschaften) nicht die höchste Transparenz. Anders sieht es beim Bund Freikirchlicher Pfingstgemeinden (BFP) aus: Die Datenschutzaufsicht betreibt eine Infoseite und der Tätigkeitsbericht ist öffentlich zugänglich.

Der Tätigkeitsbericht des Datenschutzbeauftragten des BFP liegt auf neutral-blauem Hintergrund.
Bildquelle: BFP-Aktuell

Das erklärte Ziel des Datenschutzbeauftragten des Bundes ist es, »das ›Gütesiegel‹ eines angemessenen Datenschutzniveaus« zu sichern, so der Bericht – »immer in dem Wissen, dass es um Menschen geht, die Gott uns anvertraut hat«. Der im September veröffentlichte Tätigkeitsbericht für 2018 und 2019 bietet einen interessanten Einblick in Arbeitsweise und Struktur des Datenschutzes in einer kleineren Religionsgemeinschaft – und birgt sehr besondere Ausnahmeregeln.

Weiterlesen

Videokonferenz praktisch datenschutzkonform – nur wie?

Eins gleich vorweg: Die Antwort auf die drängendste Frage, nämlich »Darf ich Zoom verwenden?«, ist ein deutliches »Tja, hmm …«. Zum Thema Videokonferenzen haben die kirchlichen Datenschutzaufsichten viel veröffentlicht – und vieles ist auf der strengeren Seite möglicher Spielräume, bis hin zu ganz klaren Aussagen, dass US-Dienste kategorisch unzulässig sind. Aus diesem Dilemma kommt man nicht heraus.

Eine Videokonferenz mit vielen Teilnehmenden auf einem Laptopbildschirm
Videokonferenz. (Photo by Chris Montgomery on Unsplash)

Auch dieser Artikel kann kein Patentrezept liefern. Das kann momentan niemand – oder wie es der bayerische Diözesandatenschutzbeauftragte sagt: »Wenn Sie nach dem Lesen des Aufsatzes nicht wissen, welches Programm Sie nun wählen sollen, sind Sie damit nicht allein auf der Welt.« Was aber geht: Das Datenschutzniveau pragmatisch zu heben, sich statt völlig immerhin größtmöglich rechtskonform aufzustellen – selbst wenn die Wahl auf einen US-Anbieter fällt – und das eigene Verhalten auf respektvollen Umgang mit den Daten anderer zu optimieren.

Weiterlesen

Beschäftigtendatenschutz-Woche! – Wochenrückblick KW 45

Beim Beauftragten für den Datenschutz der EKD ist Beschäftigtendatenschutz-Woche: In zwei frisch erschienenen Flyern mit Kurzinformationen geht es um Personalakten und Informationen für Mitarbeitende. Das Papier zu Personalakten startet vage (»Unterschiedliche Teile der Personalakte unterliegen aufgrund unterschiedlicher Verarbeitungszwecke der personenbezogenen Daten unterschiedlichen Aufbewahrungsfristen.«), wird dann aber doch sehr hilfreich und listet auf, was in die Personalakte gehört, was nicht und wie damit umzugehen ist.

Das Kurzpapier »Was müssen Mitarbeitende über den Datenschutz wissen?« ist gut gemeint – aber für normale Mitarbeitende doch etwas kryptisch, da viele Fragen nur mit einem Verweis auf die Fundstelle im Gesetz beantwortet werden. Als Grundlage für betriebliche Datenschutzbeauftragte kann es aber hilfreich sein für die Planung von Schulungen. Leider zieht sich auch hier durch das Papier die ärgerliche Angewohnheit des DSB-EKD durch, Informationen nach nicht nachvollziehbaren Kriterien nur selektiv zu nennen. Dass bei der Frage nach der Veröffentlichungen von Mitarbeitendenfotos (grundsätzlich nur mit Einwilligung) der Sonderfall von Mitarbeitenden nicht erwähnt wird, bei denen das zum Stellenprofil gehört (z. B. bei Pressesprecher*innen), ist verschmerzbar. Wie in einem Papier zum Beschäftigtendatenschutz aber nur die Rechtsgrundlagen Einwilligung und Gesetz für die Verarbeitung personenbezogener Daten erwähnt werden können, wo doch hier in der Regel die einschlägigen Rechtsgrundlagen Arbeitsvertrag und insbesondere die speziellen Regelungen zum Beschäftigtendatenschutz (§ 49 DSG-EKD) sind, ist unverständlich. Eine grobe Unterlassung ist es zudem, dass die Problematik von Einwilligungen im Arbeitsverhältnis und die besonderen Anforderungen an sie (auf die § 49 Abs. 3 DSG-EKD explizit eingeht) gar nicht erst erwähnt wird.

Auch im Bereich der katholischen Kirche scheint die Sommerpause jetzt vorbei zu sein. Der bayerische Diözesandatenschutzbeauftragte hat eine Handreichung zu Schrems II veröffentlicht und das Erzbistum Köln reiht sich ein in die Bistümer, die ein eigenes §-29-KDG-Gesetz zur Auftragsdatenverarbeitung erlassen haben. Außerdem haben die Datenschutz-Notizen über den bayerischen Tätigkeitsbericht berichtet: »kurz und brisant« ist das Urteil, ähnlich wie meines.

Weiterlesen