Stiftungspanne – Wochenrückblick KW 25/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

In ihrem frisch erschienenen Tätigkeitsbericht schildert die Berliner Datenschutzbeauftragte einen Fall einer Sicherheitslücke in einer Software für Stipendienportale. Durch die Ausnutzung der Schwachstellen soll es möglich gewesen sein, ein Nutzungskonto anzulegen, die Datenbank abzufragen, hochgeladene Dokumente herunterzuladen und ein Nutzungskonto mit Adminrechten auszustatten. Laut Bericht waren vier Studienstiftungen betroffen. Da durch die Ausrichtungen der nicht namentlich genannten Stiftungen auch Daten zur Religionszugehörigkeit und zur Nähe zu politischen Parteien erhoben wurden, ist davon auszugehen, dass auch eine der Stiftungen von Religionsgemeinschaften betroffen ist. Auf Anfrage teilten das katholische Cusanuswerk und das Evangelische Studienwerk Villigst mit, dass sie von keiner Sicherheitslücke betroffen waren. Das jüdische Ernst-Ludwig-Ehrlich-Studienwerk und die muslimische Avicenna-Studienstiftung haben auf die Anfrage noch nicht geantwortet. (Angefragt wurden nur diese vier, die aus Mitteln des Bildungsministerium finanziert werden.)

Mit Transparenz tut sich die römisch-katholische Kirche schwer – gerade, was ihre Gerichtsbarkeit angeht. Immerhin: Die Datenschutzgerichte veröffentlichen Entscheidungen – aber nur ausgewählte, freiwillig und ohne Rechtspflicht. Daher hat die Gesellschaft Katholischer Publizisten (GKP), in der ich mich im Vorstand engagiere, sich erneut für mehr Transparenz in der kirchlichen Justiz ausgesprochen. Anlass ist die Ankündigung des Münsteraner Bischofs Felix Genn, schon vor der Genehmigung einer bundesweiten kirchlichen Verwaltungsgerichtsbarkeit durch den Heiligen Stuhl eine vorläufige diözesane einzurichten. »Die Kirche darf in ihrem eigenen Rechtssystem nicht hinter Selbstverständlichkeiten des Rechtsstaats zurückbleiben, wenn sie Vertrauen zurückgewinnen will. Ungehinderte Gerichtsberichterstattung ist ein wesentliches Element jeder freiheitlich-rechtsstaatlichen Ordnung«, sagt der GKP-Vorsitzende Joachim Frank. Gefordert sind öffentliche mündliche Verhandlungen und Urteilsverkündungen, die Veröffentlichung von Urteilen sowie Informations- und Auskunftsrechte für die Medien.

Weiterlesen

Welche Speicherfrist haben Vergissmeinnicht?

Diese Frage bleibt offen im Datenschutzgarten des Bundesdatenschutzbeauftragten. Pünktlich zum Sommerbeginn wurde der nun auch offiziell eröffnet, nachdem im Fediverse darüber schon seit Wochen gesprochen wird. Und auch wenn man zum Recht auf Vergessen bei Raublattgewächsen nichts erfährt, gibt es doch ziemlich viele Informationen auf den Tafeln im Wildblumengarten vor dem Dienstsitz des BfDI im Bonner Stadtteil Castell.

Eine Tafel im Datenschutzgarten heißt die Besucher*innen herzlich willkommen
Gleich die erste Tafel stellt klar: »Wir schützen Menschen, nicht Daten«
Weiterlesen

Polnische Woche – Wochenrückblick KW 24/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die KDSA Ost weist auf einen durch das Arbeitsgericht Neuruppin zugesprochenen Schadensersatz hin. In dem Fall wurden Daten einer ausgeschiedenen Mitarbeiterin nicht von der Firmenhomepage gelöscht. Mit 1000 Euro durchaus hoch – das Gericht sieht eine Warn- und Abschreckfunktion des Schadensersatzes aus Art. 82 DSGVO. Die KDSA weist auf die parallele Regelung im KDG hin: »Auch im kirchlichen Bereich haben Personen, denen wegen eines Verstoßes gegen dieses Gesetz ein materieller oder immaterieller Schaden entstanden ist einen Anspruch auf Schadensersatz gegen die kirchliche Stelle als verantwortliche Stelle, (§ 50 KDG).« Unklar ist dabei nur, wie genau der geltend gemacht werden kann – weder die Aufsichten noch die kirchlichen Datenschutzgerichte dürfen Schadensersatz zuerkennen; praktisch, wenn ohnehin das staatliche Arbeitsgericht betraut ist (die sind gemäß § 2 Abs. 3 KAGO und Art. 10 Abs. 1 Grundordnung zuständig für gerichtlichen Arbeitsschutz in kirchlichen Arbeitsverhältnissen), hier ist auch schon ein Fall bekannt – in anderen Fällen muss man das zuständige Gericht wohl erst mal von der Zuständigkeit überzeugen. Präzedenzfälle vor der ordentlichen Gerichtsbarkeit sind jedenfalls keine bekannt.

Der Datenschutzbeauftragte der polnischen katholischen Kirche (KIOD), Piotr Kroczek, hat bei der Vollversammlung der Polnischen Bischofskonferenz seinen Tätigkeitsbericht vorgelegt. (Öffentlich verfügbar werden die KIOD-Berichte in der Regel aber erst im Spätjahr im Amtsblatt.) Thema waren unter anderem die (traditionell gut organisierten) Staats-Kirche-Beziehungen. Kroczek wurde für eine zweite vierjährige Amtszeit wiedergewählt.

Auch von Kroczek erfährt man über das Datenschutzexpert*innen-Treffen der COMECE, das Mitte Mai stattfand – wenn auch nicht allzu viel. Die Vorträge befassten sich laut KIOD mit den Grundsätzen der Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO, mit der Rolle und den Aufgaben der Datenschutzbeauftragten in kirchlichen Einrichtungen und mit dem Verhältnis von DSGVO-Bestimmungen und kirchlichem Recht.

Weiterlesen

Loyalitätspflichten praktisch: Angst vor der Arbeitgeberin Kirche

Heute erscheint das Buch von Andreas Sturm, in dem er seinen Rücktritt als Speyerer Generalvikar und den Übertritt von der römisch-katholischen in die alt-katholische Kirche begründet: »Ich muss raus aus dieser Kirche«(Affiliate link). In einem eindrücklichen Kapitel schildert er darin auch die Auswirkungen der Loyalitätspflichten, die die Kirche bislang ihren Beschäftigten aufnötigt.

Cover von Andreas Sturm, »Ich muss raus aus dieser Kirche«
Andreas Sturm: »Ich muss raus aus dieser Kirche – Weil ich Mensch bleiben will. Ein Generalvikar spricht Klartext«, Herder 2022, 192 Seiten, 18 Euro.(Affiliate link)

Sturm gehörte zu den Generalvikaren, die sich im Februar mit einem offenen Brief an den DBK-Vorsitzenden Bischof Georg Bätzing wandten und eine Änderung des kirchlichen Arbeitsrechts forderten. In seinem Buch gibt es nun Hintergründe aus der Praxis dazu – und ein Beispiel, wie zu welcher Kultur der Angst und zu welcher Beeinträchtigung von Persönlichkeitsrechten das noch geltende kirchliche Arbeitsrecht führt.

Weiterlesen

Spezifische Aufsichten auch in der DSK 2.0 außen vor

Die Datenschutzkonferenz des Bundes und der Länder befasst sich damit, wie das Gremium für eine wirksamere Kooperation ausgestattet werden kann. Über eine IFG-Anfrage wurde das im Protokoll der letzten DSK-Sitzung erwähnte Gutachten »Rechtliche Möglichkeiten zur Stärkung und Institutionalisierung der Kooperation der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK 2.0)« von Eike Richter und Indra Spiecker gen. Döhmann öffentlich gemacht.

Titelseite des DSK-Gutachtens

Die staatlichen Aufsichten haben kein gesteigertes Interesse daran, dass die spezifischen Aufsichten mehr Beteiligungsrechte erhalten. Das spiegelt sich auch im Auftragsgutachten wieder – eine zu enge Einbeziehung soll sogar verfassungs- und europarechtswidrig sein. Das überzeugt nur bedingt.

Weiterlesen

Entspannung in Hessen – Wochenrückblick KW 23/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Datenschutzkonferenz hat auf ihrer jüngsten Sitzung laut Protokoll ein Gutachten mit dem Titel »Rechtliche Möglichkeiten zur Stärkung und Institutionalisierung der Kooperation der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK 2.0)« beraten (eine IFG-Anfrage ist bereits gestellt). Besonderes Engagement, die spezifischen – also auch die kirchlichen – Aufsichtsbehörden besser einzubinden, ist nicht zu erwarten. Aber man lässt sich ja gern überraschen.

Der 50. Tätigkeitsbericht der Hessischen Datenschutzaufsicht ist erschienen. Darin wird wie erstmals im vergangenen Jahr auch die Kategorie »Religionsgemeinschaften« in der Eingabenstatistik aufgeführt. Beschwerden (2) und Beratungen (3) gingen im Vergleich zum Vorjahr deutlich von zuvor insgesamt 23 zurück. Im vergangenen Jahr ging es hauptsächlich um die Zeugen Jehovas und Mormonen, insbesondere mit Blick auf Werbung, Briefe und Datenlöschung bei Austritt, wie die Sprecherin damals mitteilte, die aktuelle Anfrage ist noch nicht beantwortet. Dieses Mal gab es außerdem Weisheit aus dem Aufsichtsalltag: »Datenschutzrechtliche Beschwerden entstammen dem prallen Leben und ihre Bearbeitung erfordert neben datenschutzrechtlichem Sachverstand oft auch Humor, Empathie oder auch die Beschäftigung mit Websites, die ansonsten von dienstlichen Rechnern nicht aufgerufen werden sollten.«

Die Normen zur Einsichtnahme in Personalakten zur Missbrauchsaufarbeitung tröpfeln immer noch ein – nun hat das Bistum Passau das Gesetz in Kraft gesetzt, nach meiner Statistik die 16. Diözese.

Weiterlesen

Umfassende Regeln aus den Grundrechten entwickelt

Die vierte Auflage des Taeger/Gabel(Affiliate link) ist erschienen und kommentiert neben DSGVO auch BDSG und TTDSG. Hier im Blick und interessant ist die Kommentierung von Art. 91 DSGVO, die von Anne Reiher und Karsten Kinast besorgt wurde.

Cover von Taeger/Gabel, DSGVO, 4. Aufl
Taeger/Gabel (Hrsg.), DSGVOBDSGTTDSG, 4., neu bearbeitete Auflage 2022. XXXVI, 2390 S., 298 Euro.(Affiliated link)

Mit zwölf Seiten ist die Kommentierung kompakt, aber umfassend. In der Stoßrichtung ist sie grundsätzlich auf der Linie der Mehrheitsmeinung der hier bereits besprochenen Kommentarliteratur, im Zweifel mit einer  restriktiveren Auslegung hinsichtlich des Spielraums der Kirchen, und ergänzt durchaus originelle Punkte.

Weiterlesen

Tuchfühlung mit Aufsicht – Wochenrückblick KW 22/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Beim Katholikentag habe ich den Stand der kirchlichen Datenschutzaufsichten besucht und die Gelegenheit genutzt, über aktuelle Entwicklungen bei den Aufsichten zu sprechen – allzu viel kann ich aus dem Hintergrundgespräch nicht ausplaudern. Vielleicht nur so viel: Auch die kirchlichen Aufsichten schauen gespannt darauf, wann der Bundesdatenschutzbeauftragte seine Ankündigung in die Tat umsetzt und Maßnahmen gegen Facebook-Fanseiten von Bundesbehörden ergreift. Dann wurde ich noch gefragt, was ich für Veröffentlichungen der Aufsichten sinnvoll fände. Mein Wunschzettel: Arbeitshilfen zu gemeinsamer Verantwortlichkeit und kirchlichem Interesse. Da der Stand sehr zentral am Anfang der Kirchenmeile gelegen war, bin ich im Laufe der Tage immer wieder vorbeigelaufen: Nicht überfüllt, aber doch stets besucht. Mein Eindruck ist, dass diese Form der Öffentlichkeitsarbeit nicht nur den beruflich unmittelbar mit Datenschutz Befassten hilft (von denen einige da waren, wie mir berichtet wurde), sondern auch dazu beiträgt, das Thema Datenschutz durch unkomplizierte Kontakte etwas zu entdramatisieren.

Der Stand der kirchlichen Datenschutzaufsichten beim Katholikentag in Stuttgart
Vor der Eröffnung fotografiert – zwar etwas langweiliges Bild, dafür datensparsam ohne personenbezogene Daten.

Gemeinsam mit der Bundeskonferenz der kirchlichen Archive in Deutschland hat das KDSZ Dortmund eine Handreichung zu kirchlichen Archiven veröffentlicht. Zielgruppe sind dabei nicht Menschen, die etwas aus kirchlichen Archiven herausholen wollen (dazu gab es hier Hinweise), sondern kirchliche Stellen, die etwas hineintun wollen oder müssen. Dafür und insbesondere für die dafür nötigen Prozesse gibt es Informationen und Checklisten. Derweil hat die Kollegin in Frankfurt die Arbeitshilfen zu Online-Meeting-Tools und Microsoft 365 auf den aktuellen Stand gebracht. Keine Überraschung: Beides immer noch schwierig.

Die aktuelle Ausgabe der Zeitschrift für die Praxis der Mitarbeitervertretung (ZMV) hat mit zwei Artikeln einen Schwerpunkt zum Beschäftigtendatenschutz. Paul Tophof befasst sich mit »Grenzen des Beschäftigtendatenschutzes bei internen Ermittlungen«; grundsätzlich ein hilfreicher Beitrag, allerdings ist etwas unklar, warum Tophof hier kirchliches Sondergut in den Normen zum Beschäftigtendatenschutz ausmacht, obwohl die entsprechende Formulierung weitgehend aus § 26 BDSG entnommen ist. Matthias Ullrich befasst sich mit »Betriebsrat und MAV als Teil des datenschutzrechtlich Verantwortlichen« und kommt darin zum selben Schluss wie in seinem Buch zum kirchlichen Beschäftigtendatenschutz: Es sei »erforderlich, dass die Interessenvertretungen für die Verarbeitung personenbezogener Daten in ihrem Wirkungskreis ein rechtkonformes Verfahren etablieren und dieses dem Arbeitgeber offenlegen«.

Diese Woche ist der Tätigkeitsbericht des Landesdatenschutzbeauftragten von Mecklenburg-Vorpommern erschienen. Ohne Fälle mit kirchlichem Bezug, aber mit dem Stichwort »Nordkirche« im Index. Grund dafür ist eine Kooperation mit der Nordkirche bei den Tagen ethischer Orientierung für die Klassenstufen 5 und 6 unter dem Titel »Mein Klick, meine Verantwortung?!«. Auch die niedersächsische Datenschutzaufsicht hat ihren Tätigkeitsbericht veröffentlicht. Anders als im letzten Jahr gibt es aber keine Angaben zum Fortschritt des Konflikts mit der SELK.

Weiterlesen

Podcast Warum kirchlicher Datenschutz?

Am Geburtstag von KDG und DSG-EKD war ich bei Tobias Sauer im Windhauch-Podcast von ruach.jetzt zu Gast, heute wurde die Folge veröffentlicht. Eigentlich ging’s um die Frage, warum es überhaupt kirchlichen Datenschutz gibt und wie der aktuelle Stand bei Themen ist, die in der Pastoral schon immer drücken – von Facebook bis WhatsApp.

Cover des Windhauch-Podcasts Nr. 63 zum Thema kirchlicher Datenschutz
Cover des Windhauch-Podcasts Nr. 63 zum Thema kirchlicher Datenschutz

Tatsächlich haben wir viel über Rechtskultur in der Kirche gesprochen: Warum tut die Kirche, als sei sie rechtlich verfasst, wenn die Rechtsdurchsetzung dann doch allzu oft willkürlich und machtförmig geschieht: »Die Kirche behauptet, eine rechtlich verfasste Organisation zu sein, lädt das theologisch auf, aber sie löst das nicht ein. Kirchliches Recht ist ganz oft behauptetes Recht«, sage ich im Podcast.

Zum Podcast geht es hier.

Persönlichkeitsrechte statt Schlafzimmerpolizei im kirchlichen Arbeitsrecht

Die Deutsche Bischofskonferenz hat am Montag den Entwurf für eine neue Grundordnung des kirchlichen Dienstes veröffentlicht. Als »Arbeitsverfassung der katholischen Kirche in Deutschland« (so die zugleich veröffentlichten »bischöflichen Erläuterungen« zum Entwurf) soll sie die Beschäftigungsverhältnisse von 790.000 Beschäftigten in katholischen Einrichtungen regeln.

Ein Exemplar der (noch unreformierten) Grundordnung des kirchlichen Dienstes
Ein Exemplar der (noch unreformierten) Grundordnung des kirchlichen Dienstes.

Den Entwurf als »Paradigmenwechsel« zu bezeichnen, greift zu kurz: Geradezu eine Revolution ist es, was die Bischöfe hier als Beratungsgrundlage vorlegen – in der Sache, aber auch in der Herangehensweise: Ein öffentliches Beteiligungsverfahren bei einem bundesweit einheitlichen bischöflichen Gesetz gab es bislang noch nicht. Auswirkungen hat der Entwurf auch auf Persönlichkeitsrechte von kirchlichen Beschäftigten.

Weiterlesen