Gesetze, Bargeld, E-Zelebret – Wochenrückblick KW 9/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Was für eine volle Woche – gleich mehrere Bistümer haben ihre Seelsorge-Patientendatenschutzgesetze im Amtsblatt veröffentlicht (Essen, Köln und Münster), und die katholischen Aufsichten haben auch fleißig publiziert: Die KDSA Ost warnt vor der Abschaffung des Bargelds, gibt eine Einschätzung zur Nennung des Namens von Datenschutzbeauftragten und fordert eine Klarstellung in der Mitarbeitervertretungsordnung, ob Mitarbeitervertretungen verantwortliche Stelle sind oder nicht. Die NRW-Aufsicht weist auf das Datenschutz-Verwaltungsverfahren-Gesetz hin, das nun in allen NRW-Bistümern in Kraft gesetzt wurde, auf Videoüberwachung und weist auf die letzte Woche schon angesprochene Entscheidung zur Einwilligungspflicht für Gruppenfotos auf Facebook hin.

Die Deutsche Bischofskonferenz hat unterdessen eine Datenschutzrechtssammlung mit dem KDG und seinen Nebengesetzen angekündigt: Die Arbeitshilfe Nr. 320 Kirchliches Datenschutzrecht soll demnächst erscheinen, verrät das Erzbistum Berlin. Eine günstige Ergänzung zu der immer noch empfehlenswerten ökumenischen Rechtssammlung, die schon länger auf dem Markt ist (und die Nebengesetze noch nicht alle abbilden konnte).

Das Misstrauen der Aufsichten von Bund und Ländern gegenüber den spezifischen Aufsichten war hier schon Thema. Sehr deutlich bringt es der SWR-Rundfunkdatenschutzbeauftragte in seinem aktuellen Tätigkeitsbericht auf den Punkt (S. 50): »Leider haben einige Landesdatenschutzbeauftragte nach wie vor Berührungsängste mit den Datenschutzbeauftragten der Kirchen und der Rundfunkanstalten zusammenzuarbeiten und versuchen nach außen den Eindruck zu erwecken, die Datenschutzkonferenz (DSK) sei die wahre und alleinige Vertretung der Datenschutzaufsichtsorgane in Deutschland.«

Bei kath.ch gibt es ein kurzweiliges Interview zur E-ID, über die die Schweizer kommende Woche abstimmen: Ist ein elektronischer Ausweis auch für die Kirchen relevant? Nicht allzu sehr, ist der Tenor, und Datenschutzbedenken gibt es auch. Aber einen kreativen Vorschlag hat der interviewte Rechtsanwalt Martin Steiger doch dabei: »Es wäre denkbar, dass eine kirchliche E-ID geschaffen würde. Für die römisch-katholische Kirche beispielsweise könnte eine globale ›Vatican ID‹ hilfreich sein. Eine solche E-ID wäre nicht auf die Schweiz beschränkt, sondern könnte von Gläubigen in aller Welt genutzt werden« – wer schon einmal versucht hat, dem Vatikan Informationen per E-Mail zu entlocken, dürfte genug darüber wissen, wie realistisch das ist. (Und wahrscheinlich gibt’s eh keine praktische Verwendung dafür – etwas weniger groß angelegt als eine E-ID für 1,3 Milliarden Katholiken, dafür praktisch, wäre vielleicht ein fälschungssicheres E-Zelebret angesichts immer wieder auftauchender falscher Priester, Bischöfe und Kardinäle.)

Weiterlesen

GKP-Vorschläge für ein besseres Medienprivileg

Bisher läuft der Prozess der Evaluierung des Gesetzes über den kirchlichen Datenschutzes (KDG) noch sehr im Verborgenen ab. Hätte nicht der bayerische Diözesandatenschutzbeauftragte schon einiges ausgeplaudert, wüsste man bis heute nichts, ein Vierteljahr vor der im Gesetz festgelegten Frist von drei Jahren ab Inkrafttreten.

Ein silbernes Schloss an einem blauen Stahlkasten
Photo by Chris Barbalis on Unsplash

Nun hat die Gesellschaft Katholischer Publizisten Deutschlands (GKP) einen eigenen Beitrag zur Evaluierung vorgelegt. (Ich bin Mitglied des Vorstands und im Vorstand für die Stellungnahme verantwortlich.) Während die bisher bekannten schon in der Evaluierung befindlichen Punkte vor allem Details und Verfahrensregelungen betreffen, widmet sich die GKP vor allem Themen, die für Medien und Öffentlichkeitsarbeit wichtig sind: Insbesondere das sehr kompakte Medienprivileg soll deutlich verändert werden. Dazu kommen noch einige Kleinigkeiten, die eine Handhabung in kleinen, ehrenamtlich getragenen Vereinen handhabbarer machen.

Die gesamte Stellungnahme ist online verfügbar.

Weiterlesen

Lobby für den »Kirchenartikel« – so haben die Kirchen die DSGVO beeinflusst

Die Europäische Union ist nicht unbedingt dafür bekannt, besonders religiös musikalisch zu sein. Dass das europäische Datenschutzrecht eine eigene Ausnahme für Kirchen und Religionsgemeinschaften hat, ist daher nicht selbstverständlich – selbst wenn die europäischen Verträge eigentlich Religionsfreiheit und die hergebrachten Selbstverwaltungsrechte der Kirchen in den Mitgliedsstaaten achten.

Klar ist: Ohne die Lobbytätigkeit der Kirchen und ohne großen Einsatz der deutschen Bundesregierung hätte es Art. 91 DSGVO (im Entwurfsstadium Art. 85) nicht in die DSGVO geschafft. Wie es dazu gekommen ist und was den Kirchen sonst noch wichtig gewesen ist, zeigen zwei erfolgreiche Informationsfreiheitsanfragen beim Justizministerium und bei der Europäischen Kommission.

EU-Flaggen vor dem Berlaymont-Gebäude der Europäischen Union in Brüssel
EU-Flaggen vor dem Berlaymont-Gebäude der Europäischen Union in Brüssel. (Photo by Christian Lue on Unsplash)

Bei beiden Behörden habe ich allgemein nach Lobbytätigkeiten im Zusammenhang mit Datenschutz von Religionsgemeinschaften angefragt. Es zeigte sich: Datenschutz-Lobbyismus ist eine christliche Sache, in der EU sogar eine rein katholische. (Allerdings sind auch die christlichen Kirchen besonders etabliert und gut organisiert – insofern ist die Überraschung nicht allzu groß, dass es keine Angaben anderer Religionsgemeinschaften gab.)

Weiterlesen

Wenn der MAV-Chef krank ist – Wochenrückblick KW 8/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Datenschutz ist hartes Brot. Erst recht, wenn er vor Gericht geht. Wieder einmal hat das Interdiözesane Datenschutzgericht einen Beschluss veröffentlicht (IDSG 09/2020) , recht lang und kompliziert – es geht um die Frage eines möglichen Datenschutzverstoß eines Geschäftsführers eines Krankenhauses, den dieser gegenüber dem Vorsitzenden der Mitarbeitervertretung begangen haben soll.

Zunächst entwickelt das Gericht das kirchliche Prozessrecht weiter: Auch wenn es keine Regelung zur Wiedereinsetzung in den vorherigen Stand gibt, sieht das IDSG das als möglich an: »Im Fall einer unverschuldeten Fristversäumnis erfordert es das Gebot effektiven Rechtsschutzes, eine Wiedereinsetzung in den vorigen Stand zu ermöglichen.« (Nr. 44)

In der Sache dürfte das Urteil für die Zusammenarbeit von Dienstgeber*innen und Mitarbeitervertretung Rechtssicherheit schaffen – auch wenn der Fall kurios ist: Wenn der Vorsitzende der MAV krank ist – wie darf das von wem kommuniziert werden? Dass es kommuniziert werden muss, ist relativ klar, schließlich braucht es eine Vertretung. Nun ist das auch gerichtlich abgesichert, dass es hier keine Datenschutzprobleme gibt – schließlich sieht die Mitarbeitervertretungsordnung und damit ein kirchliches Gesetz vor, dass eine tatsächliche Verhinderung (und nicht bloß etwa eine versehentliche Abwesenheit) festgestellt werden muss. (Die Zusammenfassung vereinfacht grob den 17-seitigen Beschluss. Wer bei »Mitarbeitervertretung« hellhörig wird: Ob diese eine eigenständige Verantwortliche ist, wird im Beschluss nicht angesprochen.

Weiterlesen

Befreit: Interne Protokolle der Datenschutzkonferenz zu spezifischen Aufsichten

Die Datenschutzkonferenz des Bundes und der Länder treffen sich regelmäßig mit den spezifischen Datenschutzaufsichten – das sind die der Medien und der Religionsgemeinschaften. Was dort besprochen wurde, blieb bisher vor der Öffentlichkeit verborgen. Eine erfolgreiche Informationsfreiheitsanfrage beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, der 2019 den Vorsitz in der DSK hatte, bringt nun ans Licht, was dort besprochen wurde.

Zwei Protokolle der Treffen vom 21. Mai und 15. Oktober 2019 sind nun öffentlich, geschwärzt wurden nur die Namen der Teilnehmenden. Ganz heiße Neuigkeiten stehen nicht in den Protokollen – nur die restriktive und wenig religionsfreiheitsfreundliche Auslegung von Art. 91 DSGVO auch durch die spezifischen Aufsichten überrascht.

Weiterlesen

E-Mails und Berufsgeheimnisträger*innen

Sind unverschlüsselte E-Mails überhaupt noch datenschutzrechtlich zulässig? Das war eines der großen Aufregerthemen bei der Einführung der neuen Datenschutzgesetze. Im kirchlichen Bereich sorgte vor allem ein etwas zu scharf geschaltetes Kommunikationsportal im Bistum Rottenburg-Stuttgart, der »Secure Mail Gateway« für Spott und Ärger, über das alle Mails mit personenbezogenen Daten mit extern (also eigentlich alle) abgewickelt werden sollten.

Photo by Bundo Kim on Unsplash

Tatsächlich ist E-Mail nicht unproblematisch: Transportverschlüsselung ist zwar Standard, aber keine echte Ende-zu-Ende-Verschlüsselung; mindestens die jeweiligen Provider und Mailserver könnten gegebenenfalls in Inhalte Einblick nehmen. Ein nun veröffentlichtes Urteil des Verwaltungsgerichts Mainz (1 K 778/19.MZ) befasst sich mit Blick auf Berufsgeheimnisträger*innen mit der Zulässigkeit von E-Mails; im Fall geht es um einen Rechtsanwalt, der einem Mandanten Daten per unverschlüsselter E-Mail geschickt hat. War das zulässig? Das Urteil kommt zum Schluss: Ja, Transportverschlüsselung stellt ein angemessenes Schutznivau dar, wenn kein erhöhter Schutzbedarf besteht. Auch im kirchlichen Bereich ist dieses Urteil interessant: Schließlich sind auch Seelsorger*innen Berufsgeheimnisträger*innen, und was für die recht ist, sollte auch für normale Menschen billig sein.

[…] Ein angemessenes Schutzniveau im Sinne des Art. 32 Abs. 1 DS-GVO ist auch bei Berufsgeheimnisträgern (hier: Rechtsanwälte) grundsätzlich durch Nutzung einer (obligatorischen) Transportverschlüsselung anzunehmen, soweit nicht im Einzelfall besondere Anhaltspunkte für einen erhöhten Schutzbedarf bestehen.

Leitsatz des Urteils des Verwaltungsgerichts Mainz (1 K 778/19.MZ)
Weiterlesen

News, News, Newsletter abonnieren! Wochenrückblick KW 7/2021

Ich seh’s ja ein: RSS ist legacy und für Podcasts. Daher gibt es ab jetzt auch die Möglichkeit, »Artikel 91« als Newsletter zu lesen – einmal in der Woche kommen die aktuellen Nachrichten aus dem kirchlichen Datenschutz in die Inbox. Kostenlos und alle Glieder der Mailkette komplett in der EU gehostet. Zur Anmeldung zum Newsletter geht’s hier.

Ingo Dachwitz erklärt in einem sehr lesenswerten Interview in der Eule, warum gerade wieder Datenschutz bei WhatsApp auf der Tagesordnung steht und Alternativen hoch im Kurs stehen. Ingo plädiert dabei für einen klaren Datenschutzkurs, der sich nicht auf »aber wir müssen doch da hin, wo die Leute sind!« reduzieren lassen will. Dass er dazu auch Erfahrungen aus der Jugendarbeit mitbringt, merkt man: »Ein gewisser Pragmatismus ist in meinen Augen für eine Weile auch ok, aber man darf es sich nicht darin bequem machen. Wenn man den Kontakt hergestellt hat, kann man ja zum Beispiel im Konfirmandenunterricht eine Einheit dazu machen. Also auch aus christlicher Perspektive darauf schauen, warum es wichtig ist, dass Menschen Privatsphäre und das Recht auf Geheimnisse haben. Im Idealfall entscheidet die Konfi-Gruppe dann gemeinsam, wie sie künftig miteinander kommuniziert.« Pragmatismus und normative Kraft des Faktischen ersetzen keine verantwortete Medienpädagogik.

Weiterlesen

Unter der Lupe: Kirchliche Datenschutzaufsicht DSGVO-konform?

Grundsätzlich ist es um die kirchliche Datenschutzaufsicht gut bestellt: Zweifel daran, dass das kirchliche Datenschutzregime bei den großen Kirchen trägt, werden in der Praxis kaum geäußert. Eine Presseanfrage bei den staatlichen Aufsichten jedenfalls hat im vergangenen Jahr keinen Konfliktfall mit einer römisch-katholischen oder landeskirchlich-evangelischen Aufsicht ans Licht gebracht.

Dennoch gibt es auch immer wieder Zeichen dafür, dass die von Art. 91 Abs. 2 DSGVO geforderte Erfüllung der Bedingungen, die auch den staatlichen Behörden auferlegt sind, nicht immer ganz klar ist. In den letzten Monaten hörte man etwa den Hilfeschrei aus Bayern ob der prekären finanziellen und personellen Ausstattung der katholischen Datenschutzaufsicht, und angesichts des Tätigkeitsberichts der Südwest-Diözesandatenschutzbeauftragten mit minimalen Fallzahlen kann man die Frage stellen, ob kirchliche Stellen hier nicht eine besonders zahme Aufsicht bekommen. (Leider halten sich die kirchlichen Aufsichten nicht an das Tätigkeitsberichtsmuster der staatlichen Datenschutzkonferenz und geben überhaupt nur sehr selten Zahlen an – daher ist hier eine Vergleichbarkeit schwierig.)

Könnte sich das zum Problem für die kirchlichen Aufsichten entwickeln? Und was würde überhaupt passieren, wenn kirchliche Aufsichten nicht die Anforderungen der DSGVO erfüllen?

Weiterlesen

Bedingt auskunftsbereit – Wochenrückblick KW 6/2021

Drei Recherchen beschäftigen mich weitgehend erfolglos seit Monaten: Was wird aus der katholischen Datenschutzaufsicht in Bayern, welche Religionsgemeinschaften mit eigenem Datenschutzregime kennen die staatlichen Behörden – und was macht eigentlich die EKD? Zu den drei Recherchen habe ich diese Woche wieder nachgehakt.

  • In Bayern ist die Datenschutzaufsicht seit Herbst kommissarisch besetzt, kein Nachfolger und kein Zeitplan für die Nachbesetzung bekannt, das 2018 beschlossene Nürnberger Datenschutzzentrum immer noch nicht eingerichtet. Regelmäßig Presseanfragen in München (wo die Bistumspressestelle auch die der Freisinger Bischofskonferenz ist) waren bisher erfolglos, die einzelnen bayerischen Bistümer verweisen auf die Zentrale und wissen auch nichts.
  • In Deutschland gibt es keine übersichtliche Liste, welche spezifischen Aufsichtsbehörden – zu denen die der Religionsgemeinschaften gehören – den staatlichen Aufsichten bekannt sind. (Vorbildlich: Polen.) Auf Presseanfragen rückten die Länderaufsichten keine konkreten Listen heraus. Informationsfreiheitsanfragen über Frag den Staat ziehen sich seit Monaten hin. Durch Carlo Piltz wurde ich nun auf das Mitte Januar veröffentlichte Protokoll der 100. Datenschutzkonferenz aufmerksam. Unter TOP 15 wird dort eine »Liste über die spezifischen Aufsichtsbehörden« erwähnt. Informationsfreiheitsanfrage ist raus.
  • Seit Monaten läuft meine eigentlich sehr simple Presseanfrage bei der EKD. Mich interessieren zwei Dinge: Gab es schon kirchliche Gerichtsentscheidungen, in denen das neue DSG-EKD eine Rolle spielte? (Sollte es eigentlich, katholische gibt’s schon einige – aber die normalerweise viel bessere evangelische Rechtssammlung findet keine.) Und: Gibt es bereits Pläne zur Evaluierung des DSG-EKD? (Bei einer synodal organisierten Kirche sollte man doch denken, dass da mit Vorlauf und Transparenz gearbeitet werden müsste.) Am Anfang wurde ich noch vertröstet, jetzt bekomme ich von der EKD-Pressestelle gar keine Antwort mehr.

Der Datenschutz-Dienstleister Althammer & Kill hat ein Whitepaper zu »Microsoft 365 in Kirche & Wohlfahrt« veröffentlicht. Das ist nicht nur nützlich und lesenswert, wenn es direkt um die Office-Frage geht. Auch ausführliche Passagen allgemein zur Drittlandübertragung und wie sie nach KDG und DSG-EKD gestaltet werden sind sehr erhellend. Vor allem im Bereich des KDG wird bei einigen Formulierungen deutlich angefragt, ob sie praktikabel oder gar europarechtskonform sind – insbesondere die schon länger als zweifelhaft bekannte Möglichkeit einer »Selbstzertifizierung«, wie sie § 40 Abs. 2 lit. b) KDG eröffnet wird: »Damit wird die Bewertungshoheit aus den Händen der Europäischen Kommission in die des Verantwortlichen gelegt, was im Zweifelsfall kaum standhalten würde. Eine Drittlandübermittlung auf dieser Basis weist nicht die erforderliche Rechtssicherheit auf.« (Hier wird auch der Ursprung der Norm erwähnt: Eine unkritische Übernahme aus dem alten BDSG – im DSG-EKD gibt es deutlich weniger Probleme, weil der evangelische Gesetzgeber bei der Drittlandsübermittlung unnötige Abweichungen von der säkularen Rechtslage stärker vermieden hat.)

Weiterlesen

»Datenschutz ist Überzeugungsarbeit« – die Datenschutzbeauftragte des Bistums Würzburg Eva Gregor im Gespräch

Nach zweieinhalb Jahren hat das Bistum Würzburg sein Projekt »Einführung eines KDG-konformen Datenschutzmanagements« Ende Januar abgeschlossen. Ein Projektteam aus vierzehn Personen unter der Leitung der Datenschutzbeauftragten des Bistums, Eva Maria Gregor, hat das Projekt umgesetzt – über die Herausforderungen, in einer Organisation mit Hunderten von Hauptamtlichen und unzähligen Ehrenamtlichen ein wirksames Datenschutzmanagement nicht nur einzuführen, sondern mit allen Beteiligten an einem Strang zu ziehen, um verantwortungsvoll mit personenbezogenen Daten umzugehen, erzählt die Juristin im Interview mit Artikel 91.

Die Würzburger Datenschutzbeauftragte Eva Maria Gregor vor dem Würzburger Dom

Eva Maria Gregor ist seit Januar 2020 Datenschutzbeauftragte der Diözese Würzburg. Zuvor war die Volljuristin in einer auf Datenschutz spezialisierten Unternehmensberatung tätig.
(Bildquelle: fotogoocom, »Dom zu Würzburg von der Festung aus gesehen«, CC BY 3.0/Kerstin Schmeiser-Weiß (POW)/Montage fxn)

Frage: Frau Gregor, was unterscheidet die Einführung eines Datenschutzmanagements in einem Bistum von ähnlichen Projekten in Firmen oder Behörden?

Eva Maria Gregor: Kirche ist etwas ganz eigenes. Wir haben ganz andere Strukturen, ganz andere Kommunikationswege, auch die Zusammenarbeit mit Ehrenamtlichen gibt es sonst nicht in Unternehmen. Das macht ein solches Projekt in der Kirche einerseits schwieriger, weil man Dinge an ganz unterschiedlichen Stellen positionieren muss, damit sie ankommen, andererseits kann es aber auch einfacher sein, weil man einfacher an die Menschen herankommt und sie mitnehmen kann.

Weiterlesen