Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

In der aktuellen Ausgabe des Datenschutz-Berater ist wieder ein Artikel von mir zum kirchlichen Datenschutz: Ausführlich befasst er sich mit den Besonderheiten der Rechtsgrundlagen in den kirchlichen Datenschutzgesetzen. Leser*innen hier kennen bereits Teile der Argumente aus der Betrachtung der Rechtsgrundlagen »anderes Gesetz« und »kirchliches Interesse«, dazu kommt die neue Aufarbeitungs-Rechtsgrundlage im DSG-EKD. Die Beschäftigung mit diesem Angelpunkt des Datenschutzrechts ist bei den kirchlichen Datenschutzgesetzen bisher reichlich unterbelichtet – trotz der großen Unterschiede, die sic him Detail zwischen unpraktisch und möglicherweise europarechtswidrig bewegen. Mein Fazit im Artikel: »Trotz des oft behaupteten Gleichklangs der drei Datenschutzgesetze zeigt ein näherer Blick, dass doch erhebliche Unterschiede bestehen, die keineswegs nur akademisch sind. […] Beide Kirchen wären gut beraten, bei den anstehenden Novellierungen besonders kritisch auf diesen zentralen Teil ihrer Datenschutzgesetze zu blicken.«

Der thüringische Landesdatenschutzbeauftragte hat seinen Bericht für 2020 veröffentlicht. Fälle mit kirchlichem Bezug gibt es keine – aber eine Kuriosität: Die eigene Regelung des Datenschutzes in den Kirchen wird nämlich erwähnt – aber viel miteinander geredet wird unter den für Thüringen zuständigen Aufsichten anscheinend nicht. Im evangelischen Bereich wird als zuständige Aufsicht nur der BfD EKD genannt – der ist zwar für den größten Teil zuständig, aber auch der Datenschutzbeauftragte für Diakonie und Kirche ist relevant, der die Diakonie Mitteldeutschland und die Landeskirche Sachsens, die auch thüringische Teile hat, im Beritt hat. Besonders kurios: Statt der Katholischen Datenschutzaufsicht Ost wird der betriebliche Datenschutzbeauftragte des Bistums Erfurt als für Datenschutzverstöße zuständig genannt.

Die Datenschutz-Notizen stellen das katholische Seelsorge-Patientendatenschutzgesetz kompakt vor. Relevant ist es für kirchliche Häuser – und auch da nicht für alle: Anders als das KDG wurde es (noch?) nicht in allen Bistümern erlassen, auch im Bereich der Orden und des KDR-OG scheint es bislang trotz des großen Ordenskrankenhaussektors nicht in Kraft zu sein. Einen Überblick darüber hat schon vor einigen Wochen Curacon veröffentlicht, und eine etwas ausführlichere Beratung gab es nach der ersten öffentlichgewordenen Inkraftsetzung auch hier – mit einer eher positiven Bewertung im Vergleich zu den Vorgängernormen. Die Aufsichten – etwa die KDSA Nord – dagegen haben sich eher kritisch geäußert im Vergleich zum allgemeinen Datenschutzniveau und mit Blick auf unklare Rechtsbegriffe.

Auf Artikel 91

• EKD-Aufsichten zu Schrems II – Weniger ausnahmsweise als Art. 49 DSGVO

Aus der Welt

• Einem dpa-Bericht zufolge geht der thüringische Landesdatenschutzbeauftragte gegen eine Lehrerin vor, die im Unterricht die Corona-Impfbereitschaft ihrer Schüler*innen thematisiert hatte. Das verwundert zunächst – ist aber wohl ein Ausfluss der grotesken Ausweitung der Geltung von Datenschutzrecht auf nicht-automatisierte Verarbeitungen, wie sie viele Landesdatenschutzgesetze, auch das thüringische kennen (hier: § 2 Abs. 4 S. 2 ThürDSG). Im kirchlichen Datenschutzrecht kann das nicht passieren – das ist im sachlichen Anwendungsbereich parallel zur DSGVO.
• Bereits die DSGVO allein hat dem Wortlaut nach einen enorm weiten Anwendungsbereich – das kritisiert (wieder einmal) der EuGH-Generalanwalt Michal Bobek deutlich. Ab RN 55 geht es unter der Überschrift »Ist der Stand des Rechts richtig?« zur Sache: »Menschen sind soziale Wesen. Bei den meisten unserer Interaktionen wird irgendeine Art von Informationen ausgetauscht, in der Regel mit anderen Menschen. Sollte also nahezu jeder Informationsaustausch der DSGVO unterliegen?« – das ist eine Kritik, die so leider aus der christlichen Sozialethik noch nicht an der überschießenden Zuständigkeit des Datenschutzrechts geäußert wurde.
• Ein weiteres Urteil zum Auskunftsrecht. Das OLG München hat unter anderem festgestellt, dass E-Mails personenbezogene Daten sind (jedenfalls dann, wenn sie von natürlichen Personen sind oder handeln): »Schreiben und E-Mails der Klägerin an die Beklagten sind grundsätzlich ihrem gesamten Inhalt nach als personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO anzusehen. Die personenbezogene Information besteht bereits darin, dass sich die Klägerin jeweils entsprechend geäußert hat.« In der Konsequenz mach das natürlich noch einmal mehr fraglich, wie unverschlüsselter Mailverkehr überhaupt datenschutzrechtlich gerechtfertigt werden kann.
• RA Thomas Helbing hat eine nützliche und ausführliche Checkliste zur Überprüfung des datenschutzkonformen Einsatzes von Software veröffentlicht – mit 18 Seiten lang, aber die Länge erklärt sich aus der guten Dokumentation.

Kirchenamtliches

• BfD EKD: Gemeinsame Stellungnahme der Konferenz der Beauftragten für den Datenschutz in der EKD zur Datenübermittlung in die USA
• Der Datenschutzbeauftragte für Kirche und Diakonie: Gemeinsame Stellungnahme der Konferenz der Beauftragten für den Datenschutz in der EKD zur Datenübermittlung in die USA
• KDSZ Dortmund: Stellenausschreibung IT-Administrator / IT-Sachbearbeiter (m/w/d)
• KDSA Ost: BfDI fordert datenschutzrechtliche Verbesserungen der elektronische Patientenakte