Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Woche im kirchlichen Datenschutz

BfD Nordkirche zur Zulässigkeit von MS 365

Die Synode der Nordkirche hat ihr IT-Projekt »zusammen.nordkirche.digital« beschlossen, zu dem auch die Einführung von MS 365 gehört. In den veröffentlichten Unterlagen findet sich auch eine Stellungnahme des noch amtierenden Beauftragten für den Datenschutz der Nordkirche, Peter von Loeper. Der hält die Verwendung cloudbasierter Zusammenarbeitsformen grundsätzlich für zulässig. Der Einsatz von Microsoft 365 wäre aber nach seiner Einschätzung (die sich auf die DSK, die evangelische DSK und das BSI bezieht) nach derzeitigem Stand rechtswidrig. Er zeigt aber auch einen Ausweg auf: »Wenn Microsoft eine technisch und vor allem rechtlich überzeugende EU-Data-Boundary einrichtet oder wenn ein neuer Angemessenheitsbeschluss durch die EU-Kommission gefasst werden würde, und Microsoft mitteilte, wie es die gespeicherten und erhobenen Daten selber verarbeitet, könnte es nach umfassender Prüfung zu einer Neubewertung der datenschutzrechtliche Zulässigkeit von Microsoft 365 kommen.« Die Einschätzung des Nord-BfD wird auch ausführlich begründet und datiert auf den 6. Dezember 2022, konnte also die Microsoft-Pressemeldung vom 15. Dezember nicht mehr bewerten.

DSG-EKD vor dem Kirchengericht

Eine Fußnote in der Stellungnahme des Nord-BfD ist besonders spannend: Dort wird nämlich ein Aktenzeichen eines (des einzigen) zweitinstanzlichen Urteils eines EKD-Kirchengerichts zu Datenschutzfragen erwähnt (Kirchengerichtshof, Urteil vom 9. September 2022, Az. 0136/A10-2019). Das Urteil scheint dem Kontext nach Sprengstoff zu enthalten: »Im Moment gehören nach kirchlichem Recht nicht dazu [zu den besonderen Kategorien personenbezogener Daten] die Mitgliedschaft in einer Kirche. Nach dem Urteil des Kirchengerichtshofes vom 09.09.2022 könnten daran Zweifel bestehen. Dann würden auch die Mitgliederdaten unter die besonderen Kategorien von personenbezogenen Daten mit höherem Schutzbedarf fallen.« Denkbar wäre beispielsweise, dass das Urteil Abweichungen des DSG-EKD, die nicht im Einklang mit der DSGVO stehen, als unzulässig verwirft und in diesen Fällen eine unmittelbare Anwendung der DSGVO angezeigt sieht.

Debatte um Unabhängigkeit katholischer Aufsichten

Der Vorsitzende der katholischen Datenschutzkonferenz Matthias Ullrich hat Zweifel an der Unabhängigkeit der als Körperschaften verfassten katholischen Datenschutzaufsichten – das hat er unter anderem in einem Gastbeitrag hier deutlich gesagt: Das Recht des aus den beteiligten Diözesanbischöfen zusammengesetzten Verwaltungsrats, den stellvertretenden Diözesandatenschutzbeauftragten zu bestellen, verstoße gegen § 43 Abs. 8 KDG. Die beiden betroffenen Aufsichten im Norden und Südwesten sehen das nicht so, geht aus einer vom bayerischen Diözesandatenschutzbeauftragten veröffentlichten Stellungnahme hervor. Sie weisen darauf hin, dass das Ernennungsrecht für die Stellvertretung ein Relikt der KDO sei. Auch ansonsten sehen sie keine Probleme: „Unabhängig von der konkreten Aufgabenzuweisung an den jeweiligen Verwaltungsrat ist es überdies beiden Satzungen gemein, dass der Verwaltungsrat sämtliche Aufgaben nur unter Wahrung der in 43 Abs. 1 KDG festgelegten Unabhängigkeit der/des gemeinsamen Diözesandatenschutzbeauftragten ausführen darf“. Eine Unterbindung der Einflussnahme des Verwaltungsrats auf die Datenschutzaufsichten sei damit insbesondere bereits in den Satzungen selbst adressiert.

Ordensdatenschutzbeauftragte zu Facebook-Fanpages

Laut einem Rundschreiben der Deutschen Ordensobernkonferenz, das mir vorliegt, aber nicht öffentlich verfügbar ist, raten die Ordensdatenschutzbeauftragten zu einer möglichst umgehenden Abschaltung kirchlicher Facebook-Fanseiten der Ordensgemeinschaften und ihrer Einrichtungen, »um möglichen Haftungsansprüchen zu entgehen und die durch den Datenschutzgeschützten Persönlichkeitsrechte der Betroffenen zu wahren«. Trotz der Überschneidung in der Person Jupp Joachimskis also auch bei den Orden kein Pauschalverbot.

Katholische Verwaltungs- und Strafgerichtsbarkeit

Bei der fünften und letzten Synodalversammlung des Synodalen Wegs gab es auch wieder ein Update zur kirchlichen Verwaltungs- und Strafgerichtsbarkeit. Es gibt Verhandlungen zwischen der Deutschen Bischofskonferenz auf der einen und dem Klerusdikasterium und der Apostolischen Signatur, dem obersten ordentlichen Kirchengericht, das auch Aufgaben eines Justizministeriums wahrnimmt, auf der anderen Seite. Nach der Emeritierung des Bamberger Erzbischofs Ludwig Schick sind in der DBK künftig der Freiburg Erzbischof Stephan Burger und der Paderborner Weihbischof Dominicus Meier für den Prozess zuständig – beide Kirchenrechtler, Meier wurde mit einer Arbeit über Verwaltungsgerichtsbarkeit promoviert. Außerdem wurde mitgeteilt, dass an der Arbeit die Leiterin der Abteilung Strafrecht im hessischen Justizministerium, Christina Kreis, an den Arbeiten beteiligt ist.

Kirchenaustritte in Irland

Die irische Datenschutzbehörde DPC hat ihren Tätigkeitsbericht für 2022 veröffentlicht. Dort gibt es auch ein Update zur Untersuchung des Erzbistums Dublin und seines Umgangs mit Betroffenenrechten bei Taufbucheinträgen, insbesondere dem Recht auf Berichtigung und Löschung bei Austrittswilligen. Im vergangenen Jahr hatte ich schon über die Hintergründe berichtet. Laut dem Bericht ist die Entwurfsentscheidung der Aufsicht nun fertig. Auf Anfrage teilte die DPC mit, dass die Entscheidung in den nächsten Wochen veröffentlicht werde.

In eigener Sache

In der kommenden Woche findet die Online-Tagung »Kirche im Web Quick Check« (16. März) statt. Dort gibt es einen Vortrag von mir zum Thema »Facebook-Verbot oder was? Aktuelle Entwicklungen im Datenschutz und wie man damit umgeht«.

Auf Artikel 91

• Dominikus Zettl wird neuer bayerischer Diözesandatenschutzbeauftragter

Aus der Welt

• Falschparkende dürfen fotografiert werden, um sie anzuzeigen (bei datenminimierender Anzeige) – das Urteil des Verwaltungsgerichts Ansbach ist jetzt rechtskräftig. „Das Gericht stellt klar, dass auch die abstrakte Gefährdung ausreichen kann, dass Verstöße durch Bürger angezeigt werden können“, sagte Anwalt Matthias Lachenmann BR24.

Kirchenamtliches

• KDSZ Dortmund: Kurzinformation zum kirchlichen Datenschutz in englischer Sprache
• Gemeinsame Datenschutzaufsicht der bayerischen (Erz-) Diözesen:
  • Neuer bayerischer Diözesandatenschutzbeauftragter
  • Beitrag KDSZ FFM/Nord
• Evangelische Landeskirche in Württemberg: Erlass des Oberkirchenrats zur Änderung des Erlasses über das Fotografieren bei Gottesdiensten und kirchlichen Amtshandlungen