Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Woche im kirchlichen Datenschutz
Kirchliche Aufsichten zum EU-US-Datenschutzrahmen
Seit dem Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen haben sich fünf kirchliche Aufsichten dazu geäußert, außerdem ist letzte Woche bereits mein ausführlicher Artikel dazu erschienen. Nur nachrichtlich hat der BfD EKD darauf hingewiesen. Die andere evangelische Aufsicht war am schnellsten und ausführlichsten: der DSBKD warnt davor, dass der Angemessenheitsbeschluss es »verantwortlichen Stellen nicht einfacher machen« werde, die notwendigen Pflichten zu erfüllen und betont gleich zu Beginn, dass das angemessene Datenschutzniveau nun »rein formell« bestehe: »Ob dieser Angemessenheitsbeschluss einer gerichtlichen Prüfung durch den EuGH standhalten wird, bleibt abzuwarten.«
Unter den katholischen Aufsichten hat sich die KDSA Nord am ausführlichsten mit dem Datenschutzrahmen befasst und seine Bedeutung für die Nutzung von Auftragsverarbeitern ausgeführt. In Frankfurt zeigt man sich verhalten: »Es bleibt nun abzuwarten, ob diese Regelungen und der Angemessenheitsbeschluss einer möglichen neuerlichen gerichtlichen Überprüfung standhalten.« Das Das KDSZ Dortmund weist auf die grundsätzlich notwendigen Schritte zur Prüfung von Übermittlungen personenbezogener Daten in ein Land außerhalb des Geltungsbereiches der DSGVO durch die Verantwortlichen hin.
Eine Übersicht zu den Landesdatenschutzbeauftragten gibt es bei Dr. Datenschutz. Unterdessen hat sich auch die Liste an Unternehmen gefüllt, die von den Möglichkeiten des Datenschutzrahmens Gebrauch machen: Google (YouTube), Meta (Facebook und Instagram) und Microsoft haben sich selbstzertifiziert, X (Twitter) und Zoom tauchen in der Liste noch nicht auf.
Schärfere Regeln für Fotos und Videos im Bistum Würzburg
Das Bistum Würzburg hat im aktuellen Amtsblatt einen »Verhaltenskodex für die Arbeit und den Umgang mit Minderjährigen und schutz- oder hilfebedürftigen Erwachsenen zur Prävention von sexualisierter Gewalt« veröffentlicht. Darin gibt es auch Regeln zur Veröffentlichung von Fotos und Videos: »Niemand wird ohne sein Einverständnis fotografiert und gefilmt. Videos oder Fotos werden nur mit vorherigem schriftlichem Einverständnis ins Internet gestellt oder anderweitig veröffentlicht.« Da der Verhaltenskodex für alle kirchlichen Rechtsträger gilt, die der bischöflichen Gesetzgebung unterliegen (sowie denjenigen, die die Präventionsordnung des Bistums anwenden), und auch Ehrenamtliche erfasst sind, gilt diese Regelung quasi überall. Datenschutzrechtlich hieße das, dass für Internetveröffentlichungen von Fotos und Videos, auf denen Minderjährige oder schutz- oder hilfebedürftige Erwachsene zu sehen sind, Interessensabwägungen generell nicht mehr als Rechtsgrundlage herangezogen werden könnten – auch da, wo das nach den Abwägungskriterien des KUG in Frage käme. Auch die Formulierung »schriftlich« würde die Regelung des KDG verschärfen, eine andere Form aufgrund »besonderer Umstände« (§ 8 Abs. 2 KDG) ist nicht vorgesehen.
Etwas verzwickt ist die Frage, ob der Generalvikar mit diesem Verhaltenskodex das KDG wirksam einschränken kann. Die Präventionsordnung als bischöfliches Gesetz erwähnt ausdrücklich den Verhaltenskodex, nicht aber, wer ihn erlässt. Ein Generalvikar kann zudem nie Gesetze erlassen, eine Delegation der bischöflichen Gesetzgebungsvollmacht ist nicht vorgesehen. Daher ist die Rechtsnatur etwas unklar. Als allgemeines Ausführungsdekret, das der Generalvikar gemäß c. 33 § 1 CIC erlassen darf, wären Gesetzen widersprechende Regelungen nichtig, dasselbe gilt bei Instruktionen gemäß c. 34 § 2 CIC. Denkbar wäre, dass der Verhaltenskodex eine Spezialnorm gemäß § 2 Abs. 2 KDG ist, das dem KDG vorgeht – dort wird ganz allgemein und unbestimmt von besonderen »Rechtsvorschriften« gesprochen. Sicher ist jedenfalls, dass der Generalvikar als Dienstgeber im Rahmen seines Direktionsrecht seine Mitarbeitenden derart anweisen kann.
Keine Friedenspflicht für Beschwerden
Kirche und Leben hat eine kleine FAQ zum kirchlichen Datenschutz veröffentlicht und dafür auch O-Töne vom NRW-Diözesandatenschutzbeauftragten Steffen Pau eingeholt: »Jurist Pau betont, das KDG sichere ein Schutzniveau für personenbezogene Daten, das der DSGVO entspricht.« Die – allerdings nicht Pau zugeschriebene – Antwort zu Beschwerden und Rechtsbehelfen fällt etwas kirchlich-harmonieselig aus: »Wenn eine Person meint, mit ihren Daten sei nicht angemessen umgegangen worden, und wenn der Fall nicht im Gespräch zu klären ist, ist eine Beschwerde bei der kirchlichen Datenschutzaufsicht möglich.« Eine Beschwerde ist selbstverständlich auch ohne den Versuch einer Klärung im Gespräch möglich: Es gilt § 48 Abs. 1 KDG und nicht Mt 18,15. Das ist nicht nur eine Spitzfindigkeit, sondern Betroffenenschutz: Warum sollte man jemandem, der*die in Rechten verletzt wurde, als erstes die Verantwortung für eine schiedlich-friedliche Lösung aufbürden? Datenschutz ist dafür da, strukturellen Machtasymmetrien durch Recht zu begegnen, deshalb scheidet eine derartige Friedenspflicht vor einer Beschwerde aus.
Auf Artikel 91
Aus der Welt
- Das Deutsche Institut für Menschenrechte (DIMR) hat seinen Jahresbericht 2022 vorgelegt. Darin geht es auch um ein wahrscheinlich weniger bekanntes mit staatlicher Datenverarbeitung verbundenes Recht: das Recht auf eine Geburtsurkunde, das in der UN-Kinderrechtskonvention verbürgt ist. Bei Geflüchteten gibt es dabei Defizite in Deutschland, berichtet das Institut.