Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Woche im kirchlichen Datenschutz
Papst Franziskus zu KI-Ethik
Nach dem EuGH legt der Papst sein Schufa-Urteil vor – könnte man jedenfalls denken, wenn man die nun veröffentlichte Botschaft zum 57. Weltfriedenstag liest, der am 1. Januar begangen wird. Das Thema der Botschaft ist »Künstliche Intelligenz und Frieden«. Darin heißt es: »Sich automatisierten Prozessen anzuvertrauen, die Individuen kategorisieren, zum Beispiel durch den allgegenwärtigen Einsatz von Überwachungssystemen oder die Einführung von Systemen zur Ermittlung sozialer Bonität, könnte auch tiefgreifende Auswirkungen auf das zivilgesellschaftliche Gefüge haben, indem unangemessene Rangordnungen unter den Bürgern aufgestellt werden. Und diese künstlichen Ranking-Prozesse könnten auch zu Machtkonflikten führen, da sie nicht nur virtuelle Adressaten betreffen, sondern Menschen aus Fleisch und Blut. Die grundlegende Achtung der Menschenwürde verlangt, die Gleichsetzung der Einzigartigkeit der Person mit einem Datensatz abzulehnen.« Algorithmen dürfe nicht erlaubt werden, »die Art und Weise zu bestimmen, wie wir die Menschenrechte verstehen, die Grundwerte des Mitgefühls, der Barmherzigkeit und der Vergebung beiseite zu schieben oder die Möglichkeit auszuschließen, dass ein Individuum sich ändert und die Vergangenheit hinter sich lässt«. Der Papst weist darauf hin, dass bei der Extrapolation von Informationen nicht nur die Gefahr einer Verzerrung besteht, sondern auch die Gefahr, »die Ungerechtigkeiten und Vorurteile des Umfelds, aus dem sie stammen, zu reproduzieren«.
Landeskirche Mitteldeutschland regelt Einsatz von IT per Gesetz
Die Evangelische Kirche in Mitteldeutschland regelt mit einem Kirchengesetz den Einsatz von Informations- und Kommunikationstechnik. Grundsätzlich setzt man auf Subsidiarität: Die jeweilige kirchliche Körperschaft entscheidet über den Einsatz von IT. Dabei sind aber Prüfempfehlungen eines neu eingerichteten Beirats auf Ebene der Landeskirche zu beachten, außerdem behält sich die Landeskirche vor, Mindestanforderungen zu definieren und den Einsatz bestimmter Lösungen auszuschließen, »wenn er mit dem kirchlichen Auftrag unvereinbar ist oder mit erheblichen rechtlichen oder technischen Sicherheitsrisiken verbunden ist«. Auf einigen Gebieten (Finanzwesen, Meldewesen, Personalwesen, Gebäude- und Liegenschaftswesen, der IT-Sicherheit und der Kommunikation über E-Mail und Intranet) sind grundsätzlich landeskirchenweit einheitliche Lösungen vorgesehen, wobei hier in begründeten Ausnahmen abgewichen werden kann.
Ein eigener Abschnitt befasst sich mit dem Einsatz von Kommunikationsmitteln und schafft Rechtsgrundlagen für die Nutzung von Internet (die Körperschaft darf Privatnutzung ausschließen), E-Mail (private E-Mail-Adressen dürfen nicht dienstlich genutzt werden) und dienstliche und private Geräte. Dabei werden ein Rechtsanspruch auf Ausstattung mit der für die Aufgabenerfüllung notwendigen dienstlichen IT und ein Rahmen für »Bring your own device« normiert. Ehrenamtliche sollen die notwendige IT erhalten, außerdem müssen sie je nach Sensibilität der verarbeiteten Daten Accounts bei der Landeskirchen-IT erhalten. Auf privaten Geräten ist die »dauerhafte und planmäßige Verarbeitung von Daten, die in Ausübung eines Seelsorgeauftrages erlangt werden« unzulässig. Eine Formulierung mit Augenmaß, da punktuelles und ungeplantes Anfallen solcher Daten nicht ausgeschlossen werden kann. Insgesamt wirkt das Kirchengesetz pragmatisch, ohne ein angemessenes Schutzniveau zu unterschreiten, und ohne schon auf rechtlicher Ebene Vorentscheidung für bestimmte Produkte zu treffen.
Jehovas Zeugen regeln Datenschutz-Verwaltungsverfahren
Das Zweigkomitee von Jehovas Zeugen in Deutschland hat eine »Verfahrensordnung der Datenschutzaufsicht Jehovas Zeugen (VO-DSAJZ)« erlassen, die im aktuellen Amtsblatt in Kraft gesetzt wurde. In weiten Teilen übernimmt die Ordnung – wie ihr katholisches Pendant – Regelungen aus dem staatlichen Verwaltungsverfahrensgesetz. Ein Unterschied zum katholischen KDS-VwVfG ist, dass zwei Verfahren normiert werden: ein datenschutzrechtliches Verwaltungsverfahren (§ 2) und ein allgemeines datenschutzrechtliches Verfahren (§ 4). Der erste Typ wirkt eher wie eine Klage mit im Vergleich zur Datenschutzbeschwerde hohen Zulässigkeitsvoraussetzungen (§ 3, Inhalt des Antrags): Die Datenschutzaufsicht kann über einen Antrag aufgefordert werden, eine »nach außen wirkende Tätigkeit der Datenschutzaufsicht, die auf die Prüfung der Voraussetzungen, die Vorbereitung und den Erlass eines Verwaltungsaktes in Form eines Bescheids oder einer anderweitig vorgesehenen rechtlich verbindlichen Entscheidung gerichtet ist«, zu bewirken. Das allgemeine datenschutzrechtliche Verfahren dagegen kann außerhalb des datenschutzrechtlichen Verwaltungsverfahren zum Tragen kommen zur Erfüllung der Pflichten nach §§ 24 und 25 DSGJZ, die Aufgaben und Befugnisse sowie Beanstandungen durch die Datenschutzaufsicht regeln. Die Kann-Bestimmung wird aber eingeschränkt dadurch, dass kein Ermessen besteht, wenn die Aufsicht von Amts wegen oder auf Antrag tätig werden muss. Im Ergebnis dürfte das – spätestens bei europarechtskonformer Auslegung – bedeuten, dass es sich nicht so verhält, dass Datenschutzbeschwerden gemäß § 24 Abs. 3 Nr. 5 DSGJZ (entspricht Art. 57 Abs. 1 lit. f) DSGVO) an die hohen Hürden des Antrags auf ein datenschutzrechtliches Verwaltungsverfahren gebunden sind und in diesem Fall das allgemeine datenschutzrechtliche Verfahren angewandt werden muss. Von Menschen, die sich bei der Aufsicht von Jehovas Zeugen aber schon einmal beschwert haben, höre ich allerdings, dass die JZ-Aufsicht generell hohe Anforderungen an die Begründung von Beschwerden stellt, wenn sie nicht als unverbindliche »Kontrollanregungen« verstanden werden sollen.
Zur JZ-Datenschutzaufsicht gibt es noch zwei Nachträge: Im März 2023 wurde der Berliner Rechtsanwalt Andreas Schlack für weitere vier Jahre zum Leiter der Aufsicht bestellt, ebenfalls im März hat die Aufsicht ihren Tätigkeitsbericht für 2021 vorgelegt und – ausweislich der URL – im Juli veröffentlicht. Darin wird von Beschwerden aufgrund von »Zeugnisbriefen« berichtet; hier sieht sich die Aufsicht nicht für die Briefe von Mitgliedern an Betroffene verantwortlich, da das im Rahmen der persönlichen Glaubensausübung stattgefunden habe, wo das DSGJZ gemäß § 1 Abs. 9 ausdrücklich nicht zur Anwendung kommt. Außerdem wird über eine von der österreichischen Datenschutzaufsicht abgewiesene Beschwerde berichtet, die erfolglos blieb. Ansonsten gibt es keine bemerkenswerten Unterschiede zum zuletzt besprochenen Tätigkeitsbericht.
Kirchenrechtlicher Verweis für unbefugte Weitergabe von Unterlagen
Das Bistum Münster hat über den weiteren Verlauf der diversen Verfahren gegen den ehemalige Dompropst und Offizial Kurt Sch. informiert. Im Verfahren wegen der unerlaubten Weitergabe von Dokumenten, das zur Vermeidung von Befangenheit am Osnabrücker Kirchengericht geführt wurde, gibt es ein Urteil: »Sch[…] wird der unbefugten Weitergabe vertraulicher Unterlagen der Bistumsleitung und des Münsteraner Domkapitels für schuldig befunden und deswegen mit einem Verweis bestraft. Der „Verweis“ ist vergleichbar einer Abmahnung im Arbeitsrecht«, heißt es in der Mitteilung des Bistums. Leider gibt es keine weiteren Details dazu, welcher Straftatbestand genau verwirklicht wurde; auch ob die zuständige Datenschutzaufsicht damit befasst wurde, ist nicht bekannt (denkbar wäre hier die Landesdatenschutzaufsicht, da es sich um einen Mitarbeiterexzess handeln könnte, der keiner Stelle zuzurechnen ist, die kirchlichem Recht unterliegt).
Absolut gesetzter Datenschutz in der wissenschaftlichen Aufarbeitung?
Der Historiker Klaus Große Kracht, der die Münsteraner Missbrauchsstudie mit verantwortet hat, hat in der vergangenen Woche bei einer Ringvorlesung der Uni Zürich einen Vortrag gehalten: »Fragile Fakten. Historische Aufarbeitung sexuellen Kindesmissbrauchs in der katholischen Kirche zwischen Auftrag, Betroffenen-Partizipation und Datenschutz« Aus dem Vortrag (der mir nicht in Gänze vorliegt), zitiert kath.ch: »So rügte vor einigen Monaten ein katholisches Datenschutzzentrum die Einsicht und Auswertung von Betroffenenakten durch Wissenschaftler im Bistum Münster, obwohl diese vor Einsichtnahme anonymisiert worden waren. Werden Rechte des Datenschutzes derart absolut gesetzt, profitiert letztlich nur eine Gruppe davon: die Täter und ihre Vertuscher – die Aufarbeitung bleibt auf der Strecke.« In der Sache geht es um den hier bereits berichteten durch das KDSZ Dortmund gerügten Datenschutzverstoß, dessen gerichtliche Bewertung noch aussteht. Das KDSZ Dortmund sah auch Tathergänge als personenbezogene Daten an, für deren Weitergabe eine Einwilligung nötig gewesen wäre. Zum ganzen Bild gehört, dass Betroffenenvertreter*innen sich dafür ausgesprochen haben, generell keine Akten ohne Einwilligung von Betroffenen weiterzugeben.
In eigener Sache: Datenschutz in der Jugendarbeit
- Am 24. Januar, 16.30 bis 18 Uhr, biete ich für JHD|Bildung ein Webinar zu kirchlichem Datenschutz in der Jugendarbeit mit Schwerpunkt Social Media an. Die Anmeldung ist bis zum 10. Januar möglich. (Teilnahmebeitrag 10 Euro.)
Auf Artikel 91
Aus der Welt
- Der BfDI fragt die Bundesministerien und obersten Bundesbehörden nach der Nutzung des neuen Outlooks in der Cloud. Ein datenschutzkonformer Einsatz der App sei aktuell nicht möglich. Die kirchlichen Aufsichten haben sich dazu bisher noch nicht öffentlich geäußert.
Kirchenamtliches
- Evangelische Kirche der Pfalz: Gesetz zur Änderung der Ordnung für die Führung der Kirchenbücher (Kirchenbuchordnung)
- KDSA Ost: Bußgelder für Unternehmen – der EuGH klärt offene Fragen
- BfD EKD: EU verabschiedet die weltweit erste Verordnung zur Regulierung von Künstlicher Intelligenz (KI)
- Evangelische Kirche in Mitteldeutschland: Kirchengesetz über die Digitalisierung kirchlichen Handelns und den Einsatz von Informations- und Kommunikationstechnik in der Evangelischen Kirche in Mitteldeutschland (Digitalisierungsgesetz – DigG)
- Presseamt des Heiligen Stuhls: Messaggio del Santo Padre Francesco per la 57ma Giornata Mondiale della Pace (1° gennaio 2024), 14.12.2023
- Jehovas Zeugen in Deutschland: Bekanntmachung der Verfahrensordnung der Datenschutzaufsicht Jehovas Zeugen (VO-DSAJZ)