Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Woche im kirchlichen Datenschutz
Passau setzt Betroffenenkritik an Akteneinsichtsnorm um
Der Passauer Bischof Stefan Oster ist der erste, der auf die an vielen Stellen geäußerte Kritik von Betroffenen an der Verwendung von Sachakten zur Missbrauchsaufarbeitung ohne die Einwilligung der Betroffenen reagiert hat. Im Dezember-Amtsblatt veröffentlichte das Bistum eine »Änderung der Ordnung bzgl. Auskunft- und Einsichtsrechte in Sachakten«. Der Passauer Betroffenenbeirat habe einstimmig angeregt, Einsichts- und Auskunftsrechte nur unter dem Vorbehalt der Zustimmung der jeweiligen Betroffenen zu gewähren. Bisher stand darin, dass die Offenlegung personenbezogener Daten gegenüber der unabhängigen Aufarbeitungskommission und Forschungseinrichtungen ohne Einwilligung zulässig ist. Bedingungen waren Erforderlichkeit, dass anonymisierte Daten nicht verwendet werden können und das Aufarbeitungsinteresse das schutzwürdige Interesse von Betroffenen erheblich überwiegt. Bei Forschungseinrichtungen ist zusätzlich die Zustimmung des Bischofs oder einer von ihm dazu beauftragten Person nötig. Anstatt »ohne« Einwilligung der betroffenen Person steht nun an beiden Stellen »nur mit«. »Betroffene Person« wird in der Ordnung analog zum Datenschutzrecht definiert. Damit sind nicht nur Missbrauchsbetroffene erfasst. Auch Beschuldigte sind im Sinne der Ordnung betroffene Person und müssen daher künftig einwilligen. Nicht verändert wurde die 2022 in Kraft gesetzten Normen zur Einsicht in Personalakten von Klerikern und Kirchenbeamten, dort ist weiterhin die Einwilligung nötig – hier dürften die im datenschutzrechtlichen Sinn Betroffenen ohnehin in der Regel Beschuldigte sein, nicht Missbrauchsbetroffene.
Gegen Einschränkungen der Datenweitergabe hatte sich jüngst der an der Münsteraner Missbrauchsstudie beteiligte Historiker Klaus Große Kracht gewandt. Durch Einschränkungen würde die Aufarbeitung leiden und nur Täter und Vertuscher profitieren. Der Arbeitskreis der Betroffenenbeiräte hatte zuvor schon dagegen argumentiert, dass ein Einwilligungserfordernis Forschung behindern würde: »Der Arbeitskreis hält die vorhandenen, in allen bisher vorgelegten, auch internationalen Studien bestätigten Theorien über institutionelle Ermöglichungsfaktoren von Missbrauch und Vertuschung in der katholischen Kirche für hinreichend gesättigt, um nicht jeden weiteren bekannten Fall einer umfassenden Analyse zuführen zu müssen.«
EU-Kommission zu Datenschutz-Compliance bei Religionsgemeinschaften
Die belgische Europaabgeordnete Kathleen Van Brempt (S&D) hatte im Zuge der Debatte über ein Löschrecht in Taufbüchern im September eine parlamentarische Anfrage an die EU-Kommission gestellt: Müssen sich Religionsgemeinschaften an die DSGVO halten, sind der Kommission Verstöße gewisser Gemeinschaften bekannt, und was tut die Kommission für eine bessere Compliance von Religionsgemeinschaften? Kurz vor Weihnachten kam noch eine knappe und erwartbare Antwort im Namen von Justiz-Kommissar Didier Reynders: Die Verarbeitung personenbezogener Daten falle in den Anwendungsbereich der DSGVO, solange keine der Ausnahmen aus Art. 2 Abs. 2 DSGVO erfüllt sei. Dabei gelte: »Gemäß der Rechtssprechung [verwiesen wird auf die finnischen Zeugen Jehovas] sind diese Ausnahmen eng auszulegen.« Dann referiert die Antwort die Ausnahmen in Art. 9 Abs. 2 lit. d) DSGVO (Verarbeitung besonderer Kategorien von Daten von Mitgliedern und ehemaligen Mitgliedern durch Religionsgemeinschaften) und Art. 91 DSGVO in Verbindung mit Erwägungsgrund 165 (bedingte Möglichkeit von eigenem Religionsdatenschutzrecht je nach Religionsverfassungsrecht des Mitgliedsstaats). Für die Compliance wird auf die nationalen Aufsichten und Gerichte verwiesen – was in Belgien bei den Löschbegehren in Taufbüchern auch schon geschehen ist.
Keine analoge Anwendung der DSGVO bei Bußgeldern
Das Funktionsträgerprinzip (oder dessen Fehlen) im kirchlichen Datenschutz bleibt kontrovers. Auch nach dem EuGH-Urteil »Deutsche Wohnen« hält der Ordensdatenschutzbeauftragte Jupp Joachimskis daran fest, dass KDG und KDR-OG »ein schuldhaftes Verhalten des Verantwortlichen selbst voraussetzen«, wie zuletzt berichtet. Mit dem EuGH-Urteil liegt eine europarechtskonforme Auslegung nahe, das IDSG hat schon anders entschieden: Dennoch hat Joachimski gute Gründe unter Verweis auf das Sitzblockaden-Urteil des Bundesverfassungsgerichts, das feststellt, dass das Erfordernis gesetzlicher Bestimmtheit eine analoge oder gewohnheitsrechtliche Strafbegründung ausschließt (Rn. 65). »Dass das Bußgeldverfahren dem Strafverfahrensrecht zuzurechnen ist, ergibt sich schon zwanglos aus § 46 Abs.1 OWiG. Wenn also unsere Bußgeldvorschrift sagt, dass ein schuldhaftes Verhalten des Verantwortlichen Voraussetzung für die Verhängung der Geldbuße ist, kann ich das nicht mit der analogen Anwendung der DS-GVO aushebeln«, erläutert nun Joachimski mir gegenüber seine Position. Das klingt überzeugend – nur sehen es das IDSG und die anderen katholischen Aufsichten anders.
Was das Bundesverfassungsgericht hier vertritt, hat eine lange Geschichte im kanonischen Recht: Der Grundsatz »In poenis benignior est interpretatio facienda« (De Regulis Iuris in Sexto, Reg. 49) hat bis heute in den kanonischen Auslegungsregeln seinen Platz: »Gesetze, die eine Strafe festsetzen […] unterliegen enger Auslegung.« (c. 18 CIC) – selbst wenn ein kirchliches Gericht also eine europarechtskonforme Auslegung in den Blick nimmt, müsste es doch zumindest begründen, warum es das kirchliche Recht nicht nach kanonischen Interpretationsregeln auslegt.
Datenschutzinformationen für Hinweisgebersysteme
Das Bistum Fulda hat in seinem Amtsblatt Datenschutzinformation gem. §§ 14, 15 KDG im Rahmen der Umsetzung des Hinweisgeberschutzgesetz veröffentlicht, die sicher auch für andere dem KDG oder der KDR-OG unterfallende Verantwortliche als Muster sein können.
Kenias Kirchen sorgen sich um Öffentlichkeitsarbeit
In Kenia haben deutlich Bußgelder das Thema Datenschutz ins Bewusstsein gerufen, nachdem der »Data Protecion Act« bereits 2019 in Kraft getreten ist. Das scheint nun auch die Religionsgemeinschaften zu erreichen. »Christian Daily« berichtet über Auswirkungen auf Kirchen – die sind grundsätzlich sehr ähnlich wie bei der Datenschutzreform hier: Große Sorgen um die Öffentlichkeitsarbeit. Der Generalsekretär der Evangelischen Allianz Kenias zeigt Verständnis für Datenschutz, fordert aber Gleichbehandlung: »Wenn es für kommerzielle Medienhäuser in Ordnung ist, Fotos von Fans bei einem Match zu machen und zu verbreiten, warum sollte es dann für eine Kirche ein Tabu sein, Fotos von Gemeindemitgliedern zu verwenden?« So einfach ist das allerdings nicht. Die Rechtslage nach dem DPA Kenias ist ähnlich wie nach der DSGVO: Daten über Religion sind besonders schutzbedürftig, Religionsgemeinschaften dürfen sie nur dann wie normal schutzbedürftige Daten verarbeiten, wenn es sich um Mitglieder oder regelmäßig aus religiösen Gründen in Kontakt mit der Organisation stehende Personen handelt und die Daten nicht veröffentlicht werden (§ 45 DPA). (Im Vergleich zu Art. 9 Abs. 2 lit. d) DSGVO fehlen die ehemaligen Mitglieder in der Aufzählung.)
Auf Artikel 91
Aus der Welt
- Die EU-Kommission schlägt eine veränderte Fristenberechnung für die DSGVO und Meldungen von Datenschutzverletzungen vor. Carlo Piltz erläutert die Details: Der Friststart am Folgetag statt wie bisher zur Folgestunde verlängert Reaktionszeiten. Eine interessante Nebenfolge: Der Fristbeginn mit Beginn des Folgetags entspricht der kanonischen Fristberechnung aus c. 203 § 1 CIC. Würde der Vorschlag umgesetzt, fiele die Unsicherheit weg, ob Meldefristen im KDG europarechtskonform oder kirchenrechtskonform berechnet werden müssen.
Kirchenamtliches
- Bistum Fulda: Interne Meldestelle nach dem Hinweisgeberschutzgesetz, Hinweisgeberschutz – Verfahrensbeschreibung, Datenschutzinformation gem. §§ 14, 15 KDG im Rahmen der Umsetzung des Hinweisgeberschutzgesetz
- Bistum Passau: Änderung der Ordnung bzgl. Auskunftsund Einsichtsrechte in Sachakten
- Bistum Münster: Ordnung zum Betrieb einer Meldestelle für den nordrhein-westfälischen Teil des Bistums Münster (Hinweisgebersystem)
- Offizialat Vechta: Verordnung zur Durchführung des Gesetzes zur Regelung des Rechtsinstruments nach § 29 Gesetz über den Kirchlichen Datenschutz (KDG) im Bereich der Römisch-Katholischen Kirche im Oldenburgischen Teil der Diözese Münster vom 1. Januar 2020
- Nordkirche: Verwaltungsvorschrift zur Verwaltungsvereinfachung und zur Erleichterung der elektronischen Kommunikation
- Bistum Aachen: Benutzungsordnung für das Bischöfliche Diözesanarchiv Aachen
- Erzbistum Köln: Ordnung zum Betrieb einer internen Meldestelle im Erzbistum Köln (MeldeStO)