Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Woche im kirchlichen Datenschutz
BYOD-Regeln für das Bistum Würzburg
Das Bistum Würzburg setzt im aktuellen Amtsblatt eine »Regelungsabrede zur Zahlung eines Aufwendungsersatzes bei Nutzung privater Endgeräte zu dienstlichen Zwecken im Rahmen mobilen Arbeitens« in Kraft. Anders als der Titel es andeutet, geht es nicht nur um den Aufwendungsersatz, sondern auch um Regelungen zur dienstlichen Nutzung privater Endgeräte. Darin werden klar die Rechte des Dienstgebers (zum Beispiel eine Fernlöschung dienstlicher Daten bei Verlust) und Pflichten von Beschäftigten benannt (zum Beispiel die Nutzung des Diözesannetzes und die lokale Speicherung dienstlicher Daten ausschließlich auf externen, vom Bistum zur Verfügung gestellten verschlüsselten Speichermedien). Dabei werden auch Fragen wie der Umgang mit privaten Telefonnummern thematisiert und handhabbar gelöst. Insgesamt wirkt das praktikabel und vollständig und damit als gute Vorlage, um eigene Bring-your-own-device-Regelungen zu entwerfen.
Hannoversche Kirchenkreise müssen örtlich Beauftragte nicht mehr selbst beschäftigen
Die Landeskirche Hannover weitet die Möglichkeit zur Bestellung von örtlichen Beauftragten für den Datenschutz ein wenig aus. In der »Rechtsverordnung über die Bestellung von örtlich Beauftragten für den Datenschutz« wird die Einschränkung gestrichen, dass nur Beschäftigte der an der Bestellung beteiligten Kirchenkreise oder ihrer Einrichtungen zum örtlichen Beauftragten bestellt werden dürfen, geht aus dem neuen Amtsblatt hervor. Neu lautet die Regelung: »Zur oder zum örtlich Beauftragten für den Datenschutz darf nur bestellt werden, wer Mitarbeiterin oder Mitarbeiter in einer kirchlichen Körperschaft ist, die zu einer Gliedkirche der Evangelischen Kirche in Deutschland gehört.« Das dürfte es für Kirchenkreise erheblich erleichtern, dass sie künftig nicht selbst jemanden beschäftigten müssen mit der entsprechenden Befähigung. Externe örtliche Beauftragte bleiben aber weiter außen vor.
Liste der spezifischen Aufsichten verzögert sich
Die DSK hat das Protokoll ihres Austauschtreffens mit den spezifischen Aufsichten im November veröffentlicht. Auf Nachfrage des BfD EKD prognostizierten der Vorsitz (Schleswig-Holstein) und der BfDI, dass sie bis spätestens Anfang 2024 mit einem Entwurf für ein Beschäftigtendatenschutzgesetz rechnen. Das Projekt, die beim BfDI angesiedelte zentrale Anlaufstelle ZaSt mit einer Sammlung aller Kontakte spezifischer Aufsichten zu betrauen, scheint auf Probleme gestoßen zu sein: Ohne Details zum »weiteren Klärungsbedarf« zu nennen, der nach der Sitzung aufgekommen sei, wird das Thema auf die 1. Zwischenkonferenz 2024 vertagt. Der BfD EKD und die katholische Datenschutzkonferenz (vertreten durch den bayerischen DDSB) haben den Wunsch nach einem Gaststatus je eines katholischen und evangelischen Vertreters in den Konferenzen der DSK geäußert. »Im Ergebnis wird die Prüfungsbitte aufgenommen«, heißt es zum Schluss.
Ab wann beziehen sich Daten auf religiöse Überzeugungen?
Dr. Datenschutz widmet sich den sensiblen Daten nach Art. 9 DSGVO. Dazu gehören auch Daten über religiöse und weltanschauliche Überzeugungen. Damit sei »die Konfessionszugehörigkeit oder die Mitgliedschaft in einer Sekte« gemeint, der »bloße Austritt aus der Staatskirche« (warum wird dieser in weiten Teilen des DSGVO-Geltungsgebiets inkl. Deutschlands irrelevante Fall aufgezählt?) sei nicht erfasst, ebenso wenig wie das »Tragen eines Kleidungsstücks, beispielsweise mit satanistischem Motiv«. So nützlich und zutreffend der Artikel ansonsten ist, ist das doch sehr verkürzt. Nach herrschender Meinung umfasen Daten über religiöse und weltanschauliche Überzeugung weit mehr als die Mitgliedschaft – wie schon der Wortlaut nahelegt.
Weichert (nicht bekannt für extensive religionsgemeinschaftsfreundliche Auslegungen) kommentiert im Kühling/Buchner (Art. 9, 4. Auflage, RN 28): »Zielrichtung ist die reine Überzeugung und deren Betätigung. Die Überzeugung kann auch durch Kleidung oder durch Gegenstände zum Ausdruck kommen.« Im KDG-Kommentar von Sydow führt Herrlein (§ 4, RN 9) aus: Bei der Begriffsbestimmung könne »auf den grundrechtlichen Begriff der Religionsfreiheit zurückgegriffen werden. Der Verarbeitung entzogen sind mithin personenbezogene Daten, aus deren Inhalt die innere religiöse Haltung oder die äußere Betätigung des freien Glaubens hervorgeht.«
Angesichts der extensiven Auslegung des EuGH im Fall von aus Angaben zu Ehepartner*innen abgeleiteten Schlüssen auf die sexuelle Orientierung (die der Artikel erwähnt), sollte man sich von der bei Dr. Datenschutz vertretenen engen Auslegung nicht in Sicherheit wiegen lassen: Bestenfalls dann, wenn aus Bildern religiöse Überzeugungen ersichtlich zu sein scheinen (etwa durch Kopftuch, Kippa oder Habit), sollte man sich darauf berufen, dass keine sensiblen Daten verarbeitet werden und den Hinweis aus dem Artikel entsprechend verstehen: »Bei der Verarbeitung von Daten über das Tragen von Kopftüchern, der Kippa oder eines Rosenkranzes kommt es darauf an, wie diese Daten ausgewertet werden sollen.« Eine Datenbank oder ein Formular, das diese Daten verarbeitet, fällt unter Art. 9, ein Foto, auf dem sie zu sehen sind, nicht notwendig.
Recht auf Kopie der Patient*innen-Akte
»Kopien der Patientenakte gibt es künftig gratis ‒ gilt dies auch für kirchliche Krankenhäuser?«, fragt der Chefärzte-Brief. Hintergrund ist die Entscheidung des EuGH, dass das kostenlose Recht auf Kopie aus der DSGVO Vorrang vor dem nationalen entgeltlichen Auskunftsanspruch des BGB hat. Das Recht auf Kopie ist in § 17 Abs. 3 KDG festgeschrieben, damit entspricht die katholische Rechtslage der DSGVO, es besteht ein unentgeltliches Recht auf Kopie der Patient*innen-Akte. (Das schreibt die KDSA Ost zwar nicht explizit, wenn man es dort anders sehen würde, hätte man es wohl erwähnt.) Im DSG-EKD, das kein explizites Recht auf Kopie kennt, ist es schwieriger. Dennoch kommt der Chefärzte-Brief hier unter Verweis auf das Einklang-Erfordernis zum Schluss, dass ein Fehlen eines Rechts auf Kopie das Schutzniveau unzulässig senken würde: »Art. 15 DSGVO sollte deshalb im Zusammenhang mit der hier interessierenden Frage, ob Patienten auch in Gesundheitseinrichtungen der evangelischen Kirchen einmal Anspruch darauf haben, Kopien aus ihrer Patientenakte umsonst zu erhalten, zur Anwendung kommen.« Ein Recht auf Kopie auf dem Weg der Auslegung ins DSG-EKD zu bringen, ist mittlerweile auch durch kirchliche Gerichte erfolgt.
Auf Artikel 91
Aus der Welt
- Der Datenverarbeitung auf Grundlage eines berechtigten Interesses können Betroffene widersprechen – wenn sie Gründe vorbringen, »die sich aus ihrer besonderen Situation ergeben«. Wann solche Gründe vorliegen, geht aus der DSGVO nicht hervor. Carlo Piltz führt Beispiele aus der Rechtsprechung an, die bei der Bewertung helfen. Die Problematik besteht aufgrund gleicher Formulierung auch im KDG und im DSG-EKD. Im evangelischen Datenschutzrecht ist die Frage besonders relevant: Denn dort gibt es kein unbedingtes Widerrufsrecht bei Direktwerbung (und damit auch Fundraising).
- Eine sehr nützliche Übersicht über Praxisratgeber für Datenschutz in Vereinen gibt es bei Dr. Datenschutz. Leider gibt es noch keinen Vereinsratgeber von kirchlichen Aufsichten (oder Kirchenbehörden), die Arbeitshilfe des BDKJ (an der ich mitgearbeitet habe), wurde seit 2019 nicht aktualisiert. Mit den hier gesammelten Materialien sollte man aber auch im kirchlichen Datenschutz weit kommen.
Kirchenamtliches
- Bistum Würzburg: Regelungsabrede zur Zahlung eines Aufwendungsersatzes bei Nutzung privater Endgeräte zu dienstlichen Zwecken im Rahmen mobilen Arbeitens
- Evangelisch-Lutherische Landeskirche Hannovers: Rechtsverordnung zur Änderung der Rechtsverordnung über die Bestellung von örtlich Beauftragten für den Datenschutz