Reformvorhaben – Wochenrückblick KW 6/2024

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wochenrückblick Kirchlicher Datenschutz KW 6/2024
(Bildquelle: ali syaaban on Unsplash)

Die Woche im kirchlichen Datenschutz

Leitplanken für den Umgang mit KI in der Kirche

Ralf Peter Reimann hat zehn sehr praxisnahe Leitplanken für den Umgang mit KI in der Kirche formuliert. Zum Thema Datenschutz benennt er den unbefriedigenden Status quo: Kommerzielle Anbieter von Large Language Models bieten derzeit noch keine Möglichkeit zur Auftragsverarbeitung an, außerdem ist unklar, wie Nutzereingaben weiterverarbeitet werden. Die Konsequenz überzeugt, so einschränkend sie auch ist: »Personenbezogene Daten dürfen nicht eingegeben werden.« (Nicht erwähnt werden Tools über Large Language Models wie ChatGPT hinaus, also etwa automatische Übersetzungen und KI-Funktionen in Bildbearbeitungen. Hier gilt das gleiche: Auftragsverarbeitung oder keine personenbezogenen Daten verarbeiten.)

Gesetzesentwurf zur BDSG-Reform veröffentlicht

Die Bundesregierung hat ihren Gesetzesentwurf für die Änderung des BDSG beschlossen und veröffentlicht. Im vergleich zum hier schon analysierten Referentenentwurf hat sich mit Blick auf den kirchlichen Datenschutz nichts geändert. Insbesondere die Institutionalisierung der DSK bleibt so schwach wie geplant. Neu ist, dass in der Begründung ausdrücklich auf die weiterhin fehlende Einbeziehung der spezifischen Aufsichten eingeht: »Durch den ausdrücklichen Verweis auf § 18 Absatz 1 Satz 1 wird zudem dem Status Quo Rechnung getragen, dass sich die DSK nur aus den allgemeinen Datenschutzbehörden zusammensetzt und sich auch § 16a deshalb nicht auf spezifische Aufsichtsbehörden (wie z.B. solche des § 18 Absatz 1 Satz 2 i. V. m. Artikeln 85 und 91 der Verordnung (EU) 2016/679) erstrecken soll.« Ein neuer § 37a regelt umfassend Scoring; unter anderem wird die Verwendung von besonderen Kategorien personenbezogener Daten für die Errechnung von Scores ausnahmslos ausgeschlossen; in Art. 22 Abs. 4 DSGVO wird dagegen eine Einbeziehung bei Einwilligung oder gesetzlicher Grundlage ermöglicht. Das KDG übernimmt in § 24 KDG den Art. 22 DSGVO weitgehend, das DSG-EKD hat keine Regelungen zu automatisierten Entscheidungen – mit beiden kirchlichen Gesetzen könnten dementsprechend besondere Kategorien, etwa zu religiösen Überzeugungen, nach weniger restriktiven Kriterien in Scorings einfließen als nach dem geplanten BDSG. (Weitere Details bei Carlo Piltz.)

KDSZ Bayern auf Mastodon

Als erste kirchliche Aufsicht ist das KDSZ Bayern auf Mastodon vertreten. Seit einer Woche ist der Account @kdsz_bayern@kirche.social aktiv. Angekündigt hatte DDSB Dominikus Zettl das schon hier in seinem ersten Interview. Wieder einmal zeigt sich, wie wichtig die Mastodon-Instanz kirche.social (auch dazu gab’s ein Interview mit den Machern) für kirchliche digitale Infrastruktur ist – und das alles ehrenamtlich und gemeinnützig.

Rückmeldungen zur DSGVO-Evaluierung

Am Donnerstag lief die Frist für die Beteiligung am zweiten Bericht über die Datenschutz-Grundverordnung der EU-Kommission ab. Insgesamt sind über 200 Eingaben eingegangen. Ausdrücklich mit Fragen des Art. 91 DSGVO befasste sich neben meiner eigenen Einreichung, deren Entwurf bereits hier vorab vorgestellt wurde, bislang nur eine. Der Sprecher der AG Datenschutz der Vereinigung Evangelischer Freikirchen kritisiert (als EU-Bürger, nicht im Namen der AG) die Stichtagsregelung und die unklare Auslegung von »umfassend« (F3454103).

Auffällig ist, dass gleich mehrere Eingaben aus verschiedenen Ländern Datenschutzdefizite bei den Zeugen Jehovas monierten. Drei Rückmeldungen kommen aus Polen (F3451691, F3451726, F3451582), je eine aus Australien (F3451524) und Großbritannien (F3453369) mit Bezug auf Fälle in verschiedenen nicht nur europäischen Ländern sowie eine aus Schweden (F3452664). Geklagt wird über mutmaßliche Defizite hinsichtlich Datenspeicherung, Betroffenenrechten, Drittlandübertragungen und die Erfassung und Verwendung von personenbezogenen Daten von Mitgliedern, ehemaligen Mitgliedern und Dritten für die Zwecke der Religionsgemeinschaft. Deutliche und belegte Kritik insbesondere am eigenen Datenschutzrecht der Zeugen Jehovas in Deutschland äußert der deutsche Aussteiger-Verein JZ Help (F3454188).

Auskunftsrechte gegenüber Zeugen Jehovas

Bereits im Januar entschied der Supreme Court of British Columbia (Vabuolas v. British Columbia (Information and Privacy Commissioner), Az. 2024 BCSC 27), dass die Zeugen Jehovas datenschutzrechtliche Auskunftsrechte nicht mit Verweis auf die Religionsfreiheit ablehnen können. Zwei ehemalige Mitglieder hatten Auskunft über sie gespeicherte Daten begehrt, die Gemeinschaft lehnte dies ab mit der Begründung, dass es sich um vertrauliche religiöse Kommunikation handle. Das Gericht stellte fest, dass die Auskunftsrechte die Religionsgemeinschaft zwar tatsächlich in ihren Rechten einschränke, diese Einschränkung sei aber in einer freien und demokratischen Gesellschaft angemessen gerechtfertigt (»reasonably justified«). (Auf die Entscheidung wurde ich durch jz.help aufmerksam.)

Auf Artikel 91

  • Im aktuellen Tätigkeitsbericht des LfDI Baden-Württemberg gibt es einen Beratungsfall, der auch für die kirchliche Jugendarbeit sehr relevant ist: Ein Verein fragte an, ob er die Teilnahme an Jugendlagern von der Mitteilung von Krankheiten und einzunehmenden Medikamente abhängig machen könne, was datenschutzrechtlich einer Einwilligung (der erziehungsberechtigten Personen) bedurfte. Der LfDI sieht diese Koppelung von Anmeldung und Einwilligung als zulässig an: ». So war im Fall der Durchführung eines Zeltlagers – wenn die Datenerhebung mit Blick auf die mögliche Haftungssituation der Betreuer schon nicht als erforderlich anzusehen war – in jedem Fall aber nach wertender Betrachtung die Einwilligung als freiwillig anzusehen, insbesondere da diese auch im Interesse der betroffenen Personen ist.«
  • Unter den vielen Stellungnahmen zur DSGVO-Evaluierung sticht die des Deutschen Juristinnenbunds (F3454153) heraus: Sie analysiert gesellschaftliche Probleme, die aus Targeting von Social-Media-Inhalten entstehen und findet dafür eine inhaltsneutrale Lösung. Außerdem wird die Einführung eines neuen Prinzips »Equality by Design« gefordert, um den Digital Gender Gap zu schließen.
  • Beim Festakt zum 50-jährigen Jubiläum des rheinland-pfälzischen Landesdatenschutzesgesetzes hielt Adrian Lobe die Festrede: »Angesichts des enormen Ressourcenverbrauchs von Rechenzentren und KI-Systemen […] müssen wir als Gesellschaft auch über so etwas wie eine Ökologie der Information diskutieren: einen verantwortungsvollen und maßvollen Medienkonsum […]. Vor allem, so scheint mir, braucht es ein Bewusstsein dafür, dass Datenschutz keine Gängelei ist, sondern eine freiheitseröffnende Funktion hat.«

Kirchenamtliches

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert