Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Woche im kirchlichen Datenschutz
Alle drei Monate ein Zwischenstand von der Aufsicht
Die erste Entscheidung des IDSG zu einer Untätigkeitsklage gegen eine Datenschutzaufsicht wurde veröffentlicht (IDSG, Beschluss 06/2020 vom 15. Juli 2022). Der Kläger hatte gegen die Aufsicht vorgebracht, dass sie auf seine Eingabe von Datenschutzverletzungen an seinem Arbeitsplatz am 4. September 2019 nicht innerhalb von drei Monaten einen Bescheid oder eine Nachricht über den Stand der Beschwerde erhalten habe. Die Aufsicht hatte am 4. Dezember eine Zwischenmitteilung an den Kläger geschickt. Damit wurde die Drei-Monats-Frist am letztmöglichen Tag gewahrt. Bemerkenswert (und zweifelhaft) ist, dass das IDSG als kirchliches Gericht die Fristberechnung gemäß BGB und nicht gemäß CIC vornimmt, auch wenn das in diesem Fall keinen Unterschied bedeutet. Obwohl die erste Frist eingehalten wurde, stellt das IDSG eine Datenschutzverletzung fest, da innerhalb der durch die Zwischenmitteilung neu laufenden Frist von weiteren drei Monaten keine weitere Mitteilung erfolgte. Heißt: Mit jeder Zwischenmitteilung beginnt eine neue Dreimonatsfrist, die Aufsicht muss also längstens alle drei Monate über den Stand von Beschwerden informieren, und zwar bis zu einem Bescheid.
Keinen Erfolg hatte der Kläger mit seinem Begehren, dass das Gericht allgemeine Datenschutzverletzungen an seiner Arbeitsstätte feststellen soll. Da er nur auf Datenschutzverletzungen hingewiesen hat, bei denen er aber nicht selbst Betroffener ist, führt dazu, dass er keine Antragsbefugnis hat: Nur Betroffene können sich ans Gericht wenden, um Datenschutzverletzungen festzustellen. Es genüge nicht, dass das Abstellen der Datenschutzverletzungen im Betrieb auch ihm zugute kommen würde.
Betriebliche Datenschutzbeauftragte als MAV-Vorsitzende
In der aktuellen Ausgabe der ZMV übt Matthias Ullrich deutliche Kritik am Urteil des BAG zur Inkompatibilität von Betriebsratsvorsitz und der Bestellung zum betrieblichen Datenschutzbeauftragten. Für den kirchlichen Bereich sieht er eine derartige Inkompatibilität nicht als gegeben an. In § 36 Abs. 7 KDG sowie § 36 Abs. 4 DSG-EKD wird geregelt, wer nicht zum betrieblichen bzw. örtlichen Datenschutzbeauftragten bestellt werden soll. Das ist in beiden Gesetzen, wer mit der Leitung der Datenverarbeitung beauftragt ist oder dem die Leitung der kirchlichen Stelle obliegt. »Es ist deshalb davon auszugehen, dass der Normgeber hier Klarheit schaffen und den Kreis der für das Amt des betrieblichen Datenschutzbeauftragten nicht in Frage kommenden Personen abschließend regeln wollte«, so Ullrich.
Im Ergebnis hält er das BAG-Urteil im kirchlichen Bereich nicht für anwendbar: Betriebliche Datenschutzbeauftragte können daher nach seiner Auffassung auch MAV-Vorsitzende sein. Für den katholischen Bereich gibt es noch ein kirchenrechtliches Argument für Ullrichs Position, auf das er nicht eingeht: Der Grundsatz, dass Rechte einschränkende Gesetze einer engen Auslegung unterliegen, ist in c. 18 CIC ausdrücklich normiert. Damit ist die Einschränkung des passiven Wahlrechts durch § 36 Abs. 7 KDG eng auszulegen.
EU-Bischofskonferenzen zum Entwurf des AI Acts
Die Ethik-Kommission der COMECE hat den Entwurf des EU-AI-Acts als »einen wirklichen Ansatz, um die Zukunft der digitalen Welt in einer auf den Menschen ausgerichteten und verantwortungsvollen Weise zu gestalten«, gewürdigt. Die EU-Bischofskonferenzen heben in ihrer Stellungnahme insgesamt elf Kriterien hervor, die an Künstliche Intelligenz angelegt werden sollen. Die Kriterien dürften größtenteils Konsens sein. Auf biometrische Überwachung geht die Stellungnahme aber nicht ausdrücklich ein. In besonderer Weise christlich inspiriert ist die Betonung der Sozialprinzipien Menschenwürde, Gemeinwohl, Subsidiarität, Solidarität und Gerechtigkeit. Mit der Forderung, KI nicht menschenähnlich zu machen, ist wohl nicht nur eine oberflächliche Darstellung gemeint, sondern unter anderem Bestrebungen, eine besondere Rechtspersönlichkeit für autonome Systeme einzuführen – dazu hatte die COMECE bereits 2019 ein Papier veröffentlicht.
Keine umfassenden Registerdaten für reformierte Kirche in Fribourg
Die evangelisch-reformierte Kirche im Schweizer Kanton Fribourg bekommt keine umfassenden Personendaten aus dem staatlichen Personenstandsregister. Das Schweizer Bundesgericht hat die Berufung der Kirche gegen eine Entscheidung des kantonalen Verwaltungsgerichts zurückgewiesen (Bundesgericht, Urteil vom 19. Januar 2024, Az. 1C_442/2023). Damit erhält die Kirche nur wenige Personenstammdaten wie Name und Adresse. Wichtig wäre ihr vor allem gewesen, die AHV-Nummer zu bekommen, eine eineindeutige staatlich zugeteilte Identifikationsnummer. Die Vorinstanz hatte entschieden, dass die umfangreichen Daten nicht zur Aufgabenerfüllung der Kirche erforderlich seien; daher hatte die Kirche in ihrer Berufung vor allem vorgebracht, dass sie durch diese Feststellung in ihrer gesetzlich garantierten Autonomie eingeschränkt werde. Dieser Argumentation folgte das Bundesgericht nicht. Die Rechtslage sei eindeutig: »Nur gesetzlich festgelegte Behörden, Organisationen und Personen sind berechtigt, die AHV-Nummer systematisch zu verwenden«, und dazu gehöre die Kirche nicht.
Bemerkenswert ist, dass die katholische Kirche die von der reformierten Kirche gewünschten Daten bekommt. »Wir freuen uns für sie, dass sie nicht mit denselben Problemen kämpfen muss, um mit den Daten zu arbeiten«, kommentierte das ein Sprecher der Reformierten gegenüber den Freiburger Nachrichten. Mit der Entscheidung des Bundesgerichts ist der Rechtsweg ausgeschöpft. »Wir sind zwar sehr enttäuscht, da es für uns schwieriger wird, die Bedürfnisse und Erwartungen unserer Mitglieder zu erfüllen. Aber wir werden unsere rechtlichen Bemühungen einstellen und mit den Daten arbeiten, die uns zur Verfügung stehen«, so der Sprecher weiter.
Auf Artikel 91
- Strategien für gesetzübergreifende gemeinsame Verantwortlichkeit
- Kündigung nach Kirchenaustritt – mit Steuerdaten?
Aus der Welt
- Die Berliner Landesdatenschutzbeauftragte hat sich zur Herausgabe von Mitgliederlisten von Vereinen geäußert. Hintergrund ist ein Streit im CSD-Trägerverein. Der Vorstand möchte die sensiblen Mitgliederdaten nicht an Mitglieder herausgeben, die damit das Quorum für eine außerordentliche Mitgliederversammlung erreichen wollen. (Queer.de berichtet über Hintergründe und Reaktionen.) Relevant ist die Mitteilung der Aufsicht, die auch Lösungsansätze nennt, auch im kirchlichen Datenschutz: »Gerade bei Vereinen, deren Mitgliedschaft u. a. Rückschlüsse auf politische Meinungen, die Gesundheit, religiöse oder weltanschauliche Überzeugungen, die sexuelle Orientierung oder auch die Zugehörigkeit zu einer Gewerkschaft ziehen lassen, ist die Datenweitergabe nach der DSGVO grundsätzlich untersagt.« Zwar ist die Kirchenmitgliedschaft nach KDG und DSG-EKD gerade kein sensibles Datum, wohl aber Daten über religiöse Überzeugungen – und da hat das DSG-DBK in seiner Entscheidung zur Katholischen Integrierten Gemeinde schon vorgespurt, dass es durchaus in einer Vereinsmitgliedschaft ein Datum über religiöse Überzeugungen sehen könnte.
Kirchenamtliches
- Evangelisch-Lutherische Landeskirche Sachsens: Rechtsverordnung zum Schutz von Daten bei der Führung von Personalakten in der Ev.-Luth. Landeskirche Sachsens (Personalaktenverordnung – PAVO)
- IDSG: Beschluss 06/2020 vom 15. Juli 2022
Pingback: Woran wir gerade arbeiten - März 2024 | Clearingstelle Medienkompetenz