Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Woche im kirchlichen Datenschutz
Leck bei Kita-App »Stay Informed«
Die Kita-App Stay Informed, die auch von vielen Kitas in konfessioneller Trägerschaft eingesetzt wird, hatte ein Datenleck, das Heise ans Licht gebracht hat – immerhin wurde es anscheinend schnell behoben. Die Einrichtungen setzen die App per Auftragsverarbeitung ein und sind damit selbst für Datenpannen-Meldungen verantwortlich. Als erste kirchliche Aufsicht hat der BfD EKD über die Sicherheitslücke informiert. Er bittet um Sammelmeldungen der jeweiligen übergeordneten Stelle oder des örtlichen BfD. Auf katholischer Seite informierte zuerst das KDSZ Frankfurt; auch hier wird um Sammelmeldungen gebeten. Außerdem stellt die Aufsicht für die Südwest-Bistümer umfangreiche Informationen zu dem Leck vor.
Die KDSA Nord empfiehlt eine Prüfung, wie die App eingesetzt wurde. Je nach Umfang der Nutzung könne eine vorübergehende Einschränkung der Nutzung bis zum Abschluss der vollständigen Untersuchung in Betracht kommen. Die zweite evangelische Aufsicht, der DSBKD, geht noch weiter als die anderen in seinen Handlungsanweisungen: »Betroffene verantwortliche Stellen in Kirche und Diakonie müssen die Nutzung der betreffenden App umgehend einstellen, bis eine Unbedenklichkeitsbestätigung von unabhängiger Seite die Nutzung wieder möglich macht. Selbstauskünfte oder Zusicherungen des Anbieters allein reichen nicht aus.«
Bundesrat beschließt Stellungnahme zum BDSG
Die vielen Proteste hatten Erfolg: Der Bundesrat hat seine Stellungnahme zur Reform des BDSG verabschiedet, und zwar ohne die Empfehlung einer Streichung von § 38 BDSG. Der Innenausschuss wollte in seiner Vorlage die Bestellpflicht von betrieblichen Datenschutzbeauftragten abschaffen. Unverändert ist die Empfehlung zur Behandlung von öffentlich-rechtlich verfassten Religions- und Weltanschauungsgemeinschaften ohne eigenes Datenschutzrecht geblieben: Die sollen künftig nach dem Willen der Länderkammer wie nicht-öffentliche Stellen behandelt werden, damit ist dann auch in Bayern klar, ob und welche Aufsicht zuständig ist. Leider wurde der Fehler in der Empfehlung nicht korrigiert: Weiterhin wird nicht auf das Fehlen einer eigenen Aufsicht gemäß Art. 91 Abs. 2 DSGVO abgehoben, sondern auf das Fehlen eigenen Datenschutzrechts nach Art. 91 Abs. 1 DSGVO. Sollte das so Gesetz werden, bleibt für Religionsgemeinschaften mit eigenem Datenschutzrecht, aber ohne eigene Aufsicht weiter eine Lücke.
Kirchliche Datenschutzgerichte in der Kritik
In der Neuen Zeitschrift für Verwaltungsrecht haben Martin Pusch und Philipp Schenke einen bemerkenswerten Beitrag zur kirchlichen Datenschutzgerichtsbarkeit veröffentlicht (NVwZ 6/2024, 390–396). Beide sind Anwälte in der Kanzlei Westpfahl Spilker Wastl, die unter anderem für das Missbrauchsgutachten der Erzdiözese München und Freising verantwortlich ist. Sie äußern deutliche Zweifel daran, ob die kirchliche Datenschutzgerichtsbarkeit in dieser Form zulässig ist. Ein Argument: Wenn schon die kirchliche Datenschutzaufsicht in Art. 91 Abs. 2 DSGVO ausdrücklich als zulässig normiert wird, hätte erst recht eine kirchliche Datenschutzgerichtsbarkeit normiert werden müssen. Dazu kommen Kritik an der Rechtsdurchsetzungsfährigkeit, der Unabhängigkeit der Gerichte und der Zuständigkeit nicht nur für rein innerkirchliche Angelegenheiten. Die rechtlichen Argumente lassen sich hören – indes: Die Kirchen selbst werden auf sie nicht hören, und deutsche staatliche Gerichte neigen in der Regel dazu, das kirchliche Selbstverwaltungsrecht eher extensiv auszulegen, wie auch die unten besprochene Entscheidung zeigt.
Wichtig ist der Beitrag, weil er die Perspektive von Betroffenen sexualisierter Gewalt aufnimmt: »Soweit [Missbrauchsbetroffene] ihre datenschutzrechtlichen Betroffenenrechte gegenüber den kirchlichen Institutionen geltend machen wollen, bedeutet dies eine oft nur schwer zu ertragende (zusätzliche) Konfrontation mit kirchlicher Autorität.« Das ist eine Wahrnehmung, die ich auch aus eigenen Gesprächen mit Betroffenen bestätigen kann. Aus Sicht von Pusch und Schenke sei es dringend geboten, dass die Kirchen in solchen Fällen auf den eigenen Rechtsweg in Datenschutzangelegenheiten verzichten.
LAG Baden-Württemberg zum Verhältnis von kirchlichem und staatlichem Datenschutz
Wieder einmal sorgt das im DSG-EKD nicht ausdrücklich normierte Recht auf Kopie für Streit. In dem Fall, über den das LAG Baden-Württemberg entschieden hat (Urteil vom 27. Oktober 2023 – 7 Sa 35/23) und dessen Revision noch beim BAG (AZ. 8 AZR 42/24) anhängig ist, geht es um die Herausgabe einer Kopie des Protokolls einer Sitzung des Kirchengemeinderats. Streitig war unter anderem, ob die Klägerin sich auf die DSGVO berufen kann oder das DSG-EKD zur Anwendung kommt. Das LAG stellt fest: »Das kirchliche Selbstverwaltungsrecht umschließt die Befugnis, Möglichkeiten zu schaffen, innerkirchliche Streitigkeiten in Einklang mit dem kirchlichen Selbstverständnis durch die Anrufung eigener Gerichte oder Schlichtungsgremien beizulegen.« Außerdem äußert sich das Gericht zur Frage des Einklangs von kirchlichem Datenschutzrecht und DSGVO: »Eine vollständige Identität des kirchlichen Datenschutzgesetzes (DSG-EKD) mit der DSGVO entspräche nicht der Kirchenklausel in Art. 17 Abs. 1 AEUV und würde die Vorschrift des Art. 91 Abs. 1 DSGVO überflüssig machen.«
Ursprünglich hatte das LAG die Revision nicht zugelassen. Nach erfolreicher Nichtzulassungsbeschwerde steht nun ein erstes höchstrichterliches Urteil an – mit gewisser Wahrscheinlichkeit dürfte das BAG, wenn es die Frage nach dem Verhältnis von kirchlichem Datenschutz und DSGVO anders als das LAG als entscheidungserheblich betrachtet, auch dem EuGH vorlegen. Und dann wird es wirklich spannend, wenn sich der EuGH erstmals zu Art. 91 DSGVO äußern wird.
Datenschutz im Bistum Basel
Ein halbes Jahr nach Inkrafttreten des neuen Schweizer Datenschutzgesetzes hat das Bistum Basel umfangreiche Hilfestellungen und Formulare zum Datenschutz veröffentlicht. Ein guter Einstieg in die zehn online unter dem Schlagwort Datenschutz abrufbaren Dokumente sind die FAQ-Liste und die Grundlagen für Pfarreien im Bistum Basel. Sehr hilfreich ist, dass das Kirchenrecht im Blick ist. Die Handreichung zu Pfarreibüchern ist dadurch auch sehr gut als Basis für die Ermittlung von kirchlichen Rechtsgrundlagen zur Verarbeitung in der Pfarrei zu verwenden.
In eigener Sache
- Am 5. Juni, 16.30 bis 18.30 Uhr biete ich wieder für JHD.Bildung ein Online-Seminar zu Kirchlichem Datenschutz allgemein und in den sozialen Netzwerken an. (Anmeldung bis 22. Mai bei JHD.Bildung, 20 Euro.)
- Bei den Praxistagen Datenschutz & Informationssicherheit von Althammer & Kill vom 4. bis 6. September bin ich wieder als Referent dabei, dieses Mal voraussichtlich zum neuen DSG-EKD. (Anmeldung bei Althammer & Kill, 850 Euro, Frühbucherrabatt bis 31. Mai.)
Auf Artikel 91
Aus der Welt
- Das BSI hat einen Standard für die Zertifizierung für Online-Wahlprodukte für nichtpolitische Wahlen veröffentlicht. Digitale Wahlen sind in einen Bistümern und Landeskirchen schon für Kirchenvorstände und Gemeinderäte üblich, in Vereinen und Verbänden gibt es auch immer mehr digitale Versammlungen und Abstimmungen – hoffentlich bald mit zertifizierter Sicherheit.
Kirchenamtliches
- KDSA Ost
- BfD EKD: Sicherheitslücke bei der KiTa-App Stay Informed aufgedeckt
- KDSZ Frankfurt: Sicherheitslücke bei der KiTa-App „Stay Informed“ aufgedeckt (März 2024)
- KDSA Nord: Sicherheitslücke bei der KiTa-App Stay Informed
- DSBKD: Datenschutzvorfall – Stay Informed (früher: Kita-Info-App und Schul-Info-App)