Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Woche im kirchlichen Datenschutz

Streit um Fristen für Aufsichts-Zwischenstände

Auf Anfrage teilte mir das Katholische Datenschutzzentrum Frankfurt mit, um welches Verfahren vor dem DSG-DBK es im aktuellen Tätigkeitsbericht geht: die Entscheidung IDSG 06/2020, die hier bereits besprochen wurde. Das Aktenzeichen der zweiten Instanz ist DSG-DBK 05/2022. Das IDSG hatte entschieden, dass mit jedem Zwischenstand über den Stand einer Beschwerde eine neue Dreimonatsfrist beginnt, innerhalb derer ein Zwischenstand mitzuteilen ist. Heißt: Wenn das DSG-DBK die erste Instanz bestätigt, müssen kirchliche Aufsichten künftig spätestens alle drei Monate über den gegenwärtigen Stand von Beschwerden informieren. Das wäre in der Tat Mehrarbeit für die Behörden – aber ein Gewinn für Beschwerdeführende. (Immer wieder teilen mir Beschwerdeführende ihre Unzufriedenheit darüber mit, wie lange Beschwerdeverfahren dauern – verständlich angesichts der Ressourcen der Aufsicht, aber auch verständlich unbefriedigend.)

Erste Publikationen zum Vatikan-Datenschutzgesetz

Das Datenschutzgesetz des Vatikanstaats wurde hier schon ausführlich besprochen. In der ZD Aktuell gibt Michaela Hermes (die zu kirchlichem Datenschutzrecht promoviert hat) einen Überblick zum »Regolamento Generale sulla protezione dei Dati personal«. Wie schon in meiner Analyse sieht auch sie die Rechtsgrundlange der »sittlichen Verpflichtung« kritisch. Ihre Auslegung lasse »obwohl an das geltende Recht des Staates Vatikanstadt rückgebunden, […] eine gewisse Unschärfe zu«. Im Ergebnis kommt sie aber zu dem Schluss, dass ein gutes Schutzniveau bestehe – mit der wichtigen Einschränkung, dass das Gesetz nur für den Vatikanstaat, nicht für die Kurie gilt. Auf LinkedIn weist Heiko Roth auf eine Besonderheit des Vatikan-Gesetzes hin: Es enthalte in Art. 9 »eine Art. 30 (1) DSGVO vergleichbare, aber um eine interessante Angabe ergänzte Regelung: „Bewertung der Risikokoeffizienten, die sich aus der Behandlung ergeben, und der Pläne zur Minderung der inhärenten Risiken;“ – damit könnte das Ergebnis der Schwellenwertprüfung oder der TOM-Festlegung gemeint sein«.

Datenschutz für Friedhöfe

In Großbritannien plant die anglikanische Kirche, alle Friedhöfe inklusive der Grabsteine sowie die Unterlagen zu den Begräbnissen zu katalogisieren und zu digitalisieren. An dem Vorhaben äußert der Erzdiakon von Blackburn Mark Ireland schon seit Jahren Kritik. Bei der Generalsynode der Kirche von England hat er nun erfolgreich einen Antrag eingebracht, mit dem die Synode ihre Bedenken äußert: Die unklare kommerzielle Nutzung der Daten durch die mit der Digitalisierung betrauten Unternehmen, denen das Copyright an den Bildern eingeräumt wird, sowie die Erweiterung des Auftrags auf alle Kirchenbücher, nicht nur die Aufzeichnungen zu den Begräbnissen. Hier befürchtet Ireland einen Missbrauch der sensiblen Daten etwa aus Taufregistern. Positiv wird hervorgehoben, dass ein Auftragnehmer, der mit der von der Kirche Jesu Christi der Heiligen der letzten Tage betriebenen Organisation »FamilySearch« zusammenarbeitet, nicht mehr im Boot ist. Die Mormonen betreiben mit FamilySearch eine der größten genealogischen Datenbanken, auch aus religiösen Gründen: Auf Grundlage genealogischer Daten können Verstorbene in dieser Kirche stellvertretend getauft werden. Angesichts der Übertragung der Rechte an den Digitalisaten befürchtet Ireland aber weiterhin, dass die Daten bei den Mormonen landen könnten.

Datenschutztipps für kleine Kirchen

Die aktuelle Ausgabe des Podcasts von »The Church Office« befasst sich mit Datenschutz in Kirchen. Dazu beantworten zwei Referent*innen des ICO, der britischen Datenschutzaufsicht, sehr praktische Fragen zum Datenschutzmanagement speziell für kleinere Kirchen. (Trotz Brexit ist das auch in der EU nützlich: Die UK-GDPR entspricht der DSGVO in allen relevanten Teilen.) Man merkt dabei, warum das ICO einen exzellenten Ruf genießt. Es werden sehr praxisnahe und umsetzbare Schritte zu einem besseren Datenschutzmanagement aufgezeigt. Außerdem gibt es Hinweise auf nützliche Werkzeuge, die das ICO zur Verfügung stellt wie das interaktive Tool zur Auswahl der richtigen Rechtsgrundlage. Der Podcast ist eine sehr gute Einführung für Organisationn (nicht nur für Gemeinden), die gerade erst damit beginnen, ein Datenschutzmanagement aufzubauen.

In eigener Sache

• Bei den Praxistagen Datenschutz & Informationssicherheit von Althammer & Kill vom 4. bis 6. September bin ich wieder als Referent dabei mit einem Workshop zum neuen DSG-EKD und auf dem Podium zum Thema Künstliche Intelligenz. (Anmeldung bei Althammer & Kill, 850 Euro)

Auf Artikel 91

• Aufsichtserschütterndes Urteil dräut – Tätigkeitsbericht 2023 des KDSZ Frankfurt

Aus der Welt

• Der Hessische Datenschutzbeauftragte hat eine Handreichung zum datenschutzkonformen »mobilen Arbeiten« veröffentlicht. Dabei erfindet er das Rad nicht komplett neu, sondern verweist an vielen Stellen auf weitere Informationen anderer Behörden.
• Wie setzt eigentliche die Bundesregierung KI ein? Das hat Linken-MdB Anke Domscheit-Berg gefragt. Das Ergebnis ist … nennen wir’s mal: ernüchternd. »Trotz jahrelanger Planungen gibt es immer noch keine zentrale Koordinierung, keine strategische Steuerung und keinerlei verbindlichen Prozesse und Standards«, sagt Domscheit-Berg.

Kirchenamtliches

• KDSZ Frankfurt: Die Diözesandatenschutzbeauftragte der (Erz-)Bistümer Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier veröffentlicht Tätigkeitsbericht 2023 (Juli 2024)