Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Woche im kirchlichen Datenschutz
Aufsicht lobt neues DSG-EKD
Der BfD EKD freut sich über den Beschluss der DSG-EKD-Novelle, den man unterdessen auch in der Synoden-Cloud findet. „Wir begrüßen die rechtlich gebotenen und dem evangelischen Profil dienenden Änderungen und Anpassungen im EKD-Datenschutzgesetz sehr! Wir sind überzeugt, mit diesem Gesetz die Datenschutz-Herausforderungen in Kirche und Diakonie zukünftig noch besser im Sinne der hinter den Daten stehenden Menschen und der verantwortlichen evangelischen Stellen lösen zu können“, sagte Michael Jacob nach der Verabschiedung. Er hebt besonders drei Punkte heraus: den Wegfall der Unterwerfungsklausel sowie die Regelungen für zentrale Verfahren und Mitgliederkommunikation.
Katholische Datenschutzkonferenz zu Unabhängigen Aufarbeitungskommissionen
Der Ordensdatenschutzbeauftragte Jupp Joachimski hat sich neulich bereits zur datenschutzrechtlichen Verantwortlichkeit von Unabhängigen Aufarbeitungskommissionen geäußert. Nun gibt es auch eine offizielle Position der katholischen Datenschutzkonferenz: eine Gemeinsame Stellungnahme zu den Unabhängigen Aufarbeitungskommissionen: Anwendbarkeit des Kirchlichen Datenschutzrechts, datenschutzrechtliche Verantwortlichkeit und Gewährleistung der Datensicherheit. Die wichtigsten Punkte: Kirchliches Datenschutzrecht ist anwendbar, die UAKs sind datenschutzrechtlich Verantwortliche (Joachimski hatte das anders gesehen) und müssen daher auch selbst die Anforderungen des KDG in Bezug auf Organisation und Datensicherheit erfüllen.
Eigene Verantwortliche sind die UAKs nach Ansicht der Konferenz deshalb, weil die Bistümer nur die Mittel zur Verfügung stellen, weder sie noch die Gemeinsame Erklärung von Bischöfen und UBSKM das »Wie« der Verarbeitung definieren. Hinsichtlich des Zwecks wird Art. 4 Nr. 7 DSGVO analog herangezogen: »sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden«, heißt es dort – dieser Fall liege bei den UAKs vor.
Meldedaten und ausreichender Datenschutz
Seit Mai liegt ein Kabinettsbeschluss für eine Reform des Bundesmeldegesetzes vor; über die aktuelle Expert*innen-Anhörung berichtet netzpolitik.org. Für den kirchlichen Datenschutz ist eine unscheinbare Änderung vorgesehen: § 42 Abs. 5 BMG soll gestrichen werden, der bislang regelt, dass eine Datenübermittlung von Meldedaten nur dann zulässig ist, wenn sichergestellt ist, »dass beim Empfänger ausreichende Maßnahmen zum Datenschutz getroffen sind«. Die Feststellung hierüber hat eine durch Landesrecht zu bestimmende Behörde zu bestimmen.
Diese Regelung ist ein Relikt aus BDSG-Zeiten und war ein gewichtiger Grund, warum sich Kirchen überhaupt ein eigenes Datenschutzrecht gegeben haben: Da das BDSG aufgrund seiner Formulierung nach der herrschenden Meinung nicht für Religionsgemeinschaften galt, die als Körperschaft des öffentlichen Rechts verfasst sind (weil sie weder öffentliche noch nicht-öffentlich Stellen sind, das BDSG seine Geltung nur für diese regelte und daher ein »beredtes Schweigen« den Raum für eigen Regelungen eröffnet haben soll), brauchte es eigene Regeln, um § 42 Abs. 5 BMG zu erfüllen und so die Meldedaten verwenden zu können.
In der Begründung wird erläutert, dass dieses Argument mit der DSGVO nach Ansicht der Bundesregierung weggefallen ist: »Für eine gesonderte Regelung besteht kein Bedarf«, heißt es dort. Denn entweder wenden Religionsgemeinschaften nach Art. 91 DSGVO eigenes Datenschutzrecht an, oder die DSGVO gilt – rechtlich sind ausreichende Maßnahmen zum Datenschutz also sichergestellt. Das bedeutet im Ergebnis auch: Die Notwendigkeit kirchlichen Datenschutzrechts mit dem Zugriff auf Meldedaten zu begründen, greift schon jetzt nicht mehr.
Regeln für das Geheimarchiv im Bistum Augsburg
Das Bistum Augsburg stellt nun auch sein Amtsblatt online – damit sind die Verordnungsblätter alle deutschen katholischen Bistümer im Netz zugänglich. (Und die ökumenische rote Laterne trägt die bayerische Landeskirche, deren Amtsblatt nun als einziges einer großen Kirche nicht offen verfügbar ist.)
In der September-Ausgabe findet sich ein Dekret zur Verwaltung des bischöflichen Geheimarchivs. (Ein ähnliches Dekret gibt es bereits in Essen.) Wie in Essen werden Strafakten wie Interventionsakten behandelt, auch mit Blick auf die vom Universalkirchenrecht (c. 490 § 3 CIC) eigentlich untersagte Herausgabe an Dritte. Zumindest in sehr weiter Auslegung des Universalkirchenrechts (c. 490 §§ 1 und 2) hat nicht nur der Diözesanbischof, sondern auch in besonderem bischöflichen Auftrag der Kanzler und im Fall der Sedisvakanz der Diözesanadministrator unbeschränkten Zugang zum Geheimarchiv.
Auf die Kassationspflicht für Strafakten geht die Ordnung nur durch einen Verweis ein; sie sollen »gemäß can. 1339 CIC, can. 489 § 2 CIC dem Bestand der Interventionsakten zugeordnet und nach den für diese geltenden Bestimmungen verwaltet« werden. Hier gibt es eine Unschärfe, denn die genannten Canones regeln die Aufbewahrung von Dokumenten zu Verwarnungen und Verweisen im Geheimarchiv und die Kassation von Strafakten Verstorbener sowie bei lebenden zehn Jahre nach dem Urteil. Dem Wortlaut nach muss »ein kurzer Tatbestandsbericht mit dem Wortlaut des Endurteils« im Geheimarchiv verbleiben, eine Überführung aus dem Geheimarchiv in Interventionsakten quasi als Löschsurrogat kennt das Universalkirchenrecht nicht.
Medienpädagogisches Projekt von LfDI MV und Nordkirche in Gefahr
In Mecklenburg-Vorpommern droht das Kooperationsprojekt zwischen der Landesdatenschutzaufsicht und der Nordkirche auszulaufen, informiert die [Aufsicht in ihrem aktuellen Tätigkeitsbericht](). Seit 2013 (das war vor zwei Jahren hier bereits Thema) bieten die Träger bei Tagen ethischer Orientierung medienpädagogische Angebote in fünften und sechsten Klassen an: »Die Projektbezeichnung „Tage ethischer Orientierung: protect privacy“ (TEO PP) soll deutlich machen, wie wertvoll und schützenwert die eigene Privatsphäre ist.« Grund für das Drohende Aus ist die auslaufende Förderung durch den Europäischen Sozialfonds. »inen möglichen Wegfall des Formates TEO PP sehen wir äußerst kritisch, da es kein vergleichbares Bildungsangebot zur ethischen/politischen Orientierung für Kinder und Jugendliche dieser Altersgruppe im Land gibt. Bei gleichzeitiger Reduzierung dieser nicht fest in den Lehrplänen verankerten Themen zur Medienkompetenz befürchten wir eine starke Beeinträchtigung der ethischen/politischen Bildung junger Menschen in unserem Land«, warnt die Aufsicht.
Betroffenenrechte von Priestern
Ein Arbeitsschwerpunkt der irischen Association of Catholic Priests, einem Priesternetzwerk, das reformorientierte Positionen vertritt, sind die Rechte von Priestern gegenüber ihren Oberen. Bei der Jahreshauptversammlung am vergangenen Wochenende stand auch das Thema Datenschutz auf der Tagesordnung: Fr. Tim Hazelwood klagte darüber (der Vortrag ist in der Audioaufnahme nachzuhören, außerdem berichtet der Independent), dass Betroffenenrechte von Priestern mit Blick auf ihre Personalakten zu wenig bekannt seien und zum Teil Auskunftsrechte aktiv verweigert würden. Hazelwood, der selbst in der Vergangenheit zu Unrecht als Missbrauchstäter beschuldigt wurde, berichtete anhand seines eigenen Falls.
Das Auskunftsrecht sieht er als zentral an: »Priests are entitled to their good name. They are entitled to know what is in their personal file and they have a right to correct it if it is inaccurate«, so Hazelwood. Weitere Probleme seien nicht eingehaltene Löschfristen und generell, dass Priester zu wenig über ihre Datenschutzrechte Bescheid wüssten. Weniger Konsens dürfte sein, dass Hazelwood außerdem bemängelte, dass die Namen von Beschwerdeführer*innen, die sich in Personalakten befinden, nicht offengelegt werden: »Any Tom, Dick or Harry can write to the bishop or religious superior and make any accusation against a priest. Yet the priest is not allowed to know who their accuser is under GDPR.«
In eigener Sache
- Für JHD|Bildung biete ich wieder Online-Seminare an. Am 21. November,19–21 Uhr, zu KI & Recht, am 18. Dezember 2024, 16.30–19 Uhr, geht es um Bildrechte (Anmeldung bis 4. Dezember), am 29. Januar 2025, 16.30–19 Uhr, um Datenschutz und Social Media (Anmeldung bis 20. Januar). Die Seminare kosten 10 (KI) oder 20 Euro.
Auf Artikel 91
Aus der Welt
- Die Kommunikationsministerin von Zimbabwe, Tatenda Mavetera, hat in den Medien und auf LinkedIn einige Kritik einstecken müssen, nachdem sie sehr deutlich machte, dass auch Kirchen und kommerzielle WhatsApp-Gruppen unter das Datenschutzgesetz von 2021 und die Pflicht, Datenschutzbeauftragte zu benennen und eine Datenschutzlizenz zu erwerben fallen: »Even churches who collect personal data ought to have such a licence and appoint a DPO. Whatsapp group admins are not spared too, if your groups are meant for business, you should as well obtain a licence. Failure to comply attracts penalties.« Vor allem die Aussage zu WhatsApp-Gruppen wurde sehr kontrovers aufgenommen und in Medien dargestellt, als seien damit alle Gruppen und nicht nur solche mit kommerziellen Zwecken gemeint. Mavetera hat daher ihren LinkedIn-Post wieder etwas einfangen müssen, berichtet The Zimbabwean.
Kirchenamtliches
- Bistum Augsburg
- Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschlands: Gemeinsame Stellungnahme zu den Unabhängigen Aufarbeitungskommissionen: Anwendbarkeit des Kirchlichen Datenschutzrechts, datenschutzrechtliche Verantwortlichkeit und Gewährleistung der Datensicherheit