Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Woche im kirchlichen Datenschutz
Bistum Aachen nennt Namen von Tätern und mutmaßlichen Tätern
Das Bistum Aachen hat die Namen von 53 mutmaßlichen und verurteilten Missbrauchstätern veröffentlicht. Im Vergleich zur ersten Ankündigung, Namen von Menschen zu nennen, »die entweder verurteilt wurden oder nach Überzeugung der Kirche im Bistum Aachen Täter waren oder sind«, wurden nun doch deutlich restriktivere Kriterien angelegt. Noch im September hatte das Bistum an der ursprünglich angekündigten umfassenden Nennung festgehalten.
Als Kriterien für die Veröffentlichung nennt das Bistum eine einschlägige staatliche oder kirchenrechtliche Verurteilung oder das Vorliegen von mindestens einem positiv beschiedenen Antrag auf Anerkennung des Leids von der Unabhängigen Kommission für Anerkennungsleistungen (UKA). Im ersten Fall wird von »Täter« gesprochen, im zweiten von »mutmaßlichem Täter«. Veröffentlicht werden (»aus Gründen des Persönlichkeitsschutzes«) nur Namen von Personen, die vor mehr als zehn Jahren verstorben sind. »Unsere Kriterien greifen das Aufklärungs- und Informationsinteresse der Betroffenen auf und halten zugleich einer juristischen Überprüfung stand«, zeigt sich Generalvikar Andreas Frick überzeugt.
TLS-Verschlüsselung kirchlicher Seiten größtenteils in Ordnung
Das KDSZ Dortmund hat seine Prüfung der TLS-Verschlüsselung kirchlicher Internetseiten abgeschlossen. Gut 80 Prozent der Seiten waren laut der Aufsicht angemessen per TLS-Verschlüsselung geschützt, die restlichen haben mittlerweile angemessene Maßnahmen ergriffen.
Wer angesichts der restlichen 20 Prozent »Excuse me, wir haben 2023!« denkt: Es handelt sich wohl zum größten Teil nicht um gar nicht verschlüsselte Kommunikation, sondern um eine veraltete TLS-Version. Das KDSZ Dortmund folgt der technischen Richtlinie TR-02102-2 (Version 2023-01) des BSI, die nur noch die Versionen TLS 1.2 und TLS 1.3 empfiehlt. Die eigene Seite kann man entweder im Browser (in der Regel über die Untersuchen- oder Entwickler-Funktionen) selbst überprüfen oder man nutzt eines der vielen Onlinetools wie testtls.com.
Die Wissenschaftlichen Dienste des Bundestags haben einen Sachstand »Zum Verhältnis der Datenschutzgrundverordnung zu den Datenschutzvorschriften von Kirchen und Religionsgemeinschaften« veröffentlicht. Der Überblick gibt die herrschende Meinung zu Art. 91 DSGVO kursorisch wieder, allerdings nicht immer korrekt und sichtlich ohne vertiefte Fachkompetenz. So wird etwa behauptet, dass bei Inkrafttreten der DSGVO nur die EKD und die katholische Kirche eigenständige Datenschutzregelungen gehabt hätten. Ansonsten scheinen die Wissenschaftlichen Dienste nur das Datenschutzrecht der Zeugen Jehovas zu kennen und erwähnen die umfangreiche Kritik der Betroffenen- und Aussteigerinitiative JZ Help daran. Das Fehlen von Regelungen für spezifische religiöse Verarbeitungssituationen wird beklagt: »Es fehlt auch an einer speziellen Regelung für den sogenannten Predigtdienst, bei dem die Mitglieder der Zeugen Jehovas an Haustüren oder öffentlichen Orten ihrer Verkündigungstätigkeit nachgehen; dafür gelten die allgemeinen Datenschutzregelungen.« In der Fußnote wird dazu das Zeugen-Jehovas-Urteil des EuGH angeführt. Was das soll, ist unklar. Kritik am KDG und am DSG-EKD wird nur mit Blick auf den kirchlichen Rechtsweg vorgebracht. Es könne aber trotzdem davon ausgegangen werden, »dass diese beiden Regelwerke im Einklang mit der DS-GVO stehen«. (Die auf Literatur gestützte Einschätzung wurde wohl nicht durch einen Blick ins Gesetz überprüft, sonst wäre der Wertungswiderspruch im folgenden Absatz wohl aufgefallen.)
Zwei Punkte werden eigens behandelt: spezifische Aufsichtsbehörden und der Beschäftigtendatenschutz. Bei den spezifischen Aufsichten gehört nach Ansicht der Autor*innen zu den Vorgaben der DSGVO auch die Pflicht zur Erstellung eines jährlichen Tätigkeitsberichts. Das sieht die EKD anders, die einen zweijährigen Rhythmus vorsieht – das allerdings ist ein Versäumnis des DSG-EKD, nicht der Wissenschaftlichen Dienste, denen hier zuzustimmen ist. Beim Beschäftigtendatenschutz geht das Papier davon aus, dass das Schutzniveau der DSGVO durch die kirchlichen Regelungen »unzweifelhaft« gewahrt wird.
KDSZ Bayern sucht Personal
Vom KDSZ Bayern hat man seit Monaten wenig gehört, zuletzt äußerte sich der Diözesandatenschutzbeauftragte Dominikus Zettl hier im Interview. Der Aufbau der neuen Geschäftsstelle in Nürnberg läuft aber – das zeigen nun veröffentlichte Stellenausschreibungen für eine*n »Referenten (m/w/d) für Datenschutz / IT« und ein*n »Volljuristen (m/w/d)«. Zu den Aufgaben im IT-Referat gehört unter anderem die Beurteilung von Fragen der Künstlichen Intelligenz, der*die Jurist*in soll möglichst ein Prädikat und die Bereitschaft zur Einarbeitung in Open-Source-Software haben. Mit den Ausschreibungen sieht man auch erstmals das schicke neue Logo der Aufsicht.
In eigener Sache: Kirchenrecht und Bildrechte
- Am 8. November 2023, 18–20 Uhr, diskutiere ich bei dem Podium »Kirchenrechtliches Publizieren heute« mit. Die Diskussion findet digital statt, eine Anmeldung per Mail (in der Ausschreibung) ist bis zum 5. November möglich.
- Am 12. Dezember, 16.30 bis 18 Uhr, findet bei JHD|Bildung ein Webinar zu Bild- und Persönlichkeitsrechten in der katholischen Jugendarbeit statt. Die Anmeldung ist bis zum 28. November möglich. (Teilnahmebeitrag 10 Euro.)
Auf Artikel 91
Aus der Welt
- Der französische Abgeordnete Philippe Latombe (MoDem) ist mit seinem Eilantrag zur Aussetzung des Angemessenheitsbeschlusses für das EU-US Data Privacy Framework vor dem EuGH gescheitert (Beschluss des Präsidenten des Gerichtshofs vom 12. Oktober 2023, Az. T-553/23 R). Der Kläger habe nicht vorbringen können, dass ihm ein ernsthafter Schaden entstehen würde, wenn der Vollzug des Angemessenheitsbeschlusses nicht ausgesetzt würde.
Kirchenamtliches
- KDSA Ost: Vorratsdatenspeicherung endgültig für rechtswidrig erklärt
- KDSZ Dortmund: Katholisches Datenschutzzentrum schließt Prüfung der TLS-Verschlüsselung kirchlicher Internetseiten ab
- EKD: Ordnung für die gemeinsame Meldestelle der Evangelischen Kirche in Deutschland nach dem Hinweisgeberschutzgesetz