Das eigene Datenschutzrecht der Kirchen steht unter dem Vorbehalt, im Einklang mit dem europäischen Datenschutzrecht zu stehen. Erste Konflikte zeichnen sich schon ab: Verschiedene Datenschutzaufsichten haben Zweifel am Datenschutzrecht kleinerer Gemeinschaften, und auch bei den großen Kirchen steht nicht fest, wie der gegenüber dem Selbstverwaltungsrecht der Kirchen notorisch kritische Europäische Gerichtshof (EuGH) im Konfliktfall handeln würde. Der Münsteraner Europarechtler Gernot Sydow gibt im Interview mit Artikel 91 eine Einschätzung ab, wie es um das Verhältnis zwischen EU und kirchlichem Datenschutz steht – und macht sich für den Gleichbehandlungsgrundsatz im Religionsverfassungsrecht stark.
Frage: Professor Sydow, hat die Europäische Union überhaupt die Kompetenz, Datenschutzrecht für Religionsgemeinschaften zu regeln?
Sydow: Das gesamte europäische Datenschutzrecht setzt eine Kompetenz der EU voraus, und die gibt es immer dann, wenn es einen Binnenmarktbezug gibt. Nicht alles was die Kirchen tun, hat einen Binnenmarktbezug. Bei kirchlichen Krankenhäusern kann man das noch überlegen, bei deren Dienstleistungen könnte man noch eine europäische Gesetzgebungskompetenz herleiten. Aber das Führen von Kirchenbüchern hat mit der Kompetenz der EU gar nichts zu tun, deshalb ist sie auch nicht zuständig. Deswegen braucht die Kirche dafür auf jeden Fall eigene Regelungen.
Der Münsteraner Europarechtler Gernot Sydow gehört zu den besten Kenner*innen des kirchlichen Datenschutzrechts – bevor er Professor wurde, war er unter anderem Justitiar und Diözesandatenschutzbeauftragter des Bistums Limburg. Heute ist er außerdem Vorsitzender Richter des Datenschutzgerichts der Deutschen Bischofskonferenz. Im Dezember erschien der von ihm herausgegebene Kommentar zum kirchlichen Datenschutzrecht. (Bildquelle: Svenja Haas/WWU)Weiterlesen →
Ein weiterer Mosaikstein in der katholischen Datenschutzgebung ist gelegt: Als erstes Bistum hat Würzburg das »Gesetz zum Schutz von Patientendaten bei der Seelsorge in katholischen Einrichtungen des Gesundheitswesens« (Seelsorge-PatDSG) im Amtsblatt veröffentlicht. Auch dieses Gesetz wird in Simultangesetzgebung erlassen, also zentral auf Ebene der Bischofskonferenz vereinbart und von den einzelnen Bischöfen als Gesetzgeber in Kraft gesetzt. (Das steht nicht im Amtsblatt, wurde mir aber von der DBK bestätigt.)
Das neue Seelsorge-PatDSG ersetzt die bisherigen Ordnungen zum Schutz von Patientendaten in katholischen Krankenhäusern, die in den 1990ern erlassen wurde (zum Beispiel die Kölner und Osnabrücker Fassung). Im Vergleich zum Vorgängergesetz ist es mit sieben Paragraphen und einer Präambel und der Beschränkung auf den Bereich der Seelsorge deutlich kompakter – einiges, was in den Patient*innen-Datenschutzordnungen geregelt wurde, etwa zu Grundlagen der Verarbeitung, der Übermittlung von Daten, Auftragsverarbeitung, technischen und organisatorischen Maßnahmen und Betroffenenrechten, wird mittlerweile durch das allgemeine Gesetz über den kirchlichen Datenschutz abgedeckt und muss nicht mehr gesondert geregelt werden.
2021 hat seine erste große Hype-App: Clubhouse. Muss man dazu viel sagen? Datenschutzrechtlich ist für einen Einsatz nicht nur in kirchlichen Kontexten einiges im Argen – die üblichen Kriterien für die zulässige dienstliche Nutzung werden jedenfalls kaum erfüllt: Sehr großer Druck, das Adressbuch zu teilen, Aufzeichnung und unklare Speicherfristen der Gespräche (das sollte bei seelsorglichen Gesprächen besonders im Blick sein!), dienstliche Nutzung in den AGB ausgeschlossen, kaum Transparenz über Betroffenenrechte. Klingt nicht gut, aber das gilt auch für mit mehr oder weniger schlechtem Gewissen selbstverständlich genutzte Kanäle wie Facebook oder WhatsApp. (Thomas Schwenke hat sich ausführlich damit beschäftigt – und kommt zum Schluss, dass unter gewissen Vorkehrungen ein nicht-privater Einsatz gerechtfertigt werden kann.) Dazu kommt die Frage nach Barrierefreiheit: Eine Audio-only-App erreicht naturgemäß nur Hörende, und iPhone-only mit Invite schließt auch viele aus (sorgt aber für Exklusivität).
Die #digitalekirche springt jedenfalls mit Begeisterung auf die neue App und kann auch schon einige Erfolge vorweisen: Theotabea, Anna-Nicole Heinrich, Lisa Quarch und Gottdigital berichten von ersten Erfahrungen und Einschätzungen, ein Außenblick auf LinkedIn von Matthias Maier spricht dafür, mutig reinzugehen. Lesenswert ist auch die kritische Diskussion angesichts einiger problematischer Eigenschaften von Clubhouse, die Philipp Greifenstein angestoßen hat: Ist es naiv, einfach so begeistert reinzugehen, auch wenn die Plattform schon jetzt große Probleme mit unmoderierter gruppenbezogener Menschenfeindlichkeit hat? (Dazu ausführlich im Twitter-Thread von Taylor Lorenz, komprimiert auf Instagram von Maggie Tyson.) Lutz Neumeier meint: »Ich bin gerne naiv u nutze jede Möglichkeit Kirche zu Menschen zu bringen. Hat heute Abend ziemlich gut geklappt… u ich glaub Jesus, Paulus u viele andere waren auch naiv, sonst hätten sie nicht angefangen u erreicht, was sie haben. Paulus wär ohne nicht auf Reisen gegangen…« Wenn die Entscheidung dann für Clubhouse ausfällt: Das Landesjugendpfarramt Oldenburg hat für Einsteiger schon mal die ersten sich entwickelnden Hausregeln zusammengefasst.
Die Frage nach Messenger-Diensten gehört zu den Dauerbrennern im kirchlichen Datenschutz – meist ziemlich enggeführt auf die Frage: Darf ich WhatsApp benutzen? Die jüngsten (und nach Protesten aufgeschobenen) Änderungen im Umgang mit Daten zur engeren Verknüpfung mit Facebook haben nun zum ersten Mal seit langem eine deutlich spürbare Bewegung weg von WhatsApp erzeugt: Signal, Threema und Telegram boomen, Signal brach zeitweise unter der Last neuer Nutzer*innen sogar zusammen.
Doch wie sieht’s bei den Alternativen mit dem Datenschutz aus – und was ist mit kirchlichem Datenschutz vereinbar? Hier unterscheiden sich die drei Dienste deutlich.
Normalerweise sind die evangelischen Rechtssammlungen digital den katholischen deutlich überlegen: Die meisten Landeskirchen haben komfortable Rechtsinformationssysteme. Nur die bayerische Landeskirche ist ein weißer Fleck auf der Landkarte und hat nicht einmal die Amtsblätter online. Zum Glück ist die zuständige Redaktion sehr serviceorientiert und hat unkompliziert die letzten Jahrgänge zur Verfügung gestellt: Damit ist nun die Rechtssammlung für das Datenschutzrecht aller Landeskirchen hier auf der Seite endlich ab 2018, dem Jahr des Inkrafttretens des DSG-EKD, vollständig.
Ergänzt wurde in dieser Woche auch die katholische Ortskirchenrechtsammlung: Nun hat auch Rottenburg-Stuttgart eine Fundraising-Datenschutz-Ordung.
Für kurzentschlossene: Am Montag findet die erste offene Videosprechstunde der KDSA Ost statt – es geht um Videokonferenzsysteme, und es sind noch Plätze frei.
Jetzt ist einer der großen Wiedergänger der kirchlichen Konfliktthemen auch beim Interdiözesanen Datenschutzgericht (IDSG) angekommen: Die Frage, ob man lediglich aus der Kirche als Körperschaft öffentlichen Rechts austreten und trotzdem Teil der Kirche bleiben kann – sei’s als Kirchensteuersparmodell, sei’s aus Opposition gegen das, was mit Kirchensteuern finanziert wird.
Zu der Frage wurde schon viel geschrieben und dekretiert; die am Montag veröffentlichte Entscheidung mit dem Aktenzeichen IDSG 05/2019 vom 9. Dezember 2020 zeigt nun einen originellen Versuch, den Datenschutz für den Teilaustritt nutzbar zu machen. Spoiler: Ohne Erfolg.
Die datenschutzrechtliche Prüfung der Eintragung eines Kirchenaustritts im Taufregister ist beschränkt auf die formelle Richtigkeit. Das Datenschutzgericht prüft nicht die materiellen innerkirchlichen Wirkungen einer Austrittserklärung.
Die katholischen Aufsichten liefern: Binnen einer Woche wurden die auch hier problematisierten Unklarheiten beim Umgang mit dem Brexit-Abkommen mit Auftragsverarbeitung geklärt. (Die evangelischen Aufsichten müssen nicht tätig werden, weil das Problem dort nicht besteht.) Die KDSA Ost hat zudem noch eine Serviceoffensive angekündigt: In diesem Jahr wird es offene Videosprechstunden geben: »Wir möchten ausdrücklich darauf hinweisen, das wir als Datenschutzaufsicht gerne versuchen werden auf Ihre Fragen zu antworten, aber grundsätzlich keine Produktempfehlungen abgeben können und dürfen.«
Auf den ersten Blick nicht datenschutzrelevant, auf den zweiten ganz gundsätzlich dann doch: Jona Hölderle hat im Sozialmarketing-Blog in einer beeindruckenden Fleißarbeit Daten zu den größten Nonprofits Deutschlands in Wikidata eingepflegt und ausgewertet. Wenig überraschend, in dieser Deutlichkeit dann aber doch sehr deutlich: Viele der umsatz- und spendenstärksten Organisationen sind kirchliche, viele von Orden getragene Sozial- und Krankenhauskonzerne – und da kommt dann der Datenschutz ins Spiel: Für den Geltungsbereich des Ordensdatenschutzgesetzes gibt es drei Jurist*innen in Teilzeit für die Aufsicht, unter ihnen der ohnehin schon überlastete Jupp Joachimski. Können die wirklich wirksam Milliardenkonzerne beaufsichtigen?
Für KDG-Anwender*innen brachte das Brexit-Abkommen nämlich ein besonderes Problem mit sich: Explizit legt das katholische Gesetz in § 29 Abs. 11 fest, dass Auftragsverarbeitung nur in EU- und EWR-Ländern, auf Grundlage eines Angemessenheitsbeschlusses oder auf Grundlage einer Feststellung einer Datenschutzaufsicht zulässig ist. Der vom Abkommen gewählte Umweg einer Behandlung des UK, als sei es kein Drittstaat, ist davon nicht abgedeckt.
Nach dem Blick zurück geht’s in die Zukunft: 2021 ist hoffentlich irgendwann das Jahr post Corona. Für den kirchlichen Datenschutz gibt es auch schon einige mehr oder weniger feste Termine. Mit der Evaluierung des KDG und des ökumenischen Kirchlichen Datenschutzmodells stehen zwei große Themen an, die den kirchlichen Datenschutz noch länger prägen dürften.
Das Vereinigte Königreich ist kein datenschutzrechtliches Drittland – erstmal. Das am Samstag veröffentlichte Abkommen hat den harten Brexit abgewendet (vorbehaltlich der noch nötigen Ratifizierungen) und auch verhindert, dass ab 1. Januar Großbritannien zum Drittland ohne Angemessenheitsbeschluss und damit mit erheblichem Mehraufwand für die Datenübertragung wird. Die Lösung ist aber nur eine vorläufige – und zumindest Anwender*innen des KDG stehen doch noch vor Problemen.