Archiv des Autors: Felix Neumann

»Ja, ich möchte mich ausliefern« – Datenschutzkritik bei Erik Flügge

Wirtschaft und Arbeit, Wohnen, Bildung, Ökologie, Verkehr, Europa – und Datenschutz. In der Reihe der großen Themen, bei denen sich Erik Flügge in seinem neuen Buch »Egoismus. Wie wir dem Zwang entkommen, anderen zu schaden«(Affiliate Link) auf die Suche nach der »klugen Ordnung« macht, sticht der Datenschutz heraus: Warum wird ein vergleichsweise kleines und spezielles Thema in diese Reihe gestellt? Die Lektüre zeigt: Das passt besser als man denkt.

Erik Flügge: Egoismus. Wie wir dem Zwang entkommen, anderen zu schaden, Bonn 2020, 112 Seiten.(Affiliate Link)

Flügge geht es darum, systemisch zu denken: Nicht mit Moralappellen und Verboten steuern wollen, sondern indem der unabwendbare Egoismus der Menschen fruchtbar gemacht wird und durch »kluge Ordnungen« systemisch Weichen fürs Gemeinwohl gestellt werden. »Wie fördern wir, dass ich überall dort, wo ich keinen Nachteil erleide, indem ich dem anderen Gutes tue, dieses auch mache?« ist seine zentrale Frage. Die Antwort: »Wenn man eine bestimmte Art zu denken in der Gesellschaft fördern will, dann muss man Strukturen erschaffen, die genau dieses Denken bedingen. Wir müssen uns selbst darauf trainieren, das Gegenüber mit seinen Interessen mitzudenken.«

Weiterlesen

So datensparsam kann Rückverfolgbarkeit sein – Wochenrückblick KW 37

Datensparsam und hilfreich gegen Schlangestehen vor dem Gottesdienst: Das Rückverfolgbarkeitsformular, das seit 1. September in St. Petrus Bonn im Einsatz ist.

Man freut sich doch gelegentlich auch über die kleinen Dinge: Unsinnige Rechtsgrundlagen und zweifelhafte, weil allzu öffentliche Listen-Lösungen bei der Rückverfolgbarkeit von Veranstaltungen und Restaurantbesuchen gibt es immer noch viel zu viele. Umso schöner, wenn eine Pfarrei wie St. Petrus in Bonn nach Wochen, in denen beim Anstehen einsehbare Listen durch Freiwillige geführt wurden, jetzt auf eine einfache, clevere datensparsame und schlangenvermeidende Lösung umgestellt wurde: Formulare, die schon zu Hause ausgefüllt werden können und in eine verschlossene Box geworfen werden. Noch eine schöne Lowtech-Variante hat Winfrid Veil gesehen. (Wie’s auch mit den korrekten Informationen geht, stand hier schon im Blog.)

Aus Bayern gibt es Neues – und zwar nichts Neues: Mittlerweile verdichten sich die Zeichen, dass der Diözesandatenschutzbeauftragte auch nach seinem offiziellen Dienstende in Verlängerung geht, bis ein Nachfolger gefunden ist. Man erzählt sich, dass es daran liegen könnte, dass man wieder keinen Kirchen-Insider berufen soll, was in Bayern Tradition hat – vor Jupp Joachimski waren bereits ein ehemaliger Polizeipräsident und ein anderer ehemaliger Richter in vergleichbaren Positionen in Bayern tätig.

Weiterlesen

Rezension: Kirchlicher Datenschutz in Polen

Der Warschauer Europarechtler Bernard Łukańko hat die bisher wohl ausführlichste Studie zum kirchlichen Datenschutzrecht im Rahmen des Art. 91 DSGVO veröffentlicht: »Kościelne modele ochrony danych osobowych«(Affiliate Link) (»Kirchliche Datenschutzmodelle«) analysiert auf 352 Seiten sowohl Art. 91 DSGVO, der Religionsgemeinschaften ein eigenes Datenschutzrecht und eigene Datenschutzaufsichten zugesteht, als auch die Umsetzung dieser Möglichkeit durch polnische Kirchen im Vergleich vor allem mit dem Datenschutzrecht der beiden großen deutschen Kirchen.

Trotz des Fokus auf das Recht der polnischen Kirchen lohnt sich die Lektüre auch außerhalb Polens – wenn man denn polnisch versteht. Eine Übersetzung gibt es bisher nicht.

Auch ohne Polnischkenntnisse ist das Werk zumindest als Steinbruch nützlich: Łukańko arbeitet sich sehr sorgfältig durch die mittlerweile doch einigermaßen umfangreiche, zumeist deutschsprachige Literatur zum kirchlichen Datenschutzrecht, die Fußnoten und das Literaturverzeichnis geben einen hervorragenden Überblick über den Stand der Forschung.

Weiterlesen

16, 13, religionsmündig – Altersgrenzen im kirchlichen Datenschutzrecht

Kinder und Jugendliche werden von der DSGVO und den darauf aufbauenden kirchlichen Datenschutzgesetzen besonders geschützt – damit ist die Verarbeitung ihrer Daten besonders heikel: Bei Interessensabwägungen sind die Interessen von Minderjährigen besonders zu gewichten, und Einwilligungen »in Bezug auf Dienste der Informationsgesellschaft« sind Minderjährigen selbst grundsätzlich erst ab 16 Jahren möglich. »Grundsätzlich«, weil Art. 8 DSGVO hier eine Öffnungsklausel ergänzt: Mitgliedsstaaten können die Altersgrenze auf bis zu 13 Jahre absenken.

Einige Staaten haben davon auch Gebrauch gemacht, ebenso wie viele Religionsgemeinschaften. So bunt die Lage unter den EU-Staaten ist, so bunt ist die Lage auch im Bereich des Datenschutzrechts der Religionsgemeinschaften – und noch eine weitere Besonderheit für die Beratungs- und Präventionsarbeit der Gemeinschaften kommt oft dazu. Die vielen in Deutschland eingesetzen kirchlichen Datenschutzgesetze lassen sich in vier Kategorien sortieren:

Die Infografik fasst die Informationen zusammen, die im folgenden als Text dargestellt sind.
Weiterlesen

Wo ist eigentlich das Nürnberger Datenschutzzentrum? – Wochenrückblick KW 36

Nach dem kurzen Aufflackern von Aktivismus um Schrems II herum ist es ziemlich still geworden von offizieller Seite – seit Wochen keine öffentliche Äußerung der kirchlichen Datenschutzaufsichten mehr. Grund genug, um einer weiteren Stille nachzuspüren: In der vergangenen Woche ging es schon mal um den bayerischen Diözesandatenschutzbeauftragten, dessen reguläres Ende der Dienstzeit – 30. September – immer näher rückt.

Immer noch gibt es weder eine Ausschreibung noch eine Nachricht – und war da nicht noch etwas? Richtig: 2018 hatte die Freisinger Bischofskonferenz auf ihrer Frühjahrsvollversammlung folgendes beschlossen:

Die Freisinger Bischofskonferenz errichtet in Nürnberg ein kirchliches Datenschutzzentrum, das als unabhängige kirchliche Behörde die Aufgaben der Datenschutzaufsicht wahrnehmen wird.

Erklärung der Freisinger Bischofskonferenz: Frühjahrsvollversammlung der bayerischen Bischöfe in Augsburg vom 14. bis 15. März 2018

Bisher ist noch nichts darüber bekannt, wann es so weit sein wird – Anfragen laufen.

Weiterlesen

Datenschutz im Vatikan: Was gilt im Kirchenstaat?

Die DSGVO-Landkarte hat nicht viele weiße Flecken in West- und Mitteleuropa – einer davon ist der Vatikanstaat. In den EWR-Staaten Island, Liechtenstein und Norwegen gilt die Verordnung, für die Schweiz, Andorra, die Färöer und die britischen Kronbesitzungen Guernsey, Jersey und die Isle of Man gibt es Angemessenheitsbeschlüsse der EU-Kommission. (Noch nicht viele weiße Flecke, muss es eigentlich ganz richtig heißen, solange die Folgen des Brexit nicht absehbar sind.)

Photo by Rahul Chowdhury on Unsplash

Drittland mit allen Folgen und ohne Ausweg sind nur drei souveräne Staaten: Monaco, San Marino – und eben der Vatikan. Mitten in Rom gibt es ein paar Quadratmeter (scheinbar) DSGVO-freien Raum. Was im Staat der Vatikanstadt an Datenschutz gilt, ist gar nicht so einfach herauszufinden. Die im Netz verfügbare Gesetzessammlung des Vatikanstaats jedenfalls nennt kein Datenschutz-Gesetz.

Weiterlesen

Epochenwechsel in Bayern – Wochenrückblick KW 35

Seit dieser Woche sind alle veröffentlichten Tätigkeitsberichte der kirchlichen Datenschutzaufsichten für 2019 hier im Blog besprochen: die Orden, der Nordwesten und der Osten. Es fehlen Bayern, Südwest und NRW. (Der EKD-Bericht erschien bisher im zweijährigen Turnus, den § 41 DSG-EKD mindestens vorschreibt. Der nächste turnusgemäße wäre dann für 2021 für 19/20 zu erwarten.) Bei meinen Recherchen wurde für das ungewöhnlich späte Erscheinen in der Regel die Corona-Krise angeführt: Wenn sonst im Büro geschrieben wird, war dieses Jahr (hoffentlich rechtskonformes) Homeoffice zu organisieren.

NRW und Südwest haben mir jeweils »nach der Sommerpause« und »im Herbst« fürs Erscheinen angekündigt. In Bayern gibt es noch einen besonderen Grund für die Verspätung: Zum 30. September endet das Mandat des Diözesandatenschutzbeauftragten Jupp Joachimski, zu diesem Datum will er auch seinen Bericht für 2019 und die ersten drei Quartale von 2020 vorlegen. Ein Nachfolger steht noch nicht fest – jedenfalls ist keiner bekannt. Mit Joachimski verlässt der einzige unter den fünf Diözesandatenschutzbeauftragten das Amt, der nicht aus dem Bereich Verwaltung und Compliance kommt, sondern früher Richter war. Seine Äußerungen – etwa zur Anwendbarkeit der Kriterien des Kunsturhebergesetzes, um Fotoveröffentlichungen ohne Rechtsgrundlage Einwilligung zu ermöglichen – zeugten von einer Sensibilität für die Abwägung von Grundrechten, die nicht alle seine Kolleg*innen an den Tag legen.

Weiterlesen

Wie übergriffig ist Öffentlichkeitsarbeit? – Anmerkungen zum Bericht der KDSA Ost

Nach den Ordensdatenschutzbeauftragten kam der erste Tätigkeitsbericht für 2019 aus dem Osten: Die Kirchliche Datenschutzaufsicht der ostdeutschen Bistümer und des Katholischen Militärbischofs hat schon vor Monaten ihren Bericht vorgelegt – auf über 100 Seiten sehr umfangreich, aber auch mit Längen.

Der Ost-DSB hat traditionell den meinungsstärksten Bericht – dabei greift er gelegentlich auch daneben. War es im letzten Jahr ein zweifelhaftes Verständnis von Pressefreiheit, ist es dieses Jahr die Instrumentalisierung des Diskurses über übergriffiges Verhalten in der Kirche. Immer wieder wird im Bericht starkgemacht, dass es beim Datenschutz um den Schutz von Menschen, nicht um den Schutz von Daten geht. Dabei schießt der DDSB aber über das Ziel hinaus:

Weiterlesen

Adressen für die Caritas – Wochenrückblick KW 34

Das Interdiözesane Datenschutzgericht (IDSG) hat einen neuen Beschluss veröffentlicht – mitten aus dem Pfarreileben: Zweimal im Jahr kommt der Spendenbrief für die Caritas-Sammlung, und ein Gemeindemitglied setzt alle Hebel in Bewegung, um von dem Spendenbrief verschont zu werden. Im Ergebnis kein Erfolg für den Antragsteller: Daten zur Caritas sind nicht geflossen, die Pfarrei hat die Briefe selbst adressiert, für Werbesperrvermerke sind weltliche Gerichte zuständig, und die Adressierung ist zulässig.

Interessant sind mehrere Punkte: Allgemein zeigt sich wieder, dass – trotz der Ablehnung – die kirchlichen Gerichte sehr benutzer*innenfreundlich sind: Mit viel Wohlwollen wurde aus einer umgangssprachlich formulierte Beschwerde das rechtlich Relevante herausdestilliert und trotz der Ablehnung auf ganzer Linie sorgfältig und ausführlich argumentiert. Über die Sache hinaus ist die Frage der Rechtsgrundlage der Verarbeitung lesenswert: Die Pfarreien werden über eine Aufforderung im Amtsblatt zur Durchführung der Caritas-Sammlung aufgefordert. Das Gericht sieht dadurch – ohne ein formales Gesetz – die Verarbeitung als Erfüllung einer rechtlichen Verpflichtung (§ 6 Abs. 1 lit. d) KDG) als rechtmäßig an, in Frage komme außerdem die Wahrnehmung einer Aufgabe im kirchlichen Interesse (§ 6 Abs. 1 lit. f) KDG) in Frage.

Weiterlesen

Alles in Ordnung bei den Orden – Tätigkeitsbericht 2019 der Ordensdatenschützer*innen

Schon im Februar haben die Gemeinsamen Ordensdatenschutzbeauftragte ihren Tätigkeitsbericht für 2019 veröffentlicht für den Zeitraum vom 1. Februar bis 31. Januar 2020. Die Datenschutzaufsicht der Orden päpstlichen Rechts besteht aus drei Personen, die für insgesamt 236 Gemeinschaften in Deutschland zuständig sind (14 mehr als im Vorjahr) – eindeutig das beste Betreuungsverhältnis unter den kirchlichen Datenschutzaufsichten.

Der Bericht bleibt recht knapp: Vier Seiten genügen. Auf spektakuläre Einzelfälle wird nicht eingegangen, Datenpannen sind die üblichen Datenträgerverluste, Bußgelder wurden keine verhängt. Nur wenige Punkte sind bemerkenswert – und wie beim Tätigkeitsbericht des Nordwest-DDSB erfährt man auch hier Dinge, die sonst noch nirgends kommuniziert wurden.

Evaluierung des KDG

Das Gesetz über den kirchlichen Datenschutz sieht ebenso wie das für die Ordensgemeinschaften geltende KDR-OG eine Überprüfung binnen dreier Jahre nach Inkrafttreten vor – der Zeitraum läuft am 24. Mai 2021 ab. Bisher war öffentlich nichts von einer Evaluierung unter eventueller breiterer Beteiligung bekannt. Hinter den Kulissen läuft die Überprüfung schon, erfährt man aus dem Bericht, und zwar mit der Anhörung der kirchlichen Aufsichten. Erste Vorschläge würden bereits von der Arbeitsgruppe »Datenschutz und Melderecht« der Rechtskommission des Verbandes der Diözesen Deutschlands (VDD) diskutiert. »Parallel dazu wurde die Notwendigkeit festgestellt, einige Teilbereiche besonders ausdrücklich zu regeln. Es handelt sich dabei um Vorschriften aus den Bereichen Schule, Krankenhaus und Personalaktenführung. Für die Datenschutzaufsichten ist ein Verwaltungsverfahrensgesetz in Bearbeitung, welches das KDG/die KDR-OG im Hinblick auf die Verwaltungstätigkeit der Datenschutzaufsicht ergänzen soll«, erfährt man außerdem.

Das bedeutet auch: Wer sich noch in die Evaluierung des KDG einbringen will, sollte das schnell tun – sonst ist es zu spät.

Umgang mit Bilder: Weg vom »bürokratischen Monster«

Zu den Ordensdatenschutzbeauftragten gehört Jupp Joachimski, der zugleich für die bayerischen Bistümer zuständig ist. Als einziger der Diözesandatenschutzbeauftragten stammt der ehemalige Richter am bayerischen Obersten Landesgericht aus der Judikative und nicht aus der betrieblichen Compliance; schon bei der Einführung des KDG war er als einziger der (später von der Konferenz der Diözesandatenschutzbeauftragten übernommenen) Meinung, dass die Kriterien des Kunsturhebergesetzes herangezogen werden können – eine deutliche Vereinfachung im Umgang mit Bildern. So ist wohl zu vermuten, dass die ungewöhnlich deutlich Formulierung im aktuellen Bericht auf ihn zurückgeht: »Dieser doppelte Rechtfertigungszwang [bei der Aufnahme und bei der Veröffentlichung] macht zum Beispiel das Fotografieren auf Schul- oder Pfarrfesten zu einem bürokratischen Monster. Erst mit der Zeit setzte sich in der Konferenz der Diözesandatenschutzbeauftragten die Meinung durch, dass eine einheitliche Einwilligung ausreiche.«

Lob fürs Engagement

Der Bericht ist voll von Lob: Es wird gewürdigt, dass »sehr viele Mitglieder oder Mitarbeiter vorhanden sind, die ihre volle Arbeitsleistung in dieses Gebiet einbringen möchten«. Die Anliegen des Datenschutzes werden, so die Aufsichtspersonen, »mit großem Ernst und der Bereitschaft zur intensiven Arbeitsleistung aufgenommen«. Also alles in Ordnung bei den Orden: »Hier ist es offensichtlich allen klar, dass die Datenschutzgesetze nicht etwa die Daten als solche schützen, sondern den Menschen dahinter – eine keineswegs selbstverständlich überall anzutreffende Einsicht.«