Archiv des Autors: Felix Neumann

Über Felix Neumann

Felix Neumann ist Journalist und berichtet hauptsächlich über kirchliche Themen. Der Politikwissenschaftler und vergleichende Kirchenrechtler hat die Qualifizierung zum Betrieblichen Datenschutzbeauftragten (IHK) absolviert und berät freiberuflich kirchliche Verbände und Institutionen zu praktischen Fragen des Datenschutzes und durch Datenschutzschulungen.

DSG-EKD amtlich geändert – Wochenrückblick KW 50/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das DSG-EKD ist nun amtlich geändert: Am Donnerstag veröffentlichte die EKD das Änderungsgesetz im Amtsblatt. (Was sich ändert, stand auch schon mal hier. Spoiler: Nichts Spektakuläres.)

Am Mittwoch fand (wahrscheinlich) das zweite Treffen der Datenschutzkonferenz mit den spezifischen Aufsichten für dieses Jahr statt. Den Termin hatte ich im Sommer mit einer IFG-Anfrage herausgefunden, das Protokoll wird dann wieder per Informationsfreiheitsgesetz zu befreien sein – wie jedes Mal. Auch ohne Transparenzgesetz könnte die DSK die Informationen auch einfach immer von vornherein veröffentlichen.

Zum Ende seiner Amtszeit legt der Gemeinsame Rundfunkdatenschutzbeauftragte von BR, SR, WDR, Deutschlandradio und ZDF einen Abschlussbericht vor. Darin geht er auch noch einmal auf die mangelnde Beteiligung der spezifischen Aufsichten ander Datenschutzkonferenz ein (Rn. 28f.), die er bereits zuvor in einem Positionspapier thematisiert hatte. Konkrete Verabredungen gebe es noch nicht. »Ziel sollte es sein, den nach Auffassung aller Beteiligten bislang unbefriedigenden retrospektiven Austausch durch ein Verfahren zu ersetzen, das eine frühzeitige wechselseitige Information und gegebenenfalls gemeinsame Positionierungen ermöglicht«, so der Rundfunkdatenschutzbeauftragte.

In der aktuellen ZMV befasst sich Matthias Ullrich, der Diözesandatenschutzbeauftragte der Ost-Bistümer und Autor des hier schon besprochenen Buchs »Beschäftigtendatenschutz der katholischen Kirche« mit betrieblichen Datenschutzbeauftragten im staatlichen und kirchlichen Recht. Gewohnt gelungen ist dabei die Verknüpfung von arbeits- und datenschutzrechtlicher Expertise, die auf einige Fragen abhebt, die aus dem Datenschutzrecht allein nicht zu beantworten sind, etwa zur Bestellung (nach Ansicht Ullrichs nicht durch einseitige Übertragung, sondern in der Regel durch eine Arbeitsvertragsänderung vorzunehmen), Probezeit (nicht zulässig, da Anforderungen von Tag 1 an sicher erfüllt sein müssen) sowie Befristung des Amts (in § 36 Abs. 5 KDG und § 36 Abs. 3 DSG-EKD geregelt) und der Stelle (nicht geregelt). Ullricht ist einer Befristung der Stelle zum Unterlaufen der gesetzlichen Mindestbenennungsfristen gegenüber kritisch: »In solchen Fällen ist das befristete Arbeitsverhältnis deshalb aus datenschutzrechtlicher Sicht bei der Benennung zu entfristen oder zumindest auf die Mindestbenennungsdauer für betriebliche Datenschutzbeauftragte zu verlängern.« Im Ergebnis führt das dazu, dass Datenschutzbeauftragte aus Sicht des Datenschutzrechts regelmäßig nicht sachgrundlos befristet beschäftigt werden können – im katholischen Arbeitsrecht ist die maximale sachgrundlose Befristung auf 14 Monate festgelegt, im evangelischen Bereich gilt die gesetzliche Höchstdauer von zwei Jahren.

Die russisch-orthodoxe Kirche hat man nicht als erstes auf dem Zettel, wenn es um grund- und menschenrechtsorientierte Sozialverkündigung geht. Patriarch Kyrill hat sich nun zu biometrischen Datenbanken geäußert: »Die Kirche stimmt den den Experten zu, die darauf hinweisen, dass jede Datenbank mit personenbezogenen Daten, einschließlich biometrischer Daten, nicht vollständig vor Lecks geschützt werden kann. Die Risiken von biometrischer Datenlecks sind aufgrund der Neuartigkeit der Technologie noch nicht vollständig bekannt.« Daher stehe die Kirche für das »grundsätzliche und bedingungslose Recht der Bürger, die biometrische Identifizierung abzulehnen, mit absoluten Garantien der Nicht-Diskriminierung im Falle einer solchen Entscheidung«.

Weiterlesen

Datenschutz in den jüdischen Gemeinden Frankfurts und Württembergs

Schreiben Sie eine Antwort

Natürlich ist die Ausnahmeregel der DSGVO, die Glaubensgemeinschaften eigenes Datenschutzrecht ermöglicht, religionsneutral formuliert. Praktisch wird Art. 91 DSGVO vor allem von christlichen Kirchen genutzt. Es gibt aber doch auch nichtchristliche Gemeinschaften, die Datenschutzrecht setzen: Die Israelitische Religionsgemeinschaft Württembergs und die Jüdische Gemeinde Frankfurt am Main haben beide je eine eigene Datenschutzordnung, die für sich in Anspruch nimmt, Art. 91 DSGVO umzusetzen.

Siegel mit Davidstern
Siegel mit Davidstern (Bildquelle: Marek Studzinski on Unsplash)

Ein Blick in die beiden Datenschutzordnungen zeigt einerseits sehr eigenständige Regelungen: Mit den großen kirchlichen Gesetzesfamilien KDG und DSG-EKD sind sie ersichtlich nicht verwandt. Zugleich fehlt es aber strukturell an Eigenständigkeit: Die Ordnungen wollen DSGVO und BDSG nur ergänzen, nicht ersetzen. Nicht nur das wirft Fragen nach der Vereinbarkeit mit dem Europarecht auf.

Weiterlesen

Evangelische Weite zu MS 365 – Wochenrückblick KW 49/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die evangelischen Datenschutzaufsichten bewerten die Feststellung der Datenschutzkonferenz des Bundes und der Länder zu Microsoft unterschiedlich: Während sich in der vergangenen Woche der BfD EKD den Bericht zumindest in der Überschrift zueigen gemacht hat (»Der Einsatz von Microsoft 365 ist weiterhin nicht datenschutzkonform möglich«), äußert sich nun der Datenschutzbeauftragte für Kirche und Diakonie anders: Derzeit könne keine Aneignung der Feststellung erfolgen, teilte die ostdeutsche Aufsichtsbehörde mit. Begründet wird das mit der mangelnden Beteiligung der spezifischen Aufsichtsbehörden an der DSK: »Aus diesem Grund haben wir keinen Einblick in die Arbeit der Arbeitsgruppe DSK „Microsoft-Onlinedienste“. Außer den oben genannten Dokumenten liegen uns zum heutigen Tag keine weiteren Dokumente vor, insbesondere nicht der vollständige Bericht der genannten Arbeitsgruppe.« Daher bleibt es für den DSBKD bei den Empfehlungen aus seinem aktuellen Tätigkeitsbericht.

Advent ist eine Zeit des Wartens – und so ist diese Woche geprägt von einigem Warten auf Dinge, die eigentlich noch dieses Jahr raus sollten: Immer noch fehlt eine offizielle Ankündigung des Wechsels des Diözesandatenschutzbeauftragten für die Nord-Bistümer (auch wenn sie hier schon vermeldet wurde), der Tätigkeitsbericht der NRW-Aufsicht fehlt noch (soll aber, wie man hört, in den letzten Zügen sein), und wer im kommenden Jahr die Konferenz der Diözesandatenschutzbeauftragten leiten wird, ist auch noch nicht bekannt.

Weiterlesen

Diözesandatenschutzbeauftragter Nord geht in den Ruhestand

Schreiben Sie eine Antwort

Erstmals seit Inkrafttreten des Gesetzes über den kirchlichen Datenschutz kommt es zu einem Wechsel im Amt eines Diözesandatenschutzbeauftragten. Der Leiter der KDSA Nord Andreas Mündelein geht zum Ende des Jahres in den Ruhestand. Zuerst berichteten die Datenschutz-Notizen, auf Anfrage bestätigte das Bistum Osnabrück die Informationen.

Porträtfoto von Andreas Mündelein, Leiter der KDSA Nord (links), und Michael Jacob, BfD EKD (rechts).
Andreas Mündelein, Leiter der KDSA Nord (links), zusammen mit seinem evangelischen Kollegen Michael Jacob, dem BfD EKD (rechts). (Bildquelle: Der Beauftragte für den Datenschutz der EKD)

Auch der Nachfolger von Mündelein steht schon fest: Sein bisheriger Stellvertreter Andreas Bloms übernimmt zum 1. Januar 2023 die Leitung der Datenschutzaufsicht der Bistümer Hamburg, Hildesheim, Osnabrück und des Offizialatsbezirks Vechta.

Weiterlesen

Verwaltungsgericht kassiert kirchlichen Datenschutz – Wochenrückblick KW 48/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Nach der Niederlage der Selbständigen Evangelisch-Lutherischen Kirche vor dem VG Hannover ist das eigene Datenschutzrecht der Gemeinschaft in der Schwebe: Wenn das Urteil rechtskräftig wird, gilt die DSGVO und die Landesdatenschutzbeauftragte ist zuständig statt einer eigenen kirchlichen Aufsicht. Beide Seiten, die SELK und die LfD Niedersachsen, äußerten sich in der Sache noch nicht. Ob die SELK die Zulassung zur Berufung beantragen wird, steht noch nicht fest: »Das Urteil mit seiner Begründung müssen wir nun abwarten, um anschließend über das weitere Vorgehen zu entscheiden«, sagte ein Sprecher der SELK auf Anfrage. Die LfD Niedersachsen will vor einem rechtskräftigen Urteil noch nichts dazu sagen, wie sie dann agieren werde, wenn ihre Zuständigkeit feststeht. Grundsätzlich begrüßt man in der Aufsicht das Urteil aber: »Wir sehen das Urteil als Bestätigung unserer Rechtsauffassung an, dass es sich bei Art. 91 Abs. 1 DS-GVO um eine abschließende Bestandsschutzregelung handelt, die außerhalb ihres Anwendungsbereichs keinen Raum für sonstige kirchliche Datenschutzvorschriften lässt«, teilte ein Sprecher der Aufsicht auf Anfrage mit.

Der BfD EKD hat seine Position, dass Elternbeiräte keine eigene verantwortliche Stelle sind, jetzt auch noch einmal in einem Kurzbeitrag auf der Webseite der Aufsicht veröffentlicht. So hatte er sich auf schon als Beitrag zu dem ausführlicheren Artikel zum Thema hier auf Anfrage geäußert. Eine Herausforderung: »Da es in der Regel gesetzlich ausgeschlossen ist, dass Mitarbeitende der Kindertageseinrichtungen den Elternbeiräten angehören, haben die Kindertageseinrichtungen keine Möglichkeit, die Einhaltung des Datenschutzes durch die Elternbeiräte zu kontrollieren.« Der BfD EKD empfiehlt daher Sensibilisierung und Vorgaben für den Umgang mit Daten durch die Elternbeiräte.

Bei den Datenschutz-Notizen widmet sich Sebastian Ertel dem hier schon besprochenen IDSG-Beschluss zur konkludenten Einwilligung. Vermisst wird dabei die Auseinandersetzung mit zwei Fragen: Zum einen, ob überhaupt zurecht kirchliches Datenschutzrecht angewendet wurde bei einem von einer kirchlichen Stiftung getragenen Medizinischen Versorgungszentrum, da es »faktisch keinen kirchlichen Auftrag verfolgt«. Zum anderen schweigt die Entscheidung zu dem kuriosen Faktum, dass Patient*innenakten 23 Jahre aufbewahrt wurden: »nach § 10 Abs. 3 MBO-Ärzte bzw. § 630f BGB liegt die Aufbewahrungspflicht und -frist der Behandlungsdokumentation grundsätzlich bei zehn Jahren nach Abschluss der Behandlung«, bemerkt Ertel.

Weiterlesen

Kirchliches Datenschutzrecht verworfen: SELK unterliegt vor Gericht

Schreiben Sie eine Antwort

Die Selbständige Evangelisch-Lutherische Kirche ist mit ihrer Feststellungsklage vor dem Verwaltungsgericht Hannover gescheitert: Wie das Gericht am Mittwoch mitteilte, hat die 10. Kammer die Klage der Kirche abgewiesen.

Fassade des Fachgerichtszentrums in Hannover
(Bildquelle: Stefan Brending, Lizenz: Creative Commons by-sa-3.0 de, CC BY-SA 3.0 de, Link (zugeschnitten))

Die SELK wollte feststellen, dass sie ihre eigene Datenschutzrichtlinie gemäß Art. 91 DSGVO anwenden dürfe und dass sie nicht der Aufsicht der niedersächsischen Landesdatenschutzbeauftragten unterfalle. Gegen das Urteil kann vor dem Oberverwaltungsgericht Lüneburg die Zulassung zur Berufung beantragt werden. Die Entscheidungsgründe liegen noch nicht schriftlich vor. (VG Hannover, Urteil vom 30.11.2022, Az. 10 A 1195/21)

Weiterlesen

Glaube im Fediverse – die Mastodon-Instanz kirche.social

Schreiben Sie eine Antwort

»Wir sind christlich, interkonfessionell und ökumenisch« – mit diesen Schlagworten stellt sich kirche.social als »gemeinschaftlich verantwortete Instanz von Menschen rund um die Kirche(n)« vor. Betrieben wird die Instanz des freien und föderierten sozialen Netzwerks Mastodon vom LuKi e.V. »LuKi« steht für »Linux User im Bereich der Kirchen«. Der ehrenamtlich getragene Verein hat es sich zur Aufgabe gemacht, freiheitliche und nachhaltige Digitalisierung in den Kirchen zu fördern – auch mit eigener Infrastruktur.

Auf einem Handy ist der Mastodon-Account von LibreChurch zu sehen
LibreChurch ist das Modellprojekt für freiheitliche und nachhaltige Digitalisierung des LUKi e.V. – und natürlich auch auf der eigenen Mastodon-Instanz zu finden. Neben kirche.social stellt das Projekt auch den Messenger synod.im und ein Videokonferenzsystem zur Verfügung.

Im Zuge der Aufregung auf Twitter ist kirche.social wie das Fediverse, also die Gesamtheit der föderierten sozialen Dienste, deutlich gewachsen. Im Interview erzählen Johannes Brakensiek und Christian Brecheis vom LuKi e.V. von den Herausforderungen und Besonderheiten, die ein kirchliches soziales Netzwerk mit sich bringt.

Weiterlesen

Hallo Mastodon – Wochenrückblick KW 47/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Bei Twitter ist nach der Musk-Übernahme Endzeitstimmung. Mit der Unsicherheit, ob’s der Dienst noch länger macht, geht der Boom der dezentralen und datensparsamen Open-Source-Alternative Mastodon einher. Für katholisch.de habe ich mich im (katholischen) Bereich umgehört, wie dort die Umzugsstimmung ist. Mit der steigenden Popularität von Mastodon stellt sich auch die Frage, wie Instanzen datenschutzkonform betrieben werden können. Dazu hat schon vor einem Jahr Christian Brecheis einige Einschätzungen aus seiner Praxis gegeben: Er ist Datenschutzbeauftragter und mit für die Mastodon-Instanz kirche.social zuständig.

Die Caritas-Dienstgeber beschäftigen sich mit dem Urteil des Bundesarbeitsgerichts zum Kündigungsschutz des Datenschutzbeauftragten (Urteil vom 25. August 2022, BAG 2 AZR 225/20) und kommt zu dem Schluss, dass sich die Entscheidung auch auf den betrieblichen Datenschutzbeauftragten gemäß KDG anwenden lässt: »Dieser hat eine vergleichbare Rechtsstellung, wie Datenschutzbeauftragte in weltlichen Einrichtungen, insbesondere greift auch hier gem. § 37 Absatz 4 Satz 1 KDG ein Sonderkündigungsschutz im laufenden Dienstverhältnis ein, so dass eine Kündigung nur aus wichtigem Grund zulässig ist«, heißt es in der Analyse des Urteils.

Das Gutachten zur Einführung einer diözesanen Verwaltungsgerichtsbarkeit im Bistum Münster verzögert sich noch: Der ursprünglich mit der Ausarbeitung beauftragte Emeritus Klaus Lüdicke hat sich mit Bischof Felix Genn überworfen. »Hintergrund waren Meinungsverschiedenheiten zum Umgang mit Vorwürfen gegen einen Priester […], weil ich die von mir eingeleiteten Untersuchungen nicht sofort einstellen wollte«, heißt es in Genns Zwischenbericht. Neu beauftragt wurden Lüdickes Nachfolger Thomas Schüller (einer der wenigen Kanonist*innen, die schon zum kirchlichen Datenschutzrecht publiziert haben) und sein Mitarbeiter Thomas Neumann. Die prüfen nun nicht nur die Möglichkeit, sondern wollen bis Mai auch eine mögliche Ordnung für das Münsteraner kirchliche Verwaltungsgericht vorlegen.

Neues vom DSG-EKD-Kommentar: Der ursprünglich für das zweite Quartal 2022 angekündigte Kommentar ist laut Auskunft des Nomos-Verlags nun erst im Mai 2023 zu erwarten. Pünktlich zur Evaluierungsfrist des DSG-EKD.

In eigener Sache: Im Podcast Spiritualität 9.0 habe ich mit Claus Geißendörfer über kirchlichen Datenschutz und Rechtskultur in der Kirche gesprochen.

Weiterlesen

IDSG zeigt Kriterien für konkludente Einwilligung

Schreiben Sie eine Antwort

Einwilligungen sind anspruchsvoll. Sie müssen freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Das KDG sieht zudem vor, dass sie in der Regel schriftlich eingeholt werden. Und dennoch ist unter diesen Bedingungen eine konkludente Einwilligung möglich.

Daumen hoch ist auch Einwilligung
Daumen hoch kann auch informierte Einwilligung sein, ganz ohne Schriftform (Bildquelle: Amol Kudal on Unsplash)

In den Datenschutzgesetzen werden die Bedingungen für eine konkludente Einwilligung nicht geregelt. Das Interdiözesane Datenschutzgericht hatte zwar schon zuvor konkludente Einwilligungen angenommen – aber erst mit der nun veröffentlichten Entscheidung (IDSG 01/2021 vom 24. Mai 2022) gibt es Kriterien, welche Anforderungen daran gestellt werden.

Weiterlesen

Wo gilt kirchlicher Datenschutz? – Wochenrückblick KW 46/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Für die Stiftung Datenschutz habe ich einen Praxisratgeber kirchlicher Datenschutz verfasst, der sich an Verantwortliche in kirchlichen und kirchennahen Vereinen und Einrichtungen richtet. In dieser Woche ist er zusammen mit der Aufzeichnung des Webinars zum Thema erschienen. Oft ist dabei die größte Schwierigkeit, herauszufinden, ob die Stelle kirchlich genug ist, um an der kirchlichen Selbstverwaltung teilzuhaben. Nur dann kommt kirchliches Recht zur Anwendung. Einen Schwerpunkt nehmen daher ein paar Faustregeln und Strategien ein, wie man feststellt, ob überhaupt kirchliches Datenschutzrecht gilt. Dazu kommt dann noch ein Blick auf typische Besonderheiten kirchlicher Datenschutzgesetze.

Bei der kirchenrechtlichen Tagung »De processibus matrimonialibus« hat die Bonner Kirchenrechtlerin Judith Hahn am Donnerstag über Sachurteile in kirchlichen Missbrauchsverfahren gesprochen: can. 1726 CIC legt fest, dass der kirchlicher Richter bei offenkundiger Unschuld dies per Urteil feststellen muss, auch dann, wenn der Vorwurf verjährt ist. Hahn bringt diese Norm in Zusammenhang mit dem hier schon häufiger als »Datenschutzkanon« thematisierten can. 220 CIC, der den Schutz des guten Rufs und der Intimsphäre regelt. Die Kehrseite, die auch Hahn anspricht: Wo es einen Freispruch erster Klasse gibt, wird ein Freispruch aus Mangel an Beweisen gerade zum Makel. (Ausführlich dazu Hahns Beitrag für das Oxford Journal of Law and Religion.)

Weiterlesen