Archiv des Autors: Felix Neumann

Über Felix Neumann

Felix Neumann ist Journalist und berichtet hauptsächlich über kirchliche Themen. Der Politikwissenschaftler hat die Qualifizierung zum Betrieblichen Datenschutzbeauftragten (IHK) absolviert und berät freiberuflich kirchliche Verbände und Institutionen zu praktischen Fragen des Datenschutzes und durch Datenschutzschulungen.

SELK kämpft um ihr Recht – Wochenrückblick KW 2/2023

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Streit zwischen SELK und LfD Hannover geht in die nächste Runde: Die Kirche hat Berufung gegen das Urteil eingelegt, mit dem das eigene Datenschutzrecht für nichtig erklärt wurde. Die Begründung dafür werde gerade noch erarbeitet, teilte ein Sprecher der SELK auf Anfrage mit.

Der erste Tätigkeitsbericht des Jahres ist da: Bei der KDSA Nord legt der zum Jahresende in den Ruhestand verabschiedete Diözesandatenschutzbeauftragte Andreas Mündelein für 2022 seinen letzten Tätigkeitsbericht vor. Eine ausführliche Besprechung folgt hier am Montag.

Die KDSA Ost weist darauf hin, dass mit dem wahrscheinlichen Auslaufen der einrichtungsbezogenen Impfpflicht auch die Rechtsgrundlage für die Speicherung des Impfstatus wegfällt. Es gilt also, ein Löschkonzept parat zu haben.

Im Vatikan haben sich Vertreter von Islam und Judentum dem »Rome Call for A.I. Ethics« angeschlossen, den die Päpstliche Akademie für das Leben 2020 mit anderen Akteuren aus Wirtschaft und Politik verabschiedet haben. Zu den sechs kaum ausgeführten Prinzipien, die eine verantwortungsvolle Entwicklung von Künstlicher Intelligenz sicherstellen sollen, gehören als letztes Prinzip Sicherheit und Privatsphäre. In seiner Ansprache an die Teilnehmenden der Konferenz betonte Papst Franziskus vor allem Inklusion: »Jeder Mensch muss in den Genuss einer menschlichen und solidarischen Entwicklung kommen können, ohne dass jemand ausgeschlossen wird. Wir müssen daher wachsam sein und darauf hinwirken, dass die diskriminierende Anwendung dieser Instrumente nicht auf Kosten der Schwächsten und Ausgegrenzten geht. Wir sollten uns immer vor Augen halten, dass die Art und Weise, wie wir die Letzten und Geringsten unserer Brüder und Schwestern behandeln, etwas über den Wert aussagt, den wir dem gesamten menschlichen Leben beimessen. Nehmen wir das Beispiel der Asylbewerber: Es ist nicht akzeptabel, dass die Entscheidung über das Leben und die Zukunft eines Menschen einem Algorithmus anvertraut wird.«

Weiterlesen

An erster Stelle Beratung – das plant der neue Chef der KDSA Nord

Schreiben Sie eine Antwort

Zum Jahreswechsel gab es erstmals seit Inkrafttreten des neuen Datenschutzrechts 2018 einen Wechsel im Kreis der Diözesandatenschutzbeauftragten: Bei der KDSA Nord hat Andreas Bloms die Leitung als Nachfolger von Andreas Mündelein übernommen. Er ist zuständig für die Bistümer Hamburg, Hildesheim und Osnabrück sowie das Bischöflich Münstersche Offizialat in Vechta. In seinem ersten Interview als oberster katholischer Datenschützer im Norden gibt Bloms einen Ausblick über Themen und Schwerpunkte, die er in seiner Amtszeit erwartet – und wie sein erster Beruf im heute noch hilft, Datenschutz mit Augenmaß zu gestalten.

Porträtfoto von Andreas Bloms
Andreas Bloms (Jahrgang 1977) ist Volljurist und seit 1. Januar 2023 als Leiter der Katholischen Datenschutzaufsicht Nord Diözesandatenschutzbeauftragter für das Erzbistum Hamburg, die Bistümer Hildesheim und Osnabrück sowie das Offizialat Vechta. Zuvor war er stellvertretender Leiter der Aufsicht. Nach einer Ausbildung zum examinierten Krankenpfleger und Jurastudium war er zunächst im Bereich Steuer- und Energierecht tätig, ehe er sich auf Datenschutz spezialisierte.
Weiterlesen

Namenlos in der MS365-Cloud – Wochenrückblick KW 1/2023

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Noch vor Weihnachten hat die Datenschutzaufsicht der bayerischen Diözesen eine Ankündigung zum Umgang mit MS-365-Installationen veröffentlicht. Der Diözesandatenschutzbeauftragte kündigt darin seinen Umgang mit Neu- und Bestandsinstallationen an, nachdem die katholische Datenschutzkonferenz dazu keinen Beschluss gefasst hat. Für Neuinstallationen nach dem 21. 12. 2022 wird von einer Beanstandung abgesehen, wenn MS Onedrive dauerhaft abgeschaltet wird und Datenflüsse an Microsoft unterbunden werden. Außerdem müssen Accounts ohne personalisierte Benutzernamen und E-Mail-Postfächer eingerichtet werden. Zulässig sind pseudonymisierte Benutzernamen und Funktionspostfächer. Für Bestandsinstallationen wird für ab April eine Anordnung angekündigt, »wenn feststeht, ob die Bemühungen der USA und der EU um eine Nachfolgeregelung des „privacy shields“ Erfolg hatten«.

Die Diözesandatenschutzbeauftragte für die Südwest-Bistümer Ursula Becker-Rathmair wurde für eine weitere Amtszeit vom 1. Januar 2023 bis zum 31. Dezember 2027 bestellt. Als erste der beteiligten Diözesen hat das Erzbistum Freiburg die Bestellung veröffentlicht.

Die fünf nordrhein-westfälischen Bistümer haben eine öffentlich-rechtliche Vereinbarung zur Regelung der Zusammenarbeit auf verschiedenen Gebieten geschlossen; dazu gehört auch die gemeinsame Datenschutzaufsicht. In der Sache ändert sich für das Katholische Datenschutzzentrum Dortmund dadurch nichts. Während bei den anderen genannten Bereichen der Zusammenarbeit – von der Rundfunkmedienarbeit bis zur Polizeiseelsorge – in den jeweiligen Abschnitten »vereinbart« wird, »dass diese Tätigkeit eine öffentliche Aufgabe ist und daher zwingend von einer juristischen Person des öffentlichen Rechts zu erbringen ist«, wird das (nur) bei der Datenschutzaufsicht anders formuliert: »Gemäß Art. 91 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 i.V.m. §§ 42 ff. der jeweiligen bischöflichen Gesetze über den Kirchlichen Datenschutz (KDG) ist diese Tätigkeit eine öffentliche Aufgabe und daher zwingend von einer juristischen Person des öffentlichen Rechts zu erbringen.« Das überrascht: Art. 91 Abs. 2 DSGVO regelt spezifische Aufsichtsbehörden, ohne ihre Tätigkeit als »öffentliche Aufgabe« zu definieren. Sie müssen lediglich die Anforderungen aus Kapitel VI DSGVO erfüllen. Dort ist zwar von »Behörden« die Rede, nicht aber von bestimmten Rechtsformen, die Aufsicht wird auch dort nicht als »öffentliche Aufgabe« bezeichnet. Das KDG regelt nichts zur Rechtsform und spricht nicht von »öffentlicher Aufgabe«, und auch in der Kommentarliteratur findet sich dieses angeblich zwingende Erfordernis nicht. Die Praxis spricht auch dagegen: Lediglich in NRW und im Südwesten sind die kirchlichen Aufsichten als KdÖR verfasst (in Bayern und im Norden ist es geplant), alle anderen kirchlichen Datenschutzaufsichten, katholische wie evangelische (und erst recht freikirchliche) haben keine öffentlich-rechtliche Rechtsform. Es spricht also einiges dafür, dass das Rechtsformerfordernis für das KDSZ Dortmund nicht aus zwingenden rechtlichen Gründen, sondern wie bei den anderen Feldern aus der Vereinbarung selbst erwächst.

Der aktuelle »Kanon des Monats« des Würzburger Kirchenrechtlers Martin Rehak widmet sich Benedikt XVI. Darin findet sich auch ein Überblick über sein kirchenrechtliches Wirken. Hier einschlägige Themen spielen dabei fast keine Rolle – nur ein Dekret aus der Zeit Ratzingers als Präfekt der Glaubenskongregation verschärft den Persönlichkeitsrechteschutz bei der Beichte: Die Exkommunikation als Tatstrafe zieht sich zu, wer »mittels irgendeines technischen Gerätes selbst aufnimmt oder durch andere aufnehmen lässt, was bei einer (echten oder simulierten) Beichte vom Beichtvater oder vom Pönitenten gesagt wird. Ebenfalls zieht sich jeder die Exkommunikation als Tatstrafe zu, der solche Aufnahmen durch die sozialen Kommunikationsmittel verbreitet«.

Weiterlesen

VG Hannover kassiert Datenschutzrecht der SELK – Entscheidungsgründe

Schreiben Sie eine Antwort

Im November hat das Verwaltungsgericht Hannover die Klage der Selbständigen Evangelisch-Lutherischen Kirche gegen die Landesdatenschutzbeauftragte Niedersachsen abgewiesen und damit das eigene Datenschutzrecht und die eigene Datenschutzaufsicht der Kirche verworfen. Nun liegen die Entscheidungsgründe vor. (VG Hannover, Urteil vom 30. November 2022, Az. 10 A 1195/21)

Fachgerichtszentrum Hannover mit Urteil SELK ./. LfD Niedersachsen
(Bildquelle: Stefan Brending, Lizenz: Creative Commons by-sa-3.0 de, CC BY-SA 3.0 de, Link; VG Hannover; (zugeschnitten und montiert))

Kurz zusammengefasst lautet das Urteil: Der Wortlaut von Art. 91 DSGVO gilt. Der Kirchenartikel ist wirklich nur eine Bestandsschutzregelung. Eine eingehendere Analyse gibt einige interessante Anhaltspunkte zur Auslegung des Artikels – und wenn das Urteil rechtskräftig werden sollte, werden wohl einige Kommentare umgeschrieben werden müssen.

Weiterlesen

Endlich Evaluierung? Jahresausblick 2023 zum kirchlichen Datenschutz

Schreiben Sie eine Antwort

Im kirchlichen Datenschutz passiert ziemlich viel – das hat der Jahresrückblick 2022 gezeigt. Gleichzeitig passiert bei diversen Dauerbrennern auch ziemlich wenig – der Facebook-Crackdown blieb aus, der DSG-EKD-Kommentar ist immer noch nicht veröffentlicht, das KDSZ Bayern lässt immer noch auf sich warten. 2023 könnte das Jahr werden, in dem zumindest einiges davon endlich Wirklichkeit wird.

Eine Glaskugel auf rotem Stoff, links daneben ein Schlüssel
Blick in die Glaskugel. (Bildquelle: Michael Dziedzic/Unsplash)
Weiterlesen

Dauerbrenner und kontraintutive konfessionelle Transparenz – das war 2022

Schreiben Sie eine Antwort

2022 endet, wie es begonnen hat: Die hier prophezeiten großen Themen können alle auf Wiedervorlage gelegt werden. Die große Facebook-Dämmerung kam nicht – alle warten immer noch auf das Musterverfahren zwischen dem Bundesdatenschutzbeauftragten und dem Bundespresseamt. Bei der Evaluierung der kirchlichen Datenschutzgesetze gibt es auch nichts Neues – das KDG ist nach wie vor überfällig, beim DSG-EKD ist öffentlich keine Bewegung sichtbar. Die KDSA Nord ist immer noch keine KdÖR, und in Bayern ist Jupp Joachimski im 81. Lebensjahr Diözesandatenschutzbeauftragter ohne Aussicht auf Ablöse. Der DSG-EKD-Kommentar ist immer noch nicht da, die KDSGO-Kommentierung auch nicht.

Jahresrückblick kirchlicher Datenschutz 2022
(Bildquelle: Moritz Knöringer on Unsplash)

Vormals große Themen wie der Umgang mit Corona haben an Bedeutung verloren – im Frühjahr wurde noch über den richtigen Umgang mit Impfnachweisen diskutiert, seither ist die Pandemie zumindest datenschutzrechtlich vorbei. Die Tendenz der vergangenen Jahre zeichnet sich also fort: Der kirchliche Datenschutz läuft im Regelbetrieb. Große Aufregerthemen blieben aus, nach Ausnahmejahren der Pandemie können sich Aufsichten und Verantwortliche wieder auf ihre Regelaufgaben konzentrieren.

Weiterlesen

Flut, Kita und Videoüberwachung – Tätigkeitsbericht des KDSZ Dortmund 2021

Schreiben Sie eine Antwort

Gerade noch rechtzeitig vor Weihnachten kommt der letzte Tätigkeitsbericht des Jahres – das KDSZ Dortmund hat sich bis in den Dezember damit Zeit gelassen, über das Jahr 2021 zu berichten. Aus dieser Distanz wirken die großen Themen des Vorjahres schon sehr weit weg – wie stark Corona noch das letzte Jahr geprägt hat, hat man gar nicht mehr präsent.

Cover des Tätigkeitsberichts für 2021 des KDSZ Dortmund
Cover des Tätigkeitsberichts für 2021 des KDSZ Dortmund

Auch in Nordrhein-Westfalen waren einige Regionen von der Flut betroffen, wenn auch nicht so stark wie in Rheinland-Pfalz: Der Tätigkeitsbericht der Südwest-Aufsicht war massiv von diesem Thema und eindrücklichen Katastrophenschilderungen geprägt; in NRW ist es nur ein Thema unter mehreren.

Weiterlesen

DSG-EKD amtlich geändert – Wochenrückblick KW 50/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das DSG-EKD ist nun amtlich geändert: Am Donnerstag veröffentlichte die EKD das Änderungsgesetz im Amtsblatt. (Was sich ändert, stand auch schon mal hier. Spoiler: Nichts Spektakuläres.)

Am Mittwoch fand (wahrscheinlich) das zweite Treffen der Datenschutzkonferenz mit den spezifischen Aufsichten für dieses Jahr statt. Den Termin hatte ich im Sommer mit einer IFG-Anfrage herausgefunden, das Protokoll wird dann wieder per Informationsfreiheitsgesetz zu befreien sein – wie jedes Mal. Auch ohne Transparenzgesetz könnte die DSK die Informationen auch einfach immer von vornherein veröffentlichen.

Zum Ende seiner Amtszeit legt der Gemeinsame Rundfunkdatenschutzbeauftragte von BR, SR, WDR, Deutschlandradio und ZDF einen Abschlussbericht vor. Darin geht er auch noch einmal auf die mangelnde Beteiligung der spezifischen Aufsichten ander Datenschutzkonferenz ein (Rn. 28f.), die er bereits zuvor in einem Positionspapier thematisiert hatte. Konkrete Verabredungen gebe es noch nicht. »Ziel sollte es sein, den nach Auffassung aller Beteiligten bislang unbefriedigenden retrospektiven Austausch durch ein Verfahren zu ersetzen, das eine frühzeitige wechselseitige Information und gegebenenfalls gemeinsame Positionierungen ermöglicht«, so der Rundfunkdatenschutzbeauftragte.

In der aktuellen ZMV befasst sich Matthias Ullrich, der Diözesandatenschutzbeauftragte der Ost-Bistümer und Autor des hier schon besprochenen Buchs »Beschäftigtendatenschutz der katholischen Kirche« mit betrieblichen Datenschutzbeauftragten im staatlichen und kirchlichen Recht. Gewohnt gelungen ist dabei die Verknüpfung von arbeits- und datenschutzrechtlicher Expertise, die auf einige Fragen abhebt, die aus dem Datenschutzrecht allein nicht zu beantworten sind, etwa zur Bestellung (nach Ansicht Ullrichs nicht durch einseitige Übertragung, sondern in der Regel durch eine Arbeitsvertragsänderung vorzunehmen), Probezeit (nicht zulässig, da Anforderungen von Tag 1 an sicher erfüllt sein müssen) sowie Befristung des Amts (in § 36 Abs. 5 KDG und § 36 Abs. 3 DSG-EKD geregelt) und der Stelle (nicht geregelt). Ullricht ist einer Befristung der Stelle zum Unterlaufen der gesetzlichen Mindestbenennungsfristen gegenüber kritisch: »In solchen Fällen ist das befristete Arbeitsverhältnis deshalb aus datenschutzrechtlicher Sicht bei der Benennung zu entfristen oder zumindest auf die Mindestbenennungsdauer für betriebliche Datenschutzbeauftragte zu verlängern.« Im Ergebnis führt das dazu, dass Datenschutzbeauftragte aus Sicht des Datenschutzrechts regelmäßig nicht sachgrundlos befristet beschäftigt werden können – im katholischen Arbeitsrecht ist die maximale sachgrundlose Befristung auf 14 Monate festgelegt, im evangelischen Bereich gilt die gesetzliche Höchstdauer von zwei Jahren.

Die russisch-orthodoxe Kirche hat man nicht als erstes auf dem Zettel, wenn es um grund- und menschenrechtsorientierte Sozialverkündigung geht. Patriarch Kyrill hat sich nun zu biometrischen Datenbanken geäußert: »Die Kirche stimmt den den Experten zu, die darauf hinweisen, dass jede Datenbank mit personenbezogenen Daten, einschließlich biometrischer Daten, nicht vollständig vor Lecks geschützt werden kann. Die Risiken von biometrischer Datenlecks sind aufgrund der Neuartigkeit der Technologie noch nicht vollständig bekannt.« Daher stehe die Kirche für das »grundsätzliche und bedingungslose Recht der Bürger, die biometrische Identifizierung abzulehnen, mit absoluten Garantien der Nicht-Diskriminierung im Falle einer solchen Entscheidung«.

Weiterlesen

Datenschutz in den jüdischen Gemeinden Frankfurts und Württembergs

Schreiben Sie eine Antwort

Natürlich ist die Ausnahmeregel der DSGVO, die Glaubensgemeinschaften eigenes Datenschutzrecht ermöglicht, religionsneutral formuliert. Praktisch wird Art. 91 DSGVO vor allem von christlichen Kirchen genutzt. Es gibt aber doch auch nichtchristliche Gemeinschaften, die Datenschutzrecht setzen: Die Israelitische Religionsgemeinschaft Württembergs und die Jüdische Gemeinde Frankfurt am Main haben beide je eine eigene Datenschutzordnung, die für sich in Anspruch nimmt, Art. 91 DSGVO umzusetzen.

Siegel mit Davidstern
Siegel mit Davidstern (Bildquelle: Marek Studzinski on Unsplash)

Ein Blick in die beiden Datenschutzordnungen zeigt einerseits sehr eigenständige Regelungen: Mit den großen kirchlichen Gesetzesfamilien KDG und DSG-EKD sind sie ersichtlich nicht verwandt. Zugleich fehlt es aber strukturell an Eigenständigkeit: Die Ordnungen wollen DSGVO und BDSG nur ergänzen, nicht ersetzen. Nicht nur das wirft Fragen nach der Vereinbarkeit mit dem Europarecht auf.

Weiterlesen

Evangelische Weite zu MS 365 – Wochenrückblick KW 49/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die evangelischen Datenschutzaufsichten bewerten die Feststellung der Datenschutzkonferenz des Bundes und der Länder zu Microsoft unterschiedlich: Während sich in der vergangenen Woche der BfD EKD den Bericht zumindest in der Überschrift zueigen gemacht hat (»Der Einsatz von Microsoft 365 ist weiterhin nicht datenschutzkonform möglich«), äußert sich nun der Datenschutzbeauftragte für Kirche und Diakonie anders: Derzeit könne keine Aneignung der Feststellung erfolgen, teilte die ostdeutsche Aufsichtsbehörde mit. Begründet wird das mit der mangelnden Beteiligung der spezifischen Aufsichtsbehörden an der DSK: »Aus diesem Grund haben wir keinen Einblick in die Arbeit der Arbeitsgruppe DSK „Microsoft-Onlinedienste“. Außer den oben genannten Dokumenten liegen uns zum heutigen Tag keine weiteren Dokumente vor, insbesondere nicht der vollständige Bericht der genannten Arbeitsgruppe.« Daher bleibt es für den DSBKD bei den Empfehlungen aus seinem aktuellen Tätigkeitsbericht.

Advent ist eine Zeit des Wartens – und so ist diese Woche geprägt von einigem Warten auf Dinge, die eigentlich noch dieses Jahr raus sollten: Immer noch fehlt eine offizielle Ankündigung des Wechsels des Diözesandatenschutzbeauftragten für die Nord-Bistümer (auch wenn sie hier schon vermeldet wurde), der Tätigkeitsbericht der NRW-Aufsicht fehlt noch (soll aber, wie man hört, in den letzten Zügen sein), und wer im kommenden Jahr die Konferenz der Diözesandatenschutzbeauftragten leiten wird, ist auch noch nicht bekannt.

Weiterlesen