Archiv der Kategorie: Aufsichtsbehörden

Mehr Unabhängigkeit für den NRW-Diözesandatenschutzbeauftragten

Das Katholische Datenschutzzentrum Dortmund hat eine neue Satzung. Die alte war ein wenig in die Jahre gekommen – seit 2015 ist sie unverändert in Kraft. Seither ist viel passiert: Vor allem natürlich die große Datenschutzreform 2018, die bislang noch gar nicht nachvollzogen war. Dazu kommt aber auch deutliche Kritik an der Konstruktion, den Verwaltungsrat der Aufsicht mit den Diözesanbischöfen zu besetzen, die die Aufsicht beaufsichtigen soll.

Das Siegel des Katholischen Datenschutzzentrums Dortmund zeigt den hl. Ivo.
Das Siegel des Katholischen Datenschutzzentrums Dortmund zeigt den hl. Ivo, den Patron des Datenschutzes. (Foto: fxn)

Nach fast zehn Jahren haben die nordrhein-westfälischen Diözesanbischöfe ihre Datenschutzaufsicht nun auf eine punktuell angepasste neue Grundlage gestellt. Die Aufsicht selbst stapelt eher tief und spricht von »kleinere[n] Anpassungen an die praktischen Erfahrungen der letzten Jahre«. Im Detail zeigt sich aber, dass zumindest Teile der Kritik gehört wurden.

Die neue Satzung wurde zuerst im aktuellen Amtsblatt des Bistums Essen veröffentlicht. Die alte Fassung findet sich im Ministerialblatt NRW.

Weiterlesen

Harmonisiertes Bußkonzept – Tätigkeitsbericht der KDSA Nord 2023

Der erste Neue hat seinen ersten Bericht vorgelegt: der seit 1. Januar 2023 amtierende Diözesandatenschutzbeauftragte der Nordbistümer Andreas Bloms hat den Tätigkeitsbericht 2023 der KDSA Nord veröffentlicht. (Der zweite Neue in Bayern steht noch aus.)

Titelseite des 10. Tätigkeitsbericht der KDSA Nord

Das Layout bleibt nordisch nüchtern und blau, das Format wurde etwas verändert. Neu sind graue Kästen mit Hinweisen dazu, was zu den referierten Themen zu beachten ist – kompakt und praxisnah.

Weiterlesen

Verfahren zum Umgang mit Datenpannen – das wollen die Aufsichten wissen

In der vergangenen Woche kündigten die katholischen Datenschutzaufsichten der Nord- und Südwest-Bistümer an, 100 Einrichtungen aus dem Sozialbereich und Pfarreien zum Umgang mit Datenpannen zu befragen.

Warnleuchte auf einem Kasten an einer Hecke
Wenn die Alarmleuchte angeht, sollte klar sein, was man tut, wer es tut und warum. (Foto von Lucas Law auf Unsplash)

Der Fragebogen ist nicht öffentlich, mir wurde er jetzt aber aus Kreisen von befragten Einrichtungen zugespielt. Es handelt sich um ein online auszufüllendes Formular, das grundsätzlich recht kompakt ist. Aus den Fragen lässt sich einiges darüber ablesen, wie ein gutes Verfahren zum Umgang mit Datenschutzverletzungen nach der Vorstellung der Aufsichten aussieht.

Weiterlesen

Aufsichtserschütterndes Urteil dräut – Tätigkeitsbericht 2023 des KDSZ Frankfurt

Für das KDSZ Frankfurt ist das vergangene Jahr »das Jahr, in dem ›KI‹ verstärkt Fahrt aufnahme«, heißt es im frisch erschienenen Tätigkeitsbericht 2023. Allzu viele Fälle mit KI-Bezug werden allerdings nicht beschrieben.

Titelseite des Tätigkeitsberichts für 2023 des KDSZ Frankfurt

Viel interessanter ist ein Fall, bei dem die katholische Südwest-Aufsicht beteiligt ist und der in der zweiten Instanz vor dem Datenschutzgericht der DBK verhandelt wird: Hier sieht die Aufsicht je nach Ausgang große Konsequenzen für die katholischen Aufsichten insgesamt.

Weiterlesen

Renitente Verantwortliche – Tätigkeitsbericht 2023 der KDSA Ost

Die KDSA Ost hat ihren Tätigkeitsbericht für das Berichtsjahr 2023 vorgelegt. Auf 116 Seiten geht es vor allem praxisorientiert zu: Detaillierte Prüfberichte und Schilderungen, wie man etwa ein Verarbeitungsverzeichnis einer Kita richtig gestaltet, machen diesen Bericht zur Arbeitshilfe.

Titelseite des Tätigkeitsberichts 2023 der KDSA Ost

Krass sind einige der Fälle, die der Diözesandatenschutzbeauftragte Matthias Ullrich schildert: Von einem plastischen Chirurgen, der Fotos einer Patientin zweckentfremdet bis zu einem Bistum, das so gar keine Lust hat, auf ein Auskunftsersuchen zu reagieren, tun sich Abgründe auf. In den beiden Fällen gab es kein Bußgeld – ein weiterer Extremfall hat aber sogar eine fünfstellige Buße nach sich gezogen. Ein Motiv zieht sich in vielen Fällen durch: Wo es schief läuft, sorgt renitentes Verhalten von Verantwortlichen oft für weitere Eskalation.

Weiterlesen

Ordentlich gelobt – Bericht der Ordensdatenschutzaufsicht 2023

Letztes Jahr hatte der Norden die Nase vorn, in diesem Jahr beginnt wieder die Ordensdatenschutzaufsicht den Reigen der Tätigkeitsberichte mit dem Rückblick auf Februar 2023 bis Januar 2024. Geprägt ist er von viel Lob: In den Orden päpstlichen Rechts scheint es sehr gut zu laufen – davon zeugen auch die Zahlen, die veröffentlicht wurden.

Die Zahl der beaufsichtigten Ordensgemeinschaften ist mit 238 konstant. Der fromme Wunsch des vergangenen Jahres, dass Corona Vergangenheit sein möge, konnte erst in der zweiten Hälfte des Berichtszeitraums erfüllt werden – erstmals waren wieder Vor-Ort-Prüfungen möglich.

Weiterlesen

Vor Gericht und bei der Evaluierung – Jahresausblick 2024

So voll der Jahresrückblick auch immer ist – wie viele Themen dann doch wieder im Ausblick erscheinen, zeigt, wie lange vieles doch geht. Immerhin: Mit dem KDSZ Bayern und dem DSG-EKD-Kommentar konnten viele Dinge von der Liste gestrichen werden. Vor allem die gerichtliche Klärung von Fragestellungen dauert aber – und das nicht nur in den Fällen, die eine Runde über den EuGH drehen.

Jahresaublick Kirchlicher Datenschutz 2024
(Bildquelle: Kajetan Sumila auf Unsplash, Montage fxn)
Weiterlesen

Fake-Facebook-Verbot und kontroverse Aufarbeitung – Jahresrückblick 2023

An einige Prognosen des Jahresausblicks für 2023 kann man Haken setzen: In Sachen Facebook-Fanpages ging es ein bisschen weiter, der EU-US-Datentransfer ist wieder einfach möglich, das KDSZ Bayern errichtet und der DSG-EKD-Kommentar ist endlich erschienen. Anderes bleibt offen: In die DSG-EKD-Evaluierung kam etwas Bewegung, aber akut wird sie erst 2024, von der KDG-Evaluierung gab es gar nichts Neues.

Jahresrückblick kirchlicher Datenschutz
(Bildquelle: Kajetan Sumila auf Unsplash, Montage fxn)

Geprägt war das Jahr 2023 im kirchlichen Datenschutz neben dem Umgang mit Facebook-Fanpages besonders stark von Fragen der Missbrauchsaufarbeitung: Betroffenenrechte von Betroffenen und Beschuldigten wurden kontrovers diskutiert, es gab Täternamen-Veröffentlichungen, neue Gesetze, Entscheidungen von staatlichen Gerichten und kirchlichen Datenschutzaufsichten.

Weiterlesen

Belgische Datenschutzaufsicht sieht Löschrecht für Taufbucheinträge

Bisher haben Datenschutzaufsichten und Gerichte immer gegen Löschanträge in Bezug auf Taufregister entschieden und ein überwiegendes Interesse der Kirche angenommen. Dass man es als Aufsicht auch anders sehen kann, zeigt nun eine Entscheidung der belgischen Datenschutzbehörde: Das Bistum Gent muss das Löschbegehren einer aus der Kirche ausgetretenen Person erfüllen, das Interesse der Kirche überwiegt aus Sicht der Behörde nicht das Interesse der betroffenen Person.

Goldene Muschel zur Taufspendung auf einem Taufstein
Die Taufe begründet die Mitgliedschaft in der Kirche. Das hat auch datenschutzrechtliche Konsequenzen. (Bildquelle: Josh Eckstein auf Unsplash)

Anders als die irische Aufsicht in ihrer jüngsten Entscheidung dazu lässt sich die belgische nicht von den Argumenten der Kirche überzeugen: Auch wenn die Zwecke der Datenverarbeitung in Kirchenbüchern legitim sind – eine unbegrenzte Speicherung selbst der Daten von Ausgetretenen geht der Gegevensbeschermingsautoriteit zu weit.

Im Volltext: Klacht wegens het nalaten om op passende wijze een verzoek tot verwijdering van persoonsgegevens uit het doopregister van de Rooms-Katholieke kerk in te willigen, Entscheidung 169/2023 vom 19. Dezember 2023

Weiterlesen

Lücken bei der Datenschutz-Aufsicht: Analogie ist keine Lösung

Eine Entscheidung des Verwaltungsgerichts Hannover zum Datenschutz bei der Selbständigen Evangelisch-Lutherischen Kirche (Urteil vom 30.11.2022,10 A 1195/21; nicht rechtskräftig) hat etliche Grundsatzfragen für den kirchlichen Datenschutz aufgeworfen und (für den Einzelfall sowie nicht rechtskräftig, da die Berufung beim Niedersächsischen Oberverwaltungsgericht in Lüneburg anhängig ist) beantwortet. Unter anderem ist das VG Hannover der Meinung, die Datenschutzaufsicht über öffentlich-rechtliche Religionsgemeinschaften ohne eigenes Datenschutzrecht liege trotz fehlender Gesetzesgrundlage bei den (staatlichen) Landesbeauftragten für Datenschutz. Diesem Thema wird hier nachgegangen (und der Auffassung des VG Hannover widersprochen).

Ein Puzzle mit einem fehlenden Teil.
Ein Teil fehlt im komplexen Aufsichts-Puzzle in Deutschland – mit Analogien bekommt man es nicht fertig, argumentiert Ralph Wagner. (Bildquelle: Sigmund auf Unsplash)

Bereits vor der Hannoveraner Entscheidung gab es Irritationen und Uneinigkeit zur korrekten Einordnung von Religionsgemeinschaften in die (seltsame und wohl EU-weit einmalige) Dichotomie des deutschen Datenschutzrechts aus öffentlichen und nicht-öffentlichen Stellen. Aus dieser Zweiteilung und den Zuordnungs-Schwierigkeiten ergibt sich in der Folge (u. a.) die Unklarheit bei der Bestimmung der Datenschutzaufsicht. Bei näherem Hinsehen zeigt sich, dass eine grundsätzliche Änderung des deutschen Datenschutzrechts nötig wäre, um vollständige Abhilfe zu schaffen. Rechtspolitisch sind derartige Schritte für die nächsten Jahre extrem unwahrscheinlich. Aber der Reihe nach.

Weiterlesen