Archiv der Kategorie: Aufsichtsbehörden

Vor Gericht und bei der Evaluierung – Jahresausblick 2024

So voll der Jahresrückblick auch immer ist – wie viele Themen dann doch wieder im Ausblick erscheinen, zeigt, wie lange vieles doch geht. Immerhin: Mit dem KDSZ Bayern und dem DSG-EKD-Kommentar konnten viele Dinge von der Liste gestrichen werden. Vor allem die gerichtliche Klärung von Fragestellungen dauert aber – und das nicht nur in den Fällen, die eine Runde über den EuGH drehen.

Jahresaublick Kirchlicher Datenschutz 2024
(Bildquelle: Kajetan Sumila auf Unsplash, Montage fxn)
Weiterlesen

Fake-Facebook-Verbot und kontroverse Aufarbeitung – Jahresrückblick 2023

An einige Prognosen des Jahresausblicks für 2023 kann man Haken setzen: In Sachen Facebook-Fanpages ging es ein bisschen weiter, der EU-US-Datentransfer ist wieder einfach möglich, das KDSZ Bayern errichtet und der DSG-EKD-Kommentar ist endlich erschienen. Anderes bleibt offen: In die DSG-EKD-Evaluierung kam etwas Bewegung, aber akut wird sie erst 2024, von der KDG-Evaluierung gab es gar nichts Neues.

Jahresrückblick kirchlicher Datenschutz
(Bildquelle: Kajetan Sumila auf Unsplash, Montage fxn)

Geprägt war das Jahr 2023 im kirchlichen Datenschutz neben dem Umgang mit Facebook-Fanpages besonders stark von Fragen der Missbrauchsaufarbeitung: Betroffenenrechte von Betroffenen und Beschuldigten wurden kontrovers diskutiert, es gab Täternamen-Veröffentlichungen, neue Gesetze, Entscheidungen von staatlichen Gerichten und kirchlichen Datenschutzaufsichten.

Weiterlesen

Belgische Datenschutzaufsicht sieht Löschrecht für Taufbucheinträge

Bisher haben Datenschutzaufsichten und Gerichte immer gegen Löschanträge in Bezug auf Taufregister entschieden und ein überwiegendes Interesse der Kirche angenommen. Dass man es als Aufsicht auch anders sehen kann, zeigt nun eine Entscheidung der belgischen Datenschutzbehörde: Das Bistum Gent muss das Löschbegehren einer aus der Kirche ausgetretenen Person erfüllen, das Interesse der Kirche überwiegt aus Sicht der Behörde nicht das Interesse der betroffenen Person.

Goldene Muschel zur Taufspendung auf einem Taufstein
Die Taufe begründet die Mitgliedschaft in der Kirche. Das hat auch datenschutzrechtliche Konsequenzen. (Bildquelle: Josh Eckstein auf Unsplash)

Anders als die irische Aufsicht in ihrer jüngsten Entscheidung dazu lässt sich die belgische nicht von den Argumenten der Kirche überzeugen: Auch wenn die Zwecke der Datenverarbeitung in Kirchenbüchern legitim sind – eine unbegrenzte Speicherung selbst der Daten von Ausgetretenen geht der Gegevensbeschermingsautoriteit zu weit.

Im Volltext: Klacht wegens het nalaten om op passende wijze een verzoek tot verwijdering van persoonsgegevens uit het doopregister van de Rooms-Katholieke kerk in te willigen, Entscheidung 169/2023 vom 19. Dezember 2023

Weiterlesen

Lücken bei der Datenschutz-Aufsicht: Analogie ist keine Lösung

Eine Entscheidung des Verwaltungsgerichts Hannover zum Datenschutz bei der Selbständigen Evangelisch-Lutherischen Kirche (Urteil vom 30.11.2022,10 A 1195/21; nicht rechtskräftig) hat etliche Grundsatzfragen für den kirchlichen Datenschutz aufgeworfen und (für den Einzelfall sowie nicht rechtskräftig, da die Berufung beim Niedersächsischen Oberverwaltungsgericht in Lüneburg anhängig ist) beantwortet. Unter anderem ist das VG Hannover der Meinung, die Datenschutzaufsicht über öffentlich-rechtliche Religionsgemeinschaften ohne eigenes Datenschutzrecht liege trotz fehlender Gesetzesgrundlage bei den (staatlichen) Landesbeauftragten für Datenschutz. Diesem Thema wird hier nachgegangen (und der Auffassung des VG Hannover widersprochen).

Ein Puzzle mit einem fehlenden Teil.
Ein Teil fehlt im komplexen Aufsichts-Puzzle in Deutschland – mit Analogien bekommt man es nicht fertig, argumentiert Ralph Wagner. (Bildquelle: Sigmund auf Unsplash)

Bereits vor der Hannoveraner Entscheidung gab es Irritationen und Uneinigkeit zur korrekten Einordnung von Religionsgemeinschaften in die (seltsame und wohl EU-weit einmalige) Dichotomie des deutschen Datenschutzrechts aus öffentlichen und nicht-öffentlichen Stellen. Aus dieser Zweiteilung und den Zuordnungs-Schwierigkeiten ergibt sich in der Folge (u. a.) die Unklarheit bei der Bestimmung der Datenschutzaufsicht. Bei näherem Hinsehen zeigt sich, dass eine grundsätzliche Änderung des deutschen Datenschutzrechts nötig wäre, um vollständige Abhilfe zu schaffen. Rechtspolitisch sind derartige Schritte für die nächsten Jahre extrem unwahrscheinlich. Aber der Reihe nach.

Weiterlesen

Datenschutzaufsichtsfreie Räume für Religionen in Bayern

In der EU soll es keine datenschutzfreien Räume geben: Alle verantwortlichen Stellen müssen sich an Datenschutzrecht halten und unterliegen einer Datenschutzaufsicht. Das gilt auch für Religionsgemeinschaften, sollte man denken. Bisher war das Bild klar: Entweder haben Kirchen eine eigene spezifische Aufsicht eigerichtet und kümmern sich selbst darum – oder die örtlich zuständige Landesdatenschutzaufsicht ist am Zug.

Innenraum der Kathedrale der rumänischen Metropolie in Nürnberg
Die Rumänische Orthodoxe Metropolie für Deutschland, Zentral- und Nordeuropa hat ihren Sitz in Nürnberg, wo auch die Kathedrale steht. Die Metropolie ist als KdÖR errichtet und hat kein eigenes Datenschutzrecht. (Bildquelle: UlrichAAB (CC BY-SA 3.0) (bearbeitet und zugeschnitten))

Doch nicht alle Landesdatenschutzaufsichten sehen sich als zuständig für alle Religionsgemeinschaften an: Trotz identischer Rechtslage dank DSGVO und weitgehend analoger Rechtslage in den Landesdatenschutzgesetzen gibt es Aufsichten, die sich nicht für als Körperschaft des öffentlichen Rechts organisierte Religions- und Weltanschauungsgemeinschafen ansehen – und damit in ihrem Bundesland doch einen datenschutzfreien Raum lassen. Mindestens in Bayern ist das der Fall – weitere Antworten stehen noch aus.

Update, 19. Oktober 2023: Die Aufsicht in Thüringen hat mittlerweile ihre Rechtsaufsicht geändert und geht jetzt von einer Zuständigkeit aus. Der Artikel wurde entsprechend ergänzt.
Weitere Antworten der zuvor fehlenden Aufsichten werden laufend ergänzt.

Weiterlesen

So prüft die NRW-Datenschutzaufsicht kirchlichen Datenschutz

Verschiedene Datenschutzaufsichten prüfen seit Jahren eigenes Datenschutzrechts von Religionsgemeinschaften. Die LDI NRW hatte die alt-katholische Kirche im Blick. Auf die jüngste Auskunft vor einem Monat, dass es keinen offenen Vorgang mehr gibt, habe ich noch einmal einen IFG-Antrag gestellt, nachdem zuvor ein zentraler Aktenvermerk geheim gehalten wurde. Dieser Aktenvermerk wurde nun leicht geschwärzt herausgegeben.

Titelseite des Aktenvermerks der LDI NRW zur Prüfung von Art. 91 DSGVO
Sieben Seiten umfasst der Aktenvermerk aus der NRW-Datenschutzaufsicht zur Prüfung der Vorgaben von Art. 91 DSGVO

Im Aktenvermerk wurden Entscheidungsvorschläge geschwärzt, die für den noch nicht abgeschlossenen Prozess der Willensbildung der Aufsicht erforderlich sind. Was in dem siebenseitigen Vermerk übrig bleibt, ist immer noch interessant und erhellt, wie zumindest die NRW-Aufsicht Art. 91 DSGVO sieht (mit Stand September 2021).

Der Aktenvermerk im Volltext ist auf FragDenStaat.de verfügbar.

Weiterlesen

Empfindliche Buße – Tätigkeitsbericht 2022 des KDSZ Frankfurt

Im vergangenen Jahr musste die Frankfurter Diözesandatenschutzbeauftragte einen Katastrophenbericht abgeben: Corona und Hochwasser. In diesem Jahr hat sich die Lage entspannt. Das Hochwasser ist kein Thema mehr, die Corona-Themen tauchen wohl zum letzten Mal auf. Der Tätigkeitsbericht des KDSZ Frankfurt für 2022 ist im neuen Normal angekommen.

Titelseite des Tätigkeitsberichts des KDSZ Frankfurt für 2022
Der Tätigkeitsbericht für 2022 ist mit 40 Seiten, davon einige zur Dokumentation von Positionen der katholischen Datenschutzkonferenz, noch kompakt.

Der Frankfurter Tätigkeitsbericht ist immer eher praktisch angelegt: Einige plastische Fallschilderungen, zu streitigen Fragen des Datenschutzrechts dagegen kaum etwas. Zahlen gibt es kaum, aber so deutliche Hinweise auf verhängte Geldbußen wie bei keiner anderen kirchlichen Aufsicht. Ein guter Vorsatz zu Geld und Zahlen wurde leider auch dieses Jahr nicht umgesetzt.

Weiterlesen

Irische Datenschutzaufsicht sieht kein Recht auf Löschung im Taufbuch

Es gibt kein Recht auf Vergessenwerden im Taufregister – jedenfalls nicht zu Lebzeiten. Nach mehreren Jahren hat die irische Datenschutzaufsicht über Beschwerden gegen das Erzbistum Dublin entschieden, mit denen Austrittswillige die Löschung ihrer Daten aus den Kirchenbüchern erstreiten wollten.

Statue in der Dubliner St. Patrick's Cathedral
Statue in der Dubliner St. Patrick’s Cathedral (Bildquelle: Tommy Bond on Unsplash)

Die Entscheidung ist auf den 27. Februar datiert, wurde laut dem Dateinamen aber erst im September auf der Webseite der Datenschutzaufsicht veröffentlicht. Auf 183 Seiten legt die Datenschutzbeauftragte Helen Dixon ihre Entscheidung vor. Auch wenn das Erzbistum in einigen Details keinen Erfolg hatte: Im Großen und Ganzen ist die Praxis der Kirchenbuchführung rechtmäßig.

Im Volltext: Inquiry into processing of Church Records by the Archbishop of Dublin (‚the Archbishop‘), Az. IN-19-7-6

Weiterlesen

Fünf Jahre DSGVO – auf der Suche nach digitaler Souveränität

Auch im Jahr sechs der Geltung der DSGVO gibt es immer noch eine Ambivalenz zwischen Anspruch und Wirklichkeit des Datenschutzes, stellte die frisch aus dem Amt geschiedene niedersächsische Landesdatenschutzbeauftragte Barbara Thiel beim Podium auf der von Althammer & Kill organisierten Fachtagung »Datenschutz & Informationssicherheit« am Donnerstag in Paderborn fest.

Von links nach rechts auf dem Podium: Erik Kahnt (Stv. des Datenschutzbeauftragten für Kirche und Diakonie (DSBKD)), Christian Schultz (kaufmännischer Vorstand der Diakonie Stiftung Salem) und Barbara Thiel (Landesbeauftragte für den Datenschutz in Niedersachsen a. D.)
Auf dem Podium diskutierten Erik Kahnt, Barbara Thiel und Christian Schultz. Schultz, kaufmännischer Vorstand der Diakonie Stiftung Salem, berichtete über den Ransomware-Angriff auf seine Einrichtung, der die komplette IT lahmgelegt hatte. (Foto fxn/Montage)

Die DSGVO sei mit dem Anspruch angetreten, einheitliches Recht für sämtliche europäische Mitgliedsstaaten zu schaffen und das Recht zu harmonisieren. Der Anspruch sei von vorherein durch Öffnungsklauseln und teils überschießender Ausfüllen der Spielräume vor allem in Deutschland aufgeweicht worden, klagte Thiel: »Das empfinde ich als äußerst misslich, dass wir so viel an nationalem Recht haben, insbesondere im Bereich der Wirtschaft.«

Weiterlesen

Nach Beanstandung durch Aufsicht: EKBO-Intranet auf dem Weg der Besserung

Bei der vom BfD EKD in seinem neuen Tätigkeitsbericht aufgrund umfangreicher Datenabfrage bei der Intranet-Registrierung bemängelten Landeskirche handelt es sich wie schon vermutet um die EKBO. Auf Anfrage bestätigte eine Sprecherin, dass man davon ausgehe, dass sich der Bericht auf ihre Landeskirche beziehe. Das EKBO-Intranet ist unter der URL info-gemeinsam.ekbo.de erreichbar. Eine Sprecherin der EKiR teilte dagegen mit, dass ihr – augenscheinlich auf derselben Software basierendes – Intranet nicht im Tätigkeitsbericht erwähnt wird.

Die Anmeldemaske des EKBO-Intranets auf einem Smartphone-Bildschirm. Deutlich ist zu erkennen, dass ein Geburtsdatum einzugeben ist.
Immer noch Pflicht: das Geburtsdatum
Weiterlesen