Archiv der Kategorie: Aufsichtsbehörden

Licht in die Black box DSG-EKD – Tätigkeitsbericht des Datenschutzbeauftragten für Kirche und Diakonie 2018/19

Lange hat’s gedauert – jetzt liegt der erste Tätigkeitsbericht einer nach DSG-EKD arbeitenden Datenschutzaufsicht vor, dessen Zeitraum komplett in die Geltung des neuen Rechts fällt. Vorgelegt hat ihn der Datenschutzbeauftragte für Kirche und Diakonie, der für die Landeskirchen Sachsens und Sachsen-Anhalts und die Diakonie Sachsens und Mitteldeutschlands zuständig ist, für die Zeit seit Geltung des DSG-EKD bis Ende 2019. (Nein, kein Tippfehler: Der Bericht für 2018/19 ist auf den 10. Februar 2021 datiert und am 30. März 2021 im RSS-Feed aufgetaucht.)

Der Zuständigkeitsbereich des Datenschutzbeauftragten umfasst mehrere östliche Bundesländer.
Der Zuständigkeitsbereich des Datenschutzbeauftragten für Kirche und Diakonie ist kompliziert und überlappt geographisch mit anderen Zuständigkeiten. (Bildquelle: Tätigkeitsbericht/Montage fxn)

Leider sieht das DSG-EKD nur eine Berichtspflicht alle zwei Jahre vor, es gibt nur vier sehr ungleich große Aufsichten, und zusammen mit der insgesamt sehr überschaubaren Anzahl an Fachpublikationen führt das dazu, dass das DSG-EKD und seine Anwendung deutlich schlechter erschlossen ist als das KDG, wo sechs Aufsichten jährliche Berichte abliefern und ein Kommentar vorliegt. Aus dem jetzt erschienenen Tätigkeitsbericht lassen sich so nun auch wichtige Informationen ziehen, die es bisher nicht gab – da ist auch zu verschmerzen, dass die Schilderung konkreter Fälle und eine Auflistung der Fallzahlen so gut wie nicht vorkommt.

Einschätzungen zum DSG-EKD

Sehr erfreulich ist, dass es ein eigenes Kapitel zum DSG-EKD gibt, aus dem einiges zur Genese und zur Kritik am Gesetz hervorgeht – etwa zum extrem knappen Zeitplan vom Beschluss im November 2017 bis zum Inkrafttreten im Mai 2018. Über das Ziel der Umsetzung erfährt man, dass »Differenzierung […] kein bevorzugtes Ziel der Überarbeitung« gewesen sei: »Dem kirchlichen Gesetzgeber ging es nicht darum, die DSGVO oder staatliches Recht einfach abzuschreiben oder irgendwie an kirchliche Gegebenheiten anzupassen. Vielmehr ging es bei der Novellierung und Überarbeitung kirchlichen Datenschutzrechtes darum, einerseits das zum Zeitpunkt des Inkrafttretens der DSGVO geltende DSG-EKD mit dem EU-Recht in Einklang zu bringen und dabei andererseits spezielle kirchliche und diakonische Belange nicht aufzugeben, sondern in der Gesetzgebung zu verankern. Das hat zur Folge, dass einige Sachverhalte der DSGVO im DSG-EKD nicht enthalten sind und deshalb unter Hinzuziehen der Erwägungsgründe zur DSGVO entsprechend angewendet werden müssen.« (Ja, das ist unverständlich, und dass der Bericht anscheinend »anscheinend« und »scheinbar« verwechselt, trägt auch nicht zum Verständnis bei.) Beklagt wird, dass das Gesetz vor allem mit Blick auf die verfasste Kirche und nicht auf die besonderen Belange der Diakonie hin gestaltet wurde; was hier noch gewünscht wird, geht leider aus dem Bericht nicht hervor. (Möglicherweise explizite Regeln zum Patient*innen- und Klient*innen-Datenschutz.)

Die Regelungslücken und Änderungsbedarfe sind leider nur sehr kryptisch benannt – aber immerhin erfährt man (was auch auf mehrfache Nachfrage hin nicht aus der EKD-Pressestelle herauszubekommen war), dass es bereits eine Arbeitsgruppe für die Evaluierung zu geben scheint. Die Aufzählung der Paragraphen mt Reformbedarf umfasst »die Rechtsgrundlagen für die Datenverarbeitung „normaler“ personenbezogener Daten (§§ 6, 8, 9, 4 Ziffer 1. DSG-EKD), besonderer Kategorien personenbezogener Daten (§§ 13, 4 Ziffer 2. DSG-EKD) sowie von Beschäftigtendaten (§§ 49, 4 Ziffer 20. DSG-EKD), die Informationspflichten bei der Erhebung (§§ 17, 18 DSG-EKD), fehlende Regelungen zu automatisierten Einzelentscheidungen, zur Datenschutzverantwortung, zur Geheimhaltung des Auftragsverarbeiters (§ 30 DSG-EKD) sowie die Nichtbeachtung des Medienprivilegs in § 51 DSG-EKD.« Hier wäre es interessant gewesen, zumindest ein, zwei Stichworte zu den Problemen zu lesen.

Interessant gerade im ökumenischen Vergleich sind die Schwierigkeiten bei der Zuständigkeit und Geltung des kirchlichen Datenschutzrechts, sicher auch begünstigt durch die komplizierte Zuständigkeit der Aufsicht (die Diakonie Mitteldeutschlands umfasst die Landeskirchen Sachsen-Anhalts und Mitteldeutschland, für die wiederum der EKD-DSB zuständig ist). Eigentlich sollte evangelischerseits alles einfacher sein: Wer unters eigene Datenschutzrecht fällt, steht in der Liste gemäß § 2 Abs. 1 S. 3f DSG-EKD. Nach katholischem gibt es nur eine sehr auslegungsbedürftige und um eine nicht im Gesetz zu findende Kriterien der »Kirchlichkeitsprüfung« ergänzte Kriteriologie, wer erfasst ist und wer nicht. Tatsächlich gibt es aber immer wieder Abgrenzungsprobleme, die aus der rechtlichen Struktur erwachsen: So unterfallen etwa sächsische CVJM-Ortsverbände nicht dem kirchlichen Datenschutzrecht, wenn sie selbst (anders als ihr Landesverband) nicht Mitglied des Diakonischen Werks sind, weil der CVJM-Landesverband keine Mitgliedschaftspflichten (wie die Unterordnung unter kirchliches Datenschutzrecht) an seine Untergliederungen durchreichen darf. Kompliziert? Allerdings – das versöhnt etwas mit den abstrakten Abgrenzungsschwierigkeiten der KDG-Geltung. Aber vielleicht macht die DSG-EKD-Regelung auch nur Probleme sichtbar, die katholischerseits genauso bestehen und nur nicht bemerkt werden.

Auch aufgrund dieser komplizierten Konstruktion wird ein wesentlicher Teil des Berichts dafür aufgewendet, die jeweilige geltende Rechtslage in den einzelnen Teilzuständigkeitsbereichen (Landeskirchen und Diakonische Werke) darzustellen – was sehr zu begrüßen ist. Nur wer weiß, welches Recht gilt, kann Recht auch anwenden.

Tätigkeit der Aufsicht

Ein großes Augenmerk liegt auf den Aufgaben der örtlichen Beauftragten (die DSG-EKD-Formulierung für betriebliche DSB) und der Zusammenarbeit mit ihnen. Kritisch angemerkt wird die oft fehlende Fachkunde externer Beauftragter, die die kirchenrechtlichen Besonderheiten nicht kennen. Beeindruckend ist die intensive Schulungs- und Vernetzungsarbeit der Aufsicht.

In der Einleitung wird angekündigt, dass konkrete Fälle in späteren Veröffentlichungen ausführlicher diskutiert werden. In den Teilberichten der Geschäfts- und Außenstellen in Chemnitz, Radebeul und Halle (Saale), die einheitlich nach den verschiedenen gesetzlichen Aufgaben der Aufsicht strukturiert sind, kommen doch noch wenige Beispielfälle vor, die allerdings im wesentlichen die üblichen Tendenzen zeigen – verlorene oder gestohlene Datenträger, falsch versendete Patient*innen-Korrespondenz und so weiter. Der starke Fokus auf die Diakonie führt aber dazu, dass auch sehr spezielle Themen erwähnt werden wie etwa technische und organisatorische Maßnahmen bei Bewohner*innen von Alten- und Pflegeinrichtungen mit Hinlauftendenz – der im vergleich zu anderen Aufsichten übergroße Anteil an diakonischen Einrichtungen scheint zu einer besonderen Sensibilität für diese besonderen Fragestellungen zu führen. (Das würde man beispielsweise auch der katholischen Ordensdatenschutzaufsicht wünschen, die riesige Ordenskrankenhäuser beaufsichtigt, darauf aber in ihrem Bericht quasi nicht eingeht.)

Wie in vielen anderen Tätigkeitsberichten wird auch hier eine mangelnde Ausstattung beklagt: »Die Datenschutzaufsichtsbehörde wurde mit Anfragen geradezu überhäuft, was nur ein Reagieren ermöglichte und ein strukturiertes (effektiveres) Arbeiten überlagerte«, heißt es, auch wenn sich das im zweiten Jahr eingependelt habe. Wenig Mut macht dieser Satz aus der Schlussbemerkung: »Im nächsten Berichtszeitraum wird die aufsichtsrechtliche Tätigkeit entsprechend der vorhandenen personellen Ressourcen weiter fortgeführt werden.«

Fazit

Der Bericht der ostdeutschen Aufsicht bringt etwas mehr Licht in die Black box des EKD-Datenschutzes. Der Fokus auf die Rahmenbedingungen, Hintergründe und Rechtsgrundlagen ist vor dem Hintergrund der ansonsten fehlenden öffentlichen Reflexion evangelischen Datenschutzrechts sehr willkommen – und mal ehrlich: Über den xten Mailverteiler ohne BCC braucht man wirklich nichts mehr zu lesen.

Auch wenn es schon mehrfach erwähnt wurde: Ein Tätigkeitsbericht alle zwei Jahre ist zu wenig, erst recht, wenn er erst über ein Jahr später erscheint. Zurecht beklagt der Beauftragte den Stand der Literatur: »Zum DSG-EKD stehen leider keine juristischen Fachkommentare und kaum Artikel in Fachzeitschriften zur Verfügung. Diese sind jedoch für die Arbeit sowohl der Datenschutz-Aufsichtsbehörden als auch der örtlichen und betrieblichen Datenschutzbeauftragten zwingend notwendig. Eine Orientierung ausschließlich an Kommentaren des staatlichen Rechtes ist nicht möglich und auch nicht zielführend.« Diese Lücke könnten regelmäßige Tätigkeitsberichte wenigstens etwas füllen.

Pragmatismusschub dank Corona bei der KDSA Ost – Tätigkeitsbericht 2020

Von der Katholischen Datenschutzaufsicht Ost kommt traditionell der schnellste und der politischste der Tätigkeitsberichte der Diözesandatenschutzbeauftragten – so auch dieses Jahr. Programmatisch stellt Matthias Ullrich seinem diesjährigen Bericht ein Zitat der Schriftstellerin und brandenburgischen Verfassungsrichterin Juli Zehn voran: »Ein observierter Mensch ist nicht frei.«

Cover des Tätigkeitsberichts der KDSA Ost 2019
Symbolbild Tätigkeitsbericht der KDSA Ost

Im letzten Jahr habe ich den politischen Teil deutlich kritisiert, als Öffentlichkeitsarbeit mit Fotos in den Kontext sexualisierter Gewalt gestellt wurden. Dieses Jahr kommt so etwas nicht vor – der Bericht spart trotzdem nicht mit klaren politischen Ansagen. Und viele praxisrelevante Tipps und Checklisten sind auch dabei.

Weiterlesen

One more thing – Bericht der Ordensdatenschutzaufsicht 2020

Jupp Joachimski ist der Steve Jobs unter den kirchlichen Datenschutzaufsichten. In seinen Berichten zieht er nach dem Pflichtteil immer noch gerne »one more thing« hervor. In seiner Funktion als Ordensdatenschutzbeauftragter ist das im jetzt erschienenen Bericht für 2020 diese Ankündigung: »In Kürze wird sogar ein von einem deutschen kirchlichen Rechenzentrum entwickeltes Konferenzprogramm auf den Markt kommen.«

Eingang des Konvents Santa Catalina, Arequipa, Perú. Über dem Portal steht »Silencio«
Silencio flickr photo by morrissey shared under a Creative Commons (BY) license

Ansonsten wird nichts angeteasert, spannende Vorfälle gibt es anscheinend nicht – im Gegenteil: Auch die drei Ordensdatenschutzbeauftragten haben sich während der Corona-Krise in Zurückhaltung geübt, geht aus dem am Dienstag veröffentlichten Bericht für den Zeitraum vom 1. Februar 2020 bis zum 31. Januar 2021 hervor.

Weiterlesen

Befreit: Interne Protokolle der Datenschutzkonferenz zu spezifischen Aufsichten

Die Datenschutzkonferenz des Bundes und der Länder treffen sich regelmäßig mit den spezifischen Datenschutzaufsichten – das sind die der Medien und der Religionsgemeinschaften. Was dort besprochen wurde, blieb bisher vor der Öffentlichkeit verborgen. Eine erfolgreiche Informationsfreiheitsanfrage beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, der 2019 den Vorsitz in der DSK hatte, bringt nun ans Licht, was dort besprochen wurde.

Zwei Protokolle der Treffen vom 21. Mai und 15. Oktober 2019 sind nun öffentlich, geschwärzt wurden nur die Namen der Teilnehmenden. Ganz heiße Neuigkeiten stehen nicht in den Protokollen – nur die restriktive und wenig religionsfreiheitsfreundliche Auslegung von Art. 91 DSGVO auch durch die spezifischen Aufsichten überrascht.

Weiterlesen

Unter der Lupe: Kirchliche Datenschutzaufsicht DSGVO-konform?

Grundsätzlich ist es um die kirchliche Datenschutzaufsicht gut bestellt: Zweifel daran, dass das kirchliche Datenschutzregime bei den großen Kirchen trägt, werden in der Praxis kaum geäußert. Eine Presseanfrage bei den staatlichen Aufsichten jedenfalls hat im vergangenen Jahr keinen Konfliktfall mit einer römisch-katholischen oder landeskirchlich-evangelischen Aufsicht ans Licht gebracht.

Dennoch gibt es auch immer wieder Zeichen dafür, dass die von Art. 91 Abs. 2 DSGVO geforderte Erfüllung der Bedingungen, die auch den staatlichen Behörden auferlegt sind, nicht immer ganz klar ist. In den letzten Monaten hörte man etwa den Hilfeschrei aus Bayern ob der prekären finanziellen und personellen Ausstattung der katholischen Datenschutzaufsicht, und angesichts des Tätigkeitsberichts der Südwest-Diözesandatenschutzbeauftragten mit minimalen Fallzahlen kann man die Frage stellen, ob kirchliche Stellen hier nicht eine besonders zahme Aufsicht bekommen. (Leider halten sich die kirchlichen Aufsichten nicht an das Tätigkeitsberichtsmuster der staatlichen Datenschutzkonferenz und geben überhaupt nur sehr selten Zahlen an – daher ist hier eine Vergleichbarkeit schwierig.)

Könnte sich das zum Problem für die kirchlichen Aufsichten entwickeln? Und was würde überhaupt passieren, wenn kirchliche Aufsichten nicht die Anforderungen der DSGVO erfüllen?

Weiterlesen

Katholische Aufsichten ermöglichen Auftragsverarbeitung im UK – vorerst

Auftragsverarbeitung im Vereinigten Königreich bleibt auch im Geltungsbereich des katholischen Gesetzes über den kirchlichen Datenschutz erst einmal möglich – das stellt der jüngste Beschluss der Konferenz der Diözesandatenschutzbeauftragten sicher. Damit wird die hier bereits angesprochene Ungewissheit im Bereich des KDG aufgelöst.

Für KDG-Anwender*innen brachte das Brexit-Abkommen nämlich ein besonderes Problem mit sich: Explizit legt das katholische Gesetz in § 29 Abs. 11 fest, dass Auftragsverarbeitung nur in EU- und EWR-Ländern, auf Grundlage eines Angemessenheitsbeschlusses oder auf Grundlage einer Feststellung einer Datenschutzaufsicht zulässig ist. Der vom Abkommen gewählte Umweg einer Behandlung des UK, als sei es kein Drittstaat, ist davon nicht abgedeckt.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)
Weiterlesen

Das passiert 2021 im kirchlichen Datenschutz

Nach dem Blick zurück geht’s in die Zukunft: 2021 ist hoffentlich irgendwann das Jahr post Corona. Für den kirchlichen Datenschutz gibt es auch schon einige mehr oder weniger feste Termine. Mit der Evaluierung des KDG und des ökumenischen Kirchlichen Datenschutzmodells stehen zwei große Themen an, die den kirchlichen Datenschutz noch länger prägen dürften.

Eine Glaskugel auf rotem Stoff, links daneben ein Schlüssel
Blick in die Glaskugel. (Bildquelle: Michael Dziedzic/Unsplash)
Weiterlesen

Fotos nach dem DSG-EKD – neue Handreichung des EKD-Datenschutzbeauftragten

Der Datenschutzbeauftragte der EKD hat am Mittwoch eine neue Handreichung zu »Datenschutz bei der Anfertigung und Veröffentlichung von Fotos« veröffentlicht. Angesichts seiner letzten Veröffentlichungen könnte man mit einer besonders strengen Auslegung rechnen – tatsächlich bewegt er sich dieses Mal im eher gemäßigten Bereich der Auslegung ohne große Überraschungen.

Eine Kameralinse im Dunkeln mit blauem Lensflare.
(Bild von Gerd Altmann auf Pixabay)
Weiterlesen

DSK-Dokumente befreit: Staatliche Skepsis gegenüber kirchlichem Datenschutz

Die Datenschutzaufsichten von Bund und Ländern stehen in Deutschland ihren kirchlichen Pendants eher kritisch gegenüber. Zumindest wollen sie die Beteiligung überschaubar halten – das war schon bekannt. Über einen Informationsfreiheitsantrag per »Frag den Staat« habe ich bisher unveröffentlichte Dokumente zum Verhältnis und zum Umgang mit den sogenannten »spezifischen« Aufsichtsbehörden (das sind neben den kirchlichen auch die der Medien) bekommen. Herausgegeben wurden die Unterlagen vom Landesdatenschutzbeauftragte von Rheinland-Pfalz, der 2019 den Vorsitz in der Datenschutzkonferenz hatte. Die Datenschutzkonferenz selbst ist leider rechtlich nicht so verfasst, dass man dort direkt IFG-Anfragen stellen könnte.

Ein Stapel mit den befreiten Dokumenten, oben rechts auf dem Papier das Logo der Datenschutzkonferenz.

Inhaltlich gibt es keine großen Überraschungen – aber man kann sehr deutlich ablesen, wie holprig die Zusammenarbeit mit den spezifischen Aufsichtsbehörden ist: Die Dokumente zeigen, wie groß die Skepsis der staatlichen Aufsichten ist und wie gering sie die Beteiligung an ihrer Arbeit halten wollen.

Weiterlesen

Kleine Religionsgemeinschaften im Fokus von Datenschutzbehörden

In Berlin, Hessen, Nordrhein-Westfalen und Niedersachsen haben die Landesdatenschutzaufsichten Zweifel an der eigenen Datenschutzgesetzgebung verschiedener Religionsgemeinschaften. Auf Anfrage von »Artikel 91« haben die Behörden angegeben, das Datenschutzrecht kleinerer Religionsgemeinschaften auf die Erfüllung der europarechtlichen Anforderungen zu überprüfen. Laut einem Sprecher der nordrhein-westfälischen Aufsicht sei es sowohl beim Katholischen Bistum der Alt-Katholiken in Deutschland sowie bei der Neuapostolischen Kirche Westdeutschland (NAK) »fraglich, ob das eigene Datenschutzrecht die Anforderungen des Art. 91 (1) DS-GVO« erfüllt. Im äußersten Fall könnte das dazu führen, dass die betroffenen Gemeinschaften die DSGVO anwenden müssen und ihre eigenen Aufsichten keine Rechtsgrundlage haben. Inwiefern das mit dem grundgesetzlich (und europarechtlich) verbürgten Selbstverwaltungsrecht der Kirchen vereinbar wäre, ist noch nicht abzusehen.

Ein fest installiertes Fernglas zeigt auf einen Kirchturm
(Photo by Markus Spiske on Unsplash)

Mit Verweis auf das laufende Verfahren wollten die Berliner und die niedersächsische Landesdatenschutzbeauftragten keine näheren Angaben zu den Zweifeln und zu den betroffenen Religionsgemeinschaft machen. Auch aus Hessen gibt es keine Angabe zu den betroffenen Gemeinschaften.

Auf Anfrage bestätigte allerdings der Datenschutzbeauftragte der Selbständigen Evangelisch-Lutherischen Kirche (SELK), Jochen Springer, dass die niedersächsische Aufsicht »die vorläufige Auffassung vertritt, dass die SELK nicht zum Kreis der Berechtigten nach Art. 91 DSGVO zählt und hierüber voraussichtlich demnächst eine gerichtliche Entscheidung eingeholt werden muss«. Auch andere Landesdatenschutzaufsichten hätten bei kleineren Gemeinschaften ähnliche Nachfragen gestellt, »die auf eine Aberkennung der kirchlichen Selbstverwaltungsrechte in Datenschutzfragen abstellen«, so Springer.

Weiterlesen