Archiv der Kategorie: Aufsichtsbehörden

Renitente Verantwortliche – Tätigkeitsbericht 2023 der KDSA Ost

Die KDSA Ost hat ihren Tätigkeitsbericht für das Berichtsjahr 2023 vorgelegt. Auf 116 Seiten geht es vor allem praxisorientiert zu: Detaillierte Prüfberichte und Schilderungen, wie man etwa ein Verarbeitungsverzeichnis einer Kita richtig gestaltet, machen diesen Bericht zur Arbeitshilfe.

Titelseite des Tätigkeitsberichts 2023 der KDSA Ost

Krass sind einige der Fälle, die der Diözesandatenschutzbeauftragte Matthias Ullrich schildert: Von einem plastischen Chirurgen, der Fotos einer Patientin zweckentfremdet bis zu einem Bistum, das so gar keine Lust hat, auf ein Auskunftsersuchen zu reagieren, tun sich Abgründe auf. In den beiden Fällen gab es kein Bußgeld – ein weiterer Extremfall hat aber sogar eine fünfstellige Buße nach sich gezogen. Ein Motiv zieht sich in vielen Fällen durch: Wo es schief läuft, sorgt renitentes Verhalten von Verantwortlichen oft für weitere Eskalation.

Weiterlesen

Ordentlich gelobt – Bericht der Ordensdatenschutzaufsicht 2023

Letztes Jahr hatte der Norden die Nase vorn, in diesem Jahr beginnt wieder die Ordensdatenschutzaufsicht den Reigen der Tätigkeitsberichte mit dem Rückblick auf Februar 2023 bis Januar 2024. Geprägt ist er von viel Lob: In den Orden päpstlichen Rechts scheint es sehr gut zu laufen – davon zeugen auch die Zahlen, die veröffentlicht wurden.

Die Zahl der beaufsichtigten Ordensgemeinschaften ist mit 238 konstant. Der fromme Wunsch des vergangenen Jahres, dass Corona Vergangenheit sein möge, konnte erst in der zweiten Hälfte des Berichtszeitraums erfüllt werden – erstmals waren wieder Vor-Ort-Prüfungen möglich.

Weiterlesen

Vor Gericht und bei der Evaluierung – Jahresausblick 2024

So voll der Jahresrückblick auch immer ist – wie viele Themen dann doch wieder im Ausblick erscheinen, zeigt, wie lange vieles doch geht. Immerhin: Mit dem KDSZ Bayern und dem DSG-EKD-Kommentar konnten viele Dinge von der Liste gestrichen werden. Vor allem die gerichtliche Klärung von Fragestellungen dauert aber – und das nicht nur in den Fällen, die eine Runde über den EuGH drehen.

Jahresaublick Kirchlicher Datenschutz 2024
(Bildquelle: Kajetan Sumila auf Unsplash, Montage fxn)
Weiterlesen

Fake-Facebook-Verbot und kontroverse Aufarbeitung – Jahresrückblick 2023

An einige Prognosen des Jahresausblicks für 2023 kann man Haken setzen: In Sachen Facebook-Fanpages ging es ein bisschen weiter, der EU-US-Datentransfer ist wieder einfach möglich, das KDSZ Bayern errichtet und der DSG-EKD-Kommentar ist endlich erschienen. Anderes bleibt offen: In die DSG-EKD-Evaluierung kam etwas Bewegung, aber akut wird sie erst 2024, von der KDG-Evaluierung gab es gar nichts Neues.

Jahresrückblick kirchlicher Datenschutz
(Bildquelle: Kajetan Sumila auf Unsplash, Montage fxn)

Geprägt war das Jahr 2023 im kirchlichen Datenschutz neben dem Umgang mit Facebook-Fanpages besonders stark von Fragen der Missbrauchsaufarbeitung: Betroffenenrechte von Betroffenen und Beschuldigten wurden kontrovers diskutiert, es gab Täternamen-Veröffentlichungen, neue Gesetze, Entscheidungen von staatlichen Gerichten und kirchlichen Datenschutzaufsichten.

Weiterlesen

Belgische Datenschutzaufsicht sieht Löschrecht für Taufbucheinträge

Bisher haben Datenschutzaufsichten und Gerichte immer gegen Löschanträge in Bezug auf Taufregister entschieden und ein überwiegendes Interesse der Kirche angenommen. Dass man es als Aufsicht auch anders sehen kann, zeigt nun eine Entscheidung der belgischen Datenschutzbehörde: Das Bistum Gent muss das Löschbegehren einer aus der Kirche ausgetretenen Person erfüllen, das Interesse der Kirche überwiegt aus Sicht der Behörde nicht das Interesse der betroffenen Person.

Goldene Muschel zur Taufspendung auf einem Taufstein
Die Taufe begründet die Mitgliedschaft in der Kirche. Das hat auch datenschutzrechtliche Konsequenzen. (Bildquelle: Josh Eckstein auf Unsplash)

Anders als die irische Aufsicht in ihrer jüngsten Entscheidung dazu lässt sich die belgische nicht von den Argumenten der Kirche überzeugen: Auch wenn die Zwecke der Datenverarbeitung in Kirchenbüchern legitim sind – eine unbegrenzte Speicherung selbst der Daten von Ausgetretenen geht der Gegevensbeschermingsautoriteit zu weit.

Im Volltext: Klacht wegens het nalaten om op passende wijze een verzoek tot verwijdering van persoonsgegevens uit het doopregister van de Rooms-Katholieke kerk in te willigen, Entscheidung 169/2023 vom 19. Dezember 2023

Weiterlesen

Lücken bei der Datenschutz-Aufsicht: Analogie ist keine Lösung

Eine Entscheidung des Verwaltungsgerichts Hannover zum Datenschutz bei der Selbständigen Evangelisch-Lutherischen Kirche (Urteil vom 30.11.2022,10 A 1195/21; nicht rechtskräftig) hat etliche Grundsatzfragen für den kirchlichen Datenschutz aufgeworfen und (für den Einzelfall sowie nicht rechtskräftig, da die Berufung beim Niedersächsischen Oberverwaltungsgericht in Lüneburg anhängig ist) beantwortet. Unter anderem ist das VG Hannover der Meinung, die Datenschutzaufsicht über öffentlich-rechtliche Religionsgemeinschaften ohne eigenes Datenschutzrecht liege trotz fehlender Gesetzesgrundlage bei den (staatlichen) Landesbeauftragten für Datenschutz. Diesem Thema wird hier nachgegangen (und der Auffassung des VG Hannover widersprochen).

Ein Puzzle mit einem fehlenden Teil.
Ein Teil fehlt im komplexen Aufsichts-Puzzle in Deutschland – mit Analogien bekommt man es nicht fertig, argumentiert Ralph Wagner. (Bildquelle: Sigmund auf Unsplash)

Bereits vor der Hannoveraner Entscheidung gab es Irritationen und Uneinigkeit zur korrekten Einordnung von Religionsgemeinschaften in die (seltsame und wohl EU-weit einmalige) Dichotomie des deutschen Datenschutzrechts aus öffentlichen und nicht-öffentlichen Stellen. Aus dieser Zweiteilung und den Zuordnungs-Schwierigkeiten ergibt sich in der Folge (u. a.) die Unklarheit bei der Bestimmung der Datenschutzaufsicht. Bei näherem Hinsehen zeigt sich, dass eine grundsätzliche Änderung des deutschen Datenschutzrechts nötig wäre, um vollständige Abhilfe zu schaffen. Rechtspolitisch sind derartige Schritte für die nächsten Jahre extrem unwahrscheinlich. Aber der Reihe nach.

Weiterlesen

Datenschutzaufsichtsfreie Räume für Religionen in Bayern

In der EU soll es keine datenschutzfreien Räume geben: Alle verantwortlichen Stellen müssen sich an Datenschutzrecht halten und unterliegen einer Datenschutzaufsicht. Das gilt auch für Religionsgemeinschaften, sollte man denken. Bisher war das Bild klar: Entweder haben Kirchen eine eigene spezifische Aufsicht eigerichtet und kümmern sich selbst darum – oder die örtlich zuständige Landesdatenschutzaufsicht ist am Zug.

Innenraum der Kathedrale der rumänischen Metropolie in Nürnberg
Die Rumänische Orthodoxe Metropolie für Deutschland, Zentral- und Nordeuropa hat ihren Sitz in Nürnberg, wo auch die Kathedrale steht. Die Metropolie ist als KdÖR errichtet und hat kein eigenes Datenschutzrecht. (Bildquelle: UlrichAAB (CC BY-SA 3.0) (bearbeitet und zugeschnitten))

Doch nicht alle Landesdatenschutzaufsichten sehen sich als zuständig für alle Religionsgemeinschaften an: Trotz identischer Rechtslage dank DSGVO und weitgehend analoger Rechtslage in den Landesdatenschutzgesetzen gibt es Aufsichten, die sich nicht für als Körperschaft des öffentlichen Rechts organisierte Religions- und Weltanschauungsgemeinschafen ansehen – und damit in ihrem Bundesland doch einen datenschutzfreien Raum lassen. Mindestens in Bayern ist das der Fall – weitere Antworten stehen noch aus.

Update, 19. Oktober 2023: Die Aufsicht in Thüringen hat mittlerweile ihre Rechtsaufsicht geändert und geht jetzt von einer Zuständigkeit aus. Der Artikel wurde entsprechend ergänzt.
Weitere Antworten der zuvor fehlenden Aufsichten werden laufend ergänzt.

Weiterlesen

So prüft die NRW-Datenschutzaufsicht kirchlichen Datenschutz

Verschiedene Datenschutzaufsichten prüfen seit Jahren eigenes Datenschutzrechts von Religionsgemeinschaften. Die LDI NRW hatte die alt-katholische Kirche im Blick. Auf die jüngste Auskunft vor einem Monat, dass es keinen offenen Vorgang mehr gibt, habe ich noch einmal einen IFG-Antrag gestellt, nachdem zuvor ein zentraler Aktenvermerk geheim gehalten wurde. Dieser Aktenvermerk wurde nun leicht geschwärzt herausgegeben.

Titelseite des Aktenvermerks der LDI NRW zur Prüfung von Art. 91 DSGVO
Sieben Seiten umfasst der Aktenvermerk aus der NRW-Datenschutzaufsicht zur Prüfung der Vorgaben von Art. 91 DSGVO

Im Aktenvermerk wurden Entscheidungsvorschläge geschwärzt, die für den noch nicht abgeschlossenen Prozess der Willensbildung der Aufsicht erforderlich sind. Was in dem siebenseitigen Vermerk übrig bleibt, ist immer noch interessant und erhellt, wie zumindest die NRW-Aufsicht Art. 91 DSGVO sieht (mit Stand September 2021).

Der Aktenvermerk im Volltext ist auf FragDenStaat.de verfügbar.

Weiterlesen

Empfindliche Buße – Tätigkeitsbericht 2022 des KDSZ Frankfurt

Im vergangenen Jahr musste die Frankfurter Diözesandatenschutzbeauftragte einen Katastrophenbericht abgeben: Corona und Hochwasser. In diesem Jahr hat sich die Lage entspannt. Das Hochwasser ist kein Thema mehr, die Corona-Themen tauchen wohl zum letzten Mal auf. Der Tätigkeitsbericht des KDSZ Frankfurt für 2022 ist im neuen Normal angekommen.

Titelseite des Tätigkeitsberichts des KDSZ Frankfurt für 2022
Der Tätigkeitsbericht für 2022 ist mit 40 Seiten, davon einige zur Dokumentation von Positionen der katholischen Datenschutzkonferenz, noch kompakt.

Der Frankfurter Tätigkeitsbericht ist immer eher praktisch angelegt: Einige plastische Fallschilderungen, zu streitigen Fragen des Datenschutzrechts dagegen kaum etwas. Zahlen gibt es kaum, aber so deutliche Hinweise auf verhängte Geldbußen wie bei keiner anderen kirchlichen Aufsicht. Ein guter Vorsatz zu Geld und Zahlen wurde leider auch dieses Jahr nicht umgesetzt.

Weiterlesen

Irische Datenschutzaufsicht sieht kein Recht auf Löschung im Taufbuch

Es gibt kein Recht auf Vergessenwerden im Taufregister – jedenfalls nicht zu Lebzeiten. Nach mehreren Jahren hat die irische Datenschutzaufsicht über Beschwerden gegen das Erzbistum Dublin entschieden, mit denen Austrittswillige die Löschung ihrer Daten aus den Kirchenbüchern erstreiten wollten.

Statue in der Dubliner St. Patrick's Cathedral
Statue in der Dubliner St. Patrick’s Cathedral (Bildquelle: Tommy Bond on Unsplash)

Die Entscheidung ist auf den 27. Februar datiert, wurde laut dem Dateinamen aber erst im September auf der Webseite der Datenschutzaufsicht veröffentlicht. Auf 183 Seiten legt die Datenschutzbeauftragte Helen Dixon ihre Entscheidung vor. Auch wenn das Erzbistum in einigen Details keinen Erfolg hatte: Im Großen und Ganzen ist die Praxis der Kirchenbuchführung rechtmäßig.

Im Volltext: Inquiry into processing of Church Records by the Archbishop of Dublin (‚the Archbishop‘), Az. IN-19-7-6

Weiterlesen