Archiv der Kategorie: Aufsichtsbehörden

Keine Gelegenheit für Bußgelder – Tätigkeitsbericht 2020 der KDSA Nord

Noch schnell vor der Sommerpause hat die Katholische Datenschutzaufsicht Nord am Donnerstag ihren Tätigkeitsbericht für 2020 veröffentlicht – natürlich ein weiterer Corona-Bericht. Die Pandemie hat sich neben dem Ausfall von allen Vor-Ort-Prüfungen bis auf zwei vielfältig in der Aufsichts- und Beratungstätigkeit niedergeschlagen.

Titelseite des Tätigkeitsberichts 2020 der KDSA Nord

Titelseite des Tätigkeitsberichts 2020 der KDSA Nord

Eine auffällige Leerstelle im Bericht sind die Aufsichtsmaßnahmen: Zwar werden einige Fälle geschildert, in denen durchaus gravierende Datenschutzverstöße vorliegen. Bußgelder werden jedoch nicht erwähnt. Auf Anfrage teilte mir der Diözesandatenschutzbeauftragte Andreas Mündelein mit, dass er keine Möglichkeit hatte, Bußgelder zu verhängen – die besonders gravierenden Fälle waren bei öffentlich-rechtlich organisierten Stellen und damit durch das KDG von Bußgeldern ausgenommen. Der Glaubwürdigkeit der kirchlichen Selbstverwaltung trägt diese Regelung nicht bei.

Weiterlesen

Befreite Protokolle: Spezifische Aufsichten am Katzentisch der DSK

Ein- bis zweimal im Jahr treffen sich Vertreter*innen der Datenschutzkonferenz mit den spezifischen Aufsichten, also den Datenschutzaufsichten von Rundfunk und Religionsgemeinschaften. Die Protokolle werden nicht proaktiv veröffentlicht. Per Informationsfreiheitsantrag gelingt es aber regelmäßig, sie zu befreien. Jetzt liegen die Protokolle der Sitzungen vom 21. Oktober 2020 und 5. Mai 2021 vor.

Wieder einmal wurde per fragdenstaat.de ein Bündel an Unterlagen befreit.
Wieder einmal wurde per fragdenstaat.de ein Bündel an Unterlagen befreit.

Ein unterschwelliges Thema, das auch gelegentlich an die Oberfläche kommt, ist die Einbeziehung der spezifischen Aufsichten in die Arbeit der Datenschutzkonferenz – die dort vertretenen Aufsichten der Länder und des Bundes haben kein gesteigertes Interesse, die spezifischen Aufsichten als gleichwertig zu betrachten. Auch dieses Mal.

Weiterlesen

Hessische Datenschutzaufsicht nimmt sich Zeugen Jehovas vor

Das Verhältnis der Landesdatenschutzaufsichten zu den kirchlichen Aufsichten ist nicht immer ganz konfliktfrei. Die Aufsichten der großen Kirchen werden respektiert, in der Datenschutzkonferenz wird ihnen ein Mindestmaß an Beteiligung ermöglicht. Bei ihnen ist auch unstreitig, dass sie legitim sind – das sieht, wie eine Recherche im vergangenen Jahr zeigte, bei den Aufsichten kleinerer Gemeinschaften oft anders aus.

Drei weibliche Mitglieder der Zeugen Jehovas in einer Bahnhofsunterführung mit Informationsmaterial auf Arabisch.
Zeugen Jehovas in Wien. (Bildquelle: Elph (Wikimedia Commons), CC BY-SA 4.0, zugeschnitten und Farbton bearbeitet)

Abgeschlossen ist keines der Prüfverfahren der Landesdatenschutzaufsichten von Berlin, Hessen, Niedersachsen und Nordrhein-Westfalen, bei dem unter anderem das Alt-Katholische Bistum, die Selbständige Evangelisch-Lutherische Kirche (SELK), die Zeugen Jehovas und die Neuapostolische Kirche Westdeutschland überprüft werden – eine neue Abfrage hat aber zumindest in einem Fall neue Zwischenstände gebracht: zu den Zeugen Jehovas.

Weiterlesen

Einige Eigenheiten – Tätigkeitsbericht des BfD EKD 2019/2020

Der Beauftragte für den Datenschutz der EKD hat seinen Bericht für 2019 und 2020 vorgelegt – der erste, der komplett in den Geltungsbereich des neuen Datenschutzrechts fällt. Mit 64 Seiten ist er für zwei Jahre und eine Zuständigkeit für fast die komplette EKD doch recht kompakt. Dennoch gibt es darin einiges Interessantes über den Datenschutz in der evangelischen Kirche zu erfahren – und viel über die Eigenheiten des von der DSGVO besonders stark abweichenden DSG-EKD.

Die stellvertretende Vorsitzende des Rates der EKD Dr. h.c. Annette Kurschus (links) und der Beauftragte für den Datenschutz der EKD Michael Jacob (rechts) bei der Übergabe des Berichts. (Bildquelle: BfD EKD)
Die stellvertretende Vorsitzende des Rates der EKD Dr. h.c. Annette Kurschus (links) und der Beauftragte für den Datenschutz der EKD Michael Jacob (rechts) bei der Übergabe des Berichts. (Bildquelle: BfD EKD)

Natürlich kommt auch der BfD EKD nicht ohne eine Betonung der Relevanz seines Feldes aus – Bonuspunkte sammelt er dadurch, dass er nicht das abgelutschte Bonmot vom Schutz der Menschen, nicht der Daten verwendet. Bei ihm ist es so formuliert: »Auch in Zeiten der Corona-Pandemie brauchen wir in Staat und Kirche einen grundrechtebasierten Datenschutz! Das ›Datenschutzgrundrecht‹ hat sich stets als ein verlässlicher Partner an der Seite der Menschen erwiesen.«

Weiterlesen

Adieu Richtung EKD – Tätigkeitsberichte der Kirche der Pfalz 2017–2020

Die Evangelische Kirche der Pfalz stellt eine Besonderheit dar: Sie ist – neben der personell stark mit dem EKD-Datenschutzbeauftragten verwobenen Nordkirche – die einzige Landeskirche, die allein eine eigene Datenschutzaufsicht betreibt. Freundlicherweise hat mir die Datenschutzbeauftragte Pia Schneider ihre Tätigkeitsberichte für die Jahre 2017/18 und 2019/20 zur Verfügung gestellt, die nicht online zu finden sind. Tätigkeitsberichte nach dem DSG-EKD sind Mangelware – weniger Aufsichten und Berichtspflicht nur alle zwei Jahre führen dazu, dass über das DSG-EKD und seine Anwendung deutlich weniger bekannt ist als zu seinem katholischen Pendant.

Die Speyerer Gedächtniskirche ist die Hauptkirche der Kirche der Pfalz – sie hat den höchsten deutschen Kirchturm westlich des Rheins zwischen Köln und Straßburg, was allerdings mit Datenschutz nichts zu tun hat. (Bildquelle: AnRo0002 (Wikimedia Commons), CC0; bearbeitet und montiert)
Die Speyerer Gedächtniskirche ist die Hauptkirche der Kirche der Pfalz – sie hat den höchsten deutschen Kirchturm westlich des Rheins zwischen Köln und Straßburg, was allerdings mit Datenschutz nichts zu tun hat. (Bildquelle: AnRo0002 (Wikimedia Commons), CC0; bearbeitet und montiert)

Die Berichte der Pfälzer Aufsicht sind sehr kompakt – einmal eine Seite, im Folgejahr zwei. Neben viel aufsichtsüblicher Routine erfährt man aber doch noch einiges Interessantes. Sicher das spannendste: Im jüngsten Bericht wird die Übertragung der Datenschutzaufsicht durch die Landeskirche auf die EKD angesprochen – »spä­testens ab 2023«. Das dürfte schon deshalb sinnvoll sein, weil das Diakonische Werk der Pfalz bereits unter der Aufsicht des Beauftragten für den Datenschutz der EKD steht. Auf Nachfrage teilte die Datenschutzbeauftragte mit, dass die Übertragung voraussichtlich in den nächsten ein bis anderthalb Jahren erfolgen werde. »Erste Gespräche in unserem Hause werden noch im Laufe dieses Jahres stattfinden«, so Schneider.

Weiterlesen

Datenschutzaufsicht Niedersachsen vs. Selbständige Evangelisch-Lutherische Kirche

Erstmals gibt es eine offizielle öffentliche Äußerung einer staatlichen Aufsichtsbehörde zu einem konkreten Konfliktfall um die Zuständigkeit für eine Religionsgemeinschaft. Im am Donnerstag erschienenen Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen gibt es einen Abschnitt zu »Anforderungen an eine kircheneigene spezifische Aufsichtsbehörde«: Es gibt einen Konflikt um die Frage, ob die Anforderungen von Art. 91 DSGVO an ein kircheneigenes Datenschutzgesetz erfüllt sind.

Der 26. Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen für das Jahr 2020
Der 26. Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen für das Jahr 2020

Auch wenn der Name nicht genannt wird: Aufgrund früherer Recherchen zum Umgang mit kleineren Religionsgemeinschaften und zu Beratungen in der Datenschutzkonferenz dürfte sicher sein, dass es sich um die Selbständige Evangelisch-Lutherische Kirche (SELK) handelt, die ihren Sitz in Hannover hat und deren Datenschutzrichtlinie an das DSG-EKD angelehnt ist.

Weiterlesen

Ein erster Blick ins Kirchliche Datenschutzmodell

Schon länger war das Kirchliche Datenschutzmodell angekündigt – jetzt ist es da. Wie der Papst neue deutsche Bischöfe haben die kirchlichen Datenschutzaufsichten am Freitag um 12 Uhr das lange erwartete »KDM« veröffentlicht, das sich eng am Standard-Datenschutzmodell der staatlichen Aufsichten orientiert.

Wortmarke »KDM – KirchlichesDatenschutzModell«

Mit dem KDM können Anforderungen der kirchlichen Datenschutzgesetze in technische und organisatorische Maßnahmen umgesetzt werden. »Wir sehen die Möglichkeit für unsere Arbeit als kirchliche Aufsichtsbehörden, Prüfungen standardisiert und damit auch nachvollziehbarer durchzuführen«, erklären die Sprecherin der Konferenz der Diözesandatenschutzbeauftragten, Ursula Becker-Rathmair, und der Beauftragte für den Datenschutz der EKD, Michael Jacob. Das KDM biete außerdem den kirchlichen Stellen und Einrichtungen »den großen Vorteil, selbst Datenschutz systematisch umzusetzen und damit für Fragen und Prüfungen der Datenschutzaufsichten gut gerüstet zu sein«, heißt es weiter. Als Einführung wurde außerdem eine dreiseitige Handreichung veröffentlicht, die die Zielsetzung und Methodik trotz der Kürze erstaunlich kompakt und verständlich auf den Punkt bringt.

Weiterlesen

Die Zeugen Jehovas und das Geheimnis des verschlossenen Umschlags

Entscheidungen von staatlichen Datenschutzaufsichten, an denen Religionsgemeinschaften beteiligt sind, sind noch sehr rar – in Deutschland werden die meisten Fälle von kirchlichen Aufsichten abgedeckt, für die Landesdatenschutzaufsichten bleibt kaum etwas anderes übrig. Umso interessanter ist es, dass nun die wohl erste ausführliche Entscheidung bis auf Schwärzungen vollständig vorliegt: Mittels FragDenStaat.at konnte ich den Bescheid mit dem Aktenzeichen DSB-D123.874/0016-DSB/2019 der österreichischen Datenschutzbehörde befreien, von der die Behörde zuvor nur knapp in ihrem Newsletter berichtet hatte. [Ergänzung, 28. April 2021]Aus den mir vorliegenden Unterlagen war nicht ersichtlich, dass der Bescheid noch nicht rechtskräftig ist. Mittlerweile stehe ich in Kontakt mit der betroffenen Person in dem Fall, die gegen den Bescheid geklagt hat. Derzeit ist die Sache beim Bundesverwaltungsgericht anhängig.[/Ergänzung]

Ein Umschlag liegt auf einem Stapel Notizblöcke.
(Symbolbild, Photo by pure julia on Unsplash)

In der Sache geht es um einen Konflikt zwischen einem ausgetretenen Mitglied und seiner ehemaligen Religionsgemeinschaft ums Informationsrecht – die betroffene Person wollte auch Auskunft über in einem verschlossenen Umschlag aufbewahrte Daten erhalten. Die Religionsgemeinschaft berief sich darauf, dass das eine innere Angelegenheit sei, die vom staatlichen Recht nicht erfasst sei, die Datenschutzbehörde gab ihr Recht.

Die Entscheidung enthält vor allem zwei interessante Punkte: Eine Prüfung, ob eigene Datenschutzregeln die Erfordernisse von Art. 91 Abs. 1 DSGVO erfüllen, und eine Prüfung, ob und inwieweit Datenverarbeitung zum geschützten und dem Staat entzogenen Kernbereich der Religionsausübung gehört. Beide Punkte sind auch über den konkreten Einzelfall hinaus instruktiv.

Weiterlesen

Noch mehr Probleme bei Brexit-Datentransfers?

Ist es doch nicht so einfach mit dem Brexit und dem katholischen Datenschutzrecht? Nachdem durch das rasche Handeln der Konferenz der Diözesandatenschutzbeauftragten um den Jahreswechsel schon Entwarnung herrschte, macht auf Twitter nun @privideu auf eine Problematik aufmerksam, die bisher nicht im Blick war: »Übrigens: Der Beschl[uss] der Konf[erenz] der Diözesan-DSB der Kath. Kirche vom 4.1.2021 betreffen die Datenverarbeitungen von Auftragsverarbeitern kath. Einrichtungen in [Großbritannien] ist keine zuverlässige Rechtsgrundlage für eine Datenübermittlung nach GB«, heißt es in dem kurzen Thread. Zwar gibt es zur Auftragsverarbeitung im UK einen klaren Beschluss – bei der Datenübermittlung allgemein ist das aber nicht der Fall.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)

Der Einwand scheint stichhaltig: Bis zum Ende der im Brexit-Abkommen vereinbarten Übergangsfrist ist das Vereinigte Königreich datenschutzrechtlich in einem Schwebezustand, den das kirchliche Datenschutzrecht nur schwer fassen kann: »For the duration of the specified period, transmission of personal data from the Union to the United Kingdom shall not be considered as transfer to a third country under Union law«, heißt es im Artikel FINPROV.10A (S. 414) des Abkommens. Das KDG hat Regeln für EU- und EWR-Staaten, Länder mit Angemessenheitsbeschluss und für Drittstaaten – aber natürlich nicht für diesen extra erfundenen Status.

Weiterlesen

Licht in die Black box DSG-EKD – Tätigkeitsbericht des Datenschutzbeauftragten für Kirche und Diakonie 2018/19

Lange hat’s gedauert – jetzt liegt der erste Tätigkeitsbericht einer nach DSG-EKD arbeitenden Datenschutzaufsicht vor, dessen Zeitraum komplett in die Geltung des neuen Rechts fällt. Vorgelegt hat ihn der Datenschutzbeauftragte für Kirche und Diakonie, der für die Landeskirchen Sachsens und Sachsen-Anhalts und die Diakonie Sachsens und Mitteldeutschlands zuständig ist, für die Zeit seit Geltung des DSG-EKD bis Ende 2019. (Nein, kein Tippfehler: Der Bericht für 2018/19 ist auf den 10. Februar 2021 datiert und am 30. März 2021 im RSS-Feed aufgetaucht.)

Der Zuständigkeitsbereich des Datenschutzbeauftragten umfasst mehrere östliche Bundesländer.
Der Zuständigkeitsbereich des Datenschutzbeauftragten für Kirche und Diakonie ist kompliziert und überlappt geographisch mit anderen Zuständigkeiten. (Bildquelle: Tätigkeitsbericht/Montage fxn)

Leider sieht das DSG-EKD nur eine Berichtspflicht alle zwei Jahre vor, es gibt nur vier sehr ungleich große Aufsichten, und zusammen mit der insgesamt sehr überschaubaren Anzahl an Fachpublikationen führt das dazu, dass das DSG-EKD und seine Anwendung deutlich schlechter erschlossen ist als das KDG, wo sechs Aufsichten jährliche Berichte abliefern und ein Kommentar vorliegt. Aus dem jetzt erschienenen Tätigkeitsbericht lassen sich so nun auch wichtige Informationen ziehen, die es bisher nicht gab – da ist auch zu verschmerzen, dass die Schilderung konkreter Fälle und eine Auflistung der Fallzahlen so gut wie nicht vorkommt.

Weiterlesen