Archiv der Kategorie: Aufsichtsbehörden

Datenschutzaufsichtsfreie Räume für Religionen in Bayern

In der EU soll es keine datenschutzfreien Räume geben: Alle verantwortlichen Stellen müssen sich an Datenschutzrecht halten und unterliegen einer Datenschutzaufsicht. Das gilt auch für Religionsgemeinschaften, sollte man denken. Bisher war das Bild klar: Entweder haben Kirchen eine eigene spezifische Aufsicht eigerichtet und kümmern sich selbst darum – oder die örtlich zuständige Landesdatenschutzaufsicht ist am Zug.

Innenraum der Kathedrale der rumänischen Metropolie in Nürnberg
Die Rumänische Orthodoxe Metropolie für Deutschland, Zentral- und Nordeuropa hat ihren Sitz in Nürnberg, wo auch die Kathedrale steht. Die Metropolie ist als KdÖR errichtet und hat kein eigenes Datenschutzrecht. (Bildquelle: UlrichAAB (CC BY-SA 3.0) (bearbeitet und zugeschnitten))

Doch nicht alle Landesdatenschutzaufsichten sehen sich als zuständig für alle Religionsgemeinschaften an: Trotz identischer Rechtslage dank DSGVO und weitgehend analoger Rechtslage in den Landesdatenschutzgesetzen gibt es Aufsichten, die sich nicht für als Körperschaft des öffentlichen Rechts organisierte Religions- und Weltanschauungsgemeinschafen ansehen – und damit in ihrem Bundesland doch einen datenschutzfreien Raum lassen. Mindestens in Bayern ist das der Fall – weitere Antworten stehen noch aus.

Update, 19. Oktober 2023: Die Aufsicht in Thüringen hat mittlerweile ihre Rechtsaufsicht geändert und geht jetzt von einer Zuständigkeit aus. Der Artikel wurde entsprechend ergänzt.
Weitere Antworten der zuvor fehlenden Aufsichten werden laufend ergänzt.

Weiterlesen

So prüft die NRW-Datenschutzaufsicht kirchlichen Datenschutz

Verschiedene Datenschutzaufsichten prüfen seit Jahren eigenes Datenschutzrechts von Religionsgemeinschaften. Die LDI NRW hatte die alt-katholische Kirche im Blick. Auf die jüngste Auskunft vor einem Monat, dass es keinen offenen Vorgang mehr gibt, habe ich noch einmal einen IFG-Antrag gestellt, nachdem zuvor ein zentraler Aktenvermerk geheim gehalten wurde. Dieser Aktenvermerk wurde nun leicht geschwärzt herausgegeben.

Titelseite des Aktenvermerks der LDI NRW zur Prüfung von Art. 91 DSGVO
Sieben Seiten umfasst der Aktenvermerk aus der NRW-Datenschutzaufsicht zur Prüfung der Vorgaben von Art. 91 DSGVO

Im Aktenvermerk wurden Entscheidungsvorschläge geschwärzt, die für den noch nicht abgeschlossenen Prozess der Willensbildung der Aufsicht erforderlich sind. Was in dem siebenseitigen Vermerk übrig bleibt, ist immer noch interessant und erhellt, wie zumindest die NRW-Aufsicht Art. 91 DSGVO sieht (mit Stand September 2021).

Der Aktenvermerk im Volltext ist auf FragDenStaat.de verfügbar.

Weiterlesen

Empfindliche Buße – Tätigkeitsbericht 2022 des KDSZ Frankfurt

Im vergangenen Jahr musste die Frankfurter Diözesandatenschutzbeauftragte einen Katastrophenbericht abgeben: Corona und Hochwasser. In diesem Jahr hat sich die Lage entspannt. Das Hochwasser ist kein Thema mehr, die Corona-Themen tauchen wohl zum letzten Mal auf. Der Tätigkeitsbericht des KDSZ Frankfurt für 2022 ist im neuen Normal angekommen.

Titelseite des Tätigkeitsberichts des KDSZ Frankfurt für 2022
Der Tätigkeitsbericht für 2022 ist mit 40 Seiten, davon einige zur Dokumentation von Positionen der katholischen Datenschutzkonferenz, noch kompakt.

Der Frankfurter Tätigkeitsbericht ist immer eher praktisch angelegt: Einige plastische Fallschilderungen, zu streitigen Fragen des Datenschutzrechts dagegen kaum etwas. Zahlen gibt es kaum, aber so deutliche Hinweise auf verhängte Geldbußen wie bei keiner anderen kirchlichen Aufsicht. Ein guter Vorsatz zu Geld und Zahlen wurde leider auch dieses Jahr nicht umgesetzt.

Weiterlesen

Irische Datenschutzaufsicht sieht kein Recht auf Löschung im Taufbuch

Es gibt kein Recht auf Vergessenwerden im Taufregister – jedenfalls nicht zu Lebzeiten. Nach mehreren Jahren hat die irische Datenschutzaufsicht über Beschwerden gegen das Erzbistum Dublin entschieden, mit denen Austrittswillige die Löschung ihrer Daten aus den Kirchenbüchern erstreiten wollten.

Statue in der Dubliner St. Patrick's Cathedral
Statue in der Dubliner St. Patrick’s Cathedral (Bildquelle: Tommy Bond on Unsplash)

Die Entscheidung ist auf den 27. Februar datiert, wurde laut dem Dateinamen aber erst im September auf der Webseite der Datenschutzaufsicht veröffentlicht. Auf 183 Seiten legt die Datenschutzbeauftragte Helen Dixon ihre Entscheidung vor. Auch wenn das Erzbistum in einigen Details keinen Erfolg hatte: Im Großen und Ganzen ist die Praxis der Kirchenbuchführung rechtmäßig.

Im Volltext: Inquiry into processing of Church Records by the Archbishop of Dublin (‚the Archbishop‘), Az. IN-19-7-6

Weiterlesen

Fünf Jahre DSGVO – auf der Suche nach digitaler Souveränität

Auch im Jahr sechs der Geltung der DSGVO gibt es immer noch eine Ambivalenz zwischen Anspruch und Wirklichkeit des Datenschutzes, stellte die frisch aus dem Amt geschiedene niedersächsische Landesdatenschutzbeauftragte Barbara Thiel beim Podium auf der von Althammer & Kill organisierten Fachtagung »Datenschutz & Informationssicherheit« am Donnerstag in Paderborn fest.

Von links nach rechts auf dem Podium: Erik Kahnt (Stv. des Datenschutzbeauftragten für Kirche und Diakonie (DSBKD)), Christian Schultz (kaufmännischer Vorstand der Diakonie Stiftung Salem) und Barbara Thiel (Landesbeauftragte für den Datenschutz in Niedersachsen a. D.)
Auf dem Podium diskutierten Erik Kahnt, Barbara Thiel und Christian Schultz. Schultz, kaufmännischer Vorstand der Diakonie Stiftung Salem, berichtete über den Ransomware-Angriff auf seine Einrichtung, der die komplette IT lahmgelegt hatte. (Foto fxn/Montage)

Die DSGVO sei mit dem Anspruch angetreten, einheitliches Recht für sämtliche europäische Mitgliedsstaaten zu schaffen und das Recht zu harmonisieren. Der Anspruch sei von vorherein durch Öffnungsklauseln und teils überschießender Ausfüllen der Spielräume vor allem in Deutschland aufgeweicht worden, klagte Thiel: »Das empfinde ich als äußerst misslich, dass wir so viel an nationalem Recht haben, insbesondere im Bereich der Wirtschaft.«

Weiterlesen

Nach Beanstandung durch Aufsicht: EKBO-Intranet auf dem Weg der Besserung

Bei der vom BfD EKD in seinem neuen Tätigkeitsbericht aufgrund umfangreicher Datenabfrage bei der Intranet-Registrierung bemängelten Landeskirche handelt es sich wie schon vermutet um die EKBO. Auf Anfrage bestätigte eine Sprecherin, dass man davon ausgehe, dass sich der Bericht auf ihre Landeskirche beziehe. Das EKBO-Intranet ist unter der URL info-gemeinsam.ekbo.de erreichbar. Eine Sprecherin der EKiR teilte dagegen mit, dass ihr – augenscheinlich auf derselben Software basierendes – Intranet nicht im Tätigkeitsbericht erwähnt wird.

Die Anmeldemaske des EKBO-Intranets auf einem Smartphone-Bildschirm. Deutlich ist zu erkennen, dass ein Geburtsdatum einzugeben ist.
Immer noch Pflicht: das Geburtsdatum
Weiterlesen

Auskunft und Ausnahmen – Tätigkeitsbericht des BfD EKD 2021/2022

Ungerade Jahre sind evangelische Berichtsjahre. Jetzt liegt der neue Tätigkeitsbericht des BfD EKD für die Jahre 2021 und 2022 vor – und damit noch einmal ein stark von Corona-Maßnahmen geprägter Bericht. Und nicht nur davon: »Menschen erleben die momentanen Zeiten zunehmend als eine krisenhafte Zuspitzung unseres gesellschaftlichen Miteinanders. Eine Krise folgt auf die andere: Corona-Pandemie, Klimawandel, Krieg in Europa, Energieversorgung und Inflation«, schreibt Michael Jacob in seinem Vorwort: »Da haben es Freiheits- und Grundrechte nicht immer ganz leicht in der gesellschaftlichen und politischen Debatte durchzudringen.«

BfD EKD übergibt EKD-Präses Annette Kurschus seinen Tätigkeitsbericht für die Jahre 2021 und 2022.
BfD EKD übergibt EKD-Präses Annette Kurschus seinen Tätigkeitsbericht für die Jahre 2021 und 2022. (Pressebild BfD EKD, Montage)


Diese Ansagen dann im Kleinklein von Zoom, Facebook und Microsoft, Kita-Einbrüchen, CC-Fails und verlorenen USB-Sticks auch deutlich zu machen, ist anspruchsvoll. Es gibt aber doch auch praktische Fälle, in denen Datenschutz als Grundrechtsschutz sehr deutlich wird. Auf der operativen Ebene lohnt sich der Bericht: Er schafft dringend nötige Transparenz über die sonst sehr bedeckte evangelische Kirchengerichtsbarkeit und gibt in vielen Fallbeispielen wichtige Hintergründe zur Praxis des – mangels Kommentar und angesichts wenig Judikatur – immer noch weniger ergründeten DSG-EKD.

Weiterlesen

Datenschutzverstoß im Bistum Münster durch Akteneinsicht für Missbrauchsstudie

Akten sind zentral für die Aufarbeitung von Missbrauch in der Kirche: Personalakten, Sachakten, historische Bestände und aktuelle Unterlagen aus dem Verfahren zur Anerkennung des Leids, mit dem in der katholischen Kirche Zahlungen von Betroffenen organisiert sind. Diese Akten enthalten notwendig besonders sensible Daten, auch dann, wenn einzelne Bestände nicht unter die besonderen Kategorien personenbezogener Daten fallen.

Die Türme des Münsteraner Paulusdoms
Die Türme des Münsteraner Paulusdoms (Bildquelle: Dietmar Rabich, CC BY-SA 4.0, Link, zugeschnitten)

Datenschutzrechtlich ist daher eigentlich klar: Es braucht eine Rechtsgrundlage. Das Bistum Münster wurde nun auf eine Beschwerde einer betroffenen Person hin vom zuständigen KDSZ Dortmund gerügt – für die Weitergabe von (nicht genug) anonymisierten Akten an die unabhängige Forschergruppe, die die Missbrauchsstudie für das Bistum angefertigt hat, fehlte es an einer Rechtsgrundlage.

Weiterlesen

Fediverse und Facebook-Verbot – das plant der neue Chef des KDSZ Bayern

Fünf Jahre hat es vom Beschluss bis zur Einrichtung des Katholischen Datenschutzzentrums Nürnberg gedauert: Aufbauen wird die neue katholische Datenschutzaufsicht für die bayerischen Bistümer Dominikus Zettl. Der Jurist und Fachanwalt für Strafrecht ist seit dem 1. April als Diözesandatenschutzbeauftragter im Dienst. Viel übernehmen konnte er von seinem Vorgänger nicht: Büro, IT-Infrastruktur, ein Großteil des Personals – alles wird neu in der neuen Behörde.

Porträtfoto Dominikus Zettl
Dominikus Zettl ist seit 1. April 2023 Diözesandatenschutzbeauftragter für die bayerischen Bistümer. Zuvor war er betrieblicher Datenschutzbeauftragter des Erzbistums München und Freising. Vor seinen Tätigkeiten im Datenschutz war Zettl als Rechtsanwalt und Fachanwalt für Strafrecht tätig.
Weiterlesen

Fünf Jahre KDG – Interview mit dem Vorsitzenden der katholischen DSK Matthias Ullrich

Am 24. Mai ist das Gesetz über den kirchlichen Datenschutz fünf Jahre in Kraft. Nach einiger Aufregung zu Beginn hat sich der Datenschutz in der katholischen Kirche nun eingespielt. Viele Aufregerthemen wie Social Media und Messenger sind in der Praxis gar nicht so konfliktträchtig wie ursprünglich gedacht.

Porträtfoto von Matthias Ullrich vor dem Logo der KDSA Ost
Matthias Ullrich leitet die KDSA Ost und ist damit Diözesandatenschutzbeauftragter für die fünf ostdeutschen Bistümer und das Militärbischofsamt. 2023 steht er der Konferenz der Diözesandatenschutzbeauftragten vor.

Für den Vorsitzenden der katholischen Datenschutzkonferenz, Matthias Ullrich, ist das KDG ein Solitär im kirchlichen Recht: Nirgends sonst geben Bischöfe so viel Macht an unabhängige Behörden ab. Im Interview erzählt er, wie er mit einem widerspenstigen Bistum umgeht – und warum Datenschutz für ihn eine politische Mission ist.

Weiterlesen