Archiv der Kategorie: Links und Literatur

Rezension: Kirchlicher Datenschutz in Polen

Der Warschauer Europarechtler Bernard Łukańko hat die bisher wohl ausführlichste Studie zum kirchlichen Datenschutzrecht im Rahmen des Art. 91 DSGVO veröffentlicht: »Kościelne modele ochrony danych osobowych«(Affiliate Link) (»Kirchliche Datenschutzmodelle«) analysiert auf 352 Seiten sowohl Art. 91 DSGVO, der Religionsgemeinschaften ein eigenes Datenschutzrecht und eigene Datenschutzaufsichten zugesteht, als auch die Umsetzung dieser Möglichkeit durch polnische Kirchen im Vergleich vor allem mit dem Datenschutzrecht der beiden großen deutschen Kirchen.

Trotz des Fokus auf das Recht der polnischen Kirchen lohnt sich die Lektüre auch außerhalb Polens – wenn man denn polnisch versteht. Eine Übersetzung gibt es bisher nicht.

Auch ohne Polnischkenntnisse ist das Werk zumindest als Steinbruch nützlich: Łukańko arbeitet sich sehr sorgfältig durch die mittlerweile doch einigermaßen umfangreiche, zumeist deutschsprachige Literatur zum kirchlichen Datenschutzrecht, die Fußnoten und das Literaturverzeichnis geben einen hervorragenden Überblick über den Stand der Forschung.

(Einen Überblick über kirchliches Datenschutzrecht in verschiedenen EU-Mitgliedstaaten gibt es in der Rechtssammlung, Artikel sind erschienen zu Italien, Österreich und Polen sowie zur Lage im Drittland Vatikanstaat.)

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW33

Schrems II und das Aus für Privacy Shield beherrscht die Diskussion, langsam trudeln immer mehr Stellungnahmen, Einschätzungen und Strategien ein, fast alle großen kirchlichen Aufsichtsbehörden haben sich schon geäußert – hier im Blog wurden sie schon erwähnt.

Ein Aspekt wurde bisher nicht beleuchtet: Das katholische Gesetz über den kirchlichen Datenschutz ist in einem Punkt deutlich laxer formuliert als seine Pendants. In § 40 Abs. 2 lit. b KDG wird geregelt, dass Datenübertragungen in eine Drittland auch dann zulässig sind, wenn »der Verantwortliche oder der Auftragsverarbeiter nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, davon ausgehen kann, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.«

2018 kommentierte Alexander Golland das so (RDV 1/2018, S. 11): »Die Vorschrift unterläuft damit die Bewertungskompetenz, die der Europäischen Kommission bei Angemessenheitsentscheidungen sowie Standarddatenschutzklauseln und den Datenschutzaufsichtsbehörden hinsichtlich der genehmigungspflichtigen Garantien zusteht. Im Gegenzug erhält der Verantwortliche einen Beurteilungsspielraum, mit der Folge, dass er im Ergebnis selbst Angemessenheitsentscheidungen treffen kann.« Golland kommt zum Schluss, dass diese Regelung nicht mit der DSGVO in Einklang steht und damit unanwendbar ist – vielleicht taucht deshalb diese Norm bisher nicht explizit in den Stellungnahmen der katholischen Datenschutzaufsichten auf.

Aus der Rubrik dumm gelaufen: Ausgerechnet eine Online-Datenschutzschulung wird vom Kirchlichen Arbeitsgerichtshof als »technisches Überwachungssystem« bewertet. Im Urteil vom 25. Mai 2020 (KAGH M 20/19) geht es darum, ob die Schulung als Überwachungssystem eingestuft wird, obwohl nicht das Bistum bzw. die Pfarrei die erhobenen personenbezogenen Daten erhält, sondern nur die Betreiberfirma. Aus den Leitsätzen: es komme nicht darauf an, »ob der Dienstgeber selbst Zugriff auf die
erfassten Daten nehmen kann. Für das Eingreifen der Mitbestimmung reicht es
aus, dass der Dienstgeber die Entscheidung trifft, Informationen über das
Verhalten der Mitarbeiter durch eine zur Überwachung bestimmte technische
Einrichtung erfassen zu lassen«. Daher ist bei der Einführung dieser Online-Schulung die Mitarbeitervertretung zu beteiligen; die Maßnahme ist zustimmungspflichtig. (Beisitzerin auf der Dienstgeberseite war Ursula Becker-Rathmair, die Frankfurter Diözesandatenschutzbeauftragte.)

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW32

Die Rückverfolgbarkeit von Gastronomie-Gästen prägte diese Woche die Diskussion. Die Debatte konzentriert sich auf das Gastgewerbe; Rückverfolgbarkeit ist aber auch bei Gottesdiensten sicherzustellen – ein Aspekt, der bisher nicht vorkommt. Dabei geht es dort sogar um besondere Kategorien personenbezogener Daten: die Tatsache eines Gottesdienstbesuchs gehört auch nach kirchlichem Datenschutzrecht dazu. (Anders als im weltlichen wird zwar die bloße Information über die Zugehörigkeit zu einer Religionsgemeinschaft aus den besonderen Kategorien herausgenommen – Informationen über Gottesdienstbesuche gehen über die bloße Mitgliedschaft hinaus.)

Bei den Datenschutz-Notizen gibt es einen kurzen Überblick über erste kirchliche Reaktionen auf das Schrems-II-Urteil des EuGH. (Das von der Datenschutz-Nord-Gruppe betriebene Blog ist eines der wenigen, die regelmäßig auch den kirchlichen Datenschutz im Blick haben – ein Blick in den aktuellen Tätigkeitsbericht des Nordwest-Diözesandatenschutzbeauftragten verrät warum: Mehrere Bistümer haben einen betrieblichen Datenschutzbeauftragten des Unternehmens beauftragt.)

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW31

Die Woche endet mit einer Entscheidung des Beauftragten für den Datenschutz der EKD, die vieles erschweren dürfte: Das Medienprivileg (§ 51 DSG-EKD) gilt seiner Auffassung nach nicht für den Gemeindebrief. Es mangle am Zweck, »Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten« und dem unbestimmten Empfängerkreis. Das sieht die Deutsche Bischofskonferenz nur zum Teil so, die in ihrer schon lange veröffentlichten FAQ-Liste festhält, dass grundsätzlich auch Pfarrbriefe dem Medienprivileg (§ 55 KDG) unterfallen können: »Hier dürfte es entscheidend darauf ankommen, ob diese sich im Einzelfall lediglich an die Gemeindemitglieder oder an einen öffentlichen, unbestimmbaren Personenkreis richten.«

Kommende Woche Freitag findet das digitale Barcamp Bonn statt. Ich biete eine Session an: So funktioniert Datenschutz: Einführung in die DSGVO für Anfänger*innen (so grundsätzlich gehalten, dass es auch für Anwender*innen der kirchlichen Datenschutzgesetze nützlich ist). Anmeldungen für das digitale Barcamp sind noch möglich.

Eine Datenschutzschulung speziell für das Gesetz über den kirchlichen Datenschutz (KDG) bietet das Erzbistum München und Freising auf seiner Lernplattform an. Es richtet sich zwar an Mitarbeiter*innen und Ehrenamtliche der Diözese, die Anmeldung ist aber allen möglich. Durchaus nützlich, ein Zertifikat gibt’s auch, im Detail aber problematisch, wenn es zu Passworten nur die Tipps gibt, sie nicht im Browser (warum eigentlich?) und auf Post-its zu speichern und sie regelmäßig zu wechseln (spätestens mit der letzten Fassung des BSI-Grundschutz-Kompendiums ist dieser Tipp veraltet und schon länger als Sicherheitsrisiko bekannt), aber keine sichere Alternative zum Post-it präsentiert wird.

Wie Auftragsverarbeitung nach dem KDG funktioniert, steht im Datenschutzblog von Reichert und Reichert. Das Fazit: »Die Zusammenarbeit zwischen kirchlichen Rechtsträgern und nicht-kirchlichen Stellen kann im Datenschutz für beide Seiten herausfordernd sein. Die Einbeziehung des für die meisten Auftragsverarbeiter unbekannten KDG stößt auf Unsicherheiten, vielfach auch auf die fehlende Bereitschaft, sich mit dem Datenschutzrecht des Auftraggebers zumindest überblicksartig zu beschäftigten.« Im Artikel geht es nur um die katholische Variante, die dank einer sehr liberalen Beschlusslage der Konferenz der Diözesandatenschutzbeauftragten sehr einfach umzusetzen ist. Evangelisch wird’s etwas schwerer: Im Gegensatz zum KDG fordert das DSG-EKD explizit, dass sich Auftragsverarbeiter*innen der kirchlichen Datenschutzaufsicht unterwerfen (§ 30 Abs. 5 Satz 3 DSG-EKD).

Weiterlesen

Buchtipp: Rechtssammlung zum kirchlichen Datenschutz

Seit kurzem liegt die von Alexander Golland herausgegebene Rechtssammlung zum kirchlichen Datenschutz in zweiter Auflage (Affiliate Link) vor. Auch wenn es keine grundsätzlichen Änderungen an den darin abgebildeten Gesetzen gab – DSGVO, katholisches KDG und KDR-OG und evangelisches DSG-EKD, jeweils mit weiteren relevanten Gesetzen –, lohnt sich doch knapp zwei Jahre nach Erscheinen der Erstauflage eine Aktualisierung: Redaktionell wurden in den Gesetzen einige Kleinigkeiten korrigiert, die Ordnungen der kirchlichen Gerichte haben neu Eingang in die Sammlung gefunden, und vor allem haben die zuständigen Datenschutzaufsichten mittlerweile einige Grundsatzbeschlüsse vorgelegt.

Zielgruppe der Sammlung sind ausweislich der Einleitung alle Anwender*innen kirchlichen Datenschutzrechts – und das sind mehr, als man denkt: Neben den eigentlich betroffenen kirchlichen Stellen letzten Endes alle, die mit Religionsgemeinschaften in irgendeiner Form zu tun haben, die das Hantieren mit personenbezogenen Daten beinhaltet.

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW30

Die ersten Einschätzungen der katholischen und evangelischen Datenschutzaufsichten zum Aus für das Privacy Shield sind verfügbar – eine erste Hilfe, aber immer noch sind viele Fragen offen. Einen Überblick über Entwicklungen bei der Anwendung des KDG gibt der Tätigkeitsbericht des Nordwest-Diözesandatenschutzbeauftragten – der ist in dieser Woche endlich erschienen.

Seit 2018 ist das katholische Gesetz über den kirchlichen Datenschutz (KDG) in Kraft, bisher waren Anwender*innen bei der Auslegung auf DSGVO-Kommentare, die Erläuterungen des Gesetzgebers und der Aufsichten und die –wenigen – veröffentlichten Urteile der Datenschutzgerichte angewiesen. Das ändert sich bald: Nomos hat voraussichtlich für September einen »Handkommentar Kirchliches Datenschutzrecht« (Affiliate link) zum KDG angekündigt, herausgegeben von Gernot Sydow. Der Münsteraner Europarechtler hat bereits einen Kommentar zur DSGVO (Affiliate link) herausgegeben und ist als Vorsitzender Richter des DBK-Datenschutzgerichts selbst mit der praktischen Anwendung des KDG betraut. (Und aus den veröffentlichten Urteilen ist bekannt: der Sydow ist auch beim Interdiözesanen Datenschutzgericht beliebt.) Ein Kommentar zum evangelischen DSG-EKD steht leider noch aus.

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW29

Das Thema der Woche ist natürlich das Aus für Privacy Shield – lange erwartet, jetzt ist es passiert. Mehr dazu gab es hier im Blog: EuGH kippt Privacy Shield.

Für katholisch.de hat mir der Diözesandatenschutzbeauftragte der NRW-Bistümer Steffen Pau eine erste Einschätzung gegeben. Seine Empfehlung:

»Die kirchlichen Stellen sollten für sich nochmals eine Bestandsaufnahme von den Verarbeitungen personenbezogener Daten machen. Aus diesen Verarbeitungen sind diejenigen genauer anzuschauen, bei denen ein Datenaustausch mit den USA stattfindet. Alle diese Verarbeitungen müssen bezüglich der Auswirkungen des Urteils zur Grundlage der Verarbeitung überprüft werden. Sofern die Datenverarbeitung bisher auf den Privacy Shield gestützt wurde, müssen hier andere Lösungen gefunden werden.«

Steffen Pau, Katholisches Datenschutzzentrum Dortmund
Weiterlesen

Die Woche im kirchlichen Datenschutz – KW28

Philipp Greifenstein (Die Eule) kommentiert in seiner aktuellen Folge der YouTube-Reihe zur Digitalen Kirche in Corona-Zeiten den »lieben, lieben Datenschutz«: Der sei von »Angst, technischer Unkenntnis und sehr großer Vorsicht« geprägt. Sein Plädoyer: Die Eigenverantwortung der Menschen ernst nehmen. (Allerdings: Wenn Einwilligungen schon das Allheilmittel wären, wär’s ja schön – aber weder das WhatsApp-Knock-out-Problem mit den automatisch übertragenen Adressbüchern noch die dann immer noch zu erfüllenden Informationspflichten sind damit gelöst.)

Weiterlesen

Ich zum Datenschutz, anderswo

In den vergangenen Jahren habe ich einiges zum kirchlichen Datenschutz geschrieben – viele kleine Meldungen, einige größere Recherchen und Analysen, und immer wieder Kommentare. Meine Stoßrichtung: Wenn Datenschutz als Grundrechtsschutz effektiv sein soll, dann muss er lebbar sein. Nur Datenschutz mit Augenmaß funktioniert.

Weiterlesen