Archiv der Kategorie: Praxis

Die neue Grundordnung – Paradigmenwechsel im kirchlichen Beschäftigtendatenschutz

Die katholische Kirche steht nicht erst seit Aktionen wie „Out In Church“ immer wieder in der Kritik für das kircheneigene Arbeitsrecht. Mit der Änderung der Grundordnung des Kirchlichen Dienstes (nachfolgend Grundordnung) im vergangenen November und die neue Musterordnung für die Erteilung der Missio canonica zeigt die Bischofskonferenz, dass sie diese Kritik verstanden hat.

Ein Exemplar der (noch unreformierten) Grundordnung des kirchlichen Dienstes
Ein Exemplar der (noch unreformierten) Grundordnung des kirchlichen Dienstes.

Trotzdem bleibt ein Unbehagen beim Gedanken daran zurück, dass Mitarbeitende von kirchlichen Einrichtungen ganz legal gekündigt werden konnten, wenn der Dienstgeber mitbekommt, dass diese Mitarbeitenden homosexuell sind. Im weltlichen Bereich würde ein solches Vorgehen einen Skandal und einen Verstoß sowohl gegen das Allgemeine Gleichbehandlungsgesetz (AGG) als auch den Datenschutz darstellen. An dieser Stelle soll deshalb die Frage aufgeworfen werden, weshalb das kirchliche Datenschutzrecht solche Handlungen und die zugrundeliegende Datenverarbeitung überhaupt erlaubt hat.

Ein Gastbeitrag von Ines Bock

Weiterlesen

So funktioniert das Auskunftsrecht nach KDG und DSG-EKD

»Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß« – so heißt es schon in einem der wichtigsten Grundlagentexte des Datenschutzes, dem Volkszählungsurteil des Bundesverfassungsgerichts von 1983. Datenschutz ist nicht nur passiv. Datenschutzrecht schafft auch die Instrumente, um informationelle Selbstbestimmung zu ermöglichen. Eines der wichtigsten ist das Auskunftsrecht: Wer was wann und bei welcher Gelegenheit über mich weiß, lässt sich damit herausfinden.

Ein Mann sucht aus einem großen Schrank etwas heraus.
(Bildquelle: National Cancer Institute auf Unsplash)

Auskunftsrechte geltend zu machen ist für Betroffene verhältnismäßig einfach. Auskunftsrechte zu erfüllen, ist für Verantwortliche deshalb oft anspruchsvoll. Wie beides richtig geht, ist auch in den kirchlichen Datenschutzgesetzen geregelt – mit einigen Abweichungen.

Weiterlesen

Facebook-Verbot im katholischen Bayern – was tun?

Seit Jahren raten die kirchlichen Datenschutzaufsichten von Facebook-Fanseiten ab. Nun hat die erste Aufsicht Nägel mit Köpfen gemacht: Der bayerische Diözesandatenschutzbeauftragte hat ein pauschales Verbot für Facebook-Seiten bei kirchlichen Stellen in Bayern ausgesprochen. Die Nachricht sorgt bundesweit für Aufruhr in kirchlichen Pressestellen und Einrichtungen. Kommt jetzt die lange drohende Facebook-Apokalypse?

FAQ zum Facebook-Verbot in Bayern
(Bildquellen: lozengy (Wikimedia Commons), Roman Martyniuk (Unsplash))

Wie kirchliche Stellen das Verbot einordnen und was sie jetzt tun können, klären diese Fragen und Antworten – die natürlich keine Rechtsberatung darstellen.

Weiterlesen

Glaube im Fediverse – die Mastodon-Instanz kirche.social

»Wir sind christlich, interkonfessionell und ökumenisch« – mit diesen Schlagworten stellt sich kirche.social als »gemeinschaftlich verantwortete Instanz von Menschen rund um die Kirche(n)« vor. Betrieben wird die Instanz des freien und föderierten sozialen Netzwerks Mastodon vom LuKi e.V. »LuKi« steht für »Linux User im Bereich der Kirchen«. Der ehrenamtlich getragene Verein hat es sich zur Aufgabe gemacht, freiheitliche und nachhaltige Digitalisierung in den Kirchen zu fördern – auch mit eigener Infrastruktur.

Auf einem Handy ist der Mastodon-Account von LibreChurch zu sehen
LibreChurch ist das Modellprojekt für freiheitliche und nachhaltige Digitalisierung des LUKi e.V. – und natürlich auch auf der eigenen Mastodon-Instanz zu finden. Neben kirche.social stellt das Projekt auch den Messenger synod.im und ein Videokonferenzsystem zur Verfügung.

Im Zuge der Aufregung auf Twitter ist kirche.social wie das Fediverse, also die Gesamtheit der föderierten sozialen Dienste, deutlich gewachsen. Im Interview erzählen Johannes Brakensiek und Christian Brecheis vom LuKi e.V. von den Herausforderungen und Besonderheiten, die ein kirchliches soziales Netzwerk mit sich bringt.

Weiterlesen

IDSG zeigt Kriterien für konkludente Einwilligung

Einwilligungen sind anspruchsvoll. Sie müssen freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Das KDG sieht zudem vor, dass sie in der Regel schriftlich eingeholt werden. Und dennoch ist unter diesen Bedingungen eine konkludente Einwilligung möglich.

Daumen hoch ist auch Einwilligung
Daumen hoch kann auch informierte Einwilligung sein, ganz ohne Schriftform (Bildquelle: Amol Kudal on Unsplash)

In den Datenschutzgesetzen werden die Bedingungen für eine konkludente Einwilligung nicht geregelt. Das Interdiözesane Datenschutzgericht hatte zwar schon zuvor konkludente Einwilligungen angenommen – aber erst mit der nun veröffentlichten Entscheidung (IDSG 01/2021 vom 24. Mai 2022) gibt es Kriterien, welche Anforderungen daran gestellt werden.

Weiterlesen

EDSA überarbeitet Leitlinien zu gemeinsamer Verantwortlichkeit

Eigentlich sollte es mit der DSGVO ziemlich einfach sein, die zuständige Aufsicht zu finden: Federführend ist die Aufsichtsbehörde, die für das Gebiet zuständig ist, in der die verantwortliche Stelle oder der Auftragsverarbeiter die Haupt- oder einzige Niederlassung hat. In der Praxis gibt es aber doch einige Konstellationen, in denen das nicht ganz so klar ist. Schon 2016 hat die Artikel-29-Datenschutzgruppe daher »Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters« beschlossen (WP 244, geltende Fassung rev. 01 vom 5. April 2017).

Aufeinander gestapelte Hände
Einer für alle, alle für einen? (Bildquelle: Hannah Busing on Unsplash)

Diese Leitlinien sollen nun überarbeitet werden. Der Europäische Datenschutzausschuss, der Nachfolger der Art.-29-Gruppe, hat daher einen Entwurf für überarbeitete Leitlinien zur Konsultation gestellt. Die Konsultation läuft noch bis zum 2. Dezember. Speziell geht es dabei um die Regeln zur gemeinsamen Verantwortlichkeit – eine Frage, die auch im kirchlichen Datenschutzrecht immer wieder Rätsel aufgibt. Der Entwurf erwähnt zwar weiterhin die spezifischen Aufsichten nicht – die neuen Regeln machen aber kirchlichen Verantwortlichen in »gemischtgesetzlichen« gemeinsamen Verantwortlichkeiten das Leben doch einfacher.

Weiterlesen

Das kirchliche Datenschutzmodell in der Praxis

Seit knapp anderthalb Jahren gibt es das Kirchliche Datenschutzmodell: Die katholischen und evangelischen Datenschutzaufsichten haben das Standard-Datenschutzmodell für die kirchlichen Gesetze KDG und DSG-EKD adaptiert, um im Bereich der Kirchen auf bewährte Methoden zum Datenschutzmanagement zurückgreifen zu können. Auf einer eigenen Webseite findet sich mittlerweile neben dem Modell auch Schulungsmaterial – doch auch damit bleibt das KDM komplex.

Ein Zettel mit dem Logo des Kirchlichen Datenschutzmodells wird auf eine Pinnwand geheftet
Das Kirchliche Datenschutzmodell wurde gemeinsam von den katholischen und evangelischen Datenschutzaufsichten auf der Grundlage des Standard-Datenschutzmodells entwickelt. (Bildquelle: Volodymyr Hryshchenko on Unsplash; Kirchliches Datenschutzmodell; Montage fxn)

Im Interview berichten Boris Reibach und Maria Schumacher, beide auf Datenschutz spezialisierte Rechtsanwält*innen, von ihren Praxiserfahrungen aus anderthalb Jahren Arbeit mit dem KDM – und wie kleinere Vereine und Organisationen ihren Datenschutz gestalten können, ohne gleich ein umfangreiches Datenschutzmodell einzuführen.

Weiterlesen

Datenschutzbeschwerden gegen Ackermann und Trier im Fall Weißenfels

Der Trierer Bischof Stephan Ackermann hat im März in einer Videokonferenz vor Bistumsmitarbeitenden das Pseudonym der als Karin Weißenfels bekannten Missbrauchsbetroffenen aufgelöst – und zwar laut Teilnehmenden des Treffens absichtlich und mit Ansage. Schon im April wurde von verschiedenen Medien berichtet, dass der Bischof eine Unterlassungserklärung unterzeichnet habe. Das Bistum teilte mit, dass Ackermann Weißenfels um Entschuldigung gebeten habe.

Bischof Stephan Ackermann
Stephan Ackermann ist Bischof von Trier. Von 2010 bis Ende September 2022 war er Missbrauchsbeauftragter der Deutschen Bischofskonferenz. (Bildquelle: Pressefoto Bistum Trier)

Durch die Berichterstattung der Süddeutschen Zeitung wurde vor knapp einem Monat bekannt, dass auch die zuständige kirchliche Datenschutzaufsicht mit dem Fall befasst ist. Worum es dabei genau geht, haben Karin Weißenfels und ihr Anwalt Oliver Stegmann auf Anfrage genauer erläutert. Das Bistum Trier wollte sich auf Anfrage nicht zur hier geschilderten Darstellung äußern. Die zuständige Datenschutzaufsicht, das Katholische Datenschutzzentrum Frankfurt am Main, teilte auf Anfrage mit, dass man sich grundsätzlich nicht zu laufenden Verfahren äußere, betonte aber, dass jedes anhängige Verfahren ohne Ansehen der Person nach den rechtlichen Vorgaben bearbeitet werde.

Weiterlesen

Katholische DSK lässt Einwilligung in schlechtere ToMs zu

Verantwortliche müssen technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten – so steht es in § 26 KDG. Dazu gehören beispielsweise besonders gesicherte Kommunikationskanäle. Lediglich transportverschlüsselte E-Mail fällt damit regelmäßig aus – das ist sicher, aber unpraktisch. In der Praxis stellt sich daher die Frage, ob auf angemessene ToMs durch eine Einwilligung verzichtet werden kann: »Ich willige in eine Zusendung des Untersuchungsbefunds per E-Mail ein«, zum Beispiel.

Ein offenes Vorhängeschloss an einem Riegel
Mit Einwilligung darf das Schloss künftig manchmal ab. (Bildquelle: iMattSmart on Unsplash)

Bislang war die Position der katholischen Datenschutzkonferenz, dass eine Einwilligung in schlechtere ToMs nicht zulässig ist. Die Verpflichtung sei »zwingender Natur und steht mithin nicht zur Disposition der an der Datenverarbeitung Beteiligten«, lautete bislang der Beschluss. Nun hat die Konferenz der Diözesandatenschutzbeauftragten ihren Beschluss revidiert und spricht von einem »Dispositionsrecht zur Einwilligung in die Nichtanwendung von technischen und organisatorischen Maßnahmen«. Der Beschluss der Juni-Sitzung wurde jetzt veröffentlicht.

Weiterlesen

Ist der Elternbeirat eigene verantwortliche Stelle?

Elternbeiräte tragen viel Verantwortung für den guten Kontakt zwischen Eltern und Schule oder Kita. Aber tragen sie auch die datenschutzrechtliche Verantwortung? Die Antwort darauf hat Konsequenzen: Wenn die Mitbestimmungsgremien eigene Verantwortliche sind, müssen Eltervertreter*innen den ganzen Katalog der datenschutzrechtlichen Pflichten erfüllen. Sind sie es nicht, ist die Schule oder Kita auch für ihre Mitbestimmungsgremien verantwortlich – und muss damit auch im Blick haben und regulieren, wie Elternbeiräte arbeiten.

Erwachsene sitzen in einem Klassenraum
Symbolbild Elternabend (Bildquelle: Kenny Eliason on Unsplash)

Im kirchlichen Datenschutzrecht wird die Frage nicht einfacher: Bei eigenen Verantwortlichen muss nämlich zusätzlich die Frage beantwortet werden, ob diese Verantwortliche dann auch kirchliche Stellen sind – ob sie also DSGVO oder das jeweilige kirchliche Datenschutzgesetz anwenden müssen.

Weiterlesen