Archiv der Kategorie: Praxis

EU-US-Datenschutzrahmen im kirchlichen Datenschutz

Knapp drei Jahre nach Schrems II und dem damit erwirkten Aus für das EU–US Privacy Shield gibt es wieder eine Rechtsgrundlage für die einfache Übertragung von personenbezogenen Daten in die USA: Am Montag teilte die EU-Kommission mit, dass sie einen Angemessenheitsbeschluss für den neuen »Datenschutzrahmen EU-USA« (»EU-US Data Privacy Framework«) getroffen hat, der am Dienstag, 11. Juli, in Kraft tritt.

Ein Mann mit einer US-Flagge als Umhang wird von einer laufenden Frau mit US-Flagge verfolgt.
So ähnlich funktioniert Datenübertragung in die USA. (Bildquelle: Photo by frank mckenna on Unsplash)


Angemessenheitsbeschlüsse können grundsätzlich auch im Geltungsbereich der kirchlichen Datenschutzgesetze angewandt werden. Die ausführliche FAQ-Liste von Thomas Schwenke oder der Angemessenheitsbeschluss selbst können grundsätzlich für Datenübertragungen gemäß KDG und DSG-EKD herangezogen werden. Dennoch gibt es einige Besonderheiten in beiden Gesetzen.

Weiterlesen

Nach Beanstandung durch Aufsicht: EKBO-Intranet auf dem Weg der Besserung

Bei der vom BfD EKD in seinem neuen Tätigkeitsbericht aufgrund umfangreicher Datenabfrage bei der Intranet-Registrierung bemängelten Landeskirche handelt es sich wie schon vermutet um die EKBO. Auf Anfrage bestätigte eine Sprecherin, dass man davon ausgehe, dass sich der Bericht auf ihre Landeskirche beziehe. Das EKBO-Intranet ist unter der URL info-gemeinsam.ekbo.de erreichbar. Eine Sprecherin der EKiR teilte dagegen mit, dass ihr – augenscheinlich auf derselben Software basierendes – Intranet nicht im Tätigkeitsbericht erwähnt wird.

Die Anmeldemaske des EKBO-Intranets auf einem Smartphone-Bildschirm. Deutlich ist zu erkennen, dass ein Geburtsdatum einzugeben ist.
Immer noch Pflicht: das Geburtsdatum
Weiterlesen

Das »kleine Konzernprivileg« bei Kooperationen und Konzentrationen

Häufig ist bei rechtlich selbständigen kirchlichen Stellen ein reger Datenaustausch zu verzeichnen. Zum Teil kooperieren diese Stellen entweder eng miteinander oder sind gar in einer Konzernstruktur verbunden. Das »kleine Konzernprivileg« kann hier nur sehr bedingt eingesetzt werden. Diese Verarbeitungen müssen daher einer differenzierten datenschutzrechtlichen Betrachtung unterzogen und, wo nötig, vertraglich geregelt werden.

Geometrische Figuren ergeben ein kompliziertes, sich überlagerndes Muster
Nicht jedes Organigramm ist gleich eingängig. (Symbolbild, Bildquelle: Martin Sanchez auf Unsplash)

Kooperationen sind im kirchlichen Umfeld fester Bestandteil der Arbeitswelt. Neben Einrichtungen des Gesundheits- und Sozialwesens übernehmen auch in der verfassten Kirche verschiedene Stellen Aufgaben für andere (z. B. Dekanate, kreiskirchliche Verwaltungsämter, Regionalzentren).

Damit geht meist eine Datenverarbeitung einher, für die je nach Konstellation vertragliche Regelungen erforderlich werden. Unumgänglich ist es, die Rechtsgrundlage für den Datenaustausch und die Verantwortlichkeit für die Verarbeitung personenbezogener Daten zu klären. Denn nur so ist eine (haftungs-)rechtliche Absicherung und die Erfüllung aller Pflichten der verantwortlichen Stellen möglich.

Weiterlesen

Kirchlicher Datenschutz oder nicht? Einblicke aus der Beratungspraxis

Kirchliche und kirchennahe Einrichtungen, Träger und Vereine unterliegen in Deutschland kirchlichen Datenschutzgesetzen – jedenfalls bei einer Zugehörigkeit zu den Kirchen, die gemäß Art. 91 DSGVO eigenes Datenschutzrecht anwenden. So weit, so einfach?

Eine Frau steht an einer Kirchentür und schaut in den Kirchenraum.
Wer durch eine Kirchentür geht, ist in der Kirche drin. So einfach zu beantworten ist die Frage nicht, ob eine verantwortliche Stelle datenschutzrechtlich in der Kirche drin ist oder nicht. (Bildquelle: Annie Williams auf Unsplash)

In der Praxis zeigt sich regelmäßig, dass die Beantwortung dieser Fragestellung weitaus komplexer ist, als es auf den ersten Blick erscheint. Häufig kann selbst die verantwortliche Stelle nur schwer beurteilen, ob sie dem kirchlichen Datenschutz unterliegt oder nicht und fragt folgerichtig Ihren Datenschutzbeauftragten um Rat. Bisweilen landet die Frage nach der Zuordnung sogar vor staatlichen Gerichten: Dem OLG Hamm zufolge findet das kirchliche Datenschutzrecht Anwendung und nicht die DSGVO, wenn die Datenverarbeitung im Kernbereich karitativer Tätigkeit betroffen ist.

Weiterlesen

Die neue Grundordnung – Paradigmenwechsel im kirchlichen Beschäftigtendatenschutz

Die katholische Kirche steht nicht erst seit Aktionen wie „Out In Church“ immer wieder in der Kritik für das kircheneigene Arbeitsrecht. Mit der Änderung der Grundordnung des Kirchlichen Dienstes (nachfolgend Grundordnung) im vergangenen November und die neue Musterordnung für die Erteilung der Missio canonica zeigt die Bischofskonferenz, dass sie diese Kritik verstanden hat.

Ein Exemplar der (noch unreformierten) Grundordnung des kirchlichen Dienstes
Ein Exemplar der (noch unreformierten) Grundordnung des kirchlichen Dienstes.

Trotzdem bleibt ein Unbehagen beim Gedanken daran zurück, dass Mitarbeitende von kirchlichen Einrichtungen ganz legal gekündigt werden konnten, wenn der Dienstgeber mitbekommt, dass diese Mitarbeitenden homosexuell sind. Im weltlichen Bereich würde ein solches Vorgehen einen Skandal und einen Verstoß sowohl gegen das Allgemeine Gleichbehandlungsgesetz (AGG) als auch den Datenschutz darstellen. An dieser Stelle soll deshalb die Frage aufgeworfen werden, weshalb das kirchliche Datenschutzrecht solche Handlungen und die zugrundeliegende Datenverarbeitung überhaupt erlaubt hat.

Ein Gastbeitrag von Ines Bock

Weiterlesen

So funktioniert das Auskunftsrecht nach KDG und DSG-EKD

»Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß« – so heißt es schon in einem der wichtigsten Grundlagentexte des Datenschutzes, dem Volkszählungsurteil des Bundesverfassungsgerichts von 1983. Datenschutz ist nicht nur passiv. Datenschutzrecht schafft auch die Instrumente, um informationelle Selbstbestimmung zu ermöglichen. Eines der wichtigsten ist das Auskunftsrecht: Wer was wann und bei welcher Gelegenheit über mich weiß, lässt sich damit herausfinden.

Ein Mann sucht aus einem großen Schrank etwas heraus.
(Bildquelle: National Cancer Institute auf Unsplash)

Auskunftsrechte geltend zu machen ist für Betroffene verhältnismäßig einfach. Auskunftsrechte zu erfüllen, ist für Verantwortliche deshalb oft anspruchsvoll. Wie beides richtig geht, ist auch in den kirchlichen Datenschutzgesetzen geregelt – mit einigen Abweichungen.

Weiterlesen

Facebook-Verbot im katholischen Bayern – was tun?

Seit Jahren raten die kirchlichen Datenschutzaufsichten von Facebook-Fanseiten ab. Nun hat die erste Aufsicht Nägel mit Köpfen gemacht: Der bayerische Diözesandatenschutzbeauftragte hat ein pauschales Verbot für Facebook-Seiten bei kirchlichen Stellen in Bayern ausgesprochen. Die Nachricht sorgt bundesweit für Aufruhr in kirchlichen Pressestellen und Einrichtungen. Kommt jetzt die lange drohende Facebook-Apokalypse?

FAQ zum Facebook-Verbot in Bayern
(Bildquellen: lozengy (Wikimedia Commons), Roman Martyniuk (Unsplash))

Wie kirchliche Stellen das Verbot einordnen und was sie jetzt tun können, klären diese Fragen und Antworten – die natürlich keine Rechtsberatung darstellen.

Weiterlesen

Glaube im Fediverse – die Mastodon-Instanz kirche.social

»Wir sind christlich, interkonfessionell und ökumenisch« – mit diesen Schlagworten stellt sich kirche.social als »gemeinschaftlich verantwortete Instanz von Menschen rund um die Kirche(n)« vor. Betrieben wird die Instanz des freien und föderierten sozialen Netzwerks Mastodon vom LuKi e.V. »LuKi« steht für »Linux User im Bereich der Kirchen«. Der ehrenamtlich getragene Verein hat es sich zur Aufgabe gemacht, freiheitliche und nachhaltige Digitalisierung in den Kirchen zu fördern – auch mit eigener Infrastruktur.

Auf einem Handy ist der Mastodon-Account von LibreChurch zu sehen
LibreChurch ist das Modellprojekt für freiheitliche und nachhaltige Digitalisierung des LUKi e.V. – und natürlich auch auf der eigenen Mastodon-Instanz zu finden. Neben kirche.social stellt das Projekt auch den Messenger synod.im und ein Videokonferenzsystem zur Verfügung.

Im Zuge der Aufregung auf Twitter ist kirche.social wie das Fediverse, also die Gesamtheit der föderierten sozialen Dienste, deutlich gewachsen. Im Interview erzählen Johannes Brakensiek und Christian Brecheis vom LuKi e.V. von den Herausforderungen und Besonderheiten, die ein kirchliches soziales Netzwerk mit sich bringt.

Weiterlesen

IDSG zeigt Kriterien für konkludente Einwilligung

Einwilligungen sind anspruchsvoll. Sie müssen freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Das KDG sieht zudem vor, dass sie in der Regel schriftlich eingeholt werden. Und dennoch ist unter diesen Bedingungen eine konkludente Einwilligung möglich.

Daumen hoch ist auch Einwilligung
Daumen hoch kann auch informierte Einwilligung sein, ganz ohne Schriftform (Bildquelle: Amol Kudal on Unsplash)

In den Datenschutzgesetzen werden die Bedingungen für eine konkludente Einwilligung nicht geregelt. Das Interdiözesane Datenschutzgericht hatte zwar schon zuvor konkludente Einwilligungen angenommen – aber erst mit der nun veröffentlichten Entscheidung (IDSG 01/2021 vom 24. Mai 2022) gibt es Kriterien, welche Anforderungen daran gestellt werden.

Weiterlesen

EDSA überarbeitet Leitlinien zu gemeinsamer Verantwortlichkeit

Eigentlich sollte es mit der DSGVO ziemlich einfach sein, die zuständige Aufsicht zu finden: Federführend ist die Aufsichtsbehörde, die für das Gebiet zuständig ist, in der die verantwortliche Stelle oder der Auftragsverarbeiter die Haupt- oder einzige Niederlassung hat. In der Praxis gibt es aber doch einige Konstellationen, in denen das nicht ganz so klar ist. Schon 2016 hat die Artikel-29-Datenschutzgruppe daher »Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters« beschlossen (WP 244, geltende Fassung rev. 01 vom 5. April 2017).

Aufeinander gestapelte Hände
Einer für alle, alle für einen? (Bildquelle: Hannah Busing on Unsplash)

Diese Leitlinien sollen nun überarbeitet werden. Der Europäische Datenschutzausschuss, der Nachfolger der Art.-29-Gruppe, hat daher einen Entwurf für überarbeitete Leitlinien zur Konsultation gestellt. Die Konsultation läuft noch bis zum 2. Dezember. Speziell geht es dabei um die Regeln zur gemeinsamen Verantwortlichkeit – eine Frage, die auch im kirchlichen Datenschutzrecht immer wieder Rätsel aufgibt. Der Entwurf erwähnt zwar weiterhin die spezifischen Aufsichten nicht – die neuen Regeln machen aber kirchlichen Verantwortlichen in »gemischtgesetzlichen« gemeinsamen Verantwortlichkeiten das Leben doch einfacher.

Weiterlesen