Archiv der Kategorie: Recht und Gesetzgebung

Das Erzbistum Hamburg digitalisiert seinen Schuldatenschutz

Das Erzbistum Hamburg macht den Datenschutz an seinen Schulen coronafest. Die neue Durchführungsverordnung zum Schutz personenbezogener Daten in katholischen Schulen im Erzbistum Hamburg schafft Rechtsgrundlagen für den Einsatz digitaler Werkzeuge im Unterricht und damit hoffentlich mehr Rechtsklarheit. Zugleich werden auch Auskunfts- und Informationsrechte festgeschrieben – allerdings mit einem Haken.

Ein Kind zeichnet etwas auf einem Tablet, nur die Hände, der Stylus und das Tablet sind zu sehen.
(Symbolbild, Photo by Jeswin Thomas on Unsplash)

Die Ordnung ersetzt eine Vorgängernorm aus 2009, die Anordnung zum Schutz personenbezogener Daten in katholischen Schulen in freier Trägerschaft im Erzbistum Hamburg. Es scheint sich dabei um originäres Hamburger Recht zu handeln, nicht um die Umsetzung einer deutschlandweiten Rahmengesetzgebung des VDD wie bei anderen Gesetzen. (Zuerst hatten die Datenschutz-Notizen über die bereits am 31. Mai im Amtsblatt veröffentlichte neue Ordnung berichtet.)

Weiterlesen

Tagungsbericht »Drei Jahre Gesetz über den Kirchlichen Datenschutz«

Im vierten Jahr seiner Geltung geht es beim KDG und seiner Umsetzung in die Details – das zeigte die von Curacon und den nordrhein-westfälischen Caritasverbänden organisierte Tagung zum dritten Geburtstag des Gesetzes über den kirchlichen Datenschutz am vergangenen Freitag.

Folie mit dem Veranstaltungstitel auf einem Laptop

Schwerpunkt waren alltägliche, aber komplizierte Themen: Der Umgang mit Auskunftsersuchen, Auftragsverarbeitung, Schadensersatzansprüche, Datenschutzfolgenabschätzungen und Compliance. Zwei Produkt-Vorstellungen – ein KDG-Compliance-Tool der GDD und ein Datenschutzfolgenabschätzungstool der Curacon – standen zudem auf der Tagesordnung. Den Blick aus den Niederungen der Praxis weitete zum Abschluss ein Vortrag des Vorsitzenden Richters am Interdiözesanen Datenschutzgericht, Bernhard Fessler.

Weiterlesen

Was wir über die Reform des kirchlichen Datenschutzes wissen

An Pfingsten hat zwar nicht die Kirche Geburtstag, dafür dieses Jahr das Gesetz über den kirchlichen Datenschutz: Am 24. Mai 2018, ein Tag vor dem Wirksamwerden der DSGVO, trat es in Kraft. Damit gilt es nun seit drei Jahren – und das heißt: Seine Evaluierung steht an.

Ein Buch unter der Lupe
(Bildquelle: Photo by Teslariu Mihai on Unsplash)

Besonders viel ist noch nicht bekannt – nur eins dürfte sicher sein: Ein eigenes Datenschutzrecht bleibt, das aber Datenschutz nicht grundsätzlich anders aufzieht als die DSGVO (schon um den geforderten Einklang nicht zu gefährden).

Weiterlesen

Noch mehr Probleme bei Brexit-Datentransfers?

Ist es doch nicht so einfach mit dem Brexit und dem katholischen Datenschutzrecht? Nachdem durch das rasche Handeln der Konferenz der Diözesandatenschutzbeauftragten um den Jahreswechsel schon Entwarnung herrschte, macht auf Twitter nun @privideu auf eine Problematik aufmerksam, die bisher nicht im Blick war: »Übrigens: Der Beschl[uss] der Konf[erenz] der Diözesan-DSB der Kath. Kirche vom 4.1.2021 betreffen die Datenverarbeitungen von Auftragsverarbeitern kath. Einrichtungen in [Großbritannien] ist keine zuverlässige Rechtsgrundlage für eine Datenübermittlung nach GB«, heißt es in dem kurzen Thread. Zwar gibt es zur Auftragsverarbeitung im UK einen klaren Beschluss – bei der Datenübermittlung allgemein ist das aber nicht der Fall.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)

Der Einwand scheint stichhaltig: Bis zum Ende der im Brexit-Abkommen vereinbarten Übergangsfrist ist das Vereinigte Königreich datenschutzrechtlich in einem Schwebezustand, den das kirchliche Datenschutzrecht nur schwer fassen kann: »For the duration of the specified period, transmission of personal data from the Union to the United Kingdom shall not be considered as transfer to a third country under Union law«, heißt es im Artikel FINPROV.10A (S. 414) des Abkommens. Das KDG hat Regeln für EU- und EWR-Staaten, Länder mit Angemessenheitsbeschluss und für Drittstaaten – aber natürlich nicht für diesen extra erfundenen Status.

Weiterlesen

Rechtsgrundlage »Kirchliches Interesse« – wer, wann, wie?

Im Datenschutzrecht gilt das Prinzip des Verbots mit Erlaubnisvorbehalt – jede Verarbeitung braucht eine Rechtsgrundlage. Im kirchlichen Datenschutzrecht entsprechen diese Rechtsgrundlagen weitgehend denen der Datenschutzgrundverordnung. Aber eben nur weitgehend: Eine Abweichung ist die Rechtsgrundlage des »kirchlichen Interesses«. Das ist zwar dem aus der DSGVO bekannten »öffentlichen Interesse« nachgebildet – aber es gibt doch einige Unterschiede und viele Unklarheiten, weil weder im Gesetz noch durch Äußerungen der Gesetzgeber präzisiert wird, wer sich wann wie darauf berufen kann.

Carl Spitzweg: Mönch und Sennerin, Ausschnitt.
Kann sich nur der Abt eines öffentlich-rechtlich verfassten Klosters (rechts im Bild) auf die Rechtsgrundlage »kirchliches Interesse« für seine Datenverarbeitungen berufen, oder steht diese Rechtsgrundlage auch der Vorsitzenden der privatrechtlich organisierten kfd-Gruppe (links im Bild) zur Verfügung? (Symbolbild: Carl Spitzweg, Sennerin und Mönch (gemeinfrei/Foto: Immanuel Giel/Wikimedia Commons)
Weiterlesen

Rechtsgrundlage »Anderes Gesetz« – ein europarechtswidriges Fossil?

Die Rechtsgrundlagen der beiden großen kirchlichen Datenschutzgesetze beginnen mit einem Fossil: In der DSGVO sucht man vergeblich eine Norm, die eine Verarbeitung für rechtmäßig erklärt, wenn sie durch eine andere kirchliche oder staatliche Rechtsvorschrift erlaubt oder angeordnet wird (§ 6 Nr. 1 DSG-EKD und § 6 Abs. 1 lit. a) KDG). Ein Fossil ist dieser Rechtsgrund, weil er jeweils wortgleich aus den Vorgängergesetzen übernommen wurde (§ 3 DSG-EKD alt und § 3 Abs. 1 Nr. 1 KDO), die damit wiederum § 4 BDSG alt nachvollzogen haben.

Ein Verantwortlicher im Anwendungsbereich des Gesetzes über den kirchlichen Datenschutz auf der Suche nach einer anderen kirchlichen oder einer staatlichen Rechtsvorschrift. (Symbolbild, Bildquelle: Carl Spitzweg: Der Bücherwurm (Reproduktion: The Yorck Project/Wikimedia Commons))

Insbesondere katholische Gesetzgeber machen intensiv von dieser Rechtsgrundlage Gebrauch, etwa mit speziellen Gesetzen zu Patient*innen-Datenschutz und Fundraising, und in ökumenischer Eintracht mit Regelungen, die die Veröffentlichung von Personaldaten und -jubiläen in Amts- und Pfarrblättern erlauben. Aber ist das auch legal? Besteht da noch der von der DSGVO geforderte »Einklang« in den Wertungen?

Weiterlesen

Her mit meinen Daten! Informationelle Selbstverteidigung

Manchmal vergisst man bei all der Bürokratie, dass es bei Datenschutz um informationelle Selbstbestimmung und damit um die Verteidigung von Grundrechten geht. Auf Twitter macht die Theologin Doris Reisinger auf Aspekte eines Ausstiegs aus problematischen kirchlichen Gruppen aufmerksam, die man selten im Blick hat: Rentennachzahlung, Testamentsänderung und Datenschutz. (Der ganze Thread lohnt zu lesen. Hier geht’s nur um den datenschutzrechtlichen Aspekt.)

Eine Hand macht eine fordernde Geste
Photo by Kira auf der Heide on Unsplash (bearbeitet)

»Kommunitäten, die ihre Mitglieder kontrollieren, sammeln oft ohne deren Zustimmung auch eine Unmenge personbezogener Daten, die sie auch nach dem Austritt aufheben. Das ist ein Verstoß gegen die DSGVO und das Gesetz über Kirchlichen Datenschutz (KDG)«, schreibt Reisinger und empfiehlt, hier das datenschutzrechtliche Auskunftsrecht zu nutzen. Im Prinzip genügt dafür die Information aus ihrem Tweet: Formloses Schreiben, Auskunft nach einschlägigem Gesetz verlangen, Auskunft erhalten. Gerade im kirchlichen Bereich kann es aber doch komplizierter werden aufgrund des in Art. 91 DSGVO festgeschriebenen Selbstverwaltungsrechts der Kirchen im Datenschutz – deshalb gibt es hier einen Wegweiser durch das Gestrüpp aus speziellen kirchlichen Gesetzen und was man tun kann, wenn die verantwortliche Stelle die Daten nicht rausrückt.

Weiterlesen

Freie Fahrt für freie Daten – Schutzgut Datenverkehrsfreiheit?

Gleich im jeweils ersten Paragraphen gibt es einen deutlichen Unterschied zwischen dem katholischen und dem evangelischen Datenschutzgesetz. Nein, nicht die unterschiedliche Strategie bei der inklusiven Sprache (katholisch-mitgemeint oder evangelisch-neutral), sondern in der Bestimmung des Gesetzeszwecks: Während das katholische Gesetz über den kirchlichen Datenschutz (KDG) die Beeinträchtigung des Persönlichkeitsrechts und die Ermöglichung des freien Verkehrs personenbezogener Daten nennt, kennt das DSG-EKD nur den Schutz des Persönlichkeitsrechts.

Photo by Ma Joseph on Unsplash

Hat das etwas zu bedeuten? Protestantischer Privacy-Puritanismus gegen katholische Lebensfreude am Datenteilen? Haben KDG-Anwender*innen am Ende mit einem zusätzlichen Schutzzweck bessere Karten, um von Facebook über WhatsApp bis Zoom mehr zu dürfen? Oder doch nur redaktionelle Zufälligkeiten?

Weiterlesen

EuGH und kirchlicher Datenschutz auf Kollisionskurs? Gernot Sydow im Interview

Das eigene Datenschutzrecht der Kirchen steht unter dem Vorbehalt, im Einklang mit dem europäischen Datenschutzrecht zu stehen. Erste Konflikte zeichnen sich schon ab: Verschiedene Datenschutzaufsichten haben Zweifel am Datenschutzrecht kleinerer Gemeinschaften, und auch bei den großen Kirchen steht nicht fest, wie der gegenüber dem Selbstverwaltungsrecht der Kirchen notorisch kritische Europäische Gerichtshof (EuGH) im Konfliktfall handeln würde. Der Münsteraner Europarechtler Gernot Sydow gibt im Interview mit Artikel 91 eine Einschätzung ab, wie es um das Verhältnis zwischen EU und kirchlichem Datenschutz steht – und macht sich für den Gleichbehandlungsgrundsatz im Religionsverfassungsrecht stark.

Frage: Professor Sydow, hat die Europäische Union überhaupt die Kompetenz, Datenschutzrecht für Religionsgemeinschaften zu regeln?

Sydow: Das gesamte europäische Datenschutzrecht setzt eine Kompetenz der EU voraus, und die gibt es immer dann, wenn es einen Binnenmarktbezug gibt. Nicht alles was die Kirchen tun, hat einen Binnenmarktbezug. Bei kirchlichen Krankenhäusern kann man das noch überlegen, bei deren Dienstleistungen könnte man noch eine europäische Gesetzgebungskompetenz herleiten. Aber das Führen von Kirchenbüchern hat mit der Kompetenz der EU gar nichts zu tun, deshalb ist sie auch nicht zuständig. Deswegen braucht die Kirche dafür auf jeden Fall eigene Regelungen.

Porträtfoto Professor Dr. Gernot Sydow (Bildquelle: Svenja Haas/WWU)
Der Münsteraner Europarechtler Gernot Sydow gehört zu den besten Kenner*innen des kirchlichen Datenschutzrechts – bevor er Professor wurde, war er unter anderem Justitiar und Diözesandatenschutzbeauftragter des Bistums Limburg. Heute ist er außerdem Vorsitzender Richter des Datenschutzgerichts der Deutschen Bischofskonferenz. Im Dezember erschien der von ihm herausgegebene Kommentar zum kirchlichen Datenschutzrecht. (Bildquelle: Svenja Haas/WWU)
Weiterlesen

Mehr Rechte für Patient*innen – das neue Seelsorge-Patientendatenschutzgesetz

Ein weiterer Mosaikstein in der katholischen Datenschutzgebung ist gelegt: Als erstes Bistum hat Würzburg das »Gesetz zum Schutz von Patientendaten bei der Seelsorge in katholischen Einrichtungen des Gesundheitswesens« (Seelsorge-PatDSG) im Amtsblatt veröffentlicht. Auch dieses Gesetz wird in Simultangesetzgebung erlassen, also zentral auf Ebene der Bischofskonferenz vereinbart und von den einzelnen Bischöfen als Gesetzgeber in Kraft gesetzt. (Das steht nicht im Amtsblatt, wurde mir aber von der DBK bestätigt.)

Lithographie des heiligen Camillus von Lellis bei einem Patienten
Der heilige Camillus von Lellis kannte noch kein Seelsorge-PatDSG. (Bildquelle: Wellcome CollectionAttribution 4.0 International (CC BY 4.0), zugeschnitten)

Das neue Seelsorge-PatDSG ersetzt die bisherigen Ordnungen zum Schutz von Patientendaten in katholischen Krankenhäusern, die in den 1990ern erlassen wurde (zum Beispiel die Kölner und Osnabrücker Fassung). Im Vergleich zum Vorgängergesetz ist es mit sieben Paragraphen und einer Präambel und der Beschränkung auf den Bereich der Seelsorge deutlich kompakter – einiges, was in den Patient*innen-Datenschutzordnungen geregelt wurde, etwa zu Grundlagen der Verarbeitung, der Übermittlung von Daten, Auftragsverarbeitung, technischen und organisatorischen Maßnahmen und Betroffenenrechten, wird mittlerweile durch das allgemeine Gesetz über den kirchlichen Datenschutz abgedeckt und muss nicht mehr gesondert geregelt werden.

Weiterlesen