Archiv der Kategorie: Recht und Gesetzgebung

Mehr Unabhängigkeit für den NRW-Diözesandatenschutzbeauftragten

Das Katholische Datenschutzzentrum Dortmund hat eine neue Satzung. Die alte war ein wenig in die Jahre gekommen – seit 2015 ist sie unverändert in Kraft. Seither ist viel passiert: Vor allem natürlich die große Datenschutzreform 2018, die bislang noch gar nicht nachvollzogen war. Dazu kommt aber auch deutliche Kritik an der Konstruktion, den Verwaltungsrat der Aufsicht mit den Diözesanbischöfen zu besetzen, die die Aufsicht beaufsichtigen soll.

Das Siegel des Katholischen Datenschutzzentrums Dortmund zeigt den hl. Ivo.
Das Siegel des Katholischen Datenschutzzentrums Dortmund zeigt den hl. Ivo, den Patron des Datenschutzes. (Foto: fxn)

Nach fast zehn Jahren haben die nordrhein-westfälischen Diözesanbischöfe ihre Datenschutzaufsicht nun auf eine punktuell angepasste neue Grundlage gestellt. Die Aufsicht selbst stapelt eher tief und spricht von »kleinere[n] Anpassungen an die praktischen Erfahrungen der letzten Jahre«. Im Detail zeigt sich aber, dass zumindest Teile der Kritik gehört wurden.

Die neue Satzung wurde zuerst im aktuellen Amtsblatt des Bistums Essen veröffentlicht. Die alte Fassung findet sich im Ministerialblatt NRW.

Weiterlesen

Evangelisch inspirierte katholische Aufarbeitungsnormen in Hildesheim und Osnabrück

Zwei katholische Bistümer haben mittlerweile Ordnungen zur Regelung von Auskunfts- und Einsichtsrechten in Sach- und Personalakten zur Aufarbeitung sexualisierter Gewalt in Kraft gesetzt, die sich stark an die Aufarbeitungsnorm § 50a DSG-EKD anlehnen: Hildesheim und Osnabrück.

Eine lange Reihe an Archivschränken im Sächsischen Hauptstaatsarchiv.
(Foto von C M auf Unsplash)

Die beiden Bistümer gehen damit einen eigenständigen Weg im Vergleich zu den bislang von anderen Diözesen in Kraft gesetzten Aufarbeitungsnormen, ohne ganz unabhängig von ihnen zu sein, wie sich bei einem genaueren Blick in die Normen zeigt.

Regelungsgehalt

Mit fünf kurz gehaltenen Paragraphen (davon einem mit den Regelungen zum Inkrafttreten) sind die beiden Normen schon vom Umfang her eher mit dem evangelischen Pendant zu vergleichen als mit den ausführlicheren Einsichtsnormen anderer Bistümer (die teilweise deutlich mehr Paragraphen aufweisen, die in jedem Fall aber insgesamt deutlich länger sind).

  • § 1 statuiert ein »besonderes kirchliches und öffentliches Interesse« an der Aufarbeitung und schafft daher eine Rechtsgrundlage, die für alle kirchlichen Rechtsträger des jeweiligen Bistums gilt.
  • § 2 ermöglicht die Offenlegung gegenüber der Unabhängigen Aufarbeitungskommission (Osnabrück) und (nur in Hildesheim) zusätzlich gegenüber »Wissenschaftlerinnen und Wissenschaftlern oder Rechtsanwaltskanzleien« unter definierten Bedingungen:
    1. Erforderlichkeit für die Aufarbeitung
    2. eine Nutzung anonymisierter Daten ist nicht möglich oder unverhältnismäßig aufwendig
    3. überwiegendes kirchliches Interesse an der Aufarbeitung
  • § 3 sieht eine Verpflichtung der empfangenden Stelle auf das Datengeheimnis gemäß § 5 KDG oder »§ 53 DSGVO [sic!]« vor (gemeint ist: § 53 BDSG, aber auch das ergibt keinen Sinn, weil § 53 BDSG zum Teil 3 des Gesetzes gilt, der die JI-Richtlinie zum Datenschutz im Bereich innere Sicherheit, Polizei und Justiz umsetzt und daher nur für öffentliche Stellen gilt, nicht für die in den Normen in § 2 geregelten möglichen Empfänger, die somit nie auf § 53 BDSG verpflichtet werden).
  • § 4 regelt die Veröffentlichung personenbezogener Daten, die zulässig ist, wenn sie unerlässlich für die Aufarbeitung ist und die Persönlichkeitsrechte der genannten Personen gewahrt werden.
  • § 5 regelt das Inkrafttreten mit Veröffentlichung im jeweiligen Amtsblatt.

Unterschiede zu § 50a DSG-EKD

Die evangelische Norm stellt ein »überragendes kirchliches Interesse« an der Aufarbeitung fest, in der katholischen ist das Interesse ein »besonderes kirchliches und öffentliches«.

Anders als im DSG-EKD ist der mögliche Empfängerkreis durch genauere Definition eingeschränkter auf Kommission und ggf. Wissenschaft und Rechtsanwaltskanzleien. Im DSG-EKD wird allgemeiner von »von der zuständigen kirchlichen Stelle Beauftragten« gesprochen. (In der Praxis dürfte das bei Nennung aller drei Empfängerkreise wie in Hildesheim aber keinen Unterschied machen.)

Das DSG-EKD nennt drei Bedingungen für eine Offenlegung:

  1. Vorlage eines Datenschutzkonzeptes
  2. Verpflichtung auf das Datengeheimnis und auf Zweckbindung
  3. Maßgaben zur Anonymisierung falls möglich, ansonsten zur pseudonymen Speicherung (Trennung von Einzelangaben und Schlüssel, eine Zuordnung von Personen ermöglicht)

Die katholischen Normen nennen also zusätzlich die Erforderlichkeit (die im DSG-EKD ohnehin aufgrund der allgemeinen Prinzipien zum Umgang mit personenbezogenen Daten gegeben sein muss) und ein »überwiegendes kirchliches Interesse«. Hier ist unklar, ob das etwas anderes ist als das in § 1 schon statuierte »besondere kirchliche Interesse«: Kann es sein, dass zwar das besondere Interesse gemäß § 1 besteht, es aber nicht »überwiegend« gemäß § 2 ist? § 50a DSG-EKD ist hier schlüssiger formuliert, indem hier klar ist, dass die Interessensabwägung in jedem Fall »überragend« ist, also zugunsten der Aufarbeitung ausfällt. Die katholischen Normen sind dagegen grundrechtsschonender formuliert, weil anscheinend noch eine tatsächliche Abwägung nötig ist. Dann stellt sich aber die Frage, was § 1 darüber hinaus noch leistet. Die Vorlage eines Datenschutzkonzeptes wird nicht ausdrücklich gefordert.

§ 50a Abs. 3 DSG-EKD schließt § 17 Abs. 3 DSG-EKD von der Anwendung aus: betroffene Personen müssen also nicht informiert werden, wenn ihre Daten gemäß der Norm zu einem anderen als dem ursprünglichen Zweck verarbeitet werden. Eine derartige Regelung gibt es in den katholischen Normen nicht, damit sind betroffene Personen gemäß § 15 Abs. 3 KDG (der materiell identisch mit § 17 Abs. 3 DSG-EKD ist) zu informieren.

Die Veröffentlichung personenbezogener Daten ist im DSG-EKD deutlich ausführlicher geregelt. Sie erfordert dort die Zustimmung der offenlegenden Stelle, die zu erteilen ist, wenn sie »unerlässlich« für die Aufarbeitung ist, weil es sich um eine Person der Zeitgeschichte handelt, oder wenn die betroffene Person eingewilligt hat. Auch im ersten Fall ist die betroffene Person anzuhören. Daten von Betroffenen sexualisierter Gewalt dürfen nur auf Grundlage einer Einwilligung veröffentlicht werden. Dagegen ist in der katholischen Norm nur die Unerlässlichkeit und eine Wahrung der Persönlichkeitsrechte erforderlich, eine Zustimmung der offenlegenden Stelle braucht es nicht. Niedrigere Standards für Personen der Zeitgeschichte und Einwilligungen sind nicht ausdrücklich normiert, dürften aber in der Wahrung der Persönlichkeitsrechte impliziert sein.

Unterschiede zu katholischen Einsichtsnormen

Die Ordnungen in Hildesheim und Osnabrück sind nicht nur an § 50a DSG-EKD angelehnt, sondern auch an die bereits anderswo bestehenden katholischen Regelungen. Das zeigt sich insbesondere an den Bedingungen für die Offenlegung. Die drei Kriterien – Erforderlichkeit, möglichst anonym, überwiegendes Aufarbeitungsinteresse – sind so auch in den anderen katholischen Einsichtsnormen zu finden. (Teilweise wird dort noch eine vierte Bedingung, die Zustimmung des Diözesanbischofs oder einer von ihm benannten Vertretung, verlangt.)

Trotz der sehr unterschiedlichen Umfänge der Normen sind materiell nicht allzu große Unterschiede festzustellen: Die ausführlicheren Auskunfts- und Einsichtsnormen regeln vor allem technische und organisatorische Maßnahmen und machen so explizit, was ohnehin gemäß Datenschutzrecht zu tun wäre. Sinnvoll ist die ausführliche Regelung zur Schaffung vergleichbarer Standards und zur Rechtsklarheit. Hildesheim und Osnabrück verzichten dagegen sogar auf die im DSG-EKD vorgeschriebene Vorlage eines Datenschutzkonzepts.

Bei der Veröffentlichung werden Personen der Zeitgeschichte in den anderen Normen ausdrücklich genannt.

Fazit

Eine Rechtsgrundlage für die Offenlegung von Sach- und Personalakten zur Missbrauchsaufarbeitung ist dringend nötig, um Rechtssicherheit für die Aufarbeitung zu schaffen. Das IDSG hat zwar bereits in erster Instanz ein generelles »überwiegendes« kirchliches Interesse festgestellt, mit klaren Normen dürfte für die Gestaltung von Aufarbeitungsprozessen aber eine höhere Rechtssicherheit einhergehen.

Über die Fragen der Aufarbeitung hinaus ist bemerkenswert, dass sich hier katholische Gesetzgeber von evangelischem Recht inspirieren lassen. Das sollte angesichts ähnlicher Herausforderungen viel häufiger geschehen.

Ob das in diesem Fall zu einem besseren Ergebnis geführt hat, kann man kontrovers diskutieren. Für das von anderen Bistümern verwendete Muster spricht die detailliertere Regelung, die den mit der Aufarbeitung beauftragten Institutionen klare Vorgaben machen. Für die kompaktere Regelung spricht, dass die Norm so deutlich übersichtlicher ist. Weniger gelungen scheint, dass aus beiden Inspirationsquellen jeweils eine Festlegung zum Aufarbeitungsinteresse übernommen wurde – das Zusammenspiel von § 1 und § 2 Nr. 3 ist unklar.

Eine Kuriosität am Rande ist, dass bei der Entstehung der Norm wohl noch das BDSG a. F. im Hinterkopf war, das tatsächlich in § 5 eine Verpflichtung aufs Datengeheimnis für alle vorgesehen hatte, während das geltende BDSG das nur noch im Geltungsbereich der JI-Richtlinie tut und derartiges in der DSGVO nur implizit steht.

Evaluierung des EKD-Datenschutzgesetzes – ein alternativer Vorschlag

Die aktuelle Evaluierung des DSG-EKD soll im Folgenden dafür genutzt werden, unbefangen (und unbesorgt um Fragen der Durchsetzbarkeit oder Opportunität) einige mögliche Änderungen darzustellen.

Rotstift am DSG-EKD
Rotstift am DSG-EKD (Montage auf Grundlage von Afthab Ibnu Abbas auf Unsplash)

Hinsichtlich der für Gesetzesänderungen bestehenden Spielräume fußen die hiesigen Überlegungen auf der im vorigen Beitrag dargestellten Überzeugung: Art. 91 DSGVO verlangt mit dem „Einklang“ kirchlicher Datenschutz-Regeln keine Wortlaut- oder Sinn-Identität zur DSGVO, sondern ein nach den Maßstäben der DSGVO „angemessenes“ Datenschutzniveau.

Ein Beitrag zur Evaluierung des DSG-EKD von Ralph Wagner

Weiterlesen

Vatikanstaat führt Datenschutz-Gesetz ein – Analyse

Lange war der Vatikanstaat der einzige wirklich datenschutzfreie Raum in Europa. Das ist nun vorbei: Mit Wirkung vom 30. April 2024 setzt das Dekret Nr. DCLVII erstmals ein Datenschutzgesetz des Vatikanstaats in Kraft, den Regolamento Generale sulla protezione dei Dati personali.

Das Regolamento Generale zum Vatikan-Datenschutz vor dem Regierungsgebäude des Staats der Vatikanstadt
Das Regolamento Generale zum Vatikan-Datenschutz vor dem Regierungsgebäude des Staats der Vatikanstadt (Foto: Marek.69, CC BY-SA 4.0, zugeschnitten und bearbeitet/Staat der Vatikanstadt/Montage fxn)

Der Datenschutz-Regolamento ist in weiten Teilen der DSGVO nachgebildet, unterscheidet sich aber in seiner grundsätzlichen Funktionsweise: Es bezieht sich ausschließlich auf das staatliche Handeln im Vatikanstaat. Vorerst wurde es auf drei Jahre ad experimentum erlassen. Bisher ist der »Regolamento Generale sulla protezione dei Dati personali« nur auf italienisch verfügbar.

Weiterlesen

Streit um Akteneinsicht für Ansprechpersonen für Missbrauch im Bistum Augsburg

Zwei der drei Ansprechpersonen für sexuellen Missbrauch im Bistum Augsburg sind unter Protest zurückgetreten. Die beiden werfen der Bistumsleitung unter anderem mangelnde Aufarbeitungs- und Dialogbereitschaft vor. Ein konkreter Vorwurf betrifft den Datenschutz von Personalakten und die fehlende Möglichkeit der Akteneinsicht für die Ansprechpersonen.

Panorama von Augsburg
Panorama von Augsburg (Foto von hoch3media auf Unsplash)

Im Interview mit der Augsburger Allgemeinen erläutern Angelika Hauser und Rupert Membarth ihre Kritik, das Bistum Augsburg reagierte mit einer Stellungnahme. Damit lässt sich immerhin die datenschutzrechtliche Seite beurteilen.

Weiterlesen

Referentenentwurf des DSG-EKD – Leak und Analyse

Im Herbst soll die Synode der EKD eine Reform des DSG-EKD beschließen. Offiziell ist aus dem Evaluierungsprozess bisher wenig bekannt, seit vergangenem Spätjahr immerhin der Fahrplan für die Evaluierung. Für März wurde damals das Stellungnahmeverfahren angekündigt. Tatsächlich läuft das Verfahren auf Grundlage eines Referent*innen-Entwurfs, der leider nicht offiziell veröffentlicht wurde. Mir wurde der Entwurf zur Änderung des DSG-EKD zugespielt – in den zehn Seiten findet sich einiges, was zu erwarten war, aber auch die eine oder andere Überraschung.

Die ersten Seiten des 3. Änderungsgesetzes zum DSG-EKD.

Die Reform hat eine klare Stoßrichtung: Größere Annäherung ans staatliche Datenschutzrecht bei gleichzeitiger Bewahrung der Eigenständigkeit des DSG-EKD, die schon immer größer war als bei seinem katholischen Pendant. Erfreulich ist, dass die Änderungen eine bessere Handhabbarkeit und größtenteils ein gestiegenes Schutzniveau für Betroffene versprechen. Nach dem Beschluss durch die Herbst-Synode soll das erneuerte DSG-EKD zum 1. Mai 2025 in Kraft treten.

Weiterlesen

Einklang als Angemessenheit – ein neuer Ansatz zur Auslegung von Art. 91 DSGVO

Was bedeutet „Einklang“ bei Art. 91 Abs. 1 DSGVO? Falls es derzeit im Datenschutzrecht eine „ökumenische Frage“ gibt, die nach ihrer Bedeutung alle anderen weit überragt, dann ist es sicher diese. Sie lässt sich umformulieren in: Welchen „Spielraum“ und wieviel Freiheit haben Religionsgemeinschaften bei der Gestaltung ihres Datenschutzrechts?

Der Hauptspieltisch auf der Westempore des Passauer Doms.
(Foto: fxn)

Vorab: Die gestellte Frage ist (natürlich) nur wichtig, soweit die DSGVO überhaupt Anwendung findet. Nach der Rechtsprechung des EuGH allerdings bedeutet das praktisch keine nennenswerte Einengung: Die DSGVO ist nach Luxemburger Auffassung für Religionsgemeinschaften umfassend und flächendeckend gültig. Diese Ansicht des EuGH ist juristisch durchaus zweifelhaft.

Ein Beitrag zur Evaluierung des DSG-EKD von Ralph Wagner

Weiterlesen

DSGVO-Evaluation – Reformbedarf beim Kirchenartikel

Während die Evaluierung der kirchlichen Datenschutzgesetze überfällig ist, ist die EU-Kommission schon bei der zweiten Bewertungs- und Überprüfungsrunde gemäß Art. 97 DSGVO. Beim ersten Bericht aus dem Jahr 2020 tauchte Art. 91 DSGVO und damit die Ausnahmeregelung für den kirchlichen Datenschutz nicht auf.

Eine Lupe fokussiert auf Art. 91 DSGVO
Die ganze DSGVO wird evaluiert – Art. 91 DSGVO ist dabei selten im Fokus.

Noch bis zum 8. Februar können Rückmeldungen eingereicht werden – und zwar von allen »Interessensträger*innen«. Darunter fasst die Kommission unter anderem Zivilgesellschaft, Unternehmen und im Datenschutzbereich tätige Personen. Damit dieses Mal Art. 91 DSGVO nicht herunterfällt, plane ich eine Einreichung – erste Ideen sammle ich hier, über weitere Rückmeldungen in den Kommentaren oder per Mail freue ich mich.

Weiterlesen

Vor Gericht und bei der Evaluierung – Jahresausblick 2024

So voll der Jahresrückblick auch immer ist – wie viele Themen dann doch wieder im Ausblick erscheinen, zeigt, wie lange vieles doch geht. Immerhin: Mit dem KDSZ Bayern und dem DSG-EKD-Kommentar konnten viele Dinge von der Liste gestrichen werden. Vor allem die gerichtliche Klärung von Fragestellungen dauert aber – und das nicht nur in den Fällen, die eine Runde über den EuGH drehen.

Jahresaublick Kirchlicher Datenschutz 2024
(Bildquelle: Kajetan Sumila auf Unsplash, Montage fxn)
Weiterlesen

Fake-Facebook-Verbot und kontroverse Aufarbeitung – Jahresrückblick 2023

An einige Prognosen des Jahresausblicks für 2023 kann man Haken setzen: In Sachen Facebook-Fanpages ging es ein bisschen weiter, der EU-US-Datentransfer ist wieder einfach möglich, das KDSZ Bayern errichtet und der DSG-EKD-Kommentar ist endlich erschienen. Anderes bleibt offen: In die DSG-EKD-Evaluierung kam etwas Bewegung, aber akut wird sie erst 2024, von der KDG-Evaluierung gab es gar nichts Neues.

Jahresrückblick kirchlicher Datenschutz
(Bildquelle: Kajetan Sumila auf Unsplash, Montage fxn)

Geprägt war das Jahr 2023 im kirchlichen Datenschutz neben dem Umgang mit Facebook-Fanpages besonders stark von Fragen der Missbrauchsaufarbeitung: Betroffenenrechte von Betroffenen und Beschuldigten wurden kontrovers diskutiert, es gab Täternamen-Veröffentlichungen, neue Gesetze, Entscheidungen von staatlichen Gerichten und kirchlichen Datenschutzaufsichten.

Weiterlesen