Archiv der Kategorie: Recht und Gesetzgebung

Rechtsgrundlage »Anderes Gesetz« – ein europarechtswidriges Fossil?

Die Rechtsgrundlagen der beiden großen kirchlichen Datenschutzgesetze beginnen mit einem Fossil: In der DSGVO sucht man vergeblich eine Norm, die eine Verarbeitung für rechtmäßig erklärt, wenn sie durch eine andere kirchliche oder staatliche Rechtsvorschrift erlaubt oder angeordnet wird (§ 6 Nr. 1 DSG-EKD und § 6 Abs. 1 lit. a) KDG). Ein Fossil ist dieser Rechtsgrund, weil er jeweils wortgleich aus den Vorgängergesetzen übernommen wurde (§ 3 DSG-EKD alt und § 3 Abs. 1 Nr. 1 KDO), die damit wiederum § 4 BDSG alt nachvollzogen haben.

Ein Verantwortlicher im Anwendungsbereich des Gesetzes über den kirchlichen Datenschutz auf der Suche nach einer anderen kirchlichen oder einer staatlichen Rechtsvorschrift. (Symbolbild, Bildquelle: Carl Spitzweg: Der Bücherwurm (Reproduktion: The Yorck Project/Wikimedia Commons))

Insbesondere katholische Gesetzgeber machen intensiv von dieser Rechtsgrundlage Gebrauch, etwa mit speziellen Gesetzen zu Patient*innen-Datenschutz und Fundraising, und in ökumenischer Eintracht mit Regelungen, die die Veröffentlichung von Personaldaten und -jubiläen in Amts- und Pfarrblättern erlauben. Aber ist das auch legal? Besteht da noch der von der DSGVO geforderte »Einklang« in den Wertungen?

Weiterlesen

Her mit meinen Daten! Informationelle Selbstverteidigung

Manchmal vergisst man bei all der Bürokratie, dass es bei Datenschutz um informationelle Selbstbestimmung und damit um die Verteidigung von Grundrechten geht. Auf Twitter macht die Theologin Doris Reisinger auf Aspekte eines Ausstiegs aus problematischen kirchlichen Gruppen aufmerksam, die man selten im Blick hat: Rentennachzahlung, Testamentsänderung und Datenschutz. (Der ganze Thread lohnt zu lesen. Hier geht’s nur um den datenschutzrechtlichen Aspekt.)

Eine Hand macht eine fordernde Geste
Photo by Kira auf der Heide on Unsplash (bearbeitet)

»Kommunitäten, die ihre Mitglieder kontrollieren, sammeln oft ohne deren Zustimmung auch eine Unmenge personbezogener Daten, die sie auch nach dem Austritt aufheben. Das ist ein Verstoß gegen die DSGVO und das Gesetz über Kirchlichen Datenschutz (KDG)«, schreibt Reisinger und empfiehlt, hier das datenschutzrechtliche Auskunftsrecht zu nutzen. Im Prinzip genügt dafür die Information aus ihrem Tweet: Formloses Schreiben, Auskunft nach einschlägigem Gesetz verlangen, Auskunft erhalten. Gerade im kirchlichen Bereich kann es aber doch komplizierter werden aufgrund des in Art. 91 DSGVO festgeschriebenen Selbstverwaltungsrechts der Kirchen im Datenschutz – deshalb gibt es hier einen Wegweiser durch das Gestrüpp aus speziellen kirchlichen Gesetzen und was man tun kann, wenn die verantwortliche Stelle die Daten nicht rausrückt.

Weiterlesen

Freie Fahrt für freie Daten – Schutzgut Datenverkehrsfreiheit?

Gleich im jeweils ersten Paragraphen gibt es einen deutlichen Unterschied zwischen dem katholischen und dem evangelischen Datenschutzgesetz. Nein, nicht die unterschiedliche Strategie bei der inklusiven Sprache (katholisch-mitgemeint oder evangelisch-neutral), sondern in der Bestimmung des Gesetzeszwecks: Während das katholische Gesetz über den kirchlichen Datenschutz (KDG) die Beeinträchtigung des Persönlichkeitsrechts und die Ermöglichung des freien Verkehrs personenbezogener Daten nennt, kennt das DSG-EKD nur den Schutz des Persönlichkeitsrechts.

Photo by Ma Joseph on Unsplash

Hat das etwas zu bedeuten? Protestantischer Privacy-Puritanismus gegen katholische Lebensfreude am Datenteilen? Haben KDG-Anwender*innen am Ende mit einem zusätzlichen Schutzzweck bessere Karten, um von Facebook über WhatsApp bis Zoom mehr zu dürfen? Oder doch nur redaktionelle Zufälligkeiten?

Weiterlesen

EuGH und kirchlicher Datenschutz auf Kollisionskurs? Gernot Sydow im Interview

Das eigene Datenschutzrecht der Kirchen steht unter dem Vorbehalt, im Einklang mit dem europäischen Datenschutzrecht zu stehen. Erste Konflikte zeichnen sich schon ab: Verschiedene Datenschutzaufsichten haben Zweifel am Datenschutzrecht kleinerer Gemeinschaften, und auch bei den großen Kirchen steht nicht fest, wie der gegenüber dem Selbstverwaltungsrecht der Kirchen notorisch kritische Europäische Gerichtshof (EuGH) im Konfliktfall handeln würde. Der Münsteraner Europarechtler Gernot Sydow gibt im Interview mit Artikel 91 eine Einschätzung ab, wie es um das Verhältnis zwischen EU und kirchlichem Datenschutz steht – und macht sich für den Gleichbehandlungsgrundsatz im Religionsverfassungsrecht stark.

Frage: Professor Sydow, hat die Europäische Union überhaupt die Kompetenz, Datenschutzrecht für Religionsgemeinschaften zu regeln?

Sydow: Das gesamte europäische Datenschutzrecht setzt eine Kompetenz der EU voraus, und die gibt es immer dann, wenn es einen Binnenmarktbezug gibt. Nicht alles was die Kirchen tun, hat einen Binnenmarktbezug. Bei kirchlichen Krankenhäusern kann man das noch überlegen, bei deren Dienstleistungen könnte man noch eine europäische Gesetzgebungskompetenz herleiten. Aber das Führen von Kirchenbüchern hat mit der Kompetenz der EU gar nichts zu tun, deshalb ist sie auch nicht zuständig. Deswegen braucht die Kirche dafür auf jeden Fall eigene Regelungen.

Porträtfoto Professor Dr. Gernot Sydow (Bildquelle: Svenja Haas/WWU)
Der Münsteraner Europarechtler Gernot Sydow gehört zu den besten Kenner*innen des kirchlichen Datenschutzrechts – bevor er Professor wurde, war er unter anderem Justitiar und Diözesandatenschutzbeauftragter des Bistums Limburg. Heute ist er außerdem Vorsitzender Richter des Datenschutzgerichts der Deutschen Bischofskonferenz. Im Dezember erschien der von ihm herausgegebene Kommentar zum kirchlichen Datenschutzrecht. (Bildquelle: Svenja Haas/WWU)
Weiterlesen

Mehr Rechte für Patient*innen – das neue Seelsorge-Patientendatenschutzgesetz

Ein weiterer Mosaikstein in der katholischen Datenschutzgebung ist gelegt: Als erstes Bistum hat Würzburg das »Gesetz zum Schutz von Patientendaten bei der Seelsorge in katholischen Einrichtungen des Gesundheitswesens« (Seelsorge-PatDSG) im Amtsblatt veröffentlicht. Auch dieses Gesetz wird in Simultangesetzgebung erlassen, also zentral auf Ebene der Bischofskonferenz vereinbart und von den einzelnen Bischöfen als Gesetzgeber in Kraft gesetzt. (Das steht nicht im Amtsblatt, wurde mir aber von der DBK bestätigt.)

Lithographie des heiligen Camillus von Lellis bei einem Patienten
Der heilige Camillus von Lellis kannte noch kein Seelsorge-PatDSG. (Bildquelle: Wellcome CollectionAttribution 4.0 International (CC BY 4.0), zugeschnitten)

Das neue Seelsorge-PatDSG ersetzt die bisherigen Ordnungen zum Schutz von Patientendaten in katholischen Krankenhäusern, die in den 1990ern erlassen wurde (zum Beispiel die Kölner und Osnabrücker Fassung). Im Vergleich zum Vorgängergesetz ist es mit sieben Paragraphen und einer Präambel und der Beschränkung auf den Bereich der Seelsorge deutlich kompakter – einiges, was in den Patient*innen-Datenschutzordnungen geregelt wurde, etwa zu Grundlagen der Verarbeitung, der Übermittlung von Daten, Auftragsverarbeitung, technischen und organisatorischen Maßnahmen und Betroffenenrechten, wird mittlerweile durch das allgemeine Gesetz über den kirchlichen Datenschutz abgedeckt und muss nicht mehr gesondert geregelt werden.

Weiterlesen

Das passiert 2021 im kirchlichen Datenschutz

Nach dem Blick zurück geht’s in die Zukunft: 2021 ist hoffentlich irgendwann das Jahr post Corona. Für den kirchlichen Datenschutz gibt es auch schon einige mehr oder weniger feste Termine. Mit der Evaluierung des KDG und des ökumenischen Kirchlichen Datenschutzmodells stehen zwei große Themen an, die den kirchlichen Datenschutz noch länger prägen dürften.

Eine Glaskugel auf rotem Stoff, links daneben ein Schlüssel
Blick in die Glaskugel. (Bildquelle: Michael Dziedzic/Unsplash)
Weiterlesen

Hart, härter, kirchlicher Datenschutz?

Der kirchliche Datenschutz gilt als besonders streng – jedenfalls hört man das oft von Anwender*innen. Aber stimmt das eigentlich? Schließlich müssen die eigenen Datenschutzregeln von Religionsgemeinschaften, so sieht es Art. 91 DSGVO vor, »in Einklang« mit den Wertungen der DSGVO stehen. Und während die Deutsche Bischofskonferenz schreibt, dass sie mit einem Unterschied in der Formulierung der Einwilligung nicht strenger, sondern »lediglich konkreter und damit anwenderfreundlicher« sein wollte, sagte der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski, der auch an der Ausarbeitung des KDG mitwirkte, dass die Kirche aufgrund ihres Demokratiedefizits handeln musste: »und deshalb waren wir an manchen Stellen bei der Entwicklung des KDG strenger, um zu zeigen, dass wir bereit sind, solche Defizite auszugleichen«, so Joachimski. Von evangelischer Seite sind keine solche Äußerungen bekannt – aber auch dort hört man selten den Vorwurf, das DSG-EKD sei zu lax.

Stimmt es aber überhaupt, dass die kirchlichen Gesetze im Zweifel strenger sind? Ein genauer Blick fördert Interessantes zu Tage – und einige Regelungen, über die man überraschend wenig in der Praxis hört. An einigen Punkten gibt es deutliche Abweichungen von den Regelungen der DSGVO, die auch das Schutzniveau für betroffene Personen verändern.

Weiterlesen

Kirchliche Datenschutzgerichte im Licht des Europarechts (Besprechung Martini/Botta, DÖV)

Immer noch sind die wissenschaftlichen Veröffentlichungen zum Datenschutzrecht der Kirchen sehr übersichtlich; vieles ist noch unklar, auch weil der Art. 91 DSGVO, der Religionsgemeinschaften eigenes Datenschutzrecht ermöglicht, bei näherer Betrachtung einige Unklarheiten aufweist. Dem Wortlaut nach schreibt der Artikel nur einen Bestandschutz für bereits bestehendes Datenschutzrecht der Religionsgemeinschaften fest – auch wenn das kaum mit dem Religionsverfassungsrecht (mancher) Mitgliedstaaten vereinbar ist, dem der Vertrag über die Arbeitsweise der EU (AEUV) in seinem Art. 17 wiederum Bestandschutz gewährt.

Zeitschrift »Die Öffentliche Verwaltung«

Während etwa die deutsche Datenschutzkonferenz Art. 91 wörtlich-restriktiv auslegt, reihen sich Mario Martini und Jonas Botta ein unter die Kommentatoren, die den Artikel im Licht von Religionsfreiheit und Selbstverwaltungsrecht interpretieren. Die Juristen am Deutschen Forschungsinstitut für öffentliche Verwaltung (FÖV) – Martini als Leiter des Programmbereichs Digitalisierung, Botta als Forschungsreferent – haben in der aktuellen Ausgabe von »Die Öffentliche Verwaltung« einen Aufsatz mit dem Titel »Kirchliche Datenschutzgerichtsbarkeit zwischen Selbstbestimmungsrecht und Rechtsschutzgarantie« (DÖV 2020, S. 1045–1054) veröffentlicht, in dem sie sich schwerpunktmäßig mit dem Verhältnis kirchlicher Datenschutzgerichtsbarkeit zu Rechtsschutzvorgaben der DSGVO und des Unionsrechts befassen. Über die Frage der Datenschutzgerichtsbarkeit hinaus liefern sie einige gute Argumente zur Interpretation von Art. 91 DSGVO.

Weiterlesen

Kirchenbücher und Datenschutz: Regionalgeschichte, Genealogie und Stammbaumforschung

Kirchenbücher sind eine wertvolle Quelle für die Regionalgeschichte und genealogische Forschungen: Taufregister, die teils Jahrhunderte zurückgehen, sind oft die besten und vollständigsten Dokumentationen über ganze Landstriche. Dürfen sie aber auch einfach so genutzt werden – oder schiebt dem der Datenschutz einen Riegel vor?

Die gute Nachricht: Oft spielt Datenschutz gar keine Rolle – wenn die Menschen, auf die sich die Daten beziehen, nicht mehr leben. Zwar steht es nirgends explizit in der DSGVO, dem KDG und dem DSG-EKD, dass die Datenschutzgesetze nicht für Verstorbene gelten. Erwägungsgrund 27 der DSGVO stellt aber unmissverständlich klar: »Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener.« Dennoch gibt es einige Regeln für die Nutzung.

Weiterlesen

Das steht an bei der Evaluierung des KDG – Bayerns Diözesandatenschutzbeauftragter im Interview

Jupp Joachimski (Jahrgang 1942) leitet die Gemeinsame Datenschutzaufsicht der bayerischen (Erz-) Diözesen. Seit 2007 ist er als Diözesandatenschutzbeauftragter tätig.

Jupp Joachimski ist Diözesandatenschutzbeauftragter für die bayerischen Bistümer. Eigentlich sollte er das Amt heute abgeben – doch noch steht sein Nachfolger nicht fest. Der ehemalige Vorsitzende Richter am Obersten Bayerischen Landesgericht hat am Gesetzgebungsprozess für das Gesetz über den katholischen Datenschutz mitgewirkt. Auch bei der gerade stattfindenden Evaluierung des KDG ist er beteiligt. Bei Artikel 91 verrät er einige Details dazu.

(Ebenfalls heute ist ein Interview mit Joachimski auf katholisch.de erschienen. Dort geht es eher allgemein um seine Erfahrungen im kirchlichen Datenschutz. Zudem verrät er dort noch einen weiteren Punkt aus der KDG-Evaluierung: Das Schriftformerfordernis bei der Einwilligung soll fallen.)

Weiterlesen