Archiv der Kategorie: Recht und Gesetzgebung

Kirchliche Datenschutzgerichte im Spiegel der Kanonistik

Schreiben Sie eine Antwort

Kirchliches Datenschutzrecht ist, man verzeihe die Selbstverständlichkeit, Kirchenrecht. Dennoch sind die genuin kanonistischen Beiträge zum kirchlichen Datenschutzrecht bisher sehr übersichtlich. In diesem Jahr sind aber gleich zwei Beiträge auf diesem Gebiet erschienen: Ein Aufsatz zur kirchlichen Datenschutzgerichtsbarkeit als möglicher Vorstufe für eine allgemeine Verwaltungsgerichtsbarkeit von Matthias Ambros und die Leuvener Masterarbeit von Martina Tollkühn, die sich ebenfalls mit der Datenschutzgerichtsbarkeit befasst.

Titel der beiden besprochenen Werke

Beide Beiträge leisten einen wichtigen Beitrag, um das kirchliche Datenschutzrecht in den größeren Kontext des kanonischen Rechts einzubetten, insbesondere zu Fragen, wie die spezielle deutsche Gerichtsbarkeit mit dem universalkirchlichen Rechtsschutz interagiert – und Tollkühn hat zudem noch im Anhang ein Osterei, das einen besonderen Einblick in die Entstehungsgeschichte der kirchlichen Datenschutzgerichte gibt.

Weiterlesen

DSG-EKD geändert: Rechtsgrundlage für Missbrauchsaufarbeitung

Eine Antwort

Erstmals seit Inkfrattreten wurde das Datenschutzgesetz der Evangelischen Kirche Deutschlands geändert. Wie die EKD in ihrem aktuellen Amtsblatt mitteilt, hat der Rat eine gesetzesvertretende Verordnung zur Änderung des DSG-EKD erlassen »zum Zwecke der institutionellen Aufarbeitung sexualisierter Gewalt«. Die größte Änderung betrifft einen neuen Paragraphen 50a, der eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten für die institutionelle Aufarbeitung sexualisierter Gewalt schafft.

Eine Hand vor einem Gesicht
(Bildquelle: Photo by Philipp Wüthrich on Unsplash)

Die Aufarbeitung wird mit einer neuen Definition in § 4 gefasst: »institutionelle Aufarbeitung sexualisierter Gewalt« ist der als Nr. 22 eingefügten Begriffsbestimmung zufolge »jede systematische, nicht auf den Einzelfall bezogene Untersuchung von Vorkommnissen sexualisierter Gewalt, insbesondere betreffend deren Ursachen, Rahmenbedingungen und Folgen«.

Weiterlesen

Das Erzbistum Hamburg digitalisiert seinen Schuldatenschutz

Schreiben Sie eine Antwort

Das Erzbistum Hamburg macht den Datenschutz an seinen Schulen coronafest. Die neue Durchführungsverordnung zum Schutz personenbezogener Daten in katholischen Schulen im Erzbistum Hamburg schafft Rechtsgrundlagen für den Einsatz digitaler Werkzeuge im Unterricht und damit hoffentlich mehr Rechtsklarheit. Zugleich werden auch Auskunfts- und Informationsrechte festgeschrieben – allerdings mit einem Haken.

Ein Kind zeichnet etwas auf einem Tablet, nur die Hände, der Stylus und das Tablet sind zu sehen.
(Symbolbild, Photo by Jeswin Thomas on Unsplash)

Die Ordnung ersetzt eine Vorgängernorm aus 2009, die Anordnung zum Schutz personenbezogener Daten in katholischen Schulen in freier Trägerschaft im Erzbistum Hamburg. Es scheint sich dabei um originäres Hamburger Recht zu handeln, nicht um die Umsetzung einer deutschlandweiten Rahmengesetzgebung des VDD wie bei anderen Gesetzen. (Zuerst hatten die Datenschutz-Notizen über die bereits am 31. Mai im Amtsblatt veröffentlichte neue Ordnung berichtet.)

Weiterlesen

Tagungsbericht »Drei Jahre Gesetz über den Kirchlichen Datenschutz«

Schreiben Sie eine Antwort

Im vierten Jahr seiner Geltung geht es beim KDG und seiner Umsetzung in die Details – das zeigte die von Curacon und den nordrhein-westfälischen Caritasverbänden organisierte Tagung zum dritten Geburtstag des Gesetzes über den kirchlichen Datenschutz am vergangenen Freitag.

Folie mit dem Veranstaltungstitel auf einem Laptop

Schwerpunkt waren alltägliche, aber komplizierte Themen: Der Umgang mit Auskunftsersuchen, Auftragsverarbeitung, Schadensersatzansprüche, Datenschutzfolgenabschätzungen und Compliance. Zwei Produkt-Vorstellungen – ein KDG-Compliance-Tool der GDD und ein Datenschutzfolgenabschätzungstool der Curacon – standen zudem auf der Tagesordnung. Den Blick aus den Niederungen der Praxis weitete zum Abschluss ein Vortrag des Vorsitzenden Richters am Interdiözesanen Datenschutzgericht, Bernhard Fessler.

Weiterlesen

Was wir über die Reform des kirchlichen Datenschutzes wissen

Schreiben Sie eine Antwort

An Pfingsten hat zwar nicht die Kirche Geburtstag, dafür dieses Jahr das Gesetz über den kirchlichen Datenschutz: Am 24. Mai 2018, ein Tag vor dem Wirksamwerden der DSGVO, trat es in Kraft. Damit gilt es nun seit drei Jahren – und das heißt: Seine Evaluierung steht an.

Ein Buch unter der Lupe
(Bildquelle: Photo by Teslariu Mihai on Unsplash)

Besonders viel ist noch nicht bekannt – nur eins dürfte sicher sein: Ein eigenes Datenschutzrecht bleibt, das aber Datenschutz nicht grundsätzlich anders aufzieht als die DSGVO (schon um den geforderten Einklang nicht zu gefährden).

Weiterlesen

Noch mehr Probleme bei Brexit-Datentransfers?

Schreiben Sie eine Antwort

Ist es doch nicht so einfach mit dem Brexit und dem katholischen Datenschutzrecht? Nachdem durch das rasche Handeln der Konferenz der Diözesandatenschutzbeauftragten um den Jahreswechsel schon Entwarnung herrschte, macht auf Twitter nun @privideu auf eine Problematik aufmerksam, die bisher nicht im Blick war: »Übrigens: Der Beschl[uss] der Konf[erenz] der Diözesan-DSB der Kath. Kirche vom 4.1.2021 betreffen die Datenverarbeitungen von Auftragsverarbeitern kath. Einrichtungen in [Großbritannien] ist keine zuverlässige Rechtsgrundlage für eine Datenübermittlung nach GB«, heißt es in dem kurzen Thread. Zwar gibt es zur Auftragsverarbeitung im UK einen klaren Beschluss – bei der Datenübermittlung allgemein ist das aber nicht der Fall.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)

Der Einwand scheint stichhaltig: Bis zum Ende der im Brexit-Abkommen vereinbarten Übergangsfrist ist das Vereinigte Königreich datenschutzrechtlich in einem Schwebezustand, den das kirchliche Datenschutzrecht nur schwer fassen kann: »For the duration of the specified period, transmission of personal data from the Union to the United Kingdom shall not be considered as transfer to a third country under Union law«, heißt es im Artikel FINPROV.10A (S. 414) des Abkommens. Das KDG hat Regeln für EU- und EWR-Staaten, Länder mit Angemessenheitsbeschluss und für Drittstaaten – aber natürlich nicht für diesen extra erfundenen Status.

Weiterlesen

Rechtsgrundlage »Kirchliches Interesse« – wer, wann, wie?

Schreiben Sie eine Antwort

Im Datenschutzrecht gilt das Prinzip des Verbots mit Erlaubnisvorbehalt – jede Verarbeitung braucht eine Rechtsgrundlage. Im kirchlichen Datenschutzrecht entsprechen diese Rechtsgrundlagen weitgehend denen der Datenschutzgrundverordnung. Aber eben nur weitgehend: Eine Abweichung ist die Rechtsgrundlage des »kirchlichen Interesses«. Das ist zwar dem aus der DSGVO bekannten »öffentlichen Interesse« nachgebildet – aber es gibt doch einige Unterschiede und viele Unklarheiten, weil weder im Gesetz noch durch Äußerungen der Gesetzgeber präzisiert wird, wer sich wann wie darauf berufen kann.

Carl Spitzweg: Mönch und Sennerin, Ausschnitt.
Kann sich nur der Abt eines öffentlich-rechtlich verfassten Klosters (rechts im Bild) auf die Rechtsgrundlage »kirchliches Interesse« für seine Datenverarbeitungen berufen, oder steht diese Rechtsgrundlage auch der Vorsitzenden der privatrechtlich organisierten kfd-Gruppe (links im Bild) zur Verfügung? (Symbolbild: Carl Spitzweg, Sennerin und Mönch (gemeinfrei/Foto: Immanuel Giel/Wikimedia Commons)
Weiterlesen

Rechtsgrundlage »Anderes Gesetz« – ein europarechtswidriges Fossil?

Schreiben Sie eine Antwort

Die Rechtsgrundlagen der beiden großen kirchlichen Datenschutzgesetze beginnen mit einem Fossil: In der DSGVO sucht man vergeblich eine Norm, die eine Verarbeitung für rechtmäßig erklärt, wenn sie durch eine andere kirchliche oder staatliche Rechtsvorschrift erlaubt oder angeordnet wird (§ 6 Nr. 1 DSG-EKD und § 6 Abs. 1 lit. a) KDG). Ein Fossil ist dieser Rechtsgrund, weil er jeweils wortgleich aus den Vorgängergesetzen übernommen wurde (§ 3 DSG-EKD alt und § 3 Abs. 1 Nr. 1 KDO), die damit wiederum § 4 BDSG alt nachvollzogen haben.

Ein Verantwortlicher im Anwendungsbereich des Gesetzes über den kirchlichen Datenschutz auf der Suche nach einer anderen kirchlichen oder einer staatlichen Rechtsvorschrift. (Symbolbild, Bildquelle: Carl Spitzweg: Der Bücherwurm (Reproduktion: The Yorck Project/Wikimedia Commons))

Insbesondere katholische Gesetzgeber machen intensiv von dieser Rechtsgrundlage Gebrauch, etwa mit speziellen Gesetzen zu Patient*innen-Datenschutz und Fundraising, und in ökumenischer Eintracht mit Regelungen, die die Veröffentlichung von Personaldaten und -jubiläen in Amts- und Pfarrblättern erlauben. Aber ist das auch legal? Besteht da noch der von der DSGVO geforderte »Einklang« in den Wertungen?

Weiterlesen

Her mit meinen Daten! Informationelle Selbstverteidigung

Schreiben Sie eine Antwort

Manchmal vergisst man bei all der Bürokratie, dass es bei Datenschutz um informationelle Selbstbestimmung und damit um die Verteidigung von Grundrechten geht. Auf Twitter macht die Theologin Doris Reisinger auf Aspekte eines Ausstiegs aus problematischen kirchlichen Gruppen aufmerksam, die man selten im Blick hat: Rentennachzahlung, Testamentsänderung und Datenschutz. (Der ganze Thread lohnt zu lesen. Hier geht’s nur um den datenschutzrechtlichen Aspekt.)

Eine Hand macht eine fordernde Geste
Photo by Kira auf der Heide on Unsplash (bearbeitet)

»Kommunitäten, die ihre Mitglieder kontrollieren, sammeln oft ohne deren Zustimmung auch eine Unmenge personbezogener Daten, die sie auch nach dem Austritt aufheben. Das ist ein Verstoß gegen die DSGVO und das Gesetz über Kirchlichen Datenschutz (KDG)«, schreibt Reisinger und empfiehlt, hier das datenschutzrechtliche Auskunftsrecht zu nutzen. Im Prinzip genügt dafür die Information aus ihrem Tweet: Formloses Schreiben, Auskunft nach einschlägigem Gesetz verlangen, Auskunft erhalten. Gerade im kirchlichen Bereich kann es aber doch komplizierter werden aufgrund des in Art. 91 DSGVO festgeschriebenen Selbstverwaltungsrechts der Kirchen im Datenschutz – deshalb gibt es hier einen Wegweiser durch das Gestrüpp aus speziellen kirchlichen Gesetzen und was man tun kann, wenn die verantwortliche Stelle die Daten nicht rausrückt.

Weiterlesen

Freie Fahrt für freie Daten – Schutzgut Datenverkehrsfreiheit?

Schreiben Sie eine Antwort

Gleich im jeweils ersten Paragraphen gibt es einen deutlichen Unterschied zwischen dem katholischen und dem evangelischen Datenschutzgesetz. Nein, nicht die unterschiedliche Strategie bei der inklusiven Sprache (katholisch-mitgemeint oder evangelisch-neutral), sondern in der Bestimmung des Gesetzeszwecks: Während das katholische Gesetz über den kirchlichen Datenschutz (KDG) die Beeinträchtigung des Persönlichkeitsrechts und die Ermöglichung des freien Verkehrs personenbezogener Daten nennt, kennt das DSG-EKD nur den Schutz des Persönlichkeitsrechts.

Photo by Ma Joseph on Unsplash

Hat das etwas zu bedeuten? Protestantischer Privacy-Puritanismus gegen katholische Lebensfreude am Datenteilen? Haben KDG-Anwender*innen am Ende mit einem zusätzlichen Schutzzweck bessere Karten, um von Facebook über WhatsApp bis Zoom mehr zu dürfen? Oder doch nur redaktionelle Zufälligkeiten?

Weiterlesen