Videokonferenzen, KDM-Update und Nordkirchen-Aufsicht – Wochenrückblick KW 44/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Am Monatsanfang häufen sich die neuen Amtsblätter. Datenschutzrelevant waren mehrere Veröffentlichungen, allem voran die Personalaktenordnung, die zuerst vom Bistum Limburg veröffentlicht und hier schon besprochen wurde. Außerdem: Die Nordkirche hat ihr Videokonferenzgesetz im Amtsblatt verkündet, damit ist es in Kraft. Es entspricht der auf der Synode eingebrachten Fassung, die Anmerkungen zur Entwurfsfassung treffen also immer noch zu. Das Bistum Essen hat in einem Dekret über die Veröffentlichung des Kirchlichen Amtsblatts neben der mittlerweile in vielen Bistümern üblichen Regelung, dass das Amtsblatt digital first und nur noch in zwei Papierausgaben fürs Archiv erscheint, auch eine Rechtsgrundlage für die Veröffentlichung personenbezogener Daten von Amtsträger*innen und Beauftragten im Amtsblatt »zum Zwecke kirchenamtlich öffentlicher Bekanntgabe der legitimen Ausübung bzw. Wahrnehmung von Ämtern und Diensten sowie sonstigen Befugnissen in der Kirche« geschaffen.

Fleißig waren auch die Verantwortlichen für das Kirchliche Datenschutzmodell: Zwei neue Bausteine sind verfügbar, nämlich Nr. 43 Protokollieren und Nr. 61 Berichtigen. Außerdem: Ganz so versteinert wie befürchtet ist das Grunddokument nicht. Immerhin Fehlerkorrekturen wurden jetzt vorgenommen. Im Vorbild, dem Standard-Datenschutzmodell, hat sich auch etwas getan: Der Baustein 51 »Zugriffe auf Daten, Systeme und Prozesse regeln« wurde beschlossen und veröffentlicht.

In zwei Wochen tagt die Landessynode der Nordkirche. Die Tagesordnung ist schon online. Angekündigt ist nicht nur der Bericht des Datenschutzbeauftragten (der dann den Reigen der Großen für dieses Jahr vollständig macht). Abgestimmt wird auch über ein Kirchengesetz zur Übertragung der Datenschutzaufsicht (Datenschutzübertragungsgesetz – DSÜG). Gibt die Nordkirche ihre eigene Datenschutzaufsicht auf und schließt sich der EKD an? Schon bisher arbeiten die beiden Aufsichten besonders eng zusammen, der Nord-Beauftragte ist zugleich stellvertretender EKD-Beauftragter. Bisher war nur von der Aufsicht der Landeskirche der Pfalz bekannt, dass sie auch unters Dach des BfD EKD will.

Im Zuge der Beschäftigung mit dem Datenschutzrecht der Italienischen Bischofskonferenz habe ich nachgefragt, ob die eigentlich für dieses Jahr geplante Evaluierung schon stattgefunden habe – in Italien ist es auch nicht anders als in Deutschland: »Aufgrund der Notlage wurde die Überprüfung nach drei Jahren noch nicht durchgeführt«, heißt es diese Woche aus Rom.

Ein Veranstaltungshinweis in eigener Sache: Am Samstag, 13. November, findet die Tagung »Kirche digital in der Diözese Rottenburg-Stuttgart« statt. Um 14.30 Uhr gibt es dabei von mir eine praxisorientierte Einheit zum Thema »Datenschutz und Bildrechte«. Die Anmeldung ist offiziell noch bis heute möglich, die Teilnahme kostenlos.

Weiterlesen

Katholische Personalaktenordnung veröffentlicht

Die lange erwartete kirchliche Personalaktenordnung ist da. Schon im September wurde bei der Vollversammlung der Deutschen Bischofskonferenz angekündigt, dass sie zum 1. Januar 2022 in Kraft treten soll, wieder im Rahmen einer parallelen Gesetzgebung der deutschen Diözesanbischöfe.

Ein geöffneter Aktenschrank mit Karteikärtchen
So dürfen Personalakten gemäß PAO sicher nicht gelagert werden. (Symbolbild, Photo by Maksym Kaharlytskyi on Unsplash)

Den Auftakt hat nun der DBK-Vorsitzende in seinem Bistum gemacht: Im aktuellen Amtsblatt (November) ist die „Ordnung über die Führung von Personalakten und Verarbeitung von Personalaktendaten von Klerikern und Kirchenbeamten“ veröffentlicht. Einen allgemeinen Überblick habe ich auf katholisch.de veröffentlicht; interessant sind darüber hinaus auch einige Besonderheiten im Kontext des kirchlichen Datenschutzes.

Weiterlesen

Aufsichten vs. Microsoft-Cloud: Viel Dialog, (fast) keine Sanktionen

Viel Beratung und Dialog, kaum Maßnahmen – das ist das Ergebnis einer Umfrage unter den Datenschutzaufsichten der Länder und des Bundes, die ich in den vergangenen zwei Wochen zur Nutzung von Microsoft-Produkten in der Cloud durchgeführt habe. Nur eine einzige Behörde antwortete auf die Frage, ob sie aufgrund eines Einsatzes von Microsoft-Produkten von Abhilfebefugnissen gegenüber Verantwortlichen gemäß Art. 58 Abs. 2 DSGVO Gebrauch gemacht habe, mit einem klaren Ja – die Berliner Beauftragte für Datenschutz und Informationsfreiheit.

Eine Nahaufnahme einer Windows-Taste auf einer schwarzen Tastatur
scheinen Alternativen zu Microsoft-Produkten scheinen oft unvorstellbar – wenn schon die Hardware mit Microsoft-Branding kommt. (Symbolbild, Photo by Tadas Sar on Unsplash

Das Handeln staatlicher Aufsichten ist auch für den kirchlichen Datenschutzaufsichten unterworfene Verantwortliche interessant: Die kirchlichen Aufsichten bemühen sich um einen großen Einklang mit den staatlichen, in kirchlichen Stellen dominiert Microsoft den Bürosoftware-Markt genauso wie in weltlichen. Wo die staatlichen nicht hart durchgreifen, ist auch kein kirchlicher Durchmarsch zu erwarten.

(Die gesammelten und systematisierten Rückmeldungen in Rohform gibt es auch zum Download.)

Weiterlesen

EU-Informationsfreiheit und Datenschutz-Strafrecht in Augsburg – Wochenrückblick KW 43/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Eigenes Datenschutzrecht von Religionsgemeinschaften ist die Ausnahme und selten Thema bei den staatlichen Behörden. Das zeigt das Ergebnis von zwei Informationsfreiheitsanfragen an den Europäischen Datenschutzausschuss und den Europäischen Datenschutzbeauftragten: kaum Befassung und Geheimniskrämerei. Der Europäische Datenschutzausschuss schickt zwei Dokumente: Ein Mailverkehr zu einer journalistischen Anfrage, ob die dänische Staatskirche es mit dem Datenschutz übertreibt, wenn sie Pfarrer*innen anweist, in Mails religiöse Bezüge zu vermeiden, und ein großzügig geschwärztes Protokoll der 10. Plenarsitzung des Datenschutzausschusses, aus dem lediglich hervorgeht, dass unter Punkt 5.1 »Access by specific supervisory authorities according to Article 85 and 91 GDPR to Documents of the European Data Protection Board« diskutiert wurde. Zu weiteren vier Dokumenten mit Artikel-91-Bezug wurde der Zugang verweigert. Beim europäischen Datenschutzbeauftragten gab es nur ein einziges Dokument: Die nordrhein-westfälische Aufsicht hat Anfang Oktober gebeten, eine Abfrage zu starten, ob es in anderen Mitgliedsstaaten als Deutschland auch spezifische Aufsichten gemäß Art. 91 Abs. 2 DSGVO gibt – möglicherweise im Zusammenhang mit dem Vorgehen der Aufsicht gegen die alt-katholische und neuapostolische Kirche.

Noch weiß man nicht viel darüber, was da im Bistum Augsburg los ist, dass Bischof Bertram Meier drei leitende Mitarbeitende freistellen musste. Im Raum steht allerdings »Datenmissbrauch«. Aufgrund der vorliegenden Informationen ist es kaum möglich, jetzt schon ein abschließendes Urteil zu fällen. Es könnte aber auch datenschutzrechtlich interessant werden: »Datenmissbrauch« könnte je nachdem, was vorgefallen ist, den Straftatbestand aus § 42 Abs. 2 BDSG verwirklichen – eine wenig angewendete Norm, OpenJur kennt nur zwei Entscheidungen (des VG Frankfurt und des OLG Brandenburg), die darauf Bezug nehmen. Das BDSG dürfte hier trotz kirchlichem Datenschutz einschlägig sein, weil wohl ein Mitarbeiterexzess vorliegt.

Kurz vor Redaktionsschluss hat das Interdiözesane Datenschutzgericht noch eine Entscheidung veröffentlicht – IDSG 08/2021 befasst sich mit Datenweitergabe innerhalb eines Ordinariats. In aller Kürze (nächste Woche mehr): Das Ergebnis ist plausibel. Teile des Wegs dahin über eine quasi »aufgedrängte« konkludente Einwilligung überraschen.

Weiterlesen

Katholischer Datenschutz in Italien – das Datenschutzdekret der italienischen Bischofskonferenz

Kirchlicher Datenschutz ist keine deutsche Spezialität. Dass Art. 91 DSGVO, der Religionsgemeinschaften unter bestimmten Bedingungen erlaubt, eigenes Datenschutzrecht anzuwenden, ein deutscher Sonderwunsch war, wird oft vermutet – und die Lobbytätigkeit des Katholischen Büros in Berlin scheint darauf hinzudeuten. Tatsächlich gibt es aber auch in anderen europäischen Ländern kirchliche Datenschutzgesetze – und das schon lange vor Inkrafttreten der DSGVO. (Eine Übersicht gibt es hier in der Rechtssammlung, eigene Artikel sind bereits zum Vatikan und zu Polen erschienen.)

Römische Kirchen, italienische Flaggen
Bildquelle: Photo by Renata Rodrigues on Unsplash

Mindestens seit 1999 hat die italienische Bischofskonferenz eigene Regeln zum Datenschutz, die wie von der DSGVO vorgesehen 2018 in Einklang mit der DSGVO gebracht wurde. Ein Blick in das Generaldekret »Disposizioni per la tutela del diritto alla buona fama e alla riservatezza«Bestimmungen über den Schutz des Rechts auf einen guten Ruf und der Vertraulichkeit«) zeigt ein Gesetz, aus dem weitaus mehr als aus den deutschen Kirchengesetzen der kirchliche Charakter deutlich wird – es wirft aber auch einige Fragen auf, ob das alles europarechtlich so möglich ist.

Weiterlesen

Verwirrend: Rechtsgrundlagen und Thüringen – Wochenrückblick KW 42/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

In der aktuellen Ausgabe des Datenschutz-Berater ist wieder ein Artikel von mir zum kirchlichen Datenschutz: Ausführlich befasst er sich mit den Besonderheiten der Rechtsgrundlagen in den kirchlichen Datenschutzgesetzen. Leser*innen hier kennen bereits Teile der Argumente aus der Betrachtung der Rechtsgrundlagen »anderes Gesetz« und »kirchliches Interesse«, dazu kommt die neue Aufarbeitungs-Rechtsgrundlage im DSG-EKD. Die Beschäftigung mit diesem Angelpunkt des Datenschutzrechts ist bei den kirchlichen Datenschutzgesetzen bisher reichlich unterbelichtet – trotz der großen Unterschiede, die sic him Detail zwischen unpraktisch und möglicherweise europarechtswidrig bewegen. Mein Fazit im Artikel: »Trotz des oft behaupteten Gleichklangs der drei Datenschutzgesetze zeigt ein näherer Blick, dass doch erhebliche Unterschiede bestehen, die keineswegs nur akademisch sind. […] Beide Kirchen wären gut beraten, bei den anstehenden Novellierungen besonders kritisch auf diesen zentralen Teil ihrer Datenschutzgesetze zu blicken.«

Der thüringische Landesdatenschutzbeauftragte hat seinen Bericht für 2020 veröffentlicht. Fälle mit kirchlichem Bezug gibt es keine – aber eine Kuriosität: Die eigene Regelung des Datenschutzes in den Kirchen wird nämlich erwähnt – aber viel miteinander geredet wird unter den für Thüringen zuständigen Aufsichten anscheinend nicht. Im evangelischen Bereich wird als zuständige Aufsicht nur der BfD EKD genannt – der ist zwar für den größten Teil zuständig, aber auch der Datenschutzbeauftragte für Diakonie und Kirche ist relevant, der die Diakonie Mitteldeutschland und die Landeskirche Sachsens, die auch thüringische Teile hat, im Beritt hat. Besonders kurios: Statt der Katholischen Datenschutzaufsicht Ost wird der betriebliche Datenschutzbeauftragte des Bistums Erfurt als für Datenschutzverstöße zuständig genannt.

Die Datenschutz-Notizen stellen das katholische Seelsorge-Patientendatenschutzgesetz kompakt vor. Relevant ist es für kirchliche Häuser – und auch da nicht für alle: Anders als das KDG wurde es (noch?) nicht in allen Bistümern erlassen, auch im Bereich der Orden und des KDR-OG scheint es bislang trotz des großen Ordenskrankenhaussektors nicht in Kraft zu sein. Einen Überblick darüber hat schon vor einigen Wochen Curacon veröffentlicht, und eine etwas ausführlichere Beratung gab es nach der ersten öffentlichgewordenen Inkraftsetzung auch hier – mit einer eher positiven Bewertung im Vergleich zu den Vorgängernormen. Die Aufsichten – etwa die KDSA Nord – dagegen haben sich eher kritisch geäußert im Vergleich zum allgemeinen Datenschutzniveau und mit Blick auf unklare Rechtsbegriffe.

Weiterlesen

EKD-Aufsichten zu Schrems II – Weniger ausnahmsweise als Art. 49 DSGVO

Die Konferenz der Beauftragten für den Datenschutz in der EKD  hat eine Gemeinsame Stellungnahme zur Datenübermittlung in die USA veröffentlicht. Dass eine gemeinsame Stellungnahme in Arbeit ist, wurde bereits vor zwei Wochen durch die verspätete Veröffentlichung einer Position des Datenschutzbeauftragten für Kirche und Diakonie bekannt und löst den selbst gegebenen Abstimmungsauftrag aus der Stellungnahme aus dem Juli des vergangenen Jahres ein..

Ein Verriegelungsknopf an einem Oldtimer, im Hintergrund eine US-Flagge.
Symbolbilder für Drittlanddatenübertragungen sind ohnehin alle Unsinn, warum also nicht das, das immerhin einen Knopf an einem Auto zeigt? (Photo by Nick Fewings on Unsplash)

Inhaltlich ist die nun für den gesamten landeskirchlichen Bereich abgestimmte Stellungnahme fast keine Überraschung: Im wesentlichen wird das in § 10 Abs. 2 DSG-EKD festgelegte Verfahren zur Drittlandsdatenübermittlung ohne Angemessenheitsbeschluss und Standarddatenschutzklauseln vorgestellt, dazu kommt eine detaillierte Geschichte der Datenübermittlung in die USA, eine Erörterung des Marktortprinzips der DSGVO und ein Überblick über die durch den CLOUD-Act erzeugten Probleme – die eine kleine Überraschung: Die Antwort auf die Frage, ob das DSG-EKD wie Art. 49 DSGVO nur ausnahmsweise Datenübertragungen in Drittländer ohne Angemessenheitsbeschluss normiert.

Weiterlesen

Alle Völker und Rassen – Wochenrückblick KW 41/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Bei der Eule beschäftigt sich Philipp Greifenstein mit der Kategorie des »Rassischen« in evangelischen Kirchengesetzen – ein lesenswerter Beitrag zu kirchlicher Rechtskultur. Er fragt: »Wenn sich schon der Deutsche Bundestag mit einer Reform Zeit lässt, könnten dann nicht die Kirchen mit guten Beispiel voran gehen, und den Rassebegriff und seine verschwurbelten Geschwister wie „Abstammung“ und „Ethnie“ aus ihren Gesetzen entfernen?« Betroffen sind dabei auch die kirchlichen Datenschutzgesetze. Sowohl das DSG-EKD (§ 4 Nr. 2 lit. b)) wie das KDG (§ 4 Nr. 2) haben aus Art. 9 Abs. 1 DSGVO die Wendung »rassische und ethnische Herkunft« bei der Definition der besonderen Kategorien personenbezogener Daten übernommen. In der Fachöffentlichkeit wurde das bisher nur von Matthias Ullrich in seiner Kommentierung von § 11 KDG in Sydows KDG-Kommentar problematisiert: »Auch der kirchliche Gesetzgeber hat es an dieser Stelle versäumt, die Formulierung „rassische“ Herkunft aus dem Gesetz zu entfernen, bzw. nicht aufzunehmen. Wissenschaftlich ist längst erwiesen, dass es menschliche Rassen nicht gibt.« Ullrich sieht den Begriff als nicht erforderlich an, um die gewünschte Regelung zu treffen: »Das Begriffspaar „rassische und ethnische Herkunft“ wird stets zusammen verwendet und zielt auf die Zugehörigkeit einer bestimmten Bevölkerungsgruppe ab, die durch gemeinsame Herkunft, Kultur oder ein besonderes Zusammengehörigkeitsgefühl geprägt wird.« Ullrich plädiert dafür, lediglich »ethnische Herkunft« zu schreiben. Mit Blick darauf, dass »rassisch« eben nicht auf biologische Tatsachen, sondern auf biologistische Zuschreibung abhebt, wäre das vielleicht doch etwas zu wenig. (Ausführlich dazu Matthias Hong im Verfassungsblog.)

Auf Twitter habe ich mich mit Michael Hilpüsch darüber unterhalten, ob das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) eigentlich im kirchlichen Bereich gilt. Tut’s das? Laut Anwendungsbereich unterliegen ihm »alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen« (§ 1 Abs. 3 TTDSG). Kirchlicher Datenschutz wird einerseits in Ausübung des Selbstorganisationsrecht der Kirchen gesetzt – verdrängt es dann alle Gesetze dieser Materie? Oder gilt das TTDSG, weil die kirchlichen Datenschutzgesetze beide Regelungen haben, denen zufolge ihnen Spezialgesetze vorgehen (§ 2 Abs. 2 KDG und § 2 Abs. 6 DSG-EKD)? Und welche kirchlichen Einrichtungen sind eigentlich »Unternehmen« im Sinne des TTDSG? Das Zusammenwirken der kirchlichen Gesetze mit weltlichen und die deutlich unterschiedliche Systematik, was den Vorrang des jeweiligen Datenschutzgesetzes im Vergleich zu anderen Gesetzen angeht, bleibt eine der kompliziertesten Fragen des kirchlichen Datenschutzes – und eine der ungeklärtesten.

Ein Terminhinweis in eigener Sache: In der kommenden Woche, 21. Oktober, 17–18.30 Uhr sitze ich beim iRights.Lab auf einem digitalen Podium zum Thema »Ist das Kirche oder kann das weg? Über die Moral in einer digitalen Gesellschaft« – die Teilnahme ist kostenlos, Anmeldung beim iRights.Lab.

Weiterlesen

Wanderaufsicht ohne Buße – Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten 2020/2021

Der bayerische Diözesandatenschutzbeauftragte hat die aktuelle Tätigkeitsberichtsrunde abgeschlossen – mit seinem auf den 1. Oktober datierten und spät am Montag veröffentlichten Bericht für den Zeitraum vom 1. Oktober 2020 bis zum 30. September 2021 liegen nun alle katholischen Berichte vor.

Titelseite des Tätigkeitsberichts des bayerischen Diözesandatenschutzbeauftragten.
Schlicht wie immer: Der Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten für 2020/2021

Wie immer schmucklos, ist er mit 14 Seiten dieses Mal so lang wie noch nie in Bayern. Drama wie im letzten Jahr der Hilferuf wegen der mangelnden Ausstattung der Aufsicht gibt es höchstens zwischen den Zeilen – und der DDSB Jupp Joachimski zeigt wieder einmal, dass er unter seinen Kolleg*innen der mit der stärksten juristischen Durchdringung der komplizierten Verwaltungsmaterien ist.

Weiterlesen

Impfstatus abfragen und kaum Schrems-II-Ausnahmen – Wochenrückblick KW 40/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Beauftragte für den Datenschutz der EKD hat eine Stellungnahme zur Verarbeitung des Impf- und Genesenenstatus veröffentlicht. Recht klar legt er dar, dass die Verarbeitung des Status für die Durchführung des Beschäftigungsverhältnisses grundsätzlich nicht erforderlich ist und nur in den im Infektionsschutzgesetz aufgezählten Einrichtungen eine gesetzliche Grundlage vorliegt. Tarifverträge und Dienstvereinbarungen kämen auch nicht in Frage, so dass in der Regel nur die Einwilligung bleibt, die allerdings wie immer im Arbeitsverhältnis besonders gut abgesichert sein muss in Hinblick auf die Freiwilligkeit. Gegen die Freiwilligkeit spricht laut BfD EKD »Ausüben von sozialem Druck oder eine behauptete Pflicht«. Interessant dagegen: Anreize nicht, sogar im Gegenteil. »Ein Indiz für die Freiwilligkeit besteht dann, wenn Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erhalten. Beschäftigte können beispielsweise ihren Impf- und Serostatus zweckgebunden freiwillig an den Betriebsarzt offenlegen, um die vorgeschriebenen regelmäßige Testung abzuwenden.« In jedem Fall verpflichtend ist nach Ansicht des BfD EKD eine Datenschutzfolgenabschätzung.

In der vergangenen Woche ging es um weitere Kommentare zum kirchlichen Datenschutzrecht. Auf Anfrage teilte mir der Nomos-Verlag mit, dass der dort geplante DSG-EKD-Kommentar von dem Dresdener Professor Ralph Wagner herausgegeben wird, der Erscheinungstermin wird mit voraussichtlich 2. Halbjahr 2022 angegeben – allerdings ist das der erwähnte Kommentar, der laut dem Mitautor Alexander Golland schon dieses Jahr erscheinen soll. Hoffen wir auf den früheren Termin. Außerdem ist ein weiteres Werk in Sicht: Neben Mitarbeitervertretungsordnung und Kirchlicher Arbeitsgerichtsordnung wird der ebenfalls für 2022 von Hermann Reichold, Thomas Ritter und Christian Gohm herausgegebene angekündigte Kommentar(Affiliate Link) auch die Kirchliche Datenschutzgerichtsordnung abdecken. Besondere Desiderate dafür: außerordentliche Rechtsbehelfe und § 2 Abs. 1 S. 2 KDSGO i.V.m. Art. 267 AEUV. (Also: Wie kommt der Fall vor die obersten Kirchengerichte in Rom, und wie kommt man zu Antworten vom EuGH, ob eine kirchliche Norm in Einklang mit der DSGVO steht?)

Der Datenschutzbeauftragte für Kirche und Diakonie hat eine etwas erratische Veröffentlichungspraxis. Diese Woche ist auf der Seite neben einem Text über die Prüfung von Software-Lösungen anhand der Vertragsbedingungen eine auf 10. Juni datierte Position zur »Datenübermittlung in Drittstaaten nach geltendem Recht und der Rechtsprechung des EuGH« erschienen. Ziel dabei ist eine möglichst große Kohärenz mit den Positionen anderer Aufsichten, insofern gibt es keine Überraschungen in der ausführlichen Übersicht und dem vorgestellten Prüfschema. Im wesentlichen wurde die Position des BfDI auf das kirchliche Recht übertragen. Wichtig ist vor allem die klare Ansage, dass die Ausnahmeregeln für die Übertragung auch wirklich Ausnahmen darstellen müssen: »Die Anwendung der Zulässigkeitsvoraussetzungen nach § 10 Abs. 2 Nrn. 1-6 DSG-EKD für Datenübermittlungen in sogenannte unsichere Drittstaaten, zu denen nach dem EuGH Urteil derzeit auch die USA gehören, dürfen nicht dazu führen die in § 10 Abs. 1 DSG-EKD als Grundregel geltende Voraussetzung „ad absurdum“ zu führen, wonach jede Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen nur zulässig ist, wenn ein angemessenes Datenschutzniveau besteht.«

Um das DSG-EKD ging es in dieser Woche auch bei Dr. Datenschutz – dort gibt es einen kompakten Überblick über die Besonderheiten des evangelischen Datenschutzgesetzes.

Weiterlesen