IDSG zu Rechtswegen im kirchlichen Datenschutz

Das Interdiözesane Datenschutzgericht hat zwei neue Entscheidungen veröffentlicht: IDSG 6/2021 und IDSG 19/2021. In beiden geht es in der Sache zunächst um Konflikte im Bereich des Beschäftigtendatenschutzes – wenn das Verhältnis ohnehin zerrüttet ist, werden die wenigen gut zugänglichen Rechtsbehelfe ergriffen, die es im kirchlichen Recht gibt.

Ein Richterhammer liegt auf einer Ausgabe der Kirchlichen Datenschutzgerichtsordnung (KDSGO)
Die KDSGO regelt die kirchliche Datenschutzgerichtsbarkeit.

Beide Entscheidungen haben aber auch Aspekte mit grundsätzlicher Bedeutung: Verhandelt werden offene und versperrte Rechtswege zum kirchlichen Datenschutzgericht und zu kirchlichem Recht vor staatlichen Gerichten.

Weiterlesen

IDSG schützt informationelle Selbstbestimmung von Jugendlichen

Kinder und Jugendliche haben Rechte. Das ist leider nicht immer so klar, wie es wünschenswert wäre. Insbesondere haben Kinder auch Rechte gegenüber ihren Eltern, die trotz grundgesetzlich verbürgtem Elternrecht auf Erziehung nicht alles dürfen.

Ein Mädchen zeigt das Victory-Zeichen. Auf ihrem Shirt steht »GRLPWR«.
(Bildquelle: Kiana Bosman on Unsplash)

Das Interdiözesane Datenschutzgericht hatte nun einen Fall zu entscheiden, in dem es genau darum ging: Ein Vater wollte Auskunftsrechte über Daten seiner Tochter geltend machen, und zwar gegen den Willen der 15-jährigen. Das Ergebnis ist rundheraus zu begrüßen: Das Gericht macht die Rechte der Jugendlichen stark. (IDSG 23/2020 vom 25. Februar 2022)

Weiterlesen

Was eigenes – Wochenrückblick KW 28/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das Interdiözesane Datenschutzgericht hat zwei neue Entscheidungen veröffentlicht. Wieder einmal geht es um Konflikte aus dem Arbeitsleben, und wieder sind sie in der Sache individuell sicher ärgerlich und belastend, tragen aber nicht übermäßig zur Rechtsentwicklung bei. Aber beide Entscheidungen haben doch auch über den Sachverhalt hinaus interessante Erwägungen: Die eine (IDSG 06/2021 vom 8. März 2022) zur Frage, wie Schadensersatz erstritten werden kann und was die Rolle der kirchlichen Datenschutzinstitutionen dabei ist, die andere (IDSG 19/2021 vom 25. April 2021) zur Frage, ob die kirchlichen Datenschutzgerichte unmittelbar can. 220 CIC prüfen können. Beide Entscheidungen werden hier in der kommenden Woche ausführlicher besprochen.

In der Besprechung des neuen Tätigkeitsberichts des DSBKD wurde schon auf eine Nebenbemerkung mit Sprengkraft verwiesen: »Für den allein kirchlichen Anwendungsbereich könnten die Kirchen eigene Aufsichtsbehörden mit einem je eigenen Regelungskatalog errichten«, heißt es dort. Die Argumentation: Die EU hat für vieles, was Religionsgemeinschaften tun, keine Regelungskompetenz, das kirchliche Datenschutzrecht agiert in diesem Bereich also auf Grundlage des deutschen Staatskirchenrecht mit entsprechend größeren Freiheiten. Folgt man dieser Rechtsauffassung (in diese Richtung argumentiert auch Gernot Sydow), eröffnete das sehr interessante Gestaltungsmöglichkeiten: Die Kirchen könnten sich entweder umfassende Datenschutzregelungen gleich ganz sparen oder wenigstens nur die umfassende Zuständigkeit der Aufsichten und sich darauf konzentrieren, nur wirklich Kirchenspezifisches zu regeln, etwa Kirchenbücher oder das Bischöfliche Geheimarchiv. Müsste man bei Kirchens allerdings auch wollen.

In Israel wird über koschere Handys gestritten – deutlich eingeschränkte Mobiltelefone in eigenen Nummernkreisen, mit denen die Charedim auch telefonisch unter sich bleiben wollen. Der dafür notwendige gesetzliche Rahmen wird von der Regierungskoalition deutlich beschnitten: »Smartphones have become a volatile issue in the Haredi, or ultra-Orthodox, community since April, when Israel’s communications minister made it easier for Haredi to use smartphones without the knowledge of their rabbis, raising tensions within the Haredi community and between them and the rest of Israeli society«, berichtet der Religion News Service in einer lesenswerten Reportage.

Weiterlesen

Coronagesetzgebung – Tätigkeitsbericht des BFP-Datenschutzbeauftragten 2020/21

Und noch ein evangelischer Tätigkeitsbericht erschien in dieser Woche: Nach dem landeskirchlichen des DSBKD am Dienstag erschien am Mittwoch der Bericht des Datenschutzbeauftragten des Bundes Freikirchlicher Pfingstgemeinden für 2020/21 – eine der ganz wenigen der kleineren Gemeinschaften, die über ihre eigene Datenschutzorganisation transparent Auskunft gibt.

Titelseite des Tätigkeitsbericht des Datenschutzbeauftragten des BFP 2020/21 (Bildquelle: BFP aktuell)
Titelseite des Tätigkeitsbericht des Datenschutzbeauftragten des BFP 2020/21 (Bildquelle: BFP aktuell)

Inhaltlich ist auch bei den Pfingstgemeinden Corona anscheinend nicht anders abgelaufen als bei anderen Gemeinschaften – dafür gab es gesetzgeberische Tätigkeit an der Datenschutzordnung, sichtlich auch von Corona bestimmt.

Weiterlesen

Systematisch auditiert – Tätigkeitsbericht DSBKD 2020/21

Der Datenschutzbeauftragte für Kirche und Diakonie, der für die Landeskirchen Sachsens und Sachsen-Anhalts und die Diakonie Sachsens und Mitteldeutschlands zuständig ist, hat seinen zweiten Tätigkeitsbericht vorgelegt. Die Berichtsjahre 2020 und 2021 decken die ersten beiden Corona-Jahre ab – aber es geht nicht nur um Corona.

Der Zuständigkeitsbereich des Datenschutzbeauftragten für Kirche und Diakonie umfasst zwei Landeskirchen und zwei Diakonische Werke
Der Zuständigkeitsbereich des Datenschutzbeauftragten für Kirche und Diakonie umfasst zwei Landeskirchen und zwei Diakonische Werke

Drei große Schwerpunktthemen widmen sich einem großen Datenschutz-Systemaudit, dem Einsatz von Microsoft-Produkten und Sprachassistenten in der Pflege – eine sehr praktische und nicht DSG-EKD-spezifische Schwerpunktsetzung, die auch für Anwender*innen anderer Datenschutzgesetze relevant sein dürfte.

Weiterlesen

Reform des Vereinsrechts: Digitale Teilhabe statt Primat des Präsentismus

Noch bis zum 31. August können Vereine auch ohne entsprechende Satzungsregelungen ihre Mitgliederversammlungen digital abhalten – dann läuft die Sonderregelung des Gesetzes über Maßnahmen im Gesellschafts-, Genossenschafts-, Vereins-, Stiftungs- und Wohnungseigentumsrecht zur Bekämpfung der Auswirkungen der COVID-19- Pandemie (GesRuaCOVBekG) aus.

Vier Menschen sitzen um einen Konferenztisch, am Kopfende ist ein Bildschirm, über den eine weitere Frau remote an der Versammlung teilnimmt.
(Bildquelle: Christina @ wocintechchat.com on Unsplash)

Der Bundesrat hat nun eine Änderung des § 32 BGB vorgeschlagen, um diese Regelung zu verstetigen, die Bundesregierung begrüßt die Änderung – es ist also durchaus wahrscheinlich, dass weiterhin digitale Teilnahme an Mitgliederversammlungen möglich ist. Die Begründung des Gesetzesentwurfs ist bemerkenswert – und unterscheidet sich deutlich von Regelungen, wie sie im kirchlichen Recht zu digitalen Gremiensitzungen zu finden sind: Digitales Tagen wird nicht als defizitär, sondern als Teilhabe ermöglichend verstanden.

Weiterlesen

Die DSK zeigt die Instrumente – Wochenrückblick KW 27/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Am 18. Mai fand das Treffen der Datenschutzkonferenz mit den spezifischen Aufsichten statt. Die Unterlagen konnte ich per Informationsfreiheitsanfrage befreien. Wieder einmal ging es um Beteiligung. Die Aufsichtsbehörden in der DSK sind bekanntlich nicht ganz freigiebig mit der Einbeziehung der spezifischen Aufsichten. Auch beim Europäischen Datenschutzausschuss können die Spezifischen nicht auf die dort verwendete Dokumentenablageplattform Confluence zugreifen, da das Innenministerium die spezifischen Aufsichten nicht nach Art. 51 Abs. 4 DSGVO notifiziert hat. Aus dem Protokoll erfährt man, dass die Frage einer nachträglichen Notifizierung durch das BMI derzeit in den kirchlichen Gremien geprüft werde. Außerdem kündigt der BfDI an, dass die Forderung des Rundfunkdatenschutzbeauftragten nach mehr Beteiligung, über die hier schon berichtet wurde, auch eine Antwort aus der DSK erfahren soll. Sehr diplomatisch heißt es, dass die Teilnehmenden »Einigkeit« erzielt hätten, »dass ein qualitativer Ausbau der Kooperation gewünscht sei«. Beim Bericht aus der Arbeit der DSK gibt es einen Ausblick auf die beabsichtigten Maßnahmen mit Blick auf Facebook-Fanpages. In Betracht kämen demnach die Untersagung und die Anordnung eines datenschutzgerechten Betriebs. Außerdem wurde das zweite Austauschtreffen für 2022 zwischen DSK und spezifischer Aufsicht angekündigt: Es findet am 14. Dezember statt.

Die KDSA Ost stellt die Entscheidung des EuGH zum Kündigungsschutz von Datenschutzbeauftragten vor. Im Vorfeld wurde vertreten, dass die EuGH-Entscheidung unabhängig vom Ausgang keine Auswirkungen auf den analogen Kündigungsschutz im KDG und im DSG-EKD haben werde. Nachdem der EuGH die BDSG-Rechtslage für zulässig erachtet, bleibt diese Frage akademisch. »Auch wenn die Rechtsprechung des EuGHs keine direkte Auswirkung auf das kirchliche Datenschutzrecht (§ 37 Abs. 4 KDG, § 37 Abs. 2 DSG-EKD) hat, stellt das Urteil doch eine Stärkung der dort verankerten inhaltsgleichen Regelungen dar«, ordnet die KDSA Ost ein.

Mit der kirchlichen Strafrechtsreform hat auch der Schutz der Persönlichkeitsrechte in der katholischen Kirche etwas mehr Zähne bekommen: Wer jemandes guten Ruf schädigt, wird nun nicht mehr nur fakultativ bestraft. Die entsprechende Strafnorm can. 1390 § 2 CIC ist Thema des aktuellen »Kanon des Monats« der Würzburger Kanonistik. Zur Erfüllung der Strafnorm müssen zum einen »Behauptungen falsch, also wahrheitswidrig« und »nicht durch irgendwie geartete, rechtfertigende Begründungen getragen« sein, so die Autorin Anna Krähe. Im folgenden zeigt sie dann auch implizit eine Möglichkeit auf, wie der Tatbestand in Verbindung mit Verstößen gegen das kirchliche Datenschutzrecht einschlägig werden könnte: »Der Tatbestand ist aber auch erfüllt, wenn es sich um eine wahre Behauptung handelt, der bzw. die Täter*in diese aber nicht an die Öffentlichkeit hätte bringen dürfen, also die Veröffentlichung bzw. Verbreitung rechtswidrig ist.«

Weiterlesen

Avicenna-Studienwerk von Software-Lücke betroffen – kein Datenverlust

Vor zwei Wochen hatte die Berliner Landesdatenschutzbeauftragte in ihrem Tätigkeitsbericht den Fall einer Lücke in Software für Stipendienbewerbungen geschildert. Laut Bericht waren vier Studienstiftungen betroffen. Da durch die Ausrichtungen der nicht namentlich genannten Stiftungen auch Daten zur Religionszugehörigkeit erhoben wurden, ist davon auszugehen, dass auch eine der Stiftungen von Religionsgemeinschaften betroffen war. Nun ist klar, um welche es sich handelt: Auf Anfrage teilte das Avicenna-Studienwerk mit, dass dort die fragliche Software eingesetzt wurde. Ausgenutzt wurde die Sicherheitslücke aber nicht.

Logo des Avicenna-Studienwerks auf einem Standbild des Imagefilms des Werks
Das Avicenna-Studienwerk ist das jüngste der 13 vom Bundesministerium für Bildung und Forschung anerkannten Begabtenförderungswerke in Deutschland. Es fördert begabte und gesellschaftlich engagierte muslimische Studierende und Doktoranden aller Fachrichtungen durch die Vergabe von Stipendien. (Bildquelle: Screenshot Avicenna-Studienwerk)

»Die Herstellerfirma informierte uns unmittelbar über die Sicherheitslücke und deaktivierte die Webseite. Erst nach der Beseitigung der Sicherheitslücke wurde das Bewerbungsportal wieder freigeschaltet«, teilte das muslimische Begabtenförderungswerk auf Anfrage mit. Die zuständige niedersächsische Landesdatenschutzbeauftragte sei durch das in Osnabrück ansässige Werk unmittelbar über den Vorfall informiert worden. »Ein externer Zugriff konnte nach intensiver Prüfung von allen Seiten ausgeschlossen werden. Eine weitere Veranlassung wurde seitens der Landesdatenschutzbehörde für nicht notwendig erachtet«, so das Werk weiter.

Die Berliner Datenschutzbeauftragte hatte mitgeteilt, dass sie Ende August 2021 einen Hinweis erhalten habe, dass durch eine Sicherheitslücke in einer Software für Stipendienportale der Zugriff auf eine große Menge personenbezogener Daten verschiedener Studienstiftungen möglich sei. »Die unsichere Software wurde hauptsächlich zum Bereitstellen von Stipendienbewerbungsportalen genutzt, wo eine große Menge von zum Teil höchstpersönlichen Daten gespeichert werden. Aufgrund der jeweiligen Ausrichtung der betroffenen Studienstiftungen waren zudem besondere Kategorien personenbezogener Daten, wie Religionszugehörigkeit oder Daten zur politischen Überzeugung und Weltanschauung betroffen«, hieß es im Bericht. Die Sicherheitslücke, die auf die falsche Nutzung eines Frameworks zurückging, sei mittlerweile behoben.

Die anderen drei konfessionellen und religiösen Begabtenförderungswerke, die aus Mitteln des Bundesbildungsministeriums gefördert wurden, waren nicht betroffen. Schon vor zwei Wochen teilten sowohl das katholische Cusanuswerk wie das Evangelische Studienwerk Villigst mit, die Software nicht eingesetzt zu haben. Mittlerweile hat sich auch das Ernst-Ludwig-Ehrlich-Studienwerk zu der Sicherheitslücke geäußert: Wie die christlichen Studienwerke setzt auch das jüdische Begabtenförderungswerk die bemängelte Software nicht ein und ist daher nicht betroffen.

Religionspolitik und Akten – Wochenrückblick KW 26/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Bei der Berliner Tagung zu religionspolitischen Reformperspektiven für die Kirchen äußerte der Leiter des Instituts für Staatskirchenrecht Ansgar Hense sich auf dem Panel zu inneren Angelegenheiten zum formativen und regulativen Einwirken der weltlichen Rechtsordnung auf kirchliche Normen. Ein (knappes) Beispiel war dabei das Datenschutzrecht. Hense äußerte sich zur kirchlichen Rechtswirklichkeit vor und nach Inkrafttreten der DSGVO: »Ich glaube, dass bis zum Inkrafttreten der Datenschutzgrundverordnung zwar ein kircheneigenes Datenschutzrecht reklamiert wurde, es aber nicht praktiziert wurde. Für die Zeit nach dem Inkrafttreten würde ich eine andere Auffassung vertreten«, so Hense. (Jacob Joussen widersprach in der Diskussion für den evangelischen Bereich, aber eine weitgehende Nichtrezeption des Datenschutzrechts vor der DSGVO dürfte ein allgemeines Problem sein.) Dabei hob er auch die mit Mandat des Heiligen Stuhls errichtete kirchliche Datenschutzgerichtsbarkeit und die Unabhängigkeit der kirchlichen Datenschutzaufsicht hervor, die staatlich vorformatiert erstmals echte rechtliche Kontrollinstanzen ins kirchliche Recht brachten. (Auf die formative Wirkung staatlichen Rechts ging Hense auch in seinem Beitrag zum jüngsten Sammelband des KDSZ Dortmund ein.) Später habe ich den Berliner Generalvikar Manfred Kollig nach der 2019 getätigten Ankündigung gefragt, dass der damals neu eingerichtete VDD-Verbandsrat klären wollte, »in welchem Umfang und mit welchem Inhalt die Kirche in Deutschland die grundgesetzlich zugestandenen Autonomiebereiche eigenständig ausfüllen kann und will (etwa im Bereich des Arbeits- und Datenschutzrechts)«. Kolligs knappe Antwort: »Meine Einschätzung ist: Wir werden nicht verzichten auf eigenes Arbeitsrecht und andere Rechte wie Datenschutz.«

Und noch eine Tagung: Am Donnerstag fand die von der Unabhängigen Kommission zur Aufarbeitung sexuellen Kindesmissbrauchs organisierte Tagung »Aufarbeitung, Akten, Archive – Zum Umgang mit sensiblen Dokumenten« statt. Dabei wurden auch einige Themen des Persönlichkeitsrechtsschutzes angesprochen. Einen allgemeinen Überblicksbericht von der Tagung gibt es bei katholisch.de. Die Videos der Panels werden in den nächsten Tagen in die Mediathek der Kommission eingestellt; besonders interessant für die Zielgruppe hier dürfte das letzte Podium zum Thema »Wer hat die Macht über die Quellen?« sein, bei der unter anderem der Münsteraner Kirchenrechtler Thomas Schüller interessante Einblicke in die Praxis und Rechtsgrundlagen kirchlicher Archive gab.

Bei Reichert und Reichert befasst sich Matthias Herkert mit der aktualisierten Arbeitshilfe zum Einsatz von Microsoft 365 des KDSZ Frankfurt. Im Vergleich zur ersten Version aus 2019 ist die Einschätzung der Aufsicht harscher geworden: »Während das KDSZ-FFM im Februar 2019 die datenschutzkonforme Nutzung der Microsoft-Cloud-Angebote zumindest als „aktuell zwar möglich“ bezeichnete und Verantwortliche lediglich darauf hinwies, dass diese „ein hohes Risiko“ eingingen, dass die Konformität zu KDG und DSGVO kurzfristig entfallen könne, geht sie inzwischen davon aus, dass ein datenschutzkonformer Betrieb von Microsoft 365 „erwartungsgemäß“ nur in Ausnahmefällen möglich sei.«

Weiterlesen

DSK zu Facebook-Fanpages: Derzeit nicht rechtskonform möglich

Die FAQ-Liste der Datenschutzkonferenz zu Facebook-Fanpages wurde nun von der Aufsicht Sachsen-Anhalts veröffentlicht. Bei den zehn Fragen und Antworten auf sechs Seiten muss man nicht sonderlich zwischen den Zeilen lesen, um zu bestätigen, was ohnehin keine Überraschung ist: Facebook-Fanseiten sind zur Zeit nicht rechtskonform zu betreiben.

Facebook-Daumen nach unten
(Bildquelle: Barefoot Communications on Unsplash)

Da wirkt es fast schon komisch, wenn die Antwort auf die vierte Frage, »Müssen Facebook-Fanpages jetzt sofort deaktiviert werden?«, kein klares Ja ist, sondern nur ein Verklausuliertes: »Kann die Verarbeitung personenbezogener Daten nicht rechtskonform durchgeführt werden, ist der Betrieb einer Facebook-Fanpage rechtswidrig. Die Aufsichtsbehörden haben seit Jahren auf die Probleme hingewiesen. Übergangsfristen kennt die DSGVO nicht.« Es scheint in dieser Versammlung einige empfindliche Ohren zu geben, die das Wort »Blut« nicht wohl vertragen können.

Weiterlesen