Kirchliches Datenschutzrecht verworfen: SELK unterliegt vor Gericht

Schreiben Sie eine Antwort

Die Selbständige Evangelisch-Lutherische Kirche ist mit ihrer Feststellungsklage vor dem Verwaltungsgericht Hannover gescheitert: Wie das Gericht am Mittwoch mitteilte, hat die 10. Kammer die Klage der Kirche abgewiesen.

Fassade des Fachgerichtszentrums in Hannover
(Bildquelle: Stefan Brending, Lizenz: Creative Commons by-sa-3.0 de, CC BY-SA 3.0 de, Link (zugeschnitten))

Die SELK wollte feststellen, dass sie ihre eigene Datenschutzrichtlinie gemäß Art. 91 DSGVO anwenden dürfe und dass sie nicht der Aufsicht der niedersächsischen Landesdatenschutzbeauftragten unterfalle. Gegen das Urteil kann vor dem Oberverwaltungsgericht Lüneburg die Zulassung zur Berufung beantragt werden. Die Entscheidungsgründe liegen noch nicht schriftlich vor. (VG Hannover, Urteil vom 30.11.2022, Az. 10 A 1195/21)

Weiterlesen

Glaube im Fediverse – die Mastodon-Instanz kirche.social

Schreiben Sie eine Antwort

»Wir sind christlich, interkonfessionell und ökumenisch« – mit diesen Schlagworten stellt sich kirche.social als »gemeinschaftlich verantwortete Instanz von Menschen rund um die Kirche(n)« vor. Betrieben wird die Instanz des freien und föderierten sozialen Netzwerks Mastodon vom LuKi e.V. »LuKi« steht für »Linux User im Bereich der Kirchen«. Der ehrenamtlich getragene Verein hat es sich zur Aufgabe gemacht, freiheitliche und nachhaltige Digitalisierung in den Kirchen zu fördern – auch mit eigener Infrastruktur.

Auf einem Handy ist der Mastodon-Account von LibreChurch zu sehen
LibreChurch ist das Modellprojekt für freiheitliche und nachhaltige Digitalisierung des LUKi e.V. – und natürlich auch auf der eigenen Mastodon-Instanz zu finden. Neben kirche.social stellt das Projekt auch den Messenger synod.im und ein Videokonferenzsystem zur Verfügung.

Im Zuge der Aufregung auf Twitter ist kirche.social wie das Fediverse, also die Gesamtheit der föderierten sozialen Dienste, deutlich gewachsen. Im Interview erzählen Johannes Brakensiek und Christian Brecheis vom LuKi e.V. von den Herausforderungen und Besonderheiten, die ein kirchliches soziales Netzwerk mit sich bringt.

Weiterlesen

Hallo Mastodon – Wochenrückblick KW 47/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Bei Twitter ist nach der Musk-Übernahme Endzeitstimmung. Mit der Unsicherheit, ob’s der Dienst noch länger macht, geht der Boom der dezentralen und datensparsamen Open-Source-Alternative Mastodon einher. Für katholisch.de habe ich mich im (katholischen) Bereich umgehört, wie dort die Umzugsstimmung ist. Mit der steigenden Popularität von Mastodon stellt sich auch die Frage, wie Instanzen datenschutzkonform betrieben werden können. Dazu hat schon vor einem Jahr Christian Brecheis einige Einschätzungen aus seiner Praxis gegeben: Er ist Datenschutzbeauftragter und mit für die Mastodon-Instanz kirche.social zuständig.

Die Caritas-Dienstgeber beschäftigen sich mit dem Urteil des Bundesarbeitsgerichts zum Kündigungsschutz des Datenschutzbeauftragten (Urteil vom 25. August 2022, BAG 2 AZR 225/20) und kommt zu dem Schluss, dass sich die Entscheidung auch auf den betrieblichen Datenschutzbeauftragten gemäß KDG anwenden lässt: »Dieser hat eine vergleichbare Rechtsstellung, wie Datenschutzbeauftragte in weltlichen Einrichtungen, insbesondere greift auch hier gem. § 37 Absatz 4 Satz 1 KDG ein Sonderkündigungsschutz im laufenden Dienstverhältnis ein, so dass eine Kündigung nur aus wichtigem Grund zulässig ist«, heißt es in der Analyse des Urteils.

Das Gutachten zur Einführung einer diözesanen Verwaltungsgerichtsbarkeit im Bistum Münster verzögert sich noch: Der ursprünglich mit der Ausarbeitung beauftragte Emeritus Klaus Lüdicke hat sich mit Bischof Felix Genn überworfen. »Hintergrund waren Meinungsverschiedenheiten zum Umgang mit Vorwürfen gegen einen Priester […], weil ich die von mir eingeleiteten Untersuchungen nicht sofort einstellen wollte«, heißt es in Genns Zwischenbericht. Neu beauftragt wurden Lüdickes Nachfolger Thomas Schüller (einer der wenigen Kanonist*innen, die schon zum kirchlichen Datenschutzrecht publiziert haben) und sein Mitarbeiter Thomas Neumann. Die prüfen nun nicht nur die Möglichkeit, sondern wollen bis Mai auch eine mögliche Ordnung für das Münsteraner kirchliche Verwaltungsgericht vorlegen.

Neues vom DSG-EKD-Kommentar: Der ursprünglich für das zweite Quartal 2022 angekündigte Kommentar ist laut Auskunft des Nomos-Verlags nun erst im Mai 2023 zu erwarten. Pünktlich zur Evaluierungsfrist des DSG-EKD.

In eigener Sache: Im Podcast Spiritualität 9.0 habe ich mit Claus Geißendörfer über kirchlichen Datenschutz und Rechtskultur in der Kirche gesprochen.

Weiterlesen

IDSG zeigt Kriterien für konkludente Einwilligung

Schreiben Sie eine Antwort

Einwilligungen sind anspruchsvoll. Sie müssen freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Das KDG sieht zudem vor, dass sie in der Regel schriftlich eingeholt werden. Und dennoch ist unter diesen Bedingungen eine konkludente Einwilligung möglich.

Daumen hoch ist auch Einwilligung
Daumen hoch kann auch informierte Einwilligung sein, ganz ohne Schriftform (Bildquelle: Amol Kudal on Unsplash)

In den Datenschutzgesetzen werden die Bedingungen für eine konkludente Einwilligung nicht geregelt. Das Interdiözesane Datenschutzgericht hatte zwar schon zuvor konkludente Einwilligungen angenommen – aber erst mit der nun veröffentlichten Entscheidung (IDSG 01/2021 vom 24. Mai 2022) gibt es Kriterien, welche Anforderungen daran gestellt werden.

Weiterlesen

Wo gilt kirchlicher Datenschutz? – Wochenrückblick KW 46/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Für die Stiftung Datenschutz habe ich einen Praxisratgeber kirchlicher Datenschutz verfasst, der sich an Verantwortliche in kirchlichen und kirchennahen Vereinen und Einrichtungen richtet. In dieser Woche ist er zusammen mit der Aufzeichnung des Webinars zum Thema erschienen. Oft ist dabei die größte Schwierigkeit, herauszufinden, ob die Stelle kirchlich genug ist, um an der kirchlichen Selbstverwaltung teilzuhaben. Nur dann kommt kirchliches Recht zur Anwendung. Einen Schwerpunkt nehmen daher ein paar Faustregeln und Strategien ein, wie man feststellt, ob überhaupt kirchliches Datenschutzrecht gilt. Dazu kommt dann noch ein Blick auf typische Besonderheiten kirchlicher Datenschutzgesetze.

Bei der kirchenrechtlichen Tagung »De processibus matrimonialibus« hat die Bonner Kirchenrechtlerin Judith Hahn am Donnerstag über Sachurteile in kirchlichen Missbrauchsverfahren gesprochen: can. 1726 CIC legt fest, dass der kirchlicher Richter bei offenkundiger Unschuld dies per Urteil feststellen muss, auch dann, wenn der Vorwurf verjährt ist. Hahn bringt diese Norm in Zusammenhang mit dem hier schon häufiger als »Datenschutzkanon« thematisierten can. 220 CIC, der den Schutz des guten Rufs und der Intimsphäre regelt. Die Kehrseite, die auch Hahn anspricht: Wo es einen Freispruch erster Klasse gibt, wird ein Freispruch aus Mangel an Beweisen gerade zum Makel. (Ausführlich dazu Hahns Beitrag für das Oxford Journal of Law and Religion.)

Weiterlesen

EDSA überarbeitet Leitlinien zu gemeinsamer Verantwortlichkeit

Schreiben Sie eine Antwort

Eigentlich sollte es mit der DSGVO ziemlich einfach sein, die zuständige Aufsicht zu finden: Federführend ist die Aufsichtsbehörde, die für das Gebiet zuständig ist, in der die verantwortliche Stelle oder der Auftragsverarbeiter die Haupt- oder einzige Niederlassung hat. In der Praxis gibt es aber doch einige Konstellationen, in denen das nicht ganz so klar ist. Schon 2016 hat die Artikel-29-Datenschutzgruppe daher »Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters« beschlossen (WP 244, geltende Fassung rev. 01 vom 5. April 2017).

Aufeinander gestapelte Hände
Einer für alle, alle für einen? (Bildquelle: Hannah Busing on Unsplash)

Diese Leitlinien sollen nun überarbeitet werden. Der Europäische Datenschutzausschuss, der Nachfolger der Art.-29-Gruppe, hat daher einen Entwurf für überarbeitete Leitlinien zur Konsultation gestellt. Die Konsultation läuft noch bis zum 2. Dezember. Speziell geht es dabei um die Regeln zur gemeinsamen Verantwortlichkeit – eine Frage, die auch im kirchlichen Datenschutzrecht immer wieder Rätsel aufgibt. Der Entwurf erwähnt zwar weiterhin die spezifischen Aufsichten nicht – die neuen Regeln machen aber kirchlichen Verantwortlichen in »gemischtgesetzlichen« gemeinsamen Verantwortlichkeiten das Leben doch einfacher.

Weiterlesen

DSG-EKD-Reförmchen – Wochenrückblick KW 45/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die EKD-Synode hat das DSG-EKD erneut geändert. Anders als bei der letzten Änderung geht es dieses Mal nicht um materielles Datenschutzrecht, sondern um die Finanzierung des Beauftragten für den Datenschutz der EKD: Künftig legt der Rat der EKD auf Vorschlag des EKD-Finanzbeirates die jährlichen Beiträge der Landeskirchen fest, die die Datenschutzaufsicht an den BfD EKD übertragen haben. Bisher hat dies der Finanzbeirat entschieden. »Bei der Finanzierung der Aufgabenwahrnehmung durch den BfD EKD handelt es sich nicht um eine vertragliche Leistung, sondern um einen einseitig festgelegten Beitrag«, heißt es in der Antragsbegründung. Die Änderung sichere das ab. Sie tritt zum 1. Januar 2023 in Kraft und besteht aus der Ergänzung eines Satzes in § 39 Abs. 3 DSG-EKD: »Der Rat der Evangelischen Kirche in Deutschland legt auf Vorschlag des Finanzbeirates der Evangelischen Kirche in Deutschland die jährlichen Beiträge für die Wahrnehmung der Aufsicht nach Satz 1 zweiter Halbsatz fest.«

Auch im der Synode vorgelegten Ratsbericht taucht Datenschutz auf – wer den aktuellen Tätigkeitsbericht 2019/20 des BfD EKD kennt, findet dort kaum Neues. Allerdings gibt es eine klare Ansage: »Kirchen- und diakoniepolitisch ist angestrebt, die Datenschutzaufsicht mittelfristig flächendeckend auf den BfD EKD zu übertragen.« Das zielt in Richtung der Landeskirchen Sachsens und Anhalts und der Diakonischen Werke Mitteldeutschland und Sachsens, die mit dem Datenschutzbeauftragten für Kirche und Diakonie die einzige evangelische Aufsicht unterhalten, bei der noch keine Absicht zur Übertragung an die EKD bekannt ist. (Die Übertragung der Aufsicht der Nordkirche ist beschlossen, die der Kirche der Pfalz geplant.)

Neulich ging es hier um die Frage, ob der Rechtsweg im Ordensdatenschutz auch zum Interdiözesanen Datenschutzgericht führt – auf die theoretische Beantwortung (grundsätzlich ja) folgt nun die praktische: Auf Anfrage teilte die Geschäftsstelle des IDSG mit, dass derzeit ein Fall aus dem Bereich der KDR-OG beim IDSG anhängig ist.

Im frisch erschienenen Tätigkeitsbericht der irischen Datenschutzaufsicht (DPC) für 2021 findet sich leider kein Update zum Umgang mit Löschanfragen bei Taufregistern. Stattdessen widmet sich eine der Fallstudien dem Livestream eines Beerdigungsgottesdienstes. Nach Ansicht der DPC kann dafür ein berechtigtes Interesse als Rechtsgrundlage herangezogen werden. Im Zuge der Beschwerde hat die Gemeinde aber ihren Umgang mit den Übertragungen verändert: Bessere Datenschutzinformationen, Speicherung der Aufnahme nur wenn das schriftlich verlangt wird, und ein Passwortschutz für die später zur Verfügung gestellte Aufnahme. Explizit wird nicht erwähnt, ob die feststehende Kamera auch Teilnehmende oder nur den Altar erfasst; angesichts der Beschwerde wird man aber annehmen dürfen, dass die Beschwerde aufgrund einer unerwünschten Aufnahme entstanden ist. Anscheinend geht die Aufsicht davon aus, dass hier nicht zu prüfen war, ob mit einem Livestream eines Gottesdienstes besondere Kategorien personenbezogener Daten verarbeitet werden. Das wurde im Zuge der Diskussion in Deutschland gelegentlich vertreten.

Weiterlesen

Gola/Heckmann und Sydow/Marsch zum Dritten

Schreiben Sie eine Antwort

Die Kommentarlandschaft bleibt auch im Jahr 5 der DSGVO-Geltung bunt. Und anscheinend werden die Kommentare auch tatsächlich gekauft – sonst würden sie nicht in neuen Auflagen erscheinen. Zwei Standardwerke sind in diesem Spätjahr in dritter Auflage erschienen: Der Gola und der Sydow.

Der Sydow/Marsch und der Gola/Heckmann stehen nebeneinander aufgereiht vor einem Bücherregal.
Zwei Kommentare in dritter Auflage – jetzt auch noch mit BDSG-Kommentar.

Nicht nur die Zahl der Neuauflagen haben die Werke gemeinsam: Im Laufe der Zeit haben beide Werke einen Co-Herausgeber bekommen (Heckmann bei Gola, Marsch bei Sydow), beide kommentieren nun auch das BDSG. Ein Blick in die Kommentierung von Art. 91 DSGVO zeigt, dass es hier tatsächliche Fortschritte gibt: Auch wenn die Rechtsprechung direkt zu Art. 91 DSGVO nach wie vor fehlt, hat sich die Literatur zum kirchlichen Datenschutz doch deutlich diversifiziert.

Weiterlesen

Dazugehören und wieder raus – Wochenrückblick KW 44/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Gilt in einer Einrichtung eigentlich kirchliches Recht und damit kirchliches Datenschutzrecht? Das ist je nach Rechtsordnung unterschiedlich kompliziert zu beurteilen. Während im katholischen Bereich oft eine »Kirchlichkeitsprüfung« anhand von mehr oder weniger konkreten Kriterien vorzunehmen ist, ist es im landeskirchlichen Bereich deutlich einfacher: Hier wird die Zuordnung einer Einrichtung zur Kirche über das EKD-Zuordnungsgesetz und Ausführungsbestimmungen dazu in den einzelnen Landeskirchen geregelt. Ein Beispiel dafür sind die im aktuellen Amtsblatt der Badischen Landeskirche erschienenen »Richtlinien des Evangelischen Oberkirchenrates über die Zuordnung rechtlich selbständiger Einrichtungen zur Evangelischen Landeskirche in Baden« – in § 5 wird auch explizit benannt, dass zur Verbindung mit der Kirche auch eine Anwendung des kirchlichen Datenschutzrechts gehört.

Die eigene Regelung des Datenschutzes in der katholischen Kirche ist auch in Polen umstritten. Wie in anderen Ländern ist die Frage nach Löschrechten aus Kirchenbüchern nach Kirchenaustritt hier oft Auslöser von Konflikten. Anders als die deutschen kirchlichen Datenschutzgesetze hat das polnische sogar eine eigene Norm, die Kirchenbücher explizit vom Recht auf Löschung ausnimmt. Im Juli bestätigte das Oberste Verwaltungsgericht grundsätzlich die Geltung des Datenschutzdekrets der Polnischen Bischofskonferenz und die Zuständigkeit der kirchlichen Datenschutzaufsicht für seine Überwachung (Beschluss vom 14. Juli 2022, Az. III OSK 2776/2). Am Montag brachte die Gazeta Wyborcza das Thema wieder auf. Die polnische katholische Nachrichtenagentur KAI reagierte prompt mit einem Erklärstück zum kirchlichen Datenschutz, in dem auch der Grund für das Versagen von Löschbegehren aus Taufbüchern erläutert wird.

Weiterlesen

Das kirchliche Datenschutzmodell in der Praxis

Schreiben Sie eine Antwort

Seit knapp anderthalb Jahren gibt es das Kirchliche Datenschutzmodell: Die katholischen und evangelischen Datenschutzaufsichten haben das Standard-Datenschutzmodell für die kirchlichen Gesetze KDG und DSG-EKD adaptiert, um im Bereich der Kirchen auf bewährte Methoden zum Datenschutzmanagement zurückgreifen zu können. Auf einer eigenen Webseite findet sich mittlerweile neben dem Modell auch Schulungsmaterial – doch auch damit bleibt das KDM komplex.

Ein Zettel mit dem Logo des Kirchlichen Datenschutzmodells wird auf eine Pinnwand geheftet
Das Kirchliche Datenschutzmodell wurde gemeinsam von den katholischen und evangelischen Datenschutzaufsichten auf der Grundlage des Standard-Datenschutzmodells entwickelt. (Bildquelle: Volodymyr Hryshchenko on Unsplash; Kirchliches Datenschutzmodell; Montage fxn)

Im Interview berichten Boris Reibach und Maria Schumacher, beide auf Datenschutz spezialisierte Rechtsanwält*innen, von ihren Praxiserfahrungen aus anderthalb Jahren Arbeit mit dem KDM – und wie kleinere Vereine und Organisationen ihren Datenschutz gestalten können, ohne gleich ein umfangreiches Datenschutzmodell einzuführen.

Weiterlesen