luca-Betreiberin ermöglicht Einsatz unter kirchlichem Datenschutzrecht

Schreiben Sie eine Antwort

Die Betreiberin der luca-App, die culture4life GmbH, ist bereit, die für die Verwendbarkeit unter dem kirchlichen Datenschutzrecht notwendigen Auflagen bei Auftragsverarbeitungsverträgen zu erfüllen. Auf Anfrage von „Artikel 91“ bestätigte die Datenschutzbeauftragte des Unternehmens Vera Weidmann, dass die nach dem DSG-EKD notwendige Unterwerfungserklärung unter die kirchliche Datenschutzaufsicht ebenso wie der nach KDG erforderliche Bezug auf das kirchliche Datenschutzrecht möglich sei. Wörtlich sagte Weidmann: »Die Zusatzvereinbarung kann zwischen uns und den kirchlichen Trägern unterzeichnet werden. Eine weitere Klausel für katholische Einrichtungen kann ebenfalls in den AVV integriert werden.« [Ergänzung, 26. April 2021]Für die Zusatzvereinbarung zur Unterwerfungserklärung wird das Muster der kirchlichen Aufsicht verwendet: „Dieses erhalten die kirchlichen Einrichtungen bisher nur auf Anfrage bei uns“, so Weidmann. Die zusätzliche Klausel im AVV für katholische Einrichtungen wird gerade erarbeitet und auf Anfrage zur Verfügung gestellt.[/Ergänzung] Damit ist die wichtigste rechtliche Hürde genommen, die Auftragsverarbeitung im kirchlichen Datenschutzrecht im Vergleich zu den Regelungen der DSGVO darstellt.

Weiterlesen

Die Zeugen Jehovas und das Geheimnis des verschlossenen Umschlags

Schreiben Sie eine Antwort

Entscheidungen von staatlichen Datenschutzaufsichten, an denen Religionsgemeinschaften beteiligt sind, sind noch sehr rar – in Deutschland werden die meisten Fälle von kirchlichen Aufsichten abgedeckt, für die Landesdatenschutzaufsichten bleibt kaum etwas anderes übrig. Umso interessanter ist es, dass nun die wohl erste ausführliche Entscheidung bis auf Schwärzungen vollständig vorliegt: Mittels FragDenStaat.at konnte ich den Bescheid mit dem Aktenzeichen DSB-D123.874/0016-DSB/2019 der österreichischen Datenschutzbehörde befreien, von der die Behörde zuvor nur knapp in ihrem Newsletter berichtet hatte. [Ergänzung, 28. April 2021]Aus den mir vorliegenden Unterlagen war nicht ersichtlich, dass der Bescheid noch nicht rechtskräftig ist. Mittlerweile stehe ich in Kontakt mit der betroffenen Person in dem Fall, die gegen den Bescheid geklagt hat. Derzeit ist die Sache beim Bundesverwaltungsgericht anhängig.[/Ergänzung]

Ein Umschlag liegt auf einem Stapel Notizblöcke.
(Symbolbild, Photo by pure julia on Unsplash)

In der Sache geht es um einen Konflikt zwischen einem ausgetretenen Mitglied und seiner ehemaligen Religionsgemeinschaft ums Informationsrecht – die betroffene Person wollte auch Auskunft über in einem verschlossenen Umschlag aufbewahrte Daten erhalten. Die Religionsgemeinschaft berief sich darauf, dass das eine innere Angelegenheit sei, die vom staatlichen Recht nicht erfasst sei, die Datenschutzbehörde gab ihr Recht.

Die Entscheidung enthält vor allem zwei interessante Punkte: Eine Prüfung, ob eigene Datenschutzregeln die Erfordernisse von Art. 91 Abs. 1 DSGVO erfüllen, und eine Prüfung, ob und inwieweit Datenverarbeitung zum geschützten und dem Staat entzogenen Kernbereich der Religionsausübung gehört. Beide Punkte sind auch über den konkreten Einzelfall hinaus instruktiv.

Weiterlesen

Noch mehr Probleme bei Brexit-Datentransfers?

Schreiben Sie eine Antwort

Ist es doch nicht so einfach mit dem Brexit und dem katholischen Datenschutzrecht? Nachdem durch das rasche Handeln der Konferenz der Diözesandatenschutzbeauftragten um den Jahreswechsel schon Entwarnung herrschte, macht auf Twitter nun @privideu auf eine Problematik aufmerksam, die bisher nicht im Blick war: »Übrigens: Der Beschl[uss] der Konf[erenz] der Diözesan-DSB der Kath. Kirche vom 4.1.2021 betreffen die Datenverarbeitungen von Auftragsverarbeitern kath. Einrichtungen in [Großbritannien] ist keine zuverlässige Rechtsgrundlage für eine Datenübermittlung nach GB«, heißt es in dem kurzen Thread. Zwar gibt es zur Auftragsverarbeitung im UK einen klaren Beschluss – bei der Datenübermittlung allgemein ist das aber nicht der Fall.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)

Der Einwand scheint stichhaltig: Bis zum Ende der im Brexit-Abkommen vereinbarten Übergangsfrist ist das Vereinigte Königreich datenschutzrechtlich in einem Schwebezustand, den das kirchliche Datenschutzrecht nur schwer fassen kann: »For the duration of the specified period, transmission of personal data from the Union to the United Kingdom shall not be considered as transfer to a third country under Union law«, heißt es im Artikel FINPROV.10A (S. 414) des Abkommens. Das KDG hat Regeln für EU- und EWR-Staaten, Länder mit Angemessenheitsbeschluss und für Drittstaaten – aber natürlich nicht für diesen extra erfundenen Status.

Weiterlesen

Beiträge zur einer partizipativen Kirche – Wochenrückblick KW 15/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Mit dem operativen Kleinklein der bischöflichen Gesetzgebung tut man sich in der kirchlichen Zivilgesellschaft schwer – darüber schreibe ich immer wieder. In den »Salzkörnern«, der Zeitschrift des Zentralkomitees der Deutschen Katholiken, habe ich in der aktuellen Ausgabe deshalb den Beitrag der Gesellschaft Katholischer Publizisten zur Evaluierung des KDG vorgestellt und dabei auch die kirchenpolitische Dimension betont: Die Stellungnahme plädiert »für eine explizite Berücksichtigung der Belange der kirchlichen Zivilgesellschaft im Gesetz. Leider ist es bisher nicht üblich, dass kirchliche Gesetzgebung transparent  und unter Beteiligung der  Betroffenen stattfindet – mit der angekündigten Evaluierung des KDG besteht nun die Chance, auch auf der juristisch-operativen Ebenen die gesetzgeberische Macht von Bischöfen zu teilen und zu kontrollieren. Die scheinbar sehr fachpolitische Stellungnahme ist damit auch ein Beitrag zu einer partizipativeren Kirche.«

Gerade aus diesem Blickwinkel ist es umso mehr zu begrüßen, dass erstmals (?) eine kirchliche Datenschutzaufsicht einen Partizipationsprozess gestartet hat: Die KDSA Nord will ihre Arbeitshilfe zum Datenschutz im Pfarrbüro aktualisieren und bittet um Input. Einsendeschluss ist der 12. Mai.

Mit Blick auf die sonstigen Veröffentlichungen in dieser Woche mache ich mir langsam Sorgen. »Artikel 91« bezeichne ich nämlich gerne als »einziges Blog zum kirchlichen Datenschutz« – und wenn die KDSA Ost so weiter macht, kann ich das so nicht mehr behaupten: Pointiert meldet sich die Aufsicht zu allgemeinen Themen in bester Bloggermanier zu Wort – diese Woche zum pandemischen SNAFU luca-App (»zweifelhaft und demnächst überflüssig«) und ausführlich zur Bürgeridentifikationsnummer (»zum gläsernen Staatsbürger gemacht«). Das ist zwar nur ganz am Rande im Bereich der Aufgaben einer kirchlichen Datenschutzaufsicht – aber es ist wirklich erfrischend, einen klaren bürger*innen-rechtlichen Standpunkt einer katholischen Institution zu hören, bei dem Grundrechte sich nicht auf kirchliche Privilegien und elterliches Erziehungsrecht beschränken.

Weiterlesen

Rechtsgrundlage »Kirchliches Interesse« – wer, wann, wie?

Schreiben Sie eine Antwort

Im Datenschutzrecht gilt das Prinzip des Verbots mit Erlaubnisvorbehalt – jede Verarbeitung braucht eine Rechtsgrundlage. Im kirchlichen Datenschutzrecht entsprechen diese Rechtsgrundlagen weitgehend denen der Datenschutzgrundverordnung. Aber eben nur weitgehend: Eine Abweichung ist die Rechtsgrundlage des »kirchlichen Interesses«. Das ist zwar dem aus der DSGVO bekannten »öffentlichen Interesse« nachgebildet – aber es gibt doch einige Unterschiede und viele Unklarheiten, weil weder im Gesetz noch durch Äußerungen der Gesetzgeber präzisiert wird, wer sich wann wie darauf berufen kann.

Carl Spitzweg: Mönch und Sennerin, Ausschnitt.
Kann sich nur der Abt eines öffentlich-rechtlich verfassten Klosters (rechts im Bild) auf die Rechtsgrundlage »kirchliches Interesse« für seine Datenverarbeitungen berufen, oder steht diese Rechtsgrundlage auch der Vorsitzenden der privatrechtlich organisierten kfd-Gruppe (links im Bild) zur Verfügung? (Symbolbild: Carl Spitzweg, Sennerin und Mönch (gemeinfrei/Foto: Immanuel Giel/Wikimedia Commons)
Weiterlesen

Rechtsgrundlage »Anderes Gesetz« – ein europarechtswidriges Fossil?

Schreiben Sie eine Antwort

Die Rechtsgrundlagen der beiden großen kirchlichen Datenschutzgesetze beginnen mit einem Fossil: In der DSGVO sucht man vergeblich eine Norm, die eine Verarbeitung für rechtmäßig erklärt, wenn sie durch eine andere kirchliche oder staatliche Rechtsvorschrift erlaubt oder angeordnet wird (§ 6 Nr. 1 DSG-EKD und § 6 Abs. 1 lit. a) KDG). Ein Fossil ist dieser Rechtsgrund, weil er jeweils wortgleich aus den Vorgängergesetzen übernommen wurde (§ 3 DSG-EKD alt und § 3 Abs. 1 Nr. 1 KDO), die damit wiederum § 4 BDSG alt nachvollzogen haben.

Ein Verantwortlicher im Anwendungsbereich des Gesetzes über den kirchlichen Datenschutz auf der Suche nach einer anderen kirchlichen oder einer staatlichen Rechtsvorschrift. (Symbolbild, Bildquelle: Carl Spitzweg: Der Bücherwurm (Reproduktion: The Yorck Project/Wikimedia Commons))

Insbesondere katholische Gesetzgeber machen intensiv von dieser Rechtsgrundlage Gebrauch, etwa mit speziellen Gesetzen zu Patient*innen-Datenschutz und Fundraising, und in ökumenischer Eintracht mit Regelungen, die die Veröffentlichung von Personaldaten und -jubiläen in Amts- und Pfarrblättern erlauben. Aber ist das auch legal? Besteht da noch der von der DSGVO geforderte »Einklang« in den Wertungen?

Weiterlesen

Wir sehen uns in der 2. Instanz – Wochenrückblick KW 14/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Letzte Woche nach Redaktionsschluss des Wochenrückblicks gab es noch eine kleine Änderung auf der Entscheidungs-Seite des Interdiözesanen Datenschutzgerichts: »Rechtsmittel anhängig«, steht dort jetzt bei der bei Veröffentlichung hier schon sehr kritisch diskutierten Entscheidung zum Recht des leitenden Pfarrers auf Einsicht in die Corona-Schutzlisten von Gottesdiensten – damals schon hatte ich prognostiziert, dass das Katholische Datenschutzzentrum Dortmund wohl Rechtsmittel einlegen wird.

Da es sich bei dem Fall um eine Anwendung der nordrhein-westfälischen Corona-Schutzverordnung handelt, hatte ich parallel auch die Staatskanzlei angefragt, ob die Verordnung ein derartiges Einsichtsrecht des Pfarrers rechtfertige. Wie schon zuvor bei der verunglückten Formulierung der Rechtsgrundlage für die Rückverfolgungslisten (und allgemein beim NRW-Corona-Management) zeigte sich dabei eine gewisse Wurstigkeit und Überforderung: Die Anfrage wurde nicht beantwortet, nur das Gesundheitsministerium hat einige nichts mit der Anfrage zu tun habende Textbausteine geschickt. Eine erneute Nachfrage blieb unbeantwortet.

Die KDSA Ost publiziert mittlerweile so häufig, dass man schon von Blog sprechen kann – sehr gut! Diese Woche ging es um die geplanten Änderungen im Mitbestimmungsrecht zur Ausgestaltung von mobiler Arbeit. Auch wenn das nicht unmittelbar für die Kirchen mit ihrem eigenen Mitarbeitervertretungsrecht relevant ist, ist doch zu hoffen, dass der Impuls auch bei der nächsten MAVO-Novellierung aufgegriffen wird. Bei der »Ausgestaltung von mobiler Arbeit, die mittels Informations- und Kommunikationstechnik erbracht wird«, gibt es momentan vor allem über den (allerdings mächtigen) Umweg der Mitbestimmung bei »technischen Überwachungssystemen« einen Hebel für die Mitarbeitervertretung. Dem Fazit der KDSA Ost kann man sich daher anschließen: »Die geplante Erweiterung der Mitbestimmung könnte so auch aus datenschutzrechtlicher Sicht eine Bereicherung darstellen.«

Weiterlesen

DSGVO-Kommentare ohne Ende: Ein Blick auf 9×91

2 Antworten

Ob die DSGVO wohl das meistkommentierte Gesetz ist? 2019 zählte Winfried Veil in der PiNG 14 Kommentare, der Bücherturm von Paul C. Johannes ist noch höher. Neun dieser Kommentare habe ich hinsichtlich der Kommentierung von Art. 91 DSGVO gesichtet und kommentiert – als kleine Einkaufshilfe für alle, die ihre Auswahl an einer Nischennorm festmachen wollen, und als Überblick darüber, ob und wo es schon herrschende Meinungen zur Öffnungsklausel für Religionsgemeinschaften gibt.

Vier DSGVO-Kommentare aufeinander gestapelt
Die Auswahl ist mehr oder weniger zufällig: Aufgenommen wurde, was greifbar war, entweder eh da oder als Rezensionsexemplar vom Verlag zur Verfügung gestellt.

Interessant dabei sind vor allem drei Fragen: Ist Art. 91 DSGVO eine reine Bestandsschutzklausel – oder können auch Religionsgemeinschaften, die das bisher nicht tun, eigenes Datenschutzrecht setzen? Wann ist eigenes Datenschutzrecht »umfassend«, und was muss es erfüllen, damit es »im Einklang« mit der DSGVO steht?

Weiterlesen

Von wegen Osterruhe! Wochenrückblick KW 13/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Auch in der Karwoche wird noch ordentlich publiziert, vor allem im Osten: Die KDSA-Ost arbeitet an ihrem Streak weiter und füllt den Newsticker fast täglich mit direkt aus dem Leben gegriffenen Fragen wie der, ob »Original ersetzendes Scannen« zulässig ist oder wie Arbeitgeber*innen mit Corona-Test-Listen umgehen sollen. Außerdem scheinen Beschwerden ohne Betroffenheit ein Problem bei der KDSA Ost zu sein.

Der Datenschutzbeauftragte für Kirche und Diakonie hat (neben dem lang erwarteten Tätigkeitsbericht) außerdem eine Stellungnahme zu »Luca« und anderen Kontaktnachverfolgungsapps veröffentlicht, verweist allerdings im wesentlichen auf das DSK-Papier (wie der DSB-EKD). Besonderheiten des evangelischen Datenschutzrechts wie die hier besonders wichtige Frage nach der Verantwortlichkeit (weil Auftragsverarbeitung nur mit Unterwerfungserklärung funktioniert) werden leider nicht kommentiert. (Inhaltliche Änderungen am Artikel hier auf dem Blog waren daher nicht nötig.) Ansonsten hat Luca gerade keinen guten Lauf – die wenig gelungene Offenlegung des Quellcodes und das weiterhin unschöne Kommunikationsverhalten prägen doch die Wahrnehmung.

Weiterlesen

Licht in die Black box DSG-EKD – Tätigkeitsbericht des Datenschutzbeauftragten für Kirche und Diakonie 2018/19

Schreiben Sie eine Antwort

Lange hat’s gedauert – jetzt liegt der erste Tätigkeitsbericht einer nach DSG-EKD arbeitenden Datenschutzaufsicht vor, dessen Zeitraum komplett in die Geltung des neuen Rechts fällt. Vorgelegt hat ihn der Datenschutzbeauftragte für Kirche und Diakonie, der für die Landeskirchen Sachsens und Sachsen-Anhalts und die Diakonie Sachsens und Mitteldeutschlands zuständig ist, für die Zeit seit Geltung des DSG-EKD bis Ende 2019. (Nein, kein Tippfehler: Der Bericht für 2018/19 ist auf den 10. Februar 2021 datiert und am 30. März 2021 im RSS-Feed aufgetaucht.)

Der Zuständigkeitsbereich des Datenschutzbeauftragten umfasst mehrere östliche Bundesländer.
Der Zuständigkeitsbereich des Datenschutzbeauftragten für Kirche und Diakonie ist kompliziert und überlappt geographisch mit anderen Zuständigkeiten. (Bildquelle: Tätigkeitsbericht/Montage fxn)

Leider sieht das DSG-EKD nur eine Berichtspflicht alle zwei Jahre vor, es gibt nur vier sehr ungleich große Aufsichten, und zusammen mit der insgesamt sehr überschaubaren Anzahl an Fachpublikationen führt das dazu, dass das DSG-EKD und seine Anwendung deutlich schlechter erschlossen ist als das KDG, wo sechs Aufsichten jährliche Berichte abliefern und ein Kommentar vorliegt. Aus dem jetzt erschienenen Tätigkeitsbericht lassen sich so nun auch wichtige Informationen ziehen, die es bisher nicht gab – da ist auch zu verschmerzen, dass die Schilderung konkreter Fälle und eine Auflistung der Fallzahlen so gut wie nicht vorkommt.

Weiterlesen