Katholische Aufsichten ermöglichen Auftragsverarbeitung im UK – vorerst

Schreiben Sie eine Antwort

Auftragsverarbeitung im Vereinigten Königreich bleibt auch im Geltungsbereich des katholischen Gesetzes über den kirchlichen Datenschutz erst einmal möglich – das stellt der jüngste Beschluss der Konferenz der Diözesandatenschutzbeauftragten sicher. Damit wird die hier bereits angesprochene Ungewissheit im Bereich des KDG aufgelöst.

Für KDG-Anwender*innen brachte das Brexit-Abkommen nämlich ein besonderes Problem mit sich: Explizit legt das katholische Gesetz in § 29 Abs. 11 fest, dass Auftragsverarbeitung nur in EU- und EWR-Ländern, auf Grundlage eines Angemessenheitsbeschlusses oder auf Grundlage einer Feststellung einer Datenschutzaufsicht zulässig ist. Der vom Abkommen gewählte Umweg einer Behandlung des UK, als sei es kein Drittstaat, ist davon nicht abgedeckt.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)
Weiterlesen

Das passiert 2021 im kirchlichen Datenschutz

Schreiben Sie eine Antwort

Nach dem Blick zurück geht’s in die Zukunft: 2021 ist hoffentlich irgendwann das Jahr post Corona. Für den kirchlichen Datenschutz gibt es auch schon einige mehr oder weniger feste Termine. Mit der Evaluierung des KDG und des ökumenischen Kirchlichen Datenschutzmodells stehen zwei große Themen an, die den kirchlichen Datenschutz noch länger prägen dürften.

Eine Glaskugel auf rotem Stoff, links daneben ein Schlüssel
Blick in die Glaskugel. (Bildquelle: Michael Dziedzic/Unsplash)
Weiterlesen

Was das Brexit-Abkommen für den kirchlichen Datenschutz bedeutet

Schreiben Sie eine Antwort

Das Vereinigte Königreich ist kein datenschutzrechtliches Drittland – erstmal. Das am Samstag veröffentlichte Abkommen hat den harten Brexit abgewendet (vorbehaltlich der noch nötigen Ratifizierungen) und auch verhindert, dass ab 1. Januar Großbritannien zum Drittland ohne Angemessenheitsbeschluss und damit mit erheblichem Mehraufwand für die Datenübertragung wird. Die Lösung ist aber nur eine vorläufige – und zumindest Anwender*innen des KDG stehen doch noch vor Problemen.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)
Weiterlesen

Corona und Schrems II: Das war 2020

Schreiben Sie eine Antwort

War eigentlich noch was anderes 2020? Auch im kirchlichen Datenschutz lag der Schwerpunkt auf Corona, vom Homeoffice über Videokonferenzen bis zum Fiebermessen. Und als wäre eine Pandemie nicht anstrengend genug, hat der Europäische Gerichtshof auch noch das Privacy Shield kassiert.

Das Privacy-Shield-Logo und der Corona-Virus – Symbole für das Jahr 2020.

»Artikel 91« verabschiedet sich mit diesem Jahresrückblick in eine kurze Weihnachtspause. Falls nicht noch etwas Spektakuläres passiert (und wir haben immer noch 2020), geht es im Januar weiter mit einem Jahresausblick 2021.

Weiterlesen

Tut Buße! Nur wie? – Wochenrückblick KW 51

Schreiben Sie eine Antwort

Die Angst vor Bußgeldern hat sich als weitgehend unbegründet erwiesen – auch wenn (so etwa in NRW) es langsam losgeht. Grundsätzliche Bedenken hat der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski schon zuvor geäußert. Jetzt legt er noch einmal nach mit einem kurzen Papier mit dem Titel »Bußgelderkenntnisse im Geltungsbereich von KDG/KDR-OG«, in dem er aufschlüsselt, wann, gegen wen und unter welchen Umständen überhaupt ein Bußgeld verhängt werden kann. Sein Ergebnis: In den meisten Fällen nicht – weil das KDG so formuliert ist, dass Bußgelder dann verhängt werden können, wenn der Verantwortliche vorsätzlich oder fahrlässig für die Datenschutzverletzung verantwortlich ist, während gegen Mitarbeitende nur in sehr speziellen Ausnahmen vorgegangen werden kann.

In der Diözese Rottenburg-Stuttgart beschäftigt sich das aktuelle Amtsblatt mit Schrems II und der praktischen Umsetzung des Urteils – ohne dabei wesentlich Neues zu bisherigen Veröffentlichungen beizutragen: »Zusammenfassend ist zu konstatieren, dass es ohne ein tragfähiges Abkommen zwischen der EU und den USA oder eine grundsätzliche Regelung auf EU-Ebene nach dem derzeitigen Stand keine völlig zufriedenstellenden Lösungen für die durch das EuGH-Urteil aufgeworfenen datenschutzrechtlichen Probleme gibt.« Hilfreich ist immerhin die Anweisung, wenigstens das Privacy Shield aus den Datenschutzerklärungen zu entfernen. Der elephant in the room wird auch hier wieder einmal nicht angesprochen: Dass § 29 Abs. 11 KDG Auftragsverarbeitung ausschließlich in Ländern der EU, des EWR oder solchen mit Angemessenheitsbeschluss zulässt – und damit Auftragsverarbeitung in den USA nach KDG generell nicht mehr möglich ist.

Im evangelischen Bereich gab es dagegen nur kleinere Änderungen in der Durchführungsverordnung der Evangelisch-Reformierten Kirche.

Nicht direkt Datenschutz, aber in jedem Fall lohnend: am Montag ist der Online-Kurs Kirchenrecht von Hendrik Munsonius vom Kirchenrechtlichen Institut der EKD gestartet: »Diese Einführung ist aus Vorlesungen an der Georg-August-Universität Göttingen hervorgegangen und richtet sich an Menschen, die an einer gedeihlichen Ordnung kirchlicher Praxis interessiert sind.« Dem kann man nichts hinzufügen – unbedingte Lockdown-Fortbildungs-Empfehlung!

Weiterlesen

Der erste KDG-Kommentar ist da – Rezension zu Sydow, Kirchliches Datenschutzrecht

2 Antworten

Fast drei Jahre nach Inkrafttreten liegt endlich der erste Kommentar zum Gesetz über den kirchlichen Datenschutz (KDG) vor: »Kirchliches Datenschutzrecht. Datenschutzbestimmungen der katholischen Kirche«(Affiliate Link), herausgegeben von dem Münsteraner Professor für Europäisches Verwaltungsrecht Gernot Sydow, der zugleich Vorsitzender Richter des Datenschutzgerichts der Deutschen Bischofskonferenz ist.

Cover von Sydow: Kirchliches Datenschutzrecht

Auch wenn der Kommentar nur die Differenzen zur DSGVO erläutern will (schließlich sind die beiden Gesetze in großen Teilen identisch), kommt er auf fast 600 Seiten. Dass es eine erste Auflage ist, merkt man an einigen Stellen. Eine Pflichtanschaffung für alle mit dem katholischen Datenschutzrecht Befasste ist er trotzdem: Neben dem KDG wird auch dessen Durchführungsverordnung ausführlich sowie die Kirchliche Datenschutzgerichtsordnung (KDSGO) und das Datenschutzrecht der Orden (KDR-OG) zumindest überblicksweise behandelt; das erst im Herbst 2020 verabschiedete Gesetz über das Verwaltungsverfahren im kirchlichen Datenschutz (KDS-VwVfG) ist noch nicht berücksichtigt.

Weiterlesen

Mehr (kirchliches) Verwaltungsrecht wagen! – Wochenrückblick KW 50

1 Antwort

Zum Jahresende hauen alle noch mal einen raus: Der EKD-Datenschutzbeauftragte eine Handreichung zu Fotos – und der Verband der Diözesen Deutschlands (VDD) gleich ein ganzes Gesetz. Zum Gesetz über den kirchlichen Datenschutz, dessen Durchführungsverordnung und Kirchliche Datenschutzgerichtsordnung tritt nun die vierte bundesweit einheitliche Norm: Das Gesetz über das Verwaltungsverfahren im kirchlichen Datenschutz (KDS-VwVfG), das ab dem 1. Januar 2021 gilt und online zuerst im Speyerer Amtsblatt veröffentlicht wurde.

Die Materie ist so trocken, wie der Titel verspricht, und es braucht wohl Verwaltungsjurist*innen, um im Detail zu bewerten, ob es überraschende Regeln gibt. (Gastbeiträge willkommen!) So trocken aber Verwaltungsrecht ist, so revolutionär ist das für die Kirche: Neben die spezifische Verwaltungsgerichtsbarkeit in Form der Datenschutzgerichte ist damit jetzt auch eine rechtsförmliche Ordnung der Tätigkeit der Aufsichten getreten, die man sich auch für andere katholische Institutionen wünschen würde. Das Gesetz legt unter anderem auch einige Rechte der Beteiligten fest, etwa auf Akteneinsicht (§ 6; leider keine allgemeine Informationsfreiheitsregelung). Wichtig dürfte auch die Regelung zur Durchsetzung und Vollstreckung von Bußgeldbescheiden sein, mit denen die Aufsicht kirchliche Stellen in die Pflicht nehmen kann bei Androhung der Einschaltung der Bischöflichen Aufsicht, »um rechtmäßige Zustände herzustellen«. (Ein Interessenskonflikt kann hier – leider – nicht entstehen, die öffentlich-rechtlich organisierten Diözesen können gar nicht gebußt werden.)

Weiterlesen

Fotos nach dem DSG-EKD – neue Handreichung des EKD-Datenschutzbeauftragten

Schreiben Sie eine Antwort

Der Datenschutzbeauftragte der EKD hat am Mittwoch eine neue Handreichung zu »Datenschutz bei der Anfertigung und Veröffentlichung von Fotos« veröffentlicht. Angesichts seiner letzten Veröffentlichungen könnte man mit einer besonders strengen Auslegung rechnen – tatsächlich bewegt er sich dieses Mal im eher gemäßigten Bereich der Auslegung ohne große Überraschungen.

Eine Kameralinse im Dunkeln mit blauem Lensflare.
(Bild von Gerd Altmann auf Pixabay)
Weiterlesen

DSK-Dokumente befreit: Staatliche Skepsis gegenüber kirchlichem Datenschutz

Schreiben Sie eine Antwort

Die Datenschutzaufsichten von Bund und Ländern stehen in Deutschland ihren kirchlichen Pendants eher kritisch gegenüber. Zumindest wollen sie die Beteiligung überschaubar halten – das war schon bekannt. Über einen Informationsfreiheitsantrag per »Frag den Staat« habe ich bisher unveröffentlichte Dokumente zum Verhältnis und zum Umgang mit den sogenannten »spezifischen« Aufsichtsbehörden (das sind neben den kirchlichen auch die der Medien) bekommen. Herausgegeben wurden die Unterlagen vom Landesdatenschutzbeauftragte von Rheinland-Pfalz, der 2019 den Vorsitz in der Datenschutzkonferenz hatte. Die Datenschutzkonferenz selbst ist leider rechtlich nicht so verfasst, dass man dort direkt IFG-Anfragen stellen könnte.

Ein Stapel mit den befreiten Dokumenten, oben rechts auf dem Papier das Logo der Datenschutzkonferenz.

Inhaltlich gibt es keine großen Überraschungen – aber man kann sehr deutlich ablesen, wie holprig die Zusammenarbeit mit den spezifischen Aufsichtsbehörden ist: Die Dokumente zeigen, wie groß die Skepsis der staatlichen Aufsichten ist und wie gering sie die Beteiligung an ihrer Arbeit halten wollen.

Weiterlesen

Kaiser Augustus, Roßnagel und Ronellenfitsch – Wochenrückblick KW 49

Schreiben Sie eine Antwort

Im ersten Türchen des Adventskalenders der Datenschutz-Notizen ging es um die Volkszählung in der Weihnachtsgeschichte. Dort wird als Rechtsgrundlage »berechtigtes Interesse« angenommen. Der biblische Befund legt allerdings eine andere nahe: Aus Lk 2, 1 geht klar hervor, dass die Rechtsgrundlage für die Volkszählung nicht »berechtigtes Interesse«, sondern »Wahrnehmung einer Aufgabe« in öffentlichem Interesse oder Auftrag sein dürfte: »Es geschah […], dass Kaiser Augustus den Befehl erließ, den ganzen Erdkreis in Steuerlisten einzutragen.« Auch beliehene private Steuerlistenerhebende müssten sich darauf beziehen, für öffentliche Stellen steht das berechtigte Interesse ohnehin nicht zur Verfügung.

Übrigens sind schon im ersten Testament datenschutzrechtlich relevante Stellen zu finden – und mit der Strafe Gottes für Davids Volkszählung ist sogar eine aufsichtsbehördliche Maßnahme beschrieben.

In Hessen gibt es demnächst einen neuen Landesdatenschutzbeauftragten: Alexander Roßnagel soll Nachfolger von Michael Ronellenfitsch (sehr wohlwollend die FR, andere sehen das anders) werden. Für den kirchlichen Datenschutz könnte das interessant sein: Nicht nur allgemein, da Roßnagel die DSGVO sehr kritisch sieht und so die Datenschutzkonferenz aufmischen könnte, sondern auch mit Blick auf den Umgang mit dem Datenschutzrecht der Religionsgemeinschaften. Schon jetzt ist Hessen unter den Aufsichten, die Zweifel am Datenschutzrecht kleiner Gemeinschaften geäußert haben. Mit Roßnagel kommt nun der Autor der Studie zur Praxis der Zusammenarbeit von Finanzamt und Kirchensteuerstelle ins Amt. Die Studie wurde durch das Institut für Weltanschauungsrecht (ifw) der Giordano-Bruno-Stiftung beauftragt und kommt unter anderem zum Schluss, dass in Sachen Kirchensteuer kein kirchliches Datenschutzrecht anzuwenden sei, obwohl die Kirchensteuerstellen kirchliche Einrichtungen sind.

Weiterlesen