Schlagwort-Archive: Aufsichtsbehörde

Nicht allzu zentralisiert – Wochenrückblick KW 26/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wird die evangelische Datenschutzaufsichtslandschaft noch weiter zentralisiert? Bisher gibt es neben dem BfD EKD noch drei weitere Aufsichten: Für die Landeskirche der Pfalz, für die Nordkirche und den Datenschutzbeauftragten für Kirche und Diakonie in Sachsen und Sachsen-Anhalt. Im frisch erschienenen Tätigkeitsbereit des BfD EKD wird angekündigt, dass »weitere Gliedkirchen und diakonische Landesverbände Interesse haben, die Datenschutzaufsicht in absehbarer Zeit auf die EKD zu übertragen«. Bekannt war das bisher nur von der Landeskirche der Pfalz. Anfragen bei den anderen Landeskirchen und Diakonien haben ergeben, dass es wohl vorerst auch dabei bleibt: die Diakonie und die Landeskirche Sachsens sowie die Landeskirche Anhalts teilen auf Anfrage mit, dass keine Übertragung geplant sei; Antworten aus der Diakonie Mitteldeutschland und der Nordkirche (die allerdings ohnehin schon eng mit dem BfD EKD verbunden ist) stehen noch aus.

Das Bistum Augsburg verbietet freie WLAN-Hotspots an kirchlichen Gebäuden. Schuld ist (natürlich) der Datenschutz, ergänzt mit Jugendschutz. Überzeugend ist das nicht – auf evangelischer Seite gibt’s Godspot, Freifunk existiert, die EU fördert kommunale offene Netze. Angeführt wird § 8 Abs. 8 S. 1 KDG, demzufolge personenbezogene Daten Minderjähriger, denen »elektronisch eine Dienstleistung oder ein vergleichbares anderes Angebot von einer kirchlichen Stelle gemacht wird«, nur bei Über-16-Jährigen verarbeitet werden dürfen. Würde man diese Interpretation durchhalten, hieße das auch: Alle kirchlichen Angebote im Netz brauchten eine Alterskontrolle; das sieht offensichtlich niemand so, auch nicht das Bistum Augsburg, dessen Webseite und Newsletter ohne Alterskontrolle genutzt werden können, obwohl auch dort (Meta-)Daten der Besucher*innen verarbeitet werden. Wenn man wollte, ginge freies WLAN – mit guten Argumenten, wenn man sich von den genannten Anbietern und Initiativen beraten ließe. Datenschutz wird hier wieder einmal als Verhinderer stark gemacht – das kommentiere ich heute auch bei katholisch.de: »Es ginge also – rechtssicher, datensparsam, frei und offen. Dazu müssten aber die kirchlichen Verantwortungsträger die Chancen des Netzes für die Kirche und seine Bedeutung fürs Gemeinwohl sehen – und nutzen wollen.«

Weiterlesen

Her mit meinen Daten! Informationelle Selbstverteidigung

Manchmal vergisst man bei all der Bürokratie, dass es bei Datenschutz um informationelle Selbstbestimmung und damit um die Verteidigung von Grundrechten geht. Auf Twitter macht die Theologin Doris Reisinger auf Aspekte eines Ausstiegs aus problematischen kirchlichen Gruppen aufmerksam, die man selten im Blick hat: Rentennachzahlung, Testamentsänderung und Datenschutz. (Der ganze Thread lohnt zu lesen. Hier geht’s nur um den datenschutzrechtlichen Aspekt.)

Eine Hand macht eine fordernde Geste
Photo by Kira auf der Heide on Unsplash (bearbeitet)

»Kommunitäten, die ihre Mitglieder kontrollieren, sammeln oft ohne deren Zustimmung auch eine Unmenge personbezogener Daten, die sie auch nach dem Austritt aufheben. Das ist ein Verstoß gegen die DSGVO und das Gesetz über Kirchlichen Datenschutz (KDG)«, schreibt Reisinger und empfiehlt, hier das datenschutzrechtliche Auskunftsrecht zu nutzen. Im Prinzip genügt dafür die Information aus ihrem Tweet: Formloses Schreiben, Auskunft nach einschlägigem Gesetz verlangen, Auskunft erhalten. Gerade im kirchlichen Bereich kann es aber doch komplizierter werden aufgrund des in Art. 91 DSGVO festgeschriebenen Selbstverwaltungsrechts der Kirchen im Datenschutz – deshalb gibt es hier einen Wegweiser durch das Gestrüpp aus speziellen kirchlichen Gesetzen und was man tun kann, wenn die verantwortliche Stelle die Daten nicht rausrückt.

Weiterlesen

Umfassende Rechtsunkenntnis der gesamten Kurie – Wochenrückblick KW 11/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das beherrschende Thema der Woche war die Vorstellung des Kölner Missbrauchsgutachtens – dazu wurde anderswo (auch von mir) schon viel kommentiert. Mit Blick auf die Frage nach Recht und Rechtmäßigkeit in der Kirche enthält es einen erschütternden, aber nicht überraschenden Abschnitt: »Umfassende Rechtsunkenntnis in der gesamten Kurie« ist er überschrieben (ab S. 224 des Gutachtens). Dort liest man: »Bis in die höchsten Kreise kirchlicher Verantwortungsträger hinein war die Kenntnis des kanonischen Rechts im Allgemeinen und des kirchlichen Strafrechts im Besonderen, ausgesprochen defizitär«, später wird darauf hingewiesen, dass ein Problem insbesondere »die Praxis des Heiligen Stuhls [ist], Gesetzestexte nicht in jedem Fall zu veröffentlichen und nicht dafür zu sorgen, dass sie jedem Rechtsanwender zur Kenntnis gelangten«. Was mit schrecklicher Konsequenz im Großen und im Bereich des Strafrechts gilt, zieht sich auch im Kleinen und in weniger konsequenzenträchtigen Bereichen durch: Schon oft wurde von mir angemerkt, wie defizitär viele (insbesondere) Bistümer sind in der transparenten Darstellung ihres Diözesanrechts sind, teilweise sind nicht einmal die Amtsblätter online zugänglich. (Der Vatikan ist besonders defizitär: Eine unübersichtliche Webseite, sehr uneinheitlich aktuell, und viele zentrale Texte nur in einer PDF-Textwüste auf Latein verfügbar.)

Apropos Transparenz: Noch einmal das 2018 beschlossene Nürnberger Datenschutzzentrum, von dem man seither nichts mehr gehört hat – die Freisinger Bischofskonferenz hat wieder getagt, das stand nicht auf der Tagesordnung. Dafür habe ich auf Twitter erstmals ein offizielles Statement vom Pressesprecher der Erzdiözese München und Freising, zugleich Sprecher der Freisinger Bischofskonferenz, erhalten. Ich zitiere vollständig: »🤷‍♂️«

Transparenter geht’s bei der Datenschutzkonferenz zu – weil man die per Informationsfreiheitsgesetz anzapfen kann. Jetzt liegt mir (danke, FragdenStaat.de!) auch das Protokoll des Treffens der DSK mit den spezifischen Aufsichten von der Sitzung vom 21. Oktober 2020 vor. Darin wurde (auf eine andere IFG-Anfrage von mir hin) gefragt, wie man mit Protokollen verfahren wolle. Eine Vereinbarung wurde wohl getroffen, steht aber nicht im Protokoll. Tja. Eine Liste der bekannten spezifischen Aufsichten im Bereich der Religionsgemeinschaften gibt es nach wie vor nicht – nur römisch-katholische Aufsichten, die der EKD und die der Selbständigen Evangelisch-Lutherischen Kirche tauchen auf – die SELK mit dem Vermerk, dass ihr Status gerade in Niedersachsen geprüft werde und mit einer Aberkennung gerechnet werde, wie bereits zuvor hier berichtet wurde.

Weiterlesen

Unter der Lupe: Kirchliche Datenschutzaufsicht DSGVO-konform?

Grundsätzlich ist es um die kirchliche Datenschutzaufsicht gut bestellt: Zweifel daran, dass das kirchliche Datenschutzregime bei den großen Kirchen trägt, werden in der Praxis kaum geäußert. Eine Presseanfrage bei den staatlichen Aufsichten jedenfalls hat im vergangenen Jahr keinen Konfliktfall mit einer römisch-katholischen oder landeskirchlich-evangelischen Aufsicht ans Licht gebracht.

Dennoch gibt es auch immer wieder Zeichen dafür, dass die von Art. 91 Abs. 2 DSGVO geforderte Erfüllung der Bedingungen, die auch den staatlichen Behörden auferlegt sind, nicht immer ganz klar ist. In den letzten Monaten hörte man etwa den Hilfeschrei aus Bayern ob der prekären finanziellen und personellen Ausstattung der katholischen Datenschutzaufsicht, und angesichts des Tätigkeitsberichts der Südwest-Diözesandatenschutzbeauftragten mit minimalen Fallzahlen kann man die Frage stellen, ob kirchliche Stellen hier nicht eine besonders zahme Aufsicht bekommen. (Leider halten sich die kirchlichen Aufsichten nicht an das Tätigkeitsberichtsmuster der staatlichen Datenschutzkonferenz und geben überhaupt nur sehr selten Zahlen an – daher ist hier eine Vergleichbarkeit schwierig.)

Könnte sich das zum Problem für die kirchlichen Aufsichten entwickeln? Und was würde überhaupt passieren, wenn kirchliche Aufsichten nicht die Anforderungen der DSGVO erfüllen?

Weiterlesen

Ausnahmen von der Ausnahme – Datenschutz beim Bund Freikirchlicher Pfingstgemeinden

Grundsätzlich hatten alle Kirchen und Religionsgemeinschaften die Möglichkeit, ein eigenes Datenschutzrecht gemäß Art. 91 DSGVO anzuwenden – welche das sind, ist nicht immer einfach herauszufinden, und oft herrscht selbst bei den bekannten (ich weiß momentan von 15 Gemeinschaften) nicht die höchste Transparenz. Anders sieht es beim Bund Freikirchlicher Pfingstgemeinden (BFP) aus: Die Datenschutzaufsicht betreibt eine Infoseite und der Tätigkeitsbericht ist öffentlich zugänglich.

Der Tätigkeitsbericht des Datenschutzbeauftragten des BFP liegt auf neutral-blauem Hintergrund.
Bildquelle: BFP-Aktuell

Das erklärte Ziel des Datenschutzbeauftragten des Bundes ist es, »das ›Gütesiegel‹ eines angemessenen Datenschutzniveaus« zu sichern, so der Bericht – »immer in dem Wissen, dass es um Menschen geht, die Gott uns anvertraut hat«. Der im September veröffentlichte Tätigkeitsbericht für 2018 und 2019 bietet einen interessanten Einblick in Arbeitsweise und Struktur des Datenschutzes in einer kleineren Religionsgemeinschaft – und birgt sehr besondere Ausnahmeregeln.

Weiterlesen

Im Datenschutz misst die Kirche mit zweierlei Maß

Als im Mai 2018 das Gesetz über den kirchlichen Datenschutz (KDG) in Kraft trat, gab es neben einiger Rechtsunklarheit auch Verunsicherung durch die nun erstmals im kirchlichen Raum angedrohten Bußgelder. Im Vergleich zum EU-Recht blieb der kirchliche Gesetzgeber mit einer Höchstsumme von 500.000 Euro zwar vergleichsweise niedrig – aber auch dieser Betrag wirkt bei den üblichen Budgets abschreckend.

Zerknüllter Zehn-Euro-Schein auf der Straße
(Photo by Imelda on Unsplash)

Dennoch ist das Bußgeld in der Praxis ein stumpfes Schwert. Liest man den nun veröffentlichten Tätigkeitsbericht des Diözesandatenschutzbeauftragten für die NRW-Bistümer, könnte man denken, dass es jetzt Bußgeld um Bußgeld hagelt: Deutlich betont er, dass die Zeit bloßer Beratung, Hilfe und Mahnungen vorbei sei. Der Bericht relativiert diese Ansage aber auch: Gerade einmal von zwei Bußgeldern ist zu lesen.

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW31

Die Woche endet mit einer Entscheidung des Beauftragten für den Datenschutz der EKD, die vieles erschweren dürfte: Das Medienprivileg (§ 51 DSG-EKD) gilt seiner Auffassung nach nicht für den Gemeindebrief. Es mangle am Zweck, »Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten« und dem unbestimmten Empfängerkreis. Das sieht die Deutsche Bischofskonferenz nur zum Teil so, die in ihrer schon lange veröffentlichten FAQ-Liste festhält, dass grundsätzlich auch Pfarrbriefe dem Medienprivileg (§ 55 KDG) unterfallen können: »Hier dürfte es entscheidend darauf ankommen, ob diese sich im Einzelfall lediglich an die Gemeindemitglieder oder an einen öffentlichen, unbestimmbaren Personenkreis richten.«

Kommende Woche Freitag findet das digitale Barcamp Bonn statt. Ich biete eine Session an: So funktioniert Datenschutz: Einführung in die DSGVO für Anfänger*innen (so grundsätzlich gehalten, dass es auch für Anwender*innen der kirchlichen Datenschutzgesetze nützlich ist). Anmeldungen für das digitale Barcamp sind noch möglich.

Eine Datenschutzschulung speziell für das Gesetz über den kirchlichen Datenschutz (KDG) bietet das Erzbistum München und Freising auf seiner Lernplattform an. Es richtet sich zwar an Mitarbeiter*innen und Ehrenamtliche der Diözese, die Anmeldung ist aber allen möglich. Durchaus nützlich, ein Zertifikat gibt’s auch, im Detail aber problematisch, wenn es zu Passworten nur die Tipps gibt, sie nicht im Browser (warum eigentlich?) und auf Post-its zu speichern und sie regelmäßig zu wechseln (spätestens mit der letzten Fassung des BSI-Grundschutz-Kompendiums ist dieser Tipp veraltet und schon länger als Sicherheitsrisiko bekannt), aber keine sichere Alternative zum Post-it präsentiert wird.

Wie Auftragsverarbeitung nach dem KDG funktioniert, steht im Datenschutzblog von Reichert und Reichert. Das Fazit: »Die Zusammenarbeit zwischen kirchlichen Rechtsträgern und nicht-kirchlichen Stellen kann im Datenschutz für beide Seiten herausfordernd sein. Die Einbeziehung des für die meisten Auftragsverarbeiter unbekannten KDG stößt auf Unsicherheiten, vielfach auch auf die fehlende Bereitschaft, sich mit dem Datenschutzrecht des Auftraggebers zumindest überblicksartig zu beschäftigten.« Im Artikel geht es nur um die katholische Variante, die dank einer sehr liberalen Beschlusslage der Konferenz der Diözesandatenschutzbeauftragten sehr einfach umzusetzen ist. Evangelisch wird’s etwas schwerer: Im Gegensatz zum KDG fordert das DSG-EKD explizit, dass sich Auftragsverarbeiter*innen der kirchlichen Datenschutzaufsicht unterwerfen (§ 30 Abs. 5 Satz 3 DSG-EKD).

Weiterlesen

Buchtipp: Rechtssammlung zum kirchlichen Datenschutz

Seit kurzem liegt die von Alexander Golland herausgegebene Rechtssammlung zum kirchlichen Datenschutz in zweiter Auflage (Affiliate Link) vor. Auch wenn es keine grundsätzlichen Änderungen an den darin abgebildeten Gesetzen gab – DSGVO, katholisches KDG und KDR-OG und evangelisches DSG-EKD, jeweils mit weiteren relevanten Gesetzen –, lohnt sich doch knapp zwei Jahre nach Erscheinen der Erstauflage eine Aktualisierung: Redaktionell wurden in den Gesetzen einige Kleinigkeiten korrigiert, die Ordnungen der kirchlichen Gerichte haben neu Eingang in die Sammlung gefunden, und vor allem haben die zuständigen Datenschutzaufsichten mittlerweile einige Grundsatzbeschlüsse vorgelegt.

Zielgruppe der Sammlung sind ausweislich der Einleitung alle Anwender*innen kirchlichen Datenschutzrechts – und das sind mehr, als man denkt: Neben den eigentlich betroffenen kirchlichen Stellen letzten Endes alle, die mit Religionsgemeinschaften in irgendeiner Form zu tun haben, die das Hantieren mit personenbezogenen Daten beinhaltet.

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW30

Die ersten Einschätzungen der katholischen und evangelischen Datenschutzaufsichten zum Aus für das Privacy Shield sind verfügbar – eine erste Hilfe, aber immer noch sind viele Fragen offen. Einen Überblick über Entwicklungen bei der Anwendung des KDG gibt der Tätigkeitsbericht des Nordwest-Diözesandatenschutzbeauftragten – der ist in dieser Woche endlich erschienen.

Seit 2018 ist das katholische Gesetz über den kirchlichen Datenschutz (KDG) in Kraft, bisher waren Anwender*innen bei der Auslegung auf DSGVO-Kommentare, die Erläuterungen des Gesetzgebers und der Aufsichten und die –wenigen – veröffentlichten Urteile der Datenschutzgerichte angewiesen. Das ändert sich bald: Nomos hat voraussichtlich für September einen »Handkommentar Kirchliches Datenschutzrecht« (Affiliate link) zum KDG angekündigt, herausgegeben von Gernot Sydow. Der Münsteraner Europarechtler hat bereits einen Kommentar zur DSGVO (Affiliate link) herausgegeben und ist als Vorsitzender Richter des DBK-Datenschutzgerichts selbst mit der praktischen Anwendung des KDG betraut. (Und aus den veröffentlichten Urteilen ist bekannt: der Sydow ist auch beim Interdiözesanen Datenschutzgericht beliebt.) Ein Kommentar zum evangelischen DSG-EKD steht leider noch aus.

Weiterlesen

Prüfschema zum Privacy-Shield-Urteil

Was tun, nachdem das Privacy Shield nicht mehr für die Datenübertragung in die USA zur Verfügung steht? Die katholischen Datenschutzaufsichten für NRW und die Nordwest-Bistümer haben nun eine erste FAQ und ein Prüfschema dazu veröffentlicht. Eine endgültige Positionierung gibt es noch nicht, die Abstimmungen laufen nach gleichlautender Meldung aus Dortmund und Bremen noch. [Ergänzung, 24. Juli, 12.15]Am Freitag hat sich auch die Konferenz der Beauftragten für den
Datenschutz in der EKD mit einer ähnlichen Einschätzung der Sachlage geäußert. Es wurden Bemühungen angekündigt, zu einer einheitlichen Vorgehensweise
mit den Datenschutzaufsichtsbehörden in Deutschland zu kommen.[/Ergänzung]

Klar ist aber jetzt schon: Das Urteil gilt sofort, die Diözesandatenschutzbeauftragten werden die Vorgaben des EuGH umsetzen – »das erfordert aber intensive Untersuchungen zu der Frage, wie – ohne Gefährdung des laufenden Betriebs – ein Ausstieg möglich ist«, heißt es in der Verlautbarung: »Das mag in einigen Bereichen schneller gehen und in anderen länger dauern.« Keine Aussage wird dazu gemacht, welche üblichen Anwendungsfälle überhaupt betroffen sind. In der Praxis dürfte das vor allem Office 365 sein (wobei Microsoft die Rechtskonformität betont).

Weiterlesen