Verantwortliche müssen Betroffene über ihr Beschwerderecht bei einer Datenschutzaufsicht hinweisen. Das ist in den Artikeln 12 bis 14 DSGVO für die Informationspflicht wie für die Auskunftspflicht geregelt.
Beim Abfassen von Vorlagen stellen sich damit zwei Fragen: Genügt der allgemeine Hinweis – oder muss die zuständige Aufsicht benannt werden? Und gibt es hier Unterschiede in der Rechtslage zwischen der DSGVO und kirchlichem Recht?
WeiterlesenKinder und Jugendliche haben Rechte. Das ist leider nicht immer so klar, wie es wünschenswert wäre. Insbesondere haben Kinder auch Rechte gegenüber ihren Eltern, die trotz grundgesetzlich verbürgtem Elternrecht auf Erziehung nicht alles dürfen.
Das Interdiözesane Datenschutzgericht hatte nun einen Fall zu entscheiden, in dem es genau darum ging: Ein Vater wollte Auskunftsrechte über Daten seiner Tochter geltend machen, und zwar gegen den Willen der 15-jährigen. Das Ergebnis ist rundheraus zu begrüßen: Das Gericht macht die Rechte der Jugendlichen stark. (IDSG 23/2020 vom 25. Februar 2022)
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Datenschutzkonferenz hat auf ihrer jüngsten Sitzung laut Protokoll ein Gutachten mit dem Titel »Rechtliche Möglichkeiten zur Stärkung und Institutionalisierung der Kooperation der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK 2.0)« beraten (eine IFG-Anfrage ist bereits gestellt). Besonderes Engagement, die spezifischen – also auch die kirchlichen – Aufsichtsbehörden besser einzubinden, ist nicht zu erwarten. Aber man lässt sich ja gern überraschen.
Der 50. Tätigkeitsbericht der Hessischen Datenschutzaufsicht ist erschienen. Darin wird wie erstmals im vergangenen Jahr auch die Kategorie »Religionsgemeinschaften« in der Eingabenstatistik aufgeführt. Beschwerden (2) und Beratungen (3) gingen im Vergleich zum Vorjahr deutlich von zuvor insgesamt 23 zurück. Im vergangenen Jahr ging es hauptsächlich um die Zeugen Jehovas und Mormonen, insbesondere mit Blick auf Werbung, Briefe und Datenlöschung bei Austritt, wie die Sprecherin damals mitteilte, die aktuelle Anfrage ist noch nicht beantwortet. Dieses Mal gab es außerdem Weisheit aus dem Aufsichtsalltag: »Datenschutzrechtliche Beschwerden entstammen dem prallen Leben und ihre Bearbeitung erfordert neben datenschutzrechtlichem Sachverstand oft auch Humor, Empathie oder auch die Beschäftigung mit Websites, die ansonsten von dienstlichen Rechnern nicht aufgerufen werden sollten.«
Die Normen zur Einsichtnahme in Personalakten zur Missbrauchsaufarbeitung tröpfeln immer noch ein – nun hat das Bistum Passau das Gesetz in Kraft gesetzt, nach meiner Statistik die 16. Diözese.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Per IFG-Antrag konnte ich die Folien zum Vortrag eines Mitarbeiters des Bundsdatenschutzbeauftragten beim Ökumenischen Datenschutztag befreien. Thema des Vortrags war »Das Recht auf Auskunft nach Art. 15 DSGVO«. Die Folien sind nicht übermäßig spektakulär, aber hilfreich, da sie auch die zur DSGVO parallelen Regelungen aus dem KDG und dem DSG-EKD benennen und einordnen. Dabei fällt auf, dass das DSG-EKD einiges eher Verantwortlichen-freundlich regelt: Keine explizite Regelung der Negativ-Auskunft, kein Auskunftsanspruch zu automatisierter Entscheidung und Profiling, kein Recht auf Kopie, eine Verhältnismäßigkeitsprüfung als Grenze des Auskunftsrechts (§ 19 Abs. 4 DSG-EKD), die Ausnahmen in § 19 Abs. 2 und 4 DSG-EKD werden als » (zu?) weitreichende Ausnahmen« bezeichnet.
Der BfD EKD hat einen zweiten Teil seiner Fragenliste zum TTDSG veröffentlicht. Interessant ist darin vor allem die Aussagen zum Verhältnis von TTDSG und DSG-EKD: »Nach der Auffassung des BfD EKD ist das TTDSG das speziellere und strengere Gesetz und geht daher dem DSG-EKD vor. […] Die erste Datenerhebung auf dem Endgerät, z.B. das Auslesen oder Schreiben von Daten, fällt daher in den Anwendungsbereich des TTDSG. Darüber hinausgehende Verarbeitungen von personenbezogenen Daten (z.B. die Bildung von Nutzerprofilen, Einbindung externer Dienste) fallen in den Anwendungsbereich des DSG-EKD.« (Über den ersten Teil wurde hier auch schon berichtet.)
Das Katholische Büro Berlin hat seine Stellungnahme zum Entwurf der EU-KI-Verordnung veröffentlicht. (Ich hab’s auch bei katholisch.de vermeldet.) Die Einschätzung ist wohlwollend-kritisch: »Dem Gedanken folgend, dass das KI-System im Dienst des Menschen steht, nennt die KOM in der Vorschlagsbegründung als erstes Ziel des KI-VO-E den Schutz des Menschen in Form der Gewährleistung der bestehenden Grundrechte und der Werte der Union. Wir bedauern jedoch, dass dieses Ziel nicht konsequent umgesetzt wurde. Nicht alle KI-Systeme, die in besonders gefährdeten Bereichen, wie etwa demokratischen und rechtsstaatlichen Prozessen, dem Schutz der Umwelt oder der Verhinderung von Diskriminierung Anwendung finden können, werden erfasst.«
Der Europäische Datenschutzausschuss hat seinen Tätigkeitsbericht für 2021 veröffentlicht. Darin wird auch kurz über einen Fall aus Slowenien berichtet, in dem eine betroffene Person vergeblich – auch vor Gericht – versuchte, ihren Eintrag aus dem römisch-katholischen Taufregister zu löschen. In Slowenien wendet die Kirche kein eigenes Datenschutzrecht an; der Fall zeigt also, dass auch unter direkter Anwendung der DSGVO Abwägungen mit dem Recht auf institutionelle Religionsfreiheit getroffen werden können.
Das Interdiözesane Datenschutzgericht hat die Veröffentlichung gleich dreier neuer Entscheidungen angekündigt (IDSG 06/2021 vom 08.03.2021, IDSG 07/2019 vom 21.02.2022, IDSG 06/2019 vom 31.12.2021), im Laufe der Woche wurde IDSG 06/2019 veröffentlicht: ein eher unspektakuläres Verfahren mit Büro-Drama um angeblich unzulässig weitergegebene Bewerbungsunterlagen, für die es aber nur einen vagen und unbelegten Chat-Verlauf als Beweis gibt, so dass die Klage erwartungsgemäß abgewiesen wurde. Bei IDSG 07/2019 soll es um die Frage gehen, ob das Foto eines Autos, auf dem das Kennzeichen nicht erkennbar ist, personenbezogene Daten enthält, und bei der dritten Entscheidung gibt es bis dato nicht einmal einen nichtamtlichen Leitsatz.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Aus der Rubrik »was der Datenschutz alles verhindert« dieses Mal der Rottenburger Bischof Gebhard Fürst im Interview mit der Südwest-Presse: »Wir hatten im Januar erheblich mehr Kirchenaustritte als in den Jahren zuvor. Das ist außerordentlich schmerzlich. In früheren Wellen habe ich mit den Ausgetretenen Kontakt aufgenommen und sie zu Gesprächen eingeladen. Ob ich das noch einmal machen kann, weiß ich nicht. Dem steht heute der Datenschutz entgegen.« Warum ein einmaliges Anschreiben nicht datenschutzrechtlich abzubilden sein soll, wird nicht ausgeführt – selbst wenn man vertritt, dass die Daten gar nicht im Ordinariat landen dürfen, wäre doch zumindest eine Beilage zum Schreiben vom Pfarrer möglich.
Nun hat sich auch die KDSA Nord zu Impf- und Genesenennachweisen geäußert – allerdings nicht so umfassend wie der BfD EKD, sondern nur mit Blick auf die Gesundheits- und Pflegeeinrichtungen, und auch nicht so konkret. Immerhin wird festgehalten, dass aus der Pflicht zur Vorlage der Serostatusdokumentation nicht auch folgt, dass von den vorgelegten Dokumenten Kopien gefertigt werden dürfen. Eine so klare Äußerung wie beim evangelischen Kollegen, dass bei den anzufertigenden Dokumentationen nicht der Serostatus selbst erfasst werden darf, sondern nur die Information darüber, fehlt allerdings.
In den USA haben sich mehrere Dutzend Vertreter*innen verschiedenster Religionen und Konfessionen in einem Offenen Brief an Mark Zuckerberg gewandt und ein endgültiges Aus für die Pläne gefordert, ein Instagram für Kinder zu entwickeln. Für katholisch.de habe ich mit dem Mainzer Medienpädagogen Andreas Büsch und der Frankfurter Religionspädagogin Viera Pirker darüber gesprochen – die finden kleine Kinder auf Social Media zwar auch nicht nur erstrebenswert, legen aber einen deutlich differenzierteren Ansatz als der Offene Brief an den Tag.
Buzzfeed News hat mehrere Gebets-Apps untersucht – und die Ergebnisse sind ernüchternd, aber kaum überraschend: »Nothing Sacred: These Apps Reserve The Right To Sell Your Prayers« Neben den erwartbaren intransparenten Datenweitergaben an Dritte zur Monetarisierung wird auch dieses Detail erwähnt: »At least one government has taken an interest in prayer app data, too — the US military bought extensive location data mined from Muslim prayer apps back in 2020 for use in special forces operations.«
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
In der aktuellen »Zeitschrift für Arbeitsrecht und Tarifpolitik in kirchlichen Unternehmen« (ZAT 6/2021, S. 198–203) hat Thomas Ritter einen Aufsatz zur Grundrechtsberechtigung der Kirchen und ihrer Einrichtungen im Bereich des Datenschutzes veröffentlicht. Der Aufsatz arbeitet heraus, ob und auf welcher verfassungsrechtlichen Grundlage von Kirchen Grundrechte und insbesondere das Grundrecht auf informationelle Selbstbestimmung geltend gemacht werden können. Das klingt zunächst sehr akademisch, im allerletzten Punkt zeigt sich, warum die theoretischen Überlegungen gerade jetzt mit Blick auf den Streit kleinerer Religionsgemeinschaften mit Datenschutzaufsichten sehr hohe praktische Relevanz haben: »In seiner Ausprägung als Abwehrrecht wirken kann das Grundrecht der Kirchen auf informationelle Selbstbestimmung wegen grundrechtstypischer Gefährdungslage zB im Rahmen des Art. 91 DS-GVO im Falle von Versuchen, das Recht der Kirchen auf Errichtung einer eigenen Datenschutzaufsicht, auf Errichtung einer eigenen Datenschutzgerichtsbarkeit oder des Erlasses eigener Datenschutzgesetze oder -ordnungen wie zB dem KDG, der KDG-DVO oder der KDSGO zu beschneiden«, schließt Ritter.
Bei katholisch.de habe ich mich in dieser Woche noch einmal intensiv mit der Personalaktenordnung befasst. Neben den hier schon angeführten Einschätzungen von Martin Rehak und Rüdiger Althaus liegt ein Schwerpunkt auf der Betroffenenperspektive: Johannes Norpoth aus dem Sprecherteam des DBK-Betroffenenbeirats hat mir einige Einschätzungen gegeben – Norpoth ist selbst als betrieblicher Datenschutzbeauftragter tätig und daher mit der Materie und den Grenzen der Regelungsmöglichkeiten vertraut. Sein Fazit: »Ich hoffe, dass es keine Diskrepanz gibt zwischen dem, was im kirchlichen Amtsblatt steht, und dem, was eine bischöfliche Personalverwaltung tatsächlich macht. Wenn die Personalaktenordnung nicht umgesetzt wird, bringt sie nichts. Es besteht aber die Chance, dass diese Regelung zur Initialzündung für eine professionelle Personalarbeit wird.«
Auf Twitter wurde eine weitere Entscheidung eines staatlichen Gerichts angekündigt, die mit kirchlichem Datenschutz zu tun hat: Im Urteil des AG Pankow vom 10. Januar 2022, Az. 4C27/21, soll es um Auskunftsansprüche gegen kirchliche Träger gehen. Viele Details sind noch nicht bekannt, die Entscheidung ist noch nicht veröffentlicht. Laut den beiden Tweets eines Verfahrensbeteiligten scheint es um die altbekannte Frage danach zu gehen, ob das Datenschutzrecht die Kostenerstattungspflicht für die Abschriften von Patient*innenakten aus § 630g BGB aushebelt.
Die aktuelle Ausgabe der Zeitschrift »Kirche und Recht« (Band 27 (Heft 2), 2021) hat einen Datenschutzschwerpunkt: Gleich drei Artikel und eine Rezension widmen sich dem Datenschutz in der Kirche in verschiedenen Facetten.
Rüdiger Althaus schreibt über die neue DBK-Personalaktenordnung, Steffen Pau und Stephanie Melzow vom KDSZ Dortmund über das Auskunftsrecht nach § 17 KDG in der aufsichtsrechtlichen Praxis und Bernhard Fessler über erste Erfahrungen aus dem katholischen Datenschutzgericht, dazu komme eine Rezension von Martina Tollkühns kanonistischer Dissertation über Datenschutz in Beschäftigungsverhältnissen.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
In der aktuellen Ausgabe des Datenschutz-Berater ist wieder ein Artikel von mir zum kirchlichen Datenschutz: Ausführlich befasst er sich mit den Besonderheiten der Rechtsgrundlagen in den kirchlichen Datenschutzgesetzen. Leser*innen hier kennen bereits Teile der Argumente aus der Betrachtung der Rechtsgrundlagen »anderes Gesetz« und »kirchliches Interesse«, dazu kommt die neue Aufarbeitungs-Rechtsgrundlage im DSG-EKD. Die Beschäftigung mit diesem Angelpunkt des Datenschutzrechts ist bei den kirchlichen Datenschutzgesetzen bisher reichlich unterbelichtet – trotz der großen Unterschiede, die sic him Detail zwischen unpraktisch und möglicherweise europarechtswidrig bewegen. Mein Fazit im Artikel: »Trotz des oft behaupteten Gleichklangs der drei Datenschutzgesetze zeigt ein näherer Blick, dass doch erhebliche Unterschiede bestehen, die keineswegs nur akademisch sind. […] Beide Kirchen wären gut beraten, bei den anstehenden Novellierungen besonders kritisch auf diesen zentralen Teil ihrer Datenschutzgesetze zu blicken.«
Der thüringische Landesdatenschutzbeauftragte hat seinen Bericht für 2020 veröffentlicht. Fälle mit kirchlichem Bezug gibt es keine – aber eine Kuriosität: Die eigene Regelung des Datenschutzes in den Kirchen wird nämlich erwähnt – aber viel miteinander geredet wird unter den für Thüringen zuständigen Aufsichten anscheinend nicht. Im evangelischen Bereich wird als zuständige Aufsicht nur der BfD EKD genannt – der ist zwar für den größten Teil zuständig, aber auch der Datenschutzbeauftragte für Diakonie und Kirche ist relevant, der die Diakonie Mitteldeutschland und die Landeskirche Sachsens, die auch thüringische Teile hat, im Beritt hat. Besonders kurios: Statt der Katholischen Datenschutzaufsicht Ost wird der betriebliche Datenschutzbeauftragte des Bistums Erfurt als für Datenschutzverstöße zuständig genannt.
Die Datenschutz-Notizen stellen das katholische Seelsorge-Patientendatenschutzgesetz kompakt vor. Relevant ist es für kirchliche Häuser – und auch da nicht für alle: Anders als das KDG wurde es (noch?) nicht in allen Bistümern erlassen, auch im Bereich der Orden und des KDR-OG scheint es bislang trotz des großen Ordenskrankenhaussektors nicht in Kraft zu sein. Einen Überblick darüber hat schon vor einigen Wochen Curacon veröffentlicht, und eine etwas ausführlichere Beratung gab es nach der ersten öffentlichgewordenen Inkraftsetzung auch hier – mit einer eher positiven Bewertung im Vergleich zu den Vorgängernormen. Die Aufsichten – etwa die KDSA Nord – dagegen haben sich eher kritisch geäußert im Vergleich zum allgemeinen Datenschutzniveau und mit Blick auf unklare Rechtsbegriffe.
Nach dem Erzbistum Hamburg hat auch das Bistum Osnabrück eine Durchführungsverordnung zum Schutz personenbezogener Daten in katholischen Schulen veröffentlicht. Schon die Hamburger Ordnung hat einen zwiespältigen Eindruck hinterlassen: Während die digitalen Methoden und Werkzeuge angemessen berücksichtigt wurden, wurden die Betroffenenrechte von Schüler*innen empfindlich eingeschränkt.
Die Osnabrücker Verordnung ähnelt in weiten Teilen der Hamburger, mit einigen Umstellungen und kleineren Änderungen – aber auch mit substantiellen Unterschieden. Und zwar nicht zum Besseren.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die neu im DSG-EKD geschaffene Rechtsgrundlage für die systematische Missbrauchsaufarbeitung schließt ihre Anwendung für Einzelfälle aus. Das stößt auf Kritik bei Betroffenenvertreter*innen: Kerstin Claus, Mitglied des Nationalen Rats gegen sexuelle Gewalt an Kindern und Jugendlichen, sieht in einer Ergänzung zur Meldung hier das Problem darin, dass die Gesetzesänderung so ins Leere laufen könnte: »›Nicht auf den Einzelfall bezogene Untersuchung‹ – das heisst im Umkehrschluss, dass gerade für Taten, die sich im gemeindlichen Kontext ereignet haben, entsprechende Akten kaum ausgewertet werden können, da mangels solcher auch öffentlicher kirchlicher Nachforschungen, die das Gegenteil belegen könnten, weiter für die meisten angezeigten Fälle von Einzelfällen ausgegangen werden wird.« Ihr ganzer Kommentar ist lesenswert.
Die Ungeduld wächst bei einigen kirchlichen Aufsichten angesichts verhallender Hinweise. Bei der KDSA Ost geht’s dieses Mal um Namensschilder im Pflegebereich und immer wiederkehrende Konflikte darüber, ob die den vollen Namen enthalten müssen. Müssen sie nicht, ist ziemlicher Konsens bei den Aufsichten, wie auch die Ost-Aufsicht erläutert: »Gerade aber im Bereich körpernaher Dienstleistungen besteht regelmäßig die Gefahr, dass Patienten in der Pflegeleistung mehr als eine Dienstverrichtung sehen. Nach Dienstende oder außerhalb der Dienstzeit haben Arbeitnehmer*innen ein schützenswertes Interesse nicht von Patienten kontaktiert zu werden.« Den Wink mit dem Zaunpfahl sollten entsprechende Verantwortliche zur Kenntnis nehmen – die Aufsicht kündigt Sanktionen an.