Schlagwort-Archive: Auskunftsrecht

Das Erzbistum Hamburg digitalisiert seinen Schuldatenschutz

Das Erzbistum Hamburg macht den Datenschutz an seinen Schulen coronafest. Die neue Durchführungsverordnung zum Schutz personenbezogener Daten in katholischen Schulen im Erzbistum Hamburg schafft Rechtsgrundlagen für den Einsatz digitaler Werkzeuge im Unterricht und damit hoffentlich mehr Rechtsklarheit. Zugleich werden auch Auskunfts- und Informationsrechte festgeschrieben – allerdings mit einem Haken.

Ein Kind zeichnet etwas auf einem Tablet, nur die Hände, der Stylus und das Tablet sind zu sehen.
(Symbolbild, Photo by Jeswin Thomas on Unsplash)

Die Ordnung ersetzt eine Vorgängernorm aus 2009, die Anordnung zum Schutz personenbezogener Daten in katholischen Schulen in freier Trägerschaft im Erzbistum Hamburg. Es scheint sich dabei um originäres Hamburger Recht zu handeln, nicht um die Umsetzung einer deutschlandweiten Rahmengesetzgebung des VDD wie bei anderen Gesetzen. (Zuerst hatten die Datenschutz-Notizen über die bereits am 31. Mai im Amtsblatt veröffentlichte neue Ordnung berichtet.)

Weiterlesen

Tagungsbericht »Drei Jahre Gesetz über den Kirchlichen Datenschutz«

Im vierten Jahr seiner Geltung geht es beim KDG und seiner Umsetzung in die Details – das zeigte die von Curacon und den nordrhein-westfälischen Caritasverbänden organisierte Tagung zum dritten Geburtstag des Gesetzes über den kirchlichen Datenschutz am vergangenen Freitag.

Folie mit dem Veranstaltungstitel auf einem Laptop

Schwerpunkt waren alltägliche, aber komplizierte Themen: Der Umgang mit Auskunftsersuchen, Auftragsverarbeitung, Schadensersatzansprüche, Datenschutzfolgenabschätzungen und Compliance. Zwei Produkt-Vorstellungen – ein KDG-Compliance-Tool der GDD und ein Datenschutzfolgenabschätzungstool der Curacon – standen zudem auf der Tagesordnung. Den Blick aus den Niederungen der Praxis weitete zum Abschluss ein Vortrag des Vorsitzenden Richters am Interdiözesanen Datenschutzgericht, Bernhard Fessler.

Weiterlesen

Landschaftskunde – Wochenrückblick KW 21/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der dritte Geburtstag der DSGVO wurde in den Medien breit gewürdigt mit vielen Einschätzungen zum aktuellen Stand – oft mit dem Tenor: Verordnung gut, Durchsetzung na ja. Sehr still war es um den dritten Geburtstag des KDG. (Die Woche verzeichnet sogar – wann gab es das zuletzt? – keine einzige amtliche kirchliche Veröffentlichung zum Datenschutz.) Immerhin die Vorsitzende der Konferenz der Diözesandatenschutzbeauftragten Ursula Becker-Rathmair war zum Interview auf katholisch.de bereit. Sie berichtet, dass die Themen vom Anfang sich gewandelt haben: Anstatt um Kinderfotos geht es jetzt um Spezialthemen wie Fotos zur Wunddokumentation bei nichteinwilligungsfähigen Patient*innen. Und noch ein weiteres wichtiges Thema spricht sie an: Die Frage nach gemischten Trägerschaften. Bisher ist es völlig ungeklärt, was passiert – etwa bei gemeinsamer Verantwortlichkeit oder Joint ventures –, wenn mehrere Datenschutzgesetze potentiell anwendbar sind.

Die DSGVO hat zum Geburtstag ein großartiges Geburtstagsgeschenk von Winfried Veil und Stefan Heinemann bekommen: Die »Dataprotection Landscape«, ein Tool, das das weite Feld Datenschutz systematisch und im Kontext erschließt, oder wie Veil es nennt: ein Koordinatensystem des Datenschutzes. Die Kachel zur Öffnungsklausel Artikel 91 ist noch etwas karg. Ich habe aber schon meine Unterstützung angeboten.

Der frisch erschienene Tätigkeitsbericht der niedersächsischen Datenschutzbeauftragten berichtet (neben den hier schon verhandelten Neuigkeiten zum Konflikt um die Datenschutzrichtlinie der SELK) über eine reichlich makabre Missionierungsstrategie: »Ein Verein, der sich auf christlichen Beistand in schwerer Zeit spezialisiert hatte, wertete die Traueranzeigen der örtlichen Tagezeitung aus und glich diese mit dem Telefonbuch ab. An die so ermittelte Adresse wurde dann ein Brief mit Trauerrand versandt, der eine Druckschrift mit Missionierungscharakter beinhaltete sowie eine vorgedruckte Postkarte zur Anforderung von Büchern, Schriften, Bibelfernkursen und CDs.« Beim Verfahren ging es nur um die Auskunftsrechte – ob damit stillschweigend auch gesagt ist, dass es für diese Datenakquise eine Rechtsgrundlage gibt, ist unklar.

Außerdem hat sich das Datenschutzblog der Kanzlei Reichert und Reichert das hier bereits besprochene Kirchliche Datenschutzmodell angeschaut und kommt zu ähnlichen Schlüssen wie bei Erscheinen hier vertreten: »Herausgekommen ist ein komplexes Modell, das zum einen den Aufbau und häufig auch das Wording und die Struktur des Standard-Datenschutzmodells übernimmt, auf der anderen Seite durch den direkten Bezug auf die beiden kirchlichen Datenschutzgesetze und deren gewohnten Begrifflichkeiten das Verständnis und die Übertragung in die Praxis kirchlicher Datenschutzbeauftragter durchaus fördern mag.«

Weiterlesen

Windows-10-Schnelltest für Schüler*innen bei YouTube – Wochenrückblick KW 18/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Gleich zwei nützliche Handreichungen hat in dieser Woche die KDSA Ost veröffentlicht: Die »Mustervorlage freiwilliger Corona-Schnelltest« dürfte gerade in einigen Unternehmen benötigt werden. Interessant ist die dort angeführte Rechtsgrundlage: »§ 11 (2) lit. a KDG iVm. § 26 (2) BDSG«, also die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten in Verbindung mit den erhöhten Anforderungen an eine Einwilligung im Beschäftigungsverhältnis. Eine derartige Norm fehlt in § 53 KDG, die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses regelt. Dass man auch im kirchlichen Datenschutzrecht gut daran tut, Einwilligung im Beschäftigungskontext besonders streng zu ziehen, dürfte keine Überraschung sein. Dass dabei aber direkt auf eine BDSG-Norm verwiesen wird, ist neu und wirft die Frage auf, ob nach Ansicht der Aufsicht alle BDSG-Regelungen hilfsweise herangezogen werden können, wenn das KDG nichts regelt.

Mit Blick auf das näher rückende Schuljahresende ist die zweite Handreichung nützlich, bei der es um Leistungsnachweise per Video im Homeschooling geht. In fünf kompakten Punkten gibt es eine gut umsetzbare Hilfestellung – nur bei Punkt 3 ist fraglich, ob sich die Schüler*innen in der Sache wirklich sensibilisieren lassen wollen. Auch hier gibt es eine interessante Formulierung: So sei die Zustimmung von Eltern und Kindern nötig. »Diese Einverständniserklärung kann auch durch das schlüssige Handeln erfolgen, indem das Video aufgenommen und zur Bewertung zur Verfügung gestellt wird« – im folgenden Satz wird auch explizit von »Einwilligung« gesprochen – anscheinend wird hier einer der Fälle angenommen, in denen gemäß § 8 Abs. 2 KDG von der Schriftform aufgrund »besonderer Umstände« abgewichen werden kann. So einen Umgang mit der Einwilligung ist bisher nicht von Aufsichten bekannt – im Zweifelsfall würde man hier wohl lieber doch auf eine schriftliche Einwilligung nach den Regeln der Kunst zurückgreifen, schon weil die Einwilligung sowohl von Eltern wie von Schüler*innen konkludent eher schwer nachzuweisen ist.

Auch die Konferenz der Diözesandatenschutzbeauftragten hat gearbeitet: Für den Einsatz von Windows 10 gibt es technische Handreichungen, wie man das Betriebssystem datensparsam betreiben kann – die Frage, ob Windows 10 überhaupt rechtskonform eingesetzt werden kann, wird bewusst ausgeblendet.

In Altenberg und digital tagt gerade die BDKJ-Hauptversammlung. Im Bericht des Bundesvorstands des Dachverbands der katholischen Jugendverbände wird auch das Engagement für einen handhabbaren Datenschutz angesprochen: »Insbesondere während der Corona-Pandemie sind die benötigten digitalen Räume nicht ohne bewusste Verstöße gegen die geltenden Bestimmungen nutzbar. Auch die Erreichbarkeit der Zielgruppe ist über KDG-konforme Medien kaum gegeben. Der Bundesvorstand ist bemüht, die konkreten Veränderungs­bedarfe zu sammeln und in eine Novellierung der Gesetze einzubringen.« Über aktuelle Entwicklungen bei der KDG-Evaluierung haben diese Woche auch die Datenschutz-Notizen berichtet.

Bei Feinschwarz plädiert die Kirchenrechtlerin Jessica Scheiper für mehr Transparenz im kirchlichen Archivwesen – leider sieht das Kirchenrecht nämlich vor, dass Bischöfe Geheimarchive unterhalten. Zu viel Schutz von Daten (vor allem wenn er nicht dem Grundrechtsschutz, sondern dem Institutionenschutz dient), schadet: »Ein wichtiger Schritt in die richtige Richtung könnte daher sein, wenn die für die Geheimarchive zuständigen Diözesanbischöfe oder auch ganze Bischofskonferenzen um die päpstliche Dispens von der Pflicht zur Geheimarchivierung bitten würden.«

Weiterlesen

Die Zeugen Jehovas und das Geheimnis des verschlossenen Umschlags

Entscheidungen von staatlichen Datenschutzaufsichten, an denen Religionsgemeinschaften beteiligt sind, sind noch sehr rar – in Deutschland werden die meisten Fälle von kirchlichen Aufsichten abgedeckt, für die Landesdatenschutzaufsichten bleibt kaum etwas anderes übrig. Umso interessanter ist es, dass nun die wohl erste ausführliche Entscheidung bis auf Schwärzungen vollständig vorliegt: Mittels FragDenStaat.at konnte ich den Bescheid mit dem Aktenzeichen DSB-D123.874/0016-DSB/2019 der österreichischen Datenschutzbehörde befreien, von der die Behörde zuvor nur knapp in ihrem Newsletter berichtet hatte. [Ergänzung, 28. April 2021]Aus den mir vorliegenden Unterlagen war nicht ersichtlich, dass der Bescheid noch nicht rechtskräftig ist. Mittlerweile stehe ich in Kontakt mit der betroffenen Person in dem Fall, die gegen den Bescheid geklagt hat. Derzeit ist die Sache beim Bundesverwaltungsgericht anhängig.[/Ergänzung]

Ein Umschlag liegt auf einem Stapel Notizblöcke.
(Symbolbild, Photo by pure julia on Unsplash)

In der Sache geht es um einen Konflikt zwischen einem ausgetretenen Mitglied und seiner ehemaligen Religionsgemeinschaft ums Informationsrecht – die betroffene Person wollte auch Auskunft über in einem verschlossenen Umschlag aufbewahrte Daten erhalten. Die Religionsgemeinschaft berief sich darauf, dass das eine innere Angelegenheit sei, die vom staatlichen Recht nicht erfasst sei, die Datenschutzbehörde gab ihr Recht.

Die Entscheidung enthält vor allem zwei interessante Punkte: Eine Prüfung, ob eigene Datenschutzregeln die Erfordernisse von Art. 91 Abs. 1 DSGVO erfüllen, und eine Prüfung, ob und inwieweit Datenverarbeitung zum geschützten und dem Staat entzogenen Kernbereich der Religionsausübung gehört. Beide Punkte sind auch über den konkreten Einzelfall hinaus instruktiv.

Weiterlesen

Her mit meinen Daten! Informationelle Selbstverteidigung

Manchmal vergisst man bei all der Bürokratie, dass es bei Datenschutz um informationelle Selbstbestimmung und damit um die Verteidigung von Grundrechten geht. Auf Twitter macht die Theologin Doris Reisinger auf Aspekte eines Ausstiegs aus problematischen kirchlichen Gruppen aufmerksam, die man selten im Blick hat: Rentennachzahlung, Testamentsänderung und Datenschutz. (Der ganze Thread lohnt zu lesen. Hier geht’s nur um den datenschutzrechtlichen Aspekt.)

Eine Hand macht eine fordernde Geste
Photo by Kira auf der Heide on Unsplash (bearbeitet)

»Kommunitäten, die ihre Mitglieder kontrollieren, sammeln oft ohne deren Zustimmung auch eine Unmenge personbezogener Daten, die sie auch nach dem Austritt aufheben. Das ist ein Verstoß gegen die DSGVO und das Gesetz über Kirchlichen Datenschutz (KDG)«, schreibt Reisinger und empfiehlt, hier das datenschutzrechtliche Auskunftsrecht zu nutzen. Im Prinzip genügt dafür die Information aus ihrem Tweet: Formloses Schreiben, Auskunft nach einschlägigem Gesetz verlangen, Auskunft erhalten. Gerade im kirchlichen Bereich kann es aber doch komplizierter werden aufgrund des in Art. 91 DSGVO festgeschriebenen Selbstverwaltungsrechts der Kirchen im Datenschutz – deshalb gibt es hier einen Wegweiser durch das Gestrüpp aus speziellen kirchlichen Gesetzen und was man tun kann, wenn die verantwortliche Stelle die Daten nicht rausrückt.

Weiterlesen

Hart, härter, kirchlicher Datenschutz?

Der kirchliche Datenschutz gilt als besonders streng – jedenfalls hört man das oft von Anwender*innen. Aber stimmt das eigentlich? Schließlich müssen die eigenen Datenschutzregeln von Religionsgemeinschaften, so sieht es Art. 91 DSGVO vor, »in Einklang« mit den Wertungen der DSGVO stehen. Und während die Deutsche Bischofskonferenz schreibt, dass sie mit einem Unterschied in der Formulierung der Einwilligung nicht strenger, sondern »lediglich konkreter und damit anwenderfreundlicher« sein wollte, sagte der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski, der auch an der Ausarbeitung des KDG mitwirkte, dass die Kirche aufgrund ihres Demokratiedefizits handeln musste: »und deshalb waren wir an manchen Stellen bei der Entwicklung des KDG strenger, um zu zeigen, dass wir bereit sind, solche Defizite auszugleichen«, so Joachimski. Von evangelischer Seite sind keine solche Äußerungen bekannt – aber auch dort hört man selten den Vorwurf, das DSG-EKD sei zu lax.

Stimmt es aber überhaupt, dass die kirchlichen Gesetze im Zweifel strenger sind? Ein genauer Blick fördert Interessantes zu Tage – und einige Regelungen, über die man überraschend wenig in der Praxis hört. An einigen Punkten gibt es deutliche Abweichungen von den Regelungen der DSGVO, die auch das Schutzniveau für betroffene Personen verändern.

Weiterlesen

Kirchenbücher und Datenschutz: Regionalgeschichte, Genealogie und Stammbaumforschung

Kirchenbücher sind eine wertvolle Quelle für die Regionalgeschichte und genealogische Forschungen: Taufregister, die teils Jahrhunderte zurückgehen, sind oft die besten und vollständigsten Dokumentationen über ganze Landstriche. Dürfen sie aber auch einfach so genutzt werden – oder schiebt dem der Datenschutz einen Riegel vor?

Die gute Nachricht: Oft spielt Datenschutz gar keine Rolle – wenn die Menschen, auf die sich die Daten beziehen, nicht mehr leben. Zwar steht es nirgends explizit in der DSGVO, dem KDG und dem DSG-EKD, dass die Datenschutzgesetze nicht für Verstorbene gelten. Erwägungsgrund 27 der DSGVO stellt aber unmissverständlich klar: »Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener.« Dennoch gibt es einige Regeln für die Nutzung.

Weiterlesen

Deine Rechte – So funktioniert Datenschutz Teil 3

Teil 3 der dreiteiligen Serie: Ein Crashkurs für Interessierte dazu, wie Datenschutz tickt und was man wissen sollte für die eigene Datensouveränität.

Digitale Mündigkeit: Kenne Deine Rechte!

Warum sollte ich genau das wissen? Das Datenschutzrecht gibt Betroffenen eine Reihe von zum Teil sehr mächtigen Instrumenten an die Hand, um die eigene informationelle Selbstbestimmung zu ermöglichen. Nur wer die Rechte kennt, kann sie ausüben.

Statue mit Blitz in der Hand, auf dem »Droits de l'homme« steht
Photo by DDP on Unsplash
Weiterlesen