Schlagwort-Archive: Auskunftsrecht

SELK kämpft um ihr Recht – Wochenrückblick KW 2/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Streit zwischen SELK und LfD Hannover geht in die nächste Runde: Die Kirche hat Berufung gegen das Urteil eingelegt, mit dem das eigene Datenschutzrecht für nichtig erklärt wurde. Die Begründung dafür werde gerade noch erarbeitet, teilte ein Sprecher der SELK auf Anfrage mit.

Der erste Tätigkeitsbericht des Jahres ist da: Bei der KDSA Nord legt der zum Jahresende in den Ruhestand verabschiedete Diözesandatenschutzbeauftragte Andreas Mündelein für 2022 seinen letzten Tätigkeitsbericht vor. Eine ausführliche Besprechung folgt hier am Montag.

Die KDSA Ost weist darauf hin, dass mit dem wahrscheinlichen Auslaufen der einrichtungsbezogenen Impfpflicht auch die Rechtsgrundlage für die Speicherung des Impfstatus wegfällt. Es gilt also, ein Löschkonzept parat zu haben.

Im Vatikan haben sich Vertreter von Islam und Judentum dem »Rome Call for A.I. Ethics« angeschlossen, den die Päpstliche Akademie für das Leben 2020 mit anderen Akteuren aus Wirtschaft und Politik verabschiedet haben. Zu den sechs kaum ausgeführten Prinzipien, die eine verantwortungsvolle Entwicklung von Künstlicher Intelligenz sicherstellen sollen, gehören als letztes Prinzip Sicherheit und Privatsphäre. In seiner Ansprache an die Teilnehmenden der Konferenz betonte Papst Franziskus vor allem Inklusion: »Jeder Mensch muss in den Genuss einer menschlichen und solidarischen Entwicklung kommen können, ohne dass jemand ausgeschlossen wird. Wir müssen daher wachsam sein und darauf hinwirken, dass die diskriminierende Anwendung dieser Instrumente nicht auf Kosten der Schwächsten und Ausgegrenzten geht. Wir sollten uns immer vor Augen halten, dass die Art und Weise, wie wir die Letzten und Geringsten unserer Brüder und Schwestern behandeln, etwas über den Wert aussagt, den wir dem gesamten menschlichen Leben beimessen. Nehmen wir das Beispiel der Asylbewerber: Es ist nicht akzeptabel, dass die Entscheidung über das Leben und die Zukunft eines Menschen einem Algorithmus anvertraut wird.«

Weiterlesen

Namenlos in der MS365-Cloud – Wochenrückblick KW 1/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Noch vor Weihnachten hat die Datenschutzaufsicht der bayerischen Diözesen eine Ankündigung zum Umgang mit MS-365-Installationen veröffentlicht. Der Diözesandatenschutzbeauftragte kündigt darin seinen Umgang mit Neu- und Bestandsinstallationen an, nachdem die katholische Datenschutzkonferenz dazu keinen Beschluss gefasst hat. Für Neuinstallationen nach dem 21. 12. 2022 wird von einer Beanstandung abgesehen, wenn MS Onedrive dauerhaft abgeschaltet wird und Datenflüsse an Microsoft unterbunden werden. Außerdem müssen Accounts ohne personalisierte Benutzernamen und E-Mail-Postfächer eingerichtet werden. Zulässig sind pseudonymisierte Benutzernamen und Funktionspostfächer. Für Bestandsinstallationen wird für ab April eine Anordnung angekündigt, »wenn feststeht, ob die Bemühungen der USA und der EU um eine Nachfolgeregelung des „privacy shields“ Erfolg hatten«.

Die Diözesandatenschutzbeauftragte für die Südwest-Bistümer Ursula Becker-Rathmair wurde für eine weitere Amtszeit vom 1. Januar 2023 bis zum 31. Dezember 2027 bestellt. Als erste der beteiligten Diözesen hat das Erzbistum Freiburg die Bestellung veröffentlicht.

Die fünf nordrhein-westfälischen Bistümer haben eine öffentlich-rechtliche Vereinbarung zur Regelung der Zusammenarbeit auf verschiedenen Gebieten geschlossen; dazu gehört auch die gemeinsame Datenschutzaufsicht. In der Sache ändert sich für das Katholische Datenschutzzentrum Dortmund dadurch nichts. Während bei den anderen genannten Bereichen der Zusammenarbeit – von der Rundfunkmedienarbeit bis zur Polizeiseelsorge – in den jeweiligen Abschnitten »vereinbart« wird, »dass diese Tätigkeit eine öffentliche Aufgabe ist und daher zwingend von einer juristischen Person des öffentlichen Rechts zu erbringen ist«, wird das (nur) bei der Datenschutzaufsicht anders formuliert: »Gemäß Art. 91 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 i.V.m. §§ 42 ff. der jeweiligen bischöflichen Gesetze über den Kirchlichen Datenschutz (KDG) ist diese Tätigkeit eine öffentliche Aufgabe und daher zwingend von einer juristischen Person des öffentlichen Rechts zu erbringen.« Das überrascht: Art. 91 Abs. 2 DSGVO regelt spezifische Aufsichtsbehörden, ohne ihre Tätigkeit als »öffentliche Aufgabe« zu definieren. Sie müssen lediglich die Anforderungen aus Kapitel VI DSGVO erfüllen. Dort ist zwar von »Behörden« die Rede, nicht aber von bestimmten Rechtsformen, die Aufsicht wird auch dort nicht als »öffentliche Aufgabe« bezeichnet. Das KDG regelt nichts zur Rechtsform und spricht nicht von »öffentlicher Aufgabe«, und auch in der Kommentarliteratur findet sich dieses angeblich zwingende Erfordernis nicht. Die Praxis spricht auch dagegen: Lediglich in NRW und im Südwesten sind die kirchlichen Aufsichten als KdÖR verfasst (in Bayern und im Norden ist es geplant), alle anderen kirchlichen Datenschutzaufsichten, katholische wie evangelische (und erst recht freikirchliche) haben keine öffentlich-rechtliche Rechtsform. Es spricht also einiges dafür, dass das Rechtsformerfordernis für das KDSZ Dortmund nicht aus zwingenden rechtlichen Gründen, sondern wie bei den anderen Feldern aus der Vereinbarung selbst erwächst.

Der aktuelle »Kanon des Monats« des Würzburger Kirchenrechtlers Martin Rehak widmet sich Benedikt XVI. Darin findet sich auch ein Überblick über sein kirchenrechtliches Wirken. Hier einschlägige Themen spielen dabei fast keine Rolle – nur ein Dekret aus der Zeit Ratzingers als Präfekt der Glaubenskongregation verschärft den Persönlichkeitsrechteschutz bei der Beichte: Die Exkommunikation als Tatstrafe zieht sich zu, wer »mittels irgendeines technischen Gerätes selbst aufnimmt oder durch andere aufnehmen lässt, was bei einer (echten oder simulierten) Beichte vom Beichtvater oder vom Pönitenten gesagt wird. Ebenfalls zieht sich jeder die Exkommunikation als Tatstrafe zu, der solche Aufnahmen durch die sozialen Kommunikationsmittel verbreitet«.

Weiterlesen

Flut, Kita und Videoüberwachung – Tätigkeitsbericht des KDSZ Dortmund 2021

Gerade noch rechtzeitig vor Weihnachten kommt der letzte Tätigkeitsbericht des Jahres – das KDSZ Dortmund hat sich bis in den Dezember damit Zeit gelassen, über das Jahr 2021 zu berichten. Aus dieser Distanz wirken die großen Themen des Vorjahres schon sehr weit weg – wie stark Corona noch das letzte Jahr geprägt hat, hat man gar nicht mehr präsent.

Cover des Tätigkeitsberichts für 2021 des KDSZ Dortmund
Cover des Tätigkeitsberichts für 2021 des KDSZ Dortmund

Auch in Nordrhein-Westfalen waren einige Regionen von der Flut betroffen, wenn auch nicht so stark wie in Rheinland-Pfalz: Der Tätigkeitsbericht der Südwest-Aufsicht war massiv von diesem Thema und eindrücklichen Katastrophenschilderungen geprägt; in NRW ist es nur ein Thema unter mehreren.

Weiterlesen

Datenschutzbeschwerden gegen Ackermann und Trier im Fall Weißenfels

Der Trierer Bischof Stephan Ackermann hat im März in einer Videokonferenz vor Bistumsmitarbeitenden das Pseudonym der als Karin Weißenfels bekannten Missbrauchsbetroffenen aufgelöst – und zwar laut Teilnehmenden des Treffens absichtlich und mit Ansage. Schon im April wurde von verschiedenen Medien berichtet, dass der Bischof eine Unterlassungserklärung unterzeichnet habe. Das Bistum teilte mit, dass Ackermann Weißenfels um Entschuldigung gebeten habe.

Bischof Stephan Ackermann
Stephan Ackermann ist Bischof von Trier. Von 2010 bis Ende September 2022 war er Missbrauchsbeauftragter der Deutschen Bischofskonferenz. (Bildquelle: Pressefoto Bistum Trier)

Durch die Berichterstattung der Süddeutschen Zeitung wurde vor knapp einem Monat bekannt, dass auch die zuständige kirchliche Datenschutzaufsicht mit dem Fall befasst ist. Worum es dabei genau geht, haben Karin Weißenfels und ihr Anwalt Oliver Stegmann auf Anfrage genauer erläutert. Das Bistum Trier wollte sich auf Anfrage nicht zur hier geschilderten Darstellung äußern. Die zuständige Datenschutzaufsicht, das Katholische Datenschutzzentrum Frankfurt am Main, teilte auf Anfrage mit, dass man sich grundsätzlich nicht zu laufenden Verfahren äußere, betonte aber, dass jedes anhängige Verfahren ohne Ansehen der Person nach den rechtlichen Vorgaben bearbeitet werde.

Weiterlesen

Muss die zuständige Aufsicht bei Informationen und Auskünften genannt werden?

Verantwortliche müssen Betroffene über ihr Beschwerderecht bei einer Datenschutzaufsicht hinweisen. Das ist in den Artikeln 12 bis 14 DSGVO für die Informationspflicht wie für die Auskunftspflicht geregelt.

Eine Brille liegt auf einem Vertrag
Bildquelle: Mari Helin on Unsplash

Beim Abfassen von Vorlagen stellen sich damit zwei Fragen: Genügt der allgemeine Hinweis – oder muss die zuständige Aufsicht benannt werden? Und gibt es hier Unterschiede in der Rechtslage zwischen der DSGVO und kirchlichem Recht?

Weiterlesen

IDSG schützt informationelle Selbstbestimmung von Jugendlichen

Kinder und Jugendliche haben Rechte. Das ist leider nicht immer so klar, wie es wünschenswert wäre. Insbesondere haben Kinder auch Rechte gegenüber ihren Eltern, die trotz grundgesetzlich verbürgtem Elternrecht auf Erziehung nicht alles dürfen.

Ein Mädchen zeigt das Victory-Zeichen. Auf ihrem Shirt steht »GRLPWR«.
(Bildquelle: Kiana Bosman on Unsplash)

Das Interdiözesane Datenschutzgericht hatte nun einen Fall zu entscheiden, in dem es genau darum ging: Ein Vater wollte Auskunftsrechte über Daten seiner Tochter geltend machen, und zwar gegen den Willen der 15-jährigen. Das Ergebnis ist rundheraus zu begrüßen: Das Gericht macht die Rechte der Jugendlichen stark. (IDSG 23/2020 vom 25. Februar 2022)

Weiterlesen

Entspannung in Hessen – Wochenrückblick KW 23/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Datenschutzkonferenz hat auf ihrer jüngsten Sitzung laut Protokoll ein Gutachten mit dem Titel »Rechtliche Möglichkeiten zur Stärkung und Institutionalisierung der Kooperation der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK 2.0)« beraten (eine IFG-Anfrage ist bereits gestellt). Besonderes Engagement, die spezifischen – also auch die kirchlichen – Aufsichtsbehörden besser einzubinden, ist nicht zu erwarten. Aber man lässt sich ja gern überraschen.

Der 50. Tätigkeitsbericht der Hessischen Datenschutzaufsicht ist erschienen. Darin wird wie erstmals im vergangenen Jahr auch die Kategorie »Religionsgemeinschaften« in der Eingabenstatistik aufgeführt. Beschwerden (2) und Beratungen (3) gingen im Vergleich zum Vorjahr deutlich von zuvor insgesamt 23 zurück. Im vergangenen Jahr ging es hauptsächlich um die Zeugen Jehovas und Mormonen, insbesondere mit Blick auf Werbung, Briefe und Datenlöschung bei Austritt, wie die Sprecherin damals mitteilte, die aktuelle Anfrage ist noch nicht beantwortet. Dieses Mal gab es außerdem Weisheit aus dem Aufsichtsalltag: »Datenschutzrechtliche Beschwerden entstammen dem prallen Leben und ihre Bearbeitung erfordert neben datenschutzrechtlichem Sachverstand oft auch Humor, Empathie oder auch die Beschäftigung mit Websites, die ansonsten von dienstlichen Rechnern nicht aufgerufen werden sollten.«

Die Normen zur Einsichtnahme in Personalakten zur Missbrauchsaufarbeitung tröpfeln immer noch ein – nun hat das Bistum Passau das Gesetz in Kraft gesetzt, nach meiner Statistik die 16. Diözese.

Weiterlesen

Evangelischer Auskunftsgeiz – Wochenrückblick KW 19/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Per IFG-Antrag konnte ich die Folien zum Vortrag eines Mitarbeiters des Bundsdatenschutzbeauftragten beim Ökumenischen Datenschutztag befreien. Thema des Vortrags war »Das Recht auf Auskunft nach Art. 15 DSGVO«. Die Folien sind nicht übermäßig spektakulär, aber hilfreich, da sie auch die zur DSGVO parallelen Regelungen aus dem KDG und dem DSG-EKD benennen und einordnen. Dabei fällt auf, dass das DSG-EKD einiges eher Verantwortlichen-freundlich regelt: Keine explizite Regelung der Negativ-Auskunft, kein Auskunftsanspruch zu automatisierter Entscheidung und Profiling, kein Recht auf Kopie, eine Verhältnismäßigkeitsprüfung als Grenze des Auskunftsrechts (§ 19 Abs. 4 DSG-EKD), die Ausnahmen in § 19 Abs. 2 und 4 DSG-EKD werden als » (zu?) weitreichende Ausnahmen« bezeichnet.

Der BfD EKD hat einen zweiten Teil seiner Fragenliste zum TTDSG veröffentlicht. Interessant ist darin vor allem die Aussagen zum Verhältnis von TTDSG und DSG-EKD: »Nach der Auffassung des BfD EKD ist das TTDSG das speziellere und strengere Gesetz und geht daher dem DSG-EKD vor. […] Die erste Datenerhebung auf dem Endgerät, z.B. das Auslesen oder Schreiben von Daten, fällt daher in den Anwendungsbereich des TTDSG. Darüber hinausgehende Verarbeitungen von personenbezogenen Daten (z.B. die Bildung von Nutzerprofilen, Einbindung externer Dienste) fallen in den Anwendungsbereich des DSG-EKD(Über den ersten Teil wurde hier auch schon berichtet.)

Das Katholische Büro Berlin hat seine Stellungnahme zum Entwurf der EU-KI-Verordnung veröffentlicht. (Ich hab’s auch bei katholisch.de vermeldet.) Die Einschätzung ist wohlwollend-kritisch: »Dem Gedanken folgend, dass das KI-System im Dienst des Menschen steht, nennt die KOM in der Vorschlagsbegründung als erstes Ziel des KI-VO-E den Schutz des Menschen in Form der Gewährleistung der bestehenden Grundrechte und der Werte der Union. Wir bedauern jedoch, dass dieses Ziel nicht konsequent umgesetzt wurde. Nicht alle KI-Systeme, die in besonders gefährdeten Bereichen, wie etwa demokratischen und rechtsstaatlichen Prozessen, dem Schutz der Umwelt oder der Verhinderung von Diskriminierung Anwendung finden können, werden erfasst.«

Der Europäische Datenschutzausschuss hat seinen Tätigkeitsbericht für 2021 veröffentlicht. Darin wird auch kurz über einen Fall aus Slowenien berichtet, in dem eine betroffene Person vergeblich – auch vor Gericht – versuchte, ihren Eintrag aus dem römisch-katholischen Taufregister zu löschen. In Slowenien wendet die Kirche kein eigenes Datenschutzrecht an; der Fall zeigt also, dass auch unter direkter Anwendung der DSGVO Abwägungen mit dem Recht auf institutionelle Religionsfreiheit getroffen werden können.

Das Interdiözesane Datenschutzgericht hat die Veröffentlichung gleich dreier neuer Entscheidungen angekündigt (IDSG 06/2021 vom 08.03.2021, IDSG 07/2019 vom 21.02.2022, IDSG 06/2019 vom 31.12.2021), im Laufe der Woche wurde IDSG 06/2019 veröffentlicht: ein eher unspektakuläres Verfahren mit Büro-Drama um angeblich unzulässig weitergegebene Bewerbungsunterlagen, für die es aber nur einen vagen und unbelegten Chat-Verlauf als Beweis gibt, so dass die Klage erwartungsgemäß abgewiesen wurde. Bei IDSG 07/2019 soll es um die Frage gehen, ob das Foto eines Autos, auf dem das Kennzeichen nicht erkennbar ist, personenbezogene Daten enthält, und bei der dritten Entscheidung gibt es bis dato nicht einmal einen nichtamtlichen Leitsatz.

Weiterlesen

Kein Brief von Bischof Gebhard – Wochenrückblick KW 7/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Aus der Rubrik »was der Datenschutz alles verhindert« dieses Mal der Rottenburger Bischof Gebhard Fürst im Interview mit der Südwest-Presse: »Wir hatten im Januar erheblich mehr Kirchenaustritte als in den Jahren zuvor. Das ist außerordentlich schmerzlich. In früheren Wellen habe ich mit den Ausgetretenen Kontakt aufgenommen und sie zu Gesprächen eingeladen. Ob ich das noch einmal machen kann, weiß ich nicht. Dem steht heute der Datenschutz entgegen.« Warum ein einmaliges Anschreiben nicht datenschutzrechtlich abzubilden sein soll, wird nicht ausgeführt – selbst wenn man vertritt, dass die Daten gar nicht im Ordinariat landen dürfen, wäre doch zumindest eine Beilage zum Schreiben vom Pfarrer möglich.

Nun hat sich auch die KDSA Nord zu Impf- und Genesenennachweisen geäußert – allerdings nicht so umfassend wie der BfD EKD, sondern nur mit Blick auf die Gesundheits- und Pflegeeinrichtungen, und auch nicht so konkret. Immerhin wird festgehalten, dass aus der Pflicht zur Vorlage der Serostatusdokumentation nicht auch folgt, dass von den vorgelegten Dokumenten Kopien gefertigt werden dürfen. Eine so klare Äußerung wie beim evangelischen Kollegen, dass bei den anzufertigenden Dokumentationen nicht der Serostatus selbst erfasst werden darf, sondern nur die Information darüber, fehlt allerdings.

In den USA haben sich mehrere Dutzend Vertreter*innen verschiedenster Religionen und Konfessionen in einem Offenen Brief an Mark Zuckerberg gewandt und ein endgültiges Aus für die Pläne gefordert, ein Instagram für Kinder zu entwickeln. Für katholisch.de habe ich mit dem Mainzer Medienpädagogen Andreas Büsch und der Frankfurter Religionspädagogin Viera Pirker darüber gesprochen – die finden kleine Kinder auf Social Media zwar auch nicht nur erstrebenswert, legen aber einen deutlich differenzierteren Ansatz als der Offene Brief an den Tag.

Buzzfeed News hat mehrere Gebets-Apps untersucht – und die Ergebnisse sind ernüchternd, aber kaum überraschend: »Nothing Sacred: These Apps Reserve The Right To Sell Your Prayers« Neben den erwartbaren intransparenten Datenweitergaben an Dritte zur Monetarisierung wird auch dieses Detail erwähnt: »At least one government has taken an interest in prayer app data, too — the US military bought extensive location data mined from Muslim prayer apps back in 2020 for use in special forces operations.«

Weiterlesen

Grundrechte für Kirchen, Personalakten für Aufarbeitung – Wochenrückblick KW 2/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

In der aktuellen »Zeitschrift für Arbeitsrecht und Tarifpolitik in kirchlichen Unternehmen« (ZAT 6/2021, S. 198–203) hat Thomas Ritter einen Aufsatz zur Grundrechtsberechtigung der Kirchen und ihrer Einrichtungen im Bereich des Datenschutzes veröffentlicht. Der Aufsatz arbeitet heraus, ob und auf welcher verfassungsrechtlichen Grundlage von Kirchen Grundrechte und insbesondere das Grundrecht auf informationelle Selbstbestimmung geltend gemacht werden können. Das klingt zunächst sehr akademisch, im allerletzten Punkt zeigt sich, warum die theoretischen Überlegungen gerade jetzt mit Blick auf den Streit kleinerer Religionsgemeinschaften mit Datenschutzaufsichten sehr hohe praktische Relevanz haben: »In seiner Ausprägung als Abwehrrecht wirken kann das Grundrecht der Kirchen auf informationelle Selbstbestimmung wegen grundrechtstypischer Gefährdungslage zB im Rahmen des Art. 91 DS-GVO im Falle von Versuchen, das Recht der Kirchen auf Errichtung einer eigenen Datenschutzaufsicht, auf Errichtung einer eigenen Datenschutzgerichtsbarkeit oder des Erlasses eigener Datenschutzgesetze oder -ordnungen wie zB dem KDG, der KDG-DVO oder der KDSGO zu beschneiden«, schließt Ritter.

Bei katholisch.de habe ich mich in dieser Woche noch einmal intensiv mit der Personalaktenordnung befasst. Neben den hier schon angeführten Einschätzungen von Martin Rehak und Rüdiger Althaus liegt ein Schwerpunkt auf der Betroffenenperspektive: Johannes Norpoth aus dem Sprecherteam des DBK-Betroffenenbeirats hat mir einige Einschätzungen gegeben – Norpoth ist selbst als betrieblicher Datenschutzbeauftragter tätig und daher mit der Materie und den Grenzen der Regelungsmöglichkeiten vertraut. Sein Fazit: »Ich hoffe, dass es keine Diskrepanz gibt zwischen dem, was im kirchlichen Amtsblatt steht, und dem, was eine bischöfliche Personalverwaltung tatsächlich macht. Wenn die Personalaktenordnung nicht umgesetzt wird, bringt sie nichts. Es besteht aber die Chance, dass diese Regelung zur Initialzündung für eine professionelle Personalarbeit wird.«

Auf Twitter wurde eine weitere Entscheidung eines staatlichen Gerichts angekündigt, die mit kirchlichem Datenschutz zu tun hat: Im Urteil des AG Pankow vom 10. Januar 2022, Az. 4C27/21, soll es um Auskunftsansprüche gegen kirchliche Träger gehen. Viele Details sind noch nicht bekannt, die Entscheidung ist noch nicht veröffentlicht. Laut den beiden Tweets eines Verfahrensbeteiligten scheint es um die altbekannte Frage danach zu gehen, ob das Datenschutzrecht die Kostenerstattungspflicht für die Abschriften von Patient*innenakten aus § 630g BGB aushebelt.

Weiterlesen