Schlagwort-Archive: Beauftragter für den Datenschutz der EKD

Berechtigtes Interesse auf Evangelisch – Wochenrückblick KW 32/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der BfD EKD hat FAQs zu Direktwerbung veröffentlicht. Die Fragenliste stellt zwar im wesentlichen auch nur fest, dass gemäß DSG-EKD grundsätzlich auch nichts anderes gilt als gemäß DSGVO. Dennoch dürfte diese Äußerung der Aufsicht für einige Erleichterung sorgen: Das große Problem des evangelischen Datenschutzgesetzes ist das Fehlen der Interessen des Verantwortlichen in der Abwägung des berechtigten Interesses – und damit ist Direktwerbung eigentlich nur über Einwilligung gestaltbar. In der FAQ-Liste greift die Aufsicht jetzt aber eine schon zuvor aus der Arbeitshilfe zu Bildrechten bekannte Konstruktion auf: Ein Nachbau eines DSGVO-äquivalenten berechtigten Interesses aus kirchlichem Interesse und berechtigtem Interesse nach DSG-EKD, also eine faktisch neue Rechtsgrundlage § 6 Nr. 4 iVm Nr. 8 DSG-EKD: »Notwendig ist dann eine Abwägung im konkreten Einzelfall zwischen den Interessen des Verantwortlichen bzw. Dritten und der betroffenen Person. Es kann nicht auf abstrakte Kriterien oder vergleichbare Fälle abgestellt werden«, erläutert der BfD EKD.

Ein weiterer Streit im Kontext des Familienrechts ist Thema der jüngsten Entscheidungsveröffentlichung des IDSG (IDSG 10/2021 vom 25. April 2022). Die meisten Anträge des Vaters sind unzulässig oder unbegründet. Erfolg hatte er damit, dass er eine vorschnelle Löschung einer Beistandsakte gerügt hatte. Löschen ist zwar oft eine gute Idee, aber wer unbegründet löscht, setzt sich neuen Problemen aus. (Die Konsequenzen sind hier wie systembedingt üblich überschaubar: Es wurde lediglich ein Datenschutzverstoß festgestellt. Mehr können die kirchlichen Datenschutzgerichte nicht.) Wieder einmal tritt außerdem die Figur einer konkludenten Einwilligung als Rechtsgrundlage auf (Rn. 58) – nach wie vor eine sehr fragliche Konstruktion. Gegen die Entscheidung wurden Rechtsmittel eingelegt.

Die von der DBK und Adveniat beauftragte Untersuchung der Akten der Auslandspriester-Koordinierungsstelle Fidei Donum wurde am Montag veröffentlicht. Die unabhängige Untersuchung belastet vor allem den langjährigen Adveniat- und Fidei-Donum-Chef Emil Stehle, der Missbrauchstäter deckte und selbst von vielen Betroffenen belastet wird. (Zu den Erkenntnissen in der Sache meine Analyse bei katholisch.de.) Interessant ist der Hinweis, dass als »datenschutzrechtliche Voraussetzung« einer Durchsicht der Akten der Fidei-Donum-Koordinationsstelle in Essen durch eine fachkundige Person die Inkraftsetzung der Personalaktenordnung genannt wird. Das ist insofern bemerkenswert, als dass § 15 PAO lediglich Auskunftsrechte kennt; erst die Norm zur Regelung von Einsichts- und Auskunftsrechten schafft eine allgemeine Rechtsgrundlage für Akteneinsicht durch Aufarbeitungskommissionen. Weder vom Bistum Essen noch vom möglicherweise auch datenschutzrechtlich verantwortlichen VDD sind bislang entsprechende Normen bekannt. Wichtiger als diese Frage – andere Bistümer haben ihre Aufarbeitungsstudien schließlich auch ohne PAO und Nebengesetze aufgegleist – ist aber, was man über scheinbar familiäre Organisationskulturen und mangelnde Struktur als Ermöglichungsbedingungen von Missbrauch erfährt.

Wer hätte gedacht, dass man bei der Diskussion um einen katholischen Arbeitskreis in der Bundes-CDU auch etwas über das Datenschutzmanagement der Partei erfährt? »Ich gehe davon aus, [dass es eine christliche Mehrheit in der CDU gibt,] aber ich weiß es nicht, weil das deutsche Datenschutzrecht eine Hürde aufbaut. Danach darf man nur Daten erheben, die tatsächlich erforderlich sind. Deshalb wird nur abgefragt, ob jemand evangelisch ist, da man ihn dann dem Evangelischen Arbeitskreis zuordnen kann. Da es keinen Katholischen Arbeitskreis gibt, gibt es tatsächlich auch nicht die Abfrage beim Mitgliedschaftsantrag, ob jemand katholisch ist«, berichtet die Vorsitzende des Katholischen Arbeitskreises in Thüringen.

Weiterlesen

3G, Faxe und päpstliches Geheimnis – Wochenrückblick KW 6/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der BfD EKD hat seine Stellungnahme zum 3G-Nachweis am Arbeitsplatz und zum einrichtungsbezogenen Immunitätsnachweis aktualisiert und erweitert. Die (nicht nur für Anwender*innen des DSG-EKD) hilfreiche kompakte Zusammenstellung fasst im wesentlichen vieles zusammen, was schon anderswo zu lesen war. In Nebenbemerkungen erfährt man aber auch wieder interessante Rechtsauffassungen. Eine davon ist eine sehr datensparsame Auslegung von § 28a Abs. 3 IfSG: »Mit der Formulierung „Daten zum Impf-, Sero- und Teststatus“ macht der Gesetzgeber deutlich, dass lediglich diejenigen Daten gemeint sind, die im Rahmen des 3G-Nachweises erfasst werden (Vorlage eines 3G-Nachweises, 3G-Voraussetzung erfüllt etc.)« – nicht gemeint sei der Impf- oder Sero-Status selbst. Das ist eine deutlich restriktivere Auslegung, als sie etwa im Erzbistum Freiburg (hier schon kritisch berichtet) angewandt wird. Von Interesse über den Spezialfall 3G-Dokumentation hinaus ist eine Position zum Nebeneinander von Rechtsgrundlagen: »Eine dennoch erteilte Einwilligung wäre aufgrund des Vorrangs der spezielleren Rechtsgrundlagen unwirksam«, vertritt der BfD EKD – auch das eine vermutlich nicht unumstrittene, aber elegante Auslegung: Die Frage, wie beim Vorliegen von Einwilligung und weiteren Rechtsgrundlage ein Widerruf zu behandeln sei, wird für solche Fälle damit einfach umschifft.

»Manche Kinder wissen gar nicht mehr, wie ein Faxgerät aussieht«, schreibt der Diözesandatenschutzbeauftragte für die Ost-Diözesen – das gilt wohl auch für besonders große Werte von Kinder. Aus Anlass einer weiteren Aufsichtsstellungnahme zur Zulässigkeit von Faxen weist er noch einmal auf seine Äußerungen zum Thema hin. Ob das Fazit »Das Faxen ist mithin nicht per se unzulässig« nun eine gute oder eine schlechte Nachricht ist, korreliert sicher auch mit dem Alter der Antwortenden. (Auch hier war das Faxen schon mehr und weniger ausführlich Thema.)

Die Ernennung von Shelton Fabre zum Erzbischof von Louisville wurde von »The Pillar« schon deutlich vor der offiziellen Bekanntgabe durch den Vatikan vermeldet – dabei stehen solche Informationen unter »päpstlichem Geheimnis«. Die Redaktion hat nun einen Kommentar nachgeschoben und grundsätzliche Anfragen an dieses kirchenrechtliche Instrument gestellt, bei dem es neben einer Erläuterung, was das päpstliche Geheimnis eigentlich ist, vor allem um die Wechselwirkungen von ignorierter Geheimhaltungspflicht und Rechtskultur geht: »The theatrical expectation of secrecy – much vaunted but hardly honored – creates a culture of gossip — exactly the kind of thing which the pope has warned against.« Der Status quo führe zu den schlechtesten Regeln, »the unenforced and disrespected rules, which can engender disrespect for the entire rule-making apparatus«.

Weiterlesen

Stimmen aus Theologie und Kirche zum Datenschutztag

Zum Europäischen Datenschutztag am Freitag blieb es einigermaßen still mit Blick auf den kirchlichen Datenschutz – nur eine spezifische Aufsicht hat sich geäußert. Ein paar Wortmeldungen gab es dann aber doch – von kirchenrechtlich-nüchtern bis gewerkschaftlich-kampfeslustig.

Eine europäische Flagge vor dem Gebäude des Europarats in Straßburg.
(Bildquelle: Ellen Wuibaux/Council of Europe)
Weiterlesen

Alles neu macht der Januar – Wochenrückblick KW 1/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Übertragung der Datenschutzaufsicht der Nordkirche an die EKD nimmt Gestalt an: Zum 1. Januar ist der BfD EKD Michael Jacob bereits zum stellvertretenden Beauftragten für die Nordkirche benannt worden; damit vertreten sich die beiden Beauftragten nun wechselweise. Ebenfalls zum 1. Januar übernahm der BfD EKD die Zuständigkeit für die diakonischen Einrichtungen der Nordkirche, der Rest folgt am 1. Oktober 2023.

Ebenfalls zum 1. Januar ist die Personalaktenordnung der Deutschen Bischofskonferenz in Kraft getreten. Der Würzburger Kirchenrechtler Martin Rehak hat das zum Anlass genommen, die Ordnung in seiner Kolumne »Kanon des Monats« zu besprechen. Dabei weist er auf die auch hier schon angesprochen Spannungen zur universalkirchenrechtlichen Geheimarchivierungspflicht hin und sieht Handlungsbedarf: »Vom kanonistischen Standpunkt besehen wäre es an dieser Stelle wünschenswert, wenn die Deutsche Bischofskonferenz nicht nur Normsetzungen veranlasst, die zu höherrangigem Recht augenscheinlich in Spannung stehen, sondern der deutsche Episkopat selbst an höherer Stelle eine klärende Debatte über das rechtspolitische Für und Wider der bischöflichen Geheimarchive als solcher anstieße.«

Die Konferenz der Diözesandatenschutzbeauftragten hat den Leiter des Katholischen Datenschutzzentrums Dortmund Steffen Pau für 2022 zu ihrem Sprecher gewählt. Das war er zuletzt 2019 – es geht also nicht reihum. Turnusgemäß wäre eigentlich der bayerische DDSB Jupp Joachimski an der Reihe gewesen, der zuletzt 2017 Sprecher war. Aber anscheinend hat man zumindest in der katholischen Datenschutzkonferenz die Hoffnung, dass er dieses Jahr in den Ruhestand darf. Würde das Amt systematisch rotieren, wäre der Nord-Beauftragte Mündelein Sprecher geworden (zuletzt 2018) – dessen wohl letzte Amtszeit endet 2024, er könnte also durchaus noch einmal zum Zuge kommen.

Die Sisters of St. Joseph of Peace haben sich Microsoft vorgenommen. Auf der Hauptversammlung brachte Schwester Susan Francois zwei Anträge ein, mit denen der Lobbyismus des Unternehmens mit Blick auf Menschenrechte, antirassistische Werte und Datenschutz kontrolliert und der Verkauf von Gesichtserkennungstechnologie an Behörden verhindert werden sollte. „Als Aktionäre, als Beschäftigte in der Technologiebranche und als Kämpfer für Gerechtigkeit können und müssen wir diese Unternehmen zur Verantwortung ziehen“, erläuterte die Schwester in einem Kampagnenvideo: „Neue Innovationen sollten die Menschenwürde und eine faire und gerechte Gesellschaft unterstützen und nicht die Spaltung und Diskriminierung verstärken.“ Beide Anträge scheiterten.

Weiterlesen

BfD EKD Michael Jacob für weitere acht Jahre berufen

Kontinuität beim Beauftragten für den Datenschutz der EKD: Der Rat der EKD hat Michael Jacob für eine zweite Amtszeit von acht Jahren bestätigt, wie der BfD EKD am späten Dienstagabend selbst mitteilte.

Porträtfoto von Michael Jacob
(Bildquelle: BfD EKD/Michael Jacob; bearbeitet)

Jacob war seit Einrichtung seiner Behörde 2014 mit dieser Aufgabe betraut und tritt seine zweite Amtszeit zum 1. Januar 2022 an. Der westfälische Jurist hat in seiner ersten Amtszeit den Übergang vom alten aufs neue, an die DSGVO angelehnte Datenschutzgesetz der EKD begleitet – gerade in der Umbruchszeit 2018 nicht die dankbarste Aufgabe.

Weiterlesen

Nordkirche stimmt für Übertragung der Datenschutzaufsicht an die EKD

Die EKD-Datenschutzaufsicht konsolidiert sich weiter: Die 12. Tagung der Landessynode der Nordkirche hat am Donnerstag in erster Lesung einstimmig ein »Kirchengesetz zur Übertragung der Datenschutzaufsicht« an den BfD EKD beschlossen; die endgültige Verabschiedung bei der zweiten Lesung am Samstag dürfte damit nur noch eine Formalität sein. Die Argumente waren für die Synodalen schlagend: eine schlankere und günstigere Verwaltung, dazu Synergieeffekte, die eine angemessene Beaufsichtigung vor allem der diakonischen Einrichtungen ermöglicht. Redebedarf in der Aussprache gab es nicht.

Blick ins Plenum der Landessynode der Nordkirche, September 2020
Die Landessynode der Nordkirche – hier ein Bild aus dem vergangenen Jahr; dieses Mal musste die Synode wieder in den digitalen Raum weichen. (Bildquelle: Susanne Hübner/Nordkirche)

Dass es solche Bestrebungen gibt, war bekannt – im jüngsten Tätigkeitsbericht des BfD EKD hieß es, dass »weitere Gliedkirchen und diakonische Landesverbände« Interesse haben, die Datenschutzaufsicht »in absehbarer Zeit« auf die EKD zu übertragen. Bisher war das lediglich von der Landeskirche der Pfalz bekannt, wo es ebenfalls im Tätigkeitsbericht angekündigt wurde. Noch im Juni hatte die Pressestelle der Nordkirche auf Anfrage mitgeteilt, es gebe »aktuell […] in der Nordkirche keine konkreten Pläne, die Datenschutzaufsicht auf die EKD zu übertragen« – was nicht der Wahrheit entsprach, wie aus dem Synodenantrag nun hervorging.

Weiterlesen

EKD-Datenschutzbeauftragter veröffentlicht FAQ zu gemeinsamer Verantwortlichkeit

Erstmals äußert sich eine kirchliche Aufsicht ausführlicher zur gemeinsamen Verantwortlichkeit. Der Beauftragte für den Datenschutz der EKD hat am Donnerstag eine FAQ-Liste zu gemeinsam verantwortlichen Stellen veröffentlicht. Die Liste erläutert allgemein, wie gemeinsame Verantwortlichkeit umgesetzt wird. Die eigentlich spannende und bisher ungeklärte Frage, die nach der Zusammenarbeit von Stellen, die unterschiedlichen Datenschutzgesetzen unterliegen, wird immerhin angesprochen.

Neonröhren in Form von sich schüttelnden Händen
(Photo by Charles Deluvio on Unsplash)

Im Blick sind dabei Konstellationen, in denen kirchliche und nichtkirchliche Stellen gemeinsam verantwortlich sind – gemeint sind damit der Diktion des DSG-EKD folgend »kirchliche Stellen« als »dem DSG-EKD unterfallende«, also auch Kooperationen zwischen Stellen, die unterschiedlichen Kirchenrechtsregimen unterliegen. Einige Fragen bleiben trotzdem offen.

Weiterlesen

Kirchliche Datenschutzaufsicht: Ausstattung gut bis ungenügend

Das schönste Gesetz nutzt nichts, wenn es nicht auch umgesetzt wird. Beim Datenschutzrecht ist ein Faktor dabei die Leistungsfähigkeit der Aufsicht. Der Europäische Datenschutzausschuss EDPB hat daher die Aufsichtsbehörden der Staaten, in denen die DSGVO gilt, unter die Lupe genommen und ihre Ressourcenausstattung verglichen: »Overview on resources made available by Member States to the Data Protection Authorities and on enforcement actions by the Data Protection Authorities«. Aufgrund des Prinzips der federführenden Behörde (»one stop shop«) hat eine schlecht ausgestattete Aufsicht Auswirkungen auf alle – »a lack of resources in a supervisory authority competent to handle cross-border cases, can after all have tangible consequences for citizens across the EU«.

Fünf unterschiedlich hohe Stapel mit Eurocent-Münzen
So transparent lässt sich das Budget nicht bei allen kirchlichen Aufsichten ermitteln. (Symbolbild: Photo by Ibrahim Rifath on Unsplash)

Nicht betrachtet wurde die Ausstattung der kirchlichen Aufsichtsbehörden, die (mindestens in Deutschland und Polen) einen beachtlichen Teil von Stellen beaufsichtigen, die oft mit besonders sensiblen Daten hantieren. Der von den Kirchen geforderte Einklang mit dem DSGVO-Datenschutzniveau steht und fällt dort, wo eigene Aufsichten eingerichtet werden, mit deren Ausstattung. Ein Blick in Tätigkeitsberichte und Kirchenhaushalte kann zumindest ein wenig Licht ins Dunkel bringen.

Weiterlesen

Einige Eigenheiten – Tätigkeitsbericht des BfD EKD 2019/2020

Der Beauftragte für den Datenschutz der EKD hat seinen Bericht für 2019 und 2020 vorgelegt – der erste, der komplett in den Geltungsbereich des neuen Datenschutzrechts fällt. Mit 64 Seiten ist er für zwei Jahre und eine Zuständigkeit für fast die komplette EKD doch recht kompakt. Dennoch gibt es darin einiges Interessantes über den Datenschutz in der evangelischen Kirche zu erfahren – und viel über die Eigenheiten des von der DSGVO besonders stark abweichenden DSG-EKD.

Die stellvertretende Vorsitzende des Rates der EKD Dr. h.c. Annette Kurschus (links) und der Beauftragte für den Datenschutz der EKD Michael Jacob (rechts) bei der Übergabe des Berichts. (Bildquelle: BfD EKD)
Die stellvertretende Vorsitzende des Rates der EKD Dr. h.c. Annette Kurschus (links) und der Beauftragte für den Datenschutz der EKD Michael Jacob (rechts) bei der Übergabe des Berichts. (Bildquelle: BfD EKD)

Natürlich kommt auch der BfD EKD nicht ohne eine Betonung der Relevanz seines Feldes aus – Bonuspunkte sammelt er dadurch, dass er nicht das abgelutschte Bonmot vom Schutz der Menschen, nicht der Daten verwendet. Bei ihm ist es so formuliert: »Auch in Zeiten der Corona-Pandemie brauchen wir in Staat und Kirche einen grundrechtebasierten Datenschutz! Das ›Datenschutzgrundrecht‹ hat sich stets als ein verlässlicher Partner an der Seite der Menschen erwiesen.«

Weiterlesen

Staatstrojaner in der Kita – Wochenrückblick KW 23/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Beauftragte für den Datenschutz der EKD kündigte am Dienstag eine eigene Prüfoffensive an: 100 zufällig ausgewählte evangelische Kindertageseinrichtungen werden in den nächsten Monaten geprüft. Der BfD EKD hat dazu Online-Fragebögen verschickt, der neben allgemeinen Fragen zum rechtlichen und organisatorischen Umfeld auch Fragen zum technischen Umfeld enthalten soll. Ein Fokus soll dabei »Sicherheit von mobilen Endgeräten« sein – das überrascht auf den ersten Blick: Gibt’s davon so viele in Kitas? Auf Nachfrage erläuterte eine Sprecherin des BfD, dass es dabei insbesondere um den Einsatz dienstlicher Endgeräte und Speichermedien sowie im speziellen um Fragen bezüglich der Verwendung privater Endgeräte und Speichermedien zu dienstlichen Zwecken und deren Sicherheit gehen werde. Der Fragebogen des BfD EKD wird auch auf Nachfrage vorerst nicht veröffentlicht, es soll aber ein öffentliches Resümee gezogen werden, eine Veröffentlichung dann wird geprüft.

Ein weiteres Mal zeigt sich, dass Kitas als besonders kritisch erkannt wurden und daher im Fokus der Aufsicht sind. Nach Angaben der Sprecherin wurde dieser Prüfschwerpunkt aufgrund der »besonderen Schutzwürdigkeit von Kindern und der Erkenntnis aus den gemeldeten Datenpannen, dass es einen signifikant hohen Anteil verlorener oder gestohlener mobiler Endgeräte im Bereich von Kindertageseinrichtungen gibt«, gewählt. Dazu hatte sich der BfD EKD schon im vergangenen Jahr geäußert. Im Kirchlichen Datenschutzmodell soll das Beispiel einer Kita als erstes veröffentlicht werden, und auch in den verschiedenen Tätigkeitsberichten tauchen sie regelmäßig auf, meist aufgrund von Datenpannen durch Einbrüche, und sie sind auch bei der KDSA Nord und dem Datenschutzzentrum Dortmund Ziel einer Schwerpunktprüfung.

Die KDSA Ost weist derweil auf den offenen Brief verschiedener Unternehmen und Organisationen der Zivilgesellschaft, darunter der CCC, Google und Facebook, zur Überwachungsoffensive der Großen Koalition zum Ende der Sitzungsperiode hin. Leider ist die KDSA Ost wieder einmal die einzige kirchliche Stimme auf weiter Flur, die ein Sensorium für die Gemeinwohlrelevanz von staatlichen Überwachungsphantasien hat.

Weiterlesen