Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Es gibt kein Recht auf Vergessenwerden im Taufregister – jedenfalls nicht zu Lebzeiten. Nach mehreren Jahren hat die irische Datenschutzaufsicht über Beschwerden gegen das Erzbistum Dublin entschieden, mit denen Austrittswillige die Löschung ihrer Daten aus den Kirchenbüchern erstreiten wollten.
Die Entscheidung ist auf den 27. Februar datiert, wurde laut dem Dateinamen aber erst im September auf der Webseite der Datenschutzaufsicht veröffentlicht. Auf 183 Seiten legt die Datenschutzbeauftragte Helen Dixon ihre Entscheidung vor. Auch wenn das Erzbistum in einigen Details keinen Erfolg hatte: Im Großen und Ganzen ist die Praxis der Kirchenbuchführung rechtmäßig.
Im Volltext: Inquiry into processing of Church Records by the Archbishop of Dublin (‚the Archbishop‘), Az. IN-19-7-6
WeiterlesenAm 24. Mai gilt das Datenschutzgesetz der EKD seit fünf Jahren. Was hat sich bewährt? Wo gibt es Reformbedarf? Im Interview berichtet der Beauftragte für den Datenschutz der EKD, Michael Jacob, von seinen Erfahrungen als Leiter der größten evangelischen Datenschutzaufsicht. Datenschutz ist für ihn keine Bremse, sondern ein Qualitätsmerkmal.
Nach fünf Jahren steht die Evaluation des DSG-EKD an. Bei der Aufsichtstätigkeit haben sich einige Punkte ergeben, an denen es zu schrauben gilt – und auch die Entscheidungen von Gerichten sind zu berücksichtigen.
WeiterlesenDie Corona-Fragestellungen sind fast nur noch von historischem Interesse. Mit etwas Glück ist der Tätigkeitsbericht für 2022 des KDSZ Dortmund der letzte, in dem Fragestellungen dazu ausführlicher dargestellt werden müssen. Das nächste große Thema sind Schadsoftware, Ransomware und Cyberangriffe: Die nehmen laut allen aktuellen Tätigkeitsberichten einen großen Raum ein.
In diesem Jahr bringt der Tätigkeitsbericht der NRW-Aufsicht einiges an praxisrelevanten Aussagen zur Anwendung von Rechtsgrundlagen – auch wenn einige schwierige Fragen noch offen sind.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Der Münchner Diözesancaritasverband arbeitet erst einmal analog. Er »verzeichnet seit vergangenem Wochenende eine Großstörung zentraler IT-Systeme und ist nach aktuellem Kenntnisstand Opfer eines weitreichenden Cyberangriffs geworden«, heißt es in der Pressemitteilung. Die eigentliche Arbeit sei aber trotzdem gesichert. Viele Details erfährt man nicht – auch wenn der Caritasdirektor beteuert, der Vorfall sei »trotz umfangreicher technischer und organisatorischer Schutzmaßnahmen« eingetreten. Ein Krisenstab wurde eingerichtet, Anzeige ist erstattet. »Wir befinden uns derzeit noch in der Analysephase. Gleichwohl gibt es konkrete Hinweise darauf, dass es den Cyberkriminellen gelungen ist, trotz aller Schutzvorkehrungen Daten aus unseren Systemen abzugreifen. Um welche Daten es sich handelt, können wir zum jetzigen Stand nicht zweifelsfrei und auch aus ermittlungstaktischen Gründen nicht sagen«, so Diözesancaritasdirektor Hermann Sollfrank weiter. Aus Kreisen des Verbands erfährt man, dass die Behebung des Schadens noch länger, möglicherweise Monate dauern werde, und dass es um Erpressung geht. Normalerweise gilt: Kein Backup, kein Mitleid. Bei der Caritas und dem, was sie für Menschen in Notsituationen leistet, darf man aber trotzdem ein Kerzchen mit einer Bitte um Fürsprache des hl. Josef von Cupertino aufstellen. Der Franziskaner darf dank seiner Gabe der Bilokation auch als Schutzpatron der redundanten Datenhaltung gelten.
»Unterwerfungserklärung« ist wohl der ungeschickteste Begriff, den das kirchliche Datenschutzrecht hervorgebracht hat (oder besser: der sich in seiner Anwendung eingebürgert hat). Das wird deutlich in der Erläuterung bei »Althammer & Kill«, die vor naheliegenden Fehldeutungen warnt: »Auch wenn solch eine „Unterwerfung“ vor allem bei größeren Dienstleistern auf einen abwehrenden Reflex stößt, sollte beachtet werden, dass diese Erklärung nicht dazu dient, sich Gott, der Kirche oder einem bestimmten Glauben zu beugen«, heißt es da. Besser sei die Bezeichnung Anerkennungserklärung oder auch nur Zusatzvereinbarung, wird vorgeschlagen. Die Problematik der Vermittlung beim Abschluss von Auftragsverarbeitungsverträgen hat auch der BfD EKD erkannt und sein Muster vor einiger Zeit um gute Erläuterungen ergänzt, was da eigentlich vor sich geht.
Das IDSG kündigt eine Entscheidung (Beschluss vom 25. Mai 2022 – IDSG 01/2021) zu den Anforderungen an eine konkludente Einwilligung zur Datenverarbeitung bei der Übernahme einer Arztpraxis an. Konkludente Einwilligungen kamen bereits in Entscheidungen des kirchlichen Datenschutzgerichts vor, aber so zentral, wie der Leitsatz verspricht, noch nicht. Insbesondere eine klare Darlegung an die Anforderungen, wie sie in der Ankündigung versprochen wird, dürfte sehr hilfreich sein.
In eigener Sache: Am 21. September um 18 Uhr leite ich bei der Stiftung Datenschutz ein Webinar zu Besonderheiten im Bereich des kirchlichen Engagements – die Teilnahme ist kostenlos.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Der BfD EKD hat FAQs zu Direktwerbung veröffentlicht. Die Fragenliste stellt zwar im wesentlichen auch nur fest, dass gemäß DSG-EKD grundsätzlich auch nichts anderes gilt als gemäß DSGVO. Dennoch dürfte diese Äußerung der Aufsicht für einige Erleichterung sorgen: Das große Problem des evangelischen Datenschutzgesetzes ist das Fehlen der Interessen des Verantwortlichen in der Abwägung des berechtigten Interesses – und damit ist Direktwerbung eigentlich nur über Einwilligung gestaltbar. In der FAQ-Liste greift die Aufsicht jetzt aber eine schon zuvor aus der Arbeitshilfe zu Bildrechten bekannte Konstruktion auf: Ein Nachbau eines DSGVO-äquivalenten berechtigten Interesses aus kirchlichem Interesse und berechtigtem Interesse nach DSG-EKD, also eine faktisch neue Rechtsgrundlage § 6 Nr. 4 iVm Nr. 8 DSG-EKD: »Notwendig ist dann eine Abwägung im konkreten Einzelfall zwischen den Interessen des Verantwortlichen bzw. Dritten und der betroffenen Person. Es kann nicht auf abstrakte Kriterien oder vergleichbare Fälle abgestellt werden«, erläutert der BfD EKD.
Ein weiterer Streit im Kontext des Familienrechts ist Thema der jüngsten Entscheidungsveröffentlichung des IDSG (IDSG 10/2021 vom 25. April 2022). Die meisten Anträge des Vaters sind unzulässig oder unbegründet. Erfolg hatte er damit, dass er eine vorschnelle Löschung einer Beistandsakte gerügt hatte. Löschen ist zwar oft eine gute Idee, aber wer unbegründet löscht, setzt sich neuen Problemen aus. (Die Konsequenzen sind hier wie systembedingt üblich überschaubar: Es wurde lediglich ein Datenschutzverstoß festgestellt. Mehr können die kirchlichen Datenschutzgerichte nicht.) Wieder einmal tritt außerdem die Figur einer konkludenten Einwilligung als Rechtsgrundlage auf (Rn. 58) – nach wie vor eine sehr fragliche Konstruktion. Gegen die Entscheidung wurden Rechtsmittel eingelegt.
Die von der DBK und Adveniat beauftragte Untersuchung der Akten der Auslandspriester-Koordinierungsstelle Fidei Donum wurde am Montag veröffentlicht. Die unabhängige Untersuchung belastet vor allem den langjährigen Adveniat- und Fidei-Donum-Chef Emil Stehle, der Missbrauchstäter deckte und selbst von vielen Betroffenen belastet wird. (Zu den Erkenntnissen in der Sache meine Analyse bei katholisch.de.) Interessant ist der Hinweis, dass als »datenschutzrechtliche Voraussetzung« einer Durchsicht der Akten der Fidei-Donum-Koordinationsstelle in Essen durch eine fachkundige Person die Inkraftsetzung der Personalaktenordnung genannt wird. Das ist insofern bemerkenswert, als dass § 15 PAO lediglich Auskunftsrechte kennt; erst die Norm zur Regelung von Einsichts- und Auskunftsrechten schafft eine allgemeine Rechtsgrundlage für Akteneinsicht durch Aufarbeitungskommissionen. Weder vom Bistum Essen noch vom möglicherweise auch datenschutzrechtlich verantwortlichen VDD sind bislang entsprechende Normen bekannt. Wichtiger als diese Frage – andere Bistümer haben ihre Aufarbeitungsstudien schließlich auch ohne PAO und Nebengesetze aufgegleist – ist aber, was man über scheinbar familiäre Organisationskulturen und mangelnde Struktur als Ermöglichungsbedingungen von Missbrauch erfährt.
Wer hätte gedacht, dass man bei der Diskussion um einen katholischen Arbeitskreis in der Bundes-CDU auch etwas über das Datenschutzmanagement der Partei erfährt? »Ich gehe davon aus, [dass es eine christliche Mehrheit in der CDU gibt,] aber ich weiß es nicht, weil das deutsche Datenschutzrecht eine Hürde aufbaut. Danach darf man nur Daten erheben, die tatsächlich erforderlich sind. Deshalb wird nur abgefragt, ob jemand evangelisch ist, da man ihn dann dem Evangelischen Arbeitskreis zuordnen kann. Da es keinen Katholischen Arbeitskreis gibt, gibt es tatsächlich auch nicht die Abfrage beim Mitgliedschaftsantrag, ob jemand katholisch ist«, berichtet die Vorsitzende des Katholischen Arbeitskreises in Thüringen.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Gleich zwei nützliche Handreichungen hat in dieser Woche die KDSA Ost veröffentlicht: Die »Mustervorlage freiwilliger Corona-Schnelltest« dürfte gerade in einigen Unternehmen benötigt werden. Interessant ist die dort angeführte Rechtsgrundlage: »§ 11 (2) lit. a KDG iVm. § 26 (2) BDSG«, also die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten in Verbindung mit den erhöhten Anforderungen an eine Einwilligung im Beschäftigungsverhältnis. Eine derartige Norm fehlt in § 53 KDG, die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses regelt. Dass man auch im kirchlichen Datenschutzrecht gut daran tut, Einwilligung im Beschäftigungskontext besonders streng zu ziehen, dürfte keine Überraschung sein. Dass dabei aber direkt auf eine BDSG-Norm verwiesen wird, ist neu und wirft die Frage auf, ob nach Ansicht der Aufsicht alle BDSG-Regelungen hilfsweise herangezogen werden können, wenn das KDG nichts regelt.
Mit Blick auf das näher rückende Schuljahresende ist die zweite Handreichung nützlich, bei der es um Leistungsnachweise per Video im Homeschooling geht. In fünf kompakten Punkten gibt es eine gut umsetzbare Hilfestellung – nur bei Punkt 3 ist fraglich, ob sich die Schüler*innen in der Sache wirklich sensibilisieren lassen wollen. Auch hier gibt es eine interessante Formulierung: So sei die Zustimmung von Eltern und Kindern nötig. »Diese Einverständniserklärung kann auch durch das schlüssige Handeln erfolgen, indem das Video aufgenommen und zur Bewertung zur Verfügung gestellt wird« – im folgenden Satz wird auch explizit von »Einwilligung« gesprochen – anscheinend wird hier einer der Fälle angenommen, in denen gemäß § 8 Abs. 2 KDG von der Schriftform aufgrund »besonderer Umstände« abgewichen werden kann. So einen Umgang mit der Einwilligung ist bisher nicht von Aufsichten bekannt – im Zweifelsfall würde man hier wohl lieber doch auf eine schriftliche Einwilligung nach den Regeln der Kunst zurückgreifen, schon weil die Einwilligung sowohl von Eltern wie von Schüler*innen konkludent eher schwer nachzuweisen ist.
Auch die Konferenz der Diözesandatenschutzbeauftragten hat gearbeitet: Für den Einsatz von Windows 10 gibt es technische Handreichungen, wie man das Betriebssystem datensparsam betreiben kann – die Frage, ob Windows 10 überhaupt rechtskonform eingesetzt werden kann, wird bewusst ausgeblendet.
In Altenberg und digital tagt gerade die BDKJ-Hauptversammlung. Im Bericht des Bundesvorstands des Dachverbands der katholischen Jugendverbände wird auch das Engagement für einen handhabbaren Datenschutz angesprochen: »Insbesondere während der Corona-Pandemie sind die benötigten digitalen Räume nicht ohne bewusste Verstöße gegen die geltenden Bestimmungen nutzbar. Auch die Erreichbarkeit der Zielgruppe ist über KDG-konforme Medien kaum gegeben. Der Bundesvorstand ist bemüht, die konkreten Veränderungsbedarfe zu sammeln und in eine Novellierung der Gesetze einzubringen.« Über aktuelle Entwicklungen bei der KDG-Evaluierung haben diese Woche auch die Datenschutz-Notizen berichtet.
Bei Feinschwarz plädiert die Kirchenrechtlerin Jessica Scheiper für mehr Transparenz im kirchlichen Archivwesen – leider sieht das Kirchenrecht nämlich vor, dass Bischöfe Geheimarchive unterhalten. Zu viel Schutz von Daten (vor allem wenn er nicht dem Grundrechtsschutz, sondern dem Institutionenschutz dient), schadet: »Ein wichtiger Schritt in die richtige Richtung könnte daher sein, wenn die für die Geheimarchive zuständigen Diözesanbischöfe oder auch ganze Bischofskonferenzen um die päpstliche Dispens von der Pflicht zur Geheimarchivierung bitten würden.«
Im Datenschutzrecht gilt das Prinzip des Verbots mit Erlaubnisvorbehalt – jede Verarbeitung braucht eine Rechtsgrundlage. Im kirchlichen Datenschutzrecht entsprechen diese Rechtsgrundlagen weitgehend denen der Datenschutzgrundverordnung. Aber eben nur weitgehend: Eine Abweichung ist die Rechtsgrundlage des »kirchlichen Interesses«. Das ist zwar dem aus der DSGVO bekannten »öffentlichen Interesse« nachgebildet – aber es gibt doch einige Unterschiede und viele Unklarheiten, weil weder im Gesetz noch durch Äußerungen der Gesetzgeber präzisiert wird, wer sich wann wie darauf berufen kann.
Bisher läuft der Prozess der Evaluierung des Gesetzes über den kirchlichen Datenschutzes (KDG) noch sehr im Verborgenen ab. Hätte nicht der bayerische Diözesandatenschutzbeauftragte schon einiges ausgeplaudert, wüsste man bis heute nichts, ein Vierteljahr vor der im Gesetz festgelegten Frist von drei Jahren ab Inkrafttreten.
Nun hat die Gesellschaft Katholischer Publizisten Deutschlands (GKP) einen eigenen Beitrag zur Evaluierung vorgelegt. (Ich bin Mitglied des Vorstands und im Vorstand für die Stellungnahme verantwortlich.) Während die bisher bekannten schon in der Evaluierung befindlichen Punkte vor allem Details und Verfahrensregelungen betreffen, widmet sich die GKP vor allem Themen, die für Medien und Öffentlichkeitsarbeit wichtig sind: Insbesondere das sehr kompakte Medienprivileg soll deutlich verändert werden. Dazu kommen noch einige Kleinigkeiten, die eine Handhabung in kleinen, ehrenamtlich getragenen Vereinen handhabbarer machen.
Die gesamte Stellungnahme ist online verfügbar.
WeiterlesenDer Datenschutzbeauftragte der EKD hat am Mittwoch eine neue Handreichung zu »Datenschutz bei der Anfertigung und Veröffentlichung von Fotos« veröffentlicht. Angesichts seiner letzten Veröffentlichungen könnte man mit einer besonders strengen Auslegung rechnen – tatsächlich bewegt er sich dieses Mal im eher gemäßigten Bereich der Auslegung ohne große Überraschungen.
.jpg){kind=link}