Schlagwort-Archive: Berechtigtes Interesse

Fünf Jahre DSG-EKD – Interview mit BfD EKD Michael Jacob

Am 24. Mai gilt das Datenschutzgesetz der EKD seit fünf Jahren. Was hat sich bewährt? Wo gibt es Reformbedarf? Im Interview berichtet der Beauftragte für den Datenschutz der EKD, Michael Jacob, von seinen Erfahrungen als Leiter der größten evangelischen Datenschutzaufsicht. Datenschutz ist für ihn keine Bremse, sondern ein Qualitätsmerkmal.

Porträtfoto Michael Jacob
Michael Jacob ist seit 2014 BfD EKD, 2022 trat er seine zweite achtjährige Amtszeit an. Der westfälische Jurist hat in seiner ersten Amtszeit den Übergang vom alten aufs neue, an die DSGVO angelehnte Datenschutzgesetz der EKD begleitet. Bildquelle: BfD EKD/Michael Jacob

Nach fünf Jahren steht die Evaluation des DSG-EKD an. Bei der Aufsichtstätigkeit haben sich einige Punkte ergeben, an denen es zu schrauben gilt – und auch die Entscheidungen von Gerichten sind zu berücksichtigen.

Weiterlesen

Rechtsgrundlagenarbeit – Tätigkeitsbericht des KDSZ Dortmund 2022

Die Corona-Fragestellungen sind fast nur noch von historischem Interesse. Mit etwas Glück ist der Tätigkeitsbericht für 2022 des KDSZ Dortmund der letzte, in dem Fragestellungen dazu ausführlicher dargestellt werden müssen. Das nächste große Thema sind Schadsoftware, Ransomware und Cyberangriffe: Die nehmen laut allen aktuellen Tätigkeitsberichten einen großen Raum ein.

Titelseite des Tätigkeitsbericht des KDSZ Dortmund für 2022
Titelseite des Tätigkeitsbericht des KDSZ Dortmund für 2022

In diesem Jahr bringt der Tätigkeitsbericht der NRW-Aufsicht einiges an praxisrelevanten Aussagen zur Anwendung von Rechtsgrundlagen – auch wenn einige schwierige Fragen noch offen sind.

Weiterlesen

Hl. Josef von Cupertino, bitte für die Caritas München – Wochenrückblick KW 37/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Münchner Diözesancaritasverband arbeitet erst einmal analog. Er »verzeichnet seit vergangenem Wochenende eine Großstörung zentraler IT-Systeme und ist nach aktuellem Kenntnisstand Opfer eines weitreichenden Cyberangriffs geworden«, heißt es in der Pressemitteilung. Die eigentliche Arbeit sei aber trotzdem gesichert. Viele Details erfährt man nicht – auch wenn der Caritasdirektor beteuert, der Vorfall sei »trotz umfangreicher technischer und organisatorischer Schutzmaßnahmen« eingetreten. Ein Krisenstab wurde eingerichtet, Anzeige ist erstattet. »Wir befinden uns derzeit noch in der Analysephase. Gleichwohl gibt es konkrete Hinweise darauf, dass es den Cyberkriminellen gelungen ist, trotz aller Schutzvorkehrungen Daten aus unseren Systemen abzugreifen. Um welche Daten es sich handelt, können wir zum jetzigen Stand nicht zweifelsfrei und auch aus ermittlungstaktischen Gründen nicht sagen«, so Diözesancaritasdirektor Hermann Sollfrank weiter. Aus Kreisen des Verbands erfährt man, dass die Behebung des Schadens noch länger, möglicherweise Monate dauern werde, und dass es um Erpressung geht. Normalerweise gilt: Kein Backup, kein Mitleid. Bei der Caritas und dem, was sie für Menschen in Notsituationen leistet, darf man aber trotzdem ein Kerzchen mit einer Bitte um Fürsprache des hl. Josef von Cupertino aufstellen. Der Franziskaner darf dank seiner Gabe der Bilokation auch als Schutzpatron der redundanten Datenhaltung gelten.

»Unterwerfungserklärung« ist wohl der ungeschickteste Begriff, den das kirchliche Datenschutzrecht hervorgebracht hat (oder besser: der sich in seiner Anwendung eingebürgert hat). Das wird deutlich in der Erläuterung bei »Althammer & Kill«, die vor naheliegenden Fehldeutungen warnt: »Auch wenn solch eine „Unterwerfung“ vor allem bei größeren Dienstleistern auf einen abwehrenden Reflex stößt, sollte beachtet werden, dass diese Erklärung nicht dazu dient, sich Gott, der Kirche oder einem bestimmten Glauben zu beugen«, heißt es da. Besser sei die Bezeichnung Anerkennungserklärung oder auch nur Zusatzvereinbarung, wird vorgeschlagen. Die Problematik der Vermittlung beim Abschluss von Auftragsverarbeitungsverträgen hat auch der BfD EKD erkannt und sein Muster vor einiger Zeit um gute Erläuterungen ergänzt, was da eigentlich vor sich geht.

Das IDSG kündigt eine Entscheidung (Beschluss vom 25. Mai 2022 – IDSG 01/2021) zu den Anforderungen an eine konkludente Einwilligung zur Datenverarbeitung bei der Übernahme einer Arztpraxis an. Konkludente Einwilligungen kamen bereits in Entscheidungen des kirchlichen Datenschutzgerichts vor, aber so zentral, wie der Leitsatz verspricht, noch nicht. Insbesondere eine klare Darlegung an die Anforderungen, wie sie in der Ankündigung versprochen wird, dürfte sehr hilfreich sein.

In eigener Sache: Am 21. September um 18 Uhr leite ich bei der Stiftung Datenschutz ein Webinar zu Besonderheiten im Bereich des kirchlichen Engagements – die Teilnahme ist kostenlos.

Weiterlesen

Berechtigtes Interesse auf Evangelisch – Wochenrückblick KW 32/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der BfD EKD hat FAQs zu Direktwerbung veröffentlicht. Die Fragenliste stellt zwar im wesentlichen auch nur fest, dass gemäß DSG-EKD grundsätzlich auch nichts anderes gilt als gemäß DSGVO. Dennoch dürfte diese Äußerung der Aufsicht für einige Erleichterung sorgen: Das große Problem des evangelischen Datenschutzgesetzes ist das Fehlen der Interessen des Verantwortlichen in der Abwägung des berechtigten Interesses – und damit ist Direktwerbung eigentlich nur über Einwilligung gestaltbar. In der FAQ-Liste greift die Aufsicht jetzt aber eine schon zuvor aus der Arbeitshilfe zu Bildrechten bekannte Konstruktion auf: Ein Nachbau eines DSGVO-äquivalenten berechtigten Interesses aus kirchlichem Interesse und berechtigtem Interesse nach DSG-EKD, also eine faktisch neue Rechtsgrundlage § 6 Nr. 4 iVm Nr. 8 DSG-EKD: »Notwendig ist dann eine Abwägung im konkreten Einzelfall zwischen den Interessen des Verantwortlichen bzw. Dritten und der betroffenen Person. Es kann nicht auf abstrakte Kriterien oder vergleichbare Fälle abgestellt werden«, erläutert der BfD EKD.

Ein weiterer Streit im Kontext des Familienrechts ist Thema der jüngsten Entscheidungsveröffentlichung des IDSG (IDSG 10/2021 vom 25. April 2022). Die meisten Anträge des Vaters sind unzulässig oder unbegründet. Erfolg hatte er damit, dass er eine vorschnelle Löschung einer Beistandsakte gerügt hatte. Löschen ist zwar oft eine gute Idee, aber wer unbegründet löscht, setzt sich neuen Problemen aus. (Die Konsequenzen sind hier wie systembedingt üblich überschaubar: Es wurde lediglich ein Datenschutzverstoß festgestellt. Mehr können die kirchlichen Datenschutzgerichte nicht.) Wieder einmal tritt außerdem die Figur einer konkludenten Einwilligung als Rechtsgrundlage auf (Rn. 58) – nach wie vor eine sehr fragliche Konstruktion. Gegen die Entscheidung wurden Rechtsmittel eingelegt.

Die von der DBK und Adveniat beauftragte Untersuchung der Akten der Auslandspriester-Koordinierungsstelle Fidei Donum wurde am Montag veröffentlicht. Die unabhängige Untersuchung belastet vor allem den langjährigen Adveniat- und Fidei-Donum-Chef Emil Stehle, der Missbrauchstäter deckte und selbst von vielen Betroffenen belastet wird. (Zu den Erkenntnissen in der Sache meine Analyse bei katholisch.de.) Interessant ist der Hinweis, dass als »datenschutzrechtliche Voraussetzung« einer Durchsicht der Akten der Fidei-Donum-Koordinationsstelle in Essen durch eine fachkundige Person die Inkraftsetzung der Personalaktenordnung genannt wird. Das ist insofern bemerkenswert, als dass § 15 PAO lediglich Auskunftsrechte kennt; erst die Norm zur Regelung von Einsichts- und Auskunftsrechten schafft eine allgemeine Rechtsgrundlage für Akteneinsicht durch Aufarbeitungskommissionen. Weder vom Bistum Essen noch vom möglicherweise auch datenschutzrechtlich verantwortlichen VDD sind bislang entsprechende Normen bekannt. Wichtiger als diese Frage – andere Bistümer haben ihre Aufarbeitungsstudien schließlich auch ohne PAO und Nebengesetze aufgegleist – ist aber, was man über scheinbar familiäre Organisationskulturen und mangelnde Struktur als Ermöglichungsbedingungen von Missbrauch erfährt.

Wer hätte gedacht, dass man bei der Diskussion um einen katholischen Arbeitskreis in der Bundes-CDU auch etwas über das Datenschutzmanagement der Partei erfährt? »Ich gehe davon aus, [dass es eine christliche Mehrheit in der CDU gibt,] aber ich weiß es nicht, weil das deutsche Datenschutzrecht eine Hürde aufbaut. Danach darf man nur Daten erheben, die tatsächlich erforderlich sind. Deshalb wird nur abgefragt, ob jemand evangelisch ist, da man ihn dann dem Evangelischen Arbeitskreis zuordnen kann. Da es keinen Katholischen Arbeitskreis gibt, gibt es tatsächlich auch nicht die Abfrage beim Mitgliedschaftsantrag, ob jemand katholisch ist«, berichtet die Vorsitzende des Katholischen Arbeitskreises in Thüringen.

Weiterlesen

Windows-10-Schnelltest für Schüler*innen bei YouTube – Wochenrückblick KW 18/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Gleich zwei nützliche Handreichungen hat in dieser Woche die KDSA Ost veröffentlicht: Die »Mustervorlage freiwilliger Corona-Schnelltest« dürfte gerade in einigen Unternehmen benötigt werden. Interessant ist die dort angeführte Rechtsgrundlage: »§ 11 (2) lit. a KDG iVm. § 26 (2) BDSG«, also die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten in Verbindung mit den erhöhten Anforderungen an eine Einwilligung im Beschäftigungsverhältnis. Eine derartige Norm fehlt in § 53 KDG, die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses regelt. Dass man auch im kirchlichen Datenschutzrecht gut daran tut, Einwilligung im Beschäftigungskontext besonders streng zu ziehen, dürfte keine Überraschung sein. Dass dabei aber direkt auf eine BDSG-Norm verwiesen wird, ist neu und wirft die Frage auf, ob nach Ansicht der Aufsicht alle BDSG-Regelungen hilfsweise herangezogen werden können, wenn das KDG nichts regelt.

Mit Blick auf das näher rückende Schuljahresende ist die zweite Handreichung nützlich, bei der es um Leistungsnachweise per Video im Homeschooling geht. In fünf kompakten Punkten gibt es eine gut umsetzbare Hilfestellung – nur bei Punkt 3 ist fraglich, ob sich die Schüler*innen in der Sache wirklich sensibilisieren lassen wollen. Auch hier gibt es eine interessante Formulierung: So sei die Zustimmung von Eltern und Kindern nötig. »Diese Einverständniserklärung kann auch durch das schlüssige Handeln erfolgen, indem das Video aufgenommen und zur Bewertung zur Verfügung gestellt wird« – im folgenden Satz wird auch explizit von »Einwilligung« gesprochen – anscheinend wird hier einer der Fälle angenommen, in denen gemäß § 8 Abs. 2 KDG von der Schriftform aufgrund »besonderer Umstände« abgewichen werden kann. So einen Umgang mit der Einwilligung ist bisher nicht von Aufsichten bekannt – im Zweifelsfall würde man hier wohl lieber doch auf eine schriftliche Einwilligung nach den Regeln der Kunst zurückgreifen, schon weil die Einwilligung sowohl von Eltern wie von Schüler*innen konkludent eher schwer nachzuweisen ist.

Auch die Konferenz der Diözesandatenschutzbeauftragten hat gearbeitet: Für den Einsatz von Windows 10 gibt es technische Handreichungen, wie man das Betriebssystem datensparsam betreiben kann – die Frage, ob Windows 10 überhaupt rechtskonform eingesetzt werden kann, wird bewusst ausgeblendet.

In Altenberg und digital tagt gerade die BDKJ-Hauptversammlung. Im Bericht des Bundesvorstands des Dachverbands der katholischen Jugendverbände wird auch das Engagement für einen handhabbaren Datenschutz angesprochen: »Insbesondere während der Corona-Pandemie sind die benötigten digitalen Räume nicht ohne bewusste Verstöße gegen die geltenden Bestimmungen nutzbar. Auch die Erreichbarkeit der Zielgruppe ist über KDG-konforme Medien kaum gegeben. Der Bundesvorstand ist bemüht, die konkreten Veränderungs­bedarfe zu sammeln und in eine Novellierung der Gesetze einzubringen.« Über aktuelle Entwicklungen bei der KDG-Evaluierung haben diese Woche auch die Datenschutz-Notizen berichtet.

Bei Feinschwarz plädiert die Kirchenrechtlerin Jessica Scheiper für mehr Transparenz im kirchlichen Archivwesen – leider sieht das Kirchenrecht nämlich vor, dass Bischöfe Geheimarchive unterhalten. Zu viel Schutz von Daten (vor allem wenn er nicht dem Grundrechtsschutz, sondern dem Institutionenschutz dient), schadet: »Ein wichtiger Schritt in die richtige Richtung könnte daher sein, wenn die für die Geheimarchive zuständigen Diözesanbischöfe oder auch ganze Bischofskonferenzen um die päpstliche Dispens von der Pflicht zur Geheimarchivierung bitten würden.«

Weiterlesen

Rechtsgrundlage »Kirchliches Interesse« – wer, wann, wie?

Im Datenschutzrecht gilt das Prinzip des Verbots mit Erlaubnisvorbehalt – jede Verarbeitung braucht eine Rechtsgrundlage. Im kirchlichen Datenschutzrecht entsprechen diese Rechtsgrundlagen weitgehend denen der Datenschutzgrundverordnung. Aber eben nur weitgehend: Eine Abweichung ist die Rechtsgrundlage des »kirchlichen Interesses«. Das ist zwar dem aus der DSGVO bekannten »öffentlichen Interesse« nachgebildet – aber es gibt doch einige Unterschiede und viele Unklarheiten, weil weder im Gesetz noch durch Äußerungen der Gesetzgeber präzisiert wird, wer sich wann wie darauf berufen kann.

Carl Spitzweg: Mönch und Sennerin, Ausschnitt.
Kann sich nur der Abt eines öffentlich-rechtlich verfassten Klosters (rechts im Bild) auf die Rechtsgrundlage »kirchliches Interesse« für seine Datenverarbeitungen berufen, oder steht diese Rechtsgrundlage auch der Vorsitzenden der privatrechtlich organisierten kfd-Gruppe (links im Bild) zur Verfügung? (Symbolbild: Carl Spitzweg, Sennerin und Mönch (gemeinfrei/Foto: Immanuel Giel/Wikimedia Commons)
Weiterlesen

GKP-Vorschläge für ein besseres Medienprivileg

Bisher läuft der Prozess der Evaluierung des Gesetzes über den kirchlichen Datenschutzes (KDG) noch sehr im Verborgenen ab. Hätte nicht der bayerische Diözesandatenschutzbeauftragte schon einiges ausgeplaudert, wüsste man bis heute nichts, ein Vierteljahr vor der im Gesetz festgelegten Frist von drei Jahren ab Inkrafttreten.

Ein silbernes Schloss an einem blauen Stahlkasten
Photo by Chris Barbalis on Unsplash

Nun hat die Gesellschaft Katholischer Publizisten Deutschlands (GKP) einen eigenen Beitrag zur Evaluierung vorgelegt. (Ich bin Mitglied des Vorstands und im Vorstand für die Stellungnahme verantwortlich.) Während die bisher bekannten schon in der Evaluierung befindlichen Punkte vor allem Details und Verfahrensregelungen betreffen, widmet sich die GKP vor allem Themen, die für Medien und Öffentlichkeitsarbeit wichtig sind: Insbesondere das sehr kompakte Medienprivileg soll deutlich verändert werden. Dazu kommen noch einige Kleinigkeiten, die eine Handhabung in kleinen, ehrenamtlich getragenen Vereinen handhabbarer machen.

Die gesamte Stellungnahme ist online verfügbar.

Weiterlesen

Fotos nach dem DSG-EKD – neue Handreichung des EKD-Datenschutzbeauftragten

Der Datenschutzbeauftragte der EKD hat am Mittwoch eine neue Handreichung zu »Datenschutz bei der Anfertigung und Veröffentlichung von Fotos« veröffentlicht. Angesichts seiner letzten Veröffentlichungen könnte man mit einer besonders strengen Auslegung rechnen – tatsächlich bewegt er sich dieses Mal im eher gemäßigten Bereich der Auslegung ohne große Überraschungen.

Eine Kameralinse im Dunkeln mit blauem Lensflare.
(Bild von Gerd Altmann auf Pixabay)
Weiterlesen

Hart, härter, kirchlicher Datenschutz?

Der kirchliche Datenschutz gilt als besonders streng – jedenfalls hört man das oft von Anwender*innen. Aber stimmt das eigentlich? Schließlich müssen die eigenen Datenschutzregeln von Religionsgemeinschaften, so sieht es Art. 91 DSGVO vor, »in Einklang« mit den Wertungen der DSGVO stehen. Und während die Deutsche Bischofskonferenz schreibt, dass sie mit einem Unterschied in der Formulierung der Einwilligung nicht strenger, sondern »lediglich konkreter und damit anwenderfreundlicher« sein wollte, sagte der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski, der auch an der Ausarbeitung des KDG mitwirkte, dass die Kirche aufgrund ihres Demokratiedefizits handeln musste: »und deshalb waren wir an manchen Stellen bei der Entwicklung des KDG strenger, um zu zeigen, dass wir bereit sind, solche Defizite auszugleichen«, so Joachimski. Von evangelischer Seite sind keine solche Äußerungen bekannt – aber auch dort hört man selten den Vorwurf, das DSG-EKD sei zu lax.

Stimmt es aber überhaupt, dass die kirchlichen Gesetze im Zweifel strenger sind? Ein genauer Blick fördert Interessantes zu Tage – und einige Regelungen, über die man überraschend wenig in der Praxis hört. An einigen Punkten gibt es deutliche Abweichungen von den Regelungen der DSGVO, die auch das Schutzniveau für betroffene Personen verändern.

Weiterlesen

Fünf gute Gründe gegen die Einwilligung

Datenschutz ist gleich Einwilligung – das dürfte das hartnäckigste Datenschutz-Missverständnis sein. Das ist keine Überraschung: Selten wird Datenschutz so sichtbar wie bei der Einwilligung in eine Datenverarbeitung; eine Unterschrift, um etwas zu erlauben, ist intuitiv und ohne größere Rechtskenntnis verständlich – und wer als Verantwortliche*r eine Unterschrift einholt, hat das gute Gefühl, sich um den Datenschutz gekümmert zu haben.

Das Problem: Meistens sind Einwilligungen gar nicht nötig, oft schaffen sie neue Probleme, und manchmal sorgen sie sogar für erhebliche Rechtsunsicherheit – und unfair sind sie gelegentlich auch noch. Auch wenn die Einwilligung weit vorne bei den Rechtsgrundlagen steht – eigentlich sollte sie viel eher die letzte Auffangmöglichkeit sein, wenn keine andere Rechtfertigung für eine Datenverarbeitung greift – warum das so ist und wie es besser geht, zeigt dieser Artikel.

Weiterlesen