Da hat die EU-Kommission fast eine Punktlandung hingelegt: Vor dem Auslaufen der Brexit-Übergangsregelung zum Datentransfer ins Vereinigte Königreich kam am Montag der Angemessenheitsbeschluss – das UK ist jetzt ein sicheres Drittland.
Damit ist auch eine unschöne Hängepartie vermieden, die sich die kirchlichen Gesetzgeber teilweise selbst eingebrockt haben. (Spoiler: Wie immer, wenn’s um Drittländer geht, sind es die Katholik*innen, die sich ein Bein gestellt haben.)
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Das ist doch erfreulich: Die Arbeit am Kirchlichen Datenschutzmodell geht voran – nachdem bei der Vorstellung vor zwei Wochen erst drei Bausteine verfügbar waren, wurde jetzt der vierte zum Thema »Dokumentieren« veröffentlicht. Das macht Hoffnung, dass die Bausteine schnell komplettiert werden. Ein Satz aus dem Baustein passt zum hier immer wieder angesprochenen Thema der Zugänglichkeit kirchlichen Rechts: »Den verantwortlichen kirchlichen Stellen wird […] empfohlen, ein Rechtskataster zu pflegen, welches speziell zusammengestellt ist und den rechtlichen Rahmen aller in und von der verantwortlichen Stelle zu erfüllenden Aufgaben abdeckt« – gar nicht so einfach angesichts der nur in manchen Bistümern gut zugänglichen kirchlichen Rechtssammlungen.
Am Mittwoch wurde außerdem eine weitere Entscheidung des Interdiözesanen Datenschutzgerichts veröffentlicht (IDSG 14/2020 vom 19. April 2021) – der zugrundeliegende Fall dreht sich um den Klassiker »fehlgelaufener Patient*innenbrief«. In der Sache und für die Praxis interessant dürfte die Diskussion des Verfahrensverzeichnisses sein, in dem das Verfahren des Versands und der Kontrolle der Richtigkeit der Unterlagen im Laufe des Falls detailliert ausgearbeitet wurde (RN 4). Erstmals wird mit 2000 Euro auch eine einzelne Summe eines Bußgelds bekannt. Von grundsätzlicher rechtlicher Bedeutung sind die Fragen nach der Zuständigkeit des Gerichts für die Überprüfung von Bußgeldbescheiden (das sieht das IDSG als gegeben an, RN 51f.; man merkt aber dem Schluss an, dass man sich wohl auch eine eigene Kompetenz zur Verhängung wünschen würde, RN 58) und die auch schon an anderer Stelle aufgeworfene Frage, inwiefern überhaupt Bußgelder verhängt werden können, wenn die Datenschutzverletzung von Mitarbeitenden begangen wird. Im vorliegenden Fall argumentiert das Gericht mit dem Funktionsträgerprinzip und bekräftigt seine Position aus einem vorherigen Fall, »dass dem Rechtsträger als dem Verantwortlichen nicht nur das Verhalten von Organen, sondern auch das Verhalten anderer Mitarbeiter zugerechnet wird« (RN 47). Auch der aktuelle Fall fällt allerdings vor die Geltung des Gesetzes über das Verwaltungsverfahren im kirchlichen Datenschutz, das das Ordnungswidrigkeitengesetz für anwendbar erklärt. Wie ähnliche Fälle jetzt entschieden würden, ist also noch offen.
Und, teilweise in eigener Sache: Die Datenschutz-Notizen weisen auf die Evaluierung des KDG hin und dabei auch sehr freundlich auf die hier auf »Artikel 91« ausgegrabenen Erkenntnisse.
Ist es doch nicht so einfach mit dem Brexit und dem katholischen Datenschutzrecht? Nachdem durch das rasche Handeln der Konferenz der Diözesandatenschutzbeauftragten um den Jahreswechsel schon Entwarnung herrschte, macht auf Twitter nun @privideu auf eine Problematik aufmerksam, die bisher nicht im Blick war: »Übrigens: Der Beschl[uss] der Konf[erenz] der Diözesan-DSB der Kath. Kirche vom 4.1.2021 betreffen die Datenverarbeitungen von Auftragsverarbeitern kath. Einrichtungen in [Großbritannien] ist keine zuverlässige Rechtsgrundlage für eine Datenübermittlung nach GB«, heißt es in dem kurzen Thread. Zwar gibt es zur Auftragsverarbeitung im UK einen klaren Beschluss – bei der Datenübermittlung allgemein ist das aber nicht der Fall.
Der Einwand scheint stichhaltig: Bis zum Ende der im Brexit-Abkommen vereinbarten Übergangsfrist ist das Vereinigte Königreich datenschutzrechtlich in einem Schwebezustand, den das kirchliche Datenschutzrecht nur schwer fassen kann: »For the duration of the specified period, transmission of personal data from the Union to the United Kingdom shall not be considered as transfer to a third country under Union law«, heißt es im Artikel FINPROV.10A (S. 414) des Abkommens. Das KDG hat Regeln für EU- und EWR-Staaten, Länder mit Angemessenheitsbeschluss und für Drittstaaten – aber natürlich nicht für diesen extra erfundenen Status.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Was für eine volle Woche – gleich mehrere Bistümer haben ihre Seelsorge-Patientendatenschutzgesetze im Amtsblatt veröffentlicht (Essen, Köln und Münster), und die katholischen Aufsichten haben auch fleißig publiziert: Die KDSA Ost warnt vor der Abschaffung des Bargelds, gibt eine Einschätzung zur Nennung des Namens von Datenschutzbeauftragten und fordert eine Klarstellung in der Mitarbeitervertretungsordnung, ob Mitarbeitervertretungen verantwortliche Stelle sind oder nicht. Die NRW-Aufsicht weist auf das Datenschutz-Verwaltungsverfahren-Gesetz hin, das nun in allen NRW-Bistümern in Kraft gesetzt wurde, auf Videoüberwachung und weist auf die letzte Woche schon angesprochene Entscheidung zur Einwilligungspflicht für Gruppenfotos auf Facebook hin.
Die Deutsche Bischofskonferenz hat unterdessen eine Datenschutzrechtssammlung mit dem KDG und seinen Nebengesetzen angekündigt: Die Arbeitshilfe Nr. 320 Kirchliches Datenschutzrecht soll demnächst erscheinen, verrät das Erzbistum Berlin. Eine günstige Ergänzung zu der immer noch empfehlenswerten ökumenischen Rechtssammlung, die schon länger auf dem Markt ist (und die Nebengesetze noch nicht alle abbilden konnte).
Das Misstrauen der Aufsichten von Bund und Ländern gegenüber den spezifischen Aufsichten war hier schon Thema. Sehr deutlich bringt es der SWR-Rundfunkdatenschutzbeauftragte in seinem aktuellen Tätigkeitsbericht auf den Punkt (S. 50): »Leider haben einige Landesdatenschutzbeauftragte nach wie vor Berührungsängste mit den Datenschutzbeauftragten der Kirchen und der Rundfunkanstalten zusammenzuarbeiten und versuchen nach außen den Eindruck zu erwecken, die Datenschutzkonferenz (DSK) sei die wahre und alleinige Vertretung der Datenschutzaufsichtsorgane in Deutschland.«
Bei kath.ch gibt es ein kurzweiliges Interview zur E-ID, über die die Schweizer kommende Woche abstimmen: Ist ein elektronischer Ausweis auch für die Kirchen relevant? Nicht allzu sehr, ist der Tenor, und Datenschutzbedenken gibt es auch. Aber einen kreativen Vorschlag hat der interviewte Rechtsanwalt Martin Steiger doch dabei: »Es wäre denkbar, dass eine kirchliche E-ID geschaffen würde. Für die römisch-katholische Kirche beispielsweise könnte eine globale ›Vatican ID‹ hilfreich sein. Eine solche E-ID wäre nicht auf die Schweiz beschränkt, sondern könnte von Gläubigen in aller Welt genutzt werden« – wer schon einmal versucht hat, dem Vatikan Informationen per E-Mail zu entlocken, dürfte genug darüber wissen, wie realistisch das ist. (Und wahrscheinlich gibt’s eh keine praktische Verwendung dafür – etwas weniger groß angelegt als eine E-ID für 1,3 Milliarden Katholiken, dafür praktisch, wäre vielleicht ein fälschungssicheres E-Zelebret angesichts immer wieder auftauchender falscher Priester, Bischöfe und Kardinäle.)
WeiterlesenNoch ist nicht viel bekannt über die Evaluierung des Gesetzes über den kirchlichen Datenschutz (KDG) – zwar hat der bayerische Diözesandatenschutzbeauftragte in seinem Bericht und im Interview schon einige Punkte verraten. Ob und wie eine größere Beteiligung geplant ist, wurde dagegen noch nicht bekannt gegeben. Deshalb nimmt die Gesellschaft katholischer Publizisten (GKP) das jetzt selbst in die Hand. (Ich bin dort im Vorstand und koordiniere das Projekt.) Bis zum 28. Februar sind Mitglieder und weitere interessierte eingeladen, sich an einer Stellungnahme zu beteiligen. Schwerpunkte dabei sind der Medienbereich (Bildrechte, Medienprivileg, Streaming) und die Anwendung in Vereinen und Verbänden. Die Stellungnahme kann für liberalere Freund*innen des Drittstaatentransfers direkt auf Google Docs kommentiert werden, ansonsten per Mail.
Auch die katholische Datenschutzkonferenz hat gearbeitet: Sie hat sich in einem noch nicht im Volltext verfügbaren Beschluss mit der Frage auseinandergesetzt, ob Dienstgeber*innen von Beschäftigen Corona-Impfnachweise verlangen dürfen. Das Ergebnis: Vorerst nicht, da noch nicht bekannt ist, ob eine Impfung auch Übertragungen verhindert. Ein Interesse am Impfstatus bestehe für Dienstgeber*innen aber nur mit Blick auf die Gefährdung von Dritten. »Wenn wissenschaftlich erwiesen ist, dass eine Impfung nicht nur Geimpfte schützt, sondern darüber hinaus auch eine Weitergabe des Virus ausschließt, ist über diese Frage ggf. neu zu entscheiden«, so die KDSA Ost.
Außerhalb der katholischen Kirche war der Brexit Thema: Während der evangelische Beauftragte für den Datenschutz noch einmal die aktuellen Entwicklungen rekapitulierte, wurde mir nun auch die Position des alt-katholischen Bistumsdatenschutzbeauftragten bekannt: Anders als seine römisch-katholischen Kolleg*innen lässt er keine UK-Auftragsverarbeitung während der Übergangsphase zu. (Möglicherweise ist die Mitteilung schon länger online – mir ist sie zuerst am Donnerstag aufgefallen.)
WeiterlesenDie katholischen Aufsichten liefern: Binnen einer Woche wurden die auch hier problematisierten Unklarheiten beim Umgang mit dem Brexit-Abkommen mit Auftragsverarbeitung geklärt. (Die evangelischen Aufsichten müssen nicht tätig werden, weil das Problem dort nicht besteht.) Die KDSA Ost hat zudem noch eine Serviceoffensive angekündigt: In diesem Jahr wird es offene Videosprechstunden geben: »Wir möchten ausdrücklich darauf hinweisen, das wir als Datenschutzaufsicht gerne versuchen werden auf Ihre Fragen zu antworten, aber grundsätzlich keine Produktempfehlungen abgeben können und dürfen.«
Auf den ersten Blick nicht datenschutzrelevant, auf den zweiten ganz gundsätzlich dann doch: Jona Hölderle hat im Sozialmarketing-Blog in einer beeindruckenden Fleißarbeit Daten zu den größten Nonprofits Deutschlands in Wikidata eingepflegt und ausgewertet. Wenig überraschend, in dieser Deutlichkeit dann aber doch sehr deutlich: Viele der umsatz- und spendenstärksten Organisationen sind kirchliche, viele von Orden getragene Sozial- und Krankenhauskonzerne – und da kommt dann der Datenschutz ins Spiel: Für den Geltungsbereich des Ordensdatenschutzgesetzes gibt es drei Jurist*innen in Teilzeit für die Aufsicht, unter ihnen der ohnehin schon überlastete Jupp Joachimski. Können die wirklich wirksam Milliardenkonzerne beaufsichtigen?
WeiterlesenAuftragsverarbeitung im Vereinigten Königreich bleibt auch im Geltungsbereich des katholischen Gesetzes über den kirchlichen Datenschutz erst einmal möglich – das stellt der jüngste Beschluss der Konferenz der Diözesandatenschutzbeauftragten sicher. Damit wird die hier bereits angesprochene Ungewissheit im Bereich des KDG aufgelöst.
Für KDG-Anwender*innen brachte das Brexit-Abkommen nämlich ein besonderes Problem mit sich: Explizit legt das katholische Gesetz in § 29 Abs. 11 fest, dass Auftragsverarbeitung nur in EU- und EWR-Ländern, auf Grundlage eines Angemessenheitsbeschlusses oder auf Grundlage einer Feststellung einer Datenschutzaufsicht zulässig ist. Der vom Abkommen gewählte Umweg einer Behandlung des UK, als sei es kein Drittstaat, ist davon nicht abgedeckt.
Nach dem Blick zurück geht’s in die Zukunft: 2021 ist hoffentlich irgendwann das Jahr post Corona. Für den kirchlichen Datenschutz gibt es auch schon einige mehr oder weniger feste Termine. Mit der Evaluierung des KDG und des ökumenischen Kirchlichen Datenschutzmodells stehen zwei große Themen an, die den kirchlichen Datenschutz noch länger prägen dürften.
Das Vereinigte Königreich ist kein datenschutzrechtliches Drittland – erstmal. Das am Samstag veröffentlichte Abkommen hat den harten Brexit abgewendet (vorbehaltlich der noch nötigen Ratifizierungen) und auch verhindert, dass ab 1. Januar Großbritannien zum Drittland ohne Angemessenheitsbeschluss und damit mit erheblichem Mehraufwand für die Datenübertragung wird. Die Lösung ist aber nur eine vorläufige – und zumindest Anwender*innen des KDG stehen doch noch vor Problemen.