Schlagwort-Archive: Bußgeld

Rekordgeldbuße im Südwesten – Tätigkeitsbericht 2020 des KDSZ Frankfurt erschien

Der Tätigkeitsbericht 2020 der katholischen Aufsicht für den Südwesten ist da – und damit ist der 2020er-Reigen vorerst abgeschlossen. (Der bayerische DDSB berichtet immer von September bis September statt zum Kalenderjahr.) Natürlich gibt es wieder viel Corona – und in einem Nebensatz den Hinweis auf die bisher höchsten bekannten Geldbußen im kirchlichen Datenschutz.

Die Titelseite des Tätigkeitsbericht 2020 der KDSZ Frankfurt
Den Bericht des KDSZ Frankfurt ziert eine schöne Statue des hl. Johannes Nepomuk – leider ist auch in der verwendeten Stockphoto-Datenbank nicht herauszufinden, wo diese Statue steht. Vielleicht weiß es ein*e Leser*in?

Erstmals ziert der heilige Johannes Nepomuk den Tätigkeitsbericht – anlässlich der Errichtung als KdÖR hat das Katholische Datenschutzzentrum Frankfurt ein Siegel und einen Schutzpatron bekommen. (Und der NRW-Datenschutzpatron Ivo einen Kollegen.) Er möge, so die Diözesandatenschutzbeauftragte, »den Blick dafür öffnen, wann man reden und wann man vielleicht besser schweigen sollte«.

Weiterlesen

Recht unübersichtlich – Wochenrückblick KW 32/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Auf den ersten Blick wirkt die Veröffentlichung des Gesetzes über das Verwaltungsverfahren im kirchlichen Datenschutz im Amtsblatt des Bistums Limburg wie ein reiner Routine-Vorgang – schließlich tröpfeln die Inkraftsetzungen Diözese für Diözese seit Monaten langsam ein, beginnend mit Speyer Ende 2020. Dass dieses vom Verband der Diözesen Deutschlands abgestimmte Gesetz in allen Bistümern einzeln in Kraft gesetzt wird (und zwar formal ein jeweils eigenes, das sich mindestens in der Inkraftsetzungsformel unterscheidet), hat kirchenrechtliche Gründe: Der Diözesanbischof ist Gesetzgeber, die Bischofskonferenz und ihr Rechtsträger, der VDD, hat kaum Gesetzgebungskompetenzen – insbesondere nicht im Datenschutzrecht. Ein einheitliches DBK-Gesetz bräuchte ein besonderes Mandat des Heiligen Stuhls (wie die KDSGO). Das macht Arbeit und kostet Flexibilität, wenn alles erst über Rom muss (und aus dem wenigen, was man über die Entstehung der KDSGO weiß, ist das keineswegs eine reine Formalie, was im Vatikan passiert).

Einen großen Vorteil hätte ein einziges statt 27+ parallelen Gesetzen (»+«, weil das Militärbischofsamt und gegebenenfalls jeder einzelne Orden päpstlichen Rechts noch weitere erlassen können) dadurch, dass Rechtsklarheit herrscht. Bisher sind die Verwaltungsverfahrensgesetze zwar vom relevanten Wortlaut her gleich – was sich aber unterscheidet, sind die Geltungsdaten. Das im Juni 2020 vom VDD beschlossene Gesetz trat in manchen Bistümern schon zum 1. Januar 2021 in Kraft, aktuell in Limburg zum 1. Juli 2021 mit Veröffentlichung im August 2021 im Amtsblatt – für jede einzelne Diözese muss also geprüft werden, ob das Gesetz zu einem bestimmten Zeitpunkt schon in Kraft war (und für nach Inkrafttreten erst veröffentlichte Gesetze wäre eigens zu klären, ob sie wirklich schon zum im Gesetz genannten Zeitpunkt oder erst zum Erscheinungstag des Amtsblattes gelten). Die Österreichische Bischofskonferenz hat eine kreative Lösung ohne Rom-Umweg für einheitliche Gesetze gefunden, etwa bei ihrem Decretum Generale über den Datenschutz: »Die Diözesanbischöfe haben dem vorliegenden Decretum Generale über den Datenschutz in der Katholischen Kirche in Österreich und ihren Einrichtungen (Kirchliche Datenschutzverordnung) einzeln ihre Zustimmung im Sinne can. 455 § 4 CIC 1983 gegeben.« (Ob dieser Kanon als Mittel der Gesetzgebung wirklich so tragbar ist, kann man aber auch hinterfragen.)

Über die Schwerpunktprüfungen in Kindergärten war hier schon öfter zu lesen (katholisch in NRW und im Norden, außerdem beim BfD EKD). Kitas sind also gut beraten, den Datenschutz nicht schleifen zu lassen – die Datenschutz-Nord-Gruppe hat jetzt ein eigenes Serviceangebot zu Datenschutz in katholischen Kindertageseinrichtungen online gestellt.

Und dann gibt’s noch einen Job für #TeamKirchlicherDatenschutz: in Frankfurt sucht die katholische Aufsicht eine*n Sachbearbeiter*in für den Bereich Informationstechnologie.

Weiterlesen

IDSG: Moderate Buße für Arztbrief in falschen Händen

Freitag ist Gerichtstag: Nach dem überraschenden Beschluss des Datenschutzgerichts der DBK in der vorvergangenen Woche wurde am Freitag eine weitere Entscheidung des Interdiözesanen Datenschutzgerichts (IDSG 21/2020) veröffentlicht – diesmal eher Schwarzbrot. Auch was den Sachverhalt angeht: Ein Arztbrief in falschen Händen. In diesem Fall ein Arztbrief, der trotz Sperrvermerk im Klinikinformationssystem an den Ehemann der Patientin übergeben wurde. (Auch wenn der Beschluss anonymisiert ist: Der Fall wird im aktuellen Tätigkeitsbericht der KDSA Ost ausführlich geschildert.)

Briefumschlag auf Notizbüchern
Photo by pure julia on Unsplash

Dass das ein Datenschutzverstoß ist, war recht klar – die Datenschutzrichtlinie, die ein opt-out-Verfahren für die Sperrvermerke vorsah, war ungenügend, die Datenschutzschulung unzureichend. Die Konsequenzen fürs eigene Datenschutzmanagement sind klar: Datenweitergabe an Dritte nur mit Einwilligung, und Schulungen nicht nur für die Akten. Über den Einzelfall hinaus sind vor allem zwei Punkte relevant: die Erläuterungen zur Anwendbarkeit des Funktionsträgerprinzips und ein Einblick in die Bußgeldpraxis.

Weiterlesen

Keine Gelegenheit für Bußgelder – Tätigkeitsbericht 2020 der KDSA Nord

Noch schnell vor der Sommerpause hat die Katholische Datenschutzaufsicht Nord am Donnerstag ihren Tätigkeitsbericht für 2020 veröffentlicht – natürlich ein weiterer Corona-Bericht. Die Pandemie hat sich neben dem Ausfall von allen Vor-Ort-Prüfungen bis auf zwei vielfältig in der Aufsichts- und Beratungstätigkeit niedergeschlagen.

Titelseite des Tätigkeitsberichts 2020 der KDSA Nord

Titelseite des Tätigkeitsberichts 2020 der KDSA Nord

Eine auffällige Leerstelle im Bericht sind die Aufsichtsmaßnahmen: Zwar werden einige Fälle geschildert, in denen durchaus gravierende Datenschutzverstöße vorliegen. Bußgelder werden jedoch nicht erwähnt. Auf Anfrage teilte mir der Diözesandatenschutzbeauftragte Andreas Mündelein mit, dass er keine Möglichkeit hatte, Bußgelder zu verhängen – die besonders gravierenden Fälle waren bei öffentlich-rechtlich organisierten Stellen und damit durch das KDG von Bußgeldern ausgenommen. Der Glaubwürdigkeit der kirchlichen Selbstverwaltung trägt diese Regelung nicht bei.

Weiterlesen

Einige Eigenheiten – Tätigkeitsbericht des BfD EKD 2019/2020

Der Beauftragte für den Datenschutz der EKD hat seinen Bericht für 2019 und 2020 vorgelegt – der erste, der komplett in den Geltungsbereich des neuen Datenschutzrechts fällt. Mit 64 Seiten ist er für zwei Jahre und eine Zuständigkeit für fast die komplette EKD doch recht kompakt. Dennoch gibt es darin einiges Interessantes über den Datenschutz in der evangelischen Kirche zu erfahren – und viel über die Eigenheiten des von der DSGVO besonders stark abweichenden DSG-EKD.

Die stellvertretende Vorsitzende des Rates der EKD Dr. h.c. Annette Kurschus (links) und der Beauftragte für den Datenschutz der EKD Michael Jacob (rechts) bei der Übergabe des Berichts. (Bildquelle: BfD EKD)
Die stellvertretende Vorsitzende des Rates der EKD Dr. h.c. Annette Kurschus (links) und der Beauftragte für den Datenschutz der EKD Michael Jacob (rechts) bei der Übergabe des Berichts. (Bildquelle: BfD EKD)

Natürlich kommt auch der BfD EKD nicht ohne eine Betonung der Relevanz seines Feldes aus – Bonuspunkte sammelt er dadurch, dass er nicht das abgelutschte Bonmot vom Schutz der Menschen, nicht der Daten verwendet. Bei ihm ist es so formuliert: »Auch in Zeiten der Corona-Pandemie brauchen wir in Staat und Kirche einen grundrechtebasierten Datenschutz! Das ›Datenschutzgrundrecht‹ hat sich stets als ein verlässlicher Partner an der Seite der Menschen erwiesen.«

Weiterlesen

Einblick ins kirchliche Datenschutzgericht aus erster Hand

Bisher hat das Interdiözesane Datenschutzgericht nur durch seine Beschlüsse gesprochen – am vergangenen Freitag hat der Vorsitzende Richter des IDSG Bernhard Fessler einige Einblicke in die Arbeit des Gerichts gegeben. Mittlerweile liegt auch das Manuskript des Vortrags bei der Geburtstagstagung zum KDG vor.

Bernhard Fessler bei der Tagung »Drei Jahre KDG« (Screenshot)
Bernhard Fessler bei der Tagung »Drei Jahre KDG« (Screenshot)

Leider ist der Vortrag bisher nur den Teilnehmenden der Tagung zugänglich gemacht worden – das ist sehr schade angesichts des bislang umfassendsten Überblick über die kirchliche Datenschutzgerichtsbarkeit. Daher hier noch einmal eine ausführlichere Besprechung des Vortrags, nachdem er bereits im Tagungsrückblick vom Montag erwähnt wurde.

Weiterlesen

Tagungsbericht »Drei Jahre Gesetz über den Kirchlichen Datenschutz«

Im vierten Jahr seiner Geltung geht es beim KDG und seiner Umsetzung in die Details – das zeigte die von Curacon und den nordrhein-westfälischen Caritasverbänden organisierte Tagung zum dritten Geburtstag des Gesetzes über den kirchlichen Datenschutz am vergangenen Freitag.

Folie mit dem Veranstaltungstitel auf einem Laptop

Schwerpunkt waren alltägliche, aber komplizierte Themen: Der Umgang mit Auskunftsersuchen, Auftragsverarbeitung, Schadensersatzansprüche, Datenschutzfolgenabschätzungen und Compliance. Zwei Produkt-Vorstellungen – ein KDG-Compliance-Tool der GDD und ein Datenschutzfolgenabschätzungstool der Curacon – standen zudem auf der Tagesordnung. Den Blick aus den Niederungen der Praxis weitete zum Abschluss ein Vortrag des Vorsitzenden Richters am Interdiözesanen Datenschutzgericht, Bernhard Fessler.

Weiterlesen

One more thing – Bericht der Ordensdatenschutzaufsicht 2020

Jupp Joachimski ist der Steve Jobs unter den kirchlichen Datenschutzaufsichten. In seinen Berichten zieht er nach dem Pflichtteil immer noch gerne »one more thing« hervor. In seiner Funktion als Ordensdatenschutzbeauftragter ist das im jetzt erschienenen Bericht für 2020 diese Ankündigung: »In Kürze wird sogar ein von einem deutschen kirchlichen Rechenzentrum entwickeltes Konferenzprogramm auf den Markt kommen.«

Eingang des Konvents Santa Catalina, Arequipa, Perú. Über dem Portal steht »Silencio«
Silencio flickr photo by morrissey shared under a Creative Commons (BY) license

Ansonsten wird nichts angeteasert, spannende Vorfälle gibt es anscheinend nicht – im Gegenteil: Auch die drei Ordensdatenschutzbeauftragten haben sich während der Corona-Krise in Zurückhaltung geübt, geht aus dem am Dienstag veröffentlichten Bericht für den Zeitraum vom 1. Februar 2020 bis zum 31. Januar 2021 hervor.

Weiterlesen

Tut Buße! Nur wie? – Wochenrückblick KW 51

Die Angst vor Bußgeldern hat sich als weitgehend unbegründet erwiesen – auch wenn (so etwa in NRW) es langsam losgeht. Grundsätzliche Bedenken hat der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski schon zuvor geäußert. Jetzt legt er noch einmal nach mit einem kurzen Papier mit dem Titel »Bußgelderkenntnisse im Geltungsbereich von KDG/KDR-OG«, in dem er aufschlüsselt, wann, gegen wen und unter welchen Umständen überhaupt ein Bußgeld verhängt werden kann. Sein Ergebnis: In den meisten Fällen nicht – weil das KDG so formuliert ist, dass Bußgelder dann verhängt werden können, wenn der Verantwortliche vorsätzlich oder fahrlässig für die Datenschutzverletzung verantwortlich ist, während gegen Mitarbeitende nur in sehr speziellen Ausnahmen vorgegangen werden kann.

In der Diözese Rottenburg-Stuttgart beschäftigt sich das aktuelle Amtsblatt mit Schrems II und der praktischen Umsetzung des Urteils – ohne dabei wesentlich Neues zu bisherigen Veröffentlichungen beizutragen: »Zusammenfassend ist zu konstatieren, dass es ohne ein tragfähiges Abkommen zwischen der EU und den USA oder eine grundsätzliche Regelung auf EU-Ebene nach dem derzeitigen Stand keine völlig zufriedenstellenden Lösungen für die durch das EuGH-Urteil aufgeworfenen datenschutzrechtlichen Probleme gibt.« Hilfreich ist immerhin die Anweisung, wenigstens das Privacy Shield aus den Datenschutzerklärungen zu entfernen. Der elephant in the room wird auch hier wieder einmal nicht angesprochen: Dass § 29 Abs. 11 KDG Auftragsverarbeitung ausschließlich in Ländern der EU, des EWR oder solchen mit Angemessenheitsbeschluss zulässt – und damit Auftragsverarbeitung in den USA nach KDG generell nicht mehr möglich ist.

Im evangelischen Bereich gab es dagegen nur kleinere Änderungen in der Durchführungsverordnung der Evangelisch-Reformierten Kirche.

Nicht direkt Datenschutz, aber in jedem Fall lohnend: am Montag ist der Online-Kurs Kirchenrecht von Hendrik Munsonius vom Kirchenrechtlichen Institut der EKD gestartet: »Diese Einführung ist aus Vorlesungen an der Georg-August-Universität Göttingen hervorgegangen und richtet sich an Menschen, die an einer gedeihlichen Ordnung kirchlicher Praxis interessiert sind.« Dem kann man nichts hinzufügen – unbedingte Lockdown-Fortbildungs-Empfehlung!

Weiterlesen

Hart, härter, kirchlicher Datenschutz?

Der kirchliche Datenschutz gilt als besonders streng – jedenfalls hört man das oft von Anwender*innen. Aber stimmt das eigentlich? Schließlich müssen die eigenen Datenschutzregeln von Religionsgemeinschaften, so sieht es Art. 91 DSGVO vor, »in Einklang« mit den Wertungen der DSGVO stehen. Und während die Deutsche Bischofskonferenz schreibt, dass sie mit einem Unterschied in der Formulierung der Einwilligung nicht strenger, sondern »lediglich konkreter und damit anwenderfreundlicher« sein wollte, sagte der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski, der auch an der Ausarbeitung des KDG mitwirkte, dass die Kirche aufgrund ihres Demokratiedefizits handeln musste: »und deshalb waren wir an manchen Stellen bei der Entwicklung des KDG strenger, um zu zeigen, dass wir bereit sind, solche Defizite auszugleichen«, so Joachimski. Von evangelischer Seite sind keine solche Äußerungen bekannt – aber auch dort hört man selten den Vorwurf, das DSG-EKD sei zu lax.

Stimmt es aber überhaupt, dass die kirchlichen Gesetze im Zweifel strenger sind? Ein genauer Blick fördert Interessantes zu Tage – und einige Regelungen, über die man überraschend wenig in der Praxis hört. An einigen Punkten gibt es deutliche Abweichungen von den Regelungen der DSGVO, die auch das Schutzniveau für betroffene Personen verändern.

Weiterlesen