Schlagwort-Archive: Bußgeld

Kontra aus München – Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten 2021/2022

Schreiben Sie eine Antwort

Die Gemeinsame Datenschutzaufsicht der Bayerischen (Erz-)Diözesen hat ihren Tätigkeitsbericht für 2021/2022 veröffentlicht – immer noch in der alten Konstellation, in der Jupp Joachimski Diözesandatenschutzbeauftragter mit einem Mitarbeiter und ohne rechtlich selbständige Stelle ist. Über den Stand der Errichtung des geplanten Kirchlichen Datenschutzzentrums Bayern in Nürnberg erfährt man nichts.

Titelseite des Tätigkeitsberichts 2021/2022 des bayerischen Diözesandatenschutzbeauftragten
So kennt man den Bericht des bayerischen Diözesandatenschutzbeauftragten: Kompakt, schnörkellos und extrem nah am Ende des Berichtszeitraums, dem 1. Oktober.

Ansonsten gibt es vor allem Einblicke in Entscheidungen zu in kirchlichen Einrichtungen verwendeter Software – und deutliche Kritik an der Mehrheits-Rechtsposition der kirchlichen Aufsichten und Datenschutzgerichte zum Bußgeld.

Weiterlesen

Geldbußen nach KDG und DSG-EKD

Schreiben Sie eine Antwort

Geldbußen waren das Aufregerthema, als das neue Datenschutzrecht wirksam wurde. Mittlerweile ist es um die Bußgelder stiller geworden – vor allem, was die befürchtete Breitenwirkung angeht. Kaum ein kleines Unternehmen, kaum ein kleiner Verein wird gebußt.

Ein Mann hält einen Geldschein hin und verdeckt damit sein Gesicht
(Photo by lucas Favre on Unsplash)

Mit den neuen Richtlinien des Europäischen Datenschutzausschusses zur Ermittlung der Bußgeldhöhe kommt das Thema nun wieder etwas stärker auf die Agenda. Im kirchlichen Datenschutz gibt es solche Leitplanken bislang nicht – aber auch hier ist die Angst vor dem Bußgeld groß. Der Blick in die Gesetze und in die Praxis der Aufsichten kann aber beruhigen.

Weiterlesen

Rekordgeldbuße im Südwesten – Tätigkeitsbericht 2020 des KDSZ Frankfurt erschien

Schreiben Sie eine Antwort

Der Tätigkeitsbericht 2020 der katholischen Aufsicht für den Südwesten ist da – und damit ist der 2020er-Reigen vorerst abgeschlossen. (Der bayerische DDSB berichtet immer von September bis September statt zum Kalenderjahr.) Natürlich gibt es wieder viel Corona – und in einem Nebensatz den Hinweis auf die bisher höchsten bekannten Geldbußen im kirchlichen Datenschutz.

Die Titelseite des Tätigkeitsbericht 2020 der KDSZ Frankfurt
Den Bericht des KDSZ Frankfurt ziert eine schöne Statue des hl. Johannes Nepomuk – leider ist auch in der verwendeten Stockphoto-Datenbank nicht herauszufinden, wo diese Statue steht. Vielleicht weiß es ein*e Leser*in?

Erstmals ziert der heilige Johannes Nepomuk den Tätigkeitsbericht – anlässlich der Errichtung als KdÖR hat das Katholische Datenschutzzentrum Frankfurt ein Siegel und einen Schutzpatron bekommen. (Und der NRW-Datenschutzpatron Ivo einen Kollegen.) Er möge, so die Diözesandatenschutzbeauftragte, »den Blick dafür öffnen, wann man reden und wann man vielleicht besser schweigen sollte«.

Weiterlesen

Recht unübersichtlich – Wochenrückblick KW 32/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Auf den ersten Blick wirkt die Veröffentlichung des Gesetzes über das Verwaltungsverfahren im kirchlichen Datenschutz im Amtsblatt des Bistums Limburg wie ein reiner Routine-Vorgang – schließlich tröpfeln die Inkraftsetzungen Diözese für Diözese seit Monaten langsam ein, beginnend mit Speyer Ende 2020. Dass dieses vom Verband der Diözesen Deutschlands abgestimmte Gesetz in allen Bistümern einzeln in Kraft gesetzt wird (und zwar formal ein jeweils eigenes, das sich mindestens in der Inkraftsetzungsformel unterscheidet), hat kirchenrechtliche Gründe: Der Diözesanbischof ist Gesetzgeber, die Bischofskonferenz und ihr Rechtsträger, der VDD, hat kaum Gesetzgebungskompetenzen – insbesondere nicht im Datenschutzrecht. Ein einheitliches DBK-Gesetz bräuchte ein besonderes Mandat des Heiligen Stuhls (wie die KDSGO). Das macht Arbeit und kostet Flexibilität, wenn alles erst über Rom muss (und aus dem wenigen, was man über die Entstehung der KDSGO weiß, ist das keineswegs eine reine Formalie, was im Vatikan passiert).

Einen großen Vorteil hätte ein einziges statt 27+ parallelen Gesetzen (»+«, weil das Militärbischofsamt und gegebenenfalls jeder einzelne Orden päpstlichen Rechts noch weitere erlassen können) dadurch, dass Rechtsklarheit herrscht. Bisher sind die Verwaltungsverfahrensgesetze zwar vom relevanten Wortlaut her gleich – was sich aber unterscheidet, sind die Geltungsdaten. Das im Juni 2020 vom VDD beschlossene Gesetz trat in manchen Bistümern schon zum 1. Januar 2021 in Kraft, aktuell in Limburg zum 1. Juli 2021 mit Veröffentlichung im August 2021 im Amtsblatt – für jede einzelne Diözese muss also geprüft werden, ob das Gesetz zu einem bestimmten Zeitpunkt schon in Kraft war (und für nach Inkrafttreten erst veröffentlichte Gesetze wäre eigens zu klären, ob sie wirklich schon zum im Gesetz genannten Zeitpunkt oder erst zum Erscheinungstag des Amtsblattes gelten). Die Österreichische Bischofskonferenz hat eine kreative Lösung ohne Rom-Umweg für einheitliche Gesetze gefunden, etwa bei ihrem Decretum Generale über den Datenschutz: »Die Diözesanbischöfe haben dem vorliegenden Decretum Generale über den Datenschutz in der Katholischen Kirche in Österreich und ihren Einrichtungen (Kirchliche Datenschutzverordnung) einzeln ihre Zustimmung im Sinne can. 455 § 4 CIC 1983 gegeben.« (Ob dieser Kanon als Mittel der Gesetzgebung wirklich so tragbar ist, kann man aber auch hinterfragen.)

Über die Schwerpunktprüfungen in Kindergärten war hier schon öfter zu lesen (katholisch in NRW und im Norden, außerdem beim BfD EKD). Kitas sind also gut beraten, den Datenschutz nicht schleifen zu lassen – die Datenschutz-Nord-Gruppe hat jetzt ein eigenes Serviceangebot zu Datenschutz in katholischen Kindertageseinrichtungen online gestellt.

Und dann gibt’s noch einen Job für #TeamKirchlicherDatenschutz: in Frankfurt sucht die katholische Aufsicht eine*n Sachbearbeiter*in für den Bereich Informationstechnologie.

Weiterlesen

IDSG: Moderate Buße für Arztbrief in falschen Händen

Schreiben Sie eine Antwort

Freitag ist Gerichtstag: Nach dem überraschenden Beschluss des Datenschutzgerichts der DBK in der vorvergangenen Woche wurde am Freitag eine weitere Entscheidung des Interdiözesanen Datenschutzgerichts (IDSG 21/2020) veröffentlicht – diesmal eher Schwarzbrot. Auch was den Sachverhalt angeht: Ein Arztbrief in falschen Händen. In diesem Fall ein Arztbrief, der trotz Sperrvermerk im Klinikinformationssystem an den Ehemann der Patientin übergeben wurde. (Auch wenn der Beschluss anonymisiert ist: Der Fall wird im aktuellen Tätigkeitsbericht der KDSA Ost ausführlich geschildert.)

Briefumschlag auf Notizbüchern
Photo by pure julia on Unsplash

Dass das ein Datenschutzverstoß ist, war recht klar – die Datenschutzrichtlinie, die ein opt-out-Verfahren für die Sperrvermerke vorsah, war ungenügend, die Datenschutzschulung unzureichend. Die Konsequenzen fürs eigene Datenschutzmanagement sind klar: Datenweitergabe an Dritte nur mit Einwilligung, und Schulungen nicht nur für die Akten. Über den Einzelfall hinaus sind vor allem zwei Punkte relevant: die Erläuterungen zur Anwendbarkeit des Funktionsträgerprinzips und ein Einblick in die Bußgeldpraxis.

Weiterlesen

Keine Gelegenheit für Bußgelder – Tätigkeitsbericht 2020 der KDSA Nord

Schreiben Sie eine Antwort

Noch schnell vor der Sommerpause hat die Katholische Datenschutzaufsicht Nord am Donnerstag ihren Tätigkeitsbericht für 2020 veröffentlicht – natürlich ein weiterer Corona-Bericht. Die Pandemie hat sich neben dem Ausfall von allen Vor-Ort-Prüfungen bis auf zwei vielfältig in der Aufsichts- und Beratungstätigkeit niedergeschlagen.

Titelseite des Tätigkeitsberichts 2020 der KDSA Nord

Titelseite des Tätigkeitsberichts 2020 der KDSA Nord

Eine auffällige Leerstelle im Bericht sind die Aufsichtsmaßnahmen: Zwar werden einige Fälle geschildert, in denen durchaus gravierende Datenschutzverstöße vorliegen. Bußgelder werden jedoch nicht erwähnt. Auf Anfrage teilte mir der Diözesandatenschutzbeauftragte Andreas Mündelein mit, dass er keine Möglichkeit hatte, Bußgelder zu verhängen – die besonders gravierenden Fälle waren bei öffentlich-rechtlich organisierten Stellen und damit durch das KDG von Bußgeldern ausgenommen. Der Glaubwürdigkeit der kirchlichen Selbstverwaltung trägt diese Regelung nicht bei.

Weiterlesen

Einige Eigenheiten – Tätigkeitsbericht des BfD EKD 2019/2020

Schreiben Sie eine Antwort

Der Beauftragte für den Datenschutz der EKD hat seinen Bericht für 2019 und 2020 vorgelegt – der erste, der komplett in den Geltungsbereich des neuen Datenschutzrechts fällt. Mit 64 Seiten ist er für zwei Jahre und eine Zuständigkeit für fast die komplette EKD doch recht kompakt. Dennoch gibt es darin einiges Interessantes über den Datenschutz in der evangelischen Kirche zu erfahren – und viel über die Eigenheiten des von der DSGVO besonders stark abweichenden DSG-EKD.

Die stellvertretende Vorsitzende des Rates der EKD Dr. h.c. Annette Kurschus (links) und der Beauftragte für den Datenschutz der EKD Michael Jacob (rechts) bei der Übergabe des Berichts. (Bildquelle: BfD EKD)
Die stellvertretende Vorsitzende des Rates der EKD Dr. h.c. Annette Kurschus (links) und der Beauftragte für den Datenschutz der EKD Michael Jacob (rechts) bei der Übergabe des Berichts. (Bildquelle: BfD EKD)

Natürlich kommt auch der BfD EKD nicht ohne eine Betonung der Relevanz seines Feldes aus – Bonuspunkte sammelt er dadurch, dass er nicht das abgelutschte Bonmot vom Schutz der Menschen, nicht der Daten verwendet. Bei ihm ist es so formuliert: »Auch in Zeiten der Corona-Pandemie brauchen wir in Staat und Kirche einen grundrechtebasierten Datenschutz! Das ›Datenschutzgrundrecht‹ hat sich stets als ein verlässlicher Partner an der Seite der Menschen erwiesen.«

Weiterlesen

Einblick ins kirchliche Datenschutzgericht aus erster Hand

Schreiben Sie eine Antwort

Bisher hat das Interdiözesane Datenschutzgericht nur durch seine Beschlüsse gesprochen – am vergangenen Freitag hat der Vorsitzende Richter des IDSG Bernhard Fessler einige Einblicke in die Arbeit des Gerichts gegeben. Mittlerweile liegt auch das Manuskript des Vortrags bei der Geburtstagstagung zum KDG vor.

Bernhard Fessler bei der Tagung »Drei Jahre KDG« (Screenshot)
Bernhard Fessler bei der Tagung »Drei Jahre KDG« (Screenshot)

Leider ist der Vortrag bisher nur den Teilnehmenden der Tagung zugänglich gemacht worden – das ist sehr schade angesichts des bislang umfassendsten Überblick über die kirchliche Datenschutzgerichtsbarkeit. Daher hier noch einmal eine ausführlichere Besprechung des Vortrags, nachdem er bereits im Tagungsrückblick vom Montag erwähnt wurde.

Weiterlesen

Tagungsbericht »Drei Jahre Gesetz über den Kirchlichen Datenschutz«

Schreiben Sie eine Antwort

Im vierten Jahr seiner Geltung geht es beim KDG und seiner Umsetzung in die Details – das zeigte die von Curacon und den nordrhein-westfälischen Caritasverbänden organisierte Tagung zum dritten Geburtstag des Gesetzes über den kirchlichen Datenschutz am vergangenen Freitag.

Folie mit dem Veranstaltungstitel auf einem Laptop

Schwerpunkt waren alltägliche, aber komplizierte Themen: Der Umgang mit Auskunftsersuchen, Auftragsverarbeitung, Schadensersatzansprüche, Datenschutzfolgenabschätzungen und Compliance. Zwei Produkt-Vorstellungen – ein KDG-Compliance-Tool der GDD und ein Datenschutzfolgenabschätzungstool der Curacon – standen zudem auf der Tagesordnung. Den Blick aus den Niederungen der Praxis weitete zum Abschluss ein Vortrag des Vorsitzenden Richters am Interdiözesanen Datenschutzgericht, Bernhard Fessler.

Weiterlesen

One more thing – Bericht der Ordensdatenschutzaufsicht 2020

Schreiben Sie eine Antwort

Jupp Joachimski ist der Steve Jobs unter den kirchlichen Datenschutzaufsichten. In seinen Berichten zieht er nach dem Pflichtteil immer noch gerne »one more thing« hervor. In seiner Funktion als Ordensdatenschutzbeauftragter ist das im jetzt erschienenen Bericht für 2020 diese Ankündigung: »In Kürze wird sogar ein von einem deutschen kirchlichen Rechenzentrum entwickeltes Konferenzprogramm auf den Markt kommen.«

Eingang des Konvents Santa Catalina, Arequipa, Perú. Über dem Portal steht »Silencio«
Silencio flickr photo by morrissey shared under a Creative Commons (BY) license

Ansonsten wird nichts angeteasert, spannende Vorfälle gibt es anscheinend nicht – im Gegenteil: Auch die drei Ordensdatenschutzbeauftragten haben sich während der Corona-Krise in Zurückhaltung geübt, geht aus dem am Dienstag veröffentlichten Bericht für den Zeitraum vom 1. Februar 2020 bis zum 31. Januar 2021 hervor.

Weiterlesen