Gerade noch rechtzeitig vor Weihnachten kommt der letzte Tätigkeitsbericht des Jahres – das KDSZ Dortmund hat sich bis in den Dezember damit Zeit gelassen, über das Jahr 2021 zu berichten. Aus dieser Distanz wirken die großen Themen des Vorjahres schon sehr weit weg – wie stark Corona noch das letzte Jahr geprägt hat, hat man gar nicht mehr präsent.
Cover des Tätigkeitsberichts für 2021 des KDSZ Dortmund
Auch in Nordrhein-Westfalen waren einige Regionen von der Flut betroffen, wenn auch nicht so stark wie in Rheinland-Pfalz: Der Tätigkeitsbericht der Südwest-Aufsicht war massiv von diesem Thema und eindrücklichen Katastrophenschilderungen geprägt; in NRW ist es nur ein Thema unter mehreren.
Nach Corona ist immer noch während Corona – und das Jahr der Flut. Unter den sieben Bistümern, die das Katholische Datenschutzzentrum Frankfurt beaufsichtigt, sind die von der Flut am schwersten betroffenen – das Ahrtal gehört zum Bistum Trier. Das prägt auch den Tätigkeitsbericht für 2021, der nun erschienen ist.
In diesem Jahr wieder kühle Stockphoto-Ästhetik statt dem heiligen Johannes Nepomuk auf dem Cover.
Der Südwest-Tätigkeitsbericht gehört immer zu denen, die sich am unterhaltsamsten lesen. Die Diözesandatenschutzbeauftragte Ursula Becker-Rathmair hat ein Talent, Datenschutzvorfälle so lakonisch mit trockenem Humor zu schildern, dass man bei Datenschutzschulungen eins zu eins aus dem Tätigkeitsbericht vorlesen möchte. Auch wenn sie sich angesichts der Flut erschüttert zeigt: Auch das prägt wieder den Bericht.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
In dieser Woche vor 60 Jahren wurde das Zweite Vatikanische Konzil eröffnet, das von 1962 bis 1965 tagte. Zur Erneuerung der Kirche gehörte auch eine Versöhnung mit den Menschenrechten, die sich vor allem in den Beschlüssen der letzten Sitzungsperiode zeigte. Im abschließenden Dokument, der Pastoralkonstitution Gaudium et spes (1965), findet sich ein Katalog »unverletzlicher Rechte und Pflichten«, der auch für einen theologisch fundierten Schutz von Persönlichkeitsrechten relevant ist: »Es muß also alles dem Menschen zugänglich gemacht werden, was er für ein wirklich menschliches Leben braucht, wie Nahrung, Kleidung und Wohnung, sodann das Recht auf eine freie Wahl des Lebensstandes und auf Familiengründung, auf Erziehung, Arbeit, guten Ruf, Ehre und auf geziemende Information; ferner das Recht zum Handeln nach der rechten Norm seines Gewissens, das Recht auf Schutz seiner privaten Sphäre und auf die rechte Freiheit auch in religiösen Dingen.« (GS Nr. 26, Hervorhebungen ergänzt; mehr zur theologischen Grundlegung des Persönlichkeitsschutzes findet man bei Martina Tollkühn.)
In der Festschrift für Jupp Joachimski klang es, als sei das Katholische Datenschutzzentrum Nürnberg (das jetzt wohl KDSZ Bayern heißen soll) schon in trockenen Tüchern. Fragt man dort nach, wo man es genau wissen sollte, zeigt sich aber kein veränderter Stand: Auf Anfrage teilte ein Sprecher der Freisinger Bischofskonferenz mit, dass es noch nichts Konkretes gebe, insbesondere auch noch keine Ausschreibung für die Nachfolge Joachimskis. Das ist auch der Informationsstand des Diözesandatenschutzbeauftragten selbst – er hat seinen Vertrag noch einmal bis Ende des Jahres verlängert, teilte er auf Anfrage mit.
Lange hat es gedauert, jetzt ist absehbar, dass es im Konflikt zwischen der Selbständigen Evangelisch-Lutherischen Kirche (SELK) und der niedersächsischen Landesdatenschutzbeauftragten weitergeht: Wie schon im letzten Dezember berichtet, will die SELK den EuGH mit grundsätzlichen Vorlagefragen zu Art. 91 DSGVO befassen. Auf Anfrage teilte das Verwaltungsgericht Hannover nun mit, dass es einen Termin für die mündliche Verhandlung gibt: Am 30. November um 9.30 Uhr ist es so weit.
In der aktuellen Sonderausgabe der Datenschutz-Nachrichten gibt es auch einen Beitrag des NRW-DDSB Steffen Pau zum kirchlichen Datenschutzrecht. Der kompakte Überblick dürfte hier zum Grundwissen gehören; erfreulich ist, dass so der kirchliche Datenschutz auch in einer wichtigen weltlichen Zeitschrift erwähnt wird. In der Sache äußert sich Pau auch zum Schriftformerfordernis der Einwilligung im KDG und deutet damit wohl eine gewisse Flexibilität der Aufsicht an: »Inwieweit hier in der Praxis im täglichen Umgang mit der Einwilligung wirklich große Unterschiede bestehen, ist bei vielen Sachverhalten fraglich, da einerseits § 8 Abs. 2 Satz 1 KDG als Ausnahme von dem Schriftformerfordernis selbst ›eine andere Form‹ der Einwilligung auf Grund besonderer Umstände vorsieht und andererseits die Nachweispflicht der DSGVO in vielen Fällen auch zu einer textlichen oder schriftlichen Fassung der Einwilligung führt.«
Der Datenschutzbeauftragte für Kirche und Diakonie, der für die Landeskirchen Sachsens und Sachsen-Anhalts und die Diakonie Sachsens und Mitteldeutschlands zuständig ist, hat seinen zweiten Tätigkeitsbericht vorgelegt. Die Berichtsjahre 2020 und 2021 decken die ersten beiden Corona-Jahre ab – aber es geht nicht nur um Corona.
Der Zuständigkeitsbereich des Datenschutzbeauftragten für Kirche und Diakonie umfasst zwei Landeskirchen und zwei Diakonische Werke
Drei große Schwerpunktthemen widmen sich einem großen Datenschutz-Systemaudit, dem Einsatz von Microsoft-Produkten und Sprachassistenten in der Pflege – eine sehr praktische und nicht DSG-EKD-spezifische Schwerpunktsetzung, die auch für Anwender*innen anderer Datenschutzgesetze relevant sein dürfte.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Corona-Schutzmaßnahmen werden immer weiter zurückgenommen – das hat auch Konsequenzen dafür, welche Daten noch verarbeitet werden dürfen: Schließlich sind mit den Lockerungen auch einige Rechtsgrundlagen weggefallen. Darauf weist die KDSA Ost hin: Der Impf- und Sero-Status der Beschäftigten darf nicht mehr verarbeitet werden. »Eine derartige Datenverarbeitung hat somit zu unterbleiben. Daten, die in diesem Zusammenhang erhoben worden sind, sind datenschutzkonform zu löschen. Damit verbunden ist auch die Vernichtung/Löschung sämtlicher Testnachweise (Schnelltests)«, so der Diözesandatenschutzbeauftragte. Ausnahmen gelten lediglich für Beschäftigte der in § 23 Abs. 3 IfSG genannten medizinischen und Pflegeeinrichtungen. Ohne eine Rechtsgrundlage ist auch die Kontaktnachverfolgung bei Gottesdiensten nicht mehr möglich – jedenfalls nicht ohne Einwilligung. Obwohl diese Rechtsgrundlage teilweise schon länger weggefallen ist, gibt es immer noch Gemeinden mit Gottesdiensten unter Anmeldepflicht, erfährt man aus dem Interview des Domradios mit Antonius Hamers, dem Leiter des Katholischen Büros NRW. Auch über die dort genannten Gründe hinaus sollte man sich gut überlegen, ob man sich ohne Not diese Verarbeitung besonderer Kategorien personenbezogener Daten – denn nichts anderes sind Daten zum Gottesdienstbesuch – ans Bein binden will.
Die katholische Personalaktenordnung für Kleriker und Kirchenbeamte dürfte mittlerweile in den meisten Bistümern in Kraft sein. Das Bistum Essen ist nun die erste Diözese, die auf dieser Grundlage auch ihre Maßgaben für die Beschäftigten reformiert hat. Die »Verordnung über die Führung von Personalakten und Verarbeitung von Personalaktendaten von Mitarbeiterinnen und Mitarbeitern des Bistums Essen« gilt für Mitarbeitende des Bistums Essen. Für Lehrkräfte wird einheitlich das Landesbeamtengesetz angewandt. Nach erster Durchsicht (die Ordnung wurde erst im Laufe des Donnerstags veröffentlicht) wurden dabei im wesentlichen die Regelungen der bekannten Personalaktenordnung für alle Beschäftigte umgesetzt. Interessant ist, dass es sich um eine Verordnung des Generalvikars handelt, anscheinend ohne Beteiligung der KODA.
Mobilsicher hat islamische Gebets-Apps untersucht. Das Ergebnis ist ähnlich ernüchternd wie die Recherche zu Gebets-Apps, die hier vor einigen Wochen schon verlinkt wurde. Alle 13 getesteten Apps schneiden schlecht ab, den Islam-Verbänden sind auch keine guten Alternativen bekannt. Neun der Apps leiten Standortdaten an Dritte weiter, keine scheint ein angemessenes Schutzniveau, wie es besondere Kategorien personenbezogener Daten erfordern, zu erfüllen: »Denn allein die Tatsache, dass jemand eine solche App nutzt, lässt einen Rückschluss auf dessen religiöse Überzeugung zu«, so Mobilsicher, und weiter: »Dabei sollte es technisch nicht allzu schwer sein, gläubigen Muslimen eine Gebets-App zur Verfügung zu stellen, die ohne die Weitergabe persönlicher Daten oder Kennnummern funktioniert« – schließlich braucht es dafür nur die Uhrzeit, einen Ort, der sich auch ohne Ortungsdienst eingeben ließe, sowie Zugriff auf den Kompass. (Danke an netzpolitik.org für den Hinweis!)
In eigener Sache: Am 2. Juni bin ich Referent bei einer Fortbildung von JHD|Bildung zum Thema »Datenschutz in der Jugendarbeit«. In der zweistündigen Veranstaltung gibt es einen Crashkurs zum kirchlichen Datenschutz und einen Blick auf ausgewählte Verarbeitungen, die in der Jugendarbeit relevant sind.
Der Diözesandatenschutzbeauftragte für die ostdeutschen Bistümer ist kein Freund der Luca-App zur Kontaktverfolgung – das hat er schon im vergangenen April ungewöhnlich deutlich gemacht: »datenschutzrechtlich zweifelhaft und demnächst überflüssig«, war sein Urteil. Jetzt setzt er noch einen drauf – zumindest für kirchliche Stellen im Land Brandenburg: »Kirchliche Datenschutzaufsicht empfiehlt alle[n] kirchlichen Dienststellen im Land Brandenburg, für die Kontaktnachverfolgung ausschließlich die Corona Warn-App (CWA) zu nutzen!«, heißt es in der aktuellen Pressemeldung.
Die Einschätzung »demnächst überflüssig« war im April nur etwas zu optimistisch, aber immerhin haben die meisten Bundesländer mittlerweile dann doch Abstand von Luca genommen – aber Brandenburg setzt immer noch darauf. Und nicht nur für Kontaktverfolgung in der Corona-Bekämpfung soll Luca genutzt werden – die brandenburgische Justizministerin hat noch ganz andere Begehrlichkeiten: Eine Verwendung zur Strafverfolgung. (Unter anderem netzpolitik.org hat die Details.)
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Aus der Rubrik »was der Datenschutz alles verhindert« dieses Mal der Rottenburger Bischof Gebhard Fürst im Interview mit der Südwest-Presse: »Wir hatten im Januar erheblich mehr Kirchenaustritte als in den Jahren zuvor. Das ist außerordentlich schmerzlich. In früheren Wellen habe ich mit den Ausgetretenen Kontakt aufgenommen und sie zu Gesprächen eingeladen. Ob ich das noch einmal machen kann, weiß ich nicht. Dem steht heute der Datenschutz entgegen.« Warum ein einmaliges Anschreiben nicht datenschutzrechtlich abzubilden sein soll, wird nicht ausgeführt – selbst wenn man vertritt, dass die Daten gar nicht im Ordinariat landen dürfen, wäre doch zumindest eine Beilage zum Schreiben vom Pfarrer möglich.
Nun hat sich auch die KDSA Nord zu Impf- und Genesenennachweisen geäußert – allerdings nicht so umfassend wie der BfD EKD, sondern nur mit Blick auf die Gesundheits- und Pflegeeinrichtungen, und auch nicht so konkret. Immerhin wird festgehalten, dass aus der Pflicht zur Vorlage der Serostatusdokumentation nicht auch folgt, dass von den vorgelegten Dokumenten Kopien gefertigt werden dürfen. Eine so klare Äußerung wie beim evangelischen Kollegen, dass bei den anzufertigenden Dokumentationen nicht der Serostatus selbst erfasst werden darf, sondern nur die Information darüber, fehlt allerdings.
Buzzfeed News hat mehrere Gebets-Apps untersucht – und die Ergebnisse sind ernüchternd, aber kaum überraschend: »Nothing Sacred: These Apps Reserve The Right To Sell Your Prayers« Neben den erwartbaren intransparenten Datenweitergaben an Dritte zur Monetarisierung wird auch dieses Detail erwähnt: »At least one government has taken an interest in prayer app data, too — the US military bought extensive location data mined from Muslim prayer apps back in 2020 for use in special forces operations.«
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Der BfD EKD hat seine Stellungnahme zum 3G-Nachweis am Arbeitsplatz und zum einrichtungsbezogenen Immunitätsnachweis aktualisiert und erweitert. Die (nicht nur für Anwender*innen des DSG-EKD) hilfreiche kompakte Zusammenstellung fasst im wesentlichen vieles zusammen, was schon anderswo zu lesen war. In Nebenbemerkungen erfährt man aber auch wieder interessante Rechtsauffassungen. Eine davon ist eine sehr datensparsame Auslegung von § 28a Abs. 3 IfSG: »Mit der Formulierung „Daten zum Impf-, Sero- und Teststatus“ macht der Gesetzgeber deutlich, dass lediglich diejenigen Daten gemeint sind, die im Rahmen des 3G-Nachweises erfasst werden (Vorlage eines 3G-Nachweises, 3G-Voraussetzung erfüllt etc.)« – nicht gemeint sei der Impf- oder Sero-Status selbst. Das ist eine deutlich restriktivere Auslegung, als sie etwa im Erzbistum Freiburg (hier schon kritisch berichtet) angewandt wird. Von Interesse über den Spezialfall 3G-Dokumentation hinaus ist eine Position zum Nebeneinander von Rechtsgrundlagen: »Eine dennoch erteilte Einwilligung wäre aufgrund des Vorrangs der spezielleren Rechtsgrundlagen unwirksam«, vertritt der BfD EKD – auch das eine vermutlich nicht unumstrittene, aber elegante Auslegung: Die Frage, wie beim Vorliegen von Einwilligung und weiteren Rechtsgrundlage ein Widerruf zu behandeln sei, wird für solche Fälle damit einfach umschifft.
»Manche Kinder wissen gar nicht mehr, wie ein Faxgerät aussieht«, schreibt der Diözesandatenschutzbeauftragte für die Ost-Diözesen – das gilt wohl auch für besonders große Werte von Kinder. Aus Anlass einer weiteren Aufsichtsstellungnahme zur Zulässigkeit von Faxen weist er noch einmal auf seine Äußerungen zum Thema hin. Ob das Fazit »Das Faxen ist mithin nicht per se unzulässig« nun eine gute oder eine schlechte Nachricht ist, korreliert sicher auch mit dem Alter der Antwortenden. (Auch hier war das Faxen schon mehr und weniger ausführlich Thema.)
Die Ernennung von Shelton Fabre zum Erzbischof von Louisville wurde von »The Pillar« schon deutlich vor der offiziellen Bekanntgabe durch den Vatikan vermeldet – dabei stehen solche Informationen unter »päpstlichem Geheimnis«. Die Redaktion hat nun einen Kommentar nachgeschoben und grundsätzliche Anfragen an dieses kirchenrechtliche Instrument gestellt, bei dem es neben einer Erläuterung, was das päpstliche Geheimnis eigentlich ist, vor allem um die Wechselwirkungen von ignorierter Geheimhaltungspflicht und Rechtskultur geht: »The theatrical expectation of secrecy – much vaunted but hardly honored – creates a culture of gossip — exactly the kind of thing which the pope has warned against.« Der Status quo führe zu den schlechtesten Regeln, »the unenforced and disrespected rules, which can engender disrespect for the entire rule-making apparatus«.
Der kirchliche Datenschutz ist langsam im Regelbetrieb – 2018 war der große Umbruch, 2019 wurde noch aufgebaut, 2020 schon konsolidiert. In diesem Jahr sind die Institutionen des kirchlichen Datenschutzes etabliert. Die großen Aufsichten haben mittlerweile alle einen Bericht nach neuem Datenschutzrecht abgeliefert, die (katholischen) Gerichte entscheiden in beiden Instanzen, das Datenschutzrecht wächst und reift, und die operativen Datenschützer*innen können statt der Aufbau- und Umbruchskrise die Anforderungen der Corona-Krise managen.
(Bildquelle: Moritz Knöringer/CDC via Unsplash.com|Montage fxn)
Es wächst auch das Interesse sowohl in der Datenschutz-Szene wie der Kirchenrechtsszene an den kirchlichen Sonderwegen; sowohl in den weltlichen wie den kanonistischen Fachzeitschriften finden sich immer wieder Datenschutzthemen. Ganz allein ist dieses bescheidene Projekt hier also nicht mehr wie beim Start im vergangenen Jahr – die Zugriffszahlen, die Resonanz und die Zahl der Newsletterabonnenten entwickeln sich jedenfalls langsam, aber stetig nach oben. Dafür vielen Dank!
Zum Vergleich: Der Jahresrückblick 2020 – und der Jahresausblick 2021 aus dem Januar: Der hatte eine ziemlich hohe Trefferquote. Einen Jahresrückblick zum weltlichen Datenschutz gibt’s bei Dr. Datenschutz (Teil 1, Teil 2, Teil 3).
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die KDSA Ost befasst sich mit smarten Weihnachtsgeschenken. Das hat zwar nicht direkt etwas mit kirchlichem Datenschutz zu tun, aber allein wegen der sehr liebevoll gemachten selbstgebastelten Illustration mit einem aufgesmarteten Teddybär (die Antenne! DIE CLOUD OMG DIE CLOUD!) lohnt sich der Link. Die Checkliste, wie man geschenkte Technik so in Gang setzt, ist auch sehr nützlich. Aber vor allem: der Bär!
Auch in dieser Woche (allerdings auf den 24. November rückdatiert) sind bei der KDSA Ost Hinweise zu 3G am Arbeitsplatz erschienen. Dort wird noch einmal der Grundsatz der Datensparsamkeit betont: »Kann auf Namenslisten verzichtet werden, sollte man dies auch tun. Kann darauf verzichtet werden, den Impf- und Genesenenstatus zu speichern, sollte auch hierauf verzichtet werden.« Das sollte man auch in Freiburg nochmal lesen.
Die unabhängige Missbrauchsstudie der Schweizer Kirche wird konkreter, in dieser Woche wurde die Vertragsunterzeichnung mit der Uni Zürich verkündet. Bei kath.ch hat Raphael Rauch einen Blick auf den geplanten Umgang mit Persönlichkeitsrechten geworfen: »Missbrauchsstudie: Welche Kirchenvertreter müssen nicht anonymisiert werden?«
