Schlagwort-Archive: Corona-Pandemie

Impffragen und Jubiläum im Geheimarchiv – Wochenrückblick KW 35/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Frage, ob Beschäftigte von ihren Arbeitgeber*innen nach dem Impfstatus gefragt werden dürfen, beherrscht diese Woche die Pandemie-Diskussion. Gegenüber dem ZDF hat sich dazu auch Theologe und Ethikratsmitglied Andreas Lob-Hüdepohl geäußert: »Der Datenschutz ist ein wichtiges Gut, allerdings werden die Daten nicht um ihrer selber geschützt, sondern sie dienen der Persönlichkeitssphäre der betroffenen Mitarbeiterinnen und Mitarbeiter, von daher muss man tatsächlich in dieser Situation eine Güterabwägung vornehmen, nämlich zwischen dem Gut der geschützten Daten um des Persönlichkeitsschutzes willen, oder aber das Wissen um bestimmte Daten, in diesem Fall Gesundheitsdaten, auch um Personen zu schützen, nämlich im Betrieb, von daher ist das grundsätzlich anzudenken und möglicherweise sogar erforderlich.« Lob-Hüdepohl betont dabei die ethische Notwendigkeit einer rechtlichen Regelung: »denn nur was gesetzlich geregelt ist, dagegen kann ich mich gegebenenfalls auch wehren, das ist ein Rechtsstaatsprinzip«, so der Berliner Theologe.

Das Katholische Datenschutzzentrum Dortmund feiert sein fünfjähriges Jubiläum und die Bestätigung von Steffen Pau als Diözesandatenschutzbeauftragter auf fünf weitere Jahre. (Amtsblatt- und Artikel-91-Leser*innen wussten das schon.) In der Meldung hebt das Datenschutzzentrum seine organisatorische Vorreiterrolle hervor, die die Errichtung als KdÖR darstellte: »In der Folge entstand für die südwestlichen (Erz-)Bistümer in Deutschland das „Katholische Datenschutzzentrum Frankfurt am Main“ (KdöR). Auch die Freisinger Bischofskonferenz plant zur Unterstützung des gemeinsamen Diözesandatenschutzbeauftragten der bayerischen (Erz-)Bistümer ein „kirchliches Datenschutzzentrum“ in Nürnberg zu errichten.« Wann das der Fall sein wird, ist trotz vieler Nachfragen bei der Pressestelle der Freisinger Bischofskonferenz noch nicht zu erfahren.

Im Würzburger »Kanon des Monats« geht es im September um die bischöflichen Geheimarchive. Jessica Scheiper, die das Thema bereits vor einigen Wochen bei Feinschwarz angesprochen hatte, legt jetzt noch einige kanonistische Details nach. Dazu gehört auch der Verweis auf can. 490 § 3 CIC: »Aus dem Geheimarchiv bzw. Geheimschrank dürfen keine Dokumente herausgegeben werden.« Das hat auch für die Betroffenenrechte des Datenschutzrechts erhebliche Auswirkungen: Das Universalkirchenrecht ist höherrangiges Recht als das KDG und geht damit den datenschutzrechtlichen Auskunftsrechten vor. Da im Geheimarchiv unter anderem »Akten der Strafsachen in Sittlichkeitsverfahren« gelagert werden, hebelt das insbesondere die Rechte von Betroffenen sexualisierter Gewalt aus.

Weiterlesen

Noch weniger Betroffenenrechte im Osnabrücker Schuldatenschutz

Nach dem Erzbistum Hamburg hat auch das Bistum Osnabrück eine Durchführungsverordnung zum Schutz personenbezogener Daten in katholischen Schulen veröffentlicht. Schon die Hamburger Ordnung hat einen zwiespältigen Eindruck hinterlassen: Während die digitalen Methoden und Werkzeuge angemessen berücksichtigt wurden, wurden die Betroffenenrechte von Schüler*innen empfindlich eingeschränkt.

Ein Kind zeichnet mit einem Stylus auf einem Tablet
Ein Kind zeichnet mit einem Stylus auf einem Tablet (Photo by Jeswin Thomas on Unsplash)

Die Osnabrücker Verordnung ähnelt in weiten Teilen der Hamburger, mit einigen Umstellungen und kleineren Änderungen – aber auch mit substantiellen Unterschieden. Und zwar nicht zum Besseren.

Weiterlesen

Rekordgeldbuße im Südwesten – Tätigkeitsbericht 2020 des KDSZ Frankfurt erschien

Der Tätigkeitsbericht 2020 der katholischen Aufsicht für den Südwesten ist da – und damit ist der 2020er-Reigen vorerst abgeschlossen. (Der bayerische DDSB berichtet immer von September bis September statt zum Kalenderjahr.) Natürlich gibt es wieder viel Corona – und in einem Nebensatz den Hinweis auf die bisher höchsten bekannten Geldbußen im kirchlichen Datenschutz.

Die Titelseite des Tätigkeitsbericht 2020 der KDSZ Frankfurt
Den Bericht des KDSZ Frankfurt ziert eine schöne Statue des hl. Johannes Nepomuk – leider ist auch in der verwendeten Stockphoto-Datenbank nicht herauszufinden, wo diese Statue steht. Vielleicht weiß es ein*e Leser*in?

Erstmals ziert der heilige Johannes Nepomuk den Tätigkeitsbericht – anlässlich der Errichtung als KdÖR hat das Katholische Datenschutzzentrum Frankfurt ein Siegel und einen Schutzpatron bekommen. (Und der NRW-Datenschutzpatron Ivo einen Kollegen.) Er möge, so die Diözesandatenschutzbeauftragte, »den Blick dafür öffnen, wann man reden und wann man vielleicht besser schweigen sollte«.

Weiterlesen

Zweite Instanz: Der Pfarrer darf Gottesdienst-Teilnahmelisten kontrollieren

Auch das Datenschutzgericht der Deutschen Bischofskonferenz hat kein Problem damit, dass ein Leitender Pfarrer nach den Gottesdiensten die Teilnahmelisten auf Richtigkeit kontrolliert. Das geht aus dem bereits am Freitag veröffentlichten Beschluss der zweiten Instanz hervor (DSG-DBK 01/2021), der die Entscheidung des IDSG (IDSG 27/2020) bestätigt und die Einwände des Katholischen Datenschutzzentrums Dortmund verwirft.

Carl Spitzweg: Disputierende Mönche
Jetzt ist es amtlich: Der Pfarrer darf die Kontaktnachverfolgungslisten kontrollieren. (Symbolbild: Carl Spitzweg: Disputierende Mönche (Detail) – gemeinfrei/Wikimedia Commons)

Bei dem Fall ging es um einen Pfarrer, der Teilnahmelisten im Nachhinein auf Plausibilität hin kontrolliert hatte – offiziell mit der Begründung, dass nur so die von der Corona-Schutzverordnung des Landes geforderte Rückverfolgbarkeit sichergestellt werden könne, zudem solle so eine Evaluierung des Hygienekonzeptes erfolgen. Zum Konflikt kam es aber dadurch, dass mit dem Abgleich von Anwesenheitslisten und Anmeldungen aufflog, dass zwei Ehrenamtliche zwar da waren, sich aber nicht angemeldet hatten. (Der Protest gegen die Anmeldepflicht war angekündigt.) Auf ihre Beschwerde hin hatte die Aufsicht die nachträgliche Durchsicht verboten, dagegen wehrte sich die Pfarrei, die nun in beiden Instanzen recht bekommen hat. (Der Beschluss des Instanzgerichts wurde hier bereits sehr kritisch besprochen.)

Weiterlesen

Betroffenenrechte mangelhaft – Tätigkeitsbericht 2020 des Katholischen Datenschutzzentrums NRW

»Corona.« Mit einem Seufzer beginnt das Vorwort des Tätigkeitsberichts des Katholischen Datenschutzzentrums Dortmund für 2020. Die Bericht der Aufsicht für die NRW-Bistümer und den VDD kommt wie die anderen bereits erschienenen Berichte natürlich nicht um das alles beherrschende Thema herum, setzt aber noch einige andere Schwerpunkte: Schrems II und Brexit sind von außen gesetzt. (Und bieten für regelmäßige Leser*innen hier nichts neues.) Eine intensive Auseinandersetzung mit Betroffenenrechten und eine Kita-Querschnittsprüfung sind selbst gewählt.

Titelseite des Tätigkeitsberichts 2020
Fünf Zeilen für den Namen der Behörde. Eine mögliche Umbenennung in KDSA NRW wird im Bericht aber nicht angesprochen.

Im vergangenen Jahr hieß es hier zum Tätigkeitsbericht für 2019 »Die Schonzeit ist vorbei«. Auch in diesem Jahr macht der DDSB deutlich, dass (zum Veröffentlichungszeitraum) nach mehr als drei Jahren KDG nicht mit allzu viel Nachsicht zu rechnen ist. Die großen Bußgeld-Hämmer blieben dennoch aus.

Weiterlesen

Keine Gelegenheit für Bußgelder – Tätigkeitsbericht 2020 der KDSA Nord

Noch schnell vor der Sommerpause hat die Katholische Datenschutzaufsicht Nord am Donnerstag ihren Tätigkeitsbericht für 2020 veröffentlicht – natürlich ein weiterer Corona-Bericht. Die Pandemie hat sich neben dem Ausfall von allen Vor-Ort-Prüfungen bis auf zwei vielfältig in der Aufsichts- und Beratungstätigkeit niedergeschlagen.

Titelseite des Tätigkeitsberichts 2020 der KDSA Nord

Titelseite des Tätigkeitsberichts 2020 der KDSA Nord

Eine auffällige Leerstelle im Bericht sind die Aufsichtsmaßnahmen: Zwar werden einige Fälle geschildert, in denen durchaus gravierende Datenschutzverstöße vorliegen. Bußgelder werden jedoch nicht erwähnt. Auf Anfrage teilte mir der Diözesandatenschutzbeauftragte Andreas Mündelein mit, dass er keine Möglichkeit hatte, Bußgelder zu verhängen – die besonders gravierenden Fälle waren bei öffentlich-rechtlich organisierten Stellen und damit durch das KDG von Bußgeldern ausgenommen. Der Glaubwürdigkeit der kirchlichen Selbstverwaltung trägt diese Regelung nicht bei.

Weiterlesen

Einige Eigenheiten – Tätigkeitsbericht des BfD EKD 2019/2020

Der Beauftragte für den Datenschutz der EKD hat seinen Bericht für 2019 und 2020 vorgelegt – der erste, der komplett in den Geltungsbereich des neuen Datenschutzrechts fällt. Mit 64 Seiten ist er für zwei Jahre und eine Zuständigkeit für fast die komplette EKD doch recht kompakt. Dennoch gibt es darin einiges Interessantes über den Datenschutz in der evangelischen Kirche zu erfahren – und viel über die Eigenheiten des von der DSGVO besonders stark abweichenden DSG-EKD.

Die stellvertretende Vorsitzende des Rates der EKD Dr. h.c. Annette Kurschus (links) und der Beauftragte für den Datenschutz der EKD Michael Jacob (rechts) bei der Übergabe des Berichts. (Bildquelle: BfD EKD)
Die stellvertretende Vorsitzende des Rates der EKD Dr. h.c. Annette Kurschus (links) und der Beauftragte für den Datenschutz der EKD Michael Jacob (rechts) bei der Übergabe des Berichts. (Bildquelle: BfD EKD)

Natürlich kommt auch der BfD EKD nicht ohne eine Betonung der Relevanz seines Feldes aus – Bonuspunkte sammelt er dadurch, dass er nicht das abgelutschte Bonmot vom Schutz der Menschen, nicht der Daten verwendet. Bei ihm ist es so formuliert: »Auch in Zeiten der Corona-Pandemie brauchen wir in Staat und Kirche einen grundrechtebasierten Datenschutz! Das ›Datenschutzgrundrecht‹ hat sich stets als ein verlässlicher Partner an der Seite der Menschen erwiesen.«

Weiterlesen

Sie soll, sie kann, sie will – Wochenrückblick KW 22/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Monatsanfang ist immer wie ein kleines Weihnachten: Dann veröffentlicht der Würzburger Kirchenrechtslehrstuhl seinen »Kanon des Monats«. Der 1. Juni war wie Weihnachten und Ostern: Der Kanon des Monats Juni ist can. 220 CIC – also der Datenschutzkanon. Martina Tollkühn gibt einen Überblick über die universalkirchliche Datenschutzgesetzgebung und wie und warum sie in Deutschland so konkret ausgestaltet wird: »Aber warum haben die deutschen Bistümer eigene Regelungen zum Datenschutz? Und was hat das mit dem c. 220 CIC/1983 zu tun? Die Kurzformel auf diese Fragen könnte sein: Weil sie sollen, weil sie können und weil sie wollen.« Nicht beantwortet wird allerdings, warum sie wollen sollten, was sie können, und warum dazu die allgemeinen staatlichen Gesetze nicht genügen. Etwas zirkulär positivistisch lautet die Begründung: Kirchen dürfen ihre eigenen Angelegenheiten selbst regeln, und weil sie ein Datenschutzrecht haben, ist das eine eigene Angelegenheit.

Die KDSA Ost hat sich mit Corona-Tests an Schulen befasst – vor drei Wochen war eine Entscheidung aus Hamburg dazu schon Thema hier. Im Ergebnis kommt die Aufsicht zu einem ähnlichen Ergebnis wie das Verwaltungsgericht, aber mit einem deutlichen Fokus auf die Zulässigkeit von Testungen in Schulen: »Schüler*innen und Erziehungsberechtigte, die mit dieser Art der Durchführung und Erhebung von personenbezogenen Daten nicht einverstanden sind, sollte die Möglichkeit eingeräumt werden, ein negatives Testergebnis durch ein anerkanntes Testzentrum (auch Schnelltestzentrum) oder einem Arzt vorzulegen.« Das Verwaltungsgericht hatte festgestellt, dass externe Tests anerkannt werden müssen. Ohne sollte.

Und dann hat die KDSA Ost sich auch noch einmal zur Abdingbarkeit von Technischen und organisatorischen Maßnahmen geäußert, nachdem der Hamburger Datenschutzbeauftragte die als Möglichkeit gesehen hatte (auch hier wurde schon darüber berichtet). Die kirchliche Aufsicht bekräftigt nun noch einmal die bereits zuvor geäußerte Ansicht, dass eine Einwilligung sich nur auf das Ob, nicht auf das Wie der Datenverarbeitung beziehen kann: »Würde man die Einwilligung so weit für zulässig erachten, wie dies im Vermerk der Hamburger Datenschutzbehörde zum Ausdruck kommt, handelte es sich nicht mehr um eine Einwilligung, sondern um einen Verzicht auf Datenschutz«, so die KDSA Ost – mit der paradoxen Folge, dass es zwar problemlos möglich wäre, in die Veröffentlichung der eigenen Daten auf einer Webseite zuzustimmen, nicht aber in eine ungesicherte E-Mail-Übermittlung derselben Daten.

Der Beschluss des IDSG zu einer Datenpanne durch fehlgelaufene Briefe in einem katholischen Krankenhaus wurde hier schon besprochen. Einige kritische Anfragen daran haben die Datenschutz-Notizen aufgeworfen: Es scheint unterschiedliche Ansichten dazu zu geben, wie ausführlich das Verfahrensverzeichnis sein muss – die beteiligte Aufsicht scheint dort auch eine konkrete Verfahrensbeschreibung zu erwarten, die den Beschäftigten bekannt sein muss. Das Gericht folgte der Ansicht, dass Verfahren im Detail dokumentiert sein müssen. »Die dabei geforderte Detailtiefe ist auf den ersten Blick überraschend«, so die Autorin, der nötige Aufwand bei der Erstellung von Verarbeitungsverzeichnissen wäre enorm: »Die hierdurch gebundenen personellen Kapazitäten könnte man sicher an anderen Stellen sinnvoller nutzen.« Mit Blick auf das KDG und das Verarbeitungsverzeichnis-Muster der Aufsichten wirken die Anforderungen des Gerichts aber durchaus plausibel. Im Musterformular gibt es mit Feld B.3 Verarbeitungsablauf ein passendes Feld: »Eine (kurze) Beschreibung des operativen Ablaufs der Verarbeitung mit ihren wichtigsten Schritten«, und das Gesetz selbst sieht vor, »wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen« aufzunehmen (§ 31 Abs. 1 lit. h)).

Weiterlesen

Dokumentieren, verschicken und büßen – Wochenrückblick KW 19/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das ist doch erfreulich: Die Arbeit am Kirchlichen Datenschutzmodell geht voran – nachdem bei der Vorstellung vor zwei Wochen erst drei Bausteine verfügbar waren, wurde jetzt der vierte zum Thema »Dokumentieren« veröffentlicht. Das macht Hoffnung, dass die Bausteine schnell komplettiert werden. Ein Satz aus dem Baustein passt zum hier immer wieder angesprochenen Thema der Zugänglichkeit kirchlichen Rechts: »Den verantwortlichen kirchlichen Stellen wird […] empfohlen, ein Rechtskataster zu pflegen, welches speziell zusammengestellt ist und den rechtlichen Rahmen aller in und von der verantwortlichen Stelle zu erfüllenden Aufgaben abdeckt« – gar nicht so einfach angesichts der nur in manchen Bistümern gut zugänglichen kirchlichen Rechtssammlungen.

Am Mittwoch wurde außerdem eine weitere Entscheidung des Interdiözesanen Datenschutzgerichts veröffentlicht (IDSG 14/2020 vom 19. April 2021) – der zugrundeliegende Fall dreht sich um den Klassiker »fehlgelaufener Patient*innenbrief«. In der Sache und für die Praxis interessant dürfte die Diskussion des Verfahrensverzeichnisses sein, in dem das Verfahren des Versands und der Kontrolle der Richtigkeit der Unterlagen im Laufe des Falls detailliert ausgearbeitet wurde (RN 4). Erstmals wird mit 2000 Euro auch eine einzelne Summe eines Bußgelds bekannt. Von grundsätzlicher rechtlicher Bedeutung sind die Fragen nach der Zuständigkeit des Gerichts für die Überprüfung von Bußgeldbescheiden (das sieht das IDSG als gegeben an, RN 51f.; man merkt aber dem Schluss an, dass man sich wohl auch eine eigene Kompetenz zur Verhängung wünschen würde, RN 58) und die auch schon an anderer Stelle aufgeworfene Frage, inwiefern überhaupt Bußgelder verhängt werden können, wenn die Datenschutzverletzung von Mitarbeitenden begangen wird. Im vorliegenden Fall argumentiert das Gericht mit dem Funktionsträgerprinzip und bekräftigt seine Position aus einem vorherigen Fall, »dass dem Rechtsträger als dem Verantwortlichen nicht nur das Verhalten von Organen, sondern auch das Verhalten anderer Mitarbeiter zugerechnet wird« (RN 47). Auch der aktuelle Fall fällt allerdings vor die Geltung des Gesetzes über das Verwaltungsverfahren im kirchlichen Datenschutz, das das Ordnungswidrigkeitengesetz für anwendbar erklärt. Wie ähnliche Fälle jetzt entschieden würden, ist also noch offen.

Und, teilweise in eigener Sache: Die Datenschutz-Notizen weisen auf die Evaluierung des KDG hin und dabei auch sehr freundlich auf die hier auf »Artikel 91« ausgegrabenen Erkenntnisse.

Weiterlesen

Windows-10-Schnelltest für Schüler*innen bei YouTube – Wochenrückblick KW 18/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Gleich zwei nützliche Handreichungen hat in dieser Woche die KDSA Ost veröffentlicht: Die »Mustervorlage freiwilliger Corona-Schnelltest« dürfte gerade in einigen Unternehmen benötigt werden. Interessant ist die dort angeführte Rechtsgrundlage: »§ 11 (2) lit. a KDG iVm. § 26 (2) BDSG«, also die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten in Verbindung mit den erhöhten Anforderungen an eine Einwilligung im Beschäftigungsverhältnis. Eine derartige Norm fehlt in § 53 KDG, die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses regelt. Dass man auch im kirchlichen Datenschutzrecht gut daran tut, Einwilligung im Beschäftigungskontext besonders streng zu ziehen, dürfte keine Überraschung sein. Dass dabei aber direkt auf eine BDSG-Norm verwiesen wird, ist neu und wirft die Frage auf, ob nach Ansicht der Aufsicht alle BDSG-Regelungen hilfsweise herangezogen werden können, wenn das KDG nichts regelt.

Mit Blick auf das näher rückende Schuljahresende ist die zweite Handreichung nützlich, bei der es um Leistungsnachweise per Video im Homeschooling geht. In fünf kompakten Punkten gibt es eine gut umsetzbare Hilfestellung – nur bei Punkt 3 ist fraglich, ob sich die Schüler*innen in der Sache wirklich sensibilisieren lassen wollen. Auch hier gibt es eine interessante Formulierung: So sei die Zustimmung von Eltern und Kindern nötig. »Diese Einverständniserklärung kann auch durch das schlüssige Handeln erfolgen, indem das Video aufgenommen und zur Bewertung zur Verfügung gestellt wird« – im folgenden Satz wird auch explizit von »Einwilligung« gesprochen – anscheinend wird hier einer der Fälle angenommen, in denen gemäß § 8 Abs. 2 KDG von der Schriftform aufgrund »besonderer Umstände« abgewichen werden kann. So einen Umgang mit der Einwilligung ist bisher nicht von Aufsichten bekannt – im Zweifelsfall würde man hier wohl lieber doch auf eine schriftliche Einwilligung nach den Regeln der Kunst zurückgreifen, schon weil die Einwilligung sowohl von Eltern wie von Schüler*innen konkludent eher schwer nachzuweisen ist.

Auch die Konferenz der Diözesandatenschutzbeauftragten hat gearbeitet: Für den Einsatz von Windows 10 gibt es technische Handreichungen, wie man das Betriebssystem datensparsam betreiben kann – die Frage, ob Windows 10 überhaupt rechtskonform eingesetzt werden kann, wird bewusst ausgeblendet.

In Altenberg und digital tagt gerade die BDKJ-Hauptversammlung. Im Bericht des Bundesvorstands des Dachverbands der katholischen Jugendverbände wird auch das Engagement für einen handhabbaren Datenschutz angesprochen: »Insbesondere während der Corona-Pandemie sind die benötigten digitalen Räume nicht ohne bewusste Verstöße gegen die geltenden Bestimmungen nutzbar. Auch die Erreichbarkeit der Zielgruppe ist über KDG-konforme Medien kaum gegeben. Der Bundesvorstand ist bemüht, die konkreten Veränderungs­bedarfe zu sammeln und in eine Novellierung der Gesetze einzubringen.« Über aktuelle Entwicklungen bei der KDG-Evaluierung haben diese Woche auch die Datenschutz-Notizen berichtet.

Bei Feinschwarz plädiert die Kirchenrechtlerin Jessica Scheiper für mehr Transparenz im kirchlichen Archivwesen – leider sieht das Kirchenrecht nämlich vor, dass Bischöfe Geheimarchive unterhalten. Zu viel Schutz von Daten (vor allem wenn er nicht dem Grundrechtsschutz, sondern dem Institutionenschutz dient), schadet: »Ein wichtiger Schritt in die richtige Richtung könnte daher sein, wenn die für die Geheimarchive zuständigen Diözesanbischöfe oder auch ganze Bischofskonferenzen um die päpstliche Dispens von der Pflicht zur Geheimarchivierung bitten würden.«

Weiterlesen