Schlagwort-Archive: Datenschutzgericht der Deutschen Bischofskonferenz

KDSGO kommentiert – Rezension Reichold/Ritter/Gohm

Die Kirchliche Datenschutzgerichtsordnung ist bislang nur sehr knapp kommentiert. In Sydows KDG-Kommentar findet sich eine kaum zehnseitige von Ulrich Rhode besorgte Einführung, die zudem noch auf recht wenig Entscheidungen der kirchlichen Datenschutzgerichte zurückgreifen konnte. Diese Lücke schließt nun der neue Kommentar von Hermann Reichold, Thomas Ritter und Christian GohmAffiliate link, der die KDSGO neben der Mitarbeitervertretungsordnung und der Kirchlichen Arbeitsgerichtsordnung kommentiert.

Der Kommentar zu MAVO, KAGO und KDSGO von Reichold/Ritter/Gohm steht in einem Bücherregal
Reichold/Ritter/Gohm: MAVO, KAVO, KDSGO


Die Zusammenstellung wirkt auf den ersten Blick etwas wunderlich, vor allem das Nebeneinander von KAGO- und KDSGO-Kommentar ist allerdings hilfreich, und beschweren sollte man sich ohnehin nicht, wenn diese wichtige Materie Huckepack mitkommentiert wird, wo es wohl für einen Stand-alone-Kommentar nur einen zu kleinen Markt geben würde. Trotz Kinderkrankheiten: Der erste ausführliche KDSGO-Kommentar schließt eine große Lücke.

Weiterlesen

Kontroverse Offenlegungen – Wochenrückblick KW 28/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wochenrückblick Kirchlicher Datenschutz KW 28/2023
(Bildquelle: ali syaaban on Unsplash)
Weiterlesen

Erzbischof unterliegt Integrierter Gemeinde vor dem DSG-DBK

Die Verbreitung des Visitationszwischenberichts der Katholischen Integrierten Gemeinde durch die Visitator*innen an Dritte war rechtswidrig. Das hat das Datenschutzgericht der Deutschen Bischofskonferenz endgültig festgestellt.

Hinweis auf die öffentliche Gerichtsverhandlung an der Eingangstür zum DBK-Sekretariat
Hinweis auf die öffentliche Gerichtsverhandlung an der Eingangstür zum DBK-Sekretariat

Die nun veröffentlichte Entscheidung (DSG-DBK 02/2022 vom 8. Februar 2023) ist in der Sache keine Überraschung. Nach der mündlichen Verhandlung – der ersten in der Geschichte der katholischen Datenschutzgerichtsbarkeit überhaupt – war schon abzusehen, dass das Erzbistum München den Prozess verlieren würde. Das DSG-DBK nutzte den Fall aber, um einige grundsätzliche Fragen zur doch sehr knappen Kirchlichen Datenschutzgerichtsordnung zu klären.

Weiterlesen

Woche des Gerichts – Wochenrückblick KW 4/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das Datenschutzgericht der DBK liefert: Gleich zwei Entscheidungen wurden in dieser Woche veröffentlicht – wenn auch nicht die mit Spannung erwartete zum Streit zwischen dem Erzbistum München und Freising und der Integrierten Gemeinde. In der ersten Entscheidung stellt das DSG-DBK fest, dass Löschen für das Gericht keine Verarbeitung ist: In seiner Entscheidung DSG-DBK 04/2022 (Beschluss vom 3. Januar 2023) hat es die Feststellung eines Datenschutzverstoßes durch den IDSG im Fall einer gelöschten Beistandsakte verworfen. Die erste Instanz hatte alle Anträge des Klägers abgewiesen und nur diese Datenschutzverletzung durch Löschung festgestellt. Die zweite Instanz nimmt zwar auch an, dass die Vernichtung rechtswidrig war – aber aus anderen Gründen als dem Datenschutzrecht. Es gehöre gerade aber nicht zu den Aufgaben der kirchlichen Datenschutzgerichtsbarkeit, jenseits der Abwehr von Eingriffen in das Persönlichkeitsrecht von Betroffenen auf deren Antrag hin eine allgemeine Rechtmäßigkeitskontrolle des Handelns von Datenverarbeitern vorzunehmen, stellt das DSG-DBK fest (Rn. 19). Was das Gericht über die datenschutzrechtlichen Aspekte entschieden hat, ist interessant: »Das Recht des Antragstellers auf informationelle Selbstbestimmung, dessen Schutz das Datenschutzrecht nach § 1 KDG dient, kann durch eine Löschung von über ihn gespeicherten Daten nicht verletzt sein, weil durch Löschung der datenschutzrechtlich rechtfertigungsbedürftige Persönlichkeitseingriff ja gerade beendet wird.« (Rn. 19) Das kann man durchaus kritisch diskutieren: Auch Löschen ist eine Verarbeitung gemäß § 4 Nr. 3 KDG und bedarf damit einer Rechtsgrundlage – die hier anscheinend fehlte. So argumentierte noch die Vorinstanz (IDSG 10/2021, Rn. 32). Als Gedankenexperiment: Wenn ein online gespeichertes Tagebuch durch den Provider gelöscht wird: Ist das nur eine Verletzung des Hosting-Vertrags – oder greift das in die informationelle Selbstbestimmung ein?

Auch im zweiten DSG-DBK-Beschluss der Woche wurde die erste Instanz bestätigt: Weiterhin ist die Weitergabe von Korrespondenz innerhalb einer Behörde rechtens. (DSG-DBK 03/2021, Beschluss vom 23. Februar 2022.) Die erste Instanz wurde hier schon ausführlich besprochen: Das IDSG hatte als Rechtsgrundlage der Verarbeitung eine Einwilligung angenommen – eine Rechtsgrundlage, die einige Probleme in solchen Konstellationen aufwirft. Für das DSG-DBK war das kein Problem. Auch hier wird daran festgehalten: »Es handelt sich vielmehr um die vom Antragsteller selbst initiierte und gewünschte Bearbeitung seiner Eingabe, mithin um eine rechtmäßige Datenverarbeitung nach § 6 Abs. 1 lit. b) KDG.« Es bleibt also bei der kuriosen Situation, dass ein Betroffener einem Verantwortlichen eine rechtmäßige Einwilligung geben kann, ohne je informiert worden zu sein, und entgegen seiner erklärten Aussage, gerade keine Einwilligung gegeben zu haben.

Leider zu spät habe ich bemerkt, dass nun auch das IDSG seine ersten öffentlichen Verhandlungen hatte – schon am 13. Januar wurden zwei Fälle verhandelt. In der hier am Montag besprochenen Dissertation zum kirchlichen Datenschutzrecht hatte Michaela Hermes noch die in der KDSGO fehlende Öffentlichkeit verteidigt: »Der grundsätzliche Ausschluss der mündlichen Verhandlung, wie er auch in kanonischen Prozessrecht üblich ist, das den Öffentlichkeitsgrundsatz nicht realisiert, steht der Gewähr eines effektiven Rechtsschutzes nach Art. 47 GRCh nicht entgegen. Denn der EuGH hat unter Hinweis auf seine Rechtsprechung zu Art. 6 EMRK festgestellt, dass es keine absolute Verpflichtung zur Durchführung einer öffentlichen Verhandlung gibt.« Schön, dass die Tendenz der Gerichte dahin zu gehen scheint, mündliche Verhandlungen grundsätzlich öffentlich zu machen. Dann braucht man sich gar keine komplizierte Rechtfertigung zurechtlegen.

Weiterhin intransparent sind die für Datenschutz zuständigen Verwaltungsgerichte der EKD, die seit 2018 gar keine Entscheidungen veröffentlicht haben. Anfragen an die Pressestelle (die trotz der Unabhängigkeit der Kirchengerichte als Kontaktadresse für Presseanfragen angegeben wird), ob und wie viele Fälle mit DSG-EKD-Bezug entschieden wurden, wurden seit Oktober 2020 (!) nur mit Vertröstungen beantwortet. Erst in diesem Monat habe ich einen direkten Kontakt für Presseanfragen bei den Kirchengerichten bekommen. Dort gab es wenigstens prompt eine Eingangsbestätigung.

Weiterlesen

Endlich Evaluierung? Jahresausblick 2023 zum kirchlichen Datenschutz

Im kirchlichen Datenschutz passiert ziemlich viel – das hat der Jahresrückblick 2022 gezeigt. Gleichzeitig passiert bei diversen Dauerbrennern auch ziemlich wenig – der Facebook-Crackdown blieb aus, der DSG-EKD-Kommentar ist immer noch nicht veröffentlicht, das KDSZ Bayern lässt immer noch auf sich warten. 2023 könnte das Jahr werden, in dem zumindest einiges davon endlich Wirklichkeit wird.

Eine Glaskugel auf rotem Stoff, links daneben ein Schlüssel
Blick in die Glaskugel. (Bildquelle: Michael Dziedzic/Unsplash)
Weiterlesen

Dauerbrenner und kontraintutive konfessionelle Transparenz – das war 2022

2022 endet, wie es begonnen hat: Die hier prophezeiten großen Themen können alle auf Wiedervorlage gelegt werden. Die große Facebook-Dämmerung kam nicht – alle warten immer noch auf das Musterverfahren zwischen dem Bundesdatenschutzbeauftragten und dem Bundespresseamt. Bei der Evaluierung der kirchlichen Datenschutzgesetze gibt es auch nichts Neues – das KDG ist nach wie vor überfällig, beim DSG-EKD ist öffentlich keine Bewegung sichtbar. Die KDSA Nord ist immer noch keine KdÖR, und in Bayern ist Jupp Joachimski im 81. Lebensjahr Diözesandatenschutzbeauftragter ohne Aussicht auf Ablöse. Der DSG-EKD-Kommentar ist immer noch nicht da, die KDSGO-Kommentierung auch nicht.

Jahresrückblick kirchlicher Datenschutz 2022
(Bildquelle: Moritz Knöringer on Unsplash)

Vormals große Themen wie der Umgang mit Corona haben an Bedeutung verloren – im Frühjahr wurde noch über den richtigen Umgang mit Impfnachweisen diskutiert, seither ist die Pandemie zumindest datenschutzrechtlich vorbei. Die Tendenz der vergangenen Jahre zeichnet sich also fort: Der kirchliche Datenschutz läuft im Regelbetrieb. Große Aufregerthemen blieben aus, nach Ausnahmejahren der Pandemie können sich Aufsichten und Verantwortliche wieder auf ihre Regelaufgaben konzentrieren.

Weiterlesen

Integrierte Gemeinde v. Erzbischof – Ortstermin beim Datenschutzgericht

Am Freitag hat das Datenschutzgericht der Deutschen Bischofskonferenz zum ersten Mal in mündlicher Verhandlung getagt. Zu verhandeln waren die Rechtsmittel, die gegen den Beschluss zur Visitation der Münchener Katholischen Integrierten Gemeinde (KIG) eingelegt wurden. (Erste Instanz: IDSG 03/2020 vom 9. Dezember 2021.) Wesentliche Streitpunkte dabei: Stellt die Weitergabe eines Zwischenberichts der Visitator*innen einen Datenschutzverstoß dar, und wem wäre der zuzurechnen – den Visitator*innen selbst oder dem Erzbistum in Gestalt des Münchner Erzbischofs Kardinal Reinhard Marx?

Hinweis auf die öffentliche Gerichtsverhandlung an der Eingangstür zum DBK-Sekretariat
Hinweis auf die öffentliche Gerichtsverhandlung an der Eingangstür zum DBK-Sekretariat

Eigentlich sieht die Kirchliche Datenschutzgerichtsordnung wenig Transparenz vor: Keine Pflicht zur Veröffentlichung von Beschlüssen, und erst recht keine Öffentlichkeit der Verhandlungen. Umso mehr spricht es für das Gericht, dass es weit transparenter als vorgeschrieben arbeitet. Wenn auch recht kurzfristig angekündigt (öffentlich auf der Webseite des Gerichts in derselben Woche wie die Verhandlung), so war die Verhandlung doch öffentlich.

Weiterlesen

Quellen des Ärgers – Wochenrückblick KW 43/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Google-Fonts-Abmahnungen beschäftigen auch kirchliche Stellen. Die Rechtsabteilung des Bistums Osnabrück warnt vor Schadensersatzforderungen. In der Warnung wird darauf hingewiesen, dass eine dynamische Einbindung dann datenschutzrechtlich problematisch sein kann, »wenn kein zusätzliches Consent-Tool eingesetzt wird«. Von einer Bezahlung wird abgeraten: »Angesichts der Häufung derartiger Abmahnungen handelt es sich um ein unzulässiges und damit rechtsmissbräuchliches Vorgehen«, so die Rechtsabteilung. Im Erzbistum Freiburg weist die Datenschutzabteilung darauf hin, dass das bistumseigene CMS Sesam Google-Fonts lokal und damit datenschutzkonform einbindet – was eine Kanzlei nicht von einer (unbegründeten) Abmahnung abhielt, und auch das Bistum Speyer warnt. Nicht nur Deutschland ist betroffen: Schon im September hatte die österreichische Diözese St. Pölten vor entsprechenden Massenanschreiben einer österreichischen Kanzlei gewarnt.

Ein anderer Google-Dienst ist datenschutzkonform einsetzbar: »Da die Google Search Console keine personenbezogenen Daten verarbeitet, ist die Nutzung dieser Konsole datenschutzrechtlich unbedenklich, so der EKD-Datenschutzbeauftrage auf Nachfrage«, findet man bei Ralf Peter Reimanns Einblicken in die Analyse der Webseiten der Evangelischen Kirche im Rheinland. Damit auch im Backend der Datenschutz gewahrt wird, sollte man allerdings für den Zugang keine personalisierten Accounts verwenden.

In seinem aktuellen Tätigkeitsbericht befasst sich der Thüringer Landesdatenschutzbeauftragte mit der Vorlage von Kontoauszügen beim Jobcenter und der Zulässigkeit von Schwärzungen. Das Schwärzen von einzelnen Buchungen könne dem Antragsteller nicht grundsätzlich verwehrt werden, betont der TLfDI. Grundsätzlich zulässig sei es, wenn die Buchungstexte Angaben über besonders geschützte Daten enthielten: »Dazu zählen Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Beispielsweise kann bei Überweisungen von Mitgliedsbeiträgen an eine Partei oder bei Zahlungen an eine Religionsgemeinschaft die Bezeichnung der Organisation geschwärzt werden«, heißt es im Bericht. Nicht geschwärzt werden solle bei den einzelnen Buchungen aber, dass es sich um Mitgliedsbeiträge oder Spenden handelt.

Bei katholisch.de habe ich über zunehmende Ransomware-Angriffe auf kirchliche Einrichtungen berichtet. Zu Wort kommt neben der Caritas München auch der Vorsitzende der Konferenz der Diözesandatenschutzbeauftragten.

In der aktuellen Ausgabe von Theologie und Glaube hat der Paderborner Kirchenrechtler Rüdiger Althaus einen Beitrag zu geistlichem Missbrauch veröffentlicht. Darin widmet er sich auch der Bedeutung des Datenschutzkanons can. 220 CIC beim Schutz von Persönlichkeitsrechten und Intimsphäre. (Open access, aber nicht direkt verlinkbar, S. 320f.)

In der Regel verhandeln die kirchlichen Datenschutzgerichte ohne mündlichen Termin. Die erste mündliche Verhandlung überhaupt findet an diesem Freitag um 13 Uhr statt. Gegen die Entscheidung des IDSG im Zusammenhang mit der Visitation der Katholischen Integrierten Gemeinde (IDSG 03/2020) wurden Rechtsmittel eingelegt (Aktenzeichen DSG-DBK 02/2022), über die das DSG-DBK jetzt zu entscheiden hat. Obwohl die KDSGO dazu keine Regelung trifft, ist die Verhandlung öffentlich, ich bin als Journalist akkreditiert und werde berichten.

Weiterlesen

So urteilt das kirchliche Datenschutzgericht

Die kirchliche Datenschutzgerichtsbarkeit beschreitet für die katholische Kirche Neuland: Erstmals wurde durch die Kirchliche Datenschutzgerichtsordnung eine (inter-)diözesane Verwaltungsgerichtsbarkeit eingerichtet. Zusammen mit dem KDG trat am 24. Mai 2018 die Kirchliche Datenschutzgerichtsordnung in Kraft, ihre Arbeit haben die beiden Instanzen etwas später aufgenommen.

Ein Richterhammer liegt auf einer Ausgabe der Kirchlichen Datenschutzgerichtsordnung (KDSGO)
Die KDSGO regelt die kirchliche Datenschutzgerichtsbarkeit.

Aktuell sind in der offiziellen Entscheidungssammlung 18 Beschlüsse des Interdiözesanen Datenschutzgerichts und 2 Beschlüsse des Datenschutzgerichts der Deutschen Bischofskonferenz veröffentlicht – damit lässt sich ein erster Überblick über Tendenzen in der Rechtsprechung geben. (Tatsächlich wurden auch einige Entscheidungen wieder offline genommen. Alle bekannten Aktenzeichen finden sich hier in der Entscheidungssammlung. Ausgewertet wurden hier auch die beiden Entscheidungen IDSG 2019/09 vom 20. Februar 2020 und IDSG 02/2018 vom 5. Mai 2020, die nachträglich offline genommen wurden.)

Weiterlesen

Der oberste bayerische katholische Datenschützer wird 80

Jupp Joachimski wird 80. Als bayerischer Diözesandatenschutzbeauftragter ist er immer noch im Dienst – auch wenn seine Amtszeit eigentlich schon lange abgelaufen ist: Es gibt einfach keinen Nachfolger, und Joachimski macht (wie das Gesetz es befiehlt) einfach weiter. Zum 80. schenkt das Katholische Datenschutzzentrum Dortmund dem Jubilar eine Festschrift in der Reihe »Schriften zum kirchlichen Datenschutz«.

Porträt von Jupp Joachimski mit dem Titel der Festschrift anlässlich seines 80. Geburtstags
Mit der von Steffen Pau, Christine Haumer und Stephanie Melzow herausgegebenen Festschrift »Justiz die Pflicht, Datenschutz die Kür« würdigen die Diözesandatenschutzbeauftragten und Weggefährt*innen den Vorsitzenden Richter am Bayerischen Obersten Landesgericht a.D.

Etwa die Hälfte des Bandes machen Aufsätze zum kirchlichen Datenschutz aus: Neben den anderen Diözesandatenschutzbeauftragten und ihren Mitarbeitenden kommen unter anderem der bayerische Landesdatenschutzbeauftragte Thomas Petri und der Würzburger Kirchenrechtler Martin Rehak zu Wort. Die Aufsätze sind meist historisch und deskriptiv ausgerichtet – sie geben aber auch einige neue, bislang unbekannte Informationen zum kirchlichen Datenschutz. Mehr oder weniger zwischen den Zeilen scheint es auch langsam Gewissheit zu werden, dass das lange geplante Katholische Datenschutzzentrum Wirklichkeit wird.

Weiterlesen