Schlagwort-Archive: Datenschutzkonferenz

DSG-EKD amtlich geändert – Wochenrückblick KW 50/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das DSG-EKD ist nun amtlich geändert: Am Donnerstag veröffentlichte die EKD das Änderungsgesetz im Amtsblatt. (Was sich ändert, stand auch schon mal hier. Spoiler: Nichts Spektakuläres.)

Am Mittwoch fand (wahrscheinlich) das zweite Treffen der Datenschutzkonferenz mit den spezifischen Aufsichten für dieses Jahr statt. Den Termin hatte ich im Sommer mit einer IFG-Anfrage herausgefunden, das Protokoll wird dann wieder per Informationsfreiheitsgesetz zu befreien sein – wie jedes Mal. Auch ohne Transparenzgesetz könnte die DSK die Informationen auch einfach immer von vornherein veröffentlichen.

Zum Ende seiner Amtszeit legt der Gemeinsame Rundfunkdatenschutzbeauftragte von BR, SR, WDR, Deutschlandradio und ZDF einen Abschlussbericht vor. Darin geht er auch noch einmal auf die mangelnde Beteiligung der spezifischen Aufsichten ander Datenschutzkonferenz ein (Rn. 28f.), die er bereits zuvor in einem Positionspapier thematisiert hatte. Konkrete Verabredungen gebe es noch nicht. »Ziel sollte es sein, den nach Auffassung aller Beteiligten bislang unbefriedigenden retrospektiven Austausch durch ein Verfahren zu ersetzen, das eine frühzeitige wechselseitige Information und gegebenenfalls gemeinsame Positionierungen ermöglicht«, so der Rundfunkdatenschutzbeauftragte.

In der aktuellen ZMV befasst sich Matthias Ullrich, der Diözesandatenschutzbeauftragte der Ost-Bistümer und Autor des hier schon besprochenen Buchs »Beschäftigtendatenschutz der katholischen Kirche« mit betrieblichen Datenschutzbeauftragten im staatlichen und kirchlichen Recht. Gewohnt gelungen ist dabei die Verknüpfung von arbeits- und datenschutzrechtlicher Expertise, die auf einige Fragen abhebt, die aus dem Datenschutzrecht allein nicht zu beantworten sind, etwa zur Bestellung (nach Ansicht Ullrichs nicht durch einseitige Übertragung, sondern in der Regel durch eine Arbeitsvertragsänderung vorzunehmen), Probezeit (nicht zulässig, da Anforderungen von Tag 1 an sicher erfüllt sein müssen) sowie Befristung des Amts (in § 36 Abs. 5 KDG und § 36 Abs. 3 DSG-EKD geregelt) und der Stelle (nicht geregelt). Ullricht ist einer Befristung der Stelle zum Unterlaufen der gesetzlichen Mindestbenennungsfristen gegenüber kritisch: »In solchen Fällen ist das befristete Arbeitsverhältnis deshalb aus datenschutzrechtlicher Sicht bei der Benennung zu entfristen oder zumindest auf die Mindestbenennungsdauer für betriebliche Datenschutzbeauftragte zu verlängern.« Im Ergebnis führt das dazu, dass Datenschutzbeauftragte aus Sicht des Datenschutzrechts regelmäßig nicht sachgrundlos befristet beschäftigt werden können – im katholischen Arbeitsrecht ist die maximale sachgrundlose Befristung auf 14 Monate festgelegt, im evangelischen Bereich gilt die gesetzliche Höchstdauer von zwei Jahren.

Die russisch-orthodoxe Kirche hat man nicht als erstes auf dem Zettel, wenn es um grund- und menschenrechtsorientierte Sozialverkündigung geht. Patriarch Kyrill hat sich nun zu biometrischen Datenbanken geäußert: »Die Kirche stimmt den den Experten zu, die darauf hinweisen, dass jede Datenbank mit personenbezogenen Daten, einschließlich biometrischer Daten, nicht vollständig vor Lecks geschützt werden kann. Die Risiken von biometrischer Datenlecks sind aufgrund der Neuartigkeit der Technologie noch nicht vollständig bekannt.« Daher stehe die Kirche für das »grundsätzliche und bedingungslose Recht der Bürger, die biometrische Identifizierung abzulehnen, mit absoluten Garantien der Nicht-Diskriminierung im Falle einer solchen Entscheidung«.

Weiterlesen

Der oberste bayerische katholische Datenschützer wird 80

Jupp Joachimski wird 80. Als bayerischer Diözesandatenschutzbeauftragter ist er immer noch im Dienst – auch wenn seine Amtszeit eigentlich schon lange abgelaufen ist: Es gibt einfach keinen Nachfolger, und Joachimski macht (wie das Gesetz es befiehlt) einfach weiter. Zum 80. schenkt das Katholische Datenschutzzentrum Dortmund dem Jubilar eine Festschrift in der Reihe »Schriften zum kirchlichen Datenschutz«.

Porträt von Jupp Joachimski mit dem Titel der Festschrift anlässlich seines 80. Geburtstags
Mit der von Steffen Pau, Christine Haumer und Stephanie Melzow herausgegebenen Festschrift »Justiz die Pflicht, Datenschutz die Kür« würdigen die Diözesandatenschutzbeauftragten und Weggefährt*innen den Vorsitzenden Richter am Bayerischen Obersten Landesgericht a.D.

Etwa die Hälfte des Bandes machen Aufsätze zum kirchlichen Datenschutz aus: Neben den anderen Diözesandatenschutzbeauftragten und ihren Mitarbeitenden kommen unter anderem der bayerische Landesdatenschutzbeauftragte Thomas Petri und der Würzburger Kirchenrechtler Martin Rehak zu Wort. Die Aufsätze sind meist historisch und deskriptiv ausgerichtet – sie geben aber auch einige neue, bislang unbekannte Informationen zum kirchlichen Datenschutz. Mehr oder weniger zwischen den Zeilen scheint es auch langsam Gewissheit zu werden, dass das lange geplante Katholische Datenschutzzentrum Wirklichkeit wird.

Weiterlesen

Spezifisch beteiligt – Wochenrückblick KW 35/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Datenschutzkonferenz will besser mit den spezifischen Aufsichtsbehörden, also auch denen der Kirchen, zusammenarbeiten. Das lief bislang nicht allzu beteiligungsfreudig. Im nun erschienenen Protokoll der 2. DSK-Zwischenkonferenz findet sich als TOP 12, wie es weitergehen soll: Bis spätestens der 104. DSK im November soll der Entwurf einer Antwort auf das hier schon besprochene Positionspapier des Rundfunkdatenschutzbeauftragten vorliegen. Ebenfalls bis dahin soll der AK Grundsatz Vorschläge für eine verbesserte Kooperation mit den spezifischen Aufsichtsbehörden vorlegen.

Bei der Experteninitiative Religionspolitik unterzieht Bruno Schrage den Entwurf für eine neue Grundordnung des kirchlichen Dienstes einer lesenswerten Generalkritik. Im dritten Teil erwähnt er auch eine Folge der Festlegung, künftig nicht nur Beschäftigte, sondern auch Ehrenamtliche der Grundordnung zu unterwerfen: »Katholische Träger müssen künftig wohl nicht nur in Bewerbungsgesprächen, sondern auch mit Ehrenamtlichen erst ein datenschutzrechtlich zweifelhaftes Gespräch über eine (bisherige) katholische Zugehörigkeit und den hoffentlich nicht erfolgten Kirchenaustritt führen.« Was caritative Träger vielleicht noch leisten könnten (aber nicht wollen), dürfte gerade bei überwiegend ehrenamtlich getragenen kirchlichen Vereinen und Verbänden sehr anspruchsvoll werden. Immerhin: die bloße Zugehörigkeit zu einer Religionsgemeinschaft zählt ja bekanntlich im kirchlichen Datenschutzrecht nicht zu den besonderen Kategorien. (Bereits jetzt hat die zuständige kirchliche Autorität allerdings darüber zu wachen, dass in privaten kanonischen Vereinen »die Unversehrtheit von Glaube und Sitte bewahrt wird«, can. 305 § 1 CIC.)

Bisher war kirchliche Gesetzgebung kaum geregelt. Die DBK ändert das nun, zumindest fürs Arbeitsrecht: Heute tritt die »Ordnung über das Zustandekommen von arbeitsrechtlichen Regelungen auf der Ebene der Deutschen Bischofskonferenz« mit Veröffentlichung im Limburger Amtsblatt in Kraft. Ziel ist die »Sicherstellung eines transparenten und rechtssicheren Verfahrens«. Neu ist dabei das Initiativrecht und die umfassende Beteiligung kirchlicher Stakeholder im Prozess, bevor die Bischöfe beschließen. (Etwas detaillierter auf katholisch.de.) Die Transparenz beschränkt sich aber dem Normtext nach leider auf die Stakeholder: Eine Veröffentlichung von Gesetzesentwürfen ist nicht vorgesehen, das Anhörungsverfahren beschränkt sich auf benannte Stakeholder. Da wäre mehr gegangen. Dennoch ist das ein Meilenstein in der katholischen Rechtskultur: So viel regelhafte Beteiligung ist ein absolutes Novum und ein Schritt in die richtige Richtung, sich innerhalb der ekklesiologischen Grenzen Macht- und Gewaltenteilung anzunähern.

In eigener Sache: Am 21. September um 18 Uhr leite ich bei der Stiftung Datenschutz ein Webinar zu Besonderheiten im Bereich des kirchlichen Engagements – die Teilnahme ist kostenlos.

Weiterlesen

Die DSK zeigt die Instrumente – Wochenrückblick KW 27/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Am 18. Mai fand das Treffen der Datenschutzkonferenz mit den spezifischen Aufsichten statt. Die Unterlagen konnte ich per Informationsfreiheitsanfrage befreien. Wieder einmal ging es um Beteiligung. Die Aufsichtsbehörden in der DSK sind bekanntlich nicht ganz freigiebig mit der Einbeziehung der spezifischen Aufsichten. Auch beim Europäischen Datenschutzausschuss können die Spezifischen nicht auf die dort verwendete Dokumentenablageplattform Confluence zugreifen, da das Innenministerium die spezifischen Aufsichten nicht nach Art. 51 Abs. 4 DSGVO notifiziert hat. Aus dem Protokoll erfährt man, dass die Frage einer nachträglichen Notifizierung durch das BMI derzeit in den kirchlichen Gremien geprüft werde. Außerdem kündigt der BfDI an, dass die Forderung des Rundfunkdatenschutzbeauftragten nach mehr Beteiligung, über die hier schon berichtet wurde, auch eine Antwort aus der DSK erfahren soll. Sehr diplomatisch heißt es, dass die Teilnehmenden »Einigkeit« erzielt hätten, »dass ein qualitativer Ausbau der Kooperation gewünscht sei«. Beim Bericht aus der Arbeit der DSK gibt es einen Ausblick auf die beabsichtigten Maßnahmen mit Blick auf Facebook-Fanpages. In Betracht kämen demnach die Untersagung und die Anordnung eines datenschutzgerechten Betriebs. Außerdem wurde das zweite Austauschtreffen für 2022 zwischen DSK und spezifischer Aufsicht angekündigt: Es findet am 14. Dezember statt.

Die KDSA Ost stellt die Entscheidung des EuGH zum Kündigungsschutz von Datenschutzbeauftragten vor. Im Vorfeld wurde vertreten, dass die EuGH-Entscheidung unabhängig vom Ausgang keine Auswirkungen auf den analogen Kündigungsschutz im KDG und im DSG-EKD haben werde. Nachdem der EuGH die BDSG-Rechtslage für zulässig erachtet, bleibt diese Frage akademisch. »Auch wenn die Rechtsprechung des EuGHs keine direkte Auswirkung auf das kirchliche Datenschutzrecht (§ 37 Abs. 4 KDG, § 37 Abs. 2 DSG-EKD) hat, stellt das Urteil doch eine Stärkung der dort verankerten inhaltsgleichen Regelungen dar«, ordnet die KDSA Ost ein.

Mit der kirchlichen Strafrechtsreform hat auch der Schutz der Persönlichkeitsrechte in der katholischen Kirche etwas mehr Zähne bekommen: Wer jemandes guten Ruf schädigt, wird nun nicht mehr nur fakultativ bestraft. Die entsprechende Strafnorm can. 1390 § 2 CIC ist Thema des aktuellen »Kanon des Monats« der Würzburger Kanonistik. Zur Erfüllung der Strafnorm müssen zum einen »Behauptungen falsch, also wahrheitswidrig« und »nicht durch irgendwie geartete, rechtfertigende Begründungen getragen« sein, so die Autorin Anna Krähe. Im folgenden zeigt sie dann auch implizit eine Möglichkeit auf, wie der Tatbestand in Verbindung mit Verstößen gegen das kirchliche Datenschutzrecht einschlägig werden könnte: »Der Tatbestand ist aber auch erfüllt, wenn es sich um eine wahre Behauptung handelt, der bzw. die Täter*in diese aber nicht an die Öffentlichkeit hätte bringen dürfen, also die Veröffentlichung bzw. Verbreitung rechtswidrig ist.«

Weiterlesen

DSK zu Facebook-Fanpages: Derzeit nicht rechtskonform möglich

Die FAQ-Liste der Datenschutzkonferenz zu Facebook-Fanpages wurde nun von der Aufsicht Sachsen-Anhalts veröffentlicht. Bei den zehn Fragen und Antworten auf sechs Seiten muss man nicht sonderlich zwischen den Zeilen lesen, um zu bestätigen, was ohnehin keine Überraschung ist: Facebook-Fanseiten sind zur Zeit nicht rechtskonform zu betreiben.

Facebook-Daumen nach unten
(Bildquelle: Barefoot Communications on Unsplash)

Da wirkt es fast schon komisch, wenn die Antwort auf die vierte Frage, »Müssen Facebook-Fanpages jetzt sofort deaktiviert werden?«, kein klares Ja ist, sondern nur ein Verklausuliertes: »Kann die Verarbeitung personenbezogener Daten nicht rechtskonform durchgeführt werden, ist der Betrieb einer Facebook-Fanpage rechtswidrig. Die Aufsichtsbehörden haben seit Jahren auf die Probleme hingewiesen. Übergangsfristen kennt die DSGVO nicht.« Es scheint in dieser Versammlung einige empfindliche Ohren zu geben, die das Wort »Blut« nicht wohl vertragen können.

Weiterlesen

Stiftungspanne – Wochenrückblick KW 25/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

In ihrem frisch erschienenen Tätigkeitsbericht schildert die Berliner Datenschutzbeauftragte einen Fall einer Sicherheitslücke in einer Software für Stipendienportale. Durch die Ausnutzung der Schwachstellen soll es möglich gewesen sein, ein Nutzungskonto anzulegen, die Datenbank abzufragen, hochgeladene Dokumente herunterzuladen und ein Nutzungskonto mit Adminrechten auszustatten. Laut Bericht waren vier Studienstiftungen betroffen. Da durch die Ausrichtungen der nicht namentlich genannten Stiftungen auch Daten zur Religionszugehörigkeit und zur Nähe zu politischen Parteien erhoben wurden, ist davon auszugehen, dass auch eine der Stiftungen von Religionsgemeinschaften betroffen ist. Auf Anfrage teilten das katholische Cusanuswerk und das Evangelische Studienwerk Villigst mit, dass sie von keiner Sicherheitslücke betroffen waren. Das jüdische Ernst-Ludwig-Ehrlich-Studienwerk und die muslimische Avicenna-Studienstiftung haben auf die Anfrage noch nicht geantwortet. (Angefragt wurden nur diese vier, die aus Mitteln des Bildungsministerium finanziert werden.)

Mit Transparenz tut sich die römisch-katholische Kirche schwer – gerade, was ihre Gerichtsbarkeit angeht. Immerhin: Die Datenschutzgerichte veröffentlichen Entscheidungen – aber nur ausgewählte, freiwillig und ohne Rechtspflicht. Daher hat die Gesellschaft Katholischer Publizisten (GKP), in der ich mich im Vorstand engagiere, sich erneut für mehr Transparenz in der kirchlichen Justiz ausgesprochen. Anlass ist die Ankündigung des Münsteraner Bischofs Felix Genn, schon vor der Genehmigung einer bundesweiten kirchlichen Verwaltungsgerichtsbarkeit durch den Heiligen Stuhl eine vorläufige diözesane einzurichten. »Die Kirche darf in ihrem eigenen Rechtssystem nicht hinter Selbstverständlichkeiten des Rechtsstaats zurückbleiben, wenn sie Vertrauen zurückgewinnen will. Ungehinderte Gerichtsberichterstattung ist ein wesentliches Element jeder freiheitlich-rechtsstaatlichen Ordnung«, sagt der GKP-Vorsitzende Joachim Frank. Gefordert sind öffentliche mündliche Verhandlungen und Urteilsverkündungen, die Veröffentlichung von Urteilen sowie Informations- und Auskunftsrechte für die Medien.

Weiterlesen

Spezifische Aufsichten auch in der DSK 2.0 außen vor

Die Datenschutzkonferenz des Bundes und der Länder befasst sich damit, wie das Gremium für eine wirksamere Kooperation ausgestattet werden kann. Über eine IFG-Anfrage wurde das im Protokoll der letzten DSK-Sitzung erwähnte Gutachten »Rechtliche Möglichkeiten zur Stärkung und Institutionalisierung der Kooperation der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK 2.0)« von Eike Richter und Indra Spiecker gen. Döhmann öffentlich gemacht.

Titelseite des DSK-Gutachtens

Die staatlichen Aufsichten haben kein gesteigertes Interesse daran, dass die spezifischen Aufsichten mehr Beteiligungsrechte erhalten. Das spiegelt sich auch im Auftragsgutachten wieder – eine zu enge Einbeziehung soll sogar verfassungs- und europarechtswidrig sein. Das überzeugt nur bedingt.

Weiterlesen

Entspannung in Hessen – Wochenrückblick KW 23/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Datenschutzkonferenz hat auf ihrer jüngsten Sitzung laut Protokoll ein Gutachten mit dem Titel »Rechtliche Möglichkeiten zur Stärkung und Institutionalisierung der Kooperation der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK 2.0)« beraten (eine IFG-Anfrage ist bereits gestellt). Besonderes Engagement, die spezifischen – also auch die kirchlichen – Aufsichtsbehörden besser einzubinden, ist nicht zu erwarten. Aber man lässt sich ja gern überraschen.

Der 50. Tätigkeitsbericht der Hessischen Datenschutzaufsicht ist erschienen. Darin wird wie erstmals im vergangenen Jahr auch die Kategorie »Religionsgemeinschaften« in der Eingabenstatistik aufgeführt. Beschwerden (2) und Beratungen (3) gingen im Vergleich zum Vorjahr deutlich von zuvor insgesamt 23 zurück. Im vergangenen Jahr ging es hauptsächlich um die Zeugen Jehovas und Mormonen, insbesondere mit Blick auf Werbung, Briefe und Datenlöschung bei Austritt, wie die Sprecherin damals mitteilte, die aktuelle Anfrage ist noch nicht beantwortet. Dieses Mal gab es außerdem Weisheit aus dem Aufsichtsalltag: »Datenschutzrechtliche Beschwerden entstammen dem prallen Leben und ihre Bearbeitung erfordert neben datenschutzrechtlichem Sachverstand oft auch Humor, Empathie oder auch die Beschäftigung mit Websites, die ansonsten von dienstlichen Rechnern nicht aufgerufen werden sollten.«

Die Normen zur Einsichtnahme in Personalakten zur Missbrauchsaufarbeitung tröpfeln immer noch ein – nun hat das Bistum Passau das Gesetz in Kraft gesetzt, nach meiner Statistik die 16. Diözese.

Weiterlesen

Was bedeuten die Aufsichts-Beschlüsse zu Facebook-Fanpages?

Was Facebook-Fanpages angeht, herrscht große Einmütigkeit zwischen den staatlichen und den kirchlichen Aufsichten: die Datenschutzkonferenz des Bundes und der Länder, die evangelische Datenschutzkonferenz und die KDSA Ost haben seit März grundsätzlich identische Beschlüsse auf Grundlage eines DSK-Kurzgutachtens »zur datenschutzrechtlichen Konformität  des Betriebs von Facebook‐Fanpages« gefasst – doch der Inhalt ist kryptisch.

Facebook-Daumen nach unten
(Bildquelle: Barefoot Communications on Unsplash)

Unbedarft gelesen könnte es aussehen, als stellten die Aufsichten Kriterien auf, unter denen Facebook-Fanpages zulässig wären. Eine genauere Betrachtung zeigt aber: die Rechtsposition der Aufsichten ist, dass die notwendigen Kriterien derzeit gar nicht erfüllt werden können. Das stellt Verantwortliche, die nicht auf Facebook-Fanseiten verzichten wollen, vor große Hindernisse. Gibt es Auswege?

Weiterlesen

Facebook auch evangelisch fraglich – Wochenrückblick KW 18/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die evangelische Datenschutzkonferenz hat sich der DSK in Sachen Facebook in vollem Umfang angeschlossen. An evangelische Stellen werden dieselben zu erfüllenden (aber laut DSK-Kurzgutachten wohl eher nicht erfüllbaren) Anforderungen gestellt wie an Stellen im Einzugsbereich der staatlichen Aufsichten. Die tatsächlichen Konsequenzen aus dem Gutachten werden aber auch hier nur angedeutet: »Es bildet für uns eine wichtige Grundlage unserer aufsichtsbehördlichen Tätigkeit gegenüber kirchlichen und diakonischen Stellen.« Aus von den evangelischen Aufsichten ist bislang keine Maßnahme wegen Facebook-Fanseiten bekannt.

Die Kommission der europäischen Bischofskonferenzen COMECE ist mit dem Relaunch ihrer Webseite deutlich transparenter geworden: Neben einem durchsuchbaren Dokumentenarchiv (in dem sich zu Datenschutz nur die Stellungnahme von 2011 findet, die hier bereits per Informationsfreiheitsantrag die EU-Kommission ans Licht gebracht wurde) gibt es auch eine Terminliste. Darin wird für den 19. Mai das nächste Treffen der kirchlichen Datenschutzexpert*innen angekündigt – leider keine öffentliche Veranstaltung.

In der aktuellen Ausgabe der Zeitschrift für Arbeitsrecht und Tarifpolitik in kirchlichen Unternehmen (ZAT 2/2022) gibt es eine Rezension zu Sydows KDG-Kommentar von Jonas Botta. Wie die Rezension hier grundsätzlich positiv, aber doch auch mit Kritik im Detail, etwa an der Kommentierung von § 2 zum Anwendungsbereich: »Er vertritt ua, dass Daten, die mit dem Einverständnis der betroffenen Person veröffentlicht worden sind, nicht vom KDG erfasst seien. Da jedoch offen bleibt, wie sich diese Ansicht zur Existenz des Erlaubnistatbestands der Einwilligung(§ 6 Abs. 1 lit. b KDG) verhält, wäre zukünftig eine weiterführende Erläuterung förderlich.«

Weiterlesen