Schlagwort-Archive: Drittland

EU-US-Datenschutzrahmen im kirchlichen Datenschutz

Schreiben Sie eine Antwort

Knapp drei Jahre nach Schrems II und dem damit erwirkten Aus für das EU–US Privacy Shield gibt es wieder eine Rechtsgrundlage für die einfache Übertragung von personenbezogenen Daten in die USA: Am Montag teilte die EU-Kommission mit, dass sie einen Angemessenheitsbeschluss für den neuen »Datenschutzrahmen EU-USA« (»EU-US Data Privacy Framework«) getroffen hat, der am Dienstag, 11. Juli, in Kraft tritt.

Ein Mann mit einer US-Flagge als Umhang wird von einer laufenden Frau mit US-Flagge verfolgt.
So ähnlich funktioniert Datenübertragung in die USA. (Bildquelle: Photo by frank mckenna on Unsplash)


Angemessenheitsbeschlüsse können grundsätzlich auch im Geltungsbereich der kirchlichen Datenschutzgesetze angewandt werden. Die ausführliche FAQ-Liste von Thomas Schwenke oder der Angemessenheitsbeschluss selbst können grundsätzlich für Datenübertragungen gemäß KDG und DSG-EKD herangezogen werden. Dennoch gibt es einige Besonderheiten in beiden Gesetzen.

Weiterlesen

Was eigenes – Wochenrückblick KW 28/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das Interdiözesane Datenschutzgericht hat zwei neue Entscheidungen veröffentlicht. Wieder einmal geht es um Konflikte aus dem Arbeitsleben, und wieder sind sie in der Sache individuell sicher ärgerlich und belastend, tragen aber nicht übermäßig zur Rechtsentwicklung bei. Aber beide Entscheidungen haben doch auch über den Sachverhalt hinaus interessante Erwägungen: Die eine (IDSG 06/2021 vom 8. März 2022) zur Frage, wie Schadensersatz erstritten werden kann und was die Rolle der kirchlichen Datenschutzinstitutionen dabei ist, die andere (IDSG 19/2021 vom 25. April 2021) zur Frage, ob die kirchlichen Datenschutzgerichte unmittelbar can. 220 CIC prüfen können. Beide Entscheidungen werden hier in der kommenden Woche ausführlicher besprochen.

In der Besprechung des neuen Tätigkeitsberichts des DSBKD wurde schon auf eine Nebenbemerkung mit Sprengkraft verwiesen: »Für den allein kirchlichen Anwendungsbereich könnten die Kirchen eigene Aufsichtsbehörden mit einem je eigenen Regelungskatalog errichten«, heißt es dort. Die Argumentation: Die EU hat für vieles, was Religionsgemeinschaften tun, keine Regelungskompetenz, das kirchliche Datenschutzrecht agiert in diesem Bereich also auf Grundlage des deutschen Staatskirchenrecht mit entsprechend größeren Freiheiten. Folgt man dieser Rechtsauffassung (in diese Richtung argumentiert auch Gernot Sydow), eröffnete das sehr interessante Gestaltungsmöglichkeiten: Die Kirchen könnten sich entweder umfassende Datenschutzregelungen gleich ganz sparen oder wenigstens nur die umfassende Zuständigkeit der Aufsichten und sich darauf konzentrieren, nur wirklich Kirchenspezifisches zu regeln, etwa Kirchenbücher oder das Bischöfliche Geheimarchiv. Müsste man bei Kirchens allerdings auch wollen.

In Israel wird über koschere Handys gestritten – deutlich eingeschränkte Mobiltelefone in eigenen Nummernkreisen, mit denen die Charedim auch telefonisch unter sich bleiben wollen. Der dafür notwendige gesetzliche Rahmen wird von der Regierungskoalition deutlich beschnitten: »Smartphones have become a volatile issue in the Haredi, or ultra-Orthodox, community since April, when Israel’s communications minister made it easier for Haredi to use smartphones without the knowledge of their rabbis, raising tensions within the Haredi community and between them and the rest of Israeli society«, berichtet der Religion News Service in einer lesenswerten Reportage.

Weiterlesen

Die DSK zeigt die Instrumente – Wochenrückblick KW 27/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Am 18. Mai fand das Treffen der Datenschutzkonferenz mit den spezifischen Aufsichten statt. Die Unterlagen konnte ich per Informationsfreiheitsanfrage befreien. Wieder einmal ging es um Beteiligung. Die Aufsichtsbehörden in der DSK sind bekanntlich nicht ganz freigiebig mit der Einbeziehung der spezifischen Aufsichten. Auch beim Europäischen Datenschutzausschuss können die Spezifischen nicht auf die dort verwendete Dokumentenablageplattform Confluence zugreifen, da das Innenministerium die spezifischen Aufsichten nicht nach Art. 51 Abs. 4 DSGVO notifiziert hat. Aus dem Protokoll erfährt man, dass die Frage einer nachträglichen Notifizierung durch das BMI derzeit in den kirchlichen Gremien geprüft werde. Außerdem kündigt der BfDI an, dass die Forderung des Rundfunkdatenschutzbeauftragten nach mehr Beteiligung, über die hier schon berichtet wurde, auch eine Antwort aus der DSK erfahren soll. Sehr diplomatisch heißt es, dass die Teilnehmenden »Einigkeit« erzielt hätten, »dass ein qualitativer Ausbau der Kooperation gewünscht sei«. Beim Bericht aus der Arbeit der DSK gibt es einen Ausblick auf die beabsichtigten Maßnahmen mit Blick auf Facebook-Fanpages. In Betracht kämen demnach die Untersagung und die Anordnung eines datenschutzgerechten Betriebs. Außerdem wurde das zweite Austauschtreffen für 2022 zwischen DSK und spezifischer Aufsicht angekündigt: Es findet am 14. Dezember statt.

Die KDSA Ost stellt die Entscheidung des EuGH zum Kündigungsschutz von Datenschutzbeauftragten vor. Im Vorfeld wurde vertreten, dass die EuGH-Entscheidung unabhängig vom Ausgang keine Auswirkungen auf den analogen Kündigungsschutz im KDG und im DSG-EKD haben werde. Nachdem der EuGH die BDSG-Rechtslage für zulässig erachtet, bleibt diese Frage akademisch. »Auch wenn die Rechtsprechung des EuGHs keine direkte Auswirkung auf das kirchliche Datenschutzrecht (§ 37 Abs. 4 KDG, § 37 Abs. 2 DSG-EKD) hat, stellt das Urteil doch eine Stärkung der dort verankerten inhaltsgleichen Regelungen dar«, ordnet die KDSA Ost ein.

Mit der kirchlichen Strafrechtsreform hat auch der Schutz der Persönlichkeitsrechte in der katholischen Kirche etwas mehr Zähne bekommen: Wer jemandes guten Ruf schädigt, wird nun nicht mehr nur fakultativ bestraft. Die entsprechende Strafnorm can. 1390 § 2 CIC ist Thema des aktuellen »Kanon des Monats« der Würzburger Kanonistik. Zur Erfüllung der Strafnorm müssen zum einen »Behauptungen falsch, also wahrheitswidrig« und »nicht durch irgendwie geartete, rechtfertigende Begründungen getragen« sein, so die Autorin Anna Krähe. Im folgenden zeigt sie dann auch implizit eine Möglichkeit auf, wie der Tatbestand in Verbindung mit Verstößen gegen das kirchliche Datenschutzrecht einschlägig werden könnte: »Der Tatbestand ist aber auch erfüllt, wenn es sich um eine wahre Behauptung handelt, der bzw. die Täter*in diese aber nicht an die Öffentlichkeit hätte bringen dürfen, also die Veröffentlichung bzw. Verbreitung rechtswidrig ist.«

Weiterlesen

EKD-Aufsichten zu Schrems II – Weniger ausnahmsweise als Art. 49 DSGVO

2 Antworten

Die Konferenz der Beauftragten für den Datenschutz in der EKD  hat eine Gemeinsame Stellungnahme zur Datenübermittlung in die USA veröffentlicht. Dass eine gemeinsame Stellungnahme in Arbeit ist, wurde bereits vor zwei Wochen durch die verspätete Veröffentlichung einer Position des Datenschutzbeauftragten für Kirche und Diakonie bekannt und löst den selbst gegebenen Abstimmungsauftrag aus der Stellungnahme aus dem Juli des vergangenen Jahres ein..

Ein Verriegelungsknopf an einem Oldtimer, im Hintergrund eine US-Flagge.
Symbolbilder für Drittlanddatenübertragungen sind ohnehin alle Unsinn, warum also nicht das, das immerhin einen Knopf an einem Auto zeigt? (Photo by Nick Fewings on Unsplash)

Inhaltlich ist die nun für den gesamten landeskirchlichen Bereich abgestimmte Stellungnahme fast keine Überraschung: Im wesentlichen wird das in § 10 Abs. 2 DSG-EKD festgelegte Verfahren zur Drittlandsdatenübermittlung ohne Angemessenheitsbeschluss und Standarddatenschutzklauseln vorgestellt, dazu kommt eine detaillierte Geschichte der Datenübermittlung in die USA, eine Erörterung des Marktortprinzips der DSGVO und ein Überblick über die durch den CLOUD-Act erzeugten Probleme – die eine kleine Überraschung: Die Antwort auf die Frage, ob das DSG-EKD wie Art. 49 DSGVO nur ausnahmsweise Datenübertragungen in Drittländer ohne Angemessenheitsbeschluss normiert.

Weiterlesen

Der UK-Angemessenheitsbeschluss und die kirchlichen Datenschutzgesetze

Schreiben Sie eine Antwort

Da hat die EU-Kommission fast eine Punktlandung hingelegt: Vor dem Auslaufen der Brexit-Übergangsregelung zum Datentransfer ins Vereinigte Königreich kam am Montag der Angemessenheitsbeschluss – das UK ist jetzt ein sicheres Drittland.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)

Damit ist auch eine unschöne Hängepartie vermieden, die sich die kirchlichen Gesetzgeber teilweise selbst eingebrockt haben. (Spoiler: Wie immer, wenn’s um Drittländer geht, sind es die Katholik*innen, die sich ein Bein gestellt haben.)

Weiterlesen

Schrems-II-Workaround auch mit kirchlichem Datenschutzrecht?

Schreiben Sie eine Antwort

Nach wie vor machen Datenübertragungen in die USA nach dem Kippen des Privacy Shields Probleme. Eine wirkliche Lösung gibt es dafür noch nicht, und wenn überhaupt, schärfen die Datenschutzaufsichten ihren Umgang damit gerade an – zuletzt hatte der rheinland-pfälzische Datenschutzbeauftragte unter dem Label »Informationsoffensive« mit dem Zaunpfahl gewunken.

Der Europäische Datenschutzausschuss interpretiert die in Art. 49 DSGVO festgelegten »Ausnahmen für bestimmte Fälle« recht eng (allerdings nicht klar sauber belegt). Nun wird nach dem »Europäischen Datenschutztag« am 28. Januar diskutiert, ob es vielleicht doch weniger eng geht: Dort hatte der EuGH-Richter Thomas von Danwitz, der außerdem Berichterstatter bei Schrems II war, geäußert, dass die Ausnahmen aus Art. 49 noch nicht genug »ausgelotet« seien und auch weniger restriktiv ausgelegt werden könnten.

Ein Mann mit einer US-Flagge als Umhang wird von einer laufenden Frau mit US-Flagge verfolgt. Am Horizont erkennt man keinen Nachfolger für Privacy Shield.
So oder so ähnlich funktioniert Datenübertragung in die USA. (Bildquelle: Photo by frank mckenna on Unsplash)

Diese Äußerung hat eine juristische Debatte ausgelöst. Stephan Hansen-Oest schlüsselt Schritt für Schritt in seinem Blog auf, worum es geht und wie sich eine weniger restriktive Auslegung und damit eine vereinfachte Datenübertragung in die USA rechtfertigen lässt. Für Anwender*innen der kirchlichen Datenschutzgesetze stellt sich damit natürlich die Frage: Können wir das auch?

Weiterlesen

Noch mehr Probleme bei Brexit-Datentransfers?

Schreiben Sie eine Antwort

Ist es doch nicht so einfach mit dem Brexit und dem katholischen Datenschutzrecht? Nachdem durch das rasche Handeln der Konferenz der Diözesandatenschutzbeauftragten um den Jahreswechsel schon Entwarnung herrschte, macht auf Twitter nun @privideu auf eine Problematik aufmerksam, die bisher nicht im Blick war: »Übrigens: Der Beschl[uss] der Konf[erenz] der Diözesan-DSB der Kath. Kirche vom 4.1.2021 betreffen die Datenverarbeitungen von Auftragsverarbeitern kath. Einrichtungen in [Großbritannien] ist keine zuverlässige Rechtsgrundlage für eine Datenübermittlung nach GB«, heißt es in dem kurzen Thread. Zwar gibt es zur Auftragsverarbeitung im UK einen klaren Beschluss – bei der Datenübermittlung allgemein ist das aber nicht der Fall.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)

Der Einwand scheint stichhaltig: Bis zum Ende der im Brexit-Abkommen vereinbarten Übergangsfrist ist das Vereinigte Königreich datenschutzrechtlich in einem Schwebezustand, den das kirchliche Datenschutzrecht nur schwer fassen kann: »For the duration of the specified period, transmission of personal data from the Union to the United Kingdom shall not be considered as transfer to a third country under Union law«, heißt es im Artikel FINPROV.10A (S. 414) des Abkommens. Das KDG hat Regeln für EU- und EWR-Staaten, Länder mit Angemessenheitsbeschluss und für Drittstaaten – aber natürlich nicht für diesen extra erfundenen Status.

Weiterlesen

Bedingt auskunftsbereit – Wochenrückblick KW 6/2021

Schreiben Sie eine Antwort

Drei Recherchen beschäftigen mich weitgehend erfolglos seit Monaten: Was wird aus der katholischen Datenschutzaufsicht in Bayern, welche Religionsgemeinschaften mit eigenem Datenschutzregime kennen die staatlichen Behörden – und was macht eigentlich die EKD? Zu den drei Recherchen habe ich diese Woche wieder nachgehakt.

  • In Bayern ist die Datenschutzaufsicht seit Herbst kommissarisch besetzt, kein Nachfolger und kein Zeitplan für die Nachbesetzung bekannt, das 2018 beschlossene Nürnberger Datenschutzzentrum immer noch nicht eingerichtet. Regelmäßig Presseanfragen in München (wo die Bistumspressestelle auch die der Freisinger Bischofskonferenz ist) waren bisher erfolglos, die einzelnen bayerischen Bistümer verweisen auf die Zentrale und wissen auch nichts.
  • In Deutschland gibt es keine übersichtliche Liste, welche spezifischen Aufsichtsbehörden – zu denen die der Religionsgemeinschaften gehören – den staatlichen Aufsichten bekannt sind. (Vorbildlich: Polen.) Auf Presseanfragen rückten die Länderaufsichten keine konkreten Listen heraus. Informationsfreiheitsanfragen über Frag den Staat ziehen sich seit Monaten hin. Durch Carlo Piltz wurde ich nun auf das Mitte Januar veröffentlichte Protokoll der 100. Datenschutzkonferenz aufmerksam. Unter TOP 15 wird dort eine »Liste über die spezifischen Aufsichtsbehörden« erwähnt. Informationsfreiheitsanfrage ist raus.
  • Seit Monaten läuft meine eigentlich sehr simple Presseanfrage bei der EKD. Mich interessieren zwei Dinge: Gab es schon kirchliche Gerichtsentscheidungen, in denen das neue DSG-EKD eine Rolle spielte? (Sollte es eigentlich, katholische gibt’s schon einige – aber die normalerweise viel bessere evangelische Rechtssammlung findet keine.) Und: Gibt es bereits Pläne zur Evaluierung des DSG-EKD? (Bei einer synodal organisierten Kirche sollte man doch denken, dass da mit Vorlauf und Transparenz gearbeitet werden müsste.) Am Anfang wurde ich noch vertröstet, jetzt bekomme ich von der EKD-Pressestelle gar keine Antwort mehr.

Der Datenschutz-Dienstleister Althammer & Kill hat ein Whitepaper zu »Microsoft 365 in Kirche & Wohlfahrt« veröffentlicht. Das ist nicht nur nützlich und lesenswert, wenn es direkt um die Office-Frage geht. Auch ausführliche Passagen allgemein zur Drittlandübertragung und wie sie nach KDG und DSG-EKD gestaltet werden sind sehr erhellend. Vor allem im Bereich des KDG wird bei einigen Formulierungen deutlich angefragt, ob sie praktikabel oder gar europarechtskonform sind – insbesondere die schon länger als zweifelhaft bekannte Möglichkeit einer »Selbstzertifizierung«, wie sie § 40 Abs. 2 lit. b) KDG eröffnet wird: »Damit wird die Bewertungshoheit aus den Händen der Europäischen Kommission in die des Verantwortlichen gelegt, was im Zweifelsfall kaum standhalten würde. Eine Drittlandübermittlung auf dieser Basis weist nicht die erforderliche Rechtssicherheit auf.« (Hier wird auch der Ursprung der Norm erwähnt: Eine unkritische Übernahme aus dem alten BDSG – im DSG-EKD gibt es deutlich weniger Probleme, weil der evangelische Gesetzgeber bei der Drittlandsübermittlung unnötige Abweichungen von der säkularen Rechtslage stärker vermieden hat.)

Weiterlesen

Was das Brexit-Abkommen für den kirchlichen Datenschutz bedeutet

Schreiben Sie eine Antwort

Das Vereinigte Königreich ist kein datenschutzrechtliches Drittland – erstmal. Das am Samstag veröffentlichte Abkommen hat den harten Brexit abgewendet (vorbehaltlich der noch nötigen Ratifizierungen) und auch verhindert, dass ab 1. Januar Großbritannien zum Drittland ohne Angemessenheitsbeschluss und damit mit erheblichem Mehraufwand für die Datenübertragung wird. Die Lösung ist aber nur eine vorläufige – und zumindest Anwender*innen des KDG stehen doch noch vor Problemen.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)
Weiterlesen

Hart, härter, kirchlicher Datenschutz?

Schreiben Sie eine Antwort
Domschweizer hinter dem Gitter am Kölner Dom
Bildquelle: Elke Wetzig, CC BY-SA 4.0

Der kirchliche Datenschutz gilt als besonders streng – jedenfalls hört man das oft von Anwender*innen. Aber stimmt das eigentlich? Schließlich müssen die eigenen Datenschutzregeln von Religionsgemeinschaften, so sieht es Art. 91 DSGVO vor, »in Einklang« mit den Wertungen der DSGVO stehen. Und während die Deutsche Bischofskonferenz schreibt, dass sie mit einem Unterschied in der Formulierung der Einwilligung nicht strenger, sondern »lediglich konkreter und damit anwenderfreundlicher« sein wollte, sagte der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski, der auch an der Ausarbeitung des KDG mitwirkte, dass die Kirche aufgrund ihres Demokratiedefizits handeln musste: »und deshalb waren wir an manchen Stellen bei der Entwicklung des KDG strenger, um zu zeigen, dass wir bereit sind, solche Defizite auszugleichen«, so Joachimski. Von evangelischer Seite sind keine solche Äußerungen bekannt – aber auch dort hört man selten den Vorwurf, das DSG-EKD sei zu lax.

Stimmt es aber überhaupt, dass die kirchlichen Gesetze im Zweifel strenger sind? Ein genauer Blick fördert Interessantes zu Tage – und einige Regelungen, über die man überraschend wenig in der Praxis hört. An einigen Punkten gibt es deutliche Abweichungen von den Regelungen der DSGVO, die auch das Schutzniveau für betroffene Personen verändern.

Weiterlesen