Schlagwort-Archive: Einwilligung

Das neue DSG-EKD tritt am 1. Mai in Kraft – das ist zu tun

Alles neu macht der Mai: Am 1. Mai tritt das novellierte DSG-EKD in Kraft. Die Veränderungen, die hier schon auf Grundlage des Referentenentwurfs und des Synodenantrags diskutiert wurden, sind umfangreich, aber mehr Evolution als Revolution.

Eine Checkliste mit der Überschrift »DSG-EKD – 1. Mai 2025« liegt vor einer digitalen Ausgabe des EKD-Amtsblatts
Die Checkliste zur Umsetzung der Änderungen sollte einigermaßen kompakt bleiben können.

Dennoch gibt es neben Klarstellungen, Anpassungen an den Sprachgebrauch der DSGVO und Formulierungsänderungen auch substantielle Änderungen, die es umzusetzen gilt. Den Text des neuen DSG-EKD gibt es in der EKD-Rechtssammlung.

Weiterlesen

Hosentaschenanruf aus dem Beichtstuhl – Wochenrückblick KW 44/2024

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wochenrückblick Kirchlicher Datenschutz KW 44/2024
(Bildquelle: ali syaaban on Unsplash)
Weiterlesen

Grundlagenarbeit – Wochenrückblick KW 40/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wochenrückblick Kirchlicher Datenschutz KW 40/2023
(Bildquelle: ali syaaban on Unsplash)
Weiterlesen

EU-US-Datenschutzrahmen im Blick – Wochenrückblick KW 29/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wochenrückblick Kirchlicher Datenschutz KW 29/2023
(Bildquelle: ali syaaban on Unsplash)
Weiterlesen

Nach Beanstandung durch Aufsicht: EKBO-Intranet auf dem Weg der Besserung

Bei der vom BfD EKD in seinem neuen Tätigkeitsbericht aufgrund umfangreicher Datenabfrage bei der Intranet-Registrierung bemängelten Landeskirche handelt es sich wie schon vermutet um die EKBO. Auf Anfrage bestätigte eine Sprecherin, dass man davon ausgehe, dass sich der Bericht auf ihre Landeskirche beziehe. Das EKBO-Intranet ist unter der URL info-gemeinsam.ekbo.de erreichbar. Eine Sprecherin der EKiR teilte dagegen mit, dass ihr – augenscheinlich auf derselben Software basierendes – Intranet nicht im Tätigkeitsbericht erwähnt wird.

Die Anmeldemaske des EKBO-Intranets auf einem Smartphone-Bildschirm. Deutlich ist zu erkennen, dass ein Geburtsdatum einzugeben ist.
Immer noch Pflicht: das Geburtsdatum
Weiterlesen

Rechtsgrundlagenarbeit – Tätigkeitsbericht des KDSZ Dortmund 2022

Die Corona-Fragestellungen sind fast nur noch von historischem Interesse. Mit etwas Glück ist der Tätigkeitsbericht für 2022 des KDSZ Dortmund der letzte, in dem Fragestellungen dazu ausführlicher dargestellt werden müssen. Das nächste große Thema sind Schadsoftware, Ransomware und Cyberangriffe: Die nehmen laut allen aktuellen Tätigkeitsberichten einen großen Raum ein.

Titelseite des Tätigkeitsbericht des KDSZ Dortmund für 2022
Titelseite des Tätigkeitsbericht des KDSZ Dortmund für 2022

In diesem Jahr bringt der Tätigkeitsbericht der NRW-Aufsicht einiges an praxisrelevanten Aussagen zur Anwendung von Rechtsgrundlagen – auch wenn einige schwierige Fragen noch offen sind.

Weiterlesen

Woche des Gerichts – Wochenrückblick KW 4/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das Datenschutzgericht der DBK liefert: Gleich zwei Entscheidungen wurden in dieser Woche veröffentlicht – wenn auch nicht die mit Spannung erwartete zum Streit zwischen dem Erzbistum München und Freising und der Integrierten Gemeinde. In der ersten Entscheidung stellt das DSG-DBK fest, dass Löschen für das Gericht keine Verarbeitung ist: In seiner Entscheidung DSG-DBK 04/2022 (Beschluss vom 3. Januar 2023) hat es die Feststellung eines Datenschutzverstoßes durch den IDSG im Fall einer gelöschten Beistandsakte verworfen. Die erste Instanz hatte alle Anträge des Klägers abgewiesen und nur diese Datenschutzverletzung durch Löschung festgestellt. Die zweite Instanz nimmt zwar auch an, dass die Vernichtung rechtswidrig war – aber aus anderen Gründen als dem Datenschutzrecht. Es gehöre gerade aber nicht zu den Aufgaben der kirchlichen Datenschutzgerichtsbarkeit, jenseits der Abwehr von Eingriffen in das Persönlichkeitsrecht von Betroffenen auf deren Antrag hin eine allgemeine Rechtmäßigkeitskontrolle des Handelns von Datenverarbeitern vorzunehmen, stellt das DSG-DBK fest (Rn. 19). Was das Gericht über die datenschutzrechtlichen Aspekte entschieden hat, ist interessant: »Das Recht des Antragstellers auf informationelle Selbstbestimmung, dessen Schutz das Datenschutzrecht nach § 1 KDG dient, kann durch eine Löschung von über ihn gespeicherten Daten nicht verletzt sein, weil durch Löschung der datenschutzrechtlich rechtfertigungsbedürftige Persönlichkeitseingriff ja gerade beendet wird.« (Rn. 19) Das kann man durchaus kritisch diskutieren: Auch Löschen ist eine Verarbeitung gemäß § 4 Nr. 3 KDG und bedarf damit einer Rechtsgrundlage – die hier anscheinend fehlte. So argumentierte noch die Vorinstanz (IDSG 10/2021, Rn. 32). Als Gedankenexperiment: Wenn ein online gespeichertes Tagebuch durch den Provider gelöscht wird: Ist das nur eine Verletzung des Hosting-Vertrags – oder greift das in die informationelle Selbstbestimmung ein?

Auch im zweiten DSG-DBK-Beschluss der Woche wurde die erste Instanz bestätigt: Weiterhin ist die Weitergabe von Korrespondenz innerhalb einer Behörde rechtens. (DSG-DBK 03/2021, Beschluss vom 23. Februar 2022.) Die erste Instanz wurde hier schon ausführlich besprochen: Das IDSG hatte als Rechtsgrundlage der Verarbeitung eine Einwilligung angenommen – eine Rechtsgrundlage, die einige Probleme in solchen Konstellationen aufwirft. Für das DSG-DBK war das kein Problem. Auch hier wird daran festgehalten: »Es handelt sich vielmehr um die vom Antragsteller selbst initiierte und gewünschte Bearbeitung seiner Eingabe, mithin um eine rechtmäßige Datenverarbeitung nach § 6 Abs. 1 lit. b) KDG.« Es bleibt also bei der kuriosen Situation, dass ein Betroffener einem Verantwortlichen eine rechtmäßige Einwilligung geben kann, ohne je informiert worden zu sein, und entgegen seiner erklärten Aussage, gerade keine Einwilligung gegeben zu haben.

Leider zu spät habe ich bemerkt, dass nun auch das IDSG seine ersten öffentlichen Verhandlungen hatte – schon am 13. Januar wurden zwei Fälle verhandelt. In der hier am Montag besprochenen Dissertation zum kirchlichen Datenschutzrecht hatte Michaela Hermes noch die in der KDSGO fehlende Öffentlichkeit verteidigt: »Der grundsätzliche Ausschluss der mündlichen Verhandlung, wie er auch in kanonischen Prozessrecht üblich ist, das den Öffentlichkeitsgrundsatz nicht realisiert, steht der Gewähr eines effektiven Rechtsschutzes nach Art. 47 GRCh nicht entgegen. Denn der EuGH hat unter Hinweis auf seine Rechtsprechung zu Art. 6 EMRK festgestellt, dass es keine absolute Verpflichtung zur Durchführung einer öffentlichen Verhandlung gibt.« Schön, dass die Tendenz der Gerichte dahin zu gehen scheint, mündliche Verhandlungen grundsätzlich öffentlich zu machen. Dann braucht man sich gar keine komplizierte Rechtfertigung zurechtlegen.

Weiterhin intransparent sind die für Datenschutz zuständigen Verwaltungsgerichte der EKD, die seit 2018 gar keine Entscheidungen veröffentlicht haben. Anfragen an die Pressestelle (die trotz der Unabhängigkeit der Kirchengerichte als Kontaktadresse für Presseanfragen angegeben wird), ob und wie viele Fälle mit DSG-EKD-Bezug entschieden wurden, wurden seit Oktober 2020 (!) nur mit Vertröstungen beantwortet. Erst in diesem Monat habe ich einen direkten Kontakt für Presseanfragen bei den Kirchengerichten bekommen. Dort gab es wenigstens prompt eine Eingangsbestätigung.

Weiterlesen

Dauerbrenner und kontraintutive konfessionelle Transparenz – das war 2022

2022 endet, wie es begonnen hat: Die hier prophezeiten großen Themen können alle auf Wiedervorlage gelegt werden. Die große Facebook-Dämmerung kam nicht – alle warten immer noch auf das Musterverfahren zwischen dem Bundesdatenschutzbeauftragten und dem Bundespresseamt. Bei der Evaluierung der kirchlichen Datenschutzgesetze gibt es auch nichts Neues – das KDG ist nach wie vor überfällig, beim DSG-EKD ist öffentlich keine Bewegung sichtbar. Die KDSA Nord ist immer noch keine KdÖR, und in Bayern ist Jupp Joachimski im 81. Lebensjahr Diözesandatenschutzbeauftragter ohne Aussicht auf Ablöse. Der DSG-EKD-Kommentar ist immer noch nicht da, die KDSGO-Kommentierung auch nicht.

Jahresrückblick kirchlicher Datenschutz 2022
(Bildquelle: Moritz Knöringer on Unsplash)

Vormals große Themen wie der Umgang mit Corona haben an Bedeutung verloren – im Frühjahr wurde noch über den richtigen Umgang mit Impfnachweisen diskutiert, seither ist die Pandemie zumindest datenschutzrechtlich vorbei. Die Tendenz der vergangenen Jahre zeichnet sich also fort: Der kirchliche Datenschutz läuft im Regelbetrieb. Große Aufregerthemen blieben aus, nach Ausnahmejahren der Pandemie können sich Aufsichten und Verantwortliche wieder auf ihre Regelaufgaben konzentrieren.

Weiterlesen

Verwaltungsgericht kassiert kirchlichen Datenschutz – Wochenrückblick KW 48/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Nach der Niederlage der Selbständigen Evangelisch-Lutherischen Kirche vor dem VG Hannover ist das eigene Datenschutzrecht der Gemeinschaft in der Schwebe: Wenn das Urteil rechtskräftig wird, gilt die DSGVO und die Landesdatenschutzbeauftragte ist zuständig statt einer eigenen kirchlichen Aufsicht. Beide Seiten, die SELK und die LfD Niedersachsen, äußerten sich in der Sache noch nicht. Ob die SELK die Zulassung zur Berufung beantragen wird, steht noch nicht fest: »Das Urteil mit seiner Begründung müssen wir nun abwarten, um anschließend über das weitere Vorgehen zu entscheiden«, sagte ein Sprecher der SELK auf Anfrage. Die LfD Niedersachsen will vor einem rechtskräftigen Urteil noch nichts dazu sagen, wie sie dann agieren werde, wenn ihre Zuständigkeit feststeht. Grundsätzlich begrüßt man in der Aufsicht das Urteil aber: »Wir sehen das Urteil als Bestätigung unserer Rechtsauffassung an, dass es sich bei Art. 91 Abs. 1 DS-GVO um eine abschließende Bestandsschutzregelung handelt, die außerhalb ihres Anwendungsbereichs keinen Raum für sonstige kirchliche Datenschutzvorschriften lässt«, teilte ein Sprecher der Aufsicht auf Anfrage mit.

Der BfD EKD hat seine Position, dass Elternbeiräte keine eigene verantwortliche Stelle sind, jetzt auch noch einmal in einem Kurzbeitrag auf der Webseite der Aufsicht veröffentlicht. So hatte er sich auf schon als Beitrag zu dem ausführlicheren Artikel zum Thema hier auf Anfrage geäußert. Eine Herausforderung: »Da es in der Regel gesetzlich ausgeschlossen ist, dass Mitarbeitende der Kindertageseinrichtungen den Elternbeiräten angehören, haben die Kindertageseinrichtungen keine Möglichkeit, die Einhaltung des Datenschutzes durch die Elternbeiräte zu kontrollieren.« Der BfD EKD empfiehlt daher Sensibilisierung und Vorgaben für den Umgang mit Daten durch die Elternbeiräte.

Bei den Datenschutz-Notizen widmet sich Sebastian Ertel dem hier schon besprochenen IDSG-Beschluss zur konkludenten Einwilligung. Vermisst wird dabei die Auseinandersetzung mit zwei Fragen: Zum einen, ob überhaupt zurecht kirchliches Datenschutzrecht angewendet wurde bei einem von einer kirchlichen Stiftung getragenen Medizinischen Versorgungszentrum, da es »faktisch keinen kirchlichen Auftrag verfolgt«. Zum anderen schweigt die Entscheidung zu dem kuriosen Faktum, dass Patient*innenakten 23 Jahre aufbewahrt wurden: »nach § 10 Abs. 3 MBO-Ärzte bzw. § 630f BGB liegt die Aufbewahrungspflicht und -frist der Behandlungsdokumentation grundsätzlich bei zehn Jahren nach Abschluss der Behandlung«, bemerkt Ertel.

Weiterlesen

IDSG zeigt Kriterien für konkludente Einwilligung

Einwilligungen sind anspruchsvoll. Sie müssen freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Das KDG sieht zudem vor, dass sie in der Regel schriftlich eingeholt werden. Und dennoch ist unter diesen Bedingungen eine konkludente Einwilligung möglich.

Daumen hoch ist auch Einwilligung
Daumen hoch kann auch informierte Einwilligung sein, ganz ohne Schriftform (Bildquelle: Amol Kudal on Unsplash)

In den Datenschutzgesetzen werden die Bedingungen für eine konkludente Einwilligung nicht geregelt. Das Interdiözesane Datenschutzgericht hatte zwar schon zuvor konkludente Einwilligungen angenommen – aber erst mit der nun veröffentlichten Entscheidung (IDSG 01/2021 vom 24. Mai 2022) gibt es Kriterien, welche Anforderungen daran gestellt werden.

Weiterlesen