Schlagwort-Archive: Einwilligung

Synodensaison – Wochenrückblick KW 45/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Es ist Synodensaison – und Datenschutz steht auf der Tagesordnung. Bei der EKD-Synode Anfang der Woche nur unter »ferner liefen«: Die hier schon besprochene Änderung des DSG-EKD zur institutionellen Missbrauchsprävention, die als gesetzesvertretende Ordnung erlassen wurde, musste noch von der eigentlichen Gesetzgeberin beraten werden – die hat das allerdings ohne Debatte zur Sache in den Rechtsausschuss überwiesen, der hat weder Änderung noch Aufhebung vorgeschlagen, ohne Antrag auf Änderung oder Aufhebung ist die Änderung damit dauerhaft. Bei der gerade tagenden Synode des Alt-Katholischen Bistums steht eine Änderung der Kirchlichen Datenschutzordnung auf der Tagesordnung (Antrag 18) – laut Zeitplan heute nachmittag, inhaltlich ging es hier schon einmal darum. In der kommenden Woche tagt dann die Synode der Nordkirche – hier legt der Beauftragte für den Datenschutz seinen Bericht vor, und die Synodalen haben über ein »Kirchengesetz zur Übertragung der Datenschutzaufsicht« zu beraten. Um was es darum geht (soll die Aufsicht an die EKD übergehen?), ist noch nicht bekannt.

Die Curacon hat auf ihrem YouTube-Channel den Krankenhausseelsorger des Sendenhorster St.-Josef-Stifts zu Seelsorgekonzepten mit Blick auf den Patient*innen-Datenschutz interviewt. Das Gespräch ist sehr erhellend für das Verständnis des Seelsorge-PatDSG und seinem Begriff der implementierten Seelsorge, indem dort die Veränderung der Krankenhausseelsorge dargestellt wird: Von einer reinen Sakramentenpastoral über eine gesprächsorientierte Pastoral hin zu systemorientierter Spiritual Care, bei der Seelsorgende ins Behandlungskonzept eingebunden werden – und wie das transparent in Verfahren und Behandlungsverträgen abgebildet sein muss.

Weiterlesen

IDSG: Konkludente Einwilligung als Rechtsgrundlage für Korrespondenz?

In der jüngsten veröffentlichten Entscheidung des Interdiözesanen Datenschutzgerichts (IDSG 08/2021) geht es wieder einmal um Streit mit einem Pfarrer. Das Verfahren entzündete sich um einen Beschwerdebrief an einen »persönlich« adressierten Ordinariatsrat – der hat die Sache ans Justitiariat weitergegeben, und das findet der Kläger nicht in Ordnung.

Ein roter Briefkasten steht vor einer Hecke
(Symbolbild, Quelle: Bundo Kim/Unsplash)

Das Ergebnis überrascht kaum: Selbstverständlich darf innerhalb des Ordinariats Schriftverkehr an eine zuständige Abteilung wie das Justitiariat weitergegeben werden, und zwar schon deshalb, weil das Ordinariat als Behörde eine verantwortliche Stelle ist. Interessant und überraschend ist die Rechtsgrundlage, auf die das Gericht die Verarbeitung der Korrespondenz stützt: Nämlich die Einwilligung – und das auch noch konkludent.

Weiterlesen

Alle Völker und Rassen – Wochenrückblick KW 41/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Bei der Eule beschäftigt sich Philipp Greifenstein mit der Kategorie des »Rassischen« in evangelischen Kirchengesetzen – ein lesenswerter Beitrag zu kirchlicher Rechtskultur. Er fragt: »Wenn sich schon der Deutsche Bundestag mit einer Reform Zeit lässt, könnten dann nicht die Kirchen mit guten Beispiel voran gehen, und den Rassebegriff und seine verschwurbelten Geschwister wie „Abstammung“ und „Ethnie“ aus ihren Gesetzen entfernen?« Betroffen sind dabei auch die kirchlichen Datenschutzgesetze. Sowohl das DSG-EKD (§ 4 Nr. 2 lit. b)) wie das KDG (§ 4 Nr. 2) haben aus Art. 9 Abs. 1 DSGVO die Wendung »rassische und ethnische Herkunft« bei der Definition der besonderen Kategorien personenbezogener Daten übernommen. In der Fachöffentlichkeit wurde das bisher nur von Matthias Ullrich in seiner Kommentierung von § 11 KDG in Sydows KDG-Kommentar problematisiert: »Auch der kirchliche Gesetzgeber hat es an dieser Stelle versäumt, die Formulierung „rassische“ Herkunft aus dem Gesetz zu entfernen, bzw. nicht aufzunehmen. Wissenschaftlich ist längst erwiesen, dass es menschliche Rassen nicht gibt.« Ullrich sieht den Begriff als nicht erforderlich an, um die gewünschte Regelung zu treffen: »Das Begriffspaar „rassische und ethnische Herkunft“ wird stets zusammen verwendet und zielt auf die Zugehörigkeit einer bestimmten Bevölkerungsgruppe ab, die durch gemeinsame Herkunft, Kultur oder ein besonderes Zusammengehörigkeitsgefühl geprägt wird.« Ullrich plädiert dafür, lediglich »ethnische Herkunft« zu schreiben. Mit Blick darauf, dass »rassisch« eben nicht auf biologische Tatsachen, sondern auf biologistische Zuschreibung abhebt, wäre das vielleicht doch etwas zu wenig. (Ausführlich dazu Matthias Hong im Verfassungsblog.)

Auf Twitter habe ich mich mit Michael Hilpüsch darüber unterhalten, ob das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) eigentlich im kirchlichen Bereich gilt. Tut’s das? Laut Anwendungsbereich unterliegen ihm »alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen« (§ 1 Abs. 3 TTDSG). Kirchlicher Datenschutz wird einerseits in Ausübung des Selbstorganisationsrecht der Kirchen gesetzt – verdrängt es dann alle Gesetze dieser Materie? Oder gilt das TTDSG, weil die kirchlichen Datenschutzgesetze beide Regelungen haben, denen zufolge ihnen Spezialgesetze vorgehen (§ 2 Abs. 2 KDG und § 2 Abs. 6 DSG-EKD)? Und welche kirchlichen Einrichtungen sind eigentlich »Unternehmen« im Sinne des TTDSG? Das Zusammenwirken der kirchlichen Gesetze mit weltlichen und die deutlich unterschiedliche Systematik, was den Vorrang des jeweiligen Datenschutzgesetzes im Vergleich zu anderen Gesetzen angeht, bleibt eine der kompliziertesten Fragen des kirchlichen Datenschutzes – und eine der ungeklärtesten.

Ein Terminhinweis in eigener Sache: In der kommenden Woche, 21. Oktober, 17–18.30 Uhr sitze ich beim iRights.Lab auf einem digitalen Podium zum Thema »Ist das Kirche oder kann das weg? Über die Moral in einer digitalen Gesellschaft« – die Teilnahme ist kostenlos, Anmeldung beim iRights.Lab.

Weiterlesen

Kein Stream beim Synodalen Weg – Einwilligungen sind schuld

Grundsätzlich hat die zweite Synodalversammlung des Synodalen Wegs am vergangenen Wochenende transparent gearbeitet, mit guter Öffentlichkeitsarbeit und umfassender Veröffentlichung von Ergebnissen. Beim Livestream kam es aber gelegentlich zu Aussetzern aus »rechtlichen Gründen«. Nicht nur die Öffentlichkeit, sondern – das wurde aber schnell korrigiert – auch die (möglicherweise aus zwingenden medizinischen Gründen) remote teilnehmenden Synodalen wurden teilweise von der Beratung ausgeschlossen.

Screenshot aus dem Livestream der zweiten Synodalversammlung: »Gleich geht es weiter. Aus rechtlichen Gründen können Ton und Bild nicht übertragen werden«
So sah es im Livestream aus, wenn nichts zu sehen war. (Screenshot aus dem Livestream der zweiten Synodalversammlung)

Die rechtlichen Gründe liegen darin, wie der Livestream datenschutzrechtlich gestaltet wurde: nämlich mit Einwilligungen der einzelnen Teilnehmenden. Das ist auch hier die scheinbar einfachste, tatsächlich aber schlechteste Rechtsgrundlage, die genau zu solchen Problemen führt. Dabei wäre es eigentlich so einfach, hier eine datenschutzrechtlich saubere Lösung zu wählen, die Teilhabe ermöglicht, auch wenn kein Medienprivileg greift.

Weiterlesen

Videokonferenzgesetz Nord, Exchange-Check West – Wochenrückblick KW 37/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Seit Donnerstag tagt die Synode der Nordkirche. Auf der Tagesordnung steht auch ein »Kirchengesetz über die Durchführung von Sitzungen und die Beschlussfassung kirchlicher Gremien auch mittels Videokonferenzen (Videokonferenzengesetz − VidKoG)«: eine allgemeine Rechtsgrundlage, nicht nur für Seuchenzeiten. Neben den erwartbaren datenschutzrechtlichen Bestimmungen (in der Regel keine Aufzeichnung, Vertraulichkeit beachten, Anbieter müssen europäische Datenschutzstandards einhalten, § 3) und überraschenden Regelungen (implizit gibt es eine grundsätzliche Pflicht, mit Video teilzunehmen, § 7 Abs. 2) wird in der Begründung auch auf öffentliche Sitzungen eingegangen. Dort wird zwar betont, dass es für ein öffentlich zugängliches Streaming grundsätzlich die »Zustimmung« aller Betroffenen brauche, andere Rechtsgrundlagen seien aber zulässig. Und die werden nicht übermäßig hoch gehängt: »Nach Auskunft des örtlichen DS-Beauftragten und des DS-Referenten der EKD ist eine Regelung in der Geschäftsordnung als ausreichende Rechtsgrundlage anzusehen.« (Die Streaming-Rechtsgrundlage § 53 DSG-EKD wird anscheinend nicht für einschlägig gehalten.)

Erst kommt die Exchange-Lücke, und dann auch noch die Aufsicht: Das KDSZ Dortmund berichtet über eine Prüfung anlässlich der im Frühjahr festgestellten Sicherheitslücke im Microsoft-Exchange-Server. Haben die geprüften Einrichtungen rechtzeitig Patches eingespielt? Der Bericht ist aufschlussreich und erfreulich. Aufschlussreich, weil die Aufsicht ihren Prüfprozess grob dokumentiert und erkennen lässt, dass im Haus genügend Expertise ist, um technische Prüfungen durchzuführen: »In einem ersten Schritt wurden durch das Katholische Datenschutzzentrum die öffentlich verfügbaren Informationen der E-Mail-Server der Einrichtungen abgefragt. So konnte auch erkannt werden, ob die Sicherheitslücke noch besteht.« Und erfreulich, weil es keine Beanstandungen gegeben hat: »Die Antworten der angeschriebenen Einrichtungen zeigten durchweg ein angemessenes und professionelles Verhalten der Verantwortlichen.«

Weiterlesen

Impffragen und Jubiläum im Geheimarchiv – Wochenrückblick KW 35/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Frage, ob Beschäftigte von ihren Arbeitgeber*innen nach dem Impfstatus gefragt werden dürfen, beherrscht diese Woche die Pandemie-Diskussion. Gegenüber dem ZDF hat sich dazu auch Theologe und Ethikratsmitglied Andreas Lob-Hüdepohl geäußert: »Der Datenschutz ist ein wichtiges Gut, allerdings werden die Daten nicht um ihrer selber geschützt, sondern sie dienen der Persönlichkeitssphäre der betroffenen Mitarbeiterinnen und Mitarbeiter, von daher muss man tatsächlich in dieser Situation eine Güterabwägung vornehmen, nämlich zwischen dem Gut der geschützten Daten um des Persönlichkeitsschutzes willen, oder aber das Wissen um bestimmte Daten, in diesem Fall Gesundheitsdaten, auch um Personen zu schützen, nämlich im Betrieb, von daher ist das grundsätzlich anzudenken und möglicherweise sogar erforderlich.« Lob-Hüdepohl betont dabei die ethische Notwendigkeit einer rechtlichen Regelung: »denn nur was gesetzlich geregelt ist, dagegen kann ich mich gegebenenfalls auch wehren, das ist ein Rechtsstaatsprinzip«, so der Berliner Theologe.

Das Katholische Datenschutzzentrum Dortmund feiert sein fünfjähriges Jubiläum und die Bestätigung von Steffen Pau als Diözesandatenschutzbeauftragter auf fünf weitere Jahre. (Amtsblatt- und Artikel-91-Leser*innen wussten das schon.) In der Meldung hebt das Datenschutzzentrum seine organisatorische Vorreiterrolle hervor, die die Errichtung als KdÖR darstellte: »In der Folge entstand für die südwestlichen (Erz-)Bistümer in Deutschland das „Katholische Datenschutzzentrum Frankfurt am Main“ (KdöR). Auch die Freisinger Bischofskonferenz plant zur Unterstützung des gemeinsamen Diözesandatenschutzbeauftragten der bayerischen (Erz-)Bistümer ein „kirchliches Datenschutzzentrum“ in Nürnberg zu errichten.« Wann das der Fall sein wird, ist trotz vieler Nachfragen bei der Pressestelle der Freisinger Bischofskonferenz noch nicht zu erfahren.

Im Würzburger »Kanon des Monats« geht es im September um die bischöflichen Geheimarchive. Jessica Scheiper, die das Thema bereits vor einigen Wochen bei Feinschwarz angesprochen hatte, legt jetzt noch einige kanonistische Details nach. Dazu gehört auch der Verweis auf can. 490 § 3 CIC: »Aus dem Geheimarchiv bzw. Geheimschrank dürfen keine Dokumente herausgegeben werden.« Das hat auch für die Betroffenenrechte des Datenschutzrechts erhebliche Auswirkungen: Das Universalkirchenrecht ist höherrangiges Recht als das KDG und geht damit den datenschutzrechtlichen Auskunftsrechten vor. Da im Geheimarchiv unter anderem »Akten der Strafsachen in Sittlichkeitsverfahren« gelagert werden, hebelt das insbesondere die Rechte von Betroffenen sexualisierter Gewalt aus.

Weiterlesen

Stand der Technik im Pfarrbüro – Wochenrückblick KW 33/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Mal wieder zum Ende der Woche kam ein Tätigkeitsbericht – der Diözesandatenschutzbeauftragten für die Südwest-Bistümer. Die ausführliche Besprechung folgt in der kommenden Woche. Ein erstes Highlight gibt’s gleich auf der Titelseite: Der Heilige Ivo hat Konkurrenz bekommen – das Frankfurter Datenschutzzentrum stellt sich unter das Patronat des heiligen Johannes Nepomuks.

Und noch eine Prüfung – die KDSA Ost kündigt eine Prüfung von Pfarreien im Zuständigkeitsgebiet an und gibt schon mal Hinweise, was man lieber parat haben sollte: »Datenschutzkonzept, Verfahrensverzeichnisse, technisch- organisatorische Maßnahmen, Pflichtinformationen« werden genannt. Nach Angaben der Aufsicht laufen außerdem gerade noch Prüfungen internationaler Datentransfers, von Mailhostern, Tracking-Tools und der Nutzung privater Endgeräte zu dienstlichen Zwecken. Viel zu tun.

Der für mehrere ostdeutsche Landeskirchen und Diakonischen Werke zuständige Datenschutzbeauftragte für Kirche und Diakonie veröffentlicht immer spät, stoßweise und rückdatiert (und in dieser Woche gleich drei) Hinweise: Zur Änderung des DSG-EKD zur Missbrauchsaufarbeitung (man erfährt, dass die Behörde informell bei der Novellierung beteiligt war), zu den neuen Standardvertragsklauseln (die im Einklang mit dem kirchlichen Datenschutzrecht anzuwenden sind, auch wenn sie natürlich nur die DSGVO referenzieren) und eine Erläuterung zum Begriff »Stand der Technik«: Insbesondere wird betont, dass eine »Berücksichtigung der Implementierungskosten im Sinne einer Wirtschaftlichkeitsbetrachtung« nicht das Datenschutzniveau absenken dürfe. Empfohlen wird die Handreichung zum Thema des Arbeitskreises »Stand der Technik« des Bundesverbands IT-Sicherheit.

Weiterlesen

Alles Einzelfälle – Wochenrückblick KW 31/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die neu im DSG-EKD geschaffene Rechtsgrundlage für die systematische Missbrauchsaufarbeitung schließt ihre Anwendung für Einzelfälle aus. Das stößt auf Kritik bei Betroffenenvertreter*innen: Kerstin Claus, Mitglied des Nationalen Rats gegen sexuelle Gewalt an Kindern und Jugendlichen, sieht in einer Ergänzung zur Meldung hier das Problem darin, dass die Gesetzesänderung so ins Leere laufen könnte: »›Nicht auf den Einzelfall bezogene Untersuchung‹ – das heisst im Umkehrschluss, dass gerade für Taten, die sich im gemeindlichen Kontext ereignet haben, entsprechende Akten kaum ausgewertet werden können, da mangels solcher auch öffentlicher kirchlicher Nachforschungen, die das Gegenteil belegen könnten, weiter für die meisten angezeigten Fälle von Einzelfällen ausgegangen werden wird.« Ihr ganzer Kommentar ist lesenswert.

Die Ungeduld wächst bei einigen kirchlichen Aufsichten angesichts verhallender Hinweise. Bei der KDSA Ost geht’s dieses Mal um Namensschilder im Pflegebereich und immer wiederkehrende Konflikte darüber, ob die den vollen Namen enthalten müssen. Müssen sie nicht, ist ziemlicher Konsens bei den Aufsichten, wie auch die Ost-Aufsicht erläutert: »Gerade aber im Bereich körpernaher Dienstleistungen besteht regelmäßig die Gefahr, dass Patienten in der Pflegeleistung mehr als eine Dienstverrichtung sehen. Nach Dienstende oder außerhalb der Dienstzeit haben Arbeitnehmer*innen ein schützenswertes Interesse nicht von Patienten kontaktiert zu werden.« Den Wink mit dem Zaunpfahl sollten entsprechende Verantwortliche zur Kenntnis nehmen – die Aufsicht kündigt Sanktionen an.

Weiterlesen

Keine Gelegenheit für Bußgelder – Tätigkeitsbericht 2020 der KDSA Nord

Noch schnell vor der Sommerpause hat die Katholische Datenschutzaufsicht Nord am Donnerstag ihren Tätigkeitsbericht für 2020 veröffentlicht – natürlich ein weiterer Corona-Bericht. Die Pandemie hat sich neben dem Ausfall von allen Vor-Ort-Prüfungen bis auf zwei vielfältig in der Aufsichts- und Beratungstätigkeit niedergeschlagen.

Titelseite des Tätigkeitsberichts 2020 der KDSA Nord

Titelseite des Tätigkeitsberichts 2020 der KDSA Nord

Eine auffällige Leerstelle im Bericht sind die Aufsichtsmaßnahmen: Zwar werden einige Fälle geschildert, in denen durchaus gravierende Datenschutzverstöße vorliegen. Bußgelder werden jedoch nicht erwähnt. Auf Anfrage teilte mir der Diözesandatenschutzbeauftragte Andreas Mündelein mit, dass er keine Möglichkeit hatte, Bußgelder zu verhängen – die besonders gravierenden Fälle waren bei öffentlich-rechtlich organisierten Stellen und damit durch das KDG von Bußgeldern ausgenommen. Der Glaubwürdigkeit der kirchlichen Selbstverwaltung trägt diese Regelung nicht bei.

Weiterlesen

Fotos vom Ferienlager – so klappt’s mit dem Datenschutz

Jetzt ist wieder die Zeit der Zeltlager und Ferienfreizeiten – und damit wird eine Klassikerfrage des Datenschutzes wieder sehr aktuell: Was ist eigentlich erlaubt bei Fotos, auf denen Kinder und Jugendliche zu sehen sind? Unter welchen Bedingungen darf was fotografiert werden, und wo und wie dürfen diese Bilder dann veröffentlicht werden?

Ein Pfadfinder trägt einen Seesack in Richtung einer Gruppe von Menschen vor einem Zelt. Er ist von hinten zu sehen, die Gruppe dank fehlender Tiefenschärfe nicht identifizierbar.
Datenschutzrechtlich relevant sind nur Fotos, auf denen »identifizierte oder identifizierbare« Personen abgebildet sind – auch wenn Gesichter Bilder besonders lebendig wirken lassen – dieses Bild von einem Pfadfinder*innen-Lager zeigt, dass es auch ohne Gesicht möglich ist, ansprechende und atmosphärische Bilder aufzunehmen. (Photo by Mael BALLAND on Unsplash)

Immer noch ist es oft Standard, einfach ein Ankreuzfeld auf eine Anmeldung zu packen, mit dem die Eltern in alles einwilligen, was mit Fotos zu tun hat, und dann zu glauben, dass damit auch der Datenschutz abgehakt ist. Tatsächlich braucht es etwas mehr – vor allem ein Verständnis dafür, dass das Thema kein Selbstzweck ist und im besten Fall sogar eine medienpädagogische Chance darstellt. Daher liefert dieser Artikel auch keine fertigen Formulare – sondern Grundlagen für das Lagerteam für eine Beschäftigung mit dem Thema Datenschutz bei Fotos: Datenschutz als Haltung aus Verantwortung vor den anvertrauten Kindern und Jugendlichen – nicht als bürokratische Übung.

(Der Artikel aktualisiert meinen 2018 im BDKJ-Blog »Digitale Lebenswelten« veröffentlichten Beitrag.)

Weiterlesen