Schlagwort-Archive: Einwilligung

Rechtsgrundlagenarbeit – Tätigkeitsbericht des KDSZ Dortmund 2022

Die Corona-Fragestellungen sind fast nur noch von historischem Interesse. Mit etwas Glück ist der Tätigkeitsbericht für 2022 des KDSZ Dortmund der letzte, in dem Fragestellungen dazu ausführlicher dargestellt werden müssen. Das nächste große Thema sind Schadsoftware, Ransomware und Cyberangriffe: Die nehmen laut allen aktuellen Tätigkeitsberichten einen großen Raum ein.

Titelseite des Tätigkeitsbericht des KDSZ Dortmund für 2022
Titelseite des Tätigkeitsbericht des KDSZ Dortmund für 2022

In diesem Jahr bringt der Tätigkeitsbericht der NRW-Aufsicht einiges an praxisrelevanten Aussagen zur Anwendung von Rechtsgrundlagen – auch wenn einige schwierige Fragen noch offen sind.

Weiterlesen

Woche des Gerichts – Wochenrückblick KW 4/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das Datenschutzgericht der DBK liefert: Gleich zwei Entscheidungen wurden in dieser Woche veröffentlicht – wenn auch nicht die mit Spannung erwartete zum Streit zwischen dem Erzbistum München und Freising und der Integrierten Gemeinde. In der ersten Entscheidung stellt das DSG-DBK fest, dass Löschen für das Gericht keine Verarbeitung ist: In seiner Entscheidung DSG-DBK 04/2022 (Beschluss vom 3. Januar 2023) hat es die Feststellung eines Datenschutzverstoßes durch den IDSG im Fall einer gelöschten Beistandsakte verworfen. Die erste Instanz hatte alle Anträge des Klägers abgewiesen und nur diese Datenschutzverletzung durch Löschung festgestellt. Die zweite Instanz nimmt zwar auch an, dass die Vernichtung rechtswidrig war – aber aus anderen Gründen als dem Datenschutzrecht. Es gehöre gerade aber nicht zu den Aufgaben der kirchlichen Datenschutzgerichtsbarkeit, jenseits der Abwehr von Eingriffen in das Persönlichkeitsrecht von Betroffenen auf deren Antrag hin eine allgemeine Rechtmäßigkeitskontrolle des Handelns von Datenverarbeitern vorzunehmen, stellt das DSG-DBK fest (Rn. 19). Was das Gericht über die datenschutzrechtlichen Aspekte entschieden hat, ist interessant: »Das Recht des Antragstellers auf informationelle Selbstbestimmung, dessen Schutz das Datenschutzrecht nach § 1 KDG dient, kann durch eine Löschung von über ihn gespeicherten Daten nicht verletzt sein, weil durch Löschung der datenschutzrechtlich rechtfertigungsbedürftige Persönlichkeitseingriff ja gerade beendet wird.« (Rn. 19) Das kann man durchaus kritisch diskutieren: Auch Löschen ist eine Verarbeitung gemäß § 4 Nr. 3 KDG und bedarf damit einer Rechtsgrundlage – die hier anscheinend fehlte. So argumentierte noch die Vorinstanz (IDSG 10/2021, Rn. 32). Als Gedankenexperiment: Wenn ein online gespeichertes Tagebuch durch den Provider gelöscht wird: Ist das nur eine Verletzung des Hosting-Vertrags – oder greift das in die informationelle Selbstbestimmung ein?

Auch im zweiten DSG-DBK-Beschluss der Woche wurde die erste Instanz bestätigt: Weiterhin ist die Weitergabe von Korrespondenz innerhalb einer Behörde rechtens. (DSG-DBK 03/2021, Beschluss vom 23. Februar 2022.) Die erste Instanz wurde hier schon ausführlich besprochen: Das IDSG hatte als Rechtsgrundlage der Verarbeitung eine Einwilligung angenommen – eine Rechtsgrundlage, die einige Probleme in solchen Konstellationen aufwirft. Für das DSG-DBK war das kein Problem. Auch hier wird daran festgehalten: »Es handelt sich vielmehr um die vom Antragsteller selbst initiierte und gewünschte Bearbeitung seiner Eingabe, mithin um eine rechtmäßige Datenverarbeitung nach § 6 Abs. 1 lit. b) KDG.« Es bleibt also bei der kuriosen Situation, dass ein Betroffener einem Verantwortlichen eine rechtmäßige Einwilligung geben kann, ohne je informiert worden zu sein, und entgegen seiner erklärten Aussage, gerade keine Einwilligung gegeben zu haben.

Leider zu spät habe ich bemerkt, dass nun auch das IDSG seine ersten öffentlichen Verhandlungen hatte – schon am 13. Januar wurden zwei Fälle verhandelt. In der hier am Montag besprochenen Dissertation zum kirchlichen Datenschutzrecht hatte Michaela Hermes noch die in der KDSGO fehlende Öffentlichkeit verteidigt: »Der grundsätzliche Ausschluss der mündlichen Verhandlung, wie er auch in kanonischen Prozessrecht üblich ist, das den Öffentlichkeitsgrundsatz nicht realisiert, steht der Gewähr eines effektiven Rechtsschutzes nach Art. 47 GRCh nicht entgegen. Denn der EuGH hat unter Hinweis auf seine Rechtsprechung zu Art. 6 EMRK festgestellt, dass es keine absolute Verpflichtung zur Durchführung einer öffentlichen Verhandlung gibt.« Schön, dass die Tendenz der Gerichte dahin zu gehen scheint, mündliche Verhandlungen grundsätzlich öffentlich zu machen. Dann braucht man sich gar keine komplizierte Rechtfertigung zurechtlegen.

Weiterhin intransparent sind die für Datenschutz zuständigen Verwaltungsgerichte der EKD, die seit 2018 gar keine Entscheidungen veröffentlicht haben. Anfragen an die Pressestelle (die trotz der Unabhängigkeit der Kirchengerichte als Kontaktadresse für Presseanfragen angegeben wird), ob und wie viele Fälle mit DSG-EKD-Bezug entschieden wurden, wurden seit Oktober 2020 (!) nur mit Vertröstungen beantwortet. Erst in diesem Monat habe ich einen direkten Kontakt für Presseanfragen bei den Kirchengerichten bekommen. Dort gab es wenigstens prompt eine Eingangsbestätigung.

Weiterlesen

Dauerbrenner und kontraintutive konfessionelle Transparenz – das war 2022

2022 endet, wie es begonnen hat: Die hier prophezeiten großen Themen können alle auf Wiedervorlage gelegt werden. Die große Facebook-Dämmerung kam nicht – alle warten immer noch auf das Musterverfahren zwischen dem Bundesdatenschutzbeauftragten und dem Bundespresseamt. Bei der Evaluierung der kirchlichen Datenschutzgesetze gibt es auch nichts Neues – das KDG ist nach wie vor überfällig, beim DSG-EKD ist öffentlich keine Bewegung sichtbar. Die KDSA Nord ist immer noch keine KdÖR, und in Bayern ist Jupp Joachimski im 81. Lebensjahr Diözesandatenschutzbeauftragter ohne Aussicht auf Ablöse. Der DSG-EKD-Kommentar ist immer noch nicht da, die KDSGO-Kommentierung auch nicht.

Jahresrückblick kirchlicher Datenschutz 2022
(Bildquelle: Moritz Knöringer on Unsplash)

Vormals große Themen wie der Umgang mit Corona haben an Bedeutung verloren – im Frühjahr wurde noch über den richtigen Umgang mit Impfnachweisen diskutiert, seither ist die Pandemie zumindest datenschutzrechtlich vorbei. Die Tendenz der vergangenen Jahre zeichnet sich also fort: Der kirchliche Datenschutz läuft im Regelbetrieb. Große Aufregerthemen blieben aus, nach Ausnahmejahren der Pandemie können sich Aufsichten und Verantwortliche wieder auf ihre Regelaufgaben konzentrieren.

Weiterlesen

Verwaltungsgericht kassiert kirchlichen Datenschutz – Wochenrückblick KW 48/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Nach der Niederlage der Selbständigen Evangelisch-Lutherischen Kirche vor dem VG Hannover ist das eigene Datenschutzrecht der Gemeinschaft in der Schwebe: Wenn das Urteil rechtskräftig wird, gilt die DSGVO und die Landesdatenschutzbeauftragte ist zuständig statt einer eigenen kirchlichen Aufsicht. Beide Seiten, die SELK und die LfD Niedersachsen, äußerten sich in der Sache noch nicht. Ob die SELK die Zulassung zur Berufung beantragen wird, steht noch nicht fest: »Das Urteil mit seiner Begründung müssen wir nun abwarten, um anschließend über das weitere Vorgehen zu entscheiden«, sagte ein Sprecher der SELK auf Anfrage. Die LfD Niedersachsen will vor einem rechtskräftigen Urteil noch nichts dazu sagen, wie sie dann agieren werde, wenn ihre Zuständigkeit feststeht. Grundsätzlich begrüßt man in der Aufsicht das Urteil aber: »Wir sehen das Urteil als Bestätigung unserer Rechtsauffassung an, dass es sich bei Art. 91 Abs. 1 DS-GVO um eine abschließende Bestandsschutzregelung handelt, die außerhalb ihres Anwendungsbereichs keinen Raum für sonstige kirchliche Datenschutzvorschriften lässt«, teilte ein Sprecher der Aufsicht auf Anfrage mit.

Der BfD EKD hat seine Position, dass Elternbeiräte keine eigene verantwortliche Stelle sind, jetzt auch noch einmal in einem Kurzbeitrag auf der Webseite der Aufsicht veröffentlicht. So hatte er sich auf schon als Beitrag zu dem ausführlicheren Artikel zum Thema hier auf Anfrage geäußert. Eine Herausforderung: »Da es in der Regel gesetzlich ausgeschlossen ist, dass Mitarbeitende der Kindertageseinrichtungen den Elternbeiräten angehören, haben die Kindertageseinrichtungen keine Möglichkeit, die Einhaltung des Datenschutzes durch die Elternbeiräte zu kontrollieren.« Der BfD EKD empfiehlt daher Sensibilisierung und Vorgaben für den Umgang mit Daten durch die Elternbeiräte.

Bei den Datenschutz-Notizen widmet sich Sebastian Ertel dem hier schon besprochenen IDSG-Beschluss zur konkludenten Einwilligung. Vermisst wird dabei die Auseinandersetzung mit zwei Fragen: Zum einen, ob überhaupt zurecht kirchliches Datenschutzrecht angewendet wurde bei einem von einer kirchlichen Stiftung getragenen Medizinischen Versorgungszentrum, da es »faktisch keinen kirchlichen Auftrag verfolgt«. Zum anderen schweigt die Entscheidung zu dem kuriosen Faktum, dass Patient*innenakten 23 Jahre aufbewahrt wurden: »nach § 10 Abs. 3 MBO-Ärzte bzw. § 630f BGB liegt die Aufbewahrungspflicht und -frist der Behandlungsdokumentation grundsätzlich bei zehn Jahren nach Abschluss der Behandlung«, bemerkt Ertel.

Weiterlesen

IDSG zeigt Kriterien für konkludente Einwilligung

Einwilligungen sind anspruchsvoll. Sie müssen freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Das KDG sieht zudem vor, dass sie in der Regel schriftlich eingeholt werden. Und dennoch ist unter diesen Bedingungen eine konkludente Einwilligung möglich.

Daumen hoch ist auch Einwilligung
Daumen hoch kann auch informierte Einwilligung sein, ganz ohne Schriftform (Bildquelle: Amol Kudal on Unsplash)

In den Datenschutzgesetzen werden die Bedingungen für eine konkludente Einwilligung nicht geregelt. Das Interdiözesane Datenschutzgericht hatte zwar schon zuvor konkludente Einwilligungen angenommen – aber erst mit der nun veröffentlichten Entscheidung (IDSG 01/2021 vom 24. Mai 2022) gibt es Kriterien, welche Anforderungen daran gestellt werden.

Weiterlesen

Freude & Hoffnung & Privatsphäre – Wochenrückblick KW 41/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

In dieser Woche vor 60 Jahren wurde das Zweite Vatikanische Konzil eröffnet, das von 1962 bis 1965 tagte. Zur Erneuerung der Kirche gehörte auch eine Versöhnung mit den Menschenrechten, die sich vor allem in den Beschlüssen der letzten Sitzungsperiode zeigte. Im abschließenden Dokument, der Pastoralkonstitution Gaudium et spes (1965), findet sich ein Katalog »unverletzlicher Rechte und Pflichten«, der auch für einen theologisch fundierten Schutz von Persönlichkeitsrechten relevant ist: »Es muß also alles dem Menschen zugänglich gemacht werden, was er für ein wirklich menschliches Leben braucht, wie Nahrung, Kleidung und Wohnung, sodann das Recht auf eine freie Wahl des Lebensstandes und auf Familiengründung, auf Erziehung, Arbeit, guten Ruf, Ehre und auf geziemende Information; ferner das Recht zum Handeln nach der rechten Norm seines Gewissens, das Recht auf Schutz seiner privaten Sphäre und auf die rechte Freiheit auch in religiösen Dingen.« (GS Nr. 26, Hervorhebungen ergänzt; mehr zur theologischen Grundlegung des Persönlichkeitsschutzes findet man bei Martina Tollkühn.)

In der Festschrift für Jupp Joachimski klang es, als sei das Katholische Datenschutzzentrum Nürnberg (das jetzt wohl KDSZ Bayern heißen soll) schon in trockenen Tüchern. Fragt man dort nach, wo man es genau wissen sollte, zeigt sich aber kein veränderter Stand: Auf Anfrage teilte ein Sprecher der Freisinger Bischofskonferenz mit, dass es noch nichts Konkretes gebe, insbesondere auch noch keine Ausschreibung für die Nachfolge Joachimskis. Das ist auch der Informationsstand des Diözesandatenschutzbeauftragten selbst – er hat seinen Vertrag noch einmal bis Ende des Jahres verlängert, teilte er auf Anfrage mit.

Lange hat es gedauert, jetzt ist absehbar, dass es im Konflikt zwischen der Selbständigen Evangelisch-Lutherischen Kirche (SELK) und der niedersächsischen Landesdatenschutzbeauftragten weitergeht: Wie schon im letzten Dezember berichtet, will die SELK den EuGH mit grundsätzlichen Vorlagefragen zu Art. 91 DSGVO befassen. Auf Anfrage teilte das Verwaltungsgericht Hannover nun mit, dass es einen Termin für die mündliche Verhandlung gibt: Am 30. November um 9.30 Uhr ist es so weit.

In der aktuellen Sonderausgabe der Datenschutz-Nachrichten gibt es auch einen Beitrag des NRW-DDSB Steffen Pau zum kirchlichen Datenschutzrecht. Der kompakte Überblick dürfte hier zum Grundwissen gehören; erfreulich ist, dass so der kirchliche Datenschutz auch in einer wichtigen weltlichen Zeitschrift erwähnt wird. In der Sache äußert sich Pau auch zum Schriftformerfordernis der Einwilligung im KDG und deutet damit wohl eine gewisse Flexibilität der Aufsicht an: »Inwieweit hier in der Praxis im täglichen Umgang mit der Einwilligung wirklich große Unterschiede bestehen, ist bei vielen Sachverhalten fraglich, da einerseits § 8 Abs. 2 Satz 1 KDG als Ausnahme von dem Schriftformerfordernis selbst ›eine andere Form‹ der Einwilligung auf Grund besonderer Umstände vorsieht und andererseits die Nachweispflicht der DSGVO in vielen Fällen auch zu einer textlichen oder schriftlichen Fassung der Einwilligung führt.«

Weiterlesen

Religion nicht mal mehr freiwillig – Wochenrückblick KW 40/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Mit dem am Donnerstag letzter Woche beschlossenen dritten Gesetz zur Änderung personenstandsrechtlicher Vorschriften wurde die gesetzliche Möglichkeit zur freiwilligen Eintragung der Religionszugehörigkeit in die Personenstandsregister abgeschafft. Eine vernünftige Entscheidung, die staatliche Datenhaltung auf das erforderliche Maß zurückstutzt, sollte man denken, und angesichts der Rolle von Religionseinträgen bei der Organisation des Holocausts auch ein spätes Lernen aus der Geschichte. Aus den Unionsparteien gab es aber Protest. Die Ampel-Koalition wolle die Religion immer weiter ins Private zurückdrängen, kritisierte CDU-MdB Philipp Amthor, der religionspolitische Sprecher der Unionsfraktion Thomas Rachel sieht als Ziel ein »Zurückdrängen der Religionsgemeinschaften«. Auch die beiden kirchlichen Berliner Lobbybüros waren gegen diese Änderung und argumentierten identitär: Es sei »von großer Bedeutung, dass sich eine Person hierzu bekennen und damit in dem Personenstandsregister zum Ausdruck bringen kann, dass zu ihrer Identität der Glaube gehört«.

Der Freiburger Generalvikar hat per Dekret einen Fachausschuss Digitalisierung im Ordinariat eingerichtet – also ein Gremium, das dank rechtlicher Regelung durchaus Gewicht hat. Er soll den Generalvikar im Themenfeld der Digitalisierung beraten und unterstützen. »Ausgehend von diesem Grundauftrag berät der Fachausschuss über die Digitalisierung der pastoralen und kirchlichen Praxis, insbesondere der örtlichen kirchlichen Rechtsträger (z. B. Kirchengemeinden) sowie der dazugehörigen kirchlichen Verwaltung, um nützliche und nutzbare digitale Werkzeuge (z. B. Programme, Tools, Apps oder Services) zu ermöglichen, neue Formen der Kommunikation innerhalb der Gesellschaft und Kirche zu erschließen und die Definition einheitlicher Qualitätskriterien und verbindlicher Standards für die pastorale und kirchliche Praxis vorzunehmen«, heißt es im Dekret. Zu den gesetzten Mitgliedern gehört unter anderem der Diözesanökonom, aber niemand aus dem Bereich Datenschutz – aber immerhin will der Generalvikar noch zwei bis vier weitere Mitglieder berufen. Angesichts des Arbeitsauftrags wäre es sicher ressourcensparend, von vornherein Datenschutz mitzudenken.

Zum Datenschutzgesetz der Polnischen Bischofskonferenz gibt es jetzt einen zweibändigen Kommentar – leider nur gedruckt und wenig überraschend nur auf Polnisch. Das Werk dürfte auch über Polen hinaus interessant sein, weil das polnische Datenschutzdekret zu den kirchlichen Datenschutzgesetzen gehört, die sich eng an das Muster der COMECE anlehnen.

Weiterlesen

Katholische DSK lässt Einwilligung in schlechtere ToMs zu

Verantwortliche müssen technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten – so steht es in § 26 KDG. Dazu gehören beispielsweise besonders gesicherte Kommunikationskanäle. Lediglich transportverschlüsselte E-Mail fällt damit regelmäßig aus – das ist sicher, aber unpraktisch. In der Praxis stellt sich daher die Frage, ob auf angemessene ToMs durch eine Einwilligung verzichtet werden kann: »Ich willige in eine Zusendung des Untersuchungsbefunds per E-Mail ein«, zum Beispiel.

Ein offenes Vorhängeschloss an einem Riegel
Mit Einwilligung darf das Schloss künftig manchmal ab. (Bildquelle: iMattSmart on Unsplash)

Bislang war die Position der katholischen Datenschutzkonferenz, dass eine Einwilligung in schlechtere ToMs nicht zulässig ist. Die Verpflichtung sei »zwingender Natur und steht mithin nicht zur Disposition der an der Datenverarbeitung Beteiligten«, lautete bislang der Beschluss. Nun hat die Konferenz der Diözesandatenschutzbeauftragten ihren Beschluss revidiert und spricht von einem »Dispositionsrecht zur Einwilligung in die Nichtanwendung von technischen und organisatorischen Maßnahmen«. Der Beschluss der Juni-Sitzung wurde jetzt veröffentlicht.

Weiterlesen

Hl. Josef von Cupertino, bitte für die Caritas München – Wochenrückblick KW 37/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Münchner Diözesancaritasverband arbeitet erst einmal analog. Er »verzeichnet seit vergangenem Wochenende eine Großstörung zentraler IT-Systeme und ist nach aktuellem Kenntnisstand Opfer eines weitreichenden Cyberangriffs geworden«, heißt es in der Pressemitteilung. Die eigentliche Arbeit sei aber trotzdem gesichert. Viele Details erfährt man nicht – auch wenn der Caritasdirektor beteuert, der Vorfall sei »trotz umfangreicher technischer und organisatorischer Schutzmaßnahmen« eingetreten. Ein Krisenstab wurde eingerichtet, Anzeige ist erstattet. »Wir befinden uns derzeit noch in der Analysephase. Gleichwohl gibt es konkrete Hinweise darauf, dass es den Cyberkriminellen gelungen ist, trotz aller Schutzvorkehrungen Daten aus unseren Systemen abzugreifen. Um welche Daten es sich handelt, können wir zum jetzigen Stand nicht zweifelsfrei und auch aus ermittlungstaktischen Gründen nicht sagen«, so Diözesancaritasdirektor Hermann Sollfrank weiter. Aus Kreisen des Verbands erfährt man, dass die Behebung des Schadens noch länger, möglicherweise Monate dauern werde, und dass es um Erpressung geht. Normalerweise gilt: Kein Backup, kein Mitleid. Bei der Caritas und dem, was sie für Menschen in Notsituationen leistet, darf man aber trotzdem ein Kerzchen mit einer Bitte um Fürsprache des hl. Josef von Cupertino aufstellen. Der Franziskaner darf dank seiner Gabe der Bilokation auch als Schutzpatron der redundanten Datenhaltung gelten.

»Unterwerfungserklärung« ist wohl der ungeschickteste Begriff, den das kirchliche Datenschutzrecht hervorgebracht hat (oder besser: der sich in seiner Anwendung eingebürgert hat). Das wird deutlich in der Erläuterung bei »Althammer & Kill«, die vor naheliegenden Fehldeutungen warnt: »Auch wenn solch eine „Unterwerfung“ vor allem bei größeren Dienstleistern auf einen abwehrenden Reflex stößt, sollte beachtet werden, dass diese Erklärung nicht dazu dient, sich Gott, der Kirche oder einem bestimmten Glauben zu beugen«, heißt es da. Besser sei die Bezeichnung Anerkennungserklärung oder auch nur Zusatzvereinbarung, wird vorgeschlagen. Die Problematik der Vermittlung beim Abschluss von Auftragsverarbeitungsverträgen hat auch der BfD EKD erkannt und sein Muster vor einiger Zeit um gute Erläuterungen ergänzt, was da eigentlich vor sich geht.

Das IDSG kündigt eine Entscheidung (Beschluss vom 25. Mai 2022 – IDSG 01/2021) zu den Anforderungen an eine konkludente Einwilligung zur Datenverarbeitung bei der Übernahme einer Arztpraxis an. Konkludente Einwilligungen kamen bereits in Entscheidungen des kirchlichen Datenschutzgerichts vor, aber so zentral, wie der Leitsatz verspricht, noch nicht. Insbesondere eine klare Darlegung an die Anforderungen, wie sie in der Ankündigung versprochen wird, dürfte sehr hilfreich sein.

In eigener Sache: Am 21. September um 18 Uhr leite ich bei der Stiftung Datenschutz ein Webinar zu Besonderheiten im Bereich des kirchlichen Engagements – die Teilnahme ist kostenlos.

Weiterlesen

TTDSG, Teilkirchenaustritt und Landeskirchenrecht – Wochenrückblick KW 3/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Nach dem BfD EKD hat nun mit dem Katholischen Datenschutzzentrum Dortmund auch die erste katholische Aufsicht eine FAQ-Liste zum TTDSG veröffentlicht, und wie bei der evangelischen Liste ist auch diese weitgehend überraschungsfrei bei großen Überschneidungen beider Listen. Bei der Frage nach der zuständigen Aufsichtsbehörde spricht sich das KDSZ Dortmund klar dafür aus, dass die kirchliche Aufsicht zuständig ist, sich um die datenschutzrechtlichen Aspekte bei Telemedien kirchlicher Stellen zu kümmern. Was genau das in der Praxis heißt, wird sicher noch interessant, auch im Zusammenspiel mit den Landesmedienanstalten als Telemedien-Aufsichtsbehörden. Die Aufgabenzuweisung an den BfDI im Bereich der Telekommunikation soll laut FAQ-Liste auch im kirchlichen Bereich gelten. Kirchliche Stellen als Telekommunikationsanbieter dürfte es entweder fast keine geben oder sehr viele – dann nämlich, wenn Arbeitgeber Pflichten als Telekommunikationsdienstleister treffen sollten, wenn sie Angestellten betriebliche Kommunikation auch zur privaten Nutzung zur Verfügung stellen. Das ist aber noch keineswegs klar, wie auch die FAQ-Liste betont.

Während die Bremische Evangelische Kirche umfangreiche neue Ausführungsverordnungen in ihr Datenschutzrecht aufgenommen hat, gibt es bei der Evangelischen Kirche im Rheinland nur kosmetische Änderungen in der Durchführungsverordnung: Betroffenenrechte bezüglich privaten Kontaktdaten in Anschriftenverzeichnissen wurden präzisiert, beim Patient*innendatenschutz ist das Widerspruchsrecht deutlicher formuliert worden.

Bei den katholischen Datenschutzgerichten gibt es Neues: Die Entscheidung der zweiten Instanz zum »Teilkirchenaustritt« (16.09.2021 – DSG-DBK 05/2020) ist veröffentlicht worden und bestätigt die hier schon besprochene Entscheidung der ersten Instanz in vollem Umfang. Noch ohne Volltext wurde eine interessante Entscheidung der ersten Instanz angekündigt (09.12.2021 – IDSG 03/2020), der zufolge die Angabe, Vorsitzender eines »öffentlichen katholischen Vereins« zu sein, zu den besonderen Kategorien personenbezogener Daten gehört. Hier darf man auf die Begründung gespannt sein – die Tatsache der Vorstandschaft enthält kaum mehr als die bloße Kirchenzugehörigkeit, die gerade von den besonderen Kategorien ausgenommen ist. Je nach Begründung könnte diese Entscheidung für alle kirchlichen Vereine interessante Probleme aufwerfen.

In Sachen Prüfung des alt-katholischen Bistums durch die LDI NRW gibt es leider endgültig nichts Neues: Der Zugang zu den Entscheidungsgründen wurde abgelehnt, da die Prüfung lediglich ruhe. Derweil hat der bayerische Diözesandatenschutzbeauftragte eine Informationsoffensive gestartet – seine Webseite hat jetzt einen Bereich »Aktuelles«, und der BfD EKD hat Jobs im Angebot, das KDSZ Dortmund auch.

Weiterlesen