Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Bei der vom BfD EKD in seinem neuen Tätigkeitsbericht aufgrund umfangreicher Datenabfrage bei der Intranet-Registrierung bemängelten Landeskirche handelt es sich wie schon vermutet um die EKBO. Auf Anfrage bestätigte eine Sprecherin, dass man davon ausgehe, dass sich der Bericht auf ihre Landeskirche beziehe. Das EKBO-Intranet ist unter der URL info-gemeinsam.ekbo.de erreichbar. Eine Sprecherin der EKiR teilte dagegen mit, dass ihr – augenscheinlich auf derselben Software basierendes – Intranet nicht im Tätigkeitsbericht erwähnt wird.
Die Corona-Fragestellungen sind fast nur noch von historischem Interesse. Mit etwas Glück ist der Tätigkeitsbericht für 2022 des KDSZ Dortmund der letzte, in dem Fragestellungen dazu ausführlicher dargestellt werden müssen. Das nächste große Thema sind Schadsoftware, Ransomware und Cyberangriffe: Die nehmen laut allen aktuellen Tätigkeitsberichten einen großen Raum ein.
In diesem Jahr bringt der Tätigkeitsbericht der NRW-Aufsicht einiges an praxisrelevanten Aussagen zur Anwendung von Rechtsgrundlagen – auch wenn einige schwierige Fragen noch offen sind.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Das Datenschutzgericht der DBK liefert: Gleich zwei Entscheidungen wurden in dieser Woche veröffentlicht – wenn auch nicht die mit Spannung erwartete zum Streit zwischen dem Erzbistum München und Freising und der Integrierten Gemeinde. In der ersten Entscheidung stellt das DSG-DBK fest, dass Löschen für das Gericht keine Verarbeitung ist: In seiner Entscheidung DSG-DBK 04/2022 (Beschluss vom 3. Januar 2023) hat es die Feststellung eines Datenschutzverstoßes durch den IDSG im Fall einer gelöschten Beistandsakte verworfen. Die erste Instanz hatte alle Anträge des Klägers abgewiesen und nur diese Datenschutzverletzung durch Löschung festgestellt. Die zweite Instanz nimmt zwar auch an, dass die Vernichtung rechtswidrig war – aber aus anderen Gründen als dem Datenschutzrecht. Es gehöre gerade aber nicht zu den Aufgaben der kirchlichen Datenschutzgerichtsbarkeit, jenseits der Abwehr von Eingriffen in das Persönlichkeitsrecht von Betroffenen auf deren Antrag hin eine allgemeine Rechtmäßigkeitskontrolle des Handelns von Datenverarbeitern vorzunehmen, stellt das DSG-DBK fest (Rn. 19). Was das Gericht über die datenschutzrechtlichen Aspekte entschieden hat, ist interessant: »Das Recht des Antragstellers auf informationelle Selbstbestimmung, dessen Schutz das Datenschutzrecht nach § 1 KDG dient, kann durch eine Löschung von über ihn gespeicherten Daten nicht verletzt sein, weil durch Löschung der datenschutzrechtlich rechtfertigungsbedürftige Persönlichkeitseingriff ja gerade beendet wird.« (Rn. 19) Das kann man durchaus kritisch diskutieren: Auch Löschen ist eine Verarbeitung gemäß § 4 Nr. 3 KDG und bedarf damit einer Rechtsgrundlage – die hier anscheinend fehlte. So argumentierte noch die Vorinstanz (IDSG 10/2021, Rn. 32). Als Gedankenexperiment: Wenn ein online gespeichertes Tagebuch durch den Provider gelöscht wird: Ist das nur eine Verletzung des Hosting-Vertrags – oder greift das in die informationelle Selbstbestimmung ein?
Auch im zweiten DSG-DBK-Beschluss der Woche wurde die erste Instanz bestätigt: Weiterhin ist die Weitergabe von Korrespondenz innerhalb einer Behörde rechtens. (DSG-DBK 03/2021, Beschluss vom 23. Februar 2022.) Die erste Instanz wurde hier schon ausführlich besprochen: Das IDSG hatte als Rechtsgrundlage der Verarbeitung eine Einwilligung angenommen – eine Rechtsgrundlage, die einige Probleme in solchen Konstellationen aufwirft. Für das DSG-DBK war das kein Problem. Auch hier wird daran festgehalten: »Es handelt sich vielmehr um die vom Antragsteller selbst initiierte und gewünschte Bearbeitung seiner Eingabe, mithin um eine rechtmäßige Datenverarbeitung nach § 6 Abs. 1 lit. b) KDG.« Es bleibt also bei der kuriosen Situation, dass ein Betroffener einem Verantwortlichen eine rechtmäßige Einwilligung geben kann, ohne je informiert worden zu sein, und entgegen seiner erklärten Aussage, gerade keine Einwilligung gegeben zu haben.
Leider zu spät habe ich bemerkt, dass nun auch das IDSG seine ersten öffentlichen Verhandlungen hatte – schon am 13. Januar wurden zwei Fälle verhandelt. In der hier am Montag besprochenen Dissertation zum kirchlichen Datenschutzrecht hatte Michaela Hermes noch die in der KDSGO fehlende Öffentlichkeit verteidigt: »Der grundsätzliche Ausschluss der mündlichen Verhandlung, wie er auch in kanonischen Prozessrecht üblich ist, das den Öffentlichkeitsgrundsatz nicht realisiert, steht der Gewähr eines effektiven Rechtsschutzes nach Art. 47 GRCh nicht entgegen. Denn der EuGH hat unter Hinweis auf seine Rechtsprechung zu Art. 6 EMRK festgestellt, dass es keine absolute Verpflichtung zur Durchführung einer öffentlichen Verhandlung gibt.« Schön, dass die Tendenz der Gerichte dahin zu gehen scheint, mündliche Verhandlungen grundsätzlich öffentlich zu machen. Dann braucht man sich gar keine komplizierte Rechtfertigung zurechtlegen.
Weiterhin intransparent sind die für Datenschutz zuständigen Verwaltungsgerichte der EKD, die seit 2018 gar keine Entscheidungen veröffentlicht haben. Anfragen an die Pressestelle (die trotz der Unabhängigkeit der Kirchengerichte als Kontaktadresse für Presseanfragen angegeben wird), ob und wie viele Fälle mit DSG-EKD-Bezug entschieden wurden, wurden seit Oktober 2020 (!) nur mit Vertröstungen beantwortet. Erst in diesem Monat habe ich einen direkten Kontakt für Presseanfragen bei den Kirchengerichten bekommen. Dort gab es wenigstens prompt eine Eingangsbestätigung.
2022 endet, wie es begonnen hat: Die hier prophezeiten großen Themen können alle auf Wiedervorlage gelegt werden. Die große Facebook-Dämmerung kam nicht – alle warten immer noch auf das Musterverfahren zwischen dem Bundesdatenschutzbeauftragten und dem Bundespresseamt. Bei der Evaluierung der kirchlichen Datenschutzgesetze gibt es auch nichts Neues – das KDG ist nach wie vor überfällig, beim DSG-EKD ist öffentlich keine Bewegung sichtbar. Die KDSA Nord ist immer noch keine KdÖR, und in Bayern ist Jupp Joachimski im 81. Lebensjahr Diözesandatenschutzbeauftragter ohne Aussicht auf Ablöse. Der DSG-EKD-Kommentar ist immer noch nicht da, die KDSGO-Kommentierung auch nicht.
Vormals große Themen wie der Umgang mit Corona haben an Bedeutung verloren – im Frühjahr wurde noch über den richtigen Umgang mit Impfnachweisen diskutiert, seither ist die Pandemie zumindest datenschutzrechtlich vorbei. Die Tendenz der vergangenen Jahre zeichnet sich also fort: Der kirchliche Datenschutz läuft im Regelbetrieb. Große Aufregerthemen blieben aus, nach Ausnahmejahren der Pandemie können sich Aufsichten und Verantwortliche wieder auf ihre Regelaufgaben konzentrieren.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Nach der Niederlage der Selbständigen Evangelisch-Lutherischen Kirche vor dem VG Hannover ist das eigene Datenschutzrecht der Gemeinschaft in der Schwebe: Wenn das Urteil rechtskräftig wird, gilt die DSGVO und die Landesdatenschutzbeauftragte ist zuständig statt einer eigenen kirchlichen Aufsicht. Beide Seiten, die SELK und die LfD Niedersachsen, äußerten sich in der Sache noch nicht. Ob die SELK die Zulassung zur Berufung beantragen wird, steht noch nicht fest: »Das Urteil mit seiner Begründung müssen wir nun abwarten, um anschließend über das weitere Vorgehen zu entscheiden«, sagte ein Sprecher der SELK auf Anfrage. Die LfD Niedersachsen will vor einem rechtskräftigen Urteil noch nichts dazu sagen, wie sie dann agieren werde, wenn ihre Zuständigkeit feststeht. Grundsätzlich begrüßt man in der Aufsicht das Urteil aber: »Wir sehen das Urteil als Bestätigung unserer Rechtsauffassung an, dass es sich bei Art. 91 Abs. 1 DS-GVO um eine abschließende Bestandsschutzregelung handelt, die außerhalb ihres Anwendungsbereichs keinen Raum für sonstige kirchliche Datenschutzvorschriften lässt«, teilte ein Sprecher der Aufsicht auf Anfrage mit.
Der BfD EKD hat seine Position, dass Elternbeiräte keine eigene verantwortliche Stelle sind, jetzt auch noch einmal in einem Kurzbeitrag auf der Webseite der Aufsicht veröffentlicht. So hatte er sich auf schon als Beitrag zu dem ausführlicheren Artikel zum Thema hier auf Anfrage geäußert. Eine Herausforderung: »Da es in der Regel gesetzlich ausgeschlossen ist, dass Mitarbeitende der Kindertageseinrichtungen den Elternbeiräten angehören, haben die Kindertageseinrichtungen keine Möglichkeit, die Einhaltung des Datenschutzes durch die Elternbeiräte zu kontrollieren.« Der BfD EKD empfiehlt daher Sensibilisierung und Vorgaben für den Umgang mit Daten durch die Elternbeiräte.
Bei den Datenschutz-Notizen widmet sich Sebastian Ertel dem hier schon besprochenen IDSG-Beschluss zur konkludenten Einwilligung. Vermisst wird dabei die Auseinandersetzung mit zwei Fragen: Zum einen, ob überhaupt zurecht kirchliches Datenschutzrecht angewendet wurde bei einem von einer kirchlichen Stiftung getragenen Medizinischen Versorgungszentrum, da es »faktisch keinen kirchlichen Auftrag verfolgt«. Zum anderen schweigt die Entscheidung zu dem kuriosen Faktum, dass Patient*innenakten 23 Jahre aufbewahrt wurden: »nach § 10 Abs. 3 MBO-Ärzte bzw. § 630f BGB liegt die Aufbewahrungspflicht und -frist der Behandlungsdokumentation grundsätzlich bei zehn Jahren nach Abschluss der Behandlung«, bemerkt Ertel.
Einwilligungen sind anspruchsvoll. Sie müssen freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Das KDG sieht zudem vor, dass sie in der Regel schriftlich eingeholt werden. Und dennoch ist unter diesen Bedingungen eine konkludente Einwilligung möglich.
In den Datenschutzgesetzen werden die Bedingungen für eine konkludente Einwilligung nicht geregelt. Das Interdiözesane Datenschutzgericht hatte zwar schon zuvor konkludente Einwilligungen angenommen – aber erst mit der nun veröffentlichten Entscheidung (IDSG 01/2021 vom 24. Mai 2022) gibt es Kriterien, welche Anforderungen daran gestellt werden.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
In dieser Woche vor 60 Jahren wurde das Zweite Vatikanische Konzil eröffnet, das von 1962 bis 1965 tagte. Zur Erneuerung der Kirche gehörte auch eine Versöhnung mit den Menschenrechten, die sich vor allem in den Beschlüssen der letzten Sitzungsperiode zeigte. Im abschließenden Dokument, der Pastoralkonstitution Gaudium et spes (1965), findet sich ein Katalog »unverletzlicher Rechte und Pflichten«, der auch für einen theologisch fundierten Schutz von Persönlichkeitsrechten relevant ist: »Es muß also alles dem Menschen zugänglich gemacht werden, was er für ein wirklich menschliches Leben braucht, wie Nahrung, Kleidung und Wohnung, sodann das Recht auf eine freie Wahl des Lebensstandes und auf Familiengründung, auf Erziehung, Arbeit, guten Ruf, Ehre und auf geziemende Information; ferner das Recht zum Handeln nach der rechten Norm seines Gewissens, das Recht auf Schutz seiner privaten Sphäre und auf die rechte Freiheit auch in religiösen Dingen.« (GS Nr. 26, Hervorhebungen ergänzt; mehr zur theologischen Grundlegung des Persönlichkeitsschutzes findet man bei Martina Tollkühn.)
In der Festschrift für Jupp Joachimski klang es, als sei das Katholische Datenschutzzentrum Nürnberg (das jetzt wohl KDSZ Bayern heißen soll) schon in trockenen Tüchern. Fragt man dort nach, wo man es genau wissen sollte, zeigt sich aber kein veränderter Stand: Auf Anfrage teilte ein Sprecher der Freisinger Bischofskonferenz mit, dass es noch nichts Konkretes gebe, insbesondere auch noch keine Ausschreibung für die Nachfolge Joachimskis. Das ist auch der Informationsstand des Diözesandatenschutzbeauftragten selbst – er hat seinen Vertrag noch einmal bis Ende des Jahres verlängert, teilte er auf Anfrage mit.
Lange hat es gedauert, jetzt ist absehbar, dass es im Konflikt zwischen der Selbständigen Evangelisch-Lutherischen Kirche (SELK) und der niedersächsischen Landesdatenschutzbeauftragten weitergeht: Wie schon im letzten Dezember berichtet, will die SELK den EuGH mit grundsätzlichen Vorlagefragen zu Art. 91 DSGVO befassen. Auf Anfrage teilte das Verwaltungsgericht Hannover nun mit, dass es einen Termin für die mündliche Verhandlung gibt: Am 30. November um 9.30 Uhr ist es so weit.
In der aktuellen Sonderausgabe der Datenschutz-Nachrichten gibt es auch einen Beitrag des NRW-DDSB Steffen Pau zum kirchlichen Datenschutzrecht. Der kompakte Überblick dürfte hier zum Grundwissen gehören; erfreulich ist, dass so der kirchliche Datenschutz auch in einer wichtigen weltlichen Zeitschrift erwähnt wird. In der Sache äußert sich Pau auch zum Schriftformerfordernis der Einwilligung im KDG und deutet damit wohl eine gewisse Flexibilität der Aufsicht an: »Inwieweit hier in der Praxis im täglichen Umgang mit der Einwilligung wirklich große Unterschiede bestehen, ist bei vielen Sachverhalten fraglich, da einerseits § 8 Abs. 2 Satz 1 KDG als Ausnahme von dem Schriftformerfordernis selbst ›eine andere Form‹ der Einwilligung auf Grund besonderer Umstände vorsieht und andererseits die Nachweispflicht der DSGVO in vielen Fällen auch zu einer textlichen oder schriftlichen Fassung der Einwilligung führt.«
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Mit dem am Donnerstag letzter Woche beschlossenen dritten Gesetz zur Änderung personenstandsrechtlicher Vorschriften wurde die gesetzliche Möglichkeit zur freiwilligen Eintragung der Religionszugehörigkeit in die Personenstandsregister abgeschafft. Eine vernünftige Entscheidung, die staatliche Datenhaltung auf das erforderliche Maß zurückstutzt, sollte man denken, und angesichts der Rolle von Religionseinträgen bei der Organisation des Holocausts auch ein spätes Lernen aus der Geschichte. Aus den Unionsparteien gab es aber Protest. Die Ampel-Koalition wolle die Religion immer weiter ins Private zurückdrängen, kritisierte CDU-MdB Philipp Amthor, der religionspolitische Sprecher der Unionsfraktion Thomas Rachel sieht als Ziel ein »Zurückdrängen der Religionsgemeinschaften«. Auch die beiden kirchlichen Berliner Lobbybüros waren gegen diese Änderung und argumentierten identitär: Es sei »von großer Bedeutung, dass sich eine Person hierzu bekennen und damit in dem Personenstandsregister zum Ausdruck bringen kann, dass zu ihrer Identität der Glaube gehört«.
Der Freiburger Generalvikar hat per Dekret einen Fachausschuss Digitalisierung im Ordinariat eingerichtet – also ein Gremium, das dank rechtlicher Regelung durchaus Gewicht hat. Er soll den Generalvikar im Themenfeld der Digitalisierung beraten und unterstützen. »Ausgehend von diesem Grundauftrag berät der Fachausschuss über die Digitalisierung der pastoralen und kirchlichen Praxis, insbesondere der örtlichen kirchlichen Rechtsträger (z. B. Kirchengemeinden) sowie der dazugehörigen kirchlichen Verwaltung, um nützliche und nutzbare digitale Werkzeuge (z. B. Programme, Tools, Apps oder Services) zu ermöglichen, neue Formen der Kommunikation innerhalb der Gesellschaft und Kirche zu erschließen und die Definition einheitlicher Qualitätskriterien und verbindlicher Standards für die pastorale und kirchliche Praxis vorzunehmen«, heißt es im Dekret. Zu den gesetzten Mitgliedern gehört unter anderem der Diözesanökonom, aber niemand aus dem Bereich Datenschutz – aber immerhin will der Generalvikar noch zwei bis vier weitere Mitglieder berufen. Angesichts des Arbeitsauftrags wäre es sicher ressourcensparend, von vornherein Datenschutz mitzudenken.
Zum Datenschutzgesetz der Polnischen Bischofskonferenz gibt es jetzt einen zweibändigen Kommentar – leider nur gedruckt und wenig überraschend nur auf Polnisch. Das Werk dürfte auch über Polen hinaus interessant sein, weil das polnische Datenschutzdekret zu den kirchlichen Datenschutzgesetzen gehört, die sich eng an das Muster der COMECE anlehnen.