Schlagwort-Archive: EuGH

SELK will kirchlichen Datenschutz vom EuGH klären lassen

Der Europäische Gerichtshof könnte sich bald mit zentralen Fragen des kirchlichen Datenschutzes befassen: Im Konflikt zwischen der niedersächsischen Landesdatenschutzaufsicht und der Selbständigen Evangelisch-Lutherischen Kirche (SELK) hat die Kirche Klage vor dem Verwaltungsgericht Hannover erhoben, um unter anderem eine EuGH-Vorlage zu erreichen.

Das Emblem des Europäischen Gerichtshofs vor den Türmen B und C
Der EuGH ist nicht immer ganz sensibel, wenn es um religionsverfassungsrechtliche Eigenheiten der Mitgliedstaaten geht. (By LuxofluxoOwn work, CC BY-SA 4.0, Link)

Die Datenschutzaufsicht bezweifelt, dass die SELK schon vor Inkrafttreten der DSGVO umfassende Datenschutzregeln anwandte, wie es dem Wortlaut von Art. 91 Abs. 1 DSGVO nach verlangt wird. Die schon seit 1993 existierende Datenschutzrichtlinie der Kirche sei nicht »umfassend« im Sinn der DSGVO gewesen. Über den Fall wurde hier schon mehrfach berichtet: Zunächst als Ergebnis einer Recherche, im letzten Tätigkeitsbericht hat die Landesdatenschutzaufsicht den Vorgang auch selbst öffentlich gemacht.

Weiterlesen

Verwirrend: Rechtsgrundlagen und Thüringen – Wochenrückblick KW 42/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

In der aktuellen Ausgabe des Datenschutz-Berater ist wieder ein Artikel von mir zum kirchlichen Datenschutz: Ausführlich befasst er sich mit den Besonderheiten der Rechtsgrundlagen in den kirchlichen Datenschutzgesetzen. Leser*innen hier kennen bereits Teile der Argumente aus der Betrachtung der Rechtsgrundlagen »anderes Gesetz« und »kirchliches Interesse«, dazu kommt die neue Aufarbeitungs-Rechtsgrundlage im DSG-EKD. Die Beschäftigung mit diesem Angelpunkt des Datenschutzrechts ist bei den kirchlichen Datenschutzgesetzen bisher reichlich unterbelichtet – trotz der großen Unterschiede, die sic him Detail zwischen unpraktisch und möglicherweise europarechtswidrig bewegen. Mein Fazit im Artikel: »Trotz des oft behaupteten Gleichklangs der drei Datenschutzgesetze zeigt ein näherer Blick, dass doch erhebliche Unterschiede bestehen, die keineswegs nur akademisch sind. […] Beide Kirchen wären gut beraten, bei den anstehenden Novellierungen besonders kritisch auf diesen zentralen Teil ihrer Datenschutzgesetze zu blicken.«

Der thüringische Landesdatenschutzbeauftragte hat seinen Bericht für 2020 veröffentlicht. Fälle mit kirchlichem Bezug gibt es keine – aber eine Kuriosität: Die eigene Regelung des Datenschutzes in den Kirchen wird nämlich erwähnt – aber viel miteinander geredet wird unter den für Thüringen zuständigen Aufsichten anscheinend nicht. Im evangelischen Bereich wird als zuständige Aufsicht nur der BfD EKD genannt – der ist zwar für den größten Teil zuständig, aber auch der Datenschutzbeauftragte für Diakonie und Kirche ist relevant, der die Diakonie Mitteldeutschland und die Landeskirche Sachsens, die auch thüringische Teile hat, im Beritt hat. Besonders kurios: Statt der Katholischen Datenschutzaufsicht Ost wird der betriebliche Datenschutzbeauftragte des Bistums Erfurt als für Datenschutzverstöße zuständig genannt.

Die Datenschutz-Notizen stellen das katholische Seelsorge-Patientendatenschutzgesetz kompakt vor. Relevant ist es für kirchliche Häuser – und auch da nicht für alle: Anders als das KDG wurde es (noch?) nicht in allen Bistümern erlassen, auch im Bereich der Orden und des KDR-OG scheint es bislang trotz des großen Ordenskrankenhaussektors nicht in Kraft zu sein. Einen Überblick darüber hat schon vor einigen Wochen Curacon veröffentlicht, und eine etwas ausführlichere Beratung gab es nach der ersten öffentlichgewordenen Inkraftsetzung auch hier – mit einer eher positiven Bewertung im Vergleich zu den Vorgängernormen. Die Aufsichten – etwa die KDSA Nord – dagegen haben sich eher kritisch geäußert im Vergleich zum allgemeinen Datenschutzniveau und mit Blick auf unklare Rechtsbegriffe.

Weiterlesen

Impffragen und Jubiläum im Geheimarchiv – Wochenrückblick KW 35/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Frage, ob Beschäftigte von ihren Arbeitgeber*innen nach dem Impfstatus gefragt werden dürfen, beherrscht diese Woche die Pandemie-Diskussion. Gegenüber dem ZDF hat sich dazu auch Theologe und Ethikratsmitglied Andreas Lob-Hüdepohl geäußert: »Der Datenschutz ist ein wichtiges Gut, allerdings werden die Daten nicht um ihrer selber geschützt, sondern sie dienen der Persönlichkeitssphäre der betroffenen Mitarbeiterinnen und Mitarbeiter, von daher muss man tatsächlich in dieser Situation eine Güterabwägung vornehmen, nämlich zwischen dem Gut der geschützten Daten um des Persönlichkeitsschutzes willen, oder aber das Wissen um bestimmte Daten, in diesem Fall Gesundheitsdaten, auch um Personen zu schützen, nämlich im Betrieb, von daher ist das grundsätzlich anzudenken und möglicherweise sogar erforderlich.« Lob-Hüdepohl betont dabei die ethische Notwendigkeit einer rechtlichen Regelung: »denn nur was gesetzlich geregelt ist, dagegen kann ich mich gegebenenfalls auch wehren, das ist ein Rechtsstaatsprinzip«, so der Berliner Theologe.

Das Katholische Datenschutzzentrum Dortmund feiert sein fünfjähriges Jubiläum und die Bestätigung von Steffen Pau als Diözesandatenschutzbeauftragter auf fünf weitere Jahre. (Amtsblatt- und Artikel-91-Leser*innen wussten das schon.) In der Meldung hebt das Datenschutzzentrum seine organisatorische Vorreiterrolle hervor, die die Errichtung als KdÖR darstellte: »In der Folge entstand für die südwestlichen (Erz-)Bistümer in Deutschland das „Katholische Datenschutzzentrum Frankfurt am Main“ (KdöR). Auch die Freisinger Bischofskonferenz plant zur Unterstützung des gemeinsamen Diözesandatenschutzbeauftragten der bayerischen (Erz-)Bistümer ein „kirchliches Datenschutzzentrum“ in Nürnberg zu errichten.« Wann das der Fall sein wird, ist trotz vieler Nachfragen bei der Pressestelle der Freisinger Bischofskonferenz noch nicht zu erfahren.

Im Würzburger »Kanon des Monats« geht es im September um die bischöflichen Geheimarchive. Jessica Scheiper, die das Thema bereits vor einigen Wochen bei Feinschwarz angesprochen hatte, legt jetzt noch einige kanonistische Details nach. Dazu gehört auch der Verweis auf can. 490 § 3 CIC: »Aus dem Geheimarchiv bzw. Geheimschrank dürfen keine Dokumente herausgegeben werden.« Das hat auch für die Betroffenenrechte des Datenschutzrechts erhebliche Auswirkungen: Das Universalkirchenrecht ist höherrangiges Recht als das KDG und geht damit den datenschutzrechtlichen Auskunftsrechten vor. Da im Geheimarchiv unter anderem »Akten der Strafsachen in Sittlichkeitsverfahren« gelagert werden, hebelt das insbesondere die Rechte von Betroffenen sexualisierter Gewalt aus.

Weiterlesen

EuGH und kirchlicher Datenschutz auf Kollisionskurs? Gernot Sydow im Interview

Das eigene Datenschutzrecht der Kirchen steht unter dem Vorbehalt, im Einklang mit dem europäischen Datenschutzrecht zu stehen. Erste Konflikte zeichnen sich schon ab: Verschiedene Datenschutzaufsichten haben Zweifel am Datenschutzrecht kleinerer Gemeinschaften, und auch bei den großen Kirchen steht nicht fest, wie der gegenüber dem Selbstverwaltungsrecht der Kirchen notorisch kritische Europäische Gerichtshof (EuGH) im Konfliktfall handeln würde. Der Münsteraner Europarechtler Gernot Sydow gibt im Interview mit Artikel 91 eine Einschätzung ab, wie es um das Verhältnis zwischen EU und kirchlichem Datenschutz steht – und macht sich für den Gleichbehandlungsgrundsatz im Religionsverfassungsrecht stark.

Frage: Professor Sydow, hat die Europäische Union überhaupt die Kompetenz, Datenschutzrecht für Religionsgemeinschaften zu regeln?

Sydow: Das gesamte europäische Datenschutzrecht setzt eine Kompetenz der EU voraus, und die gibt es immer dann, wenn es einen Binnenmarktbezug gibt. Nicht alles was die Kirchen tun, hat einen Binnenmarktbezug. Bei kirchlichen Krankenhäusern kann man das noch überlegen, bei deren Dienstleistungen könnte man noch eine europäische Gesetzgebungskompetenz herleiten. Aber das Führen von Kirchenbüchern hat mit der Kompetenz der EU gar nichts zu tun, deshalb ist sie auch nicht zuständig. Deswegen braucht die Kirche dafür auf jeden Fall eigene Regelungen.

Porträtfoto Professor Dr. Gernot Sydow (Bildquelle: Svenja Haas/WWU)
Der Münsteraner Europarechtler Gernot Sydow gehört zu den besten Kenner*innen des kirchlichen Datenschutzrechts – bevor er Professor wurde, war er unter anderem Justitiar und Diözesandatenschutzbeauftragter des Bistums Limburg. Heute ist er außerdem Vorsitzender Richter des Datenschutzgerichts der Deutschen Bischofskonferenz. Im Dezember erschien der von ihm herausgegebene Kommentar zum kirchlichen Datenschutzrecht. (Bildquelle: Svenja Haas/WWU)
Weiterlesen

Kirchliche Datenschutzgerichte im Licht des Europarechts (Besprechung Martini/Botta, DÖV)

Immer noch sind die wissenschaftlichen Veröffentlichungen zum Datenschutzrecht der Kirchen sehr übersichtlich; vieles ist noch unklar, auch weil der Art. 91 DSGVO, der Religionsgemeinschaften eigenes Datenschutzrecht ermöglicht, bei näherer Betrachtung einige Unklarheiten aufweist. Dem Wortlaut nach schreibt der Artikel nur einen Bestandschutz für bereits bestehendes Datenschutzrecht der Religionsgemeinschaften fest – auch wenn das kaum mit dem Religionsverfassungsrecht (mancher) Mitgliedstaaten vereinbar ist, dem der Vertrag über die Arbeitsweise der EU (AEUV) in seinem Art. 17 wiederum Bestandschutz gewährt.

Zeitschrift »Die Öffentliche Verwaltung«

Während etwa die deutsche Datenschutzkonferenz Art. 91 wörtlich-restriktiv auslegt, reihen sich Mario Martini und Jonas Botta ein unter die Kommentatoren, die den Artikel im Licht von Religionsfreiheit und Selbstverwaltungsrecht interpretieren. Die Juristen am Deutschen Forschungsinstitut für öffentliche Verwaltung (FÖV) – Martini als Leiter des Programmbereichs Digitalisierung, Botta als Forschungsreferent – haben in der aktuellen Ausgabe von »Die Öffentliche Verwaltung« einen Aufsatz mit dem Titel »Kirchliche Datenschutzgerichtsbarkeit zwischen Selbstbestimmungsrecht und Rechtsschutzgarantie« (DÖV 2020, S. 1045–1054) veröffentlicht, in dem sie sich schwerpunktmäßig mit dem Verhältnis kirchlicher Datenschutzgerichtsbarkeit zu Rechtsschutzvorgaben der DSGVO und des Unionsrechts befassen. Über die Frage der Datenschutzgerichtsbarkeit hinaus liefern sie einige gute Argumente zur Interpretation von Art. 91 DSGVO.

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW31

Die Woche endet mit einer Entscheidung des Beauftragten für den Datenschutz der EKD, die vieles erschweren dürfte: Das Medienprivileg (§ 51 DSG-EKD) gilt seiner Auffassung nach nicht für den Gemeindebrief. Es mangle am Zweck, »Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten« und dem unbestimmten Empfängerkreis. Das sieht die Deutsche Bischofskonferenz nur zum Teil so, die in ihrer schon lange veröffentlichten FAQ-Liste festhält, dass grundsätzlich auch Pfarrbriefe dem Medienprivileg (§ 55 KDG) unterfallen können: »Hier dürfte es entscheidend darauf ankommen, ob diese sich im Einzelfall lediglich an die Gemeindemitglieder oder an einen öffentlichen, unbestimmbaren Personenkreis richten.«

Kommende Woche Freitag findet das digitale Barcamp Bonn statt. Ich biete eine Session an: So funktioniert Datenschutz: Einführung in die DSGVO für Anfänger*innen (so grundsätzlich gehalten, dass es auch für Anwender*innen der kirchlichen Datenschutzgesetze nützlich ist). Anmeldungen für das digitale Barcamp sind noch möglich.

Eine Datenschutzschulung speziell für das Gesetz über den kirchlichen Datenschutz (KDG) bietet das Erzbistum München und Freising auf seiner Lernplattform an. Es richtet sich zwar an Mitarbeiter*innen und Ehrenamtliche der Diözese, die Anmeldung ist aber allen möglich. Durchaus nützlich, ein Zertifikat gibt’s auch, im Detail aber problematisch, wenn es zu Passworten nur die Tipps gibt, sie nicht im Browser (warum eigentlich?) und auf Post-its zu speichern und sie regelmäßig zu wechseln (spätestens mit der letzten Fassung des BSI-Grundschutz-Kompendiums ist dieser Tipp veraltet und schon länger als Sicherheitsrisiko bekannt), aber keine sichere Alternative zum Post-it präsentiert wird.

Wie Auftragsverarbeitung nach dem KDG funktioniert, steht im Datenschutzblog von Reichert und Reichert. Das Fazit: »Die Zusammenarbeit zwischen kirchlichen Rechtsträgern und nicht-kirchlichen Stellen kann im Datenschutz für beide Seiten herausfordernd sein. Die Einbeziehung des für die meisten Auftragsverarbeiter unbekannten KDG stößt auf Unsicherheiten, vielfach auch auf die fehlende Bereitschaft, sich mit dem Datenschutzrecht des Auftraggebers zumindest überblicksartig zu beschäftigten.« Im Artikel geht es nur um die katholische Variante, die dank einer sehr liberalen Beschlusslage der Konferenz der Diözesandatenschutzbeauftragten sehr einfach umzusetzen ist. Evangelisch wird’s etwas schwerer: Im Gegensatz zum KDG fordert das DSG-EKD explizit, dass sich Auftragsverarbeiter*innen der kirchlichen Datenschutzaufsicht unterwerfen (§ 30 Abs. 5 Satz 3 DSG-EKD).

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW30

Die ersten Einschätzungen der katholischen und evangelischen Datenschutzaufsichten zum Aus für das Privacy Shield sind verfügbar – eine erste Hilfe, aber immer noch sind viele Fragen offen. Einen Überblick über Entwicklungen bei der Anwendung des KDG gibt der Tätigkeitsbericht des Nordwest-Diözesandatenschutzbeauftragten – der ist in dieser Woche endlich erschienen.

Seit 2018 ist das katholische Gesetz über den kirchlichen Datenschutz (KDG) in Kraft, bisher waren Anwender*innen bei der Auslegung auf DSGVO-Kommentare, die Erläuterungen des Gesetzgebers und der Aufsichten und die –wenigen – veröffentlichten Urteile der Datenschutzgerichte angewiesen. Das ändert sich bald: Nomos hat voraussichtlich für September einen »Handkommentar Kirchliches Datenschutzrecht« (Affiliate link) zum KDG angekündigt, herausgegeben von Gernot Sydow. Der Münsteraner Europarechtler hat bereits einen Kommentar zur DSGVO (Affiliate link) herausgegeben und ist als Vorsitzender Richter des DBK-Datenschutzgerichts selbst mit der praktischen Anwendung des KDG betraut. (Und aus den veröffentlichten Urteilen ist bekannt: der Sydow ist auch beim Interdiözesanen Datenschutzgericht beliebt.) Ein Kommentar zum evangelischen DSG-EKD steht leider noch aus.

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW29

Das Thema der Woche ist natürlich das Aus für Privacy Shield – lange erwartet, jetzt ist es passiert. Mehr dazu gab es hier im Blog: EuGH kippt Privacy Shield.

Für katholisch.de hat mir der Diözesandatenschutzbeauftragte der NRW-Bistümer Steffen Pau eine erste Einschätzung gegeben. Seine Empfehlung:

»Die kirchlichen Stellen sollten für sich nochmals eine Bestandsaufnahme von den Verarbeitungen personenbezogener Daten machen. Aus diesen Verarbeitungen sind diejenigen genauer anzuschauen, bei denen ein Datenaustausch mit den USA stattfindet. Alle diese Verarbeitungen müssen bezüglich der Auswirkungen des Urteils zur Grundlage der Verarbeitung überprüft werden. Sofern die Datenverarbeitung bisher auf den Privacy Shield gestützt wurde, müssen hier andere Lösungen gefunden werden.«

Steffen Pau, Katholisches Datenschutzzentrum Dortmund
Weiterlesen

EuGH kippt Privacy Shield – weitreichende Konsequenzen erwartet

Der Europäische Gerichtshof hat das Privacy-Shield-Abkommen gekippt. In der Entscheidung vom 16. Juli, die die von Max Schrems gegründete NGO »None Of Your Business« (NOYB) veröffentlicht hat, wird Facebook zudem die Nutzung von Standardsvertragsbedingungen zur Ermöglichung von Datentransfers in die USA verboten.

Die Entscheidung wird weitreichende Konsequenzen haben für Dienste und Daten, die in den USA gehostet sind. Dass das Abkommen auf wackligen Beinen steht, haben Datenschutzaktivist*innen schon seit Jahren betont, die Frage war eher wann, nicht ob.

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW28

Philipp Greifenstein (Die Eule) kommentiert in seiner aktuellen Folge der YouTube-Reihe zur Digitalen Kirche in Corona-Zeiten den »lieben, lieben Datenschutz«: Der sei von »Angst, technischer Unkenntnis und sehr großer Vorsicht« geprägt. Sein Plädoyer: Die Eigenverantwortung der Menschen ernst nehmen. (Allerdings: Wenn Einwilligungen schon das Allheilmittel wären, wär’s ja schön – aber weder das WhatsApp-Knock-out-Problem mit den automatisch übertragenen Adressbüchern noch die dann immer noch zu erfüllenden Informationspflichten sind damit gelöst.)

Weiterlesen