Schlagwort-Archive: Evaluierung

Licht in die Black box DSG-EKD – Tätigkeitsbericht des Datenschutzbeauftragten für Kirche und Diakonie 2018/19

Lange hat’s gedauert – jetzt liegt der erste Tätigkeitsbericht einer nach DSG-EKD arbeitenden Datenschutzaufsicht vor, dessen Zeitraum komplett in die Geltung des neuen Rechts fällt. Vorgelegt hat ihn der Datenschutzbeauftragte für Kirche und Diakonie, der für die Landeskirchen Sachsens und Sachsen-Anhalts und die Diakonie Sachsens und Mitteldeutschlands zuständig ist, für die Zeit seit Geltung des DSG-EKD bis Ende 2019. (Nein, kein Tippfehler: Der Bericht für 2018/19 ist auf den 10. Februar 2021 datiert und am 30. März 2021 im RSS-Feed aufgetaucht.)

Der Zuständigkeitsbereich des Datenschutzbeauftragten umfasst mehrere östliche Bundesländer.
Der Zuständigkeitsbereich des Datenschutzbeauftragten für Kirche und Diakonie ist kompliziert und überlappt geographisch mit anderen Zuständigkeiten. (Bildquelle: Tätigkeitsbericht/Montage fxn)

Leider sieht das DSG-EKD nur eine Berichtspflicht alle zwei Jahre vor, es gibt nur vier sehr ungleich große Aufsichten, und zusammen mit der insgesamt sehr überschaubaren Anzahl an Fachpublikationen führt das dazu, dass das DSG-EKD und seine Anwendung deutlich schlechter erschlossen ist als das KDG, wo sechs Aufsichten jährliche Berichte abliefern und ein Kommentar vorliegt. Aus dem jetzt erschienenen Tätigkeitsbericht lassen sich so nun auch wichtige Informationen ziehen, die es bisher nicht gab – da ist auch zu verschmerzen, dass die Schilderung konkreter Fälle und eine Auflistung der Fallzahlen so gut wie nicht vorkommt.

Einschätzungen zum DSG-EKD

Sehr erfreulich ist, dass es ein eigenes Kapitel zum DSG-EKD gibt, aus dem einiges zur Genese und zur Kritik am Gesetz hervorgeht – etwa zum extrem knappen Zeitplan vom Beschluss im November 2017 bis zum Inkrafttreten im Mai 2018. Über das Ziel der Umsetzung erfährt man, dass »Differenzierung […] kein bevorzugtes Ziel der Überarbeitung« gewesen sei: »Dem kirchlichen Gesetzgeber ging es nicht darum, die DSGVO oder staatliches Recht einfach abzuschreiben oder irgendwie an kirchliche Gegebenheiten anzupassen. Vielmehr ging es bei der Novellierung und Überarbeitung kirchlichen Datenschutzrechtes darum, einerseits das zum Zeitpunkt des Inkrafttretens der DSGVO geltende DSG-EKD mit dem EU-Recht in Einklang zu bringen und dabei andererseits spezielle kirchliche und diakonische Belange nicht aufzugeben, sondern in der Gesetzgebung zu verankern. Das hat zur Folge, dass einige Sachverhalte der DSGVO im DSG-EKD nicht enthalten sind und deshalb unter Hinzuziehen der Erwägungsgründe zur DSGVO entsprechend angewendet werden müssen.« (Ja, das ist unverständlich, und dass der Bericht anscheinend »anscheinend« und »scheinbar« verwechselt, trägt auch nicht zum Verständnis bei.) Beklagt wird, dass das Gesetz vor allem mit Blick auf die verfasste Kirche und nicht auf die besonderen Belange der Diakonie hin gestaltet wurde; was hier noch gewünscht wird, geht leider aus dem Bericht nicht hervor. (Möglicherweise explizite Regeln zum Patient*innen- und Klient*innen-Datenschutz.)

Die Regelungslücken und Änderungsbedarfe sind leider nur sehr kryptisch benannt – aber immerhin erfährt man (was auch auf mehrfache Nachfrage hin nicht aus der EKD-Pressestelle herauszubekommen war), dass es bereits eine Arbeitsgruppe für die Evaluierung zu geben scheint. Die Aufzählung der Paragraphen mt Reformbedarf umfasst »die Rechtsgrundlagen für die Datenverarbeitung „normaler“ personenbezogener Daten (§§ 6, 8, 9, 4 Ziffer 1. DSG-EKD), besonderer Kategorien personenbezogener Daten (§§ 13, 4 Ziffer 2. DSG-EKD) sowie von Beschäftigtendaten (§§ 49, 4 Ziffer 20. DSG-EKD), die Informationspflichten bei der Erhebung (§§ 17, 18 DSG-EKD), fehlende Regelungen zu automatisierten Einzelentscheidungen, zur Datenschutzverantwortung, zur Geheimhaltung des Auftragsverarbeiters (§ 30 DSG-EKD) sowie die Nichtbeachtung des Medienprivilegs in § 51 DSG-EKD.« Hier wäre es interessant gewesen, zumindest ein, zwei Stichworte zu den Problemen zu lesen.

Interessant gerade im ökumenischen Vergleich sind die Schwierigkeiten bei der Zuständigkeit und Geltung des kirchlichen Datenschutzrechts, sicher auch begünstigt durch die komplizierte Zuständigkeit der Aufsicht (die Diakonie Mitteldeutschlands umfasst die Landeskirchen Sachsen-Anhalts und Mitteldeutschland, für die wiederum der EKD-DSB zuständig ist). Eigentlich sollte evangelischerseits alles einfacher sein: Wer unters eigene Datenschutzrecht fällt, steht in der Liste gemäß § 2 Abs. 1 S. 3f DSG-EKD. Nach katholischem gibt es nur eine sehr auslegungsbedürftige und um eine nicht im Gesetz zu findende Kriterien der »Kirchlichkeitsprüfung« ergänzte Kriteriologie, wer erfasst ist und wer nicht. Tatsächlich gibt es aber immer wieder Abgrenzungsprobleme, die aus der rechtlichen Struktur erwachsen: So unterfallen etwa sächsische CVJM-Ortsverbände nicht dem kirchlichen Datenschutzrecht, wenn sie selbst (anders als ihr Landesverband) nicht Mitglied des Diakonischen Werks sind, weil der CVJM-Landesverband keine Mitgliedschaftspflichten (wie die Unterordnung unter kirchliches Datenschutzrecht) an seine Untergliederungen durchreichen darf. Kompliziert? Allerdings – das versöhnt etwas mit den abstrakten Abgrenzungsschwierigkeiten der KDG-Geltung. Aber vielleicht macht die DSG-EKD-Regelung auch nur Probleme sichtbar, die katholischerseits genauso bestehen und nur nicht bemerkt werden.

Auch aufgrund dieser komplizierten Konstruktion wird ein wesentlicher Teil des Berichts dafür aufgewendet, die jeweilige geltende Rechtslage in den einzelnen Teilzuständigkeitsbereichen (Landeskirchen und Diakonische Werke) darzustellen – was sehr zu begrüßen ist. Nur wer weiß, welches Recht gilt, kann Recht auch anwenden.

Tätigkeit der Aufsicht

Ein großes Augenmerk liegt auf den Aufgaben der örtlichen Beauftragten (die DSG-EKD-Formulierung für betriebliche DSB) und der Zusammenarbeit mit ihnen. Kritisch angemerkt wird die oft fehlende Fachkunde externer Beauftragter, die die kirchenrechtlichen Besonderheiten nicht kennen. Beeindruckend ist die intensive Schulungs- und Vernetzungsarbeit der Aufsicht.

In der Einleitung wird angekündigt, dass konkrete Fälle in späteren Veröffentlichungen ausführlicher diskutiert werden. In den Teilberichten der Geschäfts- und Außenstellen in Chemnitz, Radebeul und Halle (Saale), die einheitlich nach den verschiedenen gesetzlichen Aufgaben der Aufsicht strukturiert sind, kommen doch noch wenige Beispielfälle vor, die allerdings im wesentlichen die üblichen Tendenzen zeigen – verlorene oder gestohlene Datenträger, falsch versendete Patient*innen-Korrespondenz und so weiter. Der starke Fokus auf die Diakonie führt aber dazu, dass auch sehr spezielle Themen erwähnt werden wie etwa technische und organisatorische Maßnahmen bei Bewohner*innen von Alten- und Pflegeinrichtungen mit Hinlauftendenz – der im vergleich zu anderen Aufsichten übergroße Anteil an diakonischen Einrichtungen scheint zu einer besonderen Sensibilität für diese besonderen Fragestellungen zu führen. (Das würde man beispielsweise auch der katholischen Ordensdatenschutzaufsicht wünschen, die riesige Ordenskrankenhäuser beaufsichtigt, darauf aber in ihrem Bericht quasi nicht eingeht.)

Wie in vielen anderen Tätigkeitsberichten wird auch hier eine mangelnde Ausstattung beklagt: »Die Datenschutzaufsichtsbehörde wurde mit Anfragen geradezu überhäuft, was nur ein Reagieren ermöglichte und ein strukturiertes (effektiveres) Arbeiten überlagerte«, heißt es, auch wenn sich das im zweiten Jahr eingependelt habe. Wenig Mut macht dieser Satz aus der Schlussbemerkung: »Im nächsten Berichtszeitraum wird die aufsichtsrechtliche Tätigkeit entsprechend der vorhandenen personellen Ressourcen weiter fortgeführt werden.«

Fazit

Der Bericht der ostdeutschen Aufsicht bringt etwas mehr Licht in die Black box des EKD-Datenschutzes. Der Fokus auf die Rahmenbedingungen, Hintergründe und Rechtsgrundlagen ist vor dem Hintergrund der ansonsten fehlenden öffentlichen Reflexion evangelischen Datenschutzrechts sehr willkommen – und mal ehrlich: Über den xten Mailverteiler ohne BCC braucht man wirklich nichts mehr zu lesen.

Auch wenn es schon mehrfach erwähnt wurde: Ein Tätigkeitsbericht alle zwei Jahre ist zu wenig, erst recht, wenn er erst über ein Jahr später erscheint. Zurecht beklagt der Beauftragte den Stand der Literatur: »Zum DSG-EKD stehen leider keine juristischen Fachkommentare und kaum Artikel in Fachzeitschriften zur Verfügung. Diese sind jedoch für die Arbeit sowohl der Datenschutz-Aufsichtsbehörden als auch der örtlichen und betrieblichen Datenschutzbeauftragten zwingend notwendig. Eine Orientierung ausschließlich an Kommentaren des staatlichen Rechtes ist nicht möglich und auch nicht zielführend.« Diese Lücke könnten regelmäßige Tätigkeitsberichte wenigstens etwas füllen.

Umfassende Rechtsunkenntnis der gesamten Kurie – Wochenrückblick KW 11/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das beherrschende Thema der Woche war die Vorstellung des Kölner Missbrauchsgutachtens – dazu wurde anderswo (auch von mir) schon viel kommentiert. Mit Blick auf die Frage nach Recht und Rechtmäßigkeit in der Kirche enthält es einen erschütternden, aber nicht überraschenden Abschnitt: »Umfassende Rechtsunkenntnis in der gesamten Kurie« ist er überschrieben (ab S. 224 des Gutachtens). Dort liest man: »Bis in die höchsten Kreise kirchlicher Verantwortungsträger hinein war die Kenntnis des kanonischen Rechts im Allgemeinen und des kirchlichen Strafrechts im Besonderen, ausgesprochen defizitär«, später wird darauf hingewiesen, dass ein Problem insbesondere »die Praxis des Heiligen Stuhls [ist], Gesetzestexte nicht in jedem Fall zu veröffentlichen und nicht dafür zu sorgen, dass sie jedem Rechtsanwender zur Kenntnis gelangten«. Was mit schrecklicher Konsequenz im Großen und im Bereich des Strafrechts gilt, zieht sich auch im Kleinen und in weniger konsequenzenträchtigen Bereichen durch: Schon oft wurde von mir angemerkt, wie defizitär viele (insbesondere) Bistümer sind in der transparenten Darstellung ihres Diözesanrechts sind, teilweise sind nicht einmal die Amtsblätter online zugänglich. (Der Vatikan ist besonders defizitär: Eine unübersichtliche Webseite, sehr uneinheitlich aktuell, und viele zentrale Texte nur in einer PDF-Textwüste auf Latein verfügbar.)

Apropos Transparenz: Noch einmal das 2018 beschlossene Nürnberger Datenschutzzentrum, von dem man seither nichts mehr gehört hat – die Freisinger Bischofskonferenz hat wieder getagt, das stand nicht auf der Tagesordnung. Dafür habe ich auf Twitter erstmals ein offizielles Statement vom Pressesprecher der Erzdiözese München und Freising, zugleich Sprecher der Freisinger Bischofskonferenz, erhalten. Ich zitiere vollständig: »🤷‍♂️«

Transparenter geht’s bei der Datenschutzkonferenz zu – weil man die per Informationsfreiheitsgesetz anzapfen kann. Jetzt liegt mir (danke, FragdenStaat.de!) auch das Protokoll des Treffens der DSK mit den spezifischen Aufsichten von der Sitzung vom 21. Oktober 2020 vor. Darin wurde (auf eine andere IFG-Anfrage von mir hin) gefragt, wie man mit Protokollen verfahren wolle. Eine Vereinbarung wurde wohl getroffen, steht aber nicht im Protokoll. Tja. Eine Liste der bekannten spezifischen Aufsichten im Bereich der Religionsgemeinschaften gibt es nach wie vor nicht – nur römisch-katholische Aufsichten, die der EKD und die der Selbständigen Evangelisch-Lutherischen Kirche tauchen auf – die SELK mit dem Vermerk, dass ihr Status gerade in Niedersachsen geprüft werde und mit einer Aberkennung gerechnet werde, wie bereits zuvor hier berichtet wurde.

Weiterlesen

GKP-Vorschläge für ein besseres Medienprivileg

Bisher läuft der Prozess der Evaluierung des Gesetzes über den kirchlichen Datenschutzes (KDG) noch sehr im Verborgenen ab. Hätte nicht der bayerische Diözesandatenschutzbeauftragte schon einiges ausgeplaudert, wüsste man bis heute nichts, ein Vierteljahr vor der im Gesetz festgelegten Frist von drei Jahren ab Inkrafttreten.

Ein silbernes Schloss an einem blauen Stahlkasten
Photo by Chris Barbalis on Unsplash

Nun hat die Gesellschaft Katholischer Publizisten Deutschlands (GKP) einen eigenen Beitrag zur Evaluierung vorgelegt. (Ich bin Mitglied des Vorstands und im Vorstand für die Stellungnahme verantwortlich.) Während die bisher bekannten schon in der Evaluierung befindlichen Punkte vor allem Details und Verfahrensregelungen betreffen, widmet sich die GKP vor allem Themen, die für Medien und Öffentlichkeitsarbeit wichtig sind: Insbesondere das sehr kompakte Medienprivileg soll deutlich verändert werden. Dazu kommen noch einige Kleinigkeiten, die eine Handhabung in kleinen, ehrenamtlich getragenen Vereinen handhabbarer machen.

Die gesamte Stellungnahme ist online verfügbar.

Weiterlesen

Evaluieren und impfen – Wochenrückblick KW 5/2021

Noch ist nicht viel bekannt über die Evaluierung des Gesetzes über den kirchlichen Datenschutz (KDG) – zwar hat der bayerische Diözesandatenschutzbeauftragte in seinem Bericht und im Interview schon einige Punkte verraten. Ob und wie eine größere Beteiligung geplant ist, wurde dagegen noch nicht bekannt gegeben. Deshalb nimmt die Gesellschaft katholischer Publizisten (GKP) das jetzt selbst in die Hand. (Ich bin dort im Vorstand und koordiniere das Projekt.) Bis zum 28. Februar sind Mitglieder und weitere interessierte eingeladen, sich an einer Stellungnahme zu beteiligen. Schwerpunkte dabei sind der Medienbereich (Bildrechte, Medienprivileg, Streaming) und die Anwendung in Vereinen und Verbänden. Die Stellungnahme kann für liberalere Freund*innen des Drittstaatentransfers direkt auf Google Docs kommentiert werden, ansonsten per Mail.

Auch die katholische Datenschutzkonferenz hat gearbeitet: Sie hat sich in einem noch nicht im Volltext verfügbaren Beschluss mit der Frage auseinandergesetzt, ob Dienstgeber*innen von Beschäftigen Corona-Impfnachweise verlangen dürfen. Das Ergebnis: Vorerst nicht, da noch nicht bekannt ist, ob eine Impfung auch Übertragungen verhindert. Ein Interesse am Impfstatus bestehe für Dienstgeber*innen aber nur mit Blick auf die Gefährdung von Dritten. »Wenn wissenschaftlich erwiesen ist, dass eine Impfung nicht nur Geimpfte schützt, sondern darüber hinaus auch eine Weitergabe des Virus ausschließt, ist über diese Frage ggf. neu zu entscheiden«, so die KDSA Ost.

Außerhalb der katholischen Kirche war der Brexit Thema: Während der evangelische Beauftragte für den Datenschutz noch einmal die aktuellen Entwicklungen rekapitulierte, wurde mir nun auch die Position des alt-katholischen Bistumsdatenschutzbeauftragten bekannt: Anders als seine römisch-katholischen Kolleg*innen lässt er keine UK-Auftragsverarbeitung während der Übergangsphase zu. (Möglicherweise ist die Mitteilung schon länger online – mir ist sie zuerst am Donnerstag aufgefallen.)

Weiterlesen

Das passiert 2021 im kirchlichen Datenschutz

Nach dem Blick zurück geht’s in die Zukunft: 2021 ist hoffentlich irgendwann das Jahr post Corona. Für den kirchlichen Datenschutz gibt es auch schon einige mehr oder weniger feste Termine. Mit der Evaluierung des KDG und des ökumenischen Kirchlichen Datenschutzmodells stehen zwei große Themen an, die den kirchlichen Datenschutz noch länger prägen dürften.

Eine Glaskugel auf rotem Stoff, links daneben ein Schlüssel
Blick in die Glaskugel. (Bildquelle: Michael Dziedzic/Unsplash)
Weiterlesen

Das steht an bei der Evaluierung des KDG – Bayerns Diözesandatenschutzbeauftragter im Interview

Jupp Joachimski (Jahrgang 1942) leitet die Gemeinsame Datenschutzaufsicht der bayerischen (Erz-) Diözesen. Seit 2007 ist er als Diözesandatenschutzbeauftragter tätig.

Jupp Joachimski ist Diözesandatenschutzbeauftragter für die bayerischen Bistümer. Eigentlich sollte er das Amt heute abgeben – doch noch steht sein Nachfolger nicht fest. Der ehemalige Vorsitzende Richter am Obersten Bayerischen Landesgericht hat am Gesetzgebungsprozess für das Gesetz über den katholischen Datenschutz mitgewirkt. Auch bei der gerade stattfindenden Evaluierung des KDG ist er beteiligt. Bei Artikel 91 verrät er einige Details dazu.

(Ebenfalls heute ist ein Interview mit Joachimski auf katholisch.de erschienen. Dort geht es eher allgemein um seine Erfahrungen im kirchlichen Datenschutz. Zudem verrät er dort noch einen weiteren Punkt aus der KDG-Evaluierung: Das Schriftformerfordernis bei der Einwilligung soll fallen.)

Weiterlesen