Schlagwort-Archive: Interdiözesanes Datenschutzgericht

Sie soll, sie kann, sie will – Wochenrückblick KW 22/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Monatsanfang ist immer wie ein kleines Weihnachten: Dann veröffentlicht der Würzburger Kirchenrechtslehrstuhl seinen »Kanon des Monats«. Der 1. Juni war wie Weihnachten und Ostern: Der Kanon des Monats Juni ist can. 220 CIC – also der Datenschutzkanon. Martina Tollkühn gibt einen Überblick über die universalkirchliche Datenschutzgesetzgebung und wie und warum sie in Deutschland so konkret ausgestaltet wird: »Aber warum haben die deutschen Bistümer eigene Regelungen zum Datenschutz? Und was hat das mit dem c. 220 CIC/1983 zu tun? Die Kurzformel auf diese Fragen könnte sein: Weil sie sollen, weil sie können und weil sie wollen.« Nicht beantwortet wird allerdings, warum sie wollen sollten, was sie können, und warum dazu die allgemeinen staatlichen Gesetze nicht genügen. Etwas zirkulär positivistisch lautet die Begründung: Kirchen dürfen ihre eigenen Angelegenheiten selbst regeln, und weil sie ein Datenschutzrecht haben, ist das eine eigene Angelegenheit.

Die KDSA Ost hat sich mit Corona-Tests an Schulen befasst – vor drei Wochen war eine Entscheidung aus Hamburg dazu schon Thema hier. Im Ergebnis kommt die Aufsicht zu einem ähnlichen Ergebnis wie das Verwaltungsgericht, aber mit einem deutlichen Fokus auf die Zulässigkeit von Testungen in Schulen: »Schüler*innen und Erziehungsberechtigte, die mit dieser Art der Durchführung und Erhebung von personenbezogenen Daten nicht einverstanden sind, sollte die Möglichkeit eingeräumt werden, ein negatives Testergebnis durch ein anerkanntes Testzentrum (auch Schnelltestzentrum) oder einem Arzt vorzulegen.« Das Verwaltungsgericht hatte festgestellt, dass externe Tests anerkannt werden müssen. Ohne sollte.

Und dann hat die KDSA Ost sich auch noch einmal zur Abdingbarkeit von Technischen und organisatorischen Maßnahmen geäußert, nachdem der Hamburger Datenschutzbeauftragte die als Möglichkeit gesehen hatte (auch hier wurde schon darüber berichtet). Die kirchliche Aufsicht bekräftigt nun noch einmal die bereits zuvor geäußerte Ansicht, dass eine Einwilligung sich nur auf das Ob, nicht auf das Wie der Datenverarbeitung beziehen kann: »Würde man die Einwilligung so weit für zulässig erachten, wie dies im Vermerk der Hamburger Datenschutzbehörde zum Ausdruck kommt, handelte es sich nicht mehr um eine Einwilligung, sondern um einen Verzicht auf Datenschutz«, so die KDSA Ost – mit der paradoxen Folge, dass es zwar problemlos möglich wäre, in die Veröffentlichung der eigenen Daten auf einer Webseite zuzustimmen, nicht aber in eine ungesicherte E-Mail-Übermittlung derselben Daten.

Der Beschluss des IDSG zu einer Datenpanne durch fehlgelaufene Briefe in einem katholischen Krankenhaus wurde hier schon besprochen. Einige kritische Anfragen daran haben die Datenschutz-Notizen aufgeworfen: Es scheint unterschiedliche Ansichten dazu zu geben, wie ausführlich das Verfahrensverzeichnis sein muss – die beteiligte Aufsicht scheint dort auch eine konkrete Verfahrensbeschreibung zu erwarten, die den Beschäftigten bekannt sein muss. Das Gericht folgte der Ansicht, dass Verfahren im Detail dokumentiert sein müssen. »Die dabei geforderte Detailtiefe ist auf den ersten Blick überraschend«, so die Autorin, der nötige Aufwand bei der Erstellung von Verarbeitungsverzeichnissen wäre enorm: »Die hierdurch gebundenen personellen Kapazitäten könnte man sicher an anderen Stellen sinnvoller nutzen.« Mit Blick auf das KDG und das Verarbeitungsverzeichnis-Muster der Aufsichten wirken die Anforderungen des Gerichts aber durchaus plausibel. Im Musterformular gibt es mit Feld B.3 Verarbeitungsablauf ein passendes Feld: »Eine (kurze) Beschreibung des operativen Ablaufs der Verarbeitung mit ihren wichtigsten Schritten«, und das Gesetz selbst sieht vor, »wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen« aufzunehmen (§ 31 Abs. 1 lit. h)).

Weiterlesen

Einblick ins kirchliche Datenschutzgericht aus erster Hand

Bisher hat das Interdiözesane Datenschutzgericht nur durch seine Beschlüsse gesprochen – am vergangenen Freitag hat der Vorsitzende Richter des IDSG Bernhard Fessler einige Einblicke in die Arbeit des Gerichts gegeben. Mittlerweile liegt auch das Manuskript des Vortrags bei der Geburtstagstagung zum KDG vor.

Bernhard Fessler bei der Tagung »Drei Jahre KDG« (Screenshot)
Bernhard Fessler bei der Tagung »Drei Jahre KDG« (Screenshot)

Leider ist der Vortrag bisher nur den Teilnehmenden der Tagung zugänglich gemacht worden – das ist sehr schade angesichts des bislang umfassendsten Überblick über die kirchliche Datenschutzgerichtsbarkeit. Daher hier noch einmal eine ausführlichere Besprechung des Vortrags, nachdem er bereits im Tagungsrückblick vom Montag erwähnt wurde.

Weiterlesen

Tagungsbericht »Drei Jahre Gesetz über den Kirchlichen Datenschutz«

Im vierten Jahr seiner Geltung geht es beim KDG und seiner Umsetzung in die Details – das zeigte die von Curacon und den nordrhein-westfälischen Caritasverbänden organisierte Tagung zum dritten Geburtstag des Gesetzes über den kirchlichen Datenschutz am vergangenen Freitag.

Folie mit dem Veranstaltungstitel auf einem Laptop

Schwerpunkt waren alltägliche, aber komplizierte Themen: Der Umgang mit Auskunftsersuchen, Auftragsverarbeitung, Schadensersatzansprüche, Datenschutzfolgenabschätzungen und Compliance. Zwei Produkt-Vorstellungen – ein KDG-Compliance-Tool der GDD und ein Datenschutzfolgenabschätzungstool der Curacon – standen zudem auf der Tagesordnung. Den Blick aus den Niederungen der Praxis weitete zum Abschluss ein Vortrag des Vorsitzenden Richters am Interdiözesanen Datenschutzgericht, Bernhard Fessler.

Weiterlesen

Dokumentieren, verschicken und büßen – Wochenrückblick KW 19/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das ist doch erfreulich: Die Arbeit am Kirchlichen Datenschutzmodell geht voran – nachdem bei der Vorstellung vor zwei Wochen erst drei Bausteine verfügbar waren, wurde jetzt der vierte zum Thema »Dokumentieren« veröffentlicht. Das macht Hoffnung, dass die Bausteine schnell komplettiert werden. Ein Satz aus dem Baustein passt zum hier immer wieder angesprochenen Thema der Zugänglichkeit kirchlichen Rechts: »Den verantwortlichen kirchlichen Stellen wird […] empfohlen, ein Rechtskataster zu pflegen, welches speziell zusammengestellt ist und den rechtlichen Rahmen aller in und von der verantwortlichen Stelle zu erfüllenden Aufgaben abdeckt« – gar nicht so einfach angesichts der nur in manchen Bistümern gut zugänglichen kirchlichen Rechtssammlungen.

Am Mittwoch wurde außerdem eine weitere Entscheidung des Interdiözesanen Datenschutzgerichts veröffentlicht (IDSG 14/2020 vom 19. April 2021) – der zugrundeliegende Fall dreht sich um den Klassiker »fehlgelaufener Patient*innenbrief«. In der Sache und für die Praxis interessant dürfte die Diskussion des Verfahrensverzeichnisses sein, in dem das Verfahren des Versands und der Kontrolle der Richtigkeit der Unterlagen im Laufe des Falls detailliert ausgearbeitet wurde (RN 4). Erstmals wird mit 2000 Euro auch eine einzelne Summe eines Bußgelds bekannt. Von grundsätzlicher rechtlicher Bedeutung sind die Fragen nach der Zuständigkeit des Gerichts für die Überprüfung von Bußgeldbescheiden (das sieht das IDSG als gegeben an, RN 51f.; man merkt aber dem Schluss an, dass man sich wohl auch eine eigene Kompetenz zur Verhängung wünschen würde, RN 58) und die auch schon an anderer Stelle aufgeworfene Frage, inwiefern überhaupt Bußgelder verhängt werden können, wenn die Datenschutzverletzung von Mitarbeitenden begangen wird. Im vorliegenden Fall argumentiert das Gericht mit dem Funktionsträgerprinzip und bekräftigt seine Position aus einem vorherigen Fall, »dass dem Rechtsträger als dem Verantwortlichen nicht nur das Verhalten von Organen, sondern auch das Verhalten anderer Mitarbeiter zugerechnet wird« (RN 47). Auch der aktuelle Fall fällt allerdings vor die Geltung des Gesetzes über das Verwaltungsverfahren im kirchlichen Datenschutz, das das Ordnungswidrigkeitengesetz für anwendbar erklärt. Wie ähnliche Fälle jetzt entschieden würden, ist also noch offen.

Und, teilweise in eigener Sache: Die Datenschutz-Notizen weisen auf die Evaluierung des KDG hin und dabei auch sehr freundlich auf die hier auf »Artikel 91« ausgegrabenen Erkenntnisse.

Weiterlesen

Darf der Pfarrer Gottesdienst-Teilnahmelisten kontrollieren?

Darf der Pfarrer eigentlich die Teilnahmelisten von Gottesdiensten, die für die Corona-Rückverfolgbarkeit angelegt werden, durchgehen und kontrollieren? Bis gestern hätten wohl die meisten gesagt: natürlich nicht! Und dann kam der jüngste veröffentlichte Beschluss des Interdiözesanen Datenschutzgerichts (IDSG):

Die Einsichtnahme in Gottesdienstbesucherlisten durch den leitenden Pfarrer zur Überprüfung der Vollständigkeit der Liste und der Einhaltung sowie Evaluierung des Coronaschutzkonzeptes ist durch § 6 Abs. 1 Buchstaben a und d KDG in Verbindung mit der Coronaschutzverordnung NRW gedeckt.

Leitsatz IDSG 27/2020

Der Beschluss geht sogar noch weiter. Nicht nur sei die Einsichtnahme zulässig – sie sei sogar erforderlich und notwendig, urteilen die Datenschutzrichter und widersprechen damit der zuständigen Datenschutzaufsicht, dem Katholischen Datenschutzzentrum Dortmund. Dort zeigt man sich »überrascht«: »Wir sind immer noch überzeugt, dass die Regelungen zur Erfassung der Kontaktdaten eine strenge Zweckbindung vorsehen und ein Einblick in die Listen nicht aus anderen Gründen möglich sein sollte«, sagte der Diözesandatenschutzbeauftragte Steffen Pau auf Anfrage.

Das Pastoralteam diskutiert Gottesdienst-Teilnahmelisten zum Corona-Schutz (Symbolbild: Carl Spitzweg: Disputierende Mönche (Detail) – gemeinfrei/Wikimedia Commons)
Weiterlesen

Wenn der MAV-Chef krank ist – Wochenrückblick KW 8/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Datenschutz ist hartes Brot. Erst recht, wenn er vor Gericht geht. Wieder einmal hat das Interdiözesane Datenschutzgericht einen Beschluss veröffentlicht (IDSG 09/2020) , recht lang und kompliziert – es geht um die Frage eines möglichen Datenschutzverstoß eines Geschäftsführers eines Krankenhauses, den dieser gegenüber dem Vorsitzenden der Mitarbeitervertretung begangen haben soll.

Zunächst entwickelt das Gericht das kirchliche Prozessrecht weiter: Auch wenn es keine Regelung zur Wiedereinsetzung in den vorherigen Stand gibt, sieht das IDSG das als möglich an: »Im Fall einer unverschuldeten Fristversäumnis erfordert es das Gebot effektiven Rechtsschutzes, eine Wiedereinsetzung in den vorigen Stand zu ermöglichen.« (Nr. 44)

In der Sache dürfte das Urteil für die Zusammenarbeit von Dienstgeber*innen und Mitarbeitervertretung Rechtssicherheit schaffen – auch wenn der Fall kurios ist: Wenn der Vorsitzende der MAV krank ist – wie darf das von wem kommuniziert werden? Dass es kommuniziert werden muss, ist relativ klar, schließlich braucht es eine Vertretung. Nun ist das auch gerichtlich abgesichert, dass es hier keine Datenschutzprobleme gibt – schließlich sieht die Mitarbeitervertretungsordnung und damit ein kirchliches Gesetz vor, dass eine tatsächliche Verhinderung (und nicht bloß etwa eine versehentliche Abwesenheit) festgestellt werden muss. (Die Zusammenfassung vereinfacht grob den 17-seitigen Beschluss. Wer bei »Mitarbeitervertretung« hellhörig wird: Ob diese eine eigenständige Verantwortliche ist, wird im Beschluss nicht angesprochen.

Weiterlesen

Teilkirchenaustritt – vielleicht per Datenschutz?

Jetzt ist einer der großen Wiedergänger der kirchlichen Konfliktthemen auch beim Interdiözesanen Datenschutzgericht (IDSG) angekommen: Die Frage, ob man lediglich aus der Kirche als Körperschaft öffentlichen Rechts austreten und trotzdem Teil der Kirche bleiben kann – sei’s als Kirchensteuersparmodell, sei’s aus Opposition gegen das, was mit Kirchensteuern finanziert wird.

Zu der Frage wurde schon viel geschrieben und dekretiert; die am Montag veröffentlichte Entscheidung mit dem Aktenzeichen IDSG 05/2019 vom 9. Dezember 2020 zeigt nun einen originellen Versuch, den Datenschutz für den Teilaustritt nutzbar zu machen. Spoiler: Ohne Erfolg.

Die datenschutzrechtliche Prüfung der Eintragung eines Kirchenaustritts im Taufregister ist beschränkt auf die formelle Richtigkeit. Das Datenschutzgericht prüft nicht die materiellen innerkirchlichen Wirkungen einer Austrittserklärung.

Leitsatz zum Urteil IDSG 05/2019
Weiterlesen

Adressen für die Caritas – Wochenrückblick KW 34

Das Interdiözesane Datenschutzgericht (IDSG) hat einen neuen Beschluss veröffentlicht – mitten aus dem Pfarreileben: Zweimal im Jahr kommt der Spendenbrief für die Caritas-Sammlung, und ein Gemeindemitglied setzt alle Hebel in Bewegung, um von dem Spendenbrief verschont zu werden. Im Ergebnis kein Erfolg für den Antragsteller: Daten zur Caritas sind nicht geflossen, die Pfarrei hat die Briefe selbst adressiert, für Werbesperrvermerke sind weltliche Gerichte zuständig, und die Adressierung ist zulässig.

Interessant sind mehrere Punkte: Allgemein zeigt sich wieder, dass – trotz der Ablehnung – die kirchlichen Gerichte sehr benutzer*innenfreundlich sind: Mit viel Wohlwollen wurde aus einer umgangssprachlich formulierte Beschwerde das rechtlich Relevante herausdestilliert und trotz der Ablehnung auf ganzer Linie sorgfältig und ausführlich argumentiert. Über die Sache hinaus ist die Frage der Rechtsgrundlage der Verarbeitung lesenswert: Die Pfarreien werden über eine Aufforderung im Amtsblatt zur Durchführung der Caritas-Sammlung aufgefordert. Das Gericht sieht dadurch – ohne ein formales Gesetz – die Verarbeitung als Erfüllung einer rechtlichen Verpflichtung (§ 6 Abs. 1 lit. d) KDG) als rechtmäßig an, in Frage komme außerdem die Wahrnehmung einer Aufgabe im kirchlichen Interesse (§ 6 Abs. 1 lit. f) KDG) in Frage.

Weiterlesen

Gericht: Der Name der Küsterin darf auf die Pfarrei-Webseite

Die Veröffentlichung der mit dem Namen und Vornamen gebildeten dienstlichen E-Mail-Anschrift eines Mitarbeiters mit Außenkontakten (hier eine Küsterin) auf der Homepage der Pfarrgemeinde verletzt keine kirchlichen Datenschutzrechte.

Nichtamtlicher Leitsatz zum Beschluss IDSG 03/2019
In der Sakristei. Bildquelle: Jorge Royan/http://www.royan.com.ar (Wikimedia Commons), CC BY-SA 3.0. (Symbolbild)

Eine Küsterin muss damit leben, dass ihr Name auf der Webseite der katholischen Pfarrei genannt wird und ihre personalisierte E-Mail-Adresse im Stil von vorname.nachname@XXX.de veröffentlicht wird. Ein Anspruch auf eine rein funktionsbezogene E-Mail-Adresse wie kuesterin@XXX.de besteht nicht. Das hat das Interdiözesane Datenschutzgericht am 22. April in einem jetzt veröffentlichten Beschluss (IDSG 03/2019) entschieden.

Weiterlesen