Schlagwort-Archive: Interdiözesanes Datenschutzgericht

Woche des Gerichts – Wochenrückblick KW 4/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das Datenschutzgericht der DBK liefert: Gleich zwei Entscheidungen wurden in dieser Woche veröffentlicht – wenn auch nicht die mit Spannung erwartete zum Streit zwischen dem Erzbistum München und Freising und der Integrierten Gemeinde. In der ersten Entscheidung stellt das DSG-DBK fest, dass Löschen für das Gericht keine Verarbeitung ist: In seiner Entscheidung DSG-DBK 04/2022 (Beschluss vom 3. Januar 2023) hat es die Feststellung eines Datenschutzverstoßes durch den IDSG im Fall einer gelöschten Beistandsakte verworfen. Die erste Instanz hatte alle Anträge des Klägers abgewiesen und nur diese Datenschutzverletzung durch Löschung festgestellt. Die zweite Instanz nimmt zwar auch an, dass die Vernichtung rechtswidrig war – aber aus anderen Gründen als dem Datenschutzrecht. Es gehöre gerade aber nicht zu den Aufgaben der kirchlichen Datenschutzgerichtsbarkeit, jenseits der Abwehr von Eingriffen in das Persönlichkeitsrecht von Betroffenen auf deren Antrag hin eine allgemeine Rechtmäßigkeitskontrolle des Handelns von Datenverarbeitern vorzunehmen, stellt das DSG-DBK fest (Rn. 19). Was das Gericht über die datenschutzrechtlichen Aspekte entschieden hat, ist interessant: »Das Recht des Antragstellers auf informationelle Selbstbestimmung, dessen Schutz das Datenschutzrecht nach § 1 KDG dient, kann durch eine Löschung von über ihn gespeicherten Daten nicht verletzt sein, weil durch Löschung der datenschutzrechtlich rechtfertigungsbedürftige Persönlichkeitseingriff ja gerade beendet wird.« (Rn. 19) Das kann man durchaus kritisch diskutieren: Auch Löschen ist eine Verarbeitung gemäß § 4 Nr. 3 KDG und bedarf damit einer Rechtsgrundlage – die hier anscheinend fehlte. So argumentierte noch die Vorinstanz (IDSG 10/2021, Rn. 32). Als Gedankenexperiment: Wenn ein online gespeichertes Tagebuch durch den Provider gelöscht wird: Ist das nur eine Verletzung des Hosting-Vertrags – oder greift das in die informationelle Selbstbestimmung ein?

Auch im zweiten DSG-DBK-Beschluss der Woche wurde die erste Instanz bestätigt: Weiterhin ist die Weitergabe von Korrespondenz innerhalb einer Behörde rechtens. (DSG-DBK 03/2021, Beschluss vom 23. Februar 2022.) Die erste Instanz wurde hier schon ausführlich besprochen: Das IDSG hatte als Rechtsgrundlage der Verarbeitung eine Einwilligung angenommen – eine Rechtsgrundlage, die einige Probleme in solchen Konstellationen aufwirft. Für das DSG-DBK war das kein Problem. Auch hier wird daran festgehalten: »Es handelt sich vielmehr um die vom Antragsteller selbst initiierte und gewünschte Bearbeitung seiner Eingabe, mithin um eine rechtmäßige Datenverarbeitung nach § 6 Abs. 1 lit. b) KDG.« Es bleibt also bei der kuriosen Situation, dass ein Betroffener einem Verantwortlichen eine rechtmäßige Einwilligung geben kann, ohne je informiert worden zu sein, und entgegen seiner erklärten Aussage, gerade keine Einwilligung gegeben zu haben.

Leider zu spät habe ich bemerkt, dass nun auch das IDSG seine ersten öffentlichen Verhandlungen hatte – schon am 13. Januar wurden zwei Fälle verhandelt. In der hier am Montag besprochenen Dissertation zum kirchlichen Datenschutzrecht hatte Michaela Hermes noch die in der KDSGO fehlende Öffentlichkeit verteidigt: »Der grundsätzliche Ausschluss der mündlichen Verhandlung, wie er auch in kanonischen Prozessrecht üblich ist, das den Öffentlichkeitsgrundsatz nicht realisiert, steht der Gewähr eines effektiven Rechtsschutzes nach Art. 47 GRCh nicht entgegen. Denn der EuGH hat unter Hinweis auf seine Rechtsprechung zu Art. 6 EMRK festgestellt, dass es keine absolute Verpflichtung zur Durchführung einer öffentlichen Verhandlung gibt.« Schön, dass die Tendenz der Gerichte dahin zu gehen scheint, mündliche Verhandlungen grundsätzlich öffentlich zu machen. Dann braucht man sich gar keine komplizierte Rechtfertigung zurechtlegen.

Weiterhin intransparent sind die für Datenschutz zuständigen Verwaltungsgerichte der EKD, die seit 2018 gar keine Entscheidungen veröffentlicht haben. Anfragen an die Pressestelle (die trotz der Unabhängigkeit der Kirchengerichte als Kontaktadresse für Presseanfragen angegeben wird), ob und wie viele Fälle mit DSG-EKD-Bezug entschieden wurden, wurden seit Oktober 2020 (!) nur mit Vertröstungen beantwortet. Erst in diesem Monat habe ich einen direkten Kontakt für Presseanfragen bei den Kirchengerichten bekommen. Dort gab es wenigstens prompt eine Eingangsbestätigung.

Weiterlesen

Dauerbrenner und kontraintutive konfessionelle Transparenz – das war 2022

2022 endet, wie es begonnen hat: Die hier prophezeiten großen Themen können alle auf Wiedervorlage gelegt werden. Die große Facebook-Dämmerung kam nicht – alle warten immer noch auf das Musterverfahren zwischen dem Bundesdatenschutzbeauftragten und dem Bundespresseamt. Bei der Evaluierung der kirchlichen Datenschutzgesetze gibt es auch nichts Neues – das KDG ist nach wie vor überfällig, beim DSG-EKD ist öffentlich keine Bewegung sichtbar. Die KDSA Nord ist immer noch keine KdÖR, und in Bayern ist Jupp Joachimski im 81. Lebensjahr Diözesandatenschutzbeauftragter ohne Aussicht auf Ablöse. Der DSG-EKD-Kommentar ist immer noch nicht da, die KDSGO-Kommentierung auch nicht.

Jahresrückblick kirchlicher Datenschutz 2022
(Bildquelle: Moritz Knöringer on Unsplash)

Vormals große Themen wie der Umgang mit Corona haben an Bedeutung verloren – im Frühjahr wurde noch über den richtigen Umgang mit Impfnachweisen diskutiert, seither ist die Pandemie zumindest datenschutzrechtlich vorbei. Die Tendenz der vergangenen Jahre zeichnet sich also fort: Der kirchliche Datenschutz läuft im Regelbetrieb. Große Aufregerthemen blieben aus, nach Ausnahmejahren der Pandemie können sich Aufsichten und Verantwortliche wieder auf ihre Regelaufgaben konzentrieren.

Weiterlesen

IDSG zeigt Kriterien für konkludente Einwilligung

Einwilligungen sind anspruchsvoll. Sie müssen freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Das KDG sieht zudem vor, dass sie in der Regel schriftlich eingeholt werden. Und dennoch ist unter diesen Bedingungen eine konkludente Einwilligung möglich.

Daumen hoch ist auch Einwilligung
Daumen hoch kann auch informierte Einwilligung sein, ganz ohne Schriftform (Bildquelle: Amol Kudal on Unsplash)

In den Datenschutzgesetzen werden die Bedingungen für eine konkludente Einwilligung nicht geregelt. Das Interdiözesane Datenschutzgericht hatte zwar schon zuvor konkludente Einwilligungen angenommen – aber erst mit der nun veröffentlichten Entscheidung (IDSG 01/2021 vom 24. Mai 2022) gibt es Kriterien, welche Anforderungen daran gestellt werden.

Weiterlesen

DSG-EKD-Reförmchen – Wochenrückblick KW 45/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die EKD-Synode hat das DSG-EKD erneut geändert. Anders als bei der letzten Änderung geht es dieses Mal nicht um materielles Datenschutzrecht, sondern um die Finanzierung des Beauftragten für den Datenschutz der EKD: Künftig legt der Rat der EKD auf Vorschlag des EKD-Finanzbeirates die jährlichen Beiträge der Landeskirchen fest, die die Datenschutzaufsicht an den BfD EKD übertragen haben. Bisher hat dies der Finanzbeirat entschieden. »Bei der Finanzierung der Aufgabenwahrnehmung durch den BfD EKD handelt es sich nicht um eine vertragliche Leistung, sondern um einen einseitig festgelegten Beitrag«, heißt es in der Antragsbegründung. Die Änderung sichere das ab. Sie tritt zum 1. Januar 2023 in Kraft und besteht aus der Ergänzung eines Satzes in § 39 Abs. 3 DSG-EKD: »Der Rat der Evangelischen Kirche in Deutschland legt auf Vorschlag des Finanzbeirates der Evangelischen Kirche in Deutschland die jährlichen Beiträge für die Wahrnehmung der Aufsicht nach Satz 1 zweiter Halbsatz fest.«

Auch im der Synode vorgelegten Ratsbericht taucht Datenschutz auf – wer den aktuellen Tätigkeitsbericht 2019/20 des BfD EKD kennt, findet dort kaum Neues. Allerdings gibt es eine klare Ansage: »Kirchen- und diakoniepolitisch ist angestrebt, die Datenschutzaufsicht mittelfristig flächendeckend auf den BfD EKD zu übertragen.« Das zielt in Richtung der Landeskirchen Sachsens und Anhalts und der Diakonischen Werke Mitteldeutschland und Sachsens, die mit dem Datenschutzbeauftragten für Kirche und Diakonie die einzige evangelische Aufsicht unterhalten, bei der noch keine Absicht zur Übertragung an die EKD bekannt ist. (Die Übertragung der Aufsicht der Nordkirche ist beschlossen, die der Kirche der Pfalz geplant.)

Neulich ging es hier um die Frage, ob der Rechtsweg im Ordensdatenschutz auch zum Interdiözesanen Datenschutzgericht führt – auf die theoretische Beantwortung (grundsätzlich ja) folgt nun die praktische: Auf Anfrage teilte die Geschäftsstelle des IDSG mit, dass derzeit ein Fall aus dem Bereich der KDR-OG beim IDSG anhängig ist.

Im frisch erschienenen Tätigkeitsbericht der irischen Datenschutzaufsicht (DPC) für 2021 findet sich leider kein Update zum Umgang mit Löschanfragen bei Taufregistern. Stattdessen widmet sich eine der Fallstudien dem Livestream eines Beerdigungsgottesdienstes. Nach Ansicht der DPC kann dafür ein berechtigtes Interesse als Rechtsgrundlage herangezogen werden. Im Zuge der Beschwerde hat die Gemeinde aber ihren Umgang mit den Übertragungen verändert: Bessere Datenschutzinformationen, Speicherung der Aufnahme nur wenn das schriftlich verlangt wird, und ein Passwortschutz für die später zur Verfügung gestellte Aufnahme. Explizit wird nicht erwähnt, ob die feststehende Kamera auch Teilnehmende oder nur den Altar erfasst; angesichts der Beschwerde wird man aber annehmen dürfen, dass die Beschwerde aufgrund einer unerwünschten Aufnahme entstanden ist. Anscheinend geht die Aufsicht davon aus, dass hier nicht zu prüfen war, ob mit einem Livestream eines Gottesdienstes besondere Kategorien personenbezogener Daten verarbeitet werden. Das wurde im Zuge der Diskussion in Deutschland gelegentlich vertreten.

Weiterlesen

Rechtswege im Ordensdatenschutz – welches Gericht für die KDR-OG?

Die Ordensgemeinschaften päpstlichen Rechts unterliegen weder der Aufsicht des jeweiligen Diözesanbischofs noch der Bischofskonferenz und damit auch nicht dem Gesetz über den kirchlichen Datenschutz. Statt dem KDG haben die meisten der Orden sich eine eigene Kirchliche Datenschutzregelung der Ordensgemeinschaft päpstlichen Rechts (KDR-OG) gegeben.

Eine Textausgabe der Kirchlichen Datenschutzregelung der Ordensgemeinschaft päpstlichen Rechts (KDR-OG) liegt unter einem Codex Iuris Canonici, der bei Buch VII, Prozesse, aufgeschlagen ist, und auf dem ein Richterhammer liegt.
Die KDR-OG regelt den Datenschutz in den Ordensgemeinschaften päpstlichen Rechts, die sie eingeführt haben.

Die KDR-OG ist weitgehend wortgleich mit dem KDG (eine detaillierte Analyse hat hier Karsten Ronnenberg vorgenommen) – sie sieht also (im Einklang auch mit der DSGVO) gerichtliche Rechtsbehelfe vor. Nur: Wo klagen? Kann es sein, dass die von den Diözesanbischöfen und der Bischofskonferenz errichtete kirchliche Datenschutzgerichtsbarkeit zuständig ist, obwohl die Orden päpstlichen Rechts sonst gerade nicht von der Rechtsetzung der Ortsbischöfe erfasst sind?

Weiterlesen

So urteilt das kirchliche Datenschutzgericht

Die kirchliche Datenschutzgerichtsbarkeit beschreitet für die katholische Kirche Neuland: Erstmals wurde durch die Kirchliche Datenschutzgerichtsordnung eine (inter-)diözesane Verwaltungsgerichtsbarkeit eingerichtet. Zusammen mit dem KDG trat am 24. Mai 2018 die Kirchliche Datenschutzgerichtsordnung in Kraft, ihre Arbeit haben die beiden Instanzen etwas später aufgenommen.

Ein Richterhammer liegt auf einer Ausgabe der Kirchlichen Datenschutzgerichtsordnung (KDSGO)
Die KDSGO regelt die kirchliche Datenschutzgerichtsbarkeit.

Aktuell sind in der offiziellen Entscheidungssammlung 18 Beschlüsse des Interdiözesanen Datenschutzgerichts und 2 Beschlüsse des Datenschutzgerichts der Deutschen Bischofskonferenz veröffentlicht – damit lässt sich ein erster Überblick über Tendenzen in der Rechtsprechung geben. (Tatsächlich wurden auch einige Entscheidungen wieder offline genommen. Alle bekannten Aktenzeichen finden sich hier in der Entscheidungssammlung. Ausgewertet wurden hier auch die beiden Entscheidungen IDSG 2019/09 vom 20. Februar 2020 und IDSG 02/2018 vom 5. Mai 2020, die nachträglich offline genommen wurden.)

Weiterlesen

Der oberste bayerische katholische Datenschützer wird 80

Jupp Joachimski wird 80. Als bayerischer Diözesandatenschutzbeauftragter ist er immer noch im Dienst – auch wenn seine Amtszeit eigentlich schon lange abgelaufen ist: Es gibt einfach keinen Nachfolger, und Joachimski macht (wie das Gesetz es befiehlt) einfach weiter. Zum 80. schenkt das Katholische Datenschutzzentrum Dortmund dem Jubilar eine Festschrift in der Reihe »Schriften zum kirchlichen Datenschutz«.

Porträt von Jupp Joachimski mit dem Titel der Festschrift anlässlich seines 80. Geburtstags
Mit der von Steffen Pau, Christine Haumer und Stephanie Melzow herausgegebenen Festschrift »Justiz die Pflicht, Datenschutz die Kür« würdigen die Diözesandatenschutzbeauftragten und Weggefährt*innen den Vorsitzenden Richter am Bayerischen Obersten Landesgericht a.D.

Etwa die Hälfte des Bandes machen Aufsätze zum kirchlichen Datenschutz aus: Neben den anderen Diözesandatenschutzbeauftragten und ihren Mitarbeitenden kommen unter anderem der bayerische Landesdatenschutzbeauftragte Thomas Petri und der Würzburger Kirchenrechtler Martin Rehak zu Wort. Die Aufsätze sind meist historisch und deskriptiv ausgerichtet – sie geben aber auch einige neue, bislang unbekannte Informationen zum kirchlichen Datenschutz. Mehr oder weniger zwischen den Zeilen scheint es auch langsam Gewissheit zu werden, dass das lange geplante Katholische Datenschutzzentrum Wirklichkeit wird.

Weiterlesen

Berechtigtes Interesse auf Evangelisch – Wochenrückblick KW 32/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der BfD EKD hat FAQs zu Direktwerbung veröffentlicht. Die Fragenliste stellt zwar im wesentlichen auch nur fest, dass gemäß DSG-EKD grundsätzlich auch nichts anderes gilt als gemäß DSGVO. Dennoch dürfte diese Äußerung der Aufsicht für einige Erleichterung sorgen: Das große Problem des evangelischen Datenschutzgesetzes ist das Fehlen der Interessen des Verantwortlichen in der Abwägung des berechtigten Interesses – und damit ist Direktwerbung eigentlich nur über Einwilligung gestaltbar. In der FAQ-Liste greift die Aufsicht jetzt aber eine schon zuvor aus der Arbeitshilfe zu Bildrechten bekannte Konstruktion auf: Ein Nachbau eines DSGVO-äquivalenten berechtigten Interesses aus kirchlichem Interesse und berechtigtem Interesse nach DSG-EKD, also eine faktisch neue Rechtsgrundlage § 6 Nr. 4 iVm Nr. 8 DSG-EKD: »Notwendig ist dann eine Abwägung im konkreten Einzelfall zwischen den Interessen des Verantwortlichen bzw. Dritten und der betroffenen Person. Es kann nicht auf abstrakte Kriterien oder vergleichbare Fälle abgestellt werden«, erläutert der BfD EKD.

Ein weiterer Streit im Kontext des Familienrechts ist Thema der jüngsten Entscheidungsveröffentlichung des IDSG (IDSG 10/2021 vom 25. April 2022). Die meisten Anträge des Vaters sind unzulässig oder unbegründet. Erfolg hatte er damit, dass er eine vorschnelle Löschung einer Beistandsakte gerügt hatte. Löschen ist zwar oft eine gute Idee, aber wer unbegründet löscht, setzt sich neuen Problemen aus. (Die Konsequenzen sind hier wie systembedingt üblich überschaubar: Es wurde lediglich ein Datenschutzverstoß festgestellt. Mehr können die kirchlichen Datenschutzgerichte nicht.) Wieder einmal tritt außerdem die Figur einer konkludenten Einwilligung als Rechtsgrundlage auf (Rn. 58) – nach wie vor eine sehr fragliche Konstruktion. Gegen die Entscheidung wurden Rechtsmittel eingelegt.

Die von der DBK und Adveniat beauftragte Untersuchung der Akten der Auslandspriester-Koordinierungsstelle Fidei Donum wurde am Montag veröffentlicht. Die unabhängige Untersuchung belastet vor allem den langjährigen Adveniat- und Fidei-Donum-Chef Emil Stehle, der Missbrauchstäter deckte und selbst von vielen Betroffenen belastet wird. (Zu den Erkenntnissen in der Sache meine Analyse bei katholisch.de.) Interessant ist der Hinweis, dass als »datenschutzrechtliche Voraussetzung« einer Durchsicht der Akten der Fidei-Donum-Koordinationsstelle in Essen durch eine fachkundige Person die Inkraftsetzung der Personalaktenordnung genannt wird. Das ist insofern bemerkenswert, als dass § 15 PAO lediglich Auskunftsrechte kennt; erst die Norm zur Regelung von Einsichts- und Auskunftsrechten schafft eine allgemeine Rechtsgrundlage für Akteneinsicht durch Aufarbeitungskommissionen. Weder vom Bistum Essen noch vom möglicherweise auch datenschutzrechtlich verantwortlichen VDD sind bislang entsprechende Normen bekannt. Wichtiger als diese Frage – andere Bistümer haben ihre Aufarbeitungsstudien schließlich auch ohne PAO und Nebengesetze aufgegleist – ist aber, was man über scheinbar familiäre Organisationskulturen und mangelnde Struktur als Ermöglichungsbedingungen von Missbrauch erfährt.

Wer hätte gedacht, dass man bei der Diskussion um einen katholischen Arbeitskreis in der Bundes-CDU auch etwas über das Datenschutzmanagement der Partei erfährt? »Ich gehe davon aus, [dass es eine christliche Mehrheit in der CDU gibt,] aber ich weiß es nicht, weil das deutsche Datenschutzrecht eine Hürde aufbaut. Danach darf man nur Daten erheben, die tatsächlich erforderlich sind. Deshalb wird nur abgefragt, ob jemand evangelisch ist, da man ihn dann dem Evangelischen Arbeitskreis zuordnen kann. Da es keinen Katholischen Arbeitskreis gibt, gibt es tatsächlich auch nicht die Abfrage beim Mitgliedschaftsantrag, ob jemand katholisch ist«, berichtet die Vorsitzende des Katholischen Arbeitskreises in Thüringen.

Weiterlesen

Betroffenenrechte sind Kinderrechte, keine Elternrechte – Interview mit Kerstin Fuchs

Auch Kinder und Jugendliche haben ein Recht auf informationelle Selbstbestimmung – und manchmal muss das auch gegen die Eltern durchgesetzt werden. Vor genau so einem Fall stand Kerstin Fuchs, die Geschäftsführerin des Wiesbadener Jugendhilfezentrums Johannesstift: Ein Vater wollte für seine Tochter Auskunftsrechte geltend machen und auch in höchstpersönliche Therapieunterlagen Einblick nehmen – gegen den Willen der damals Fünfzehnjährigen. Für das Johannesstift war klar: So geht es nicht. Die Datenschutzaufsicht gab der Einrichtung zwar recht, doch der Vater klagte vor dem Interdiözesanen Datenschutzgericht. Dort erzielte das Johannesstift einen Erfolg auf ganzer Linie – die Entscheidung wurde hier bereits ausführlich besprochen.

Porträtfoto von Kerstin Fuchs
Kerstin Fuchs ist Geschäftsführerin des Johannesstifts und in der Geschäftsführung für den Datenschutz zuständig. (Bildquelle: Johannesstift)

In seinem Leitbild hat das Johannesstift festgehalten, dass »Solidarität mit den Schwachen, Kultur der Partizipation, Toleranz gegenüber Weltanschauungen, die die Freiheitsrechte anderer nicht verletzen, und Gerechtigkeit für diejenigen, die Benachteiligungen erlitten haben« das Wirken der Einrichtung prägen. Im Interview berichtet Geschäftsführerin Kerstin Fuchs, warum in ihrer Einrichtung Datenschutz Chefsache ist, wie ein Verfahren vor dem IDSG abläuft – und wie man die Bedürfnisse und Rechte von Kindern und Jugendlichen in der Jugendhilfe berücksichtigt.

Weiterlesen

IDSG zu Rechtswegen im kirchlichen Datenschutz

Das Interdiözesane Datenschutzgericht hat zwei neue Entscheidungen veröffentlicht: IDSG 6/2021 und IDSG 19/2021. In beiden geht es in der Sache zunächst um Konflikte im Bereich des Beschäftigtendatenschutzes – wenn das Verhältnis ohnehin zerrüttet ist, werden die wenigen gut zugänglichen Rechtsbehelfe ergriffen, die es im kirchlichen Recht gibt.

Ein Richterhammer liegt auf einer Ausgabe der Kirchlichen Datenschutzgerichtsordnung (KDSGO)
Die KDSGO regelt die kirchliche Datenschutzgerichtsbarkeit.

Beide Entscheidungen haben aber auch Aspekte mit grundsätzlicher Bedeutung: Verhandelt werden offene und versperrte Rechtswege zum kirchlichen Datenschutzgericht und zu kirchlichem Recht vor staatlichen Gerichten.

Weiterlesen