Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Nach dem forschen Vorstoß aus Bayern mit einem »Facebook-Verbot« hat sich die zweite katholische Aufsicht geäußert. Die KDSA Ost erläutert, dass der Bescheid des BfDI gegen das Bundespresseamt keine neue Rechtslage erzeugt, sondern nur die Konsequenz aus der bisherigen Bewertung der DSK ist. Die bayerische Entscheidung kommentiert er wohlwollend, aber sichtlich bemüht, die irreführende und rechtlich nicht gedeckte Rede vom »Facebook-Verbot« nicht aufzugreifen: »Auch die Datenschutzkonferenz der katholischen Datenschutzaufsichten hat wiederholt auf diese Rechtslage hingewiesen. Deshalb ist es nur folgerichtig, dass der Diözesandatenschutzbeauftragte für die bayrischen Bistümer ankündigt, nach einer von ihm gewährten Frist, gegen Verantwortliche vorzugehen, die weiterhin eine Facebook-Fanpage betreiben.« Für den Bereich seiner Aufsicht rät der Ost-DDSB dazu, datenschutzkonforme Alternativen zu suchen, ohne eine konkrete Offensive anzukündigen. Auch das KDSZ Dortmund hält an seiner Einschätzung fest. Beratungen und Auskünfte zum Betrieb von Facebook-Fanseiten durch die Aufsicht hätten trotz der ablehnenden Haltung in den meisten Fällen nicht dazu geführt, »dass die kirchlichen Stellen einen aus Sicht der Datenschutzaufsichten datenschutzkonformen Betrieb der Facebook-Fanpages erreicht haben bzw. die Fanpages aus diesem Grund (nicht mehr) unterhalten haben«. Die NRW-Aufsicht kündigte an, in den nächsten Monaten bei Prüfungen und Beschwerden verstärkt auf dieses Thema zu achten und gegebenenfalls zu handeln. Der BfD EKD erinnert wie zuvor schon der DSBKD an die Entschließung der evangelischen Datenschutzkonferenz. »Kirchliche und diakonische Stellen müssen demnach den datenschutzkonformen Einsatz von Facebook Fanpages nachweisen können«, heißt es ohne die Ankündigung weiterer Eskalation seitens der Behörde.
Im Publik-Forum fordert der Sprecher des Betroffenenbeirats bei der Deutschen Bischofskonferenz, Johannes Norpoth, ein Recht auf Akteneinsicht und auf individuelle Aufarbeitung für Betroffene von Missbrauch: »Um endlich für Waffengleichheit zu sorgen, müssen Betroffene und Opfer in alle Akten und Dokumente Einsicht nehmen können, die in Zusammenhang mit der Straftat und deren anschließender Vertuschung stehen – unabhängig vom Fund- und Archivort.« Das gelte besonders für die kirchlichen Archive, die sich dem staatlichen Zugriff bisher entzögen. Untersuchungen hätten gezeigt, dass Bistümer ihren eigenen Aufarbeitungskommissionen und Studieninstituten die Einsichtnahme verwehren oder massiv erschweren, selbst wenn es um anonymisierte Daten gehe. »Das Vorenthalten von Informationen, die eine lückenlose und vollständige Aufklärung von Missbrauchstaten im Raum der Kirche ermöglichen, ist quasi das i-Tüpfelchen auf der moralischen Bankrotterklärung klerikaler Bewahrer«, betont Norpoth. Der Staat müsse alle Mittel ausschöpfen trotz hoher rechtlicher Hürden: »Das umfassende Akteneinsichtsrecht muss für alle Archivstrukturen der betroffenen Organisation gelten«, fordert Norpoth.
Bislang hat sich von Seiten von Religionsgemeinschaften nur die katholische Kirche im Gesetzgebungsprozess zur geplanten EU-Verordnung zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern eingebracht, hat eine Informationsfreiheitsanfrage bei der Europäischen Kommission ergeben. Der Verordnungsentwurf ist aufgrund der geplanten massiven Eingriffe in die Kommunikationsfreiheit (»Chatkontrolle«) hoch umstritten. Aus einer Mitschrift der Kommission aus der COMECE-Rechtskommission geht auch eine Datenschutzfrage im Kontext von Missbrauchsprävention hervor: Eine Person berichtete (wahrscheinlich aus Irland, das Treffen fand unter Chatham House Rules statt, also ohne Identifikation der Sprechenden) von den Schwierigkeiten der nationalen kirchlichen Stelle für Kinderschutz, Daten zu verdächtigen Priestern weiterzugeben: »Reference to a GDPR issue that prevents non-statutory bodies on sharing information on at-risk priests moving from parish to parish, and where the National Board set up as a central body to coordinate such information sharing is without a legal basis to access case files.«
WeiterlesenSpezifische Aufsichten müssen dieselben Anforderungen erfüllen wie die staatlichen – so sieht es die DSGVO vor. Ein wesentliches Element sind dabei die Ressourcen: Das schönste eigene Datenschutzrecht bringt wenig, wenn Personal und Sachmittel fehlen, um eine effektive Aufsicht zu gewährleisten.
Bei den katholischen Aufsichten sind bislang deutlich weniger Zahlen bekannt als bei den staatlichen. Die letzte Übersicht hier vor fast anderthalb Jahren hatte die Ausstattung noch aus den Tätigkeitsberichten zusammengesucht. Wie so oft zeigt sich auch hier: Ein Blick ins Gesetz erleichtert nicht nur die Rechtsfindung, sondern auch die Recherche. Im KDG gibt nämlich (wie in der DSGVO) eine Norm, die Transparenz über den Aufsichts-Haushalt verlangt. Ein Blick in die katholische Aufsichtenlandschaft zeigt wachsende Transparenz – mit Ausreißern.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Das katholische Datenschutzzentrum Dortmund gibt Winke dazu, ob und wie Microsoft 365 eingesetzt werden kann – allerdings ohne Patentlösungen: »Damit Microsoft die Daten nicht mehr zu eigenen Zwecken verarbeiten kann, müsste der Zugriff auf die personenbezogenen Daten vom Verantwortlichen unterbunden werden. Neben der Nutzung pseudonymisierter Nutzerkonten könnte auch die Nutzung des Cloud-Speichers ausgeschlossen werden«, heißt es in dem Beitrag. Der Einzelfall sei zu betrachten und in einer Datenschutzfolgenabschätzung zu prüfen. Die katholische NRW-Aufsicht geht damit in eine ähnliche Richtung wie die bayerische, aber mit weniger konkreten Ansagen.
Nach dem Erfolg gegen die Selbständige Evangelisch-Lutherische Kirche hat die niedersächsische Landesdatenschutzbeauftragte eine weitere Religionsgemeinschaft im Visier: Auf Anfrage teilte die LfD Niedersachsen mit, dass ein weiteres Prüfverfahren gegen eine Freikirche gemeinsam mit einer weiteren Aufsichtsbehörde derzeit vorbereitet wird. Weitere Angaben können angesichts des frühen Vorbereitungsstadiums noch nicht gemacht werden, so der Sprecher. Mit Blick auf das Urteil des VG Hannover, mit dem das Datenschutzrecht der SELK verworfen wurde, zeigte sich die Aufsicht zufrieden. »Aus Sicht unserer Behörde ist es sehr zu begrüßen, dass eine Vielzahl an wichtigen Auslegungsfragen zu Art. 91 DS-GVO nun erstmals gerichtlich entschieden wurde. Wir gehen davon aus, dass dieses Urteil über den konkreten Einzelfall hinaus auch für andere (Frei-)Kirchen oder Religionsgemeinschaften Bedeutung haben könnte«, so der Sprecher. Mit Blick auf die durch die SELK eingelegte Berufung beim Niedersächsischen Oberverwaltungsgericht bleibe jedoch zunächst noch die weitere Entwicklung der Rechtsprechung abzuwarten.
In Berlin, wo die Landesdatenschutzbeauftragte die Zeugen Jehovas prüft, gibt es unterdessen noch nichts Neues – auf Anfrage teilte ein Sprecher mit, dass man hoffe, im ersten Quartal fertig zu sein. »In den kommenden Wochen stehen dazu weitere Abstimmungen mit anderen Aufsichtsbehörden und den zuständigen Gremien der Datenschutzkonferenz an«, so der Sprecher.
Auf Mastodon beantwortet der BayLfD jede Woche eine Frage – dieses Mal geht es um Religionsunterricht: »Dürfen kirchliche Religionslehrkräfte, die an staatlichen Schulen eingesetzt werden, Daten von Schülern auf IT-Systemen einer kirchlichen Stelle speichern?« Religionsunterricht als ordentliches Lehrfach sei in der Verantwortung der Schule, antwortet die Aufsicht. »Der Umgang mit Schülerdaten ist grundsätzlich der Schule als verantwortlicher Stelle zuzurechnen; maßgeblich sind die dort geltenden Datenschutzregeln. Eine Nutzung kirchlicher IT-Infrastruktur ist jedenfalls nicht ohne weiteres zulässig.«
In der Neuen Zeitschrift für Arbeitsrecht (NZA 1/2023, S. 7–13) befasst sich Thomas Ritter mit Compliance-Pflichten bei der Leitung katholischer Unternehmen, die sich aus der neuen Grundordnung des kirchlichen Dienstes ergeben. Mit der neuen Grundordnung hat das Kriterium der Kirchenzugehörigkeit für weniger Beschäftigte Relevanz (nicht aber des Kirchenaustritts). Damit stellt sich die Frage, ob die Religionszugehörigkeit über die Steuer hinaus überhaupt noch in den Personaldaten verarbeitet werden kann. Die Zugehörigkeit zur katholischen Kirche wird nur noch gefordert von Beschäftigten, denen eine besondere Verantwortung für die katholische Identität der Einrichtung zukommt, und im pastoralen Dienst. Das führt dazu – so Ritter überzeugend –, dass bei solchen Stellen auch die Frage nach dem Bekenntnis im Bewerbungsverfahren zulässig ist. Eine falsche Antwort begründe das Recht der Anfechtung. »Es besteht ein berechtigtes Interesse der Kirche und der ihr zuzurechnenden Träger von kirchlichen Einrichtungen an einer wahrheitsgemäßen Beantwortung«, so Ritter. Dabei spreche im Blick auf den institutionellen Ansatz der neuen GO viel dafür, dass die Frage nach der Religionszugehörigkeit – etwa im Personalfragebogen – bei anderen (potentiellen) Beschäftigten zulässig sei.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Noch vor Weihnachten hat die Datenschutzaufsicht der bayerischen Diözesen eine Ankündigung zum Umgang mit MS-365-Installationen veröffentlicht. Der Diözesandatenschutzbeauftragte kündigt darin seinen Umgang mit Neu- und Bestandsinstallationen an, nachdem die katholische Datenschutzkonferenz dazu keinen Beschluss gefasst hat. Für Neuinstallationen nach dem 21. 12. 2022 wird von einer Beanstandung abgesehen, wenn MS Onedrive dauerhaft abgeschaltet wird und Datenflüsse an Microsoft unterbunden werden. Außerdem müssen Accounts ohne personalisierte Benutzernamen und E-Mail-Postfächer eingerichtet werden. Zulässig sind pseudonymisierte Benutzernamen und Funktionspostfächer. Für Bestandsinstallationen wird für ab April eine Anordnung angekündigt, »wenn feststeht, ob die Bemühungen der USA und der EU um eine Nachfolgeregelung des „privacy shields“ Erfolg hatten«.
Die Diözesandatenschutzbeauftragte für die Südwest-Bistümer Ursula Becker-Rathmair wurde für eine weitere Amtszeit vom 1. Januar 2023 bis zum 31. Dezember 2027 bestellt. Als erste der beteiligten Diözesen hat das Erzbistum Freiburg die Bestellung veröffentlicht.
Die fünf nordrhein-westfälischen Bistümer haben eine öffentlich-rechtliche Vereinbarung zur Regelung der Zusammenarbeit auf verschiedenen Gebieten geschlossen; dazu gehört auch die gemeinsame Datenschutzaufsicht. In der Sache ändert sich für das Katholische Datenschutzzentrum Dortmund dadurch nichts. Während bei den anderen genannten Bereichen der Zusammenarbeit – von der Rundfunkmedienarbeit bis zur Polizeiseelsorge – in den jeweiligen Abschnitten »vereinbart« wird, »dass diese Tätigkeit eine öffentliche Aufgabe ist und daher zwingend von einer juristischen Person des öffentlichen Rechts zu erbringen ist«, wird das (nur) bei der Datenschutzaufsicht anders formuliert: »Gemäß Art. 91 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 i.V.m. §§ 42 ff. der jeweiligen bischöflichen Gesetze über den Kirchlichen Datenschutz (KDG) ist diese Tätigkeit eine öffentliche Aufgabe und daher zwingend von einer juristischen Person des öffentlichen Rechts zu erbringen.« Das überrascht: Art. 91 Abs. 2 DSGVO regelt spezifische Aufsichtsbehörden, ohne ihre Tätigkeit als »öffentliche Aufgabe« zu definieren. Sie müssen lediglich die Anforderungen aus Kapitel VI DSGVO erfüllen. Dort ist zwar von »Behörden« die Rede, nicht aber von bestimmten Rechtsformen, die Aufsicht wird auch dort nicht als »öffentliche Aufgabe« bezeichnet. Das KDG regelt nichts zur Rechtsform und spricht nicht von »öffentlicher Aufgabe«, und auch in der Kommentarliteratur findet sich dieses angeblich zwingende Erfordernis nicht. Die Praxis spricht auch dagegen: Lediglich in NRW und im Südwesten sind die kirchlichen Aufsichten als KdÖR verfasst (in Bayern und im Norden ist es geplant), alle anderen kirchlichen Datenschutzaufsichten, katholische wie evangelische (und erst recht freikirchliche) haben keine öffentlich-rechtliche Rechtsform. Es spricht also einiges dafür, dass das Rechtsformerfordernis für das KDSZ Dortmund nicht aus zwingenden rechtlichen Gründen, sondern wie bei den anderen Feldern aus der Vereinbarung selbst erwächst.
Der aktuelle »Kanon des Monats« des Würzburger Kirchenrechtlers Martin Rehak widmet sich Benedikt XVI. Darin findet sich auch ein Überblick über sein kirchenrechtliches Wirken. Hier einschlägige Themen spielen dabei fast keine Rolle – nur ein Dekret aus der Zeit Ratzingers als Präfekt der Glaubenskongregation verschärft den Persönlichkeitsrechteschutz bei der Beichte: Die Exkommunikation als Tatstrafe zieht sich zu, wer »mittels irgendeines technischen Gerätes selbst aufnimmt oder durch andere aufnehmen lässt, was bei einer (echten oder simulierten) Beichte vom Beichtvater oder vom Pönitenten gesagt wird. Ebenfalls zieht sich jeder die Exkommunikation als Tatstrafe zu, der solche Aufnahmen durch die sozialen Kommunikationsmittel verbreitet«.
Gerade noch rechtzeitig vor Weihnachten kommt der letzte Tätigkeitsbericht des Jahres – das KDSZ Dortmund hat sich bis in den Dezember damit Zeit gelassen, über das Jahr 2021 zu berichten. Aus dieser Distanz wirken die großen Themen des Vorjahres schon sehr weit weg – wie stark Corona noch das letzte Jahr geprägt hat, hat man gar nicht mehr präsent.
Auch in Nordrhein-Westfalen waren einige Regionen von der Flut betroffen, wenn auch nicht so stark wie in Rheinland-Pfalz: Der Tätigkeitsbericht der Südwest-Aufsicht war massiv von diesem Thema und eindrücklichen Katastrophenschilderungen geprägt; in NRW ist es nur ein Thema unter mehreren.
WeiterlesenDas KDSZ Dortmund blickt mit einer Veröffentlichung auf die ersten fünf Jahre seines Bestehens zurück: »Kirchlicher Datenschutz – gewachsener Baustein kirchlicher Selbstverwaltung« heißt der im Selbstverlag online veröffentlichte Band anlässlich des Geburtstages, der schon am 1. September 2021 gefeiert wurde.
Auf 120 Seiten gibt es Betrachtungen aus Kanonistik und Staatskirchenrecht, eine kompakte Rechtsgeschichte des kirchlichen Datenschutzes sowie einen Blick in die Praxis von Aufsicht, Gerichten und betrieblichem Datenschutz.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Seit Donnerstag tagt die Synode der Nordkirche. Auf der Tagesordnung steht auch ein »Kirchengesetz über die Durchführung von Sitzungen und die Beschlussfassung kirchlicher Gremien auch mittels Videokonferenzen (Videokonferenzengesetz − VidKoG)«: eine allgemeine Rechtsgrundlage, nicht nur für Seuchenzeiten. Neben den erwartbaren datenschutzrechtlichen Bestimmungen (in der Regel keine Aufzeichnung, Vertraulichkeit beachten, Anbieter müssen europäische Datenschutzstandards einhalten, § 3) und überraschenden Regelungen (implizit gibt es eine grundsätzliche Pflicht, mit Video teilzunehmen, § 7 Abs. 2) wird in der Begründung auch auf öffentliche Sitzungen eingegangen. Dort wird zwar betont, dass es für ein öffentlich zugängliches Streaming grundsätzlich die »Zustimmung« aller Betroffenen brauche, andere Rechtsgrundlagen seien aber zulässig. Und die werden nicht übermäßig hoch gehängt: »Nach Auskunft des örtlichen DS-Beauftragten und des DS-Referenten der EKD ist eine Regelung in der Geschäftsordnung als ausreichende Rechtsgrundlage anzusehen.« (Die Streaming-Rechtsgrundlage § 53 DSG-EKD wird anscheinend nicht für einschlägig gehalten.)
Erst kommt die Exchange-Lücke, und dann auch noch die Aufsicht: Das KDSZ Dortmund berichtet über eine Prüfung anlässlich der im Frühjahr festgestellten Sicherheitslücke im Microsoft-Exchange-Server. Haben die geprüften Einrichtungen rechtzeitig Patches eingespielt? Der Bericht ist aufschlussreich und erfreulich. Aufschlussreich, weil die Aufsicht ihren Prüfprozess grob dokumentiert und erkennen lässt, dass im Haus genügend Expertise ist, um technische Prüfungen durchzuführen: »In einem ersten Schritt wurden durch das Katholische Datenschutzzentrum die öffentlich verfügbaren Informationen der E-Mail-Server der Einrichtungen abgefragt. So konnte auch erkannt werden, ob die Sicherheitslücke noch besteht.« Und erfreulich, weil es keine Beanstandungen gegeben hat: »Die Antworten der angeschriebenen Einrichtungen zeigten durchweg ein angemessenes und professionelles Verhalten der Verantwortlichen.«
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Frage, ob Beschäftigte von ihren Arbeitgeber*innen nach dem Impfstatus gefragt werden dürfen, beherrscht diese Woche die Pandemie-Diskussion. Gegenüber dem ZDF hat sich dazu auch Theologe und Ethikratsmitglied Andreas Lob-Hüdepohl geäußert: »Der Datenschutz ist ein wichtiges Gut, allerdings werden die Daten nicht um ihrer selber geschützt, sondern sie dienen der Persönlichkeitssphäre der betroffenen Mitarbeiterinnen und Mitarbeiter, von daher muss man tatsächlich in dieser Situation eine Güterabwägung vornehmen, nämlich zwischen dem Gut der geschützten Daten um des Persönlichkeitsschutzes willen, oder aber das Wissen um bestimmte Daten, in diesem Fall Gesundheitsdaten, auch um Personen zu schützen, nämlich im Betrieb, von daher ist das grundsätzlich anzudenken und möglicherweise sogar erforderlich.« Lob-Hüdepohl betont dabei die ethische Notwendigkeit einer rechtlichen Regelung: »denn nur was gesetzlich geregelt ist, dagegen kann ich mich gegebenenfalls auch wehren, das ist ein Rechtsstaatsprinzip«, so der Berliner Theologe.
Das Katholische Datenschutzzentrum Dortmund feiert sein fünfjähriges Jubiläum und die Bestätigung von Steffen Pau als Diözesandatenschutzbeauftragter auf fünf weitere Jahre. (Amtsblatt- und Artikel-91-Leser*innen wussten das schon.) In der Meldung hebt das Datenschutzzentrum seine organisatorische Vorreiterrolle hervor, die die Errichtung als KdÖR darstellte: »In der Folge entstand für die südwestlichen (Erz-)Bistümer in Deutschland das „Katholische Datenschutzzentrum Frankfurt am Main“ (KdöR). Auch die Freisinger Bischofskonferenz plant zur Unterstützung des gemeinsamen Diözesandatenschutzbeauftragten der bayerischen (Erz-)Bistümer ein „kirchliches Datenschutzzentrum“ in Nürnberg zu errichten.« Wann das der Fall sein wird, ist trotz vieler Nachfragen bei der Pressestelle der Freisinger Bischofskonferenz noch nicht zu erfahren.
Im Würzburger »Kanon des Monats« geht es im September um die bischöflichen Geheimarchive. Jessica Scheiper, die das Thema bereits vor einigen Wochen bei Feinschwarz angesprochen hatte, legt jetzt noch einige kanonistische Details nach. Dazu gehört auch der Verweis auf can. 490 § 3 CIC: »Aus dem Geheimarchiv bzw. Geheimschrank dürfen keine Dokumente herausgegeben werden.« Das hat auch für die Betroffenenrechte des Datenschutzrechts erhebliche Auswirkungen: Das Universalkirchenrecht ist höherrangiges Recht als das KDG und geht damit den datenschutzrechtlichen Auskunftsrechten vor. Da im Geheimarchiv unter anderem »Akten der Strafsachen in Sittlichkeitsverfahren« gelagert werden, hebelt das insbesondere die Rechte von Betroffenen sexualisierter Gewalt aus.