Das KDSZ Dortmund blickt mit einer Veröffentlichung auf die ersten fünf Jahre seines Bestehens zurück: »Kirchlicher Datenschutz – gewachsener Baustein kirchlicher Selbstverwaltung« heißt der im Selbstverlag online veröffentlichte Band anlässlich des Geburtstages, der schon am 1. September 2021 gefeiert wurde.
Auf 120 Seiten gibt es Betrachtungen aus Kanonistik und Staatskirchenrecht, eine kompakte Rechtsgeschichte des kirchlichen Datenschutzes sowie einen Blick in die Praxis von Aufsicht, Gerichten und betrieblichem Datenschutz.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Seit Donnerstag tagt die Synode der Nordkirche. Auf der Tagesordnung steht auch ein »Kirchengesetz über die Durchführung von Sitzungen und die Beschlussfassung kirchlicher Gremien auch mittels Videokonferenzen (Videokonferenzengesetz − VidKoG)«: eine allgemeine Rechtsgrundlage, nicht nur für Seuchenzeiten. Neben den erwartbaren datenschutzrechtlichen Bestimmungen (in der Regel keine Aufzeichnung, Vertraulichkeit beachten, Anbieter müssen europäische Datenschutzstandards einhalten, § 3) und überraschenden Regelungen (implizit gibt es eine grundsätzliche Pflicht, mit Video teilzunehmen, § 7 Abs. 2) wird in der Begründung auch auf öffentliche Sitzungen eingegangen. Dort wird zwar betont, dass es für ein öffentlich zugängliches Streaming grundsätzlich die »Zustimmung« aller Betroffenen brauche, andere Rechtsgrundlagen seien aber zulässig. Und die werden nicht übermäßig hoch gehängt: »Nach Auskunft des örtlichen DS-Beauftragten und des DS-Referenten der EKD ist eine Regelung in der Geschäftsordnung als ausreichende Rechtsgrundlage anzusehen.« (Die Streaming-Rechtsgrundlage § 53 DSG-EKD wird anscheinend nicht für einschlägig gehalten.)
Erst kommt die Exchange-Lücke, und dann auch noch die Aufsicht: Das KDSZ Dortmund berichtet über eine Prüfung anlässlich der im Frühjahr festgestellten Sicherheitslücke im Microsoft-Exchange-Server. Haben die geprüften Einrichtungen rechtzeitig Patches eingespielt? Der Bericht ist aufschlussreich und erfreulich. Aufschlussreich, weil die Aufsicht ihren Prüfprozess grob dokumentiert und erkennen lässt, dass im Haus genügend Expertise ist, um technische Prüfungen durchzuführen: »In einem ersten Schritt wurden durch das Katholische Datenschutzzentrum die öffentlich verfügbaren Informationen der E-Mail-Server der Einrichtungen abgefragt. So konnte auch erkannt werden, ob die Sicherheitslücke noch besteht.« Und erfreulich, weil es keine Beanstandungen gegeben hat: »Die Antworten der angeschriebenen Einrichtungen zeigten durchweg ein angemessenes und professionelles Verhalten der Verantwortlichen.«
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Frage, ob Beschäftigte von ihren Arbeitgeber*innen nach dem Impfstatus gefragt werden dürfen, beherrscht diese Woche die Pandemie-Diskussion. Gegenüber dem ZDF hat sich dazu auch Theologe und Ethikratsmitglied Andreas Lob-Hüdepohl geäußert: »Der Datenschutz ist ein wichtiges Gut, allerdings werden die Daten nicht um ihrer selber geschützt, sondern sie dienen der Persönlichkeitssphäre der betroffenen Mitarbeiterinnen und Mitarbeiter, von daher muss man tatsächlich in dieser Situation eine Güterabwägung vornehmen, nämlich zwischen dem Gut der geschützten Daten um des Persönlichkeitsschutzes willen, oder aber das Wissen um bestimmte Daten, in diesem Fall Gesundheitsdaten, auch um Personen zu schützen, nämlich im Betrieb, von daher ist das grundsätzlich anzudenken und möglicherweise sogar erforderlich.« Lob-Hüdepohl betont dabei die ethische Notwendigkeit einer rechtlichen Regelung: »denn nur was gesetzlich geregelt ist, dagegen kann ich mich gegebenenfalls auch wehren, das ist ein Rechtsstaatsprinzip«, so der Berliner Theologe.
Das Katholische Datenschutzzentrum Dortmund feiert sein fünfjähriges Jubiläum und die Bestätigung von Steffen Pau als Diözesandatenschutzbeauftragter auf fünf weitere Jahre. (Amtsblatt- und Artikel-91-Leser*innen wussten das schon.) In der Meldung hebt das Datenschutzzentrum seine organisatorische Vorreiterrolle hervor, die die Errichtung als KdÖR darstellte: »In der Folge entstand für die südwestlichen (Erz-)Bistümer in Deutschland das „Katholische Datenschutzzentrum Frankfurt am Main“ (KdöR). Auch die Freisinger Bischofskonferenz plant zur Unterstützung des gemeinsamen Diözesandatenschutzbeauftragten der bayerischen (Erz-)Bistümer ein „kirchliches Datenschutzzentrum“ in Nürnberg zu errichten.« Wann das der Fall sein wird, ist trotz vieler Nachfragen bei der Pressestelle der Freisinger Bischofskonferenz noch nicht zu erfahren.
Im Würzburger »Kanon des Monats« geht es im September um die bischöflichen Geheimarchive. Jessica Scheiper, die das Thema bereits vor einigen Wochen bei Feinschwarz angesprochen hatte, legt jetzt noch einige kanonistische Details nach. Dazu gehört auch der Verweis auf can. 490 § 3 CIC: »Aus dem Geheimarchiv bzw. Geheimschrank dürfen keine Dokumente herausgegeben werden.« Das hat auch für die Betroffenenrechte des Datenschutzrechts erhebliche Auswirkungen: Das Universalkirchenrecht ist höherrangiges Recht als das KDG und geht damit den datenschutzrechtlichen Auskunftsrechten vor. Da im Geheimarchiv unter anderem »Akten der Strafsachen in Sittlichkeitsverfahren« gelagert werden, hebelt das insbesondere die Rechte von Betroffenen sexualisierter Gewalt aus.
Das schönste Gesetz nutzt nichts, wenn es nicht auch umgesetzt wird. Beim Datenschutzrecht ist ein Faktor dabei die Leistungsfähigkeit der Aufsicht. Der Europäische Datenschutzausschuss EDPB hat daher die Aufsichtsbehörden der Staaten, in denen die DSGVO gilt, unter die Lupe genommen und ihre Ressourcenausstattung verglichen: »Overview on resources made available by Member States to the Data Protection Authorities and on enforcement actions by the Data Protection Authorities«. Aufgrund des Prinzips der federführenden Behörde (»one stop shop«) hat eine schlecht ausgestattete Aufsicht Auswirkungen auf alle – »a lack of resources in a supervisory authority competent to handle cross-border cases, can after all have tangible consequences for citizens across the EU«.
Nicht betrachtet wurde die Ausstattung der kirchlichen Aufsichtsbehörden, die (mindestens in Deutschland und Polen) einen beachtlichen Teil von Stellen beaufsichtigen, die oft mit besonders sensiblen Daten hantieren. Der von den Kirchen geforderte Einklang mit dem DSGVO-Datenschutzniveau steht und fällt dort, wo eigene Aufsichten eingerichtet werden, mit deren Ausstattung. Ein Blick in Tätigkeitsberichte und Kirchenhaushalte kann zumindest ein wenig Licht ins Dunkel bringen.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Schon letzte Woche ging es um die vom Kölner Missbrauchsgutachten offengelegte prekäre Verfassung des kirchlichen Rechts und seiner Anwendung. Dieses scheinbar randständige Thema scheint nun in die Debatte zu kommen. Ansgar Hense und Karl Schmiemann plädieren in Feinschwarz für eine bessere Qualität und mehr Reflexion insbesondere in der bischöflichen Gesetzgebung. Aufs Tapet kommt dabei auch das Öffentlichkeitsdefizit in der kirchlichen Gesetzgebung, die in Weiten Teilen noch eine bismarck’sche Wurstfabrik ist: »[Wie kommen] diözesane Gesetze überhaupt zustande […]? Wie werden Regelungsbedarfe, aber auch Normierungspflichten, festgestellt? Wer ist daran zu beteiligen und wie erfolgt die dazu notwendige Dokumentation, wie hoch ist der Grad der Publizität? Wie viel braucht es an kirchengesetzlicher Normierung oder noch besser, auch nicht?« Diese Fragen seien umso wichtiger, als da es neben dem Papst und den zuständigen kurialen Behörden keine unabhängige, wirksame Normenkontrolle gibt.
Der Tagungsband zum Symposium »Ein Jahr KDG« des Katholischen Datenschutzzentrums Dortmund ist jetzt auch komplett online verfügbar. Die Beiträge von Steffen Pau zur Tätigkeit der Aufsichten und Gernot Sydow zu der der neu eingerichteten Gerichte sind immer noch sehr lesenswerte Einführungen in das institutionelle Gefüge der kirchlichen Selbstverwaltung im Datenschutzrecht, auch wenn sich kritisch anmerken ließe, dass die dort immer wieder behauptete Regelung kirchenspezifischer Sachverhalte durch das Kirchengesetz in der Praxis, jedenfalls im KDG, nicht erkennbar ist. Bedenkenswert ist auch Sydows Plädoyer, einen Wildwuchs an verschiedenen Gerichten zu vermeiden und eine kirchliche Verwaltungsgerichtsbarkeit oder wenigstens eine dem Gemeinsamen Senat der Obersten Bundesgerichte vergleichbare Institution in Betracht zu ziehen. Der Band beginnt mit einer Einführung von Marcus Baumann-Gretza in die Geschichte des kirchlichen Datenschutzes bis zum KDG – inklusive dieser Beobachtung: »Man wird also als gesichert annehmen dürfen, dass es den Kirchen anfangs weniger darum ging, aus theologischer Reflektion zu agieren, sondern vielmehr in Reaktion auf die staatliche Gesetzgebung die Meldedatenübermittlung sicherzustellen« – und fragt sich: anfangs?
Und schließlich aus der Reihe »Laie staunt, Fachmann wundert sich«: Das Dortmunder Datenschutzzentrum hat jetzt einen Cookie-Hinweis und weist darauf hin, dass nur technisch notwendige Cookies gesetzt werden. Der Augenwinkel zuckt etwas, dass die zu betätigende Schaltfläche »Einverstanden« heißt, aber nun gut. Auf der Suche nach den angekündigten technisch notwendigen Cookies bin ich nur auf einen gestoßen: Nämlich »displayCookieConsent«. Inhalt nach dem Anlegen per Klick auf »Einverstanden«: »y«. k, wie die jungen Leute sagen.
Darf der Pfarrer eigentlich die Teilnahmelisten von Gottesdiensten, die für die Corona-Rückverfolgbarkeit angelegt werden, durchgehen und kontrollieren? Bis gestern hätten wohl die meisten gesagt: natürlich nicht! Und dann kam der jüngste veröffentlichte Beschluss des Interdiözesanen Datenschutzgerichts (IDSG):
Die Einsichtnahme in Gottesdienstbesucherlisten durch den leitenden Pfarrer zur Überprüfung der Vollständigkeit der Liste und der Einhaltung sowie Evaluierung des Coronaschutzkonzeptes ist durch § 6 Abs. 1 Buchstaben a und d KDG in Verbindung mit der Coronaschutzverordnung NRW gedeckt.
Der Beschluss geht sogar noch weiter. Nicht nur sei die Einsichtnahme zulässig – sie sei sogar erforderlich und notwendig, urteilen die Datenschutzrichter und widersprechen damit der zuständigen Datenschutzaufsicht, dem Katholischen Datenschutzzentrum Dortmund. Dort zeigt man sich »überrascht«: »Wir sind immer noch überzeugt, dass die Regelungen zur Erfassung der Kontaktdaten eine strenge Zweckbindung vorsehen und ein Einblick in die Listen nicht aus anderen Gründen möglich sein sollte«, sagte der Diözesandatenschutzbeauftragte Steffen Pau auf Anfrage.
Die Schonzeit ist vorbei. Das ist der Grundtenor im heute veröffentlichten Bericht des Diözesandatenschutzbeauftragten für die nordrhein-westfälischen Bistümer für 2019. Immer wieder wird darin betont, dass nach dem von Beratung und Information geprägten Jahr der KDG-Einführung 2018 die Regelungen des Gesetzes über den kirchlichen Datenschutzes ab 2019 von der Aufsicht scharf geschaltet werden.
Im Berichtszeitraum wurden erst im vierten Quartal Geldbußen verhängt – zweimal für das Offenlegen von Gesundheitsdaten, einmal für das Versäumnis, eine Datenpanne zu melden. Über die neue Härte bei der Aufsicht hinaus gibt es vieles, was sich schon in anderen Berichten abgezeichnet hat. Besonders interessant sind drei Informationen: Zur Familienforschung, zum Patient*innendatenschutz und zum Kirchlichen Datenschutz-Modell.