Schlagwort-Archive: Mitarbeitervertretung

Dran ist erstmal die verantwortliche Stelle – Wochenrückblick KW 4/2021

Das Blog des Landesjugendpfarramts der Oldenburgischen Landeskirche setzt kein Tracking ein – bewusst nicht. Warum, wird diese Woche im Blog erklärt. Damit werden Forderungen des Jugend- und Netzpolitischen Forums #FreiraumNetz umgesetzt: »Datenschutz und informationelle Selbstbestimmung müssen zu einem festen Bestandteil von politischer Jugendbildung und Jugendpolitik werden. Denn Jugendliche sind als aktive Nutzer*innen in besonderem Maße von staatlicher und kommerzieller Überwachung betroffen.«

Das Interdiözesane Datenschutzgericht hat eine weitere Entscheidung veröffentlicht. Nicht ganz so spektakulär wie die Frage nach dem Teilkirchenaustritt, dafür aber wichtige Rechtsfortbildung. »Werden personenbezogene Daten im Bereich einer juristischen Person verarbeitet, ist grundsätzlich die juristische Person als Rechtsträger der betroffenen Einrichtung oder des betroffenen Unternehmens Verantwortlicher und nicht die jeweils handelnde natürliche Person«, lautet der veröffentlichte Tenor der Entscheidung IDSG 01/2020. Grundsätzlich eine gute Nachricht für Beschäftigte: Dran ist erstmal die verantwortliche Stelle. Interessant ist dabei, wann es nach Ansicht des Gerichts anders sein könnte: »Auf Mitarbeiter des Rechtsträgers könnte ausnahmsweise abzustellen sein, wenn ein Mitarbeiter entgegen der Weisung des Rechtsträgers mit der Datenverarbeitung eigene Zwecke verfolgt (Mitarbeiterexzess) oder wenn ein Mitarbeiter auf Grund seiner besonderen rechtlichen Stellung unabhängig von Weisungen des Rechtsträgers – etwa als Betriebsrat, Mitarbeitervertretung oder Personalrat – ist« – die Frage nach der datenschutzrechtlichen Verantwortlichkeit der Mitarbeitervertretung ist im kirchlichen wie im säkularen Recht noch offen; hier scheint das Gericht eine gewisse Tendenz vorzuzeichnen.

Nach dem Interview hier im Blog mit eher speziellen Fragen zum Europarecht erschien ein allgemeinverständlicheres Interview mit Gernot Sydow, dem Münsteraner Europarechtler und Vorsitzenden des DBK-Datenschutzgerichts auch bei katholisch.de. Darin erläutert er noch einmal seine These von der Unzuständigkeit der EU für kirchlichen Datenschutz, die er bereits in seinem Kommentar vertreten hatte. Außerdem widerspricht er dem bayerischen Diözesandatenschutzbeauftragten, der die Meinung vertritt, kirchliches Datenschutzrecht müsse strenger sein als weltliches, stellt Anforderungen an kirchliche Gesetzgebung und plaudert auch ein wenig aus dem Nähkästchen, wie die kirchlichen Datenschutzgerichte arbeiten.

Gratulieren darf man Andreas Mündelein: Der Leiter der KDSA Nord wurde für weitere vier Jahre als Diözesandatenschutzbeauftragter bestellt.

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW33

Schrems II und das Aus für Privacy Shield beherrscht die Diskussion, langsam trudeln immer mehr Stellungnahmen, Einschätzungen und Strategien ein, fast alle großen kirchlichen Aufsichtsbehörden haben sich schon geäußert – hier im Blog wurden sie schon erwähnt.

Ein Aspekt wurde bisher nicht beleuchtet: Das katholische Gesetz über den kirchlichen Datenschutz ist in einem Punkt deutlich laxer formuliert als seine Pendants. In § 40 Abs. 2 lit. b KDG wird geregelt, dass Datenübertragungen in eine Drittland auch dann zulässig sind, wenn »der Verantwortliche oder der Auftragsverarbeiter nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, davon ausgehen kann, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.«

2018 kommentierte Alexander Golland das so (RDV 1/2018, S. 11): »Die Vorschrift unterläuft damit die Bewertungskompetenz, die der Europäischen Kommission bei Angemessenheitsentscheidungen sowie Standarddatenschutzklauseln und den Datenschutzaufsichtsbehörden hinsichtlich der genehmigungspflichtigen Garantien zusteht. Im Gegenzug erhält der Verantwortliche einen Beurteilungsspielraum, mit der Folge, dass er im Ergebnis selbst Angemessenheitsentscheidungen treffen kann.« Golland kommt zum Schluss, dass diese Regelung nicht mit der DSGVO in Einklang steht und damit unanwendbar ist – vielleicht taucht deshalb diese Norm bisher nicht explizit in den Stellungnahmen der katholischen Datenschutzaufsichten auf.

Aus der Rubrik dumm gelaufen: Ausgerechnet eine Online-Datenschutzschulung wird vom Kirchlichen Arbeitsgerichtshof als »technisches Überwachungssystem« bewertet. Im Urteil vom 25. Mai 2020 (KAGH M 20/19) geht es darum, ob die Schulung als Überwachungssystem eingestuft wird, obwohl nicht das Bistum bzw. die Pfarrei die erhobenen personenbezogenen Daten erhält, sondern nur die Betreiberfirma. Aus den Leitsätzen: es komme nicht darauf an, »ob der Dienstgeber selbst Zugriff auf die
erfassten Daten nehmen kann. Für das Eingreifen der Mitbestimmung reicht es
aus, dass der Dienstgeber die Entscheidung trifft, Informationen über das
Verhalten der Mitarbeiter durch eine zur Überwachung bestimmte technische
Einrichtung erfassen zu lassen«. Daher ist bei der Einführung dieser Online-Schulung die Mitarbeitervertretung zu beteiligen; die Maßnahme ist zustimmungspflichtig. (Beisitzerin auf der Dienstgeberseite war Ursula Becker-Rathmair, die Frankfurter Diözesandatenschutzbeauftragte.)

Weiterlesen