Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Beim Katholikentag habe ich den Stand der kirchlichen Datenschutzaufsichten besucht und die Gelegenheit genutzt, über aktuelle Entwicklungen bei den Aufsichten zu sprechen – allzu viel kann ich aus dem Hintergrundgespräch nicht ausplaudern. Vielleicht nur so viel: Auch die kirchlichen Aufsichten schauen gespannt darauf, wann der Bundesdatenschutzbeauftragte seine Ankündigung in die Tat umsetzt und Maßnahmen gegen Facebook-Fanseiten von Bundesbehörden ergreift. Dann wurde ich noch gefragt, was ich für Veröffentlichungen der Aufsichten sinnvoll fände. Mein Wunschzettel: Arbeitshilfen zu gemeinsamer Verantwortlichkeit und kirchlichem Interesse. Da der Stand sehr zentral am Anfang der Kirchenmeile gelegen war, bin ich im Laufe der Tage immer wieder vorbeigelaufen: Nicht überfüllt, aber doch stets besucht. Mein Eindruck ist, dass diese Form der Öffentlichkeitsarbeit nicht nur den beruflich unmittelbar mit Datenschutz Befassten hilft (von denen einige da waren, wie mir berichtet wurde), sondern auch dazu beiträgt, das Thema Datenschutz durch unkomplizierte Kontakte etwas zu entdramatisieren.
Gemeinsam mit der Bundeskonferenz der kirchlichen Archive in Deutschland hat das KDSZ Dortmund eine Handreichung zu kirchlichen Archiven veröffentlicht. Zielgruppe sind dabei nicht Menschen, die etwas aus kirchlichen Archiven herausholen wollen (dazu gab es hier Hinweise), sondern kirchliche Stellen, die etwas hineintun wollen oder müssen. Dafür und insbesondere für die dafür nötigen Prozesse gibt es Informationen und Checklisten. Derweil hat die Kollegin in Frankfurt die Arbeitshilfen zu Online-Meeting-Tools und Microsoft 365 auf den aktuellen Stand gebracht. Keine Überraschung: Beides immer noch schwierig.
Die aktuelle Ausgabe der Zeitschrift für die Praxis der Mitarbeitervertretung (ZMV) hat mit zwei Artikeln einen Schwerpunkt zum Beschäftigtendatenschutz. Paul Tophof befasst sich mit »Grenzen des Beschäftigtendatenschutzes bei internen Ermittlungen«; grundsätzlich ein hilfreicher Beitrag, allerdings ist etwas unklar, warum Tophof hier kirchliches Sondergut in den Normen zum Beschäftigtendatenschutz ausmacht, obwohl die entsprechende Formulierung weitgehend aus § 26 BDSG entnommen ist. Matthias Ullrich befasst sich mit »Betriebsrat und MAV als Teil des datenschutzrechtlich Verantwortlichen« und kommt darin zum selben Schluss wie in seinem Buch zum kirchlichen Beschäftigtendatenschutz: Es sei »erforderlich, dass die Interessenvertretungen für die Verarbeitung personenbezogener Daten in ihrem Wirkungskreis ein rechtkonformes Verfahren etablieren und dieses dem Arbeitgeber offenlegen«.
Diese Woche ist der Tätigkeitsbericht des Landesdatenschutzbeauftragten von Mecklenburg-Vorpommern erschienen. Ohne Fälle mit kirchlichem Bezug, aber mit dem Stichwort »Nordkirche« im Index. Grund dafür ist eine Kooperation mit der Nordkirche bei den Tagen ethischer Orientierung für die Klassenstufen 5 und 6 unter dem Titel »Mein Klick, meine Verantwortung?!«. Auch die niedersächsische Datenschutzaufsicht hat ihren Tätigkeitsbericht veröffentlicht. Anders als im letzten Jahr gibt es aber keine Angaben zum Fortschritt des Konflikts mit der SELK.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Übertragung der Datenschutzaufsicht der Nordkirche an die EKD nimmt Gestalt an: Zum 1. Januar ist der BfD EKD Michael Jacob bereits zum stellvertretenden Beauftragten für die Nordkirche benannt worden; damit vertreten sich die beiden Beauftragten nun wechselweise. Ebenfalls zum 1. Januar übernahm der BfD EKD die Zuständigkeit für die diakonischen Einrichtungen der Nordkirche, der Rest folgt am 1. Oktober 2023.
Ebenfalls zum 1. Januar ist die Personalaktenordnung der Deutschen Bischofskonferenz in Kraft getreten. Der Würzburger Kirchenrechtler Martin Rehak hat das zum Anlass genommen, die Ordnung in seiner Kolumne »Kanon des Monats« zu besprechen. Dabei weist er auf die auch hier schon angesprochen Spannungen zur universalkirchenrechtlichen Geheimarchivierungspflicht hin und sieht Handlungsbedarf: »Vom kanonistischen Standpunkt besehen wäre es an dieser Stelle wünschenswert, wenn die Deutsche Bischofskonferenz nicht nur Normsetzungen veranlasst, die zu höherrangigem Recht augenscheinlich in Spannung stehen, sondern der deutsche Episkopat selbst an höherer Stelle eine klärende Debatte über das rechtspolitische Für und Wider der bischöflichen Geheimarchive als solcher anstieße.«
Die Konferenz der Diözesandatenschutzbeauftragten hat den Leiter des Katholischen Datenschutzzentrums Dortmund Steffen Pau für 2022 zu ihrem Sprecher gewählt. Das war er zuletzt 2019 – es geht also nicht reihum. Turnusgemäß wäre eigentlich der bayerische DDSB Jupp Joachimski an der Reihe gewesen, der zuletzt 2017 Sprecher war. Aber anscheinend hat man zumindest in der katholischen Datenschutzkonferenz die Hoffnung, dass er dieses Jahr in den Ruhestand darf. Würde das Amt systematisch rotieren, wäre der Nord-Beauftragte Mündelein Sprecher geworden (zuletzt 2018) – dessen wohl letzte Amtszeit endet 2024, er könnte also durchaus noch einmal zum Zuge kommen.
Die Sisters of St. Joseph of Peace haben sich Microsoft vorgenommen. Auf der Hauptversammlung brachte Schwester Susan Francois zwei Anträge ein, mit denen der Lobbyismus des Unternehmens mit Blick auf Menschenrechte, antirassistische Werte und Datenschutz kontrolliert und der Verkauf von Gesichtserkennungstechnologie an Behörden verhindert werden sollte. „Als Aktionäre, als Beschäftigte in der Technologiebranche und als Kämpfer für Gerechtigkeit können und müssen wir diese Unternehmen zur Verantwortung ziehen“, erläuterte die Schwester in einem Kampagnenvideo: „Neue Innovationen sollten die Menschenwürde und eine faire und gerechte Gesellschaft unterstützen und nicht die Spaltung und Diskriminierung verstärken.“ Beide Anträge scheiterten.
Ist die Situation des Datenschutzes in der Nordkirche im Großen und Ganzen in Ordnung? »Ich konnte das nicht bestätigen, sondern muss auf die Gefahren des oftmals nicht ausreichenden Datenschutzes und IT-Sicherheitsschutzes für die Betroffenen und unsere Kirche hinweisen«, berichtet der Beauftragte für den Datenschutz der Nordkirche in seinem nun vollständig vorliegenden Tätigkeitsbericht für den Zeitraum ab September 2019 von der Aussprache bei der Landessynode.
Ganz so schlimm ist es dann aber mit Blick auf den Bericht nicht. Jedenfalls nicht schlimmer als in anderen Landeskirchen und Bistümern – und von schlimmeren Aufsichtsmaßnahmen als Beanstandungen ist auch nicht die Rede.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Das alt-katholische Bistum kann aufatmen: Die nordrhein-westfälische Datenschutzaufsicht verzichtet erst einmal darauf, das eigene Datenschutzrecht und seine Überwachung bei den Alt-Katholik*innen anzuzweifeln. »Zur Alt-Katholischen Kirche lassen wir unsere Prüfung bis auf Weiteres ruhen, da wir keinen aktuellen Anlass haben, unsere Zuständigkeit insoweit zu prüfen«, hieß es auf Anfrage – dass in NRW die alt-katholische und die neu-apostolische Kirche überprüft werden, ist seit den Recherchen hier vor einem Jahr bekannt. Nicht so rosig sieht es bei den Neu-Apostoliker*innen aus: Hier gibt es ein Ergebnis, das die NRW-Aufsicht aber erst noch mit den anderen Aufsichtsbehörden abstimmen will. Angesichts der sehr eigenwilligen und eher nicht umfassenden Datenschutzrichtlinie der Gemeinschaft dürfte das Ergebnis eher negativ ausfallen. Zu einer ähnlichen Prüfung in Berlin (wohl die Zeugen Jehovas, wie auch in Hessen) und Niedersachsen (recht sicher die Selbständige Evangelisch-Lutherische Kirche) gab es auf Anfrage bei den zuständigen Behörden keine Neuigkeiten.
Nach Redaktionsschluss in der letzten Woche hat am vergangenen Freitag die Synode des alt-katholischen Bistums wie angekündigt über eine Änderung seiner KDO abgestimmt: eine recht weitreichende Rechtsgrundlage zur Veröffentlichung von Kontaktdaten von Haupt- und Ehrenamtlichen. Dem Plädoyer von Generalvikarin und Synodalanwalt folgend – zu weitreichend, gerade mit Blick auf private Kontaktdaten; nicht nötig, da dienstliche Kontaktdaten schon jetzt veröffentlicht werden können – wurde der Antrag mit großer Mehrheit abgelehnt, nur etwa ein Drittel der Synodalen stimmte zu. Synodalität funktioniert: Auch wenn’s praktisch wäre, wurde eine weitreichende Regelung verhindert, die das Datenschutzniveau deutlich geschwächt hätte. Die Diskussion, in der einiges durcheinander ging (so schien nicht allen klar zu sein, dass das Bistum eine eigene spezifische Aufsicht hat, und dass es mit dieser Rechtsgrundlage keine Einwilligung der Betroffenen mehr brauchen würde), zeigte aber auch: Eigentlich ist die Materie zu komplex, als dass sich eine Religionsgemeinschaft (größere und größte eingeschlossen) so etwas ans Bein binden sollte.
Datenschutz wird auch zunehmend im Kirchenrecht Thema. Wie schon im vergangenen Jahr gab es auf der Tagung »De Processibus Matrimonialibus« einen einschlägigen Vortrag, dieses Mal von der Salzburger Ordinariatskanzlerin Elisabeth Kandler-Mayr über »Verfahren an kirchlichen Gerichten und der erforderliche Schutz von Daten«. Dabei ging es vor allem um Aspekte des Persönlichkeitsschutzes im kirchlichen Eheprozessrecht – das ist recht speziell, und da die Vorträge in der gleichnamigen Zeitschrift als Open Access publiziert werden, soll es darum hier auch nicht gehen. Von allgemeinem Interesse war der Einblick in das österreichische kirchliche Datenschutzrecht. Anders als in Deutschland gibt es in Österreich kein eigenes Datenschutzgesetze, sondern nur ein Decretum Generale der Bischofskonferenz, das spezielle Aspekte regelt, ansonsten unterfällt auch die Kirche der DSGVO und der staatlichen Datenschutzaufsicht. Bemerkenswert ist, dass das Datenschutzdekret dennoch auf Art. 91 DSGVO verweist und in Anspruch nimmt, diesen umzusetzen. Das vertrat auch Kandler-Mayr. Die Kirche habe ihre Möglichkeiten aus der DSGVO genutzt: kirchliche Regeln könnten weiter angewandt werden, wenn sie mit EU-Recht in Einklang gebracht werden können. Anscheinend wird hier eine deutlich andere Lesart praktiziert als in Deutschland, wo es in der Literatur und in der Praxis Konsens ist, dass ein eigenes Datenschutzrecht dem Wortlaut von Art. 91 DSGVO entsprechend auch »umfassend« sein muss. Ob diese Frage überhaupt praxisrelevant ist, steht auf einem anderen Blatt: Hauptziel des Decretum Generale sei es, die geltende Rechtslage festzuzurren, dass die Kirche auch im Datenschutz als öffentlich-rechtliche Körperschaft behandelt wird – und so etwa von Bußgeldern ausgenommen wird.
Das Erzbistum Freiburg stellt nun wie andere Diözesen zuvor sein Amtsblatt auf eine volldigitale Form um, nachdem es schon seit Jahren zusätzlich digital verfügbar ist. Künftig entfällt damit die Pflicht, das Amtsblatt im Pfarrbüro zu sammeln, außerdem ist eine bessere Suche angekündigt. Erfreulich: Auch eine digitale Rechtssammlung und ein Newsletter zum Amtsblatt sind angekündigt. Bisher wird das Freiburger Diözesanrecht in der Loseblattsammlung Dallinger/Jurina gesammelt. Weiterhin keine Bewegung gibt es in den Bistümern Aachen, Augsburg, Bamberg, Eichstätt, Erfurt, Mainz, München und Freising sowie der Katholischen Militärseelsorge – da bleibt das Amtsblatt aus dem Netz.
Die EKD-Datenschutzaufsicht konsolidiert sich weiter: Die 12. Tagung der Landessynode der Nordkirche hat am Donnerstag in erster Lesung einstimmig ein »Kirchengesetz zur Übertragung der Datenschutzaufsicht« an den BfD EKD beschlossen; die endgültige Verabschiedung bei der zweiten Lesung am Samstag dürfte damit nur noch eine Formalität sein. Die Argumente waren für die Synodalen schlagend: eine schlankere und günstigere Verwaltung, dazu Synergieeffekte, die eine angemessene Beaufsichtigung vor allem der diakonischen Einrichtungen ermöglicht. Redebedarf in der Aussprache gab es nicht.
Dass es solche Bestrebungen gibt, war bekannt – im jüngsten Tätigkeitsbericht des BfD EKD hieß es, dass »weitere Gliedkirchen und diakonische Landesverbände« Interesse haben, die Datenschutzaufsicht »in absehbarer Zeit« auf die EKD zu übertragen. Bisher war das lediglich von der Landeskirche der Pfalz bekannt, wo es ebenfalls im Tätigkeitsbericht angekündigt wurde. Noch im Juni hatte die Pressestelle der Nordkirche auf Anfrage mitgeteilt, es gebe »aktuell […] in der Nordkirche keine konkreten Pläne, die Datenschutzaufsicht auf die EKD zu übertragen« – was nicht der Wahrheit entsprach, wie aus dem Synodenantrag nun hervorging.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Es ist Synodensaison – und Datenschutz steht auf der Tagesordnung. Bei der EKD-Synode Anfang der Woche nur unter »ferner liefen«: Die hier schon besprochene Änderung des DSG-EKD zur institutionellen Missbrauchsprävention, die als gesetzesvertretende Ordnung erlassen wurde, musste noch von der eigentlichen Gesetzgeberin beraten werden – die hat das allerdings ohne Debatte zur Sache in den Rechtsausschuss überwiesen, der hat weder Änderung noch Aufhebung vorgeschlagen, ohne Antrag auf Änderung oder Aufhebung ist die Änderung damit dauerhaft. Bei der gerade tagenden Synode des Alt-Katholischen Bistums steht eine Änderung der Kirchlichen Datenschutzordnung auf der Tagesordnung (Antrag 18) – laut Zeitplan heute nachmittag, inhaltlich ging es hier schon einmal darum. In der kommenden Woche tagt dann die Synode der Nordkirche – hier legt der Beauftragte für den Datenschutz seinen Bericht vor, und die Synodalen haben über ein »Kirchengesetz zur Übertragung der Datenschutzaufsicht« zu beraten. Um was es darum geht (soll die Aufsicht an die EKD übergehen?), ist noch nicht bekannt.
Die Curacon hat auf ihrem YouTube-Channel den Krankenhausseelsorger des Sendenhorster St.-Josef-Stifts zu Seelsorgekonzepten mit Blick auf den Patient*innen-Datenschutz interviewt. Das Gespräch ist sehr erhellend für das Verständnis des Seelsorge-PatDSG und seinem Begriff der implementierten Seelsorge, indem dort die Veränderung der Krankenhausseelsorge dargestellt wird: Von einer reinen Sakramentenpastoral über eine gesprächsorientierte Pastoral hin zu systemorientierter Spiritual Care, bei der Seelsorgende ins Behandlungskonzept eingebunden werden – und wie das transparent in Verfahren und Behandlungsverträgen abgebildet sein muss.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Am Monatsanfang häufen sich die neuen Amtsblätter. Datenschutzrelevant waren mehrere Veröffentlichungen, allem voran die Personalaktenordnung, die zuerst vom Bistum Limburg veröffentlicht und hier schon besprochen wurde. Außerdem: Die Nordkirche hat ihr Videokonferenzgesetz im Amtsblatt verkündet, damit ist es in Kraft. Es entspricht der auf der Synode eingebrachten Fassung, die Anmerkungen zur Entwurfsfassung treffen also immer noch zu. Das Bistum Essen hat in einem Dekret über die Veröffentlichung des Kirchlichen Amtsblatts neben der mittlerweile in vielen Bistümern üblichen Regelung, dass das Amtsblatt digital first und nur noch in zwei Papierausgaben fürs Archiv erscheint, auch eine Rechtsgrundlage für die Veröffentlichung personenbezogener Daten von Amtsträger*innen und Beauftragten im Amtsblatt »zum Zwecke kirchenamtlich öffentlicher Bekanntgabe der legitimen Ausübung bzw. Wahrnehmung von Ämtern und Diensten sowie sonstigen Befugnissen in der Kirche« geschaffen.
Fleißig waren auch die Verantwortlichen für das Kirchliche Datenschutzmodell: Zwei neue Bausteine sind verfügbar, nämlich Nr. 43 Protokollieren und Nr. 61 Berichtigen. Außerdem: Ganz so versteinert wie befürchtet ist das Grunddokument nicht. Immerhin Fehlerkorrekturen wurden jetzt vorgenommen. Im Vorbild, dem Standard-Datenschutzmodell, hat sich auch etwas getan: Der Baustein 51 »Zugriffe auf Daten, Systeme und Prozesse regeln« wurde beschlossen und veröffentlicht.
In zwei Wochen tagt die Landessynode der Nordkirche. Die Tagesordnung ist schon online. Angekündigt ist nicht nur der Bericht des Datenschutzbeauftragten (der dann den Reigen der Großen für dieses Jahr vollständig macht). Abgestimmt wird auch über ein Kirchengesetz zur Übertragung der Datenschutzaufsicht (Datenschutzübertragungsgesetz – DSÜG). Gibt die Nordkirche ihre eigene Datenschutzaufsicht auf und schließt sich der EKD an? Schon bisher arbeiten die beiden Aufsichten besonders eng zusammen, der Nord-Beauftragte ist zugleich stellvertretender EKD-Beauftragter. Bisher war nur von der Aufsicht der Landeskirche der Pfalz bekannt, dass sie auch unters Dach des BfD EKD will.
Im Zuge der Beschäftigung mit dem Datenschutzrecht der Italienischen Bischofskonferenz habe ich nachgefragt, ob die eigentlich für dieses Jahr geplante Evaluierung schon stattgefunden habe – in Italien ist es auch nicht anders als in Deutschland: »Aufgrund der Notlage wurde die Überprüfung nach drei Jahren noch nicht durchgeführt«, heißt es diese Woche aus Rom.
Ein Veranstaltungshinweis in eigener Sache: Am Samstag, 13. November, findet die Tagung »Kirche digital in der Diözese Rottenburg-Stuttgart« statt. Um 14.30 Uhr gibt es dabei von mir eine praxisorientierte Einheit zum Thema »Datenschutz und Bildrechte«. Die Anmeldung ist offiziell noch bis heute möglich, die Teilnahme kostenlos.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Seit Donnerstag tagt die Synode der Nordkirche. Auf der Tagesordnung steht auch ein »Kirchengesetz über die Durchführung von Sitzungen und die Beschlussfassung kirchlicher Gremien auch mittels Videokonferenzen (Videokonferenzengesetz − VidKoG)«: eine allgemeine Rechtsgrundlage, nicht nur für Seuchenzeiten. Neben den erwartbaren datenschutzrechtlichen Bestimmungen (in der Regel keine Aufzeichnung, Vertraulichkeit beachten, Anbieter müssen europäische Datenschutzstandards einhalten, § 3) und überraschenden Regelungen (implizit gibt es eine grundsätzliche Pflicht, mit Video teilzunehmen, § 7 Abs. 2) wird in der Begründung auch auf öffentliche Sitzungen eingegangen. Dort wird zwar betont, dass es für ein öffentlich zugängliches Streaming grundsätzlich die »Zustimmung« aller Betroffenen brauche, andere Rechtsgrundlagen seien aber zulässig. Und die werden nicht übermäßig hoch gehängt: »Nach Auskunft des örtlichen DS-Beauftragten und des DS-Referenten der EKD ist eine Regelung in der Geschäftsordnung als ausreichende Rechtsgrundlage anzusehen.« (Die Streaming-Rechtsgrundlage § 53 DSG-EKD wird anscheinend nicht für einschlägig gehalten.)
Erst kommt die Exchange-Lücke, und dann auch noch die Aufsicht: Das KDSZ Dortmund berichtet über eine Prüfung anlässlich der im Frühjahr festgestellten Sicherheitslücke im Microsoft-Exchange-Server. Haben die geprüften Einrichtungen rechtzeitig Patches eingespielt? Der Bericht ist aufschlussreich und erfreulich. Aufschlussreich, weil die Aufsicht ihren Prüfprozess grob dokumentiert und erkennen lässt, dass im Haus genügend Expertise ist, um technische Prüfungen durchzuführen: »In einem ersten Schritt wurden durch das Katholische Datenschutzzentrum die öffentlich verfügbaren Informationen der E-Mail-Server der Einrichtungen abgefragt. So konnte auch erkannt werden, ob die Sicherheitslücke noch besteht.« Und erfreulich, weil es keine Beanstandungen gegeben hat: »Die Antworten der angeschriebenen Einrichtungen zeigten durchweg ein angemessenes und professionelles Verhalten der Verantwortlichen.«