Schlagwort-Archive: Rechtsgrundlage

Der Grind mit Grindr – Wochenrückblick KW 29/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Keine Sommerpause in Sicht – erst veröffentlicht das Datenschutzgericht der DBK erstmals Entscheidungen, und während die noch warm sind, kommt der Tätigkeitsbericht der KDSA Nord für 2020. Für den Tätigkeitsbericht war noch keine Zeit – der Überblick folgt am Montag.

»The Pillar« hat eine Recherche zur angeblichen Nutzung der schwulen Dating-App Grindr durch den Generalsekretär der US-amerikanischen Bischofskonferenz veröffentlicht. Dazu wurden anscheinend auf dem Markt erhältliche Datensätze verwendet, aus denen geschlossen wird, dass der beschuldigte Priester die Dating-App regelmäßig verwendet hat. Was genau hier technisch passiert ist und ob es tatsächlich bei auf eindeutigen Geräte-IDs basierenden Datensätzen zu Marketingzwecken – so die Erläuterung von »The Pillar« – möglich ist, Daten so zu disaggregieren, dass aus Bewegungsprofilen auf einzelne Personen geschlossen werden kann, ist noch unklar. Grindr ist jedenfalls spätestens seit dem Millionenbußgeld Anfang des Jahres in Norwegen nicht unbedingt für seine Diskretion bekannt. Grindr selbst hat mir gegenüber dementiert, dass eine solche Analyse möglich sei. Den besten technischen Überblick in die Hintergründe gibt es bei Slate. (Gute Argumente, Marketing-Einwilligungen in Apps erst gar nicht zu erteilen.)

Die eigentliche Frage ist aber eher die nach der journalistischen Ethik: Sind solche investigativen Methoden und die anschließende Veröffentlichung dann, wenn es keine Hinweise auf nicht-konsensuelles Verhalten gibt, vertretbar? Erst recht, wenn raunend Verbindungen von Homosexualität zu sexualisierter Gewalt gegen Minderjährige aufgemacht werden. In einem sehr lesenswerten Kommentar (der auch den Datenschutzkanon anführt) bringt es David Millies auf den Punkt: »The Pillar has less gotten hold of a story than it has published an innuendo. And, the innuendo should worry us.«

Cookies bestätigen mit dem Button »Allzeit Bereit!«

Schönes Fundstück von Maria Herrmann – wenn’s allerdings nicht nur technisch notwendige Cookies sind, wäre ein weiterer Button für die Rechtskonformität hilfreich. »Nehmt Abschied, Cookies« vielleicht. Und wer ins Zeltlager fährt und nach dem Artikel hier vor einigen Tagen die Sache mit den Fotos nochmal vertiefen will, findet das bei den Datenschutz-Notizen.

Weiterlesen

DSG-EKD geändert: Rechtsgrundlage für Missbrauchsaufarbeitung

Erstmals seit Inkfrattreten wurde das Datenschutzgesetz der Evangelischen Kirche Deutschlands geändert. Wie die EKD in ihrem aktuellen Amtsblatt mitteilt, hat der Rat eine gesetzesvertretende Verordnung zur Änderung des DSG-EKD erlassen »zum Zwecke der institutionellen Aufarbeitung sexualisierter Gewalt«. Die größte Änderung betrifft einen neuen Paragraphen 50a, der eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten für die institutionelle Aufarbeitung sexualisierter Gewalt schafft.

Eine Hand vor einem Gesicht
(Bildquelle: Photo by Philipp Wüthrich on Unsplash)

Die Aufarbeitung wird mit einer neuen Definition in § 4 gefasst: »institutionelle Aufarbeitung sexualisierter Gewalt« ist der als Nr. 22 eingefügten Begriffsbestimmung zufolge »jede systematische, nicht auf den Einzelfall bezogene Untersuchung von Vorkommnissen sexualisierter Gewalt, insbesondere betreffend deren Ursachen, Rahmenbedingungen und Folgen«.

Weiterlesen

Windows-10-Schnelltest für Schüler*innen bei YouTube – Wochenrückblick KW 18/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Gleich zwei nützliche Handreichungen hat in dieser Woche die KDSA Ost veröffentlicht: Die »Mustervorlage freiwilliger Corona-Schnelltest« dürfte gerade in einigen Unternehmen benötigt werden. Interessant ist die dort angeführte Rechtsgrundlage: »§ 11 (2) lit. a KDG iVm. § 26 (2) BDSG«, also die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten in Verbindung mit den erhöhten Anforderungen an eine Einwilligung im Beschäftigungsverhältnis. Eine derartige Norm fehlt in § 53 KDG, die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses regelt. Dass man auch im kirchlichen Datenschutzrecht gut daran tut, Einwilligung im Beschäftigungskontext besonders streng zu ziehen, dürfte keine Überraschung sein. Dass dabei aber direkt auf eine BDSG-Norm verwiesen wird, ist neu und wirft die Frage auf, ob nach Ansicht der Aufsicht alle BDSG-Regelungen hilfsweise herangezogen werden können, wenn das KDG nichts regelt.

Mit Blick auf das näher rückende Schuljahresende ist die zweite Handreichung nützlich, bei der es um Leistungsnachweise per Video im Homeschooling geht. In fünf kompakten Punkten gibt es eine gut umsetzbare Hilfestellung – nur bei Punkt 3 ist fraglich, ob sich die Schüler*innen in der Sache wirklich sensibilisieren lassen wollen. Auch hier gibt es eine interessante Formulierung: So sei die Zustimmung von Eltern und Kindern nötig. »Diese Einverständniserklärung kann auch durch das schlüssige Handeln erfolgen, indem das Video aufgenommen und zur Bewertung zur Verfügung gestellt wird« – im folgenden Satz wird auch explizit von »Einwilligung« gesprochen – anscheinend wird hier einer der Fälle angenommen, in denen gemäß § 8 Abs. 2 KDG von der Schriftform aufgrund »besonderer Umstände« abgewichen werden kann. So einen Umgang mit der Einwilligung ist bisher nicht von Aufsichten bekannt – im Zweifelsfall würde man hier wohl lieber doch auf eine schriftliche Einwilligung nach den Regeln der Kunst zurückgreifen, schon weil die Einwilligung sowohl von Eltern wie von Schüler*innen konkludent eher schwer nachzuweisen ist.

Auch die Konferenz der Diözesandatenschutzbeauftragten hat gearbeitet: Für den Einsatz von Windows 10 gibt es technische Handreichungen, wie man das Betriebssystem datensparsam betreiben kann – die Frage, ob Windows 10 überhaupt rechtskonform eingesetzt werden kann, wird bewusst ausgeblendet.

In Altenberg und digital tagt gerade die BDKJ-Hauptversammlung. Im Bericht des Bundesvorstands des Dachverbands der katholischen Jugendverbände wird auch das Engagement für einen handhabbaren Datenschutz angesprochen: »Insbesondere während der Corona-Pandemie sind die benötigten digitalen Räume nicht ohne bewusste Verstöße gegen die geltenden Bestimmungen nutzbar. Auch die Erreichbarkeit der Zielgruppe ist über KDG-konforme Medien kaum gegeben. Der Bundesvorstand ist bemüht, die konkreten Veränderungs­bedarfe zu sammeln und in eine Novellierung der Gesetze einzubringen.« Über aktuelle Entwicklungen bei der KDG-Evaluierung haben diese Woche auch die Datenschutz-Notizen berichtet.

Bei Feinschwarz plädiert die Kirchenrechtlerin Jessica Scheiper für mehr Transparenz im kirchlichen Archivwesen – leider sieht das Kirchenrecht nämlich vor, dass Bischöfe Geheimarchive unterhalten. Zu viel Schutz von Daten (vor allem wenn er nicht dem Grundrechtsschutz, sondern dem Institutionenschutz dient), schadet: »Ein wichtiger Schritt in die richtige Richtung könnte daher sein, wenn die für die Geheimarchive zuständigen Diözesanbischöfe oder auch ganze Bischofskonferenzen um die päpstliche Dispens von der Pflicht zur Geheimarchivierung bitten würden.«

Weiterlesen

Rechtsgrundlage »Kirchliches Interesse« – wer, wann, wie?

Im Datenschutzrecht gilt das Prinzip des Verbots mit Erlaubnisvorbehalt – jede Verarbeitung braucht eine Rechtsgrundlage. Im kirchlichen Datenschutzrecht entsprechen diese Rechtsgrundlagen weitgehend denen der Datenschutzgrundverordnung. Aber eben nur weitgehend: Eine Abweichung ist die Rechtsgrundlage des »kirchlichen Interesses«. Das ist zwar dem aus der DSGVO bekannten »öffentlichen Interesse« nachgebildet – aber es gibt doch einige Unterschiede und viele Unklarheiten, weil weder im Gesetz noch durch Äußerungen der Gesetzgeber präzisiert wird, wer sich wann wie darauf berufen kann.

Carl Spitzweg: Mönch und Sennerin, Ausschnitt.
Kann sich nur der Abt eines öffentlich-rechtlich verfassten Klosters (rechts im Bild) auf die Rechtsgrundlage »kirchliches Interesse« für seine Datenverarbeitungen berufen, oder steht diese Rechtsgrundlage auch der Vorsitzenden der privatrechtlich organisierten kfd-Gruppe (links im Bild) zur Verfügung? (Symbolbild: Carl Spitzweg, Sennerin und Mönch (gemeinfrei/Foto: Immanuel Giel/Wikimedia Commons)
Weiterlesen

Rechtsgrundlage »Anderes Gesetz« – ein europarechtswidriges Fossil?

Die Rechtsgrundlagen der beiden großen kirchlichen Datenschutzgesetze beginnen mit einem Fossil: In der DSGVO sucht man vergeblich eine Norm, die eine Verarbeitung für rechtmäßig erklärt, wenn sie durch eine andere kirchliche oder staatliche Rechtsvorschrift erlaubt oder angeordnet wird (§ 6 Nr. 1 DSG-EKD und § 6 Abs. 1 lit. a) KDG). Ein Fossil ist dieser Rechtsgrund, weil er jeweils wortgleich aus den Vorgängergesetzen übernommen wurde (§ 3 DSG-EKD alt und § 3 Abs. 1 Nr. 1 KDO), die damit wiederum § 4 BDSG alt nachvollzogen haben.

Ein Verantwortlicher im Anwendungsbereich des Gesetzes über den kirchlichen Datenschutz auf der Suche nach einer anderen kirchlichen oder einer staatlichen Rechtsvorschrift. (Symbolbild, Bildquelle: Carl Spitzweg: Der Bücherwurm (Reproduktion: The Yorck Project/Wikimedia Commons))

Insbesondere katholische Gesetzgeber machen intensiv von dieser Rechtsgrundlage Gebrauch, etwa mit speziellen Gesetzen zu Patient*innen-Datenschutz und Fundraising, und in ökumenischer Eintracht mit Regelungen, die die Veröffentlichung von Personaldaten und -jubiläen in Amts- und Pfarrblättern erlauben. Aber ist das auch legal? Besteht da noch der von der DSGVO geforderte »Einklang« in den Wertungen?

Weiterlesen

Der erste KDG-Kommentar ist da – Rezension zu Sydow, Kirchliches Datenschutzrecht

Fast drei Jahre nach Inkrafttreten liegt endlich der erste Kommentar zum Gesetz über den kirchlichen Datenschutz (KDG) vor: »Kirchliches Datenschutzrecht. Datenschutzbestimmungen der katholischen Kirche«(Affiliate Link), herausgegeben von dem Münsteraner Professor für Europäisches Verwaltungsrecht Gernot Sydow, der zugleich Vorsitzender Richter des Datenschutzgerichts der Deutschen Bischofskonferenz ist.

Cover von Sydow: Kirchliches Datenschutzrecht

Auch wenn der Kommentar nur die Differenzen zur DSGVO erläutern will (schließlich sind die beiden Gesetze in großen Teilen identisch), kommt er auf fast 600 Seiten. Dass es eine erste Auflage ist, merkt man an einigen Stellen. Eine Pflichtanschaffung für alle mit dem katholischen Datenschutzrecht Befasste ist er trotzdem: Neben dem KDG wird auch dessen Durchführungsverordnung ausführlich sowie die Kirchliche Datenschutzgerichtsordnung (KDSGO) und das Datenschutzrecht der Orden (KDR-OG) zumindest überblicksweise behandelt; das erst im Herbst 2020 verabschiedete Gesetz über das Verwaltungsverfahren im kirchlichen Datenschutz (KDS-VwVfG) ist noch nicht berücksichtigt.

Weiterlesen

Fotos nach dem DSG-EKD – neue Handreichung des EKD-Datenschutzbeauftragten

Der Datenschutzbeauftragte der EKD hat am Mittwoch eine neue Handreichung zu »Datenschutz bei der Anfertigung und Veröffentlichung von Fotos« veröffentlicht. Angesichts seiner letzten Veröffentlichungen könnte man mit einer besonders strengen Auslegung rechnen – tatsächlich bewegt er sich dieses Mal im eher gemäßigten Bereich der Auslegung ohne große Überraschungen.

Eine Kameralinse im Dunkeln mit blauem Lensflare.
(Bild von Gerd Altmann auf Pixabay)
Weiterlesen

Kaiser Augustus, Roßnagel und Ronellenfitsch – Wochenrückblick KW 49

Im ersten Türchen des Adventskalenders der Datenschutz-Notizen ging es um die Volkszählung in der Weihnachtsgeschichte. Dort wird als Rechtsgrundlage »berechtigtes Interesse« angenommen. Der biblische Befund legt allerdings eine andere nahe: Aus Lk 2, 1 geht klar hervor, dass die Rechtsgrundlage für die Volkszählung nicht »berechtigtes Interesse«, sondern »Wahrnehmung einer Aufgabe« in öffentlichem Interesse oder Auftrag sein dürfte: »Es geschah […], dass Kaiser Augustus den Befehl erließ, den ganzen Erdkreis in Steuerlisten einzutragen.« Auch beliehene private Steuerlistenerhebende müssten sich darauf beziehen, für öffentliche Stellen steht das berechtigte Interesse ohnehin nicht zur Verfügung.

Übrigens sind schon im ersten Testament datenschutzrechtlich relevante Stellen zu finden – und mit der Strafe Gottes für Davids Volkszählung ist sogar eine aufsichtsbehördliche Maßnahme beschrieben.

In Hessen gibt es demnächst einen neuen Landesdatenschutzbeauftragten: Alexander Roßnagel soll Nachfolger von Michael Ronellenfitsch (sehr wohlwollend die FR, andere sehen das anders) werden. Für den kirchlichen Datenschutz könnte das interessant sein: Nicht nur allgemein, da Roßnagel die DSGVO sehr kritisch sieht und so die Datenschutzkonferenz aufmischen könnte, sondern auch mit Blick auf den Umgang mit dem Datenschutzrecht der Religionsgemeinschaften. Schon jetzt ist Hessen unter den Aufsichten, die Zweifel am Datenschutzrecht kleiner Gemeinschaften geäußert haben. Mit Roßnagel kommt nun der Autor der Studie zur Praxis der Zusammenarbeit von Finanzamt und Kirchensteuerstelle ins Amt. Die Studie wurde durch das Institut für Weltanschauungsrecht (ifw) der Giordano-Bruno-Stiftung beauftragt und kommt unter anderem zum Schluss, dass in Sachen Kirchensteuer kein kirchliches Datenschutzrecht anzuwenden sei, obwohl die Kirchensteuerstellen kirchliche Einrichtungen sind.

Weiterlesen

Personalität & Solidarität & Datenschutz – Wochenrückblick KW 48

Die Publizistische Kommission der Deutschen Bischofskonferenz hat Thesen beschlossen: »Digitalität und Künstliche Intelligenz: Technik im Dienst des Geist-begabten und Selbst-bewussten Menschen«. Als Mitglied der »Expertengruppe Social Media« war ich an der Ausarbeitung beteiligt. Wichtig war mir dabei ein differenzierter Blick auf Datenschutz und informationelle Selbstbestimmung, der sich in These 6, »Informationelle Selbstbestimmung und freies Agieren in Öffentlichkeiten sind gegeneinander abzuwägen«, niedergeschlagen hat: Datenschutz darf nicht so ausgestaltet sein, dass (digitale) Öffentlichkeit unmöglich wird. Kommunikation heißt, sich der Öffentlichkeit und anderen Menschen auszusetzen, in Wort und Bild und damit mit personenbezogenen Daten.

»Denn nur so kann die Öffnung auf andere Menschen hin geschehen«, heißt es in den Thesen. Wichtig war es mir, in den Kategorien der katholischen Soziallehre zu argumentieren, die den Menschen weder atomistisch vereinzelt noch totalitär oder utilitaristisch vergemeinschaftet denkt: »Das Personalitätsprinzip steht daher zwangsläufig in Balance zum Solidaritäts- und Gemeinwohlprinzip. Insofern ist bei der Regulierung von personenbezogenen Daten das Recht auf informationelle Selbstbestimmung so auszugestalten, dass die Regulierung Kommunikation und Vergemeinschaftung nicht zu sehr behindert und die gleichwertigen Grundrechte der Meinungs- und Vereinigungsfreiheit ebenso zum Tragen kommen.«

Apropos Vergemeinschaftung: Zu Weihnachten sieht das Referat Datenschutz im Erzbistum Freiburg es wieder möglich an, mit kirchlichem Interesse als Rechtsgrundlage für Streaming-Gottesdienste zu argumentieren; zu Beginn der Pandemie wurde noch (wenig überzeugend) argumentiert, dass bei reduzierter Öffentlichkeit Einwilligungen nötig seien. In den Musterdatenschutzinformationen aus Freiburg zu kirchlichen Amtshandlungen findet sich übrigens auch eine sehr gelungene Formulierung der Rechtsgrundlage, die kirchliches Interesse ans Kirchenrecht rückbindet: »Fotografien bei Erstkommunionfeiern und Firmungen und deren Veröffentlichung im Pfarrblatt und/ oder der homepage der Kirchengemeinde erfolgen im Rahmen des Verkündigungsdienstes gem. CIC-1983, Can. Nr. 761 und damit auf einer rechtlichen Grundlage gem. § 6 Abs. 1 lit. f KDG

Und apropos Dienstgemeinschaft: Die Evangelische Kirche Berlin-Brandenburg-schlesische Oberlausitz hat nun eine Rechtsgrundlage für die Publikation von Personalnachrichten im Kirchlichen Amtsblatt geschaffen.

Weiterlesen

Fünf gute Gründe gegen die Einwilligung

Datenschutz ist gleich Einwilligung – das dürfte das hartnäckigste Datenschutz-Missverständnis sein. Das ist keine Überraschung: Selten wird Datenschutz so sichtbar wie bei der Einwilligung in eine Datenverarbeitung; eine Unterschrift, um etwas zu erlauben, ist intuitiv und ohne größere Rechtskenntnis verständlich – und wer als Verantwortliche*r eine Unterschrift einholt, hat das gute Gefühl, sich um den Datenschutz gekümmert zu haben.

Das Problem: Meistens sind Einwilligungen gar nicht nötig, oft schaffen sie neue Probleme, und manchmal sorgen sie sogar für erhebliche Rechtsunsicherheit – und unfair sind sie gelegentlich auch noch. Auch wenn die Einwilligung weit vorne bei den Rechtsgrundlagen steht – eigentlich sollte sie viel eher die letzte Auffangmöglichkeit sein, wenn keine andere Rechtfertigung für eine Datenverarbeitung greift – warum das so ist und wie es besser geht, zeigt dieser Artikel.

Weiterlesen