Schlagwort-Archive: Schrems II

Recht transparent – Wochenrückblick KW 33/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Durch die Bausteine des Kirchlichen Datenschutzmodells zieht sich ein Satz: »Den verantwortlichen kirchlichen Stellen wird deshalb empfohlen, ein Rechtskataster zu pflegen, welches speziell zusammengestellt ist und den rechtlichen Rahmen aller in und von der verantwortlichen Stelle zu erfüllenden Aufgaben abdeckt.« Das ist gar nicht so einfach – gerade abseits der Diözesanverwaltungen. Die Minderheit der Bistümer hat eine niederschwellig zugängliche Rechtssammlung. Deutlich besser ist die Situation im evangelischen Bereich, wie das aktuelle EKD-Amtsblatt zeigt: Wie in jedem Sommer wird dort die vom Kirchenrechtlichen Institut der EKD zusammengestellte »Rechtsquellennachweisung für das deutsche evangelische Kirchenrecht und das deutsche Staatskirchenrecht« veröffentlicht – Vergleichbares findet sich im katholischen Bereich bestenfalls in den im (hochgradig unregelmäßig erscheinenden) »Archiv für katholisches Kirchenrecht« erscheinenden »Kirchlichen Erlassen und Entscheidungen«.

Bei Libra gibt es ein engagiertes Plädoyer von Tom Brägelmann für die Veröffentlichung von Entscheidungen in der Justiz: »[Die] Öffnung ermöglicht, dass jeder kontrollieren, kritisieren und loben kann, was die Dritte Gewalt so macht und tut. […] Kann es richtig sein, dass die Gerichte selber entscheiden und prüfen, wann eine Entscheidung veröffentlichungswürdig ist? Nein, es muss der demokratischen Öffentlichkeit überlassen bleiben, welche Entscheidungen der Dritten Gewalt sie für relevant hält.« Das ist auch für den katholischen Bereich relevant, wo die Justiz weitgehend eine Black Box ist: Nur die Entscheidungen der Arbeitsgerichte müssen veröffentlicht werden. Die Beschlüsse der Datenschutzgerichte werden lediglich auf freiwilliger Basis, aber anscheinend immerhin zu einem großen Prozentsatz, veröffentlicht. Entscheidungen der ordentlichen kirchlichen Gerichtsbarkeit liest man dagegen so gut wie nie, lediglich die Römische Rota veröffentlicht halbwegs regelmäßig.

Weiterlesen

Berechtigtes Interesse auf Evangelisch – Wochenrückblick KW 32/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der BfD EKD hat FAQs zu Direktwerbung veröffentlicht. Die Fragenliste stellt zwar im wesentlichen auch nur fest, dass gemäß DSG-EKD grundsätzlich auch nichts anderes gilt als gemäß DSGVO. Dennoch dürfte diese Äußerung der Aufsicht für einige Erleichterung sorgen: Das große Problem des evangelischen Datenschutzgesetzes ist das Fehlen der Interessen des Verantwortlichen in der Abwägung des berechtigten Interesses – und damit ist Direktwerbung eigentlich nur über Einwilligung gestaltbar. In der FAQ-Liste greift die Aufsicht jetzt aber eine schon zuvor aus der Arbeitshilfe zu Bildrechten bekannte Konstruktion auf: Ein Nachbau eines DSGVO-äquivalenten berechtigten Interesses aus kirchlichem Interesse und berechtigtem Interesse nach DSG-EKD, also eine faktisch neue Rechtsgrundlage § 6 Nr. 4 iVm Nr. 8 DSG-EKD: »Notwendig ist dann eine Abwägung im konkreten Einzelfall zwischen den Interessen des Verantwortlichen bzw. Dritten und der betroffenen Person. Es kann nicht auf abstrakte Kriterien oder vergleichbare Fälle abgestellt werden«, erläutert der BfD EKD.

Ein weiterer Streit im Kontext des Familienrechts ist Thema der jüngsten Entscheidungsveröffentlichung des IDSG (IDSG 10/2021 vom 25. April 2022). Die meisten Anträge des Vaters sind unzulässig oder unbegründet. Erfolg hatte er damit, dass er eine vorschnelle Löschung einer Beistandsakte gerügt hatte. Löschen ist zwar oft eine gute Idee, aber wer unbegründet löscht, setzt sich neuen Problemen aus. (Die Konsequenzen sind hier wie systembedingt üblich überschaubar: Es wurde lediglich ein Datenschutzverstoß festgestellt. Mehr können die kirchlichen Datenschutzgerichte nicht.) Wieder einmal tritt außerdem die Figur einer konkludenten Einwilligung als Rechtsgrundlage auf (Rn. 58) – nach wie vor eine sehr fragliche Konstruktion. Gegen die Entscheidung wurden Rechtsmittel eingelegt.

Die von der DBK und Adveniat beauftragte Untersuchung der Akten der Auslandspriester-Koordinierungsstelle Fidei Donum wurde am Montag veröffentlicht. Die unabhängige Untersuchung belastet vor allem den langjährigen Adveniat- und Fidei-Donum-Chef Emil Stehle, der Missbrauchstäter deckte und selbst von vielen Betroffenen belastet wird. (Zu den Erkenntnissen in der Sache meine Analyse bei katholisch.de.) Interessant ist der Hinweis, dass als »datenschutzrechtliche Voraussetzung« einer Durchsicht der Akten der Fidei-Donum-Koordinationsstelle in Essen durch eine fachkundige Person die Inkraftsetzung der Personalaktenordnung genannt wird. Das ist insofern bemerkenswert, als dass § 15 PAO lediglich Auskunftsrechte kennt; erst die Norm zur Regelung von Einsichts- und Auskunftsrechten schafft eine allgemeine Rechtsgrundlage für Akteneinsicht durch Aufarbeitungskommissionen. Weder vom Bistum Essen noch vom möglicherweise auch datenschutzrechtlich verantwortlichen VDD sind bislang entsprechende Normen bekannt. Wichtiger als diese Frage – andere Bistümer haben ihre Aufarbeitungsstudien schließlich auch ohne PAO und Nebengesetze aufgegleist – ist aber, was man über scheinbar familiäre Organisationskulturen und mangelnde Struktur als Ermöglichungsbedingungen von Missbrauch erfährt.

Wer hätte gedacht, dass man bei der Diskussion um einen katholischen Arbeitskreis in der Bundes-CDU auch etwas über das Datenschutzmanagement der Partei erfährt? »Ich gehe davon aus, [dass es eine christliche Mehrheit in der CDU gibt,] aber ich weiß es nicht, weil das deutsche Datenschutzrecht eine Hürde aufbaut. Danach darf man nur Daten erheben, die tatsächlich erforderlich sind. Deshalb wird nur abgefragt, ob jemand evangelisch ist, da man ihn dann dem Evangelischen Arbeitskreis zuordnen kann. Da es keinen Katholischen Arbeitskreis gibt, gibt es tatsächlich auch nicht die Abfrage beim Mitgliedschaftsantrag, ob jemand katholisch ist«, berichtet die Vorsitzende des Katholischen Arbeitskreises in Thüringen.

Weiterlesen

Was eigenes – Wochenrückblick KW 28/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das Interdiözesane Datenschutzgericht hat zwei neue Entscheidungen veröffentlicht. Wieder einmal geht es um Konflikte aus dem Arbeitsleben, und wieder sind sie in der Sache individuell sicher ärgerlich und belastend, tragen aber nicht übermäßig zur Rechtsentwicklung bei. Aber beide Entscheidungen haben doch auch über den Sachverhalt hinaus interessante Erwägungen: Die eine (IDSG 06/2021 vom 8. März 2022) zur Frage, wie Schadensersatz erstritten werden kann und was die Rolle der kirchlichen Datenschutzinstitutionen dabei ist, die andere (IDSG 19/2021 vom 25. April 2021) zur Frage, ob die kirchlichen Datenschutzgerichte unmittelbar can. 220 CIC prüfen können. Beide Entscheidungen werden hier in der kommenden Woche ausführlicher besprochen.

In der Besprechung des neuen Tätigkeitsberichts des DSBKD wurde schon auf eine Nebenbemerkung mit Sprengkraft verwiesen: »Für den allein kirchlichen Anwendungsbereich könnten die Kirchen eigene Aufsichtsbehörden mit einem je eigenen Regelungskatalog errichten«, heißt es dort. Die Argumentation: Die EU hat für vieles, was Religionsgemeinschaften tun, keine Regelungskompetenz, das kirchliche Datenschutzrecht agiert in diesem Bereich also auf Grundlage des deutschen Staatskirchenrecht mit entsprechend größeren Freiheiten. Folgt man dieser Rechtsauffassung (in diese Richtung argumentiert auch Gernot Sydow), eröffnete das sehr interessante Gestaltungsmöglichkeiten: Die Kirchen könnten sich entweder umfassende Datenschutzregelungen gleich ganz sparen oder wenigstens nur die umfassende Zuständigkeit der Aufsichten und sich darauf konzentrieren, nur wirklich Kirchenspezifisches zu regeln, etwa Kirchenbücher oder das Bischöfliche Geheimarchiv. Müsste man bei Kirchens allerdings auch wollen.

In Israel wird über koschere Handys gestritten – deutlich eingeschränkte Mobiltelefone in eigenen Nummernkreisen, mit denen die Charedim auch telefonisch unter sich bleiben wollen. Der dafür notwendige gesetzliche Rahmen wird von der Regierungskoalition deutlich beschnitten: »Smartphones have become a volatile issue in the Haredi, or ultra-Orthodox, community since April, when Israel’s communications minister made it easier for Haredi to use smartphones without the knowledge of their rabbis, raising tensions within the Haredi community and between them and the rest of Israeli society«, berichtet der Religion News Service in einer lesenswerten Reportage.

Weiterlesen

Was bedeuten die Aufsichts-Beschlüsse zu Facebook-Fanpages?

Was Facebook-Fanpages angeht, herrscht große Einmütigkeit zwischen den staatlichen und den kirchlichen Aufsichten: die Datenschutzkonferenz des Bundes und der Länder, die evangelische Datenschutzkonferenz und die KDSA Ost haben seit März grundsätzlich identische Beschlüsse auf Grundlage eines DSK-Kurzgutachtens »zur datenschutzrechtlichen Konformität  des Betriebs von Facebook‐Fanpages« gefasst – doch der Inhalt ist kryptisch.

Facebook-Daumen nach unten
(Bildquelle: Barefoot Communications on Unsplash)

Unbedarft gelesen könnte es aussehen, als stellten die Aufsichten Kriterien auf, unter denen Facebook-Fanpages zulässig wären. Eine genauere Betrachtung zeigt aber: die Rechtsposition der Aufsichten ist, dass die notwendigen Kriterien derzeit gar nicht erfüllt werden können. Das stellt Verantwortliche, die nicht auf Facebook-Fanseiten verzichten wollen, vor große Hindernisse. Gibt es Auswege?

Weiterlesen

Rezension: »Kirchlicher Datenschutz – gewachsener Baustein kirchlicher Selbstverwaltung«

Das KDSZ Dortmund blickt mit einer Veröffentlichung auf die ersten fünf Jahre seines Bestehens zurück: »Kirchlicher Datenschutz – gewachsener Baustein kirchlicher Selbstverwaltung« heißt der im Selbstverlag online veröffentlichte Band anlässlich des Geburtstages, der schon am 1. September 2021 gefeiert wurde.

Cover von »»Kirchlicher Datenschutz – gewachsener Baustein kirchlicher Selbstverwaltung«

Auf 120 Seiten gibt es Betrachtungen aus Kanonistik und Staatskirchenrecht, eine kompakte Rechtsgeschichte des kirchlichen Datenschutzes sowie einen Blick in die Praxis von Aufsicht, Gerichten und betrieblichem Datenschutz.

Weiterlesen

Mitarbeiterexzesse galore – Tätigkeitsbericht der KDSA Ost 2021

Nach Juli Zeh im letzten Jahr greift der Diözesandatenschutzbeauftragte  für die Ostbistümer und den Militärbischof Matthias Ullrich in die Glückskeks-Kiste: »Nicht der Wind, sondern das Segel bestimmt die Richtung« stellt er seinem Tätigkeitsbericht für 2021 voran und setzt damit einen etwas optimistischeren Akzent als im vergangenen Jahr – verbunden mit dem Appell, mit den eigenen Daten und denen anderer gut umzugehen.

Noch einmal ist Bericht über ein Corona-Jahr zu erstatten, das schlägt sich natürlich auch in besonderen Problemkreisen wie Impfstatusabfrage im Beschäftigungsverhältnis nieder. Dazu kommen wie jedes Jahr im Osten klare politische Ansagen zu staatlicher Überwachung und praxisnahe Tipps. Was leider auch hier wieder fehlt: Klare Zahlen zur Aufsichtstätigkeit.

Weiterlesen

Facebook-Dämmerung und Seelsorgegeheimnis – Wochenrückblick KW 13/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Datenschutzkonferenz hat einen Beschluss zu Facebook-Fanpages getroffen und sich damit ein Kurzgutachten ihrer Taskforce zum Thema zu Eigen gemacht. Das kommt zu diesem Ergebnis: »Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtungen gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben. Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt.« Dem schließt sich die KDSA Ost an und fordert die Verantwortlichen in den kirchlichen Einrichtungen auf, ihre Facebook-Fanpages zu deaktivieren, sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nach denselben Kriterien wie von der DSK gefordert nachweisen können.

In NomoK@non beschäftigt sich Matthias Ambros mit dem Seelsorgegeheimnis im kanonischen Recht. Dabei beschäftigt er sich auch ausführlich mit can. 220 CIC, der den guten Ruf und den Schutz der Intimsphäre normiert. Da der knappe Kanon lediglich eine »Fundamentalnorm« sei, plädiert Ambros für eine Erarbeitung von Schutznormen auf dieser Grundlage. Auch wenn es das noch nicht gibt und das Datenschutzrecht nur Teilaspekte des Persönlichkeitsrechts und der Intimsphäre schützt, gibt es kirchliche Rechtsbehelfe. Ambros erläutert, wie ein kirchliches Verwaltungsverfahren aussehen würde: »Unter Bezugnahme auf den in can. 220 verbürgten Schutz der Intimsphäre kann sich ein Gläubiger in Schriftform an den zuständigen Ordinarius wenden und unter Belegung des Sachverhaltes beantragen, dass die Verletzung des Persönlichkeitsrechts festgestellt und entstandener Schaden wieder behoben wird«, im folgenden beschreibt er noch die zur Verfügung stehenden Rechtsmittel.

Weiterlesen

Kein Brief von Bischof Gebhard – Wochenrückblick KW 7/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Aus der Rubrik »was der Datenschutz alles verhindert« dieses Mal der Rottenburger Bischof Gebhard Fürst im Interview mit der Südwest-Presse: »Wir hatten im Januar erheblich mehr Kirchenaustritte als in den Jahren zuvor. Das ist außerordentlich schmerzlich. In früheren Wellen habe ich mit den Ausgetretenen Kontakt aufgenommen und sie zu Gesprächen eingeladen. Ob ich das noch einmal machen kann, weiß ich nicht. Dem steht heute der Datenschutz entgegen.« Warum ein einmaliges Anschreiben nicht datenschutzrechtlich abzubilden sein soll, wird nicht ausgeführt – selbst wenn man vertritt, dass die Daten gar nicht im Ordinariat landen dürfen, wäre doch zumindest eine Beilage zum Schreiben vom Pfarrer möglich.

Nun hat sich auch die KDSA Nord zu Impf- und Genesenennachweisen geäußert – allerdings nicht so umfassend wie der BfD EKD, sondern nur mit Blick auf die Gesundheits- und Pflegeeinrichtungen, und auch nicht so konkret. Immerhin wird festgehalten, dass aus der Pflicht zur Vorlage der Serostatusdokumentation nicht auch folgt, dass von den vorgelegten Dokumenten Kopien gefertigt werden dürfen. Eine so klare Äußerung wie beim evangelischen Kollegen, dass bei den anzufertigenden Dokumentationen nicht der Serostatus selbst erfasst werden darf, sondern nur die Information darüber, fehlt allerdings.

In den USA haben sich mehrere Dutzend Vertreter*innen verschiedenster Religionen und Konfessionen in einem Offenen Brief an Mark Zuckerberg gewandt und ein endgültiges Aus für die Pläne gefordert, ein Instagram für Kinder zu entwickeln. Für katholisch.de habe ich mit dem Mainzer Medienpädagogen Andreas Büsch und der Frankfurter Religionspädagogin Viera Pirker darüber gesprochen – die finden kleine Kinder auf Social Media zwar auch nicht nur erstrebenswert, legen aber einen deutlich differenzierteren Ansatz als der Offene Brief an den Tag.

Buzzfeed News hat mehrere Gebets-Apps untersucht – und die Ergebnisse sind ernüchternd, aber kaum überraschend: »Nothing Sacred: These Apps Reserve The Right To Sell Your Prayers« Neben den erwartbaren intransparenten Datenweitergaben an Dritte zur Monetarisierung wird auch dieses Detail erwähnt: »At least one government has taken an interest in prayer app data, too — the US military bought extensive location data mined from Muslim prayer apps back in 2020 for use in special forces operations.«

Weiterlesen

Grundrechte für Kirchen, Personalakten für Aufarbeitung – Wochenrückblick KW 2/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

In der aktuellen »Zeitschrift für Arbeitsrecht und Tarifpolitik in kirchlichen Unternehmen« (ZAT 6/2021, S. 198–203) hat Thomas Ritter einen Aufsatz zur Grundrechtsberechtigung der Kirchen und ihrer Einrichtungen im Bereich des Datenschutzes veröffentlicht. Der Aufsatz arbeitet heraus, ob und auf welcher verfassungsrechtlichen Grundlage von Kirchen Grundrechte und insbesondere das Grundrecht auf informationelle Selbstbestimmung geltend gemacht werden können. Das klingt zunächst sehr akademisch, im allerletzten Punkt zeigt sich, warum die theoretischen Überlegungen gerade jetzt mit Blick auf den Streit kleinerer Religionsgemeinschaften mit Datenschutzaufsichten sehr hohe praktische Relevanz haben: »In seiner Ausprägung als Abwehrrecht wirken kann das Grundrecht der Kirchen auf informationelle Selbstbestimmung wegen grundrechtstypischer Gefährdungslage zB im Rahmen des Art. 91 DS-GVO im Falle von Versuchen, das Recht der Kirchen auf Errichtung einer eigenen Datenschutzaufsicht, auf Errichtung einer eigenen Datenschutzgerichtsbarkeit oder des Erlasses eigener Datenschutzgesetze oder -ordnungen wie zB dem KDG, der KDG-DVO oder der KDSGO zu beschneiden«, schließt Ritter.

Bei katholisch.de habe ich mich in dieser Woche noch einmal intensiv mit der Personalaktenordnung befasst. Neben den hier schon angeführten Einschätzungen von Martin Rehak und Rüdiger Althaus liegt ein Schwerpunkt auf der Betroffenenperspektive: Johannes Norpoth aus dem Sprecherteam des DBK-Betroffenenbeirats hat mir einige Einschätzungen gegeben – Norpoth ist selbst als betrieblicher Datenschutzbeauftragter tätig und daher mit der Materie und den Grenzen der Regelungsmöglichkeiten vertraut. Sein Fazit: »Ich hoffe, dass es keine Diskrepanz gibt zwischen dem, was im kirchlichen Amtsblatt steht, und dem, was eine bischöfliche Personalverwaltung tatsächlich macht. Wenn die Personalaktenordnung nicht umgesetzt wird, bringt sie nichts. Es besteht aber die Chance, dass diese Regelung zur Initialzündung für eine professionelle Personalarbeit wird.«

Auf Twitter wurde eine weitere Entscheidung eines staatlichen Gerichts angekündigt, die mit kirchlichem Datenschutz zu tun hat: Im Urteil des AG Pankow vom 10. Januar 2022, Az. 4C27/21, soll es um Auskunftsansprüche gegen kirchliche Träger gehen. Viele Details sind noch nicht bekannt, die Entscheidung ist noch nicht veröffentlicht. Laut den beiden Tweets eines Verfahrensbeteiligten scheint es um die altbekannte Frage danach zu gehen, ob das Datenschutzrecht die Kostenerstattungspflicht für die Abschriften von Patient*innenakten aus § 630g BGB aushebelt.

Weiterlesen

EKD-Aufsichten zu Schrems II – Weniger ausnahmsweise als Art. 49 DSGVO

Die Konferenz der Beauftragten für den Datenschutz in der EKD  hat eine Gemeinsame Stellungnahme zur Datenübermittlung in die USA veröffentlicht. Dass eine gemeinsame Stellungnahme in Arbeit ist, wurde bereits vor zwei Wochen durch die verspätete Veröffentlichung einer Position des Datenschutzbeauftragten für Kirche und Diakonie bekannt und löst den selbst gegebenen Abstimmungsauftrag aus der Stellungnahme aus dem Juli des vergangenen Jahres ein..

Ein Verriegelungsknopf an einem Oldtimer, im Hintergrund eine US-Flagge.
Symbolbilder für Drittlanddatenübertragungen sind ohnehin alle Unsinn, warum also nicht das, das immerhin einen Knopf an einem Auto zeigt? (Photo by Nick Fewings on Unsplash)

Inhaltlich ist die nun für den gesamten landeskirchlichen Bereich abgestimmte Stellungnahme fast keine Überraschung: Im wesentlichen wird das in § 10 Abs. 2 DSG-EKD festgelegte Verfahren zur Drittlandsdatenübermittlung ohne Angemessenheitsbeschluss und Standarddatenschutzklauseln vorgestellt, dazu kommt eine detaillierte Geschichte der Datenübermittlung in die USA, eine Erörterung des Marktortprinzips der DSGVO und ein Überblick über die durch den CLOUD-Act erzeugten Probleme – die eine kleine Überraschung: Die Antwort auf die Frage, ob das DSG-EKD wie Art. 49 DSGVO nur ausnahmsweise Datenübertragungen in Drittländer ohne Angemessenheitsbeschluss normiert.

Weiterlesen