Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Der erste Neue hat seinen ersten Bericht vorgelegt: der seit 1. Januar 2023 amtierende Diözesandatenschutzbeauftragte der Nordbistümer Andreas Bloms hat den Tätigkeitsbericht 2023 der KDSA Nord veröffentlicht. (Der zweite Neue in Bayern steht noch aus.)
Das Layout bleibt nordisch nüchtern und blau, das Format wurde etwas verändert. Neu sind graue Kästen mit Hinweisen dazu, was zu den referierten Themen zu beachten ist – kompakt und praxisnah.
WeiterlesenVon den kirchlichen Datenschutzgerichten hat man bisher wenig zu Fällen aus der Corona-Zeit gehört; die erste größere Entscheidung, die das DSG-EKD in zweiter Instanz im Juli 2021 zur Frage nach dem Einsichtsrecht des leitenden Pfarrers in Corona-Anwesenheitslisten aufgrund der Bedeutung besonders schnell gefällt hatte, war bisher die einzige – und wie viele Entscheidungen aus der Corona-Hochphase doch sehr großzügig damit, was die Gerichte Verantwortlichen durchgehen lassen. Jetzt wurde eine weitere Entscheidung veröffentlicht (IDSG 04/2021 vom 17. Juli 2024).
Aufmerksamen Lesenden von Tätigkeitsberichten war der Fall war schon bekannt: Im Tätigkeitsbericht für 2020 hat die KDSA Ost darüber unter der Überschrift »5.3.3 Befreiung von Mund-Nasen-Bedeckung« berichtet. Es ging darum, ob eine Schule ein unzureichendes Masken-Attest ohne es zu anonymisieren ans zuständige Gesundheitsamt weiterleiten darf, um mit ihm weitere Schritte zu besprechen.
WeiterlesenDie Nordkirche hat ihr Datenschutzrecht erneut teilweise novelliert. Im aktuellen Amtsblatt (2023/11) setzt die Kirchenleitung mit Wirkung zum 1. Oktober ihre Zweite Rechtsverordnung zur Anpassung des Datenschutzrechts in Kraft. Damit wird die Datenschutzdurchführungsverordnung (DSDVO) geändert, außerdem tritt eine neue Verwaltungsvorschrift zur Gewährleistung des Datenschutzes beim Fundraising (FundraisingdatenVwV) in Kraft.
Einige der Änderungen vollziehen lediglich die 2021 beschlossene und ebenfalls zum 1. Oktober wirksam gewordene Übertragung der Aufsicht auf den BfD EKD nach. Ansonsten werden vor allem Fundraising und besondere Verarbeitungssituationen in kirchlichen Einrichtungen geregelt – mit viel Rückgriff auf staatliches Recht.
WeiterlesenUngerade Jahre sind evangelische Berichtsjahre. Jetzt liegt der neue Tätigkeitsbericht des BfD EKD für die Jahre 2021 und 2022 vor – und damit noch einmal ein stark von Corona-Maßnahmen geprägter Bericht. Und nicht nur davon: »Menschen erleben die momentanen Zeiten zunehmend als eine krisenhafte Zuspitzung unseres gesellschaftlichen Miteinanders. Eine Krise folgt auf die andere: Corona-Pandemie, Klimawandel, Krieg in Europa, Energieversorgung und Inflation«, schreibt Michael Jacob in seinem Vorwort: »Da haben es Freiheits- und Grundrechte nicht immer ganz leicht in der gesellschaftlichen und politischen Debatte durchzudringen.«
Diese Ansagen dann im Kleinklein von Zoom, Facebook und Microsoft, Kita-Einbrüchen, CC-Fails und verlorenen USB-Sticks auch deutlich zu machen, ist anspruchsvoll. Es gibt aber doch auch praktische Fälle, in denen Datenschutz als Grundrechtsschutz sehr deutlich wird. Auf der operativen Ebene lohnt sich der Bericht: Er schafft dringend nötige Transparenz über die sonst sehr bedeckte evangelische Kirchengerichtsbarkeit und gibt in vielen Fallbeispielen wichtige Hintergründe zur Praxis des – mangels Kommentar und angesichts wenig Judikatur – immer noch weniger ergründeten DSG-EKD.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Das katholische Datenschutzzentrum Dortmund gibt Winke dazu, ob und wie Microsoft 365 eingesetzt werden kann – allerdings ohne Patentlösungen: »Damit Microsoft die Daten nicht mehr zu eigenen Zwecken verarbeiten kann, müsste der Zugriff auf die personenbezogenen Daten vom Verantwortlichen unterbunden werden. Neben der Nutzung pseudonymisierter Nutzerkonten könnte auch die Nutzung des Cloud-Speichers ausgeschlossen werden«, heißt es in dem Beitrag. Der Einzelfall sei zu betrachten und in einer Datenschutzfolgenabschätzung zu prüfen. Die katholische NRW-Aufsicht geht damit in eine ähnliche Richtung wie die bayerische, aber mit weniger konkreten Ansagen.
Nach dem Erfolg gegen die Selbständige Evangelisch-Lutherische Kirche hat die niedersächsische Landesdatenschutzbeauftragte eine weitere Religionsgemeinschaft im Visier: Auf Anfrage teilte die LfD Niedersachsen mit, dass ein weiteres Prüfverfahren gegen eine Freikirche gemeinsam mit einer weiteren Aufsichtsbehörde derzeit vorbereitet wird. Weitere Angaben können angesichts des frühen Vorbereitungsstadiums noch nicht gemacht werden, so der Sprecher. Mit Blick auf das Urteil des VG Hannover, mit dem das Datenschutzrecht der SELK verworfen wurde, zeigte sich die Aufsicht zufrieden. »Aus Sicht unserer Behörde ist es sehr zu begrüßen, dass eine Vielzahl an wichtigen Auslegungsfragen zu Art. 91 DS-GVO nun erstmals gerichtlich entschieden wurde. Wir gehen davon aus, dass dieses Urteil über den konkreten Einzelfall hinaus auch für andere (Frei-)Kirchen oder Religionsgemeinschaften Bedeutung haben könnte«, so der Sprecher. Mit Blick auf die durch die SELK eingelegte Berufung beim Niedersächsischen Oberverwaltungsgericht bleibe jedoch zunächst noch die weitere Entwicklung der Rechtsprechung abzuwarten.
In Berlin, wo die Landesdatenschutzbeauftragte die Zeugen Jehovas prüft, gibt es unterdessen noch nichts Neues – auf Anfrage teilte ein Sprecher mit, dass man hoffe, im ersten Quartal fertig zu sein. »In den kommenden Wochen stehen dazu weitere Abstimmungen mit anderen Aufsichtsbehörden und den zuständigen Gremien der Datenschutzkonferenz an«, so der Sprecher.
Auf Mastodon beantwortet der BayLfD jede Woche eine Frage – dieses Mal geht es um Religionsunterricht: »Dürfen kirchliche Religionslehrkräfte, die an staatlichen Schulen eingesetzt werden, Daten von Schülern auf IT-Systemen einer kirchlichen Stelle speichern?« Religionsunterricht als ordentliches Lehrfach sei in der Verantwortung der Schule, antwortet die Aufsicht. »Der Umgang mit Schülerdaten ist grundsätzlich der Schule als verantwortlicher Stelle zuzurechnen; maßgeblich sind die dort geltenden Datenschutzregeln. Eine Nutzung kirchlicher IT-Infrastruktur ist jedenfalls nicht ohne weiteres zulässig.«
In der Neuen Zeitschrift für Arbeitsrecht (NZA 1/2023, S. 7–13) befasst sich Thomas Ritter mit Compliance-Pflichten bei der Leitung katholischer Unternehmen, die sich aus der neuen Grundordnung des kirchlichen Dienstes ergeben. Mit der neuen Grundordnung hat das Kriterium der Kirchenzugehörigkeit für weniger Beschäftigte Relevanz (nicht aber des Kirchenaustritts). Damit stellt sich die Frage, ob die Religionszugehörigkeit über die Steuer hinaus überhaupt noch in den Personaldaten verarbeitet werden kann. Die Zugehörigkeit zur katholischen Kirche wird nur noch gefordert von Beschäftigten, denen eine besondere Verantwortung für die katholische Identität der Einrichtung zukommt, und im pastoralen Dienst. Das führt dazu – so Ritter überzeugend –, dass bei solchen Stellen auch die Frage nach dem Bekenntnis im Bewerbungsverfahren zulässig ist. Eine falsche Antwort begründe das Recht der Anfechtung. »Es besteht ein berechtigtes Interesse der Kirche und der ihr zuzurechnenden Träger von kirchlichen Einrichtungen an einer wahrheitsgemäßen Beantwortung«, so Ritter. Dabei spreche im Blick auf den institutionellen Ansatz der neuen GO viel dafür, dass die Frage nach der Religionszugehörigkeit – etwa im Personalfragebogen – bei anderen (potentiellen) Beschäftigten zulässig sei.
Elternbeiräte tragen viel Verantwortung für den guten Kontakt zwischen Eltern und Schule oder Kita. Aber tragen sie auch die datenschutzrechtliche Verantwortung? Die Antwort darauf hat Konsequenzen: Wenn die Mitbestimmungsgremien eigene Verantwortliche sind, müssen Eltervertreter*innen den ganzen Katalog der datenschutzrechtlichen Pflichten erfüllen. Sind sie es nicht, ist die Schule oder Kita auch für ihre Mitbestimmungsgremien verantwortlich – und muss damit auch im Blick haben und regulieren, wie Elternbeiräte arbeiten.
Im kirchlichen Datenschutzrecht wird die Frage nicht einfacher: Bei eigenen Verantwortlichen muss nämlich zusätzlich die Frage beantwortet werden, ob diese Verantwortliche dann auch kirchliche Stellen sind – ob sie also DSGVO oder das jeweilige kirchliche Datenschutzgesetz anwenden müssen.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Gedruckte Gesetzessammlungen zum katholischen Datenschutz gibt es ebenso wie PDFs. Was bislang noch fehlte, war ein guter Zugang direkt im Netz. Die gibt es nun unter kirchlicher-datenschutz.org, besorgt von Christian Schmidt. Mit KDG, KDG-DVO, §-29-KDG-Gesetz, §-29-KDG-Gesetz-DVO, SeelsorgePatDSG, KDS-VwVfG, KDSGO und KAO sind dort die katholischen Datenschutzregelungen in der Fassung des Beschlusses durch den VDD sehr gut zugänglich.
Mitte Juli hat das Bundesverfassungsgericht seine Entscheidung im Fall von Claudia Pechsteins Verfassungsbeschwerde gegen den BGH veröffentlicht. (Guter Überblick dazu: Christian Duve im aktuellen FAZ-Einspruch-Podcast.) In der Sache geht es um den Internationalen Sportgerichtshof CAS. Die Entscheidung tragend ist das durch den CAS als privates Schiedsgericht verletzte Öffentlichkeitsprinzip unter Rückgriff auf die Europäische Menschenrechtskonvention: »Der Grundsatz der Öffentlichkeit mündlicher Verhandlungen ist ein wesentlicher Bestandteil des Rechtsstaatsprinzips und geht in seiner Bedeutung damit über einzelne Verfahrensregelungen weit hinaus. Auch entspricht er dem allgemeinen Öffentlichkeitsprinzip der Demokratie. Die Gerichtsöffentlichkeit sollte in Gestalt einer Verfahrensgarantie dem Schutz der an der Verhandlung Beteiligten gegen eine der öffentlichen Kontrolle entzogene Geheimjustiz dienen« (Rn. 44), erläutert das BVerfG. Die Entscheidung kann natürlich nicht direkt auf kirchliche Gerichte übertragen werden. Die ordentliche kirchliche Gerichtsbarkeit, die immer neben der staatlichen Gerichtsbarkeit und nie sie ersetzend tätig wird, ist davon sicher in keinem Fall betroffen. Interessant wird es für die Datenschutzgerichtsbarkeit, die statt der staatlichen Gerichtsbarkeit entscheidet – und keinerlei Öffentlichkeitsprinzipien kennt, selbst die Veröffentlichung ausgewählter Entscheidungen erfolgt auf freiwilliger Basis. Hier wäre es durchaus denkbar, dass unter Rückgriff auf die Argumentation im Fall Pechstein ein staatliches Gericht auch Zweifel an den rechtsstaatlichen Standards des kirchlichen Gerichts erkennt. (Die andere kirchliche Gerichtsbarkeit, die staatliche ersetzt, die Arbeitsgerichtsbarkeit, kennt ein Öffentlichkeitsprinzip.)
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
In ihrem frisch erschienenen Tätigkeitsbericht schildert die Berliner Datenschutzbeauftragte einen Fall einer Sicherheitslücke in einer Software für Stipendienportale. Durch die Ausnutzung der Schwachstellen soll es möglich gewesen sein, ein Nutzungskonto anzulegen, die Datenbank abzufragen, hochgeladene Dokumente herunterzuladen und ein Nutzungskonto mit Adminrechten auszustatten. Laut Bericht waren vier Studienstiftungen betroffen. Da durch die Ausrichtungen der nicht namentlich genannten Stiftungen auch Daten zur Religionszugehörigkeit und zur Nähe zu politischen Parteien erhoben wurden, ist davon auszugehen, dass auch eine der Stiftungen von Religionsgemeinschaften betroffen ist. Auf Anfrage teilten das katholische Cusanuswerk und das Evangelische Studienwerk Villigst mit, dass sie von keiner Sicherheitslücke betroffen waren. Das jüdische Ernst-Ludwig-Ehrlich-Studienwerk und die muslimische Avicenna-Studienstiftung haben auf die Anfrage noch nicht geantwortet. (Angefragt wurden nur diese vier, die aus Mitteln des Bildungsministerium finanziert werden.)
Mit Transparenz tut sich die römisch-katholische Kirche schwer – gerade, was ihre Gerichtsbarkeit angeht. Immerhin: Die Datenschutzgerichte veröffentlichen Entscheidungen – aber nur ausgewählte, freiwillig und ohne Rechtspflicht. Daher hat die Gesellschaft Katholischer Publizisten (GKP), in der ich mich im Vorstand engagiere, sich erneut für mehr Transparenz in der kirchlichen Justiz ausgesprochen. Anlass ist die Ankündigung des Münsteraner Bischofs Felix Genn, schon vor der Genehmigung einer bundesweiten kirchlichen Verwaltungsgerichtsbarkeit durch den Heiligen Stuhl eine vorläufige diözesane einzurichten. »Die Kirche darf in ihrem eigenen Rechtssystem nicht hinter Selbstverständlichkeiten des Rechtsstaats zurückbleiben, wenn sie Vertrauen zurückgewinnen will. Ungehinderte Gerichtsberichterstattung ist ein wesentliches Element jeder freiheitlich-rechtsstaatlichen Ordnung«, sagt der GKP-Vorsitzende Joachim Frank. Gefordert sind öffentliche mündliche Verhandlungen und Urteilsverkündungen, die Veröffentlichung von Urteilen sowie Informations- und Auskunftsrechte für die Medien.