Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
So voll der Jahresrückblick auch immer ist – wie viele Themen dann doch wieder im Ausblick erscheinen, zeigt, wie lange vieles doch geht. Immerhin: Mit dem KDSZ Bayern und dem DSG-EKD-Kommentar konnten viele Dinge von der Liste gestrichen werden. Vor allem die gerichtliche Klärung von Fragestellungen dauert aber – und das nicht nur in den Fällen, die eine Runde über den EuGH drehen.
An einige Prognosen des Jahresausblicks für 2023 kann man Haken setzen: In Sachen Facebook-Fanpages ging es ein bisschen weiter, der EU-US-Datentransfer ist wieder einfach möglich, das KDSZ Bayern errichtet und der DSG-EKD-Kommentar ist endlich erschienen. Anderes bleibt offen: In die DSG-EKD-Evaluierung kam etwas Bewegung, aber akut wird sie erst 2024, von der KDG-Evaluierung gab es gar nichts Neues.
Geprägt war das Jahr 2023 im kirchlichen Datenschutz neben dem Umgang mit Facebook-Fanpages besonders stark von Fragen der Missbrauchsaufarbeitung: Betroffenenrechte von Betroffenen und Beschuldigten wurden kontrovers diskutiert, es gab Täternamen-Veröffentlichungen, neue Gesetze, Entscheidungen von staatlichen Gerichten und kirchlichen Datenschutzaufsichten.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Das katholische Datenschutzzentrum Dortmund gibt Winke dazu, ob und wie Microsoft 365 eingesetzt werden kann – allerdings ohne Patentlösungen: »Damit Microsoft die Daten nicht mehr zu eigenen Zwecken verarbeiten kann, müsste der Zugriff auf die personenbezogenen Daten vom Verantwortlichen unterbunden werden. Neben der Nutzung pseudonymisierter Nutzerkonten könnte auch die Nutzung des Cloud-Speichers ausgeschlossen werden«, heißt es in dem Beitrag. Der Einzelfall sei zu betrachten und in einer Datenschutzfolgenabschätzung zu prüfen. Die katholische NRW-Aufsicht geht damit in eine ähnliche Richtung wie die bayerische, aber mit weniger konkreten Ansagen.
Nach dem Erfolg gegen die Selbständige Evangelisch-Lutherische Kirche hat die niedersächsische Landesdatenschutzbeauftragte eine weitere Religionsgemeinschaft im Visier: Auf Anfrage teilte die LfD Niedersachsen mit, dass ein weiteres Prüfverfahren gegen eine Freikirche gemeinsam mit einer weiteren Aufsichtsbehörde derzeit vorbereitet wird. Weitere Angaben können angesichts des frühen Vorbereitungsstadiums noch nicht gemacht werden, so der Sprecher. Mit Blick auf das Urteil des VG Hannover, mit dem das Datenschutzrecht der SELK verworfen wurde, zeigte sich die Aufsicht zufrieden. »Aus Sicht unserer Behörde ist es sehr zu begrüßen, dass eine Vielzahl an wichtigen Auslegungsfragen zu Art. 91 DS-GVO nun erstmals gerichtlich entschieden wurde. Wir gehen davon aus, dass dieses Urteil über den konkreten Einzelfall hinaus auch für andere (Frei-)Kirchen oder Religionsgemeinschaften Bedeutung haben könnte«, so der Sprecher. Mit Blick auf die durch die SELK eingelegte Berufung beim Niedersächsischen Oberverwaltungsgericht bleibe jedoch zunächst noch die weitere Entwicklung der Rechtsprechung abzuwarten.
In Berlin, wo die Landesdatenschutzbeauftragte die Zeugen Jehovas prüft, gibt es unterdessen noch nichts Neues – auf Anfrage teilte ein Sprecher mit, dass man hoffe, im ersten Quartal fertig zu sein. »In den kommenden Wochen stehen dazu weitere Abstimmungen mit anderen Aufsichtsbehörden und den zuständigen Gremien der Datenschutzkonferenz an«, so der Sprecher.
Auf Mastodon beantwortet der BayLfD jede Woche eine Frage – dieses Mal geht es um Religionsunterricht: »Dürfen kirchliche Religionslehrkräfte, die an staatlichen Schulen eingesetzt werden, Daten von Schülern auf IT-Systemen einer kirchlichen Stelle speichern?« Religionsunterricht als ordentliches Lehrfach sei in der Verantwortung der Schule, antwortet die Aufsicht. »Der Umgang mit Schülerdaten ist grundsätzlich der Schule als verantwortlicher Stelle zuzurechnen; maßgeblich sind die dort geltenden Datenschutzregeln. Eine Nutzung kirchlicher IT-Infrastruktur ist jedenfalls nicht ohne weiteres zulässig.«
In der Neuen Zeitschrift für Arbeitsrecht (NZA 1/2023, S. 7–13) befasst sich Thomas Ritter mit Compliance-Pflichten bei der Leitung katholischer Unternehmen, die sich aus der neuen Grundordnung des kirchlichen Dienstes ergeben. Mit der neuen Grundordnung hat das Kriterium der Kirchenzugehörigkeit für weniger Beschäftigte Relevanz (nicht aber des Kirchenaustritts). Damit stellt sich die Frage, ob die Religionszugehörigkeit über die Steuer hinaus überhaupt noch in den Personaldaten verarbeitet werden kann. Die Zugehörigkeit zur katholischen Kirche wird nur noch gefordert von Beschäftigten, denen eine besondere Verantwortung für die katholische Identität der Einrichtung zukommt, und im pastoralen Dienst. Das führt dazu – so Ritter überzeugend –, dass bei solchen Stellen auch die Frage nach dem Bekenntnis im Bewerbungsverfahren zulässig ist. Eine falsche Antwort begründe das Recht der Anfechtung. »Es besteht ein berechtigtes Interesse der Kirche und der ihr zuzurechnenden Träger von kirchlichen Einrichtungen an einer wahrheitsgemäßen Beantwortung«, so Ritter. Dabei spreche im Blick auf den institutionellen Ansatz der neuen GO viel dafür, dass die Frage nach der Religionszugehörigkeit – etwa im Personalfragebogen – bei anderen (potentiellen) Beschäftigten zulässig sei.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Der Streit zwischen SELK und LfD Hannover geht in die nächste Runde: Die Kirche hat Berufung gegen das Urteil eingelegt, mit dem das eigene Datenschutzrecht für nichtig erklärt wurde. Die Begründung dafür werde gerade noch erarbeitet, teilte ein Sprecher der SELK auf Anfrage mit.
Der erste Tätigkeitsbericht des Jahres ist da: Bei der KDSA Nord legt der zum Jahresende in den Ruhestand verabschiedete Diözesandatenschutzbeauftragte Andreas Mündelein für 2022 seinen letzten Tätigkeitsbericht vor. Eine ausführliche Besprechung folgt hier am Montag.
Die KDSA Ost weist darauf hin, dass mit dem wahrscheinlichen Auslaufen der einrichtungsbezogenen Impfpflicht auch die Rechtsgrundlage für die Speicherung des Impfstatus wegfällt. Es gilt also, ein Löschkonzept parat zu haben.
Im Vatikan haben sich Vertreter von Islam und Judentum dem »Rome Call for A.I. Ethics« angeschlossen, den die Päpstliche Akademie für das Leben 2020 mit anderen Akteuren aus Wirtschaft und Politik verabschiedet haben. Zu den sechs kaum ausgeführten Prinzipien, die eine verantwortungsvolle Entwicklung von Künstlicher Intelligenz sicherstellen sollen, gehören als letztes Prinzip Sicherheit und Privatsphäre. In seiner Ansprache an die Teilnehmenden der Konferenz betonte Papst Franziskus vor allem Inklusion: »Jeder Mensch muss in den Genuss einer menschlichen und solidarischen Entwicklung kommen können, ohne dass jemand ausgeschlossen wird. Wir müssen daher wachsam sein und darauf hinwirken, dass die diskriminierende Anwendung dieser Instrumente nicht auf Kosten der Schwächsten und Ausgegrenzten geht. Wir sollten uns immer vor Augen halten, dass die Art und Weise, wie wir die Letzten und Geringsten unserer Brüder und Schwestern behandeln, etwas über den Wert aussagt, den wir dem gesamten menschlichen Leben beimessen. Nehmen wir das Beispiel der Asylbewerber: Es ist nicht akzeptabel, dass die Entscheidung über das Leben und die Zukunft eines Menschen einem Algorithmus anvertraut wird.«
Im November hat das Verwaltungsgericht Hannover die Klage der Selbständigen Evangelisch-Lutherischen Kirche gegen die Landesdatenschutzbeauftragte Niedersachsen abgewiesen und damit das eigene Datenschutzrecht und die eigene Datenschutzaufsicht der Kirche verworfen. Nun liegen die Entscheidungsgründe vor. (VG Hannover, Urteil vom 30. November 2022, Az. 10 A 1195/21)
Kurz zusammengefasst lautet das Urteil: Der Wortlaut von Art. 91 DSGVO gilt. Der Kirchenartikel ist wirklich nur eine Bestandsschutzregelung. Eine eingehendere Analyse gibt einige interessante Anhaltspunkte zur Auslegung des Artikels – und wenn das Urteil rechtskräftig werden sollte, werden wohl einige Kommentare umgeschrieben werden müssen.
Weiterlesen2022 endet, wie es begonnen hat: Die hier prophezeiten großen Themen können alle auf Wiedervorlage gelegt werden. Die große Facebook-Dämmerung kam nicht – alle warten immer noch auf das Musterverfahren zwischen dem Bundesdatenschutzbeauftragten und dem Bundespresseamt. Bei der Evaluierung der kirchlichen Datenschutzgesetze gibt es auch nichts Neues – das KDG ist nach wie vor überfällig, beim DSG-EKD ist öffentlich keine Bewegung sichtbar. Die KDSA Nord ist immer noch keine KdÖR, und in Bayern ist Jupp Joachimski im 81. Lebensjahr Diözesandatenschutzbeauftragter ohne Aussicht auf Ablöse. Der DSG-EKD-Kommentar ist immer noch nicht da, die KDSGO-Kommentierung auch nicht.
Vormals große Themen wie der Umgang mit Corona haben an Bedeutung verloren – im Frühjahr wurde noch über den richtigen Umgang mit Impfnachweisen diskutiert, seither ist die Pandemie zumindest datenschutzrechtlich vorbei. Die Tendenz der vergangenen Jahre zeichnet sich also fort: Der kirchliche Datenschutz läuft im Regelbetrieb. Große Aufregerthemen blieben aus, nach Ausnahmejahren der Pandemie können sich Aufsichten und Verantwortliche wieder auf ihre Regelaufgaben konzentrieren.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Nach der Niederlage der Selbständigen Evangelisch-Lutherischen Kirche vor dem VG Hannover ist das eigene Datenschutzrecht der Gemeinschaft in der Schwebe: Wenn das Urteil rechtskräftig wird, gilt die DSGVO und die Landesdatenschutzbeauftragte ist zuständig statt einer eigenen kirchlichen Aufsicht. Beide Seiten, die SELK und die LfD Niedersachsen, äußerten sich in der Sache noch nicht. Ob die SELK die Zulassung zur Berufung beantragen wird, steht noch nicht fest: »Das Urteil mit seiner Begründung müssen wir nun abwarten, um anschließend über das weitere Vorgehen zu entscheiden«, sagte ein Sprecher der SELK auf Anfrage. Die LfD Niedersachsen will vor einem rechtskräftigen Urteil noch nichts dazu sagen, wie sie dann agieren werde, wenn ihre Zuständigkeit feststeht. Grundsätzlich begrüßt man in der Aufsicht das Urteil aber: »Wir sehen das Urteil als Bestätigung unserer Rechtsauffassung an, dass es sich bei Art. 91 Abs. 1 DS-GVO um eine abschließende Bestandsschutzregelung handelt, die außerhalb ihres Anwendungsbereichs keinen Raum für sonstige kirchliche Datenschutzvorschriften lässt«, teilte ein Sprecher der Aufsicht auf Anfrage mit.
Der BfD EKD hat seine Position, dass Elternbeiräte keine eigene verantwortliche Stelle sind, jetzt auch noch einmal in einem Kurzbeitrag auf der Webseite der Aufsicht veröffentlicht. So hatte er sich auf schon als Beitrag zu dem ausführlicheren Artikel zum Thema hier auf Anfrage geäußert. Eine Herausforderung: »Da es in der Regel gesetzlich ausgeschlossen ist, dass Mitarbeitende der Kindertageseinrichtungen den Elternbeiräten angehören, haben die Kindertageseinrichtungen keine Möglichkeit, die Einhaltung des Datenschutzes durch die Elternbeiräte zu kontrollieren.« Der BfD EKD empfiehlt daher Sensibilisierung und Vorgaben für den Umgang mit Daten durch die Elternbeiräte.
Bei den Datenschutz-Notizen widmet sich Sebastian Ertel dem hier schon besprochenen IDSG-Beschluss zur konkludenten Einwilligung. Vermisst wird dabei die Auseinandersetzung mit zwei Fragen: Zum einen, ob überhaupt zurecht kirchliches Datenschutzrecht angewendet wurde bei einem von einer kirchlichen Stiftung getragenen Medizinischen Versorgungszentrum, da es »faktisch keinen kirchlichen Auftrag verfolgt«. Zum anderen schweigt die Entscheidung zu dem kuriosen Faktum, dass Patient*innenakten 23 Jahre aufbewahrt wurden: »nach § 10 Abs. 3 MBO-Ärzte bzw. § 630f BGB liegt die Aufbewahrungspflicht und -frist der Behandlungsdokumentation grundsätzlich bei zehn Jahren nach Abschluss der Behandlung«, bemerkt Ertel.
Die Selbständige Evangelisch-Lutherische Kirche ist mit ihrer Feststellungsklage vor dem Verwaltungsgericht Hannover gescheitert: Wie das Gericht am Mittwoch mitteilte, hat die 10. Kammer die Klage der Kirche abgewiesen.
Die SELK wollte feststellen, dass sie ihre eigene Datenschutzrichtlinie gemäß Art. 91 DSGVO anwenden dürfe und dass sie nicht der Aufsicht der niedersächsischen Landesdatenschutzbeauftragten unterfalle. Gegen das Urteil kann vor dem Oberverwaltungsgericht Lüneburg die Zulassung zur Berufung beantragt werden. Die Entscheidungsgründe liegen noch nicht schriftlich vor. (VG Hannover, Urteil vom 30.11.2022, Az. 10 A 1195/21)
Weiterlesen