Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Das katholische Datenschutzzentrum Dortmund gibt Winke dazu, ob und wie Microsoft 365 eingesetzt werden kann – allerdings ohne Patentlösungen: »Damit Microsoft die Daten nicht mehr zu eigenen Zwecken verarbeiten kann, müsste der Zugriff auf die personenbezogenen Daten vom Verantwortlichen unterbunden werden. Neben der Nutzung pseudonymisierter Nutzerkonten könnte auch die Nutzung des Cloud-Speichers ausgeschlossen werden«, heißt es in dem Beitrag. Der Einzelfall sei zu betrachten und in einer Datenschutzfolgenabschätzung zu prüfen. Die katholische NRW-Aufsicht geht damit in eine ähnliche Richtung wie die bayerische, aber mit weniger konkreten Ansagen.
Nach dem Erfolg gegen die Selbständige Evangelisch-Lutherische Kirche hat die niedersächsische Landesdatenschutzbeauftragte eine weitere Religionsgemeinschaft im Visier: Auf Anfrage teilte die LfD Niedersachsen mit, dass ein weiteres Prüfverfahren gegen eine Freikirche gemeinsam mit einer weiteren Aufsichtsbehörde derzeit vorbereitet wird. Weitere Angaben können angesichts des frühen Vorbereitungsstadiums noch nicht gemacht werden, so der Sprecher. Mit Blick auf das Urteil des VG Hannover, mit dem das Datenschutzrecht der SELK verworfen wurde, zeigte sich die Aufsicht zufrieden. »Aus Sicht unserer Behörde ist es sehr zu begrüßen, dass eine Vielzahl an wichtigen Auslegungsfragen zu Art. 91 DS-GVO nun erstmals gerichtlich entschieden wurde. Wir gehen davon aus, dass dieses Urteil über den konkreten Einzelfall hinaus auch für andere (Frei-)Kirchen oder Religionsgemeinschaften Bedeutung haben könnte«, so der Sprecher. Mit Blick auf die durch die SELK eingelegte Berufung beim Niedersächsischen Oberverwaltungsgericht bleibe jedoch zunächst noch die weitere Entwicklung der Rechtsprechung abzuwarten.
In Berlin, wo die Landesdatenschutzbeauftragte die Zeugen Jehovas prüft, gibt es unterdessen noch nichts Neues – auf Anfrage teilte ein Sprecher mit, dass man hoffe, im ersten Quartal fertig zu sein. »In den kommenden Wochen stehen dazu weitere Abstimmungen mit anderen Aufsichtsbehörden und den zuständigen Gremien der Datenschutzkonferenz an«, so der Sprecher.
Auf Mastodon beantwortet der BayLfD jede Woche eine Frage – dieses Mal geht es um Religionsunterricht: »Dürfen kirchliche Religionslehrkräfte, die an staatlichen Schulen eingesetzt werden, Daten von Schülern auf IT-Systemen einer kirchlichen Stelle speichern?« Religionsunterricht als ordentliches Lehrfach sei in der Verantwortung der Schule, antwortet die Aufsicht. »Der Umgang mit Schülerdaten ist grundsätzlich der Schule als verantwortlicher Stelle zuzurechnen; maßgeblich sind die dort geltenden Datenschutzregeln. Eine Nutzung kirchlicher IT-Infrastruktur ist jedenfalls nicht ohne weiteres zulässig.«
In der Neuen Zeitschrift für Arbeitsrecht (NZA 1/2023, S. 7–13) befasst sich Thomas Ritter mit Compliance-Pflichten bei der Leitung katholischer Unternehmen, die sich aus der neuen Grundordnung des kirchlichen Dienstes ergeben. Mit der neuen Grundordnung hat das Kriterium der Kirchenzugehörigkeit für weniger Beschäftigte Relevanz (nicht aber des Kirchenaustritts). Damit stellt sich die Frage, ob die Religionszugehörigkeit über die Steuer hinaus überhaupt noch in den Personaldaten verarbeitet werden kann. Die Zugehörigkeit zur katholischen Kirche wird nur noch gefordert von Beschäftigten, denen eine besondere Verantwortung für die katholische Identität der Einrichtung zukommt, und im pastoralen Dienst. Das führt dazu – so Ritter überzeugend –, dass bei solchen Stellen auch die Frage nach dem Bekenntnis im Bewerbungsverfahren zulässig ist. Eine falsche Antwort begründe das Recht der Anfechtung. »Es besteht ein berechtigtes Interesse der Kirche und der ihr zuzurechnenden Träger von kirchlichen Einrichtungen an einer wahrheitsgemäßen Beantwortung«, so Ritter. Dabei spreche im Blick auf den institutionellen Ansatz der neuen GO viel dafür, dass die Frage nach der Religionszugehörigkeit – etwa im Personalfragebogen – bei anderen (potentiellen) Beschäftigten zulässig sei.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Der Streit zwischen SELK und LfD Hannover geht in die nächste Runde: Die Kirche hat Berufung gegen das Urteil eingelegt, mit dem das eigene Datenschutzrecht für nichtig erklärt wurde. Die Begründung dafür werde gerade noch erarbeitet, teilte ein Sprecher der SELK auf Anfrage mit.
Der erste Tätigkeitsbericht des Jahres ist da: Bei der KDSA Nord legt der zum Jahresende in den Ruhestand verabschiedete Diözesandatenschutzbeauftragte Andreas Mündelein für 2022 seinen letzten Tätigkeitsbericht vor. Eine ausführliche Besprechung folgt hier am Montag.
Die KDSA Ost weist darauf hin, dass mit dem wahrscheinlichen Auslaufen der einrichtungsbezogenen Impfpflicht auch die Rechtsgrundlage für die Speicherung des Impfstatus wegfällt. Es gilt also, ein Löschkonzept parat zu haben.
Im Vatikan haben sich Vertreter von Islam und Judentum dem »Rome Call for A.I. Ethics« angeschlossen, den die Päpstliche Akademie für das Leben 2020 mit anderen Akteuren aus Wirtschaft und Politik verabschiedet haben. Zu den sechs kaum ausgeführten Prinzipien, die eine verantwortungsvolle Entwicklung von Künstlicher Intelligenz sicherstellen sollen, gehören als letztes Prinzip Sicherheit und Privatsphäre. In seiner Ansprache an die Teilnehmenden der Konferenz betonte Papst Franziskus vor allem Inklusion: »Jeder Mensch muss in den Genuss einer menschlichen und solidarischen Entwicklung kommen können, ohne dass jemand ausgeschlossen wird. Wir müssen daher wachsam sein und darauf hinwirken, dass die diskriminierende Anwendung dieser Instrumente nicht auf Kosten der Schwächsten und Ausgegrenzten geht. Wir sollten uns immer vor Augen halten, dass die Art und Weise, wie wir die Letzten und Geringsten unserer Brüder und Schwestern behandeln, etwas über den Wert aussagt, den wir dem gesamten menschlichen Leben beimessen. Nehmen wir das Beispiel der Asylbewerber: Es ist nicht akzeptabel, dass die Entscheidung über das Leben und die Zukunft eines Menschen einem Algorithmus anvertraut wird.«
Im November hat das Verwaltungsgericht Hannover die Klage der Selbständigen Evangelisch-Lutherischen Kirche gegen die Landesdatenschutzbeauftragte Niedersachsen abgewiesen und damit das eigene Datenschutzrecht und die eigene Datenschutzaufsicht der Kirche verworfen. Nun liegen die Entscheidungsgründe vor. (VG Hannover, Urteil vom 30. November 2022, Az. 10 A 1195/21)
Kurz zusammengefasst lautet das Urteil: Der Wortlaut von Art. 91 DSGVO gilt. Der Kirchenartikel ist wirklich nur eine Bestandsschutzregelung. Eine eingehendere Analyse gibt einige interessante Anhaltspunkte zur Auslegung des Artikels – und wenn das Urteil rechtskräftig werden sollte, werden wohl einige Kommentare umgeschrieben werden müssen.
Weiterlesen2022 endet, wie es begonnen hat: Die hier prophezeiten großen Themen können alle auf Wiedervorlage gelegt werden. Die große Facebook-Dämmerung kam nicht – alle warten immer noch auf das Musterverfahren zwischen dem Bundesdatenschutzbeauftragten und dem Bundespresseamt. Bei der Evaluierung der kirchlichen Datenschutzgesetze gibt es auch nichts Neues – das KDG ist nach wie vor überfällig, beim DSG-EKD ist öffentlich keine Bewegung sichtbar. Die KDSA Nord ist immer noch keine KdÖR, und in Bayern ist Jupp Joachimski im 81. Lebensjahr Diözesandatenschutzbeauftragter ohne Aussicht auf Ablöse. Der DSG-EKD-Kommentar ist immer noch nicht da, die KDSGO-Kommentierung auch nicht.
Vormals große Themen wie der Umgang mit Corona haben an Bedeutung verloren – im Frühjahr wurde noch über den richtigen Umgang mit Impfnachweisen diskutiert, seither ist die Pandemie zumindest datenschutzrechtlich vorbei. Die Tendenz der vergangenen Jahre zeichnet sich also fort: Der kirchliche Datenschutz läuft im Regelbetrieb. Große Aufregerthemen blieben aus, nach Ausnahmejahren der Pandemie können sich Aufsichten und Verantwortliche wieder auf ihre Regelaufgaben konzentrieren.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Nach der Niederlage der Selbständigen Evangelisch-Lutherischen Kirche vor dem VG Hannover ist das eigene Datenschutzrecht der Gemeinschaft in der Schwebe: Wenn das Urteil rechtskräftig wird, gilt die DSGVO und die Landesdatenschutzbeauftragte ist zuständig statt einer eigenen kirchlichen Aufsicht. Beide Seiten, die SELK und die LfD Niedersachsen, äußerten sich in der Sache noch nicht. Ob die SELK die Zulassung zur Berufung beantragen wird, steht noch nicht fest: »Das Urteil mit seiner Begründung müssen wir nun abwarten, um anschließend über das weitere Vorgehen zu entscheiden«, sagte ein Sprecher der SELK auf Anfrage. Die LfD Niedersachsen will vor einem rechtskräftigen Urteil noch nichts dazu sagen, wie sie dann agieren werde, wenn ihre Zuständigkeit feststeht. Grundsätzlich begrüßt man in der Aufsicht das Urteil aber: »Wir sehen das Urteil als Bestätigung unserer Rechtsauffassung an, dass es sich bei Art. 91 Abs. 1 DS-GVO um eine abschließende Bestandsschutzregelung handelt, die außerhalb ihres Anwendungsbereichs keinen Raum für sonstige kirchliche Datenschutzvorschriften lässt«, teilte ein Sprecher der Aufsicht auf Anfrage mit.
Der BfD EKD hat seine Position, dass Elternbeiräte keine eigene verantwortliche Stelle sind, jetzt auch noch einmal in einem Kurzbeitrag auf der Webseite der Aufsicht veröffentlicht. So hatte er sich auf schon als Beitrag zu dem ausführlicheren Artikel zum Thema hier auf Anfrage geäußert. Eine Herausforderung: »Da es in der Regel gesetzlich ausgeschlossen ist, dass Mitarbeitende der Kindertageseinrichtungen den Elternbeiräten angehören, haben die Kindertageseinrichtungen keine Möglichkeit, die Einhaltung des Datenschutzes durch die Elternbeiräte zu kontrollieren.« Der BfD EKD empfiehlt daher Sensibilisierung und Vorgaben für den Umgang mit Daten durch die Elternbeiräte.
Bei den Datenschutz-Notizen widmet sich Sebastian Ertel dem hier schon besprochenen IDSG-Beschluss zur konkludenten Einwilligung. Vermisst wird dabei die Auseinandersetzung mit zwei Fragen: Zum einen, ob überhaupt zurecht kirchliches Datenschutzrecht angewendet wurde bei einem von einer kirchlichen Stiftung getragenen Medizinischen Versorgungszentrum, da es »faktisch keinen kirchlichen Auftrag verfolgt«. Zum anderen schweigt die Entscheidung zu dem kuriosen Faktum, dass Patient*innenakten 23 Jahre aufbewahrt wurden: »nach § 10 Abs. 3 MBO-Ärzte bzw. § 630f BGB liegt die Aufbewahrungspflicht und -frist der Behandlungsdokumentation grundsätzlich bei zehn Jahren nach Abschluss der Behandlung«, bemerkt Ertel.
Die Selbständige Evangelisch-Lutherische Kirche ist mit ihrer Feststellungsklage vor dem Verwaltungsgericht Hannover gescheitert: Wie das Gericht am Mittwoch mitteilte, hat die 10. Kammer die Klage der Kirche abgewiesen.
Die SELK wollte feststellen, dass sie ihre eigene Datenschutzrichtlinie gemäß Art. 91 DSGVO anwenden dürfe und dass sie nicht der Aufsicht der niedersächsischen Landesdatenschutzbeauftragten unterfalle. Gegen das Urteil kann vor dem Oberverwaltungsgericht Lüneburg die Zulassung zur Berufung beantragt werden. Die Entscheidungsgründe liegen noch nicht schriftlich vor. (VG Hannover, Urteil vom 30.11.2022, Az. 10 A 1195/21)
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
In dieser Woche vor 60 Jahren wurde das Zweite Vatikanische Konzil eröffnet, das von 1962 bis 1965 tagte. Zur Erneuerung der Kirche gehörte auch eine Versöhnung mit den Menschenrechten, die sich vor allem in den Beschlüssen der letzten Sitzungsperiode zeigte. Im abschließenden Dokument, der Pastoralkonstitution Gaudium et spes (1965), findet sich ein Katalog »unverletzlicher Rechte und Pflichten«, der auch für einen theologisch fundierten Schutz von Persönlichkeitsrechten relevant ist: »Es muß also alles dem Menschen zugänglich gemacht werden, was er für ein wirklich menschliches Leben braucht, wie Nahrung, Kleidung und Wohnung, sodann das Recht auf eine freie Wahl des Lebensstandes und auf Familiengründung, auf Erziehung, Arbeit, guten Ruf, Ehre und auf geziemende Information; ferner das Recht zum Handeln nach der rechten Norm seines Gewissens, das Recht auf Schutz seiner privaten Sphäre und auf die rechte Freiheit auch in religiösen Dingen.« (GS Nr. 26, Hervorhebungen ergänzt; mehr zur theologischen Grundlegung des Persönlichkeitsschutzes findet man bei Martina Tollkühn.)
In der Festschrift für Jupp Joachimski klang es, als sei das Katholische Datenschutzzentrum Nürnberg (das jetzt wohl KDSZ Bayern heißen soll) schon in trockenen Tüchern. Fragt man dort nach, wo man es genau wissen sollte, zeigt sich aber kein veränderter Stand: Auf Anfrage teilte ein Sprecher der Freisinger Bischofskonferenz mit, dass es noch nichts Konkretes gebe, insbesondere auch noch keine Ausschreibung für die Nachfolge Joachimskis. Das ist auch der Informationsstand des Diözesandatenschutzbeauftragten selbst – er hat seinen Vertrag noch einmal bis Ende des Jahres verlängert, teilte er auf Anfrage mit.
Lange hat es gedauert, jetzt ist absehbar, dass es im Konflikt zwischen der Selbständigen Evangelisch-Lutherischen Kirche (SELK) und der niedersächsischen Landesdatenschutzbeauftragten weitergeht: Wie schon im letzten Dezember berichtet, will die SELK den EuGH mit grundsätzlichen Vorlagefragen zu Art. 91 DSGVO befassen. Auf Anfrage teilte das Verwaltungsgericht Hannover nun mit, dass es einen Termin für die mündliche Verhandlung gibt: Am 30. November um 9.30 Uhr ist es so weit.
In der aktuellen Sonderausgabe der Datenschutz-Nachrichten gibt es auch einen Beitrag des NRW-DDSB Steffen Pau zum kirchlichen Datenschutzrecht. Der kompakte Überblick dürfte hier zum Grundwissen gehören; erfreulich ist, dass so der kirchliche Datenschutz auch in einer wichtigen weltlichen Zeitschrift erwähnt wird. In der Sache äußert sich Pau auch zum Schriftformerfordernis der Einwilligung im KDG und deutet damit wohl eine gewisse Flexibilität der Aufsicht an: »Inwieweit hier in der Praxis im täglichen Umgang mit der Einwilligung wirklich große Unterschiede bestehen, ist bei vielen Sachverhalten fraglich, da einerseits § 8 Abs. 2 Satz 1 KDG als Ausnahme von dem Schriftformerfordernis selbst ›eine andere Form‹ der Einwilligung auf Grund besonderer Umstände vorsieht und andererseits die Nachweispflicht der DSGVO in vielen Fällen auch zu einer textlichen oder schriftlichen Fassung der Einwilligung führt.«
Der Europäische Gerichtshof könnte sich bald mit zentralen Fragen des kirchlichen Datenschutzes befassen: Im Konflikt zwischen der niedersächsischen Landesdatenschutzaufsicht und der Selbständigen Evangelisch-Lutherischen Kirche (SELK) hat die Kirche Klage vor dem Verwaltungsgericht Hannover erhoben, um unter anderem eine EuGH-Vorlage zu erreichen.
Die Datenschutzaufsicht bezweifelt, dass die SELK schon vor Inkrafttreten der DSGVO umfassende Datenschutzregeln anwandte, wie es dem Wortlaut von Art. 91 Abs. 1 DSGVO nach verlangt wird. Die schon seit 1993 existierende Datenschutzrichtlinie der Kirche sei nicht »umfassend« im Sinn der DSGVO gewesen. Über den Fall wurde hier schon mehrfach berichtet: Zunächst als Ergebnis einer Recherche, im letzten Tätigkeitsbericht hat die Landesdatenschutzaufsicht den Vorgang auch selbst öffentlich gemacht.
WeiterlesenDas Verhältnis der Landesdatenschutzaufsichten zu den kirchlichen Aufsichten ist nicht immer ganz konfliktfrei. Die Aufsichten der großen Kirchen werden respektiert, in der Datenschutzkonferenz wird ihnen ein Mindestmaß an Beteiligung ermöglicht. Bei ihnen ist auch unstreitig, dass sie legitim sind – das sieht, wie eine Recherche im vergangenen Jahr zeigte, bei den Aufsichten kleinerer Gemeinschaften oft anders aus.
Abgeschlossen ist keines der Prüfverfahren der Landesdatenschutzaufsichten von Berlin, Hessen, Niedersachsen und Nordrhein-Westfalen, bei dem unter anderem das Alt-Katholische Bistum, die Selbständige Evangelisch-Lutherische Kirche (SELK), die Zeugen Jehovas und die Neuapostolische Kirche Westdeutschland überprüft werden – eine neue Abfrage hat aber zumindest in einem Fall neue Zwischenstände gebracht: zu den Zeugen Jehovas.
Weiterlesen