Schlagwort-Archive: Verfahrensverzeichnis

Sie soll, sie kann, sie will – Wochenrückblick KW 22/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Monatsanfang ist immer wie ein kleines Weihnachten: Dann veröffentlicht der Würzburger Kirchenrechtslehrstuhl seinen »Kanon des Monats«. Der 1. Juni war wie Weihnachten und Ostern: Der Kanon des Monats Juni ist can. 220 CIC – also der Datenschutzkanon. Martina Tollkühn gibt einen Überblick über die universalkirchliche Datenschutzgesetzgebung und wie und warum sie in Deutschland so konkret ausgestaltet wird: »Aber warum haben die deutschen Bistümer eigene Regelungen zum Datenschutz? Und was hat das mit dem c. 220 CIC/1983 zu tun? Die Kurzformel auf diese Fragen könnte sein: Weil sie sollen, weil sie können und weil sie wollen.« Nicht beantwortet wird allerdings, warum sie wollen sollten, was sie können, und warum dazu die allgemeinen staatlichen Gesetze nicht genügen. Etwas zirkulär positivistisch lautet die Begründung: Kirchen dürfen ihre eigenen Angelegenheiten selbst regeln, und weil sie ein Datenschutzrecht haben, ist das eine eigene Angelegenheit.

Die KDSA Ost hat sich mit Corona-Tests an Schulen befasst – vor drei Wochen war eine Entscheidung aus Hamburg dazu schon Thema hier. Im Ergebnis kommt die Aufsicht zu einem ähnlichen Ergebnis wie das Verwaltungsgericht, aber mit einem deutlichen Fokus auf die Zulässigkeit von Testungen in Schulen: »Schüler*innen und Erziehungsberechtigte, die mit dieser Art der Durchführung und Erhebung von personenbezogenen Daten nicht einverstanden sind, sollte die Möglichkeit eingeräumt werden, ein negatives Testergebnis durch ein anerkanntes Testzentrum (auch Schnelltestzentrum) oder einem Arzt vorzulegen.« Das Verwaltungsgericht hatte festgestellt, dass externe Tests anerkannt werden müssen. Ohne sollte.

Und dann hat die KDSA Ost sich auch noch einmal zur Abdingbarkeit von Technischen und organisatorischen Maßnahmen geäußert, nachdem der Hamburger Datenschutzbeauftragte die als Möglichkeit gesehen hatte (auch hier wurde schon darüber berichtet). Die kirchliche Aufsicht bekräftigt nun noch einmal die bereits zuvor geäußerte Ansicht, dass eine Einwilligung sich nur auf das Ob, nicht auf das Wie der Datenverarbeitung beziehen kann: »Würde man die Einwilligung so weit für zulässig erachten, wie dies im Vermerk der Hamburger Datenschutzbehörde zum Ausdruck kommt, handelte es sich nicht mehr um eine Einwilligung, sondern um einen Verzicht auf Datenschutz«, so die KDSA Ost – mit der paradoxen Folge, dass es zwar problemlos möglich wäre, in die Veröffentlichung der eigenen Daten auf einer Webseite zuzustimmen, nicht aber in eine ungesicherte E-Mail-Übermittlung derselben Daten.

Der Beschluss des IDSG zu einer Datenpanne durch fehlgelaufene Briefe in einem katholischen Krankenhaus wurde hier schon besprochen. Einige kritische Anfragen daran haben die Datenschutz-Notizen aufgeworfen: Es scheint unterschiedliche Ansichten dazu zu geben, wie ausführlich das Verfahrensverzeichnis sein muss – die beteiligte Aufsicht scheint dort auch eine konkrete Verfahrensbeschreibung zu erwarten, die den Beschäftigten bekannt sein muss. Das Gericht folgte der Ansicht, dass Verfahren im Detail dokumentiert sein müssen. »Die dabei geforderte Detailtiefe ist auf den ersten Blick überraschend«, so die Autorin, der nötige Aufwand bei der Erstellung von Verarbeitungsverzeichnissen wäre enorm: »Die hierdurch gebundenen personellen Kapazitäten könnte man sicher an anderen Stellen sinnvoller nutzen.« Mit Blick auf das KDG und das Verarbeitungsverzeichnis-Muster der Aufsichten wirken die Anforderungen des Gerichts aber durchaus plausibel. Im Musterformular gibt es mit Feld B.3 Verarbeitungsablauf ein passendes Feld: »Eine (kurze) Beschreibung des operativen Ablaufs der Verarbeitung mit ihren wichtigsten Schritten«, und das Gesetz selbst sieht vor, »wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen« aufzunehmen (§ 31 Abs. 1 lit. h)).

Weiterlesen

Dokumentieren, verschicken und büßen – Wochenrückblick KW 19/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das ist doch erfreulich: Die Arbeit am Kirchlichen Datenschutzmodell geht voran – nachdem bei der Vorstellung vor zwei Wochen erst drei Bausteine verfügbar waren, wurde jetzt der vierte zum Thema »Dokumentieren« veröffentlicht. Das macht Hoffnung, dass die Bausteine schnell komplettiert werden. Ein Satz aus dem Baustein passt zum hier immer wieder angesprochenen Thema der Zugänglichkeit kirchlichen Rechts: »Den verantwortlichen kirchlichen Stellen wird […] empfohlen, ein Rechtskataster zu pflegen, welches speziell zusammengestellt ist und den rechtlichen Rahmen aller in und von der verantwortlichen Stelle zu erfüllenden Aufgaben abdeckt« – gar nicht so einfach angesichts der nur in manchen Bistümern gut zugänglichen kirchlichen Rechtssammlungen.

Am Mittwoch wurde außerdem eine weitere Entscheidung des Interdiözesanen Datenschutzgerichts veröffentlicht (IDSG 14/2020 vom 19. April 2021) – der zugrundeliegende Fall dreht sich um den Klassiker »fehlgelaufener Patient*innenbrief«. In der Sache und für die Praxis interessant dürfte die Diskussion des Verfahrensverzeichnisses sein, in dem das Verfahren des Versands und der Kontrolle der Richtigkeit der Unterlagen im Laufe des Falls detailliert ausgearbeitet wurde (RN 4). Erstmals wird mit 2000 Euro auch eine einzelne Summe eines Bußgelds bekannt. Von grundsätzlicher rechtlicher Bedeutung sind die Fragen nach der Zuständigkeit des Gerichts für die Überprüfung von Bußgeldbescheiden (das sieht das IDSG als gegeben an, RN 51f.; man merkt aber dem Schluss an, dass man sich wohl auch eine eigene Kompetenz zur Verhängung wünschen würde, RN 58) und die auch schon an anderer Stelle aufgeworfene Frage, inwiefern überhaupt Bußgelder verhängt werden können, wenn die Datenschutzverletzung von Mitarbeitenden begangen wird. Im vorliegenden Fall argumentiert das Gericht mit dem Funktionsträgerprinzip und bekräftigt seine Position aus einem vorherigen Fall, »dass dem Rechtsträger als dem Verantwortlichen nicht nur das Verhalten von Organen, sondern auch das Verhalten anderer Mitarbeiter zugerechnet wird« (RN 47). Auch der aktuelle Fall fällt allerdings vor die Geltung des Gesetzes über das Verwaltungsverfahren im kirchlichen Datenschutz, das das Ordnungswidrigkeitengesetz für anwendbar erklärt. Wie ähnliche Fälle jetzt entschieden würden, ist also noch offen.

Und, teilweise in eigener Sache: Die Datenschutz-Notizen weisen auf die Evaluierung des KDG hin und dabei auch sehr freundlich auf die hier auf »Artikel 91« ausgegrabenen Erkenntnisse.

Weiterlesen