Schlagwort: Kirchendatenschutz
8. März 2019
Art. 85 DSGVO enthält keine eigenständige Regelung des Medienprivilegs, sondern lediglich einen Auftrag an die Mitgliedstaaten der Europäischen Union, sofern erforderlich durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang zu bringen (sog. Öffnungsklausel). Der kirchliche Gesetzgeber ist dem mit § 55 KDG nachgekommen. Diese Norm regelt, dass die Vorschriften des KDG nur eingeschränkt gelten, soweit personenbezogene Daten von kirchlichen Stellen ausschließlich zu eigenen journalistisch redaktionellen oder literarischen Zwecken verarbeitet werden.
Eine der entscheidenden Fragen in der Praxis ist allerdings,
wer sich auf das Medienprivileg berufen kann.
Neben klassischen kirchlichen Medienunternehmen wie Bistumszeitungen und Radiosender dürften in der Regel auch die Kerntätigkeiten der kirchlichen Pressestellen unter § 55 KDG fallen. Leider ist die Begrifflichkeit des “Medienprivileg” im KDG weit auszulegen. Daher sei für die Arbeit kirchlicher Kommunikationsabteilungen jeweils der Einzelfall zu betrachten, und zwar anhand des einzelnen zu veröffentlichenden Beitrags. Letztlich kommt es wohl darauf an, ob der einzelne Beitrag als journalistisch-redaktionell […] zu verstehen und insbesondere für einen unbestimmten öffentlichen Personenkreis bestimmt ist.
18. Februar 2019
Die Vollversammlung des Verbandes der Diözesen Deutschlands hat am 19. November 2018 eine neue Durchführungsverordnung zum „Gesetz über den Kirchlichen Datenschutz“ (KDG-DVO) beschlossen. Die Durchführungsverordnung soll zum 1. März 2019 in Kraft treten. Hintergrund ist, dass die bisherige Durchführungsverordnung zur Anordnung über den Kirchlichen Datenschutz (KDO-DVO), welche vor Inkrafttreten des “Gesetzes über den kirchlichen Datenschutz” (KDG) Anwendung fand, gemäß der in § 57 Abs. 5 KDG festgelegten Übergangsfrist längstens bis zum 30.06.2019 in Kraft bleibt, sodass eine Anpassung der bisherigen DSGVO erforderlich war.
Für das Inkraftsetzung der neuen KDG-DVO bedarf es eines Beschlusses des Bischofs der jeweiligen Diözese. Die Inkraftsetzung der KDG-DVO wurde bislang noch nicht in allen Deutschen (Erz-) Diözesen beschlossen.
In der neuen KDG-DVO finden sich Inhalte, welche bereits in der KDO-DVO enthalten waren, aber auch solche, die neu sind. Die Verantwortlichen müssen insbesondere weiterhin ein Datenschutzkonzept vorhalten. Dies ergibt aus der Pflicht des Verantwortlichen den Schutzbedarf personenbezogener Daten anhand einer Risikoanalyse festzustellen (Kapitel 3 KDG-DVO). Interessant sind vor allem die in § 6 KDG-DVO enthaltenen Vorgaben zu den technischen und organisatorischen Maßnahmen, welche auch die Anforderungen an deren Weiterentwicklung betreffen. Die KDG-DVO sieht weiterhin die Einordung personenbezogener Daten in eine Datenschutzklasse vor und erfolgt durch den Verantwortlichen. Sie soll in der Regel bei der Erstellung des Verarbeitungsverzeichnisses vorgenommen werden. In diesem Zusammenhang soll auch der betriebliche DSB angehört werden. Zusätzlich enthält die KDG-DVO diverse Beispiele für besondere Gefahrenlagen (Kapitel 5). Diese dürften insbesondere für die Pflicht zur Durchführung einer Datenschutzfolgenabschätzung relevant sein.
Jede unter den Anwendungsbereich der neuen KDG-DVO fallende Einrichtung sollte bereits jetzt prüfen, welche Auswirkungen die Neuregelung z. B. auf das bereits erstellte Datenschutzkonzept haben wird, so der Diözesandatenschutzbeauftragte der norddeutschen Bistümer.
20. September 2018
Eine der wesentlichen Neuerungen ist die Einführung der sogenannten Rechenschaftspflicht: Künftig sind datenschutzrelevante Maßnahmen und Prozesse umfassend zu kontrollieren und zu dokumentieren, um die Einhaltung des Datenschutzes, anders als nach der bisherigen Rechtslage, gegenüber der Aufsichtsbehörde im Bedarfsfalle konkret nachweisen zu können. Faktisch findet auf diese Weise eine Beweislastumkehr statt, wodurch den kirchlichen Aufsichtsbehörden erstmals finanzielle Sanktionsmöglichkeiten zur Durchsetzung des Datenschutzes an die Hand gegeben werden.
In Bezug auf Sanktionsmöglichkeiten bei Datenschutzverstößen erfährt das KDG gegenüber der KDO (diese sah lediglich die Möglichkeit einer formellen Beanstandung vor) eine erhebliche Steigerung: Nach § 51 Absatz 5 KDG können Geldbußen von bis zu 500.000 € verhängt werden. Allerdings wird damit bei weitem nicht der Sanktionsrahmen der DSGVO erreicht (bis zu 20 Mio € bzw. 4 % des gesamten weltweiten Jahresumsatzes). Zudem wird gemäß § 51 Abs. 6, § 3 Abs. 1 KDG der Kreis derjenigen, gegen die Sanktionen verhängt werden können, erheblich eingeschränkt.
9. August 2018
Stimmen kritisierten, dass der kirchliche Datenschutz strenger sei als das EU-Recht. Die Deutsche Bischhofskonferenz (DBK) weist die Kritik zurück. Am Dienstag wurde eine Liste durch das DBK mit den häufig gestellten Fragen zum kirchlichen Datenschutz veröffentlicht. In dieser Liste wird unter anderem betont, dass die Regelungen zur Schriftform bei Einwilligungen nicht über das EU-Recht hinausgehen. Im Gegensatz zur europäischen Datenschutzgrundverordnung fordert zwar das Gesetz über den Kirchlichen Datenschutz (KDG) explizit die Schriftform bei Einwilligungen, es seien aber durch eine Öffnungsklausel “durchaus Fälle denkbar, in denen eine Einwilligung eben nicht schriftlich erfolgen muss”. Durch das Schriftformerfordernis solle das kirchliche Gesetz lediglich konkreter und anwenderfreundlicher sein.
Hinsichtlich Fotografien schließt sich die DBK der Auslegung der Konferenz der Diözesandatenschutzbeauftragten an, die neulich eine Handreichung veröffentlicht. Dort wird dargelegt, dass nicht in jedem Fall eine Einwilligung aller Abgebildeten erforderlich ist. Vielmehr können für die Abwägung, ob ein “besonderes” oder “kirchliches Interesse” für die Veröffentlichung besteht, die Regelungen des Kunsturhebergesetz herangezogen werden.
Seit dem 24. Mai 2018 ist das KDG in Kraft. Gemäß Art. 91 DSGVO können Religionsgemeinschaften eigene Datenschutzgesetze anwenden, soweit sie im Einklang mit der DSGVO stehen.
