Freitag, 28. Januar 2022

Zum europäischen Datenschutztag

haben wir vor einem Jahr einen weiteren Beitrag aus unserer Reihe "Warum die Kirche kein eigenes Datenschutzrecht haben darf" gepostet. Dennoch schwurbeln immer wieder "Halbwissende" über eine verfassungsrechtliche Sonderstellung der Kirchen, die sich auch im Datenschutz (!) aus den Vorschriften der Weimarer Reichsverfassung (sic !) zu Religionsgemeinschaften und Kirchen ergeben soll. So schreibt etwa intersoft consulting services:
In Deutschland haben die Kirchen seit über 100 Jahren eine rechtliche Sonderstellung, die ihnen auch die Möglichkeit eröffnet, über eigene Datenschutzgesetze abweichende Regelungen festzulegen, die staatliche Vorgaben ersetzen können.
NEIN - NEIN - NEIN und nochmals NEIN !
Die ständige Wiederholung von Irrtümern macht diese nicht zur Wahrheit - die Erde ist keine Scheibe, auch wenn die Kirche das über Jahrhunderte hin behauptet hat. Und sexueller Mißbrauch ist auch dann sexueller Mißbrauch, wenn es nicht zur Berührung von Geschlechtsorganen oder gar zur Penetration kommt.

Die sogenannte "rechtliche Sonderstellung" war nichts anderes als die Eingliederung der Kirchen in das staatliche Rechtssystem, das nach den Wirren des Kulturkampfes von der (z.B. preußischen) Staatskirche zur heutigen Stellung als vom Staat unabhängige Rechtssubjekte (wie jeder Verein auch) geführt hat, die über die Besetzung der Pfarrämter selbst entscheiden, das Kirchenvermögen selbst verwalten und z.B. das Sakramentenrecht eigenständig regeln. Die Kirchen sind sowohl nach den verfassungsrechtlichen Regelungen wie auch nach den Konkordatsverträgen nur
- zur Selbstordnung und Selbstverwaltung (nicht Selbstbestimmung)
- der eigenen Angelegenheiten (= res sacra, und nicht der Angelegenheiten und Daten von Dritten = allenfalls res mixta)
- im Rahmen der für alle geltenden Gesetze (der Staat bestimmt also wo diese Grenzen liegen)
befugt.
Daraus eine allumfassende rechtliche Sonderstellung für die seinerzeit noch nicht einmal absehbare Verarbeitung der Daten von Dritten abzuleiten ist schlechterdings absurd.

Einige Beispiele für den exzessiven Irrsinn der Kirchen?
Der Kirchenausschuss – das höchste Verwaltungsgremium zwischen den Kirchentagen, dem Parlament der Kirchen – der Bremischen Evangelischen Kirche hat aufgrund der Selbstermächtigung durch ein Kirchengesetz bereits am 16. Dezember 2021 eine Datenschutzausführungsverordnung sowie Ordnungen für Patient*innen-Datenschutz, Friedhöfe und Fundraising beschlossen.
Bei der Patientendatenverordnung gibt es Parallelen zum katholischen Gesetz, aber auch Unterschiede: Auch hier wird der Begriff »Patientendaten« weit gefasst und auf Angehörige angewendet.
(Zitat)
Wie - um Himmels Willen - kommt die protestantischen Firma dazu, die Daten von Patienten und deren Angehörigen als "eigene Angelegenheit" zu behandeln? Das sind deren Daten - nicht die Daten der Krankenhäuser. Diese verarbeiten lediglich die Daten der Patienten, genauso wie jede kommunale oder private Klinik auch.
Die Friedhofsdatenverordnung stellt insofern eine Kuriosität dar, da sie sich explizit auch mit den Rechten Verstorbener befasst, obwohl ansonsten das Datenschutzrecht nur auf lebende Menschen angewandt wird. Indem geregelt wird, welche Daten Verstorbener verarbeitet werden dürfen, wird der Anwendungsbereich des Datenschutzrechts ausgeweitet. Geregelt wird außerdem die Verarbeitung der Daten von Nutzungsberechtigten und der auf den Friedhöfen tätigen Gewerbetreibenden des Friedhofs- und Bestattungsgewerbes. Ein weiterer Paragraph regelt die Offenlegung von Daten an Dritte, insbesondere Dienstleister und anderen Stellen, die die Bestattung erledigen.
(Zitat wie vor)
Unbestritten - der verfassungsrechtlich geschützte Persönlichkeitsschutz gilt auch für die Verstorbenen. Aber dann nochmal - es handelt sich um die Daten der Verstorbenen, nicht die der Kirchen. Und es ist Sache der Totenfürsorgeberechtigten, zu bestimmen, was postmortal mit den Verstorbenen (und auch deren Daten) passiert.
Und auch die Daten der sogenannten "Dienstleister", die im Kontext mit Bestattungen tätig werden, sind keine Daten des Friedhofsträgers sonderen deren Daten. Vielfach (Geistliche anderer Konfessionen oder freie Trauerredner) gehören diese Personen der evangelischen Kirche gar nicht an. Was das heißt? Dann muss die Datenschutzgrundverordnung gelten, und nicht irgendein selbst gebruzzeltes Kirchenrecht!

_____________________________________________

Die Selbständigen Evangelisch-Lutherischen Kirche (SELK) hat zwischenzeitlich Klage vor dem Verwaltungsgericht (Verwaltungsgericht Hannover, AZ 10 A 1195/21) erhoben, um unter anderem eine EuGH-Vorlage zu erreichen. Mit einer Bekanntgabe ist wohl im Herbst des Jahres zu rechnen. Die Vorlagenfragen an den EuGH sind aber nun bekannt geworden:
a. Ist Art. 91 Abs. 1 DSGVO dahingehend auszulegen, dass umfassende Regelungen zu dem in Art. 99 Abs. 1 DSGVO (Datum des Inkrafttretens) oder zu dem in Art. 99 Abs. 2 DSGVO (Datum der Geltung) genannten Zeitpunkt vorliegen müssen?
b. Ist Art. 91 Abs. 1 DSGVO dahingehend auszulegen, dass eine Kirche, eine religiöse Vereinigung oder Gemeinschaften in einem Mitgliedstaat nach dem Inkrafttreten der DSGVO keine eigenen und umfassenden Regeln zum Schutz natürlicher Personen erlassen kann, die mit der DSGVO in Einklang stehen?
c. Ist Art. 91 Abs. 2 DSGVO dahingehend auszulegen, dass eine Kirche, religiöse Vereinigung oder Gemeinschaft eine eigene Aufsichtsbehörde spezifischer Art errichten darf, wenn sie nach dem Datum des Inkrafttretens der DSGVO oder nach dem Datum der Geltung der DSGVO umfassende Regelungen anwendet?
Quelle und nachfolgende Erläuterung "Art. 91 Blog":
In der Sache soll festgestellt werden, dass die SELK zum Zeitpunkt des Inkrafttretens der DSGVO umfassende Regeln angewandt hat, die im Einklang mit der DSGVO stehen, oder hilfsweise wenigstens nach Inkrafttreten und bis zur Geltung der DSGVO umfassende Regeln erlassen durfte und anwenden darf. Zum zweiten soll festgestellt werden, dass die SELK eine spezifische Aufsicht einrichten darf und nicht der Landesdatenschutzaufsicht unterliegt.
(Quelle mit weiteren Nachweisen)
Die niedersächsischen Landesdatenschutzaufsicht bezweifelt nämlich, dass die SELK schon vor Inkrafttreten der DSGVO umfassende Datenschutzregeln anwandte, wie es dem Wortlaut von Art. 91 Abs. 1 DSGVO nach verlangt wird. Die schon seit 1993 existierende Datenschutzrichtlinie der Kirche sei nicht »umfassend« im Sinn der DSGVO gewesen. Nichts anderes haben wir schon im Mai 2018 zum katholischen "Gesetz über den kirchlichen Datenschutz" (KDG) festgestellt.
Kirchliche Regelungen, die eine Befreiung begründen, hätten gem. Art. 91 I i.V. 99 I DSGV spätestens im Mai 2016 angewendet werden müssen.
Es handelt sich auch - wie wir immer wieder betonen - nicht um die eigenen Daten der Kirchen, sondern um die Daten von Dritten, die von den Kirchen und ihren Einrichtungen nur bearbeitet und gespeichert werden. Damit handelt es sich um keine eigenen Angelegenheiten, sondern (bestenfalls) um gemeinsame Angelegenheiten von diesen Personen und den datenführenden kirchlichen Stellen. Damit fehlt nun die Legitimation für kircheneigene Regelungen. Wieso auch soll den kirchlichen Wohlfahrtsverbänden ein Recht zugestanden werden, das anderen Wohlfahrtsverbänden verwehrt ist? Die Kirchen und ihre Einrichtungen werden durch die Anwendung des weltlichen Datenschutzrechts in keiner erkennbaren Art und Weise besonders benachteiligt.

In einem bemerkenswerten SPIEGEL-Artikel vom 11. Dezember 2021 klingt ein weiterer Grund an:
... am schwierigsten ist der Kontakt zur Kirche selbst. Auf Anfragen erhält man oft Hinweise auf die datenschutzrechtlichen Vorschriften und Persönlichkeitsrechte.

Bei einem Priester, der Gerüchten nach vor ein paar Jahren eine Kamera im Bad des Pfarrhauses installiert haben soll, um einen Praktikanten zu filmen, heißt es vonseiten des Bistums, hier würden nicht die Missbrauchsleitlinien greifen, sondern das Disziplinarrecht. Daher sei man nicht verpflichtet, Auskunft zu geben.

...
Am verschwiegensten ist ein Kloster in Hessen. Dort wurden Missbrauchstäter des Bistums Trier therapiert. Wenn man das Kloster per Mail kontaktieren möchte, findet man nur die Adresse der Datenschutzbeauftragten des Ordens. Sie könne nichts sagen, antwortet sie. Ob sie einen anderen Ansprechpartner nennen könne? Leider nein: Datenschutzgründe.
Dient der kirchliche Datenschutz auch dem Vertuschen von strafrechtlich relevanten Vorgängen (Mißbrauch)?
Diesem Verdacht kommt eine bezeichnende Formulierung von Felix Neumann, Journalist (katholisch.de) in seinem Blog "Datenschutz in Kirchen und Religionsgemeinschaften" entgegen. Unter der Überschrift
IFG-Anfrage zu altkatholischem Datenschutzrecht erfolgreich
berichtet er vom vorübergehenden Verzicht der Landesdatenschutzaufsicht Nordrhein-Westfahlen auf eine Prüfung der Alt-Katholische Kirche und führt dazu aus
Das Alt-Katholische Bistum sollte sich auch nicht in zu großer Sicherheit wiegen – nach wie vor ist das Fehlen der Tätigkeitsberichte der Aufsicht eine Einfallsschneise für Beschwerden, die möglicherweise den momentan fehlenden Anlass für eine Wiederaufnahme der Prüfung liefern könnten.
Die staatliche Aufsicht wird also als "übergriffig" empfunden - wobei es gerade anders herum richtig wäre: der Anspruch der Kirchen, dass der Staat selbst bei Datenschutzverletzungen kirchlicher Träger nichts zu melden hätte, ist schlicht übergriffig.

Ein Blick "über die Grenzen" zeigt, dass die Europäischen Datenschutzbestimmungen für die kirchlichen Einrichtungen sehr unterschiedlich gehandhabt werden.
In Italien wird beispielsweise die Position vertreten, dass Art. 91 Abs. 2 DSGVO so auszulegen sei, dass Religionsgemeinschaften diese spezifischen Aufsichten nicht selbst einrichten dürfen.
In Österreich wird der Datenschutz der katholischen Kirche mit wenigen und knappen Regelungen als "Konzernprivileg" behandelt - eine, wie Felix Neumann meint, Rechtsgrundlage mit "tönernen Füßen".
Auch in Polen gibt es - wie in Deutschland - ein traditionell kirchliches Datenschutzrecht, das rechtzeitig mit der Datenschutzgrundverordnung (DSGV) in Einklang gebracht wurde. Der Datenschutzbeauftragte Piotr Kroczek hat seither zwei Tätigkeitsberichte veröffentlicht - für die Zeiträume vom 2. Mai 2018 bis zum 6. Juni 2019 sowie vom 7. Juni 2019 bis zum 5. Juni 2020. Was die institutionelle Stellung und Vernetzung der Behörde angeht zeigen sich erhebliche Unterschiede zu Deutschland.
Wer die Situation in Deutschland kennt, wo die kirchlichen Aufsichten in der staatlichen Datenschutzkonferenz sehr marginalisiert sind, kann nur staunen mit Blick auf Polen: Der staatliche Datenschutzbeauftragte führt eine Liste der kirchlichen Aufsichten, es gibt eine Kooperationsvereinbarung zwischen dem staatlichen und dem katholischen Beauftragten, das Digitalisierungsministerium hat einen »Rat für die Zusammenarbeit mit den Kirchen und anderen religiösen Vereinigungen in Fragen ihrer Datenverarbeitung« eingerichtet.
(Quelle "Artikel-91-Blog" von Felix Neumann mit weiteren Nachweisen)
Dort wird dann auch folgendes Fazit gezogen (Zitat):
...
Der Blick von Deutschland aus nach Polen ist faszinierend: Sitzt der kirchliche Datenschutz hier sowohl innerkirchlich wie mit Blick auf die staatlichen Institutionen eher am Katzentisch, scheint es in Polen eine deutlich größere Einbindung zu geben. Insbesondere die Ergebnisse des Austauschs im Rat für kirchlichen Datenschutz des Digitalisierungsministeriums dürften interessant sein, um Themen zu identifizieren, bei denen tatsächlich Bedarf für kirchliche Sondergesetzgebung besteht.
...

Anmerkung:
Am 28. Januar 1981 legte der Europarat den Mitgliedstaaten der Europäischen Union die Datenschutzkonvention 108 zur Unterschrift vor. Daran wird jährlich mit dem Europäischen Datenschutztag erinnert.
„Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ lautet der Titel des Vertrags mit der Nummer 108.
SEV 108 - Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (coe.int)

Die Datenschutzkonvention 108 war der erste völkerrechtlich verbindliche Vertrag zum Datenschutz.

Eine Modernisierung gab es 2018 mit der Datenschutzkonvention 108+. Seit dem Jahr 2018 gilt zudem die Datenschutz-Grundverordnung (VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
L_2016119DE.01000101.xml (europa.eu)
(Quelle DGB Rechtsschutz GmbH)
Eine Folge dieser Rechtsnormen ist etwa, "dass personenbezogene Daten von EU Bürgern nur an Drittländer übermittelt werden dürfen, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat er ein solches angemessenes Schutzniveau verneint" (Quelle).

Vor diesem Hintergrund stellt sich die Frage, warum ausgerechnet die deutschen Kirchen ein - vom Staat unabhängiges - eigenens Datenschutzrecht beanspruchen. Wo liegen die Nöte? Nicht die Kirche oder ein Bischof haben darüber zu entscheiden, was mit den Daten der Beschäftigten, der Betreuten, der Patienten und deren Angehörigen oder der Pächter und Mieter kirchlicher Immobilien geschieht. Das Recht haben nur die Menschen, deren Daten bearbeitet werden.
Datenschutz geht jeden etwas an und steht für das grundgesetzlich abgesicherte Recht, dass jeder Mensch grundsätzlich selbst darüber entscheiden darf, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Ziel des Datenschutzes ist es unter anderem, dem "gläsernen Menschen" und den damit verbundenen Konsequenzen entgegenwirken.
(Dieser Text wurde von www.kleiner-kalender.de entnommen)

Keine Kommentare:

Kommentar veröffentlichen




Ihr könnt Eure Kommentare vollständig anonym abgeben. Wählt dazu bei "Kommentar schreiben als..." die Option "anonym". Wenn Ihr unter einem Pseudonym schreiben wollt, wählt die Option "Name/URL". Die Eingabe einer URL (Internet-Adresse) ist dabei nicht nötig.

Wir freuen uns, wenn Ihr statt "Anonym" die Möglichkeit des Kommentierens unter Pseudonym wählt. Das Kommentieren und Diskutieren unter Pseudonym erleichtert das Austauschen der Argumente unter den einzelnen Benutzern.