Tätigkeitsbericht Berichtszeitraum 2019 und 2020 - EKD ...

Die Seite wird erstellt Dörte Bayer

Computer und Technik

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

Tätigkeitsbericht Berichtszeitraum 2019 und 2020 - EKD ...

1 9
3. Tätigkeitsbericht
Berichtszeitraum 2019 und 2020

Der Beauftragte für den Datenschutz
der Evangelischen Kirche in Deutschland

Lange Laube 20
30159 Hannover

Telefon: +49 (0) 511 768128-0
Telefax: +49 (0) 511 768128-20
E-Mail: info@datenschutz.ekd.de

Diesen Tätigkeitsbericht können Sie auch auf unserer Website abrufen unter
https://datenschutz.ekd.de

3. Tätigkeitsbericht

des Beauftragten für den Datenschutz
der Evangelischen Kirche in Deutschland

für die Jahre 2019 und 2020

vorgelegt im Juni 2021

Redaktionsschluss 31. Mai 2021

Inhaltsverzeichnis
Inhaltsverzeichnis                                                                        2
Vorwort                                                                                   4

Über die Entwicklungen im Datenschutz	                                                    7
In der evangelischen Kirche                                                               8
In der römisch-katholischen Kirche                                                        9
In der Bundesrepublik Deutschland                                                         9
  Datenschutzrecht des Bundes und der Länder 								                                      9
  Datenschutzaufsicht des Bundes und der Länder 								                                  10
  Datenschutzrechtsprechung oberster Gerichte 								                                    10
In der Europäischen Union                                                                13
  Datenschutz-Grundverordnung 										                                                  13
  Europäischer Datenschutzbeauftragter 									                                          14
  Europäischer Datenschutzausschuss 									                                             14
  Datenschutzrechtssprechung des Europäischen Gerichtshofs 						                         14

Über den Beauftragten für den Datenschutz der EKD                                        17
Überblick zur Datenschutzaufsicht in der EKD                                             18
Struktur und Arbeit des BfD EKD                                                          18
  Die Behörde                                                                            20
  Aufgaben und Tätigkeiten                                                               23
  Öffentlichkeitsarbeit                                                                  29
  Kooperation mit der Aufsichtsbehörde der Nordkirche                                    30
  Vernetzung                                                                             30

Über die Themen bei Aufsicht und Beratung                                                33
Auswirkungen der Corona-Pandemie                                                         34
  Erfassung von Gottesdienstbesuchern                                                    34
  Kontaktloses Fiebermessen bei Mitarbeitenden                                           34
  Notbetreuung von Kindern während der Schließzeiten der Kindertageseinrichtung          35
  Arbeiten im Homeoffice ohne dienstliche IT-Ausstattung                                 35
  Durchführung von Videokonferenzen als Instrument zur Aufgabenwahrnehmung               36
  Anwendung des kirchlichen Datenschutzrechts                                            38
Datenerhebung und Auskunftsrecht                                                         38
  Datenerhebung bei Eltern von Kita-Kindern zur Vergabe von Ganztagsplätzen              38
  Einholung eines erweiterten Führungszeugnisses bei freigestelltem Mitglied einer MAV   39
  Auskunftsansprüche und Einsichtsrechte                                                 40
  Auskunftsanspruch von Beschäftigten                                                    40
Besondere Datenschutzthemen im gemeindlichen Alltag                                      41
  Einladung zur Jubiläumskonfirmation                                                    41
  Videoaufnahmen von Gottesdiensten                                                      42
  Veröffentlichung von Kirchenaustritten im Gemeindebrief                                42

Datenübermittlung in Drittländer und Auftragsverarbeitung                         43
  Datenübermittlung in die USA                                                    43
  Nutzung von Speicherplattformen                                                 44
  Nutzung von Microsoft 365 und Microsoft Cloud-Diensten                          45
Digitale Kommunikation und Videoüberwachung                                       47
  Durchführen eines Klientengesprächs in einer Videokonferenz                     47
  Verschicken eines Videos mit einer Bewohnerin über einen Messenger              48
  Videoüberwachung in der Theorie                                                 49
  Videoüberwachung des Opferstocks in einer Kirche                                50
Datensicherheit, Verschlüsselung und „Cookies“                                    51
  Gehackte E-Mail-Konten durch Virenbefall                                        51
  Umgang mit E-Mails bei ungeplanten Abwesenheiten von Beschäftigten              52
  Verschlüsselung von Datenträgern und E-Mails                                    52
  Einbinden von „Cookies“ auf Internetseiten                                      53
Softwareentwicklung und Softwareprüfung                                           54
  Sicherheitslücken und Schwachstellen in speziell entwickelten Webanwendungen    54
  Technische Risikobetrachtung eines Content-Management-Systems                   55
  Audits, Zertifizierungen und Softwarefreigaben                                  56
Aufbewahrung und Löschung                                                         56
  Umgang mit Gesundheitsdaten in Krankenhäusern                                   56
  Teilnehmendenliste beim Reha-Sport                                              57
  Umgang mit personenbezogenen Daten im Ehrenamt                                  57
  Telefonverzeichnis auf der Internetseite                                        59
  Anforderungen an die Aktenvernichtung                                           59

Ausblick	                                                                         60

                                                                                        3

Vorwort
    Datenschutz in Zeiten der Corona-Pandemie - Motor oder Bremse?

                              Auch beim Beauftragten für       uns „zurück geschraubt“ werden müsse. Diesem
                              den Datenschutz der EKD          Begehren ist deutlich zu widersprechen, vor allem weil
                              (BfD EKD) stand das Jahr 2020    entsprechende Erfahrungen in anderen demokratischen
                              sowohl inhaltlich als auch       Ländern nicht auf eine deutlich bessere Pandemiebe-
                              organisatorisch voll und ganz    kämpfung hindeuten. Alles in allem hat sich die in den
                              im Zeichen der Corona-           Mitgliedsstaaten der Europäischen Union seit Mai 2018
                              Pandemie. Doch auch rechtli-     geltende Datenschutz-Grundverordnung und somit ein
                              che Fragen zum EKD-Daten-        einheitliches europäisches Datenschutzrecht auch in
                              schutzgesetz, datenschutz-       Zeiten der Corona-Pandemie sehr bewährt.
                              technische Fragen zu neuen
    Technologien oder die Auswirkungen von Grundsatzent-       Als evangelische Kirche sind wir in Kirche und Diakonie
    scheidungen der Gerichte im Bereich Datenschutz haben      mit dem im Mai 2018 in Kraft getretenen EKD-Daten-
    den BfD EKD im Berichtszeitraum beschäftigt. Im Folgen-    schutzgesetz unter Berücksichtigung unserer Besonder-
    den finden Sie einige Anmerkungen und Informationen        heiten beim Thema Datenschutz eigenständig, aber
    zu diesen Fragen:                                          verlässlich und vergleichbar aufgestellt. So konnten wir
                                                               im Berichtszeitraum unsere Arbeit als Datenschutzauf-
     • Wieviel Datenschutz brauchen wir in Zeiten der          sichtsbehörde in den Bereichen Aufsicht, Beratung und
       Corona-Pandemie?                                        Weiterbildung weiter etablieren und adressatenorien-
     • Wie hat der BfD EKD im Berichtszeitraum seine           tiert verbessern und somit der Durchsetzung des „Daten-
       Arbeit strukturiert?                                    schutzgrundrechts“ auch in Kirche und Diakonie noch
     • Mit welchen (Zukunfts-)Themen beschäftigt sich der      mehr Geltung verschaffen. Dabei ist die Beratung von
       BfD EKD?                                                kirchlichen und diakonischen Stellen auch in Zeiten der
                                                               Pandemie – etwa beim Thema Homeoffice oder bei der
    Die öffentlichen Debatten und Diskussionen der letzten     Verarbeitung von Gesundheitsdaten – ein entscheiden-
    Monate während der Corona-Pandemie sind uns als            der Bestandteil unserer Arbeit, um situations- und
    Datenschützer nur allzu vertraut. Grundrechte wurden       adressatenbezogen ganz konkrete Antworten und Hilfe-
    eingeschränkt. Bei der dabei erforderlichen Abwägung       stellungen zu geben. Am Ende des Berichtszeitraums
    landen wir schnell im Spannungsfeld von Freiheit und       traten unsere Planungen für ein proaktives aufsichtli-
    Sicherheit. Für Datenschützer bedeutet das: Die Freiheit   ches Handeln mit den ersten Schwerpunktprüfungen im
    auch in Pandemiezeiten selber über den Umgang mit          Bereich Kindertageseinrichtungen in die Umsetzungs-
    meinen Daten zu entscheiden und die Sicherheit             phase und auch das Thema Weiterbildungen wird mit
    vor Ansteckung und Infizierung mit dem Coronavirus         neuem Schwung online fortgesetzt. Pandemiebedingt
    SARS-CoV-2. Die Datenschutzgrundlage im Grund-             erfüllt der BfD EKD seine Aufgaben stärker als bisher digi-
    gesetz – das Grundrecht auf informationelle Selbstbe-      tal und sieht sich dabei ständig auch seinem „eigenen“
    stimmung – blieb von Einschränkungen bisher weitge-        Thema kritisch ausgesetzt. Diese Herausforderungen
    hend unangetastet. Die Einhaltung des Datenschutzes        bieten auch für uns neue Chancen und Möglichkeiten.
    war für alle Beteiligten – zum Beispiel bei der Entwick-
    lung der sog. Corona-Warn-App – leitend. Diese Ent-        Durch das sog. Schrems II-Urteil des Europäischen
    scheidung wirkte bei der Bewältigung der Corona-           Gerichtshofs (EuGH) aus Juli 2020 wurde mit der Abkehr
    Pandemie für breite Teile der Bevölkerung vertrauensbil-   vom EU-US Privacy Shield das Thema der rechtmäßigen
    dend. Hingegen rufen Einige beim Datenschutzblick auf      Datenübermittlung in den Drittstaat USA auf die europäi-
    andere Länder immer lauter, dass der Datenschutz zur       sche Tagesordnung gehoben. Die Vorgaben im Urteil des
    Bewältigung der Corona-Pandemie nun endlich auch bei       EuGH sind eindeutig, aber rechtskonforme und

4

technisch-umsetzbare Lösungen für den Datentransfer          nen Daten in ihrem Persönlichkeitsrecht beeinträchtigt
in die USA sind bisher noch nicht abschließend erarbei-      wird, ist somit aktueller denn je!
tet und umgesetzt. Gerade beim Einsatz von Videokonfe-
renzsystemen und anderen Softwaretools – etwa im             Allen Mitarbeiterinnen und Mitarbeitern, die an der
Bereich Social Media und neuer digitaler Kommunikati-        Erstellung dieses Tätigkeitsberichts beteiligt waren, gilt
onsformen – merken wir die sich daraus ergebenden            mein herzlicher Dank!
praktischen Probleme, vor allem beim Datentransfer in
die USA, sehr deutlich. Bei alledem sollten wir die vielen   Den Leserinnen und Lesern wünsche ich bei der Lektüre
– unabhängig von der Corona-Pandemie bestehenden –           dieses Tätigkeitsberichts nunmehr viele interessante
rechtlichen und technischen Datenschutzherausforde-          und hilfreiche Erkenntnisse im Bereich des (kirchlichen)
rungen unserer Zeit nicht aus dem Blick verlieren! Auch      Datenschutzes!
die Entwicklung von künstlicher Intelligenz schreitet im
beruflichen und privaten Alltag unaufhaltsam voran und       Hannover, im Juni 2021
wirft weiterhin viele rechtliche und ethische Fragen im
Datenschutz auf. Und auf das unter dem Begriff Big Data
zusammengefasste Sammeln, Speichern und Verknüp-
fen von Daten gibt es im europäischen Datenschutzrecht
weiterhin nur wenige zukunftsweisende Antworten.             Michael Jacob
                                                             Der Beauftragte für den Datenschutz
Dieser Tätigkeitsbericht versteht sich in der Tradition      der Evangelischen Kirche in Deutschland
und Weiterentwicklung der bisher vom BfD EKD vor-
gelegten Tätigkeitsberichte für die Berichtszeiträume
2015/2016 und 2017/2018. Dabei wurde erstmals das
Kapitel I „Über die Entwicklungen im Datenschutz“
ergänzt um wichtige Datenschutzgrundsatzentschei-
dungen der Gerichte auf nationaler und europäischer
Ebene und somit im Ganzen rechtlicher. Das Kapitel II
„Über den Beauftragten für den Datenschutz der
EKD“ wurde weiter gekürzt und konzentriert. Das
Kapitel III „Über die Themen bei Aufsicht und Bera-
tung“ wurde mit vielen unterschiedlichen konkreten
Beispielen und Themen aus dem rechtlichen und
technischen Datenschutz angereichert und somit
deutlich praxisbezogener, umfangreicher und techni-
scher als in den bisherigen Tätigkeitsberichten.

Auch in Zeiten der Corona-Pandemie brauchen wir in
Staat und Kirche einen grundrechtebasierten Daten-
schutz! Das „Datenschutzgrundrecht“ hat sich stets als
ein verlässlicher Partner an der Seite der Menschen
erwiesen. Die gesetzliche Aufforderung im EKD-Daten-
schutzgesetz, jede einzelne Person davor zu schützen,
dass sie durch den Umgang mit ihren personenbezoge-

                                                                                                                          5

Über die Entwicklungen im Datenschutz
Der Datenschutz in seiner heutigen Form hat eine
fünfzigjährige Entwicklung hinter sich. Doch seine Ursprünge
im kirchlichen Bereich sind mit dem Beicht- und Seelsorge-
geheimnis viel älter! Vor diesem Hintergrund wird in diesem
Kapitel über die aktuellen Entwicklungen des Datenschutzes
im kirchlichen und staatlichen Bereich informiert. Beim Blick
nach vorne stehen heute sowohl der staatliche als auch der
kirchliche Datenschutz vor großen Herausforderungen!

                                                                7

Über die Entwicklungen im Datenschutz

In der evangelischen Kirche soll sich nach Planungen des zuständigen Referates in
der Rechtsabteilung des Kirchenamtes der EKD im
Das Kirchengesetz über den Datenschutz der Evangeli- 1. Quartal 2022 eine Arbeitsgruppe konstituieren, die
schen Kirche in Deutschland (EKD-Datenschutzgesetz – dann spätestens Anfang des 2. Quartals 2022 die Arbeit
DSG-EKD) trat in seiner novellierten Fassung am aufnimmt. In den letzten Jahren seit Inkrafttreten des
24. Mai 2018 in Kraft. Die Novellierung stand in engem neuen EKD-Datenschutzgesetzes hat das zuständige
Zusammenhang mit der europäischen Datenschutz- Referat bereits Hinweise – sowohl redaktioneller als
Grundverordnung (DSGVO), die seit dem 25. Mai 2018 in auch inhaltlicher Art – aufgenommen. Weitere Anregun-
allen Mitgliedsstaaten der Europäischen Union gilt. Die gen und Änderungsbedarfe werden zu Beginn des Über-
beiden großen Kirchen in Deutschland hatten sich zuvor prüfungsprozesses bei den Gliedkirchen, den
entschieden dafür eingesetzt, dass das kirchliche Daten- diakonischen Werken und den Beauftragten für den
schutzrecht in Deutschland – welches in Europa in dieser Datenschutz in der EKD erfragt. Die Ergebnisse der Über-
Form singulär ist – weiterhin Bestand hat und die prüfung sollen im Herbst 2023 der Synode der EKD vor-
Kirchen eigene unabhängige Aufsichtsbehörden errich- gelegt werden. Zur Vorbereitung der Evaluation
ten können. Diese Bemühungen waren erfolgreich und erarbeitet der BfD EKD bereits zum jetzigen Zeitpunkt
fanden Ausdruck in Art. 91 DSGVO. eine umfängliche Liste mit Änderungs- und Formulie-
rungsvorschlägen.
Art. 91
Zwischenzeitlich haben darüber hinaus nahezu alle
Bestehende Datenschutzvorschriften von Kirchen Gliedkirchen von ihrem Recht aus § 54 Abs. 2 DSG-EKD
und religiösen Vereinigungen oder Gemeinschaften Gebrauch gemacht und für ihren Bereich Durchführungs-
bestimmungen zum EKD-Datenschutzgesetz bzw. ergän-
(1) Wendet eine Kirche oder eine religiöse Vereini- zende Bestimmungen zum Datenschutz erlassen. Mit
gung oder Gemeinschaft in einem Mitgliedstaat dieser Rechtsgrundlage im EKD-Datenschutzgesetz wird
zum Zeitpunkt des Inkrafttretens dieser Verord- den Gliedkirchen ermöglicht, spezielle und an ihre
nung umfassende Regeln zum Schutz natürlicher Bedürfnisse angepasste Datenschutzregelungen zu tref-
Personen bei der Verarbeitung an, so dürfen fen, soweit sie dem Recht der EKD nicht widersprechen.
diese Regeln weiter angewandt werden, sofern
sie mit dieser Verordnung in Einklang gebracht Gemäß Art. 91 Abs. 2 DSGVO können Kirchen, die umfas-
werden. sende Datenschutzregeln anwenden, eine unabhängige
(2) Kirchen und religiöse Vereinigungen oder Aufsichtsbehörde spezifischer Art errichten. Im Bereich
Gemeinschaften, die gemäß Absatz 1 umfas- der evangelischen Kirche gibt es neben dem Beauftrag-
sende Datenschutzregeln anwenden, unterliegen ten für den Datenschutz der EKD und der von ihm gelei-
der Aufsicht durch eine unabhängige Aufsichts- teten Aufsichtsbehörde drei weitere Aufsichtsbehörden.
behörde, die spezifischer Art sein kann, sofern sie Der Beauftragte für den Datenschutz der EKD übt die
die in Kapitel VI niedergelegten Bedingungen Datenschutzaufsicht in der evangelischen Kirche über
erfüllt. weite Bereiche von Kirche und Diakonie aus. Über die
Aufgabenerledigung des Beauftragten für den Daten-
Nachdem auf dieser gesetzlichen Grundlage die EKD mit schutz der EKD wird in Kapitel II und III dieses Tätigkeits-
dem novellierten EKD-Datenschutzgesetz ihre Daten- berichts ausführlich Rechenschaft abgelegt. Weitere
schutzregelungen mit der DSGVO rechtzeitig in Einklang Informationen über den BfD EKD können der Website
gebracht hatte, steht nun eine Evaluation des https://datenschutz.ekd.de/ entnommen werden.
EKD-Datenschutzgesetzes bevor. Gemäß § 54 Abs. 4
DSG-EKD soll das EKD-Datenschutzgesetz innerhalb von Im Ganzen hat das Thema Datenschutz in den letzten
fünf Jahren, also bis Ende Mai 2023, überprüft werden. Jahren auch in der evangelischen Kirche weiter an
Die Evaluation des EKD-Datenschutzgesetzes wird feder- Bedeutung gewonnen. Im Mittelpunkt steht dabei
führend durch das Kirchenamt der EKD betreut. Damit gerade auch beim kirchlichen Datenschutz immer der
bis Mai 2023 Ergebnisse einer Überprüfung vorliegen, Schutz des einzelnen Menschen mit seinen personenbe-

zogenen Daten, um so das aus dem Grundgesetz Datenschutzbeauftragten im Bereich der katholischen
abgeleitete Grundrecht auf informationelle Kirche in Deutschland. Die Konferenz trifft sich regel-
Selbstbestimmung für jeden einzelnen Menschen zu mäßig zur Erarbeitung gemeinsamer Entschließungen
garantieren. Für die Kirchen hat der Schutz von perso- und Empfehlungen und zum Austausch über Daten-
nenbezogenen Daten vor dem Hintergrund des kirchli- schutzfragen. Der Vorsitz der Konferenz wechselt jähr-
chen Auftrags und des christlichen Menschenbildes auch lich.
im Hinblick auf das Beicht- und Seelsorgegeheimnis von
jeher eine besondere Bedeutung.
In der Bundesrepublik Deutschland

In der römisch-katholischen Kirche In der Bundesrepublik Deutschland wurde das Daten-
schutzrecht im Berichtszeitraum ebenfalls durch eine
Wie die evangelische Kirche fällt auch die katholische Überprüfung und Anpassung der staatlichen daten-
Kirche unter die Vorgaben in Art. 91 Abs. 1 DSGVO und schutzrechtlichen Bestimmungen sowie durch neue
kann somit (weiterhin) eigenes Datenschutzrecht Rechtsprechung weiterentwickelt.
anwenden. Am 24. Mai 2018 wurde das Gesetz über den
Kirchlichen Datenschutz (KDG) durch die Diözesan- Datenschutzrecht des Bundes und der Länder
bischöfe in ihren Diözesen in Kraft gesetzt. Gemäß Am 20. November 2019 hat der Deutsche Bundestag mit
§ 58 Abs. 2 KDG soll das KDG innerhalb von drei Jahren Zustimmung des Bundesrates das Zweite Gesetz zur
ab Inkrafttreten am 24. Mai 2018 überprüft werden. Vor- Anpassung des Datenschutzrechts an die Verordnung
schläge für Gesetzesänderungen werden zurzeit in einer (EU) 2016/679 und zur Umsetzung der Richtlinie (EU)
Arbeitsgruppe erarbeitet, die sich bereits konstituiert 2016/680 (Zweites Datenschutz-Anpassungs- und
hat. Umsetzungsgesetz EU – 2. DSAnpUG-EU) beschlossen.
Im Rahmen des 2. DSAnpUG-EU wurden auch mehrere
Neben dem KDG finden in der römisch-katholischen Kir- Änderungen im Bundesdatenschutzgesetz (BDSG) vor-
che weitere datenschutzrechtliche Bestimmungen genommen. Die wichtigsten Änderungen werden im Fol-
Anwendung. So ist gleichzeitig mit dem KDG die Kirchli- genden kurz erläutert.
che Datenschutzgerichtsordnung (KDSGO) in Kraft getre-
ten, die unter anderem die Errichtung, Zusammen- • Eine auch in der Öffentlichkeit wahrgenommene
setzung und die Zuständigkeiten der kirchlichen Gerichte Änderung betrifft die Regelung in § 38 Abs. 1 BDSG,
in Datenschutzangelegenheiten regelt. Weitere wichtige die sich mit der Benennung von Datenschutzbeauf-
Rechtsquellen sind die Durchführungsverordnung zum tragten von nichtöffentlichen Stellen befasst. Nach
Gesetz über den Kirchlichen Datenschutz (KDG-DVO) der Gesetzesänderung sind der Verantwortliche und
sowie das Gesetz über das Verwaltungsverfahren im der Auftragsverarbeiter zur Benennung einer Daten-
kirchlichen Datenschutz (KDS-VwVfG), die ergänzende schutzbeauftragten oder eines Datenschutzbeauf-
Bestimmungen zum KDG und zu den Tätigkeiten der tragten verpflichtet, soweit sie mindestens
kirchlichen Datenschutzaufsichten enthalten. 20 Personen ständig mit der automatisierten Verar-
beitung personenbezogener Daten beschäftigen.
Im Blick auf Art. 91 Abs. 2 DSGVO sind in der katholischen Damit wurde die Schwelle von 10 auf 20 Mitarbei-
Kirche die Diözesanbischöfe aufgrund ihrer Gesetzge- tende hochgesetzt. Die Gesetzesänderung soll zur
bungsgewalt für ihren Zuständigkeitsbereich befugt, Entlastung von kleinen und mittleren Unternehmen
Diözesandatenschutzbeauftragte zu ernennen. Die (KMU) beitragen.
Datenschutzaufsicht im Bereich der römisch-katholi- • Eine weitere wichtige Änderung betrifft § 26 BDSG.
schen Kirche gliedert sich deutschlandweit in fünf Regio- § 26 BDSG regelt die Datenverarbeitung für Zwecke
nen. In jeder Region wird die Datenschutzaufsicht durch des Beschäftigungsverhältnisses. In Absatz 2 geht
eine Diözesandatenschutzbeauftragte oder einen Diöze- es um die Voraussetzungen für eine wirksame Ein-
sandatenschutzbeauftragten wahrgenommen. Die Diö- willigung von Mitarbeitenden. Während § 26 Abs. 2
zesandatenschutzbeauftragten bilden die Konferenz der Satz 3 BDSG bisher ein Schriftformerfordernis für die

Über die Entwicklungen im Datenschutz

Einwilligung von Mitarbeitenden im Rahmen des zwischen 20 und 90 Mitarbeitende.
Beschäftigungsverhältnisses vorsah, reicht nun
auch die elektronische Form für die Erteilung einer Die Konferenz der unabhängigen Datenschutzbehörden
Einwilligung aus. des Bundes und der Länder (Datenschutzkonferenz –
• In § 22 BDSG sind Tatbestände geregelt, nach denen DSK) beschäftigt sich mit aktuellen Fragen des
abweichend von Art. 9 Abs. 1 DSGVO die Zulässigkeit Datenschutzes in Deutschland und nimmt zu ihnen
der Verarbeitung besonderer Kategorien von perso- Stellung. Die Datenschutzkonferenz besteht aus dem
nenbezogenen Daten erlaubt wird. Im Rahmen des Bundesdatenschutzbeauftragten, den Landesdaten-
2. DSAnpUG-EU wurde nun eine Rechtsgrundlage, schutzbeauftragten der 16 Bundesländer und dem Präsi-
die bisher nach § 22 Abs. 1 Nr. 2 lit. a) BDSG nur für denten des Bayerischen Landesamtes für Datenschutz-
öffentliche Stellen galt, auch für nichtöffentliche aufsicht. Die DSK ist in verschiedene Arbeitskreise
Stellen aufgenommen. Nach § 22 Abs. 1 Nr. 1 lit. d) untergliedert. Sie veröffentlicht auf ihrer Website
BDSG dürfen nun besondere Kategorien von perso- (https://www.datenschutzkonferenz-online.de/) regel-
nenbezogenen Daten von öffentlichen und nichtöf- mäßig Entschließungen zu wichtigen Entwicklungen
fentlichen Stellen verarbeitet werden, wenn dies aus und Themen im Bereich Datenschutz.
Gründen eines erheblichen öffentlichen Interesses
zwingend erforderlich ist. Datenschutzrechtsprechung oberster Gerichte
Im Berichtszeitraum sind jeweils zwei grundlegende
Datenschutzaufsicht des Bundes und der Länder Urteile des Bundesverwaltungsgerichts (BVerwG) sowie
Der Bundesbeauftragte für den Datenschutz und die des Bundesverfassungsgerichts (BVerfG) zum Daten-
Informationsfreiheit (BfDI) ist eine unabhängige eigen- schutz ergangen.
ständige oberste Bundesbehörde für den Datenschutz
und die Informationsfreiheit. In dieser Funktion über- Videoüberwachung in Arztpraxis
wacht er im föderalen System Deutschlands gemäß Im Urteil vom 27. März 2019 hat sich das BVerwG mit den
§ 9 BDSG die Einhaltung des Datenschutzrechts in öffent- datenschutzrechtlichen Anforderungen an eine Video-
lichen Stellen des Bundes sowie in Unternehmen, die überwachung zu privaten Zwecken auseinandergesetzt
Telekommunikations- und Postdienstleistungen erbrin- (BVerwG, Urteil vom 27.03.2019, Az.: 6 C 2.18).
gen. Die Behörde wird seit Anfang 2019 von Prof. Ulrich
Kelber geleitet und hat rund 220 Mitarbeitende. Hintergrund des Urteils ist die Klage einer Zahnärztin,
die in ihrer Praxis oberhalb des Empfangstresens eine
Die Aufsichtsbehörden der Länder überwachen nach Videokamera angebracht hatte. Die Videokamera
dem jeweiligen Landesrecht bei den öffentlichen Stellen erfasste den Bereich hinter dem Empfangstresen sowie
des Landes sowie den nichtöffentlichen Stellen die diejenigen Bereiche, in denen sich die Besucher aufhiel-
Anwendung der Vorschriften über den Datenschutz und ten. An der Außenseite der Eingangstür sowie am Emp-
beraten die Stellen in Fragen des Datenschutzes. Im Rah- fangstresen selbst war jeweils ein Schild mit der
men dieser Aufgabenerfüllung sind sie unabhängig, Aufschrift „Videogesichert“ angebracht.
weisungsfrei und nur dem Gesetz unterworfen. Die
Rechtsstellung und die Befugnisse der Landesdaten- Die zuständige Datenschutzaufsichtsbehörde ordnete im
schutzbeauftragten sind in den jeweiligen Landesdaten- Jahr 2012 an, die Videokamera so auszurichten, dass die
schutzgesetzen geregelt. Die Landesdatenschutz- Bereiche, in denen sich die Besucher aufhielten, wäh-
beauftragten von Baden-Württemberg, Berlin, Branden- rend der Öffnungszeiten der Praxis nicht mehr erfasst
burg, Bremen, Hamburg, Hessen, Mecklenburg-Vorpom- werden. Die Klägerin wendete sich gegen diese Anord-
mern, Nordrhein-Westfalen, Rheinland-Pfalz, des nung. Die Klage blieb in allen Instanzen erfolglos und
Saarlandes, Sachsen-Anhalt, Schleswig-Holstein und wurde in letzter Instanz vom BVerwG zurückgewiesen.
Thüringen sind auch für die Informationsfreiheit bezie-
hungsweise für das Akteneinsichtsrecht zuständig. Je Das BVerwG stellte in seinem Urteil fest, dass eine Video-
nach Größe des Bundeslandes und nach Aufgabengebiet überwachung zu privaten Zwecken nur dann zulässig ist,
der Behörde haben die Landesdatenschutzbeauftragten wenn der datenschutzrechtlich Verantwortliche plau-

sible Gründe für die Erforderlichkeit der Maßnahme dar- die Deaktivierung der Fanpage an. Gegen diese Anord-
legt. Der Grund müsse hinreichend durch Tatsachen nung wendete sich die Klägerin. In den Vorinstanzen war
oder die allgemeine Lebenserfahrung belegt sein und es die Klage der Klägerin erfolgreich. Erst im Revisionsver-
dürfe keine andere gleich wirksame, aber mildere Maß- fahren hob das BVerwG das Urteil des Oberverwaltungs-
nahme in Betracht kommen. Diese Voraussetzungen gerichts auf und verwies die Sache zur erneuten
waren in dem zugrundeliegenden Fall nicht gegeben. Entscheidung dorthin zurück.
Das BVerwG hat in Übereinstimmung mit den vorherigen
Instanzen geurteilt, dass die Videoüberwachung unzu- Zuvor hatte das BVerwG den Europäischen Gerichtshof
lässig gewesen sei. Es seien keine plausiblen Gründe für (EuGH) in einem Vorabentscheidungsverfahren um die
die Erforderlichkeit der Videoüberwachung vorgebracht Auslegung verschiedener datenschutzrechtlicher
worden. Die Anordnung der Datenschutzaufsichtsbe- Bestimmungen gebeten. Der EuGH hat entschieden,
hörde sei ermessensfehlerfrei und verhältnismäßig dass Betreiber einer Facebook-Fanpage für die Datenver-
erfolgt. Die dauerhaft andere Ausrichtung der Kamera arbeitung auf dieser Fanpage datenschutzrechtlich mit-
sei das mildeste Mittel gewesen. verantwortlich sind. Die Mitverantwortung folge aus der
Tatsache, dass Facebook durch den Betreiber der Fan-
Das Urteil des BVerwG beruht noch auf der Rechtslage page die Möglichkeit erhalte, auf die personenbezoge-
vor dem Inkrafttreten der DSGVO. Das BVerwG hat in nen Daten der Nutzer zuzugreifen und Cookies zu
dem Urteil jedoch auch auf die neue Rechtslage Bezug platzieren. Dies gelte unabhängig davon, ob die betroffe-
genommen und diesbezüglich geäußert, dass nach der nen Personen ein Facebook-Konto haben oder nicht.
neuen Rechtslage die gleichen Anforderungen an eine
Videoüberwachung zu privaten Zwecken zu stellen sind. Auf dieser Grundlage stellte das BVerwG fest, dass der
Danach seien Videoüberwachungen zu privaten Zwe- Betreiber einer Facebook-Fanpage Verantwortlicher im
cken an Art. 6 Abs. 1 Unterabs. 1 lit. f) DSGVO zu messen. Sinne des Datenschutzrechts ist. Er könne insofern auch
Eine Verarbeitung personenbezogener Daten auf der Adressat einer datenschutzrechtlichen Anordnung sein.
Grundlage von Art. 6 Abs. 1 Unterabs. 1 lit. e) DSGVO Insbesondere sei die Datenschutzaufsichtsbehörde auch
komme bei Privatpersonen grundsätzlich nicht in nicht gehalten gewesen, sich direkt an Facebook zu wen-
Betracht. Dies setze voraus, dass die Privatpersonen im den. Kämen mehrere Stellen als Verantwortliche im
öffentlichen Interesse oder in Ausübung öffentlicher Sinne des Datenschutzrechts in Betracht, so sei eine
Gewalt dazu befugt seien auf personenbezogene Daten Ermessensausübung bezüglich der Auswahl des Adres-
zuzugreifen. Dies sei nur der Fall, wenn Privatpersonen saten erforderlich. Im Sinne des Gebotes einer effektiven
anstelle einer Behörde tätig werden. und wirkungsvollen Gefahrenabwehr sei es zulässig,
denjenigen Verantwortlichen heranzuziehen, der den
Deaktivierungsanordnung gegen Facebook-Fanpage- rechtswidrigen Zustand schnell und effektiv beseitigen
Betreiber kann. Da vorausgegangene Gespräche zwischen der
In einem weiteren Urteil zum Datenschutz vom Datenschutzaufsichtsbehörde und Facebook selbst
11. September 2019 hat das BVerwG entschieden, dass erfolglos geblieben seien, sei die Inanspruchnahme der
die Betreiber einer Facebook-Fanpage für die damit in Bildungseinrichtung zulässig gewesen.
Zusammenhang stehenden Datenverarbeitungen mit-
verantwortlich sind und somit potenzieller Adressat Das Urteil des BVerwG beruht noch auf der Rechtslage
einer Anordnung einer Datenschutzaufsichts- vor dem Inkrafttreten der DSGVO. Der Grundsatz der
behörde sein können (BVerwG, Urteil vom 11.09.2019, gemeinsamen Verantwortlichkeit ist nunmehr sowohl in
Az.: 6 C 15.18). der DSGVO als auch im EKD-Datenschutzgesetz aus-
drücklich geregelt.
Eine gemeinnützige Bildungseinrichtung hat eine
Facebook-Fanpage betrieben, auf der sie die Bildungs- „Recht auf Vergessen I“
einrichtung sowie das Bildungsangebot präsentierte. Die In dem Beschluss vom 6. November 2019 beschäftigt
zuständige Datenschutzaufsichtsbehörde ordnete auf- sich das BVerfG mit dem „Recht auf Vergessen“ (BVerfG,
grund schwerwiegender datenschutzrechtlicher Mängel Beschluss vom 06.11.2019, Az.: 1 BvR 16/13).

Über die Entwicklungen im Datenschutz

Dem Beschluss liegt die Beschwerde einer Person Eine anonymisierte Berichterstattung beschränke
zugrunde, die sich gegen die kostenlose und barriere- sowohl die Informationsmöglichkeiten der Öffentlich-
freie Bereitstellung von über 30 Jahre alten Pressearti- keit sowie das Recht der Presse, selbst zu entscheiden,
keln in Onlinearchiven eines Verlags richtet. Der wann und worüber sie berichtet.
Beschwerdeführer ist 1982 rechtskräftig wegen Mordes
verurteilt worden. In den Artikeln, die aus den Jahren Um einen angemessenen Ausgleich der Interessen zu fin-
1982 und 1983 stammen, wird der Beschwerdeführer den, stellte das BVerfG fest, dass ein Verlag anfänglich
namentlich genannt. Gibt man den Namen des rechtmäßig veröffentlichte Berichte grundsätzlich auch
Beschwerdeführers in Internetsuchmaschinen ein, in Onlinearchive einstellen dürfe. Erst wenn sich der
gelangt man zu diesen Artikeln. Betroffene mit gewichtigen Gründen an ihn wende, seien
entsprechende Schutzmaßnahmen geboten. Ziel sei es,
Der Beschwerdeführer erhob zunächst Unterlassungs- einen Ausgleich zwischen dem Schutz des Betroffenen
klage gegen den Verlag. Die Klage blieb in allen Instan- und dem ungehinderten Zugriff auf die Originaltexte zu
zen erfolglos und wurde zuletzt vom BGH abgewiesen. finden.
Anschließend erhob der Beschwerdeführer Verfassungs-
beschwerde und berief sich dabei auf die Verletzung sei- „Recht auf Vergessen II“
nes Allgemeinen Persönlichkeitsrechts. Das BVerfG gab Das BVerfG beschäftigte sich in einem weiteren Beschluss
dem Beschwerdeführer recht und hob das Urteil des vom 6. November 2019 ebenfalls mit dem „Recht auf
BGH auf und wies die Sache zur erneuten Entscheidung Vergessen“ (BVerfG, Beschluss vom 06.11.2019,
dorthin zurück. Az.: 1 BvR 276/17).

In dem Beschluss stellte das BVerfG zunächst fest, dass Dem Beschluss liegt ein Beitrag des Norddeutschen
der Sachverhalt, obwohl er grundsätzlich in den Anwen- Rundfunks (NDR) zu dem Thema „Kündigung: Die fiesen
dungsbereich des Unionsrechts fällt, primär am Maßstab Tricks der Arbeitgeber“ zugrunde, der in einer Sendung
der Grundrechte des Grundgesetzes zu messen ist. Es sei aus dem Jahr 2010 ausgestrahlt wurde. Die Beschwerde-
eine Abwägung zwischen dem Allgemeinen Persönlich- führerin hat als Geschäftsführerin eines Unternehmens
keitsrecht des Beschwerdeführers und der Meinungs- zuvor ein Interview für den Beitrag gegeben. Dieses
und Pressefreiheit des Verlags vorzunehmen. wurde am Ende der Sendung im Zusammenhang mit der
Kündigung eines ehemaligen Mitarbeitenden des Unter-
Im Rahmen der Abwägung berücksichtigte das Gericht nehmens gezeigt.
auch die zeitlichen Umstände. Dabei stellte es fest, dass
bei einer aktuellen Berichterstattung über Straftaten Der Beitrag wurde nach der Ausstrahlung unter dem Titel
grundsätzlich das Informationsinteresse überwiegt. Die- „Die fiesen Tricks der Arbeitgeber“ auf der Internetseite
ses nehme aber mit der Zeit immer weiter ab. In die des NDR veröffentlicht. Durch Eingabe des Namens der
Abwägung müsse auch die Wirkung und der Gegenstand Beschwerdeführerin bei dem Suchmaschinenbetreiber
der Berichterstattung miteinbezogen werden. Insbeson- Google wurde der Beitrag als eines der ersten Sucher-
dere komme es darauf an, wieweit die Berichte das gebnisse angezeigt. Die Beschwerdeführerin reichte
Privatleben und die Entfaltungsmöglichkeiten des Betrof- zunächst Klage gegen Google ein, die zuletzt vom Ober-
fenen beeinträchtigen. landesgericht abgewiesen wurde. Anschließend erhob
die Beschwerdeführerin Verfassungsbeschwerde wegen
Aufgrund der Digitalisierung blieben Informationen dau- der Verletzung ihres Allgemeinen Persönlichkeitsrechts
erhaft verfügbar. Betroffene Personen müssten daher und ihres Grundrechts auf informationelle Selbstbestim-
durch die Rechtsordnung davor geschützt werden, sich mung.
frühere Positionen, Äußerungen und Handlungen dauer-
haft von der Öffentlichkeit vorhalten lassen zu müssen. Das BVerfG hat entschieden, dass die Verfassungs-
beschwerde zwar zulässig, aber unbegründet ist. Da der
Daneben müsse jedoch auch die Meinungs- und Presse- Sachverhalt in den Anwendungsbereich des Unions-
freiheit des Verlags ausreichend berücksichtigt werden. rechts falle, seien die Grundrechte der Beschwerdefüh-

rerin auf Achtung des Privat- und Familienlebens aus dung der DSGVO in der Praxis der Mitgliedstaaten zieht.
Art. 7 der Grundrechtecharta (GRCh) sowie das Grund- Gleichzeitig stellte sie fest, dass es noch zu früh sei,
recht auf Schutz personenbezogener Daten aus definitive Schlussfolgerungen aus der Bestandsauf-
Art. 8 GRCh gegen das Recht des Suchmaschinenbetrei- nahme ziehen zu können. Die EU-Kommission betonte in
bers auf unternehmerische Freiheit aus Art. 16 GRCh dem Bericht unter anderem die große Bedeutung der
gegeneinander abzuwägen. Ebenfalls seien die unmittel- Sicherstellung einer adäquaten Ausstattung der Daten-
bar betroffenen Grundrechte Dritter miteinzubeziehen. schutzaufsichtsbehörden in personeller, finanzieller wie
Dazu gehören das Informationsinteresse der Öffentlich- auch technischer Hinsicht und kündigte an, die Unab-
keit sowie die Meinungsfreiheit des NDR. Die Abwägung hängigkeit der Datenschutzaufsichtsbehörden auch
ergebe, dass gegenwärtig das Interesse an der Veröffent- künftig kritisch überwachen zu wollen. Verbesserungs-
lichung des Beitrags das Interesse der Beschwerdeführe- bedarf attestierte die EU-Kommission im Blick auf die
rin an der Auslistung überwiege. datenschutzrechtlichen Anforderungen bei kleinen und
mittleren Unternehmen (KMU).
Der Beitrag beziehe sich auf ein berufliches Verhalten
der Beschwerdeführerin, das in die Gesellschaft hinein- Entschließung Bundesrat
wirke. Es sei nicht allein ihr Privatleben betroffen. Auch Auch der Bundesrat hat eine Entschließung (BR-Drucksa-
habe sie dem Interview zugestimmt. Daher bestehe ein che 570/19) gefasst und die Bundesregierung gebeten,
fortdauerndes, wenn auch mit der Zeit abnehmendes die in der Entschließung genannten Anliegen der Bun-
öffentliches Informationsinteresse, das die Veröffentli- desländer bei den weiteren Beratungen zu berücksichti-
chung des Beitrags rechtfertige. Die Beschwerdeführerin gen. Hierbei stehen sowohl Praxisprobleme in der
müsse die belastende Wirkung hinnehmen. Ein Anspruch Anwendung der DSGVO bei kleinen und mittleren Unter-
auf Auslistung sei daher zum gegenwärtigen Zeitpunkt nehmen (KMU), Vereinen und Ehrenamtlichen als auch
nicht gegeben. die zunehmende Konzentration der Datenverarbeitung
bei einzelnen Anbietern bzw. Plattformen im Fokus. Auch
auf die Risiken der zunehmenden Verbreitung von
In der Europäischen Union „Scoring und Profiling“ sowie auf die Chancen und
Risiken von künstlicher Intelligenz als auch Blockchain-
In der Europäischen Union wurde das Datenschutzrecht Anwendungen wird hingewiesen. Neben dem Wunsch
im Berichtszeitraum durch eine Evaluierung der DSGVO der Bundesländer an die Bundesregierung, sich auf der
und durch die europäische Rechtsprechung weiterent- europäischen Ebene gegen eine Beschränkung von Öff-
wickelt. nungsklauseln und somit von Abweichungsmöglichkei-
ten der einzelnen Mitgliedsstaaten einzusetzen, werden
Datenschutz-Grundverordnung auch einzelne Punkte genannt, die in der konkreten Aus-
Im Rahmen der Evaluierung der DSGVO haben auf euro- legung der DSGVO derzeit noch umstritten sind. Hier sei
päischer und nationaler Ebene verschiedene Stellen mit- exemplarisch die Frage genannt, wann eine gemeinsame
gewirkt. Festlegung der Zwecke und Mittel zur Datenverarbeitung
bei gemeinsam Verantwortlichen gemäß Art. 26 DSGVO
Evaluierung EU-Kommission anzunehmen ist.
Gemäß Art. 97 DSGVO muss die DSGVO nach zwei Jahren
und danach alle vier Jahre einer Evaluierung durch die Erfahrungsbericht der DSK
EU-Kommission unterzogen werden. Im Vordergrund Der Erfahrungsbericht der Konferenz der unabhängigen
steht dabei insbesondere die Anwendung und die Wir- Datenschutzaufsichtsbehörden des Bundes und der Län-
kungsweise der Kapitel 5 und 7 der Verordnung. Zur der (DSK) zur Evaluierung der Anwendung der DSGVO
Überprüfung und Bewertung kann die Kommission auch bewertet neun Schwerpunkte und enthält Änderungs-
Informationen und Einschätzungen der nationalen Auf- vorschläge. So wird beispielsweise festgestellt, dass
sichtsbehörden und der Mitgliedstaaten anfordern. Am Umfang und Inhalt der Informationspflichten möglicher-
24. Juni 2020 hat die EU-Kommission einen Bericht vor- weise praktikabler und bürgerfreundlicher definiert
gelegt, in dem sie eine erste positive Bilanz zur Anwen- werden könnten. In der Praxis stelle sich zumindest in

Über die Entwicklungen im Datenschutz

manchen Konstellationen die Frage nach der Umfang des „Rechts auf Vergessen“
Alltagstauglichkeit. Unsicherheiten bei der Meldung von In seinen beiden Urteilen vom 24. September 2019 hat
Datenpannen hätten im Übrigen zu einem sehr hohen der EuGH eine Konkretisierung zum Umfang des sog.
Anstieg der Meldungen geführt. Auch hier gebe es noch „Rechts auf Vergessen“ vorgenommen (EuGH, Urteile
Klarstellungsbedarf. vom 24.09.2019, Az.: C-136/17 und C-507/17).

Europäischer Datenschutzbeauftragter Das gemäß Art. 17 DSGVO gewährte Recht verpflichtet
Der Europäische Datenschutzbeauftragte (EDSB) ist die verantwortliche Stellen, die personenbezogene Daten
zuständige Datenschutzkontrollbehörde für alle öffentlich gemacht haben, im Fall einer Löschung ange-
EU-Organe und EU-Einrichtungen. Den EDSB gibt es seit messene Maßnahmen zu treffen. So ist z. B. nach einer
dem Jahr 2004. Er hat seinen Sitz in Brüssel und beschäf- Veröffentlichung auf der Internetseite ein Suchmaschi-
tigt derzeit rund 100 Mitarbeitende. nenbetreiber davon zu unterrichten, dass eine betrof-
fene Person die Löschung aller Links, Kopien oder
Europäischer Datenschutzausschuss Replikationen seiner personenbezogenen Daten ver-
Durch die DSGVO wurde mit dem Europäischen Daten- langt hat.
schutzausschuss (EDSA) mit Sitz in Brüssel ein neues
Gremium geschaffen. In Kapitel 7 der DSGVO finden sich Der EuGH stellte nun klar, dass der Betreiber einer Such-
in den Artikeln 60 bis 76 Regelungen zur Zusammen- maschine – im konkreten Fall Google – nicht verpflichtet
arbeit und Kohärenz der Aufsichtsbehörden der Mit- ist, im Fall eines Löschungsbegehrens personenbezo-
gliedstaaten und des Europäischen Daten- gene Suchergebnisse weltweit in allen Versionen seiner
schutzbeauftragten (EDSB). Der EDSA setzt sich aus Ver- Suchmaschine auszulisten. Die Auslistung müsse viel-
tretern der nationalen Datenschutzbehörden und dem mehr nur in allen Versionen der Suchmaschine in den
EDSB zusammen. Für Angelegenheiten in Verbindung Mitgliedstaaten der EU vorgenommen werden.
mit der DSGVO sind auch die Aufsichtsbehörden der
Staaten des Europäischen Wirtschaftsraums sowie die Im Übrigen müsse durch entsprechende Maßnahmen
der Europäischen Freihandelsassoziation (EWR-/EFTA- verhindert werden, dass Nutzerinnen und Nutzer von
Staaten) Mitglieder. Sie haben aber nur eingeschränkte einem Mitgliedstaat aus auf die entsprechenden Links in
Rechte und beispielsweise kein Stimmrecht. Aufgabe Nicht-EU-Versionen der Suchmaschine zugreifen kön-
des EDSA ist es, die einheitliche Anwendung des Daten- nen. Der EuGH begründete dies damit, dass in zahlrei-
schutzrechts in den Mitgliedsstaaten der EU sicherzu- chen Drittstaaten, d. h. Staaten außerhalb der EU, ein
stellen und den Austausch und die Zusammenarbeit Recht auf Vergessen nicht bestehe.
zwischen den verschiedenen Aufsichtsbehörden zu för-
dern. Er verfasst Leitlinien zu Fragen der Auslegung der Das Recht auf Schutz personenbezogener Daten gelte
DSGVO und führt öffentliche Konsultationen durch, um auch nicht uneingeschränkt. Vielmehr müsse unter
die Ansichten und Anliegen aller Interessenträger und Berücksichtigung des Verhältnismäßigkeitsgrundsatzes
Bürger zu hören. Im Rahmen der Konsultationen können und der jeweiligen gesellschaftlichen Funktion das
in einem festgelegten Zeitraum Interessierte ihre Mei- Datenschutzrecht gegen andere Grundrechte abgewo-
nung zu den Richtlinien des EDSA äußern. Diese können gen werden. Diese Abwägung zwischen dem Recht auf
anschließend durch den EDSA veröffentlicht werden. Achtung des Privatlebens und auf Schutz personenbezo-
gener Daten einerseits und der Informationsfreiheit der
Datenschutzrechtsprechung des Europäischen Internetnutzer andererseits könne weltweit sehr unter-
Gerichtshofs schiedlich ausfallen.
Im Bereich der europäischen Rechtsprechung sind wäh-
rend des Berichtszeitraums vier grundlegende Urteile „Planet 49“
des Europäischen Gerichtshofs (EuGH) zum Datenschutz In seiner Entscheidung vom 1. Oktober 2019 hat der
ergangen. EuGH klarstellende Aussagen zu den Voraussetzungen
einer wirksamen Einwilligung in die Verwendung von
Cookies getroffen (EuGH, Urteil vom 01.10.2019,

Az.: C-673/17). Internetseite über Zwecke und Mittel entscheidet.
Dasselbe gelte bei der Beurteilung des Umfangs der Ein-
Im konkreten Fall ging es um ein Gewinnspiel auf einer willigungen und der Informationspflichten. Im konkre-
Internetseite zu Werbezwecken. Der Betreiber der Inter- ten Fall war dies das Erheben und Übermitteln der
netseite hatte ein Ankreuzkästchen mit einem vorange- Nutzerdaten an Facebook Irland. Der EuGH stellte klar,
kreuzten Häkchen verwendet. dass Betreiber von Websites nicht ohne weiteres Social
Plugins Dritter einbinden dürfen, sondern damit selbst
Der EuGH stellte klar, dass für wirksame Einwilligungen eine datenschutzrechtliche Verantwortung haben kön-
auf Internetseiten ein aktives Verhalten des Nutzers nen.
erforderlich ist. Hierzu reiche es nicht aus, wenn der Nut-
zer bei einem vorausgewählten angekreuzten Kästchen „Schrems II“
das Kreuz entfernen muss. Mit Entscheidung vom 16. Juli 2020 erklärte der EuGH
das EU-US Privacy Shield für ungültig (EuGH, Urteil vom
Der BGH bestätigte in seinem Urteil vom 28. Mai 2020 16.07.2020, Az.: C-311/18).
diese Auffassung und erklärte das vorformulierte Einver-
ständnis in das Setzen eines Cookies für unwirksam. Ein Bürger hatte sich an die irische Datenschutzauf-
Hierbei machte der BGH auch Ausführungen zu der sichtsbehörde gewandt und sich über die Weitergabe
Frage, ob § 15 Abs. 3 Satz 1 Telemediengesetz (TMG) mit seiner personenbezogenen Daten durch Facebook in die
der Richtlinie 2002/58/EG (sog. EU-Cookie-Richtlinie) USA beschwert.
vereinbar ist. Art. 5 Abs. 3 Satz 1 der Richtlinie sieht unter
anderem vor, dass die Speicherung von und der Zugriff Im Rahmen eines Vorabentscheidungsverfahrens stellte
auf Informationen, die auf dem Endgerät eines Nutzers der EuGH fest, dass durch das EU-US Privacy Shield kein
gespeichert sind, nur zulässig ist, wenn der Nutzer einge- ausreichendes Datenschutzniveau sichergestellt werden
willigt hat. Dagegen fordert § 15 Abs. 3 Satz 1 TMG ledig- könne. Dies begründete der EuGH unter anderem damit,
lich einen Widerspruch und keine Einwilligung des dass beim EU-US Privacy Shield, ebenso wie in der
Nutzers. Aus diesem Grund bestand Uneinigkeit darüber, Safe-Harbour Entscheidung, den Erfordernissen der
ob die Vorgaben aus der EU-Cookie-Richtlinie ausrei- nationalen Sicherheit, des öffentlichen Interesses und
chend umgesetzt worden sind. Das hat der EuGH ver- der Einhaltung des amerikanischen Rechts Vorrang ein-
neint. Der BGH stellte nun fest, dass § 15 Abs. 3 Satz 1 geräumt wird. Dies ermögliche Eingriffe in die Grund-
TMG mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie dahin rechte der Personen, deren Daten in die Vereinigten
richtlinienkonform auszulegen ist, dass der Dienstanbie- Staaten übermittelt werden. Die nach US-Recht beste-
ter Cookies zur Erstellung von Nutzungsprofilen für henden Eingriffsmöglichkeiten der amerikanischen
Zwecke der Werbung oder Marktforschung nur mit Ein- Behörden auf die aus der EU übermittelten Daten seien
willigung des Nutzers einsetzen darf. nicht auf das zwingend erforderliche Maß beschränkt.
Die betreffenden Vorschriften ließen nicht erkennen,
Nutzung von Social Plugins dass für Nicht-US-Bürger Garantien existieren, die gegen-
Der EuGH hat am 29. Juli 2019 über die datenschutz- über den amerikanischen Behörden gerichtlich durchge-
rechtliche Verantwortung bei der Nutzung von Social setzt werden können. Insbesondere sei den betroffenen
Plugins eines anderen Anbieters durch einen Internetsei- Personen kein Rechtsweg zu einem Organ eröffnet, das
tenbetreiber entschieden (EuGH, Urteil vom 29.07.2019, dem EU-Recht gleichwertige Garantien biete. Zwar sehe
Az.: C-40/17). das EU-US Privacy Shield eine Ombudsperson vor, die
von den Geheimdiensten unabhängig und dazu ermäch-
Konkret handelte es sich dabei um den „Gefällt mir“- tigt ist, gegenüber den amerikanischen Behörden ver-
Button von Facebook. In dem Urteil stellte der EuGH fest, bindliche Entscheidungen zu erlassen. Tatsächlich sei
dass zwischen dem Betreiber der Internetseite und dem die Ombudsperson aber weder unabhängig noch könne
Anbieter des Social Plugins eine gemeinsame Verant- sie verbindliche Entscheidungen treffen (vgl. hierzu wei-
wortlichkeit gemäß Art. 26 DSGVO bestehe. Diese sei auf terführende Erläuterungen auf den Seiten 43 und 44).
die Verarbeitung beschränkt, bei der der Betreiber der

Über den Beauftragten für den Datenschutz
der EKD
Zur Wahrnehmung der Datenschutzaufsicht existiert für die
EKD sowie für alle Gliedkirchen, gliedkirchlichen Zusammen-
schlüsse und Diakonischen Werke, die ihre Datenschutz-
aufsicht auf die EKD übertragen haben, seit Anfang 2014 die
unabhängige und eigenständige Behörde „Der Beauftragte
für den Datenschutz der EKD (BfD EKD)“. Seit Errichtung
dieser Behörde wird die Datenschutzaufsicht innerhalb der
evangelischen Kirche einheitlicher als in der Vergangenheit
und in größeren Strukturen wahrgenommen. Vier Gliedkirchen
und einige diakonische Landesverbände nehmen die Daten-
schutzaufsicht weiterhin eigenständig wahr.

                                                               17

Über den Beauftragten für den Datenschutz der EKD

     Überblick zur Datenschutzaufsicht                           Struktur und Arbeit des BfD EKD
     in der EKD
                                                                 Der BfD EKD nimmt die im EKD-Datenschutzgesetz nor-
     Vor dem Hintergrund der Rechtsprechung des Europäi-         mierte Datenschutzaufsicht für die EKD, für das Evangeli-
     schen Gerichtshofes zur Unabhängigkeit von Daten-           sche Werk für Diakonie und Entwicklung und für
     schutzaufsichtsbehörden wurden bereits mit der              gesamtkirchliche Werke und Einrichtungen sowie nach
     Novellierung des EKD-Datenschutzgesetzes im Jahr 2013       Übertragung für 16 Gliedkirchen, die gliedkirchlichen
     die rechtlichen Grundlagen zur Neustrukturierung der        Zusammenschlüsse und im Bereich von zehn diakoni-
     Datenschutzaufsicht innerhalb der EKD geschaffen. Seit-     schen Landesverbänden wahr. Seit dem 1. Januar 2014
     dem entspricht es einem kirchen- und diakoniepoliti-        haben die nachfolgenden Gliedkirchen und gliedkirchli-
     schen Ziel, diese Aufgabe einheitlicher als in der          chen Zusammenschlüsse sowie diakonischen Landes-
     Vergangenheit und in größeren Strukturen wahrzuneh-         verbände die Datenschutzaufsicht auf die EKD
     men.                                                        übertragen (Stand: 01.05.2021):

     Mit Wirkung zum 1. Januar 2014 hat der Rat der Evangeli-     •   Baden
     schen Kirche in Deutschland Herrn Michael Jacob zum          •   Bayern
     Beauftragten für den Datenschutz der EKD berufen, der        •   Berlin-Brandenburg-schlesische Oberlausitz
     seitdem die gleichnamige, unabhängige und eigenstän-         •   Braunschweig
     dige Behörde (BfD EKD) leitet und für große Bereiche der     •   Bremen
     evangelischen Kirche die Datenschutzaufsicht in Kirche       •   Hannover
     und Diakonie ausübt. Dadurch wird die Datenschutzauf-        •   Hessen und Nassau
     sicht innerhalb der evangelischen Kirche seit dem Jahr       •   Kurhessen-Waldeck
     2014 einheitlicher als in der Vergangenheit und in größe-    •   Lippe
     ren Strukturen wahrgenommen. Vier Gliedkirchen und           •   Mitteldeutschland
     fünf diakonische Landesverbände nehmen die Daten-            •   Oldenburg
     schutzaufsicht weiterhin mit eigenen Behörden wahr.          •   Reformiert
     Der Beauftragte für den Datenschutz der Nordkirche,          •   Rheinland
     Peter von Loeper, ist seit dem 1. Oktober 2018 der stell-    •   Schaumburg-Lippe
     vertretende Beauftragte für den Datenschutz der EKD.         •   Westfalen
                                                                  •   Württemberg
     Die Hauptaufgaben des BfD EKD sind Aufsicht, Beratung
     und Weiterbildung in den Bereichen des rechtlichen und       • Union Evangelischer Kirchen in der EKD (UEK)
     technischen Datenschutzes sowie der Organisation des         • Vereinigte Evangelisch-Lutherische Kirche
     Datenschutzes. Zu den Kernaufgaben des BfD EKD                  Deutschlands (VELKD)
     gehört, die Einhaltung des Datenschutzes zu kontrollie-      • Konföderation evangelischer Kirchen
     ren und zu überwachen. Im Rahmen der Beratung ist der           in Niedersachsen
     BfD EKD bestrebt, das Thema Datenschutz in Kirche und        • Herrnhuter Brüdergemeine
     Diakonie, insbesondere durch Informationsmaterialien,        • Deutsches Nationalkomitee des
     noch stärker ins Bewusstsein zu rücken. Der BfD EKD bie-        Lutherischen Weltbundes (DNK / LWB)
     tet des Weiteren ein umfangreiches einheitliches Weiter-     • Reformierter Bund in Deutschland
     bildungsprogramm für örtlich Beauftragte für den
     Datenschutz an. Das Programm beinhaltet einerseits           • D iakonisches Werk Berlin-Brandenburg-schlesische
     Schulungsmaßnahmen, andererseits aber auch Aspekte              Oberlausitz e.V.
     des Erfahrungsaustausches.                                   • Diakonisches Werk Bremen e.V.
                                                                  • Diakonisches Werk evangelischer Kirchen
                                                                     in Niedersachsen e.V.
                                                                  • Diakonisches Werk der Ev.-Luth. Kirche
                                                                     in Oldenburg e.V.

18

• D iakonisches Werk der evangelischen Kirche                          Darüber hinaus zeichnet sich ab, dass weitere Gliedkir-
    in Württemberg e.V.                                                  chen und diakonische Landesverbände Interesse haben,
 • Diakonisches Werk in Hessen und Nassau                               die Datenschutzaufsicht in absehbarer Zeit auf die EKD
    und Kurhessen-Waldeck e.V.                                           zu übertragen. Für die Ausgestaltung der Übertragung ist
 • Diakonisches Werk Rheinland-Westfalen-Lippe e.V.                      das Kirchenamt der EKD zuständig.
 • Diakonisches Werk der Evangelischen Kirche
    der Pfalz                                                            Zur regionalen Gliederung der auf die EKD übertragenen
 • Diakonisches Werk der Evangelisch-Lutherischen                       Datenschutzaufsicht in den Gliedkirchen und diakoni-
    Kirche in Bayern e.V.                                                schen Landesverbänden wurden die vier Datenschutzre-
 • Diakonisches Werk der Evangelischen Landeskirche                      gionen Nord, Ost, Süd und Mitte-West gebildet. In jeder
    in Baden e.V.                                                        Datenschutzregion befindet sich eine Außenstelle
                                                                         (Nord: Hannover; Ost: Berlin; Süd: Ulm; Mitte-West: Dort-
                                                                         mund). Die regionale Zuordnung ist der folgenden Karte
                                                                         zu entnehmen.

                    Der Beauftragte für den
                  Datenschutz der Nordkirche
                     (in Kooperation mit dem BfD EKD)
                          Baustr. 34, 17109 Demmin
                         Telefon: (03998) 25984 - 78
                         Telefax: (03998) 25984 - 79
                   E-Mail: peter.loeper@dsb.nordkirche.de

                                                                             Nordkirche

                                                            Nord

                                                                                           Ost

                              Mitte-West
                                                                                                  BfD EKD
                                                                                                – Hauptsitz –
                                                                                            Lange Laube 20, 30159 Hannover
                                                                                               Telefon: (0511) 768128 - 0
                                                                                               Telefax: (0511) 768128 - 20
                                                                                            E-Mail: info@datenschutz.ekd.de

                                                                                          Außenstelle Hannover
                                                                                           Lange Laube 20, 30159 Hannover
                                                                                              Telefon: (0511) 768128 - 0
                                                                                              Telefax: (0511) 768128 - 20
                                                                                           E-Mail: nord@datenschutz.ekd.de

                                                                                             Außenstelle Berlin

                                                                   Süd
                                                                                            Invalidenstraße 29, 10115 Berlin
                                                                                              Telefon: (030) 2005157 - 0
                                                                                               Telefax: (030) 2005157 - 20
                                                                                            E-Mail: ost@datenschutz.ekd.de

                                                                                               Außenstelle Ulm
                                                                                               Hafenbad 22, 89073 Ulm
                                                                                              Telefon: (0731) 140593 - 0
                                                                                              Telefax: (0731) 140593 - 20
                                                                                           E-Mail: sued@datenschutz.ekd.de

                                                                                          Außenstelle Dortmund
                                                                                               Friedhof 4, 44135 Dortmund
                                                                                                Telefon: (0231) 533827 - 0
                                                                                                Telefax: (0231) 533827 - 20
                                                                                         E-Mail: mitte-west@datenschutz.ekd.de

Abbildung 1: Karte mit Datenschutzregionen und Außenstellen
(Der Kooperationspartner Nordkirche ist violett hinterlegt. Die übrigen Gliedkirchen mit eigenständiger Datenschutzaufsicht sind
grau hinterlegt.)

                                                                                                                                     19

Über den Beauftragten für den Datenschutz der EKD

Die Behörde In Ausgestaltung von grundlegenden organisatorischen
Zur Wahrnehmung der gesetzlich normierten sowie der Festlegungen wurden in der Vergangenheit folgende
übertragenen Aufgaben der Datenschutzaufsicht exis- interne Regelungen erarbeitet, für verbindlich erklärt
tiert seit Anfang 2014 – in der Rechtsform einer unselbst- und im Berichtszeitraum ständig auf dem aktuellen
ständigen Einrichtung der EKD – die unabhängige und Stand gehalten:
eigenständige Behörde „Der Beauftragte für den Daten-
schutz der EKD (BfD EKD)“. Seit der Bestellung des Beauf- • Geschäftsordnung
tragten für den Datenschutz der Nordkirche zum • Leitlinien zur Informationssicherheit und zum
stellvertretenden Beauftragten für den Datenschutz der Datenschutz
EKD haben beide Aufsichtsbehörden ihre Kooperation • Richtlinie zum Umgang mit der IT
weiter ausgebaut. • IT-Sicherheitskonzept nach dem Grundschutz des
Bundesamtes für Sicherheit in der Informations-
Organisation technik (BSI) inkl. Regelungen zur Behandlung
Die Behörde wird vom Beauftragten für den Datenschutz vertraulicher Informationen (Klassifizierung)
der EKD Herrn Oberkirchenrat Michael Jacob geleitet • Dienstvereinbarungen (z. B. zur privaten Nutzung
und hat ihren Hauptsitz in Hannover. Die Standorte der von Internet und E-Mail etc.)
vier Außenstellen sind der Abbildung 1 zu entnehmen. • Geschäftsverteilungsplan
Im Rahmen der Errichtung der Behörde wurde seit dem • Aktenplan
Jahr 2014 eine komplette Behördenstruktur aufgebaut. • Verzeichnis von Verarbeitungstätigkeiten nach
Der personelle Aufbau erfolgt(e) sukzessive entspre- § 31 DSG-EKD (sog. „Verfahrensverzeichnis“)
chend der tatsächlichen Aufgaben und der finanziellen • Diverse Hausverfügungen (z. B. zu Vertretungsrege-
Ausstattung der Behörde. lungen, Zeichnungsbefugnissen, Beschaffungsent-
scheidungen etc.)
Im Rahmen der fortschreitenden Übertragung der Daten- • Diverse Prozessbeschreibungen (zur Etablierung
schutzaufsicht der diakonischen Landesverbände eines Qualitätsmanagementsystems)
konnte im Jahr 2020 auch in der Außenstelle Ulm die • Styleguide
Stelle eines zweiten Regionalverantwortlichen besetzt
werden. Ebenso ist im Jahr 2020 die Stelle der IT-Sachbe- Auch das IT-Sicherheitskonzept des BfD EKD ist im
arbeitung am Hauptsitz des BfD EKD erstmals besetzt Berichtszeitraum kontinuierlich fortgeschrieben wor-
worden. Auch mehrere vakante Stellen konnten im den. Im Zuge von neu angeschaffter Hardware für die
Berichtszeitraum wiederbesetzt werden. Die Auswahl Behörde wurden weitere Bausteine aus dem IT-Sicher-
von Mitarbeitenden erfolgte stets potenzial- und heitskonzept und die daraus resultierenden Maßnah-
genderorientiert. Zum 31. Mai 2021 hat die Behörde ins- men umgesetzt. Um die Anforderungen und Standards
gesamt 22 aktivierte (Plan-)Stellen. Alle vier Außenstel- aus dem IT-Grundschutz des Bundesamtes für Sicherheit
len sind mit mindestens einer oder einem Regional- in der Informationstechnik (BSI) zu gewährleisten,
verantwortlichen (juristische Kompetenz), einer IT-Sach- erfolgte ein Upgrade auf ein neues Informationsmanage-
bearbeitung und einer Teamassistenz besetzt. Die Auf- mentsystem (ISMS). Der Datenbestand aus dem Altver-
bauorganisation des BfD EKD zum 31. Mai 2021 ist dem fahren wurde in das neue System migriert.
Organigramm in Abbildung 2 zu entnehmen.
Im Berichtszeitraum wurde die Behörde auch in den
Die Teams der Außenstellen organisieren sich bei der Bereichen Personal und Finanzen organisatorisch weiter
Aufgabenerledigung unter Berücksichtigung des professionalisiert.
Geschäftsverteilungsplanes und der Geschäftsordnung
des BfD EKD selbständig, ohne dass ein Mitarbeitender Personal
vor Ort Leitungsverantwortung hat. Somit unterstehen Mit dem Ziel, den Aufgabenbereich Personal stärker
alle Mitarbeitenden der Fach- und Dienstaufsicht des selbst wahrzunehmen, hat der BfD EKD im Berichtszeit-
Behördenleiters. raum den Ablauf und die Zuständigkeiten für die Durch-
führung von Stellenbesetzungsverfahren neu geregelt. In

Sie können auch lesen