NAK: ...Datenschutz, wird wie 2018 gehandhabt?

[Rene']

Hallo!

Als staatlich anerkannte Kirche sind wir nicht der Aufsichtsbehörde des Bundeslandes unterstellt

Diese Aussage ist nicht unbedingt falsch bzw. ist sie clever formuliert. Sie sag im Grunde aber gar nichts aus. Siehe Artikel 91,Punkt 2 der DSGVO:

https://dsgvo-gesetz.de/art-91-dsgvo/

Da steht nichts von "Aufsichtsbehörde des Bundeslandes". Da steht "Kirchen und religiöse Vereinigungen oder Gemeinschaften .............. unterliegen der Aufsicht einer unabhängigen Aufsichtsbehörde". Also ist die NAK-Süd in Bezug auf die DSGVO definitiv einer Aufsichtsbehörde unterstellt. Die eigene Aussage das sie keiner Landesaufsichtsbehörde unterstellt ist ist in meinen Augen nur das werfen von Nebelkerzen und es soll dadurch der Eindruck erweckt werden das die Kirche gar keiner Aufsichtsbehörde unterstellt wäre.Dem ist aber keinesfalls so.

Die Daten der Mitgliederdatenverwaltung können nicht einfach gelöscht werden

Diese Aussage enthält einen wahren Kern und spiegelt das Dilemma wieder in das sich die Kirche in Bezug auf die DSGVO befindet.Die Aussage ist im Grunde eine Bestätigung dessen was wir hier schon festgestellt haben. Die Daten können nicht einfach gelöscht werden. Eben weil man nicht nachvollziehen kann und nie dokumentiert wurde wo und von wem Daten gespeichert bzw. aufgezeichnet wurden.

Als Kirche müssen wir zur Erfüllung unserer kirchlichen Aufgaben die Mietgliederdaten speichern; dies trifft selbst auf verstorbene und ausgetretene Mitglieder zu, da ggf. zu einem späteren Zeitpunkt die Mitgliedschaft bzw. sakramentalen Handlungen gegenüber anderen christlichen Kirchen zu bestätigen sind.

Humbug.

Keine Kirche "muss" Daten speichern bzw. ist sie behördlich nicht dazu verpflichtet Daten zu speichern und aufzubewahren. Kirchen haben sich auch an die DSGVO zu halten. Siehe wieder Artikel 91, diesmal Absatz 1.

https://dsgvo-gesetz.de/art-91-dsgvo/

Kirchen haben laut Absatz 1 ihre bisherigen Regeln in Bezug auf den Umgang mit Mitgliederdaten mit der DSGVO "in Einklang zu bringen". Wenn dann jemand darauf besteht das seine Daten vollumfänglich gelöscht werden sollen dann hat die Organisation das nach DSGVO umzusetzen. Punkt.

Wundern tun mich die Aussagen der VDZ und die Aussage des Datenschutzbeauftragten nicht wirklich. In meinen Augen handelt es sich um den Versuch die Anfrage bzw. die Forderung der Datenlöschung abzuwimmeln. Da sie in der Praxis nicht umsetzbar ist.

Der Datenschutzbeauftrage Herr Dr.Eisenmann ist übrigens Fachanwalt für Bau- und Architektenrecht.......

LG und allen einen schönen 2.Advent,

René

[Alter_Esel_?]

Hallo lieber René,

vielen Dank für Deine Einschätzungen und Anregungen!

Ähnliches habe ich mir auch schon gedacht in Bezug zu der "Nebelkerzenwerferei".

Hatte mir auch überlegt, das die Kirchenbücher ja schon ihre Daseinsberechtigung hatten. Grade im Bezug der Nachforschung der Ahnen sind diese ja Grundlage zur Recherchén.
Allerdings halte ich diese in Zeiten der EDV für die neuere Zeit für überholt.

Da ich nun in meinem Fall feststellte, das mein Austritt Mitte 2017 noch nicht im Personalienblatt dieser "christlichen" Sondergemeischaft enthalten ist, werde ich beim Einwohnermeldeamt nachhaken, wie da der Nachweis der Übermittlung erbracht werden kann. Hatte seinerzeit ja einen Ausdruck meines Austritts erhalten. Möchte einfach der Ausrede, mein Austritt wäre nicht in dieser Sekte angekommen, entgegenwirken können. Oder liege ich da jetzt falsch?

Fragt sich der
Alte_Esel_?

[Martha]

Hallo Alter_Esel_!

Du brauchst nichts vom Standesamt, da die NAK keine Kirchensteuern erhebt.
Einfach an die NAK Kirchenverwaltung schreiben mit dem Hinweis, das du austreten willst bzw. bist und
dann fordere schriftlich die Info, dass du auch gelöscht worden bist.

Ich habe das jetzt bei NAK karikativ so gemacht (ausgetreten bin ich schon lange) und ich werde im Februar 2019 gelöscht (hoffe ich).

[Heinrich]

@ Alter_Esel_?

Was Sie da am 08.12.2018, 17:44 schreiben - diese Aussage eines "Kirchlichen Datenschutzbeauftragen" namens Dr. Tobias Eisenmann aus Stuttgart, ist ja schon irre(levant):

Zitat: Als Kirche müssen wir zur Erfüllung unserer kirchlichen Aufgaben die Mietgliederdaten selbst verstorbener und ausgetretener Mitglieder speichern, da ggf. zu einem späteren Zeitpunkt die Mitgliedschaft bzw. sakramentalen Handlungen gegenüber anderen christlichen Kirchen zu bestätigen sind.

Man darf die Daten eines Verstorbenen bzw. eines Ausgetretenen nicht löschen, da………. (siehe Absatz zuvor) – ich frage mich, wie krank ist das denn?

Denken andere auch so wie ich, dass die NAK Süd durch diese Aussage von Herrn Eisenmann sich total lächerlich macht?

Grinsende, aber auch nachdenkliche und fragende Grüße,
Heinrich
Und: Ja, es schneit und ist sehr kalt!

[Ernsthaft]

Ich denke, dass es bei NAK-Mitgliedern (auch Ausgetretenen) vorkommt, (selbst im Bekanntenkreis erlebt) dass das (Ex)-NAK-Mitglied vor einer kirchlichen Trauung mit einem Nicht-NAK-Mitglied, z.B. vom Pfarrer nach seiner Taufe in einer christlichen Kirche oder -Gemeinschaft gefragt wird. Und wenn diese Person dann kein Taufzeugnis, oder einen Eintrag im Familienstammbuch vorlegen kann, sind die Daten die bei der NAK gespeichert sind, abrufbar und nützlich. Ebenso für ausgetretene Verstorbene bei gewünschter kirchlicher Trauerfeier, wo die Hinterbliebenen unsicher sind, bzw. den Wunsch nach einer von einem NAK-Amtsträger gehaltenen Trauerfeier haben, zumal evtl. auch kein anderer Geistlicher zuständig ist.

[Herkules]

In der Darstellung der Kirche mangelt es ganz gewaltig an Kenntnis der DSGVO (Erkenntnis hatten die auch noch nie... ). Woher sollten die darin auch bewandert sein? Ich stelle in den letzten beiden Jahren immer wieder fest, dass selbst Fachanwälte für Multimedia und Datenschutzrecht zwar die Artikel der DSGVO kennen und wissen was da gefordert wird, aber eine Vorstellung davon "wie" das in der Praxis umgesetzt werden kann, das haben die Damen und Herren nicht. Es kann ganz hilfreich sein sich mal die vorangestellten Erwägungsgründe (173 an der Zahl) zu den 99 Artikeln der DSGVO anzuschauen.

Jetzt mal der Reihe nach.

Ganz grundsätzlich beschreiben die Artikel 12 - 22 die Rechte der betroffenen Person. Im Art. 17 DSGVO ist das Recht auf Löschung ("Recht auf Vergessenwerden") näher ausgeführt. Dieses Recht kann aktiv von der betroffenen Person geltend gemacht bzw. ausgeübt werden. Eine Verweigerung dieses Rechts ist nur möglich wenn andere gesetzliche Regelungen wie z.B. handelsrechtliche Vorschriften zur Aufbewahrung von Unterlagen (6 Jahre) oder steuerechtliche Vorschriften aus der Abgabenordnung (10 Jahre) dies verlangen. Das Kirchenrecht zählt da ganz sicher nicht dazu. Eine betroffene Person an der Ausübung ihrer Rechte zu hindern ist gar nicht lustig und stellt einen Verstoß dar, der gemäß Art. 83 mit Bußgeld zu ahnden ist.

Auszug aus Art. 83 DSGVO

(5)Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;

Kaum ein aktives Schäfchen wird jedoch Löschung begehren, es wird sich fast ausschließlich um Aussteiger handeln, die dieses Recht geltend machen. Diese Überlegung ist wichtig, denn es gibt in Art. 5 DSGVO noch eine andere Vorschrift, die hier entscheidend ist.

Auszug aus Art. 5 DSGVO

(1)
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

(2)Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Und wenn man jetzt oben nochmals beim Auszug aus Art. 83 DSGVO schaut, dann gehört auch der Art. 5 zu dieser etwas teureren Kategorie. Sanktioniert wird übrigens jeder Einzelverstoß ! Es handelt sich hier um einen klaren Verstoß gegen Art. 5 Abs. 1 lit. e) (Speicherbegrenzung). Der Verantwortliche muss von sich aus, ohne dass die betroffene Person aktiv wird, diese Daten mit Personenbezug löschen, sobald der ursprüngliche Zweck für die Speicherung entfallen ist. Das ist hier definitiv der Fall. Die in Vorpostings von der christlichen Sekte vorgetragene Argumentation ist nicht zutreffend.

Wer hier aktiv werden möchte sollte zurst eine Auskunft verlangen, diese dann genau auf Vollständigkeit prüfen (die Sekte muss wissen wo sie überall Daten eines ausgeschiedenen Mitglieds gespeichert hat, was sie dem notwendigen Verzeichnis von Verarbeitungstätigkeiten entnehmen kann) und dann Löschung beantragen. Das wird echt lustig.

Da ich beruflich seit 2012 bereits mit dem Thema GDPR (DSGVO) zu tun habe und selbst in zahlreichen Gremien auf deutscher und europäischer Ebene sitze, kenne ich die rechtliche Situation sehr genau. Auf alle Fälle auch besser als die Herren der NAK und deren Datenschutzbeauftragte, über deren fachliche Eignung als Datenschutzbeauftragte noch zu diskutieren wäre.

[Herkules]

Die DSGVO gilt auch für die NAK, denn sie gilt für alle Religions- und weltanschaulichen Gemeinschaften, gleich ob sie öffentlich-rechtlichen Charakter haben oder eben nicht. Die DSGVO beinhaltet in Art. 91 eine Öffnungsklausel für die Mitgliedstaaten, die Sonderregelungen für „Kirchen und sonstige religiöse Vereinigungen oder Gemeinschaften“ möglich macht. Der Art. 91 Abs. 1 DSGVO enthält zum einen eine grundsätzliche Anerkennung eigenständiger umfassender kirchlicher Datenschutzvorschriften, wenn das Staatskirchenrecht des Mitgliedstaates solche eigenständigen Regelungen erlaubt. Dies trifft in Deutschland für öffentlich-rechtliche Religionsgesellschaften zu (Art. 137 Abs. 3 und 5 Weimarer Reichsverfassung i. V. m. Art. 140 GG).

Desweiteren enthält der Art. 91 Abs. 1 DSGVO ein Anpassungsgebot. Daraus folgt, dass eigenständige kirchliche Datenschutzvorschriften nur dann relevant sind, wenn sie „in Einklang“ mit der DSGVO gebracht worden sind. Dies wiederum bedeutet, dass sie inhaltlich mit den Vorgaben der DSGVO übereinstimmen müssen und davon nicht abweichen dürfen. Ist das nicht gegeben so gilt in vollem Umfang die DSGVO!

Wenn ich mir die auf den Webseiten teilweise verfügbaren Datenschutzhinweise zu den Mitgliederdaten und dem Umgang damit (nicht die Hinweise zum Datenschutz für den Besuch der Webseite) durchlese, dann kann ich nur lächeln über das Selbstverständnis dieser Herren. Die haben die DSGVO wirklich nicht verstanden und der Herr hilft ihnen dabei offensichtlich auch nicht.

[usirius]

Soeben hier gelesen und kritisch bewertet - die zum einen gesetzeswidrige und zum anderen in dieser Form auch wenig dem Ziel dienende pauschale Aufforderung zur Massendatenüberprüfung von 8000 Amtsträgern und Lehrkräften in der Gebietskirche Süddeutschland - https://www.naktalk.de/erst-denken-dann-beantragen/

[Alter_Esel_?]

...mal diesen "Fred" wieder aus der Versenkung hochholen....


@Herkules!
Danke für Deine Ausführungen

@all!
Es wäre auch für mich doch sehr interessant, wenn möglichst viele ihre Daten bei den für sie zuständigen Verwaltungsstellen dieser christlichen Sondergemeinschaften abfragen würden.

Bin grad bei mir den Dingen auf den Grund gehend und in meinem Fall dreht und windet man sich. Die DSGVO habe auch keine Auswirkung für diese christliche Sondergemeinschaft auf meinen Vorgang.

Mein Vorgang bedeutet: von meinem Austritt war in Stuttgart nichts bekannt. Durch meine Nachforschungen erfuhr ich, daß das hiesige Einwohnermeldeamt die Meldung über meinen Austritt an die hiesige "Kirchengemeinde" geschickt hat.

Auf Nachfrage an den Gebietskirchenpräsidenten ME wurde mir durch einen Mitarbeiter des Verwaltungs- und Dienstleistungszentrums mitgeteilt, dass sich der Vorgang im Nachhinein nicht mehr nachvollziehen liese.
Weiter wird bemerkt, dass das Schriftstück wohl nicht richtig adressiert worden sei und wohl an die hiesige "Kirchengemeinde" geschickt worden sein könnte. Weiter wird bemerkt das an den Kirchengebäuden keine Briefkästen angebracht seien.

Tja - nun werden meine Zweifel an der Richtigkeit des mir übersandten Personalienblattes immer größer.

Denn - wenn schon ein amtliches Schreiben nicht an den dafür bestimmten Empfänger kommen kann??????

Von daher interessiert mich es doch brennend, welche Erfahrungen ihr als Forenteilnehmer machen würdet.

Es iss ja kein großer Aufwand.

ABER!!!

In den jeweiligen Verwaltungen würden dann doch einige ganz gewaltig ins Schwitzen kommen und der dortige Aufwand ist auch kein Kleiner!

Meine Schreiben werden zwischen vier und fünf Wochen später beantwortet. Also geradeso der zeitliche Rahmen, der dafür vorgesehen ist.

Und ich simuliere jetzt mal; wenn bei einer Verurteilung wegen grober Verstöße gegen die DSGVO bis zu 20 Millionen €uronen als Strafzahlungen anstehen, dann sind das im äußersten Fall bei 15 Fällen....

klingelts????

Dann ginge das ganz schnell an die finanzielle Substanz - und die Stiftungsgründung bekommt auf einmal eine ganz besondere Bedeutung...

überlegt sich grad ein
Alter_Esel_?

.

[Herkules]

@Alter_Esel_?
Du hast eine PN von mir

@all
Ich möchte nochmals auf die Eingangsfrage eingehen. Es ging darum ob die Daten eines Mitglieds in einem Verein oder einer K.d.Ö.R. nicht unmittelbar nach dem Austritt gelöscht werden müssen?

Mal ganz generell ja, diese sind zu löschen und wenn diese aus anderen Gründen nicht unmittelbar gelöscht werden können, dann sind sie auf jeden Fall „der weiteren Bearbeitung zu entziehen.“ Das kann z.B. der Fall sein, wenn aus anderen Gründen wie z.B. steuerrechtlichen Bestimmungen der Abgabenordnung (AO) bei Verträgen, Kaufverträgen, Spenden usw. der Name zum Nachweis noch 10 Jahre benötigt wird.
Das vom Fragesteller erwähnte Anschreiben darf dann aber auch nicht erfolgen.

Bei der Löschung moniert die Aufsicht nicht, wenn die Daten noch bis zum Jahresende als „zu löschen“ gekennzeichnet sind (und damit bereits der weiteren Verarbeitung entzogen sind) und erst mit dem allgemeinen Löschlauf zum Jahresende bzw. Jahresbeginn gelöscht werden. Dies aber stets unter der Voraussetzung, dass weder das HGB noch die AO hier andere Vorgaben machen. Bei der Zeit bis zum Jahresende spricht man auch von der Anlauffrist. Wenn es wie bei der AO eine Aufbewahrungs- oder Vorhaltefrist von 10 Jahren gibt, dann beginnt diese mit dem Ablauf der Anlauffrist zum Jahresende und endet dann nach weiteren 10 Jahren.

Jeder Verantwortliche eines Vereins oder Unternehmens muss hierzu explizit ein sogenanntes Löschkonzept erstellen, in welchem das ganz genau beschrieben wird.

Um den „Entzug der weiteren Verarbeitung“ sicherzustellen können die Daten z.B. pseudonymisiert werden, d.h. diese sind bezüglich der personenbezogenen bzw. personenbeziehbaren Daten nicht mehr lesbar und einer bestimmten Person zuzuordnen. Was da alles pseudonymisiert werden muss geht sehr weit, denn oftmals kann durch das Zusammenfügen von Informationen dann doch wieder auf die betroffene Person geschlossen werden, was nicht möglich sein darf. Im Gegensatz zur Anonymisierung hat bei einer Pseudonymisierung der Verantwortliche aber noch einen „Code“ oder auch „goldenen Schlüssel“, mit dem er, falls z.B. gesetzlich vorgeschrieben, diese Pseudonymisierung für Zwecke der Steuerprüfung wieder befristet aufheben kann.

Auch die vom Admin bereits geäußerte Vermutung, dass Daten (auch Bilddaten) zu allen möglichen Anlässen von der Gruppen- über die Gemeinde- bis zur Bezirksebene gesammelt wurden ist zutreffend und dürfte für die NAK zum Fiasko werden. Übrigens müssen diese Daten auch Bestandteil einer Auskunft sein, ansonsten ist diese fehlerhaft… Korrekt sind diese Daten alle in einem "Verzeichnis von Verarbeitungstätigkeiten", kurz VVT genannt, zusammen mit der "Verarbeitung" aufzuführen.

Die Verpflichtung zur Führung eines VVT ergibt sich aus Art. 30 der DSGVO. Das Verzeichnis dient entsprechend Erw.gr. 82 DSGVO zum Nachweis der Einhaltung der Verordnung. Der Umfang der Dokumentation umfasst alle Verarbeitungstätigkeiten des Verantwortlichen und damit auch alle Verzeichnisse, Listen und Aufschriebe auf Gemeindeebene. Seitens der Aufsicht wird genau dieses Verzeichnis immer im Rahmen einer Prüfung angefordert, da es explizit auch an die Aufsicht "adressiert" ist.

Es wird spannend!