Katholische DSK lässt Einwilligung in schlechtere ToMs zu

Schreiben Sie eine Antwort

Verantwortliche müssen technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten – so steht es in § 26 KDG. Dazu gehören beispielsweise besonders gesicherte Kommunikationskanäle. Lediglich transportverschlüsselte E-Mail fällt damit regelmäßig aus – das ist sicher, aber unpraktisch. In der Praxis stellt sich daher die Frage, ob auf angemessene ToMs durch eine Einwilligung verzichtet werden kann: »Ich willige in eine Zusendung des Untersuchungsbefunds per E-Mail ein«, zum Beispiel.

Ein offenes Vorhängeschloss an einem Riegel
Mit Einwilligung darf das Schloss künftig manchmal ab. (Bildquelle: iMattSmart on Unsplash)

Bislang war die Position der katholischen Datenschutzkonferenz, dass eine Einwilligung in schlechtere ToMs nicht zulässig ist. Die Verpflichtung sei »zwingender Natur und steht mithin nicht zur Disposition der an der Datenverarbeitung Beteiligten«, lautete bislang der Beschluss. Nun hat die Konferenz der Diözesandatenschutzbeauftragten ihren Beschluss revidiert und spricht von einem »Dispositionsrecht zur Einwilligung in die Nichtanwendung von technischen und organisatorischen Maßnahmen«. Der Beschluss der Juni-Sitzung wurde jetzt veröffentlicht.

Weiterlesen

Art.-9-Gründe – Wochenrückblick KW 38/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Am Montag haben sich die Unabhängigen Aufarbeitungskommissionen der Bistümer getroffen. Laut Pressemitteilung der Bischofskonferenz standen auch datenschutzrechtliche Fragen auf der Tagesordnung – weiter ins Detail ging es nicht. Eine Herausforderung dürften die unterschiedlichen Rechtsgrundlagen zur Aktenweitergabe an die Kommissionen sein – die wurden bislang nicht in allen Bistümern geschaffen.

Die Caritas München geht nicht auf die Forderungen ihrer Erpresser ein: Lösegeld werde nach dem Verschlüsselungsangriff nicht gezahlt, betonte der Caritasdirektor Hermann Sollfrank am Montag. Auf Grundlage der vorhandenen Backups soll eine neue IT-Infrastruktur aufgebaut werden.

Das Whitepaper zu Microsoft 365 in Kirche und Wohlfahrt von Althammer & Kill und der SoCura ist in einer zweiten Auflage erschienen. Neben einer Neustrukturierung entlang des Lebenszyklus von MS 365 geht es vor allem auf rechtliche Neuerungen wie die neue Standarddatenschutzklauseln, Transfer Impact Assessment, Videosprechstunde und Telemedizin ein und nimmt einen Abgleich mit neuen Gesetzen aus den Bereichen Telekomunikation und Telemedien vor.

In eigener Sache: Das Webinar zu Besonderheiten im Bereich des kirchlichen Engagements musste leider aus Art.-9-Gründen entfallen. Ein Nachholtermin ist für Anfang Oktober geplant.

Weiterlesen

Hl. Josef von Cupertino, bitte für die Caritas München – Wochenrückblick KW 37/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Münchner Diözesancaritasverband arbeitet erst einmal analog. Er »verzeichnet seit vergangenem Wochenende eine Großstörung zentraler IT-Systeme und ist nach aktuellem Kenntnisstand Opfer eines weitreichenden Cyberangriffs geworden«, heißt es in der Pressemitteilung. Die eigentliche Arbeit sei aber trotzdem gesichert. Viele Details erfährt man nicht – auch wenn der Caritasdirektor beteuert, der Vorfall sei »trotz umfangreicher technischer und organisatorischer Schutzmaßnahmen« eingetreten. Ein Krisenstab wurde eingerichtet, Anzeige ist erstattet. »Wir befinden uns derzeit noch in der Analysephase. Gleichwohl gibt es konkrete Hinweise darauf, dass es den Cyberkriminellen gelungen ist, trotz aller Schutzvorkehrungen Daten aus unseren Systemen abzugreifen. Um welche Daten es sich handelt, können wir zum jetzigen Stand nicht zweifelsfrei und auch aus ermittlungstaktischen Gründen nicht sagen«, so Diözesancaritasdirektor Hermann Sollfrank weiter. Aus Kreisen des Verbands erfährt man, dass die Behebung des Schadens noch länger, möglicherweise Monate dauern werde, und dass es um Erpressung geht. Normalerweise gilt: Kein Backup, kein Mitleid. Bei der Caritas und dem, was sie für Menschen in Notsituationen leistet, darf man aber trotzdem ein Kerzchen mit einer Bitte um Fürsprache des hl. Josef von Cupertino aufstellen. Der Franziskaner darf dank seiner Gabe der Bilokation auch als Schutzpatron der redundanten Datenhaltung gelten.

»Unterwerfungserklärung« ist wohl der ungeschickteste Begriff, den das kirchliche Datenschutzrecht hervorgebracht hat (oder besser: der sich in seiner Anwendung eingebürgert hat). Das wird deutlich in der Erläuterung bei »Althammer & Kill«, die vor naheliegenden Fehldeutungen warnt: »Auch wenn solch eine „Unterwerfung“ vor allem bei größeren Dienstleistern auf einen abwehrenden Reflex stößt, sollte beachtet werden, dass diese Erklärung nicht dazu dient, sich Gott, der Kirche oder einem bestimmten Glauben zu beugen«, heißt es da. Besser sei die Bezeichnung Anerkennungserklärung oder auch nur Zusatzvereinbarung, wird vorgeschlagen. Die Problematik der Vermittlung beim Abschluss von Auftragsverarbeitungsverträgen hat auch der BfD EKD erkannt und sein Muster vor einiger Zeit um gute Erläuterungen ergänzt, was da eigentlich vor sich geht.

Das IDSG kündigt eine Entscheidung (Beschluss vom 25. Mai 2022 – IDSG 01/2021) zu den Anforderungen an eine konkludente Einwilligung zur Datenverarbeitung bei der Übernahme einer Arztpraxis an. Konkludente Einwilligungen kamen bereits in Entscheidungen des kirchlichen Datenschutzgerichts vor, aber so zentral, wie der Leitsatz verspricht, noch nicht. Insbesondere eine klare Darlegung an die Anforderungen, wie sie in der Ankündigung versprochen wird, dürfte sehr hilfreich sein.

In eigener Sache: Am 21. September um 18 Uhr leite ich bei der Stiftung Datenschutz ein Webinar zu Besonderheiten im Bereich des kirchlichen Engagements – die Teilnahme ist kostenlos.

Weiterlesen

Ist der Elternbeirat eigene verantwortliche Stelle?

Schreiben Sie eine Antwort

Elternbeiräte tragen viel Verantwortung für den guten Kontakt zwischen Eltern und Schule oder Kita. Aber tragen sie auch die datenschutzrechtliche Verantwortung? Die Antwort darauf hat Konsequenzen: Wenn die Mitbestimmungsgremien eigene Verantwortliche sind, müssen Eltervertreter*innen den ganzen Katalog der datenschutzrechtlichen Pflichten erfüllen. Sind sie es nicht, ist die Schule oder Kita auch für ihre Mitbestimmungsgremien verantwortlich – und muss damit auch im Blick haben und regulieren, wie Elternbeiräte arbeiten.

Erwachsene sitzen in einem Klassenraum
Symbolbild Elternabend (Bildquelle: Kenny Eliason on Unsplash)

Im kirchlichen Datenschutzrecht wird die Frage nicht einfacher: Bei eigenen Verantwortlichen muss nämlich zusätzlich die Frage beantwortet werden, ob diese Verantwortliche dann auch kirchliche Stellen sind – ob sie also DSGVO oder das jeweilige kirchliche Datenschutzgesetz anwenden müssen.

Weiterlesen

Nachhaltig und noch lange nicht – Wochenrückblick KW 36/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Clearingstelle Medienkompetenz der Deutschen Bischofskonferenz hat in ihrem Blog einen Aufsatz von Anna Karger-Kroll zur christlichen Sozialethik als Anwältin nachhaltiger Digitalisierung veröffentlicht. Der – durchweg lesenswerte – Aufsatz geht auch kurz auf Datenschutz ein, und zwar mit einer überraschenden Perspektive: Noch vor den üblichen Schutzgütern des Datenschutzes, nämlich Privatsphäre und Integrität der Person, nennt sie ökologische Aspekte: »Ein konsequenter Datenschutz ist […] aus ökologisch-ökonomischen Gründen wichtig. Schließlich werden Daten insbesondere zu kommerziellen Zwecken gesammelt und ausgewertet, und zwar mit dem ›Ziel, über personalisierte Werbung und Preise oder situatives Marketing […] das bereits heute nicht nachhaltig hohe Konsumniveau noch weiter zu steigern‹. Dies wäre angesichts der geforderten Konsumwende kontraproduktiv«, so Karger-Kroll.

Alle paar Monate stelle ich Presseanfragen zu Dauerbrennerthemen. Jetzt kam Antwort von der Hessischen Datenschutzaufsicht: Die Prüfung, ob Hessen oder Berlin für die Zeugen Jehovas zuständig ist, dauert immer noch an, wurde mir mitgeteilt. Nichts Neues gibt es auch aus Rom, hieß es zur Eröffnung des Synodalen Wegs: »Und auch der für morgen vorgesehene Bericht von Erzbischof Schick zur Straf- und Verwaltungsgerichtsbarkeit muss leider erneut entfallen, da es schlichtweg keinen neuen Stand gibt«, sagte Bischof Bätzing in seinem Bericht zur Lage.

In eigener Sache: Am 21. September um 18 Uhr leite ich bei der Stiftung Datenschutz ein Webinar zu Besonderheiten im Bereich des kirchlichen Engagements – die Teilnahme ist kostenlos.

Weiterlesen

Muss die zuständige Aufsicht bei Informationen und Auskünften genannt werden?

Schreiben Sie eine Antwort

Verantwortliche müssen Betroffene über ihr Beschwerderecht bei einer Datenschutzaufsicht hinweisen. Das ist in den Artikeln 12 bis 14 DSGVO für die Informationspflicht wie für die Auskunftspflicht geregelt.

Eine Brille liegt auf einem Vertrag
Bildquelle: Mari Helin on Unsplash

Beim Abfassen von Vorlagen stellen sich damit zwei Fragen: Genügt der allgemeine Hinweis – oder muss die zuständige Aufsicht benannt werden? Und gibt es hier Unterschiede in der Rechtslage zwischen der DSGVO und kirchlichem Recht?

Weiterlesen

Spezifisch beteiligt – Wochenrückblick KW 35/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Datenschutzkonferenz will besser mit den spezifischen Aufsichtsbehörden, also auch denen der Kirchen, zusammenarbeiten. Das lief bislang nicht allzu beteiligungsfreudig. Im nun erschienenen Protokoll der 2. DSK-Zwischenkonferenz findet sich als TOP 12, wie es weitergehen soll: Bis spätestens der 104. DSK im November soll der Entwurf einer Antwort auf das hier schon besprochene Positionspapier des Rundfunkdatenschutzbeauftragten vorliegen. Ebenfalls bis dahin soll der AK Grundsatz Vorschläge für eine verbesserte Kooperation mit den spezifischen Aufsichtsbehörden vorlegen.

Bei der Experteninitiative Religionspolitik unterzieht Bruno Schrage den Entwurf für eine neue Grundordnung des kirchlichen Dienstes einer lesenswerten Generalkritik. Im dritten Teil erwähnt er auch eine Folge der Festlegung, künftig nicht nur Beschäftigte, sondern auch Ehrenamtliche der Grundordnung zu unterwerfen: »Katholische Träger müssen künftig wohl nicht nur in Bewerbungsgesprächen, sondern auch mit Ehrenamtlichen erst ein datenschutzrechtlich zweifelhaftes Gespräch über eine (bisherige) katholische Zugehörigkeit und den hoffentlich nicht erfolgten Kirchenaustritt führen.« Was caritative Träger vielleicht noch leisten könnten (aber nicht wollen), dürfte gerade bei überwiegend ehrenamtlich getragenen kirchlichen Vereinen und Verbänden sehr anspruchsvoll werden. Immerhin: die bloße Zugehörigkeit zu einer Religionsgemeinschaft zählt ja bekanntlich im kirchlichen Datenschutzrecht nicht zu den besonderen Kategorien. (Bereits jetzt hat die zuständige kirchliche Autorität allerdings darüber zu wachen, dass in privaten kanonischen Vereinen »die Unversehrtheit von Glaube und Sitte bewahrt wird«, can. 305 § 1 CIC.)

Bisher war kirchliche Gesetzgebung kaum geregelt. Die DBK ändert das nun, zumindest fürs Arbeitsrecht: Heute tritt die »Ordnung über das Zustandekommen von arbeitsrechtlichen Regelungen auf der Ebene der Deutschen Bischofskonferenz« mit Veröffentlichung im Limburger Amtsblatt in Kraft. Ziel ist die »Sicherstellung eines transparenten und rechtssicheren Verfahrens«. Neu ist dabei das Initiativrecht und die umfassende Beteiligung kirchlicher Stakeholder im Prozess, bevor die Bischöfe beschließen. (Etwas detaillierter auf katholisch.de.) Die Transparenz beschränkt sich aber dem Normtext nach leider auf die Stakeholder: Eine Veröffentlichung von Gesetzesentwürfen ist nicht vorgesehen, das Anhörungsverfahren beschränkt sich auf benannte Stakeholder. Da wäre mehr gegangen. Dennoch ist das ein Meilenstein in der katholischen Rechtskultur: So viel regelhafte Beteiligung ist ein absolutes Novum und ein Schritt in die richtige Richtung, sich innerhalb der ekklesiologischen Grenzen Macht- und Gewaltenteilung anzunähern.

In eigener Sache: Am 21. September um 18 Uhr leite ich bei der Stiftung Datenschutz ein Webinar zu Besonderheiten im Bereich des kirchlichen Engagements – die Teilnahme ist kostenlos.

Weiterlesen

Lose für die Praxis kommentiert – Rezension Datenschutzrecht, Bergmann/Möhrle/Herb

Schreiben Sie eine Antwort

Loseblattsammlungen versprechen besondere Aktualität und verströmen die Ästhetik maximaler Sachlichkeit. Eine Zierde fürs Bücherregal sind sie dagegen nicht. Das gilt auch für die Sammlung in drei Ordnern des Datenschutzrechts-Kommentars von Bergmann/Möhrle/Herb.

Das DSG-EKD ist aufgeschlagen, dahinter die anderen beiden Ordner der Loseblattsammlung »Datenschutzrecht« von Bergmann, Möhrle, Herb
Zur Loseblattsammlung gehören auch Normtexte. Aus dem kirchlichen Bereich sind das DSG-EKD und das KDG aufgenommen.

Die Kommentierung des Kirchenartikels ist knapp, zeichnet sich aber durch eine hohe Praxisorientierung aus. Die Aufnahme der beiden großen kirchlichen Datenschutzgesetze unter die aufgenommenen Gesetzestexte zeigt, dass die Herausgeber kirchlichen Datenschutz im Blick haben.

Weiterlesen

Woelkis Löschkonzept – Wochenrückblick KW 34/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Zumindest selektiv funktioniert das Löschkonzept im Erzbistum Köln: Die Liste mit Missbrauchstätern, die sich Kardinal Rainer Maria Woelki 2015 vorlegen ließ und von der er heute nicht mehr weiß, ob einer der prominentesten Priester seiner Erzdiözese (oder sonst jemand) darauf stand, wurde nach Kenntnisnahme geschreddert. Datenschutzgründe, sagte das Erzbistum gegenüber der KNA. Auch wenn dieser Vorgang etwa von der Maria-2.0-Sprecherin Maria Mesrian auf Facebook als vorgeschoben betrachtet und als »Gipfel der Niedertracht« bezeichnet wird: Bei all den Ungereimtheiten könnte das Schreddern gemäß § 6 Abs. 1 der damals geltenden Ausfbest DS IT, der die datenschutzgerechte Vernichtung von EDV-Ausdrucken und Datenmaterial regelt, sogar legal und angezeigt gewesen sein. (Ergänzung: Falls man nicht annimmt, dass hier die Pflicht bestanden hätte, das dem zuständigen kirchlichen Archiv gemäß § 6 KAO anzubieten, wie Thomas Schüller anmerkt.) Mit dem Schönheitsfehler, dass punktgenau diese Liste vernichtet wurde, während andere für das Gercke-Missbrauchsgutachten zur Verfügung standen.

In der aktuellen Folge von Margot Käßmanns Podcast »Was mich bewegt« geht es um die »Last der Öffentlichkeit« und den Wert der Privatsphäre. Die ehemalige Hannoveraner Landesbischöfin und EKD-Ratsvorsitzende berichtet darin über ihr Verhältnis dazu, eine Person des öffentlichen Lebens zu sein – und was das für die Familie bedeutet. Und den Hund der Familie. Das Gespräch lohnt sich anzuhören: Persönliche Erfahrungen und Eindrücke werden mit sozialethischen Reflexionen verbunden.

Die Katholische Sozialwissenschaftliche Zentralstelle Mönchengladbach hat ein von Lars Schäfers verfasstes Arbeitspapier veröffentlicht: »Die katholische Soziallehre vor den Herausforderungen der Digitalität als sozialer Frage« fasst den bisherigen Stand der Entwicklung kompakt zusammen. Ähnlich wie ich selbst vor einigen Jahren bei y-nachten kommt auch Schäfers mit Blick auf die lehramtliche Sozialverkündigung zum Schluss, dass da (auch heute noch) nicht viel ist, und dass eine Digitalenzyklika wesentliche Impulse geben könnte. Auch wenn das wenige, was es an päpstlicher Sozialverkündigung zum Digitalen gibt, dann doch eher zu pessimistisch ist.

In eigener Sache: Am 21. September um 18 Uhr leite ich bei der Stiftung Datenschutz ein Webinar zu Besonderheiten im Bereich des kirchlichen Engagements – die Teilnahme ist kostenlos.

Weiterlesen

Rezension: Lexikon der MAV für katholische Kirche und Caritas

Schreiben Sie eine Antwort

Das »Lexikon der MAV für katholische Kirche und Caritas von A bis Z« von Richard Geisen und Norbert Gescher liegt mittlerweile in der dritten Auflage vor. Die neue Auflage ist sichtlich von der Corona-Pandemie und den von ihr beschleunigten Entwicklungen geprägt: Neben der Pandemie selbst sind allein aus dem datenschutzrelevanten Bereich Stichworte zu virtuellen Sitzungen und Videokonferenzen, zu Messenger-Diensten, zu Homeoffice und mobiler Arbeit dazugekommen.

Titelseite von Geisen/Gescher, Lexikon der MAV
Richard Geisen/Norbert Gescher: Lexikon der MAV für katholische Kirche und Caritas von A bis Z: Rechte und Handlungsmöglichkeiten der Mitarbeitervertretung, Bund-Verlag, 3. Aufl. 2022, 1285 S. plus Onlinezugang, 64 Euro.(Affiliate Link)

Die 199 Stichwörter sind durchweg sehr praxisrelevant und zugänglich formuliert. Zu Beginn stehen jeweils Grundlagen, gefolgt von einem Abschnitt dazu, was die MAV beachten muss, und Arbeitshilfen. Mit dem Buch kommt der Online-Zugang, über den alle Inhalte der gedruckten Ausgabe sowie zusätzliche Inhalte und Links verfügbar sind.

Weiterlesen