Die Woche im kirchlichen Datenschutz – KW32

Die Rückverfolgbarkeit von Gastronomie-Gästen prägte diese Woche die Diskussion. Die Debatte konzentriert sich auf das Gastgewerbe; Rückverfolgbarkeit ist aber auch bei Gottesdiensten sicherzustellen – ein Aspekt, der bisher nicht vorkommt. Dabei geht es dort sogar um besondere Kategorien personenbezogener Daten: die Tatsache eines Gottesdienstbesuchs gehört auch nach kirchlichem Datenschutzrecht dazu. (Anders als im weltlichen wird zwar die bloße Information über die Zugehörigkeit zu einer Religionsgemeinschaft aus den besonderen Kategorien herausgenommen – Informationen über Gottesdienstbesuche gehen über die bloße Mitgliedschaft hinaus.)

Bei den Datenschutz-Notizen gibt es einen kurzen Überblick über erste kirchliche Reaktionen auf das Schrems-II-Urteil des EuGH. (Das von der Datenschutz-Nord-Gruppe betriebene Blog ist eines der wenigen, die regelmäßig auch den kirchlichen Datenschutz im Blick haben – ein Blick in den aktuellen Tätigkeitsbericht des Nordwest-Diözesandatenschutzbeauftragten verrät warum: Mehrere Bistümer haben einen betrieblichen Datenschutzbeauftragten des Unternehmens beauftragt.)

Weiterlesen

Medienprivileg für Gemeindebrief und Pfarrblatt?

Am Freitag hat der Beauftragte für den Datenschutz der EKD festgestellt, dass das Medienprivileg aus § 51 DSG-EKD nicht für Gemeindebriefe gilt – und zwar kategorisch, nicht einmal ein »grundsätzlich« steht in der Stellungnahme. Damit wäre das Datenschutzrecht voll anzuwenden – mit allen Konsequenzen. Zuvor war nur auf katholischer Seite eine Position der Deutschen Bischofskonferenz bekannt, die die Sache deutlich entspannter darstellt. Betrachtet man die jeweiligen Positionen im Detail, stellen sich bei beiden deutliche Anfragen: Die eine scheint zu eng, die andere zu weit. Was tun?

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW31

Die Woche endet mit einer Entscheidung des Beauftragten für den Datenschutz der EKD, die vieles erschweren dürfte: Das Medienprivileg (§ 51 DSG-EKD) gilt seiner Auffassung nach nicht für den Gemeindebrief. Es mangle am Zweck, »Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten« und dem unbestimmten Empfängerkreis. Das sieht die Deutsche Bischofskonferenz nur zum Teil so, die in ihrer schon lange veröffentlichten FAQ-Liste festhält, dass grundsätzlich auch Pfarrbriefe dem Medienprivileg (§ 55 KDG) unterfallen können: »Hier dürfte es entscheidend darauf ankommen, ob diese sich im Einzelfall lediglich an die Gemeindemitglieder oder an einen öffentlichen, unbestimmbaren Personenkreis richten.«

Kommende Woche Freitag findet das digitale Barcamp Bonn statt. Ich biete eine Session an: So funktioniert Datenschutz: Einführung in die DSGVO für Anfänger*innen (so grundsätzlich gehalten, dass es auch für Anwender*innen der kirchlichen Datenschutzgesetze nützlich ist). Anmeldungen für das digitale Barcamp sind noch möglich.

Eine Datenschutzschulung speziell für das Gesetz über den kirchlichen Datenschutz (KDG) bietet das Erzbistum München und Freising auf seiner Lernplattform an. Es richtet sich zwar an Mitarbeiter*innen und Ehrenamtliche der Diözese, die Anmeldung ist aber allen möglich. Durchaus nützlich, ein Zertifikat gibt’s auch, im Detail aber problematisch, wenn es zu Passworten nur die Tipps gibt, sie nicht im Browser (warum eigentlich?) und auf Post-its zu speichern und sie regelmäßig zu wechseln (spätestens mit der letzten Fassung des BSI-Grundschutz-Kompendiums ist dieser Tipp veraltet und schon länger als Sicherheitsrisiko bekannt), aber keine sichere Alternative zum Post-it präsentiert wird.

Wie Auftragsverarbeitung nach dem KDG funktioniert, steht im Datenschutzblog von Reichert und Reichert. Das Fazit: »Die Zusammenarbeit zwischen kirchlichen Rechtsträgern und nicht-kirchlichen Stellen kann im Datenschutz für beide Seiten herausfordernd sein. Die Einbeziehung des für die meisten Auftragsverarbeiter unbekannten KDG stößt auf Unsicherheiten, vielfach auch auf die fehlende Bereitschaft, sich mit dem Datenschutzrecht des Auftraggebers zumindest überblicksartig zu beschäftigten.« Im Artikel geht es nur um die katholische Variante, die dank einer sehr liberalen Beschlusslage der Konferenz der Diözesandatenschutzbeauftragten sehr einfach umzusetzen ist. Evangelisch wird’s etwas schwerer: Im Gegensatz zum KDG fordert das DSG-EKD explizit, dass sich Auftragsverarbeiter*innen der kirchlichen Datenschutzaufsicht unterwerfen (§ 30 Abs. 5 Satz 3 DSG-EKD).

Weiterlesen

Buchtipp: Rechtssammlung zum kirchlichen Datenschutz

Seit kurzem liegt die von Alexander Golland herausgegebene Rechtssammlung zum kirchlichen Datenschutz in zweiter Auflage (Affiliate Link) vor. Auch wenn es keine grundsätzlichen Änderungen an den darin abgebildeten Gesetzen gab – DSGVO, katholisches KDG und KDR-OG und evangelisches DSG-EKD, jeweils mit weiteren relevanten Gesetzen –, lohnt sich doch knapp zwei Jahre nach Erscheinen der Erstauflage eine Aktualisierung: Redaktionell wurden in den Gesetzen einige Kleinigkeiten korrigiert, die Ordnungen der kirchlichen Gerichte haben neu Eingang in die Sammlung gefunden, und vor allem haben die zuständigen Datenschutzaufsichten mittlerweile einige Grundsatzbeschlüsse vorgelegt.

Zielgruppe der Sammlung sind ausweislich der Einleitung alle Anwender*innen kirchlichen Datenschutzrechts – und das sind mehr, als man denkt: Neben den eigentlich betroffenen kirchlichen Stellen letzten Endes alle, die mit Religionsgemeinschaften in irgendeiner Form zu tun haben, die das Hantieren mit personenbezogenen Daten beinhaltet.

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW30

Die ersten Einschätzungen der katholischen und evangelischen Datenschutzaufsichten zum Aus für das Privacy Shield sind verfügbar – eine erste Hilfe, aber immer noch sind viele Fragen offen. Einen Überblick über Entwicklungen bei der Anwendung des KDG gibt der Tätigkeitsbericht des Nordwest-Diözesandatenschutzbeauftragten – der ist in dieser Woche endlich erschienen.

Seit 2018 ist das katholische Gesetz über den kirchlichen Datenschutz (KDG) in Kraft, bisher waren Anwender*innen bei der Auslegung auf DSGVO-Kommentare, die Erläuterungen des Gesetzgebers und der Aufsichten und die –wenigen – veröffentlichten Urteile der Datenschutzgerichte angewiesen. Das ändert sich bald: Nomos hat voraussichtlich für September einen »Handkommentar Kirchliches Datenschutzrecht« (Affiliate link) zum KDG angekündigt, herausgegeben von Gernot Sydow. Der Münsteraner Europarechtler hat bereits einen Kommentar zur DSGVO (Affiliate link) herausgegeben und ist als Vorsitzender Richter des DBK-Datenschutzgerichts selbst mit der praktischen Anwendung des KDG betraut. (Und aus den veröffentlichten Urteilen ist bekannt: der Sydow ist auch beim Interdiözesanen Datenschutzgericht beliebt.) Ein Kommentar zum evangelischen DSG-EKD steht leider noch aus.

Weiterlesen

Prüfschema zum Privacy-Shield-Urteil

Was tun, nachdem das Privacy Shield nicht mehr für die Datenübertragung in die USA zur Verfügung steht? Die katholischen Datenschutzaufsichten für NRW und die Nordwest-Bistümer haben nun eine erste FAQ und ein Prüfschema dazu veröffentlicht. Eine endgültige Positionierung gibt es noch nicht, die Abstimmungen laufen nach gleichlautender Meldung aus Dortmund und Bremen noch. [Ergänzung, 24. Juli, 12.15]Am Freitag hat sich auch die Konferenz der Beauftragten für den
Datenschutz in der EKD mit einer ähnlichen Einschätzung der Sachlage geäußert. Es wurden Bemühungen angekündigt, zu einer einheitlichen Vorgehensweise
mit den Datenschutzaufsichtsbehörden in Deutschland zu kommen.[/Ergänzung]

Klar ist aber jetzt schon: Das Urteil gilt sofort, die Diözesandatenschutzbeauftragten werden die Vorgaben des EuGH umsetzen – »das erfordert aber intensive Untersuchungen zu der Frage, wie – ohne Gefährdung des laufenden Betriebs – ein Ausstieg möglich ist«, heißt es in der Verlautbarung: »Das mag in einigen Bereichen schneller gehen und in anderen länger dauern.« Keine Aussage wird dazu gemacht, welche üblichen Anwendungsfälle überhaupt betroffen sind. In der Praxis dürfte das vor allem Office 365 sein (wobei Microsoft die Rechtskonformität betont).

Weiterlesen

Tätigkeitsbericht des Diözesandatenschutzbeauftragten Nordwest erschienen

Am Mittwoch hat der Diözesandatenschutzbeauftragte für die Nordwest-Bistümer Andreas Mündelein seinen Tätigkeitsbericht für 2019 veröffentlicht. Nach seinem Kollegen für die Ost-Bistümer, der schon vor einigen Monaten veröffentlicht hat, ist das der zweite Bericht der kirchlichen Aufsichten.

Der Bericht kommt weitgehend ohne Überraschungen aus; die »Verunsicherungen, der Medienrummel und die gesamtkirchlichen Irritationen haben sich im Laufe des Berichtszeitraums 2019 nicht weiter fortgesetzt.« Beratungsnachfragen stagnieren auf hohem Niveau, Beschwerden und Meldungen von Datenpannen haben aber zugenommen. (Beschwerden +18,75 Prozent, Meldungen +73,30 Prozent, Prüfungen +90,67 Prozent; absolute Zahlen fehlen leider.) Positiv würdigt der DDSB, dass anlasslose Prüfungen ein gestiegenes Datenschutzbewusstsein gezeigt haben.
Social Media wird immer noch kritisch gesehen.

Weiterlesen

EU-Bischöfe fordern Datenschutz bei der KI-Regulierung

Die Kommission der Bischofskonferenzen der Europäischen Gemeinschaft (COMECE) hat sich an der Konsultation zu einem EU-Weißbuch zu Künstlicher Intelligenz beteiligt. Die Bischöfe fordern dabei allgemein einen sozialethischen Diskurs und die systematische Beteiligung von Religionsgemeinschaften ein. Die Regulierung von KI müsse sich am Gemeinwohl orientieren. In der schon im Juni eingereichten Stellungnahme werden in diesem Kontext auch Forderungen zum Datenschutz gestellt.

Photo by Franck V. on Unsplash

Die COMECE sieht Positionen mit Sorge, die eine weitreichende Flexibilität bei der Anwendung der DSGVO auf KI-Anwendungen fordern. Stattdessen macht sie die Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 DSGVO stark, insbesondere Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz; Datenminimierung; Integrität und Vertraulichkeit und Rechenschaftspflicht (Art. 5 Abs. 1 litt. a), c), f) und Abs. 2 DSGVO).

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW29

Das Thema der Woche ist natürlich das Aus für Privacy Shield – lange erwartet, jetzt ist es passiert. Mehr dazu gab es hier im Blog: EuGH kippt Privacy Shield.

Für katholisch.de hat mir der Diözesandatenschutzbeauftragte der NRW-Bistümer Steffen Pau eine erste Einschätzung gegeben. Seine Empfehlung:

»Die kirchlichen Stellen sollten für sich nochmals eine Bestandsaufnahme von den Verarbeitungen personenbezogener Daten machen. Aus diesen Verarbeitungen sind diejenigen genauer anzuschauen, bei denen ein Datenaustausch mit den USA stattfindet. Alle diese Verarbeitungen müssen bezüglich der Auswirkungen des Urteils zur Grundlage der Verarbeitung überprüft werden. Sofern die Datenverarbeitung bisher auf den Privacy Shield gestützt wurde, müssen hier andere Lösungen gefunden werden.«

Steffen Pau, Katholisches Datenschutzzentrum Dortmund
Weiterlesen

EuGH kippt Privacy Shield – weitreichende Konsequenzen erwartet

Der Europäische Gerichtshof hat das Privacy-Shield-Abkommen gekippt. In der Entscheidung vom 16. Juli, die die von Max Schrems gegründete NGO »None Of Your Business« (NOYB) veröffentlicht hat, wird Facebook zudem die Nutzung von Standardsvertragsbedingungen zur Ermöglichung von Datentransfers in die USA verboten.

Die Entscheidung wird weitreichende Konsequenzen haben für Dienste und Daten, die in den USA gehostet sind. Dass das Abkommen auf wackligen Beinen steht, haben Datenschutzaktivist*innen schon seit Jahren betont, die Frage war eher wann, nicht ob.

Weiterlesen