Seit dieser Woche sind alle veröffentlichten Tätigkeitsberichte der kirchlichen Datenschutzaufsichten für 2019 hier im Blog besprochen: die Orden, der Nordwesten und der Osten. Es fehlen Bayern, Südwest und NRW. (Der EKD-Bericht erschien bisher im zweijährigen Turnus, den § 41 DSG-EKD mindestens vorschreibt. Der nächste turnusgemäße wäre dann für 2021 für 19/20 zu erwarten.) Bei meinen Recherchen wurde für das ungewöhnlich späte Erscheinen in der Regel die Corona-Krise angeführt: Wenn sonst im Büro geschrieben wird, war dieses Jahr (hoffentlich rechtskonformes) Homeoffice zu organisieren.
NRW und Südwest haben mir jeweils »nach der Sommerpause« und »im Herbst« fürs Erscheinen angekündigt. In Bayern gibt es noch einen besonderen Grund für die Verspätung: Zum 30. September endet das Mandat des Diözesandatenschutzbeauftragten Jupp Joachimski, zu diesem Datum will er auch seinen Bericht für 2019 und die ersten drei Quartale von 2020 vorlegen. Ein Nachfolger steht noch nicht fest – jedenfalls ist keiner bekannt. Mit Joachimski verlässt der einzige unter den fünf Diözesandatenschutzbeauftragten das Amt, der nicht aus dem Bereich Verwaltung und Compliance kommt, sondern früher Richter war. Seine Äußerungen – etwa zur Anwendbarkeit der Kriterien des Kunsturhebergesetzes, um Fotoveröffentlichungen ohne Rechtsgrundlage Einwilligung zu ermöglichen – zeugten von einer Sensibilität für die Abwägung von Grundrechten, die nicht alle seine Kolleg*innen an den Tag legen.
Aus der Welt
- Medienseiten lieben Tracking. Um dem Einhalt zu gebieten, prüfen die Aufsichten nun intensiver. Die bekannt gewordene Checkliste ist auch für kirchliche Webseitenbetreiber interessant, auch wenn selbst schlimmere Anbieter*innen in der Regel nicht die Exzesse fahren, die weltlich Medien sich erlauben.
Datenschutz-Guru: Fragebogen der Aufsichtsbehörden „Prüfung des Einsatzes von Tracking-Diensten auf Webseiten“ bei Medienunternehmen - »Gemeinsame Verantwortlichkeit« ist eine komplizierte Konstruktion – und da, wo sie mittlerweile höchstrichterlich als notwendig angesehen wird (nämlich beim Betrieb von Facebook-Fanseiten) eigentlich nicht rechtskonform zu lösen. Für andere Fälle hat Carlo Piltz ein interessantes Dokument gefunden: Nämlich eine zwischen den Bundesländern.
De lege data: Bundesländer schließen Vereinbarung zur gemeinsamen Verantwortlichkeit nach DSGVO – Blaupause für die Praxis? - Kein Wochenrückblick ohne Schrems II: Der baden-württembergische Datenschutzbeauftragte hat eine Orientierungshilfe zum internationalen Datentransfer veröffentlicht, die einerseits sehr klar ist, andererseits aber auch schwer zu erfüllen. Besonders interessant: Er schlägt Änderungen an den Standardvertragsklauseln vor. Im Gespräch mit dem Datenschutz-Guru findet Rechtsanwalt Paul Voigt das problematisch.
Sehr sympathisch und symptomatisch ist der Einstieg in die geänderten Vertragsklauseln in der Orientierungshilfe: »Um Ihren Willen zu einem rechtskonformen Handeln zu demonstrieren und zu dokumentieren, sollten Sie …« – das ist eine realistische Einschätzung: Unstreitig rechtssicher kriegt man das eh nicht, daher ist überall nichts in der Welt, ja überhaupt auch außer derselben zu denken möglich, was ohne Einschränkung für gut könnte gehalten werden, als allein ein guter Wille. - Ob wir jemals Faxe loswerden? Bis dahin muss jedenfalls noch sorgfältig überlegt werden, welches technische Schutzniveau vorliegt. Vorbildlich bei dem Artikel in den Datenschutz-Notizen: Zur Technik wurde immerhin kurz noch der rechtliche Schutz des Telekommunikationsgeheimnisses angesprochen. Allerdings: »Auch wenn dadurch ggf. ein Mindestmaß an Vertrauen geschaffen werden kann, macht diese Regulierung aus technischer Sicht keinen Unterschied, zumal nicht transparent ist, wann ein Datenpaket die Gestaltungshoheit eines Anbieters verlässt und welche Unterauftragnehmer eigentlich die Daten für einen Telekommunikationsanbieter tatsächlich transportieren.«
Kirchenamtliches
- Keine Veröffentlichungen in dieser Woche