Beschäftigtendatenschutz-Woche! – Wochenrückblick KW 45

Beim Beauftragten für den Datenschutz der EKD ist Beschäftigtendatenschutz-Woche: In zwei frisch erschienenen Flyern mit Kurzinformationen geht es um Personalakten und Informationen für Mitarbeitende. Das Papier zu Personalakten startet vage (»Unterschiedliche Teile der Personalakte unterliegen aufgrund unterschiedlicher Verarbeitungszwecke der personenbezogenen Daten unterschiedlichen Aufbewahrungsfristen.«), wird dann aber doch sehr hilfreich und listet auf, was in die Personalakte gehört, was nicht und wie damit umzugehen ist.

Das Kurzpapier »Was müssen Mitarbeitende über den Datenschutz wissen?« ist gut gemeint – aber für normale Mitarbeitende doch etwas kryptisch, da viele Fragen nur mit einem Verweis auf die Fundstelle im Gesetz beantwortet werden. Als Grundlage für betriebliche Datenschutzbeauftragte kann es aber hilfreich sein für die Planung von Schulungen. Leider zieht sich auch hier durch das Papier die ärgerliche Angewohnheit des DSB-EKD durch, Informationen nach nicht nachvollziehbaren Kriterien nur selektiv zu nennen. Dass bei der Frage nach der Veröffentlichungen von Mitarbeitendenfotos (grundsätzlich nur mit Einwilligung) der Sonderfall von Mitarbeitenden nicht erwähnt wird, bei denen das zum Stellenprofil gehört (z. B. bei Pressesprecher*innen), ist verschmerzbar. Wie in einem Papier zum Beschäftigtendatenschutz aber nur die Rechtsgrundlagen Einwilligung und Gesetz für die Verarbeitung personenbezogener Daten erwähnt werden können, wo doch hier in der Regel die einschlägigen Rechtsgrundlagen Arbeitsvertrag und insbesondere die speziellen Regelungen zum Beschäftigtendatenschutz (§ 49 DSG-EKD) sind, ist unverständlich. Eine grobe Unterlassung ist es zudem, dass die Problematik von Einwilligungen im Arbeitsverhältnis und die besonderen Anforderungen an sie (auf die § 49 Abs. 3 DSG-EKD explizit eingeht) gar nicht erst erwähnt wird.

Auch im Bereich der katholischen Kirche scheint die Sommerpause jetzt vorbei zu sein. Der bayerische Diözesandatenschutzbeauftragte hat eine Handreichung zu Schrems II veröffentlicht und das Erzbistum Köln reiht sich ein in die Bistümer, die ein eigenes §-29-KDG-Gesetz zur Auftragsdatenverarbeitung erlassen haben. Außerdem haben die Datenschutz-Notizen über den bayerischen Tätigkeitsbericht berichtet: »kurz und brisant« ist das Urteil, ähnlich wie meines.

Auf Artikel 91

Aus der Welt

  • »Braucht der Datenschutz einen Imageberater?«, wird in den Datenschutz-Notizen gefragt. Der Autor schreibt sich den Frust über schlechte Beratung, schlechtes Image und ständige Missverständnisse von der Seele. Eine Lösungsstrategie wäre: Gute Datenschutzschulungen statt Pflicht-Webinar aus der Konserve – und eine verständliche und praxisnahe Öffentlichkeitsarbeit von Datenschutzaufsichten. Da können vor allem die kirchlichen noch daran arbeiten.
  • In der aktuellen Ausgabe der Zeitschrift »Datenschutz und Datensicherheit« ist ein lesenswerter Aufsatz von Rainer W. Gerling, Stefan Hessel et. al. zum Stand der Technik bei Videokonferenzsystemen und »naming and shaming« durch Aufsichtsbehörden erschienen. Die Kernargumente: Oft fordern Aufsichtsbehörden Sicherheitsstandards, die nicht Stand der Technik sind, und berücksichtigen dabei auch nicht, ob diese Standards überhaupt geboten sind – wenn beispielsweise die Forderung nach Ende-zu-Ende-Verschlüsselung mit der Notwendigkeit, eine Telefon-Einwahl zu ermöglichen, kollidiert. Ganz grundsätzlich wird gefragt, ob Aufsichtsbehörden die Kompetenz (rechtlich wie technisch) haben, überhaupt Produkte zu bewerten: »Geht man davon aus, dass die derzeitigen Veröffentlichungen noch als Sensibilisierungsmaßnahmen bewertet werden können, erscheinen zumindest die Sachlichkeit und Richtigkeit bei einigen Stellungnahmen fraglich.« Die kirchlichen Aufsichten halten sich derzeit sehr zurück mit der Bewertung einzelner Dienste. Katholischerseits nennt vor allem der bayerische DDSB Namen, der DSB-EKD hat 2018 Messenger-Dienste bewertet.
  • Ein Ergebnis aus den USA: »Prop 24 passes in Calif., paving way for CPRA« – was das neue kalifornische Datenschutzgesetz bedeutet, erläutert die IAPP.
  • Mal wieder ein Versuch, die ePrivacy-Verordnung doch noch hinzubekommen. Was in dem Entwurf der deutschen EU-Ratspräsidentschaft steht, schlüsselt Heise auf – die Regelungen zu Cookies wirken pragmatisch und machbar, aber auch Überwachung wird möglich.

Kirchenamtliches

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert