War eigentlich noch was anderes 2020? Auch im kirchlichen Datenschutz lag der Schwerpunkt auf Corona, vom Homeoffice über Videokonferenzen bis zum Fiebermessen. Und als wäre eine Pandemie nicht anstrengend genug, hat der Europäische Gerichtshof auch noch das Privacy Shield kassiert.
»Artikel 91« verabschiedet sich mit diesem Jahresrückblick in eine kurze Weihnachtspause. Falls nicht noch etwas Spektakuläres passiert (und wir haben immer noch 2020), geht es im Januar weiter mit einem Jahresausblick 2021.
(Einen allgemeinen Datenschutz-Jahresrückblick gibt es bei Dr. Datenschutz.)
Corona, Corona, Corona
Auch wenn sich die kirchlichen Aufsichten dieses Jahr etwas zurückgehalten haben (kein einziger Beschluss der katholischen Konferenz der Diözesandatenschutzbeauftragten!), blieben sie nicht untätig: Handreichungen zu Videokonferenzsystem, mobilem Arbeiten, MAV-Arbeit, zum Beschäftigtendatenschutz und zur Rückverfolgbarkeit von Gottesdienstteilnehmenden gab es einige.
Einen Überblick und praktische Tipps gab’s auch hier:
- Kirchlicher Datenschutz und Corona
- Rechtskonforme Rückverfolgbarkeit von Gottesdiensten – gar nicht so einfach
- Videokonferenz praktisch datenschutzkonform – nur wie?
- Ticketsysteme für Gottesdienste – und der Datenschutz?
- Unter dem Schlagwort Corona-Pandemie findet sich noch mehr zum Thema hier.
Schrems II
Das Privacy Shield sagt adieu und hat zum Abschied gleich noch die Standardvertragsklauseln mitgenommen – am 16. Juli läutete der EuGH mit seinem Schrems-II-Urteil das ein, wovor viele schon lange warnten: Die Datenübermittlung in die USA ist nicht mehr mit dem Privacy-Shield-Framework möglich, und alle anderen USA-Übermittlungen sind aufgrund der weitreichenden US-Überwachungsgesetze auch problematisch. Besonders schwer haben es Anwender*innen des KDG: Das verbietet nämlich in § 29 Abs. 11 KDG Auftragsverarbeitung in Drittstaaten ohne Angemessenheitsbeschluss. (Aber darüber redet in der Kirche gerade niemand gern.)
Die Veröffentlichungen (nicht nur) der kirchlichen Aufsichten hier im Blog:
- EuGH kippt Privacy Shield – weitreichende Konsequenzen erwartet
- Prüfschema zum Privacy-Shield-Urteil
- Facebook-Verbot mit Schonfrist: Bayerns DDSB zu Schrems II
- Unter dem Schlagwort Schrems II gibt es in vielen Wochenrückblicken praktische Linktipps zum Umgang mit den USA.
Tätigkeitsberichte der Datenschutzaufsichten
Dieses Jahr dauerte es ziemlich lang, bis alle Tätigkeitsberichte der kirchlichen Aufsichten vorlagen – auch hier wurde Corona als Grund ins Feld geführt. Die Liste ist sehr katholisch geprägt: Das KDG sieht eine jährliche Rechenschaftspflicht vor, die evangelische Aufsicht ist alle zwei Jahre und das nächste Mal 2021 dran. Auf eine Abfrage unter allen bekannten Gemeinschaften mit eigener Aufsicht haben nur sehr wenige reagiert, und davon nur zwei mit Rechenschaftsberichten, bei anderen mit Hinweisen auf Überlastung oder sogar »Datenschutz« als Grund dafür, dass kein Tätigkeitsbericht zur Verfügung gestellt werden kann.
- Gemeinsamer Ordensdatenschutzbeauftragter: Alles in Ordnung bei den Orden
- Katholische Datenschutzaufsicht Ost: Wie übergriffig ist Öffentlichkeitsarbeit?
- Katholisches Datenschutzaufsicht Nord: Tätigkeitsbericht des Diözesandatenschutzbeauftragten Nordwest erschienen
- Katholisches Datenschutzzentrum Dortmund (NRW): Die Schonzeit ist vorbei
- Katholisches Datenschutzzentrum Frankfurt/M. (Südwest): Wo sind all die Datenschutzbeauftragten hin?
- Gemeinsame Datenschutzaufsicht der bayerischen (Erz-) Diözesen: Land unter in Bayern
- Bericht des Kirchlichen Beauftragten für Datenschutz für die 14. Kirchensynode der SELK (ohne Artikel hier)
- Bund Freikirchlicher Pfingstgemeinden: Ausnahmen von der Ausnahme
Und sonst so?
- Am 24. Juni wurden die Ergebnisse der ersten Evaluierungsrunde der DSGVO veröffentlicht – wenig konkret, und auch zum für den kirchlichen Datenschutz wichtigen Art. 91 DSGVO stand gar nichts drin. Eine Anhörung des Bundestags zur DSGVO und Bürokratie in der Zivilgesellschaft verlief auch ziemlich fruchtlos.
- Weitgehend unter dem Radar blieben die kleineren Religionsgemeinschaften mit eigenem Datenschutzrecht – eine Recherche von »Artikel 91« deckte auf: Die Datenschutzaufsichten haben sie im Visier.
- Die wichtigste gesetzgeberische Neuerung für den katholischen Bereich war das im Winter verkündete Gesetz über das Verwaltungsverfahren im kirchlichen Datenschutz (KDS-VwVfG); ansonsten prägte die Gesetzgebung eher kleinere Korrekturen und viele einzelne Paragraph-29-Gesetze zur Auftragsverarbeitung.
- Gerade noch rechtzeitig für den Gabentisch erschien am 14. Dezember der erste Kommentar zum Gesetz über den kirchlichen Datenschutz(Affiliate Link) – die erste Rezension dazu erschien hier.
- Fehlt noch was wichtiges? Gerne in die Kommentare!