Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Woche im kirchlichen Datenschutz
Schulungsfolien zum DSG-EKD
Der BfD EKD hat Schulungsfolien zum Datenschutz für Mitarbeitende online gestellt: eine Einführung in den rechtlichen Datenschutz, Datenschutz im beruflichen Alltag und eine Einführung in den technischen Datenschutz. Die Folien sind professionell gestaltet um umfassend – insgesamt gut 90. Für die genannte Zielgruppe der Mitarbeitenden allgemein sind vor allem die Folien zum Datenschutz im beruflichen Alltag geeignet, die anderen beiden Abschnitte gehen etwas tiefer und sind vor allem für diejenigen Beschäftigten nützlich, die Berührungspunkte mit dem Datenschutzmanagement haben oder anderweitig Prozesse gestalten.
Beim Teil über den Umgang mit Fotos werden einige Rechtsauffassungen deutlich: Wieder taucht das DSGVO-analoge berechtigte Interesse auf, das im DSG-EKD über die Konstruktion »§ 6 Nr. 4 i.V.m. § 6 Nr. 8 DSG-EKD«, also kirchliches Interesse und (DSG-EKD-)berechtigtes Interesse, nachgebaut werden muss. Diese Konstruktion ist erstmals in der Arbeitshilfe zu Bildrechten aufgetaucht. Wie schon in dieser Arbeitshilfe soll bei Veröffentlichungen von Bildern das Kunsturhebergesetz direkt zur Anwendung kommen, nicht über den Umweg, die bewährte Rechtsprechung zum KunstUrhG als Abwägungskriterien für das berechtigte Interesse heranzuziehen.
Zuletzt hatte der BfD EKD in seinem Tätigkeitsbericht für 2017/2018 zu seiner Auslegung von »Stand der Technik« geäußert. In den Folien gibt es nun diese Definition: »Technik, die sich in der Praxis bewährt hat und ein insofern anerkanntes Sicherheitsniveau bietet. […] „Stand der Technik“ bedeutet nicht, die jeweils neueste Technik oder Software einsetzen zu müssen. Es ist ein Kompromiss zwischen Aktualität und Verbreitung / Etablierung nötig.« Praktisch heißt das: Die Folien sind in den Formaten PDF und Powerpoint verfügbare, nicht aber in einem Freien Format wie OpenDocument.
BfD Nord berichtet zum letzten Mal mit einer Predigt
Zum letzten Mal hat der Beauftragte für den Datenschutz der Nordkirche der Landessynode Bericht erstattet: Am 1. Oktober ging die Aufsicht über den verfassten Bereich der Landeskirche auf den BfD EKD über, BfD Nord Peter von Loeper ist nur noch Stellvertreter in der EKD-Aufsicht. »Der Übergang morgen sollte nahtlos klappen«, versprach von Loeper am letzten Tag seiner Amtszeit.
Mit sieben Seiten kommt von Loeper in seinem Tätigkeitsbericht für den zweijährigen Berichtszeitraum aus. Im vorigen waren es neun. Globale Dauerbrenner wie IT-Sicherheit und US-Datentransfers tauchten dort zusammen mit Nordkirche-Themen wie der geplanten Zusammenarbeitsplattform auf. Der scheidende BfD warnte sehr deutlich vor dem Einsatz von Microsoft: »Damit holen wir uns unabsehbare Probleme ins Haus. Wann und ob Microsoft ohne Einwilligung datenschutzkonform betrieben werden kann, weis kein Mensch. Es kann noch lange dauern. Die Zusammenarbeitsplattform soll doch losgehen. Es gibt Alternativen zu Microsoft.« Von Loeper warnte insbesondere, dass alle Betroffene, alle Gemeindemitglieder und alle Beschäftigten, Beschwerde einlegen können.
Insgesamt zieht von Loeper ein gemischtes Fazit. Eindringlich mahnte er dazu, sich endlich um IT-Sicherheit zu kümmern: »Ich kann nur davor warnen diese Schutzvorschriften weiterhin so wenig zu beachten, nicht nur der materielle Schaden einer Datenpanne kann immens sein.« Der BfD Nord schließt seinen Bericht mit grundsätzlichen Gedanken: »Wir als Kirche haben uns Regeln für den Datenschutz gesetzt, wir uns selber. Und so oft habe ich erlebt, dass sie nicht eingehalten wurden. Manches mal aus Unkenntnis, da konnte ich beraten, zumeist aber im Bewusstsein der Regelwidrigkeit, um nicht zu sagen Rechtswidrigkeit. Ich habe mich dann immer gefragt, was es mit uns als Kirche macht, wenn wir gegen unsere eigenen selbst gesetzten Regeln verstoßen.« Er plädiert dafür, sich den eigentlichen Zweck von Datenschutzrecht zu vergegenwärtigen: Asymmetrischen Machtstrukturen zu begegnen und sie einzuhegen: »Wir sind doch Kirche der Freiheit und wir wollen nahe bei den Menschen sein. […] Die Daten liegen uns am Herzen und wir begreifen Datenschutz nicht als lästiges Übel, sondern als Grundrechtsschutz für die uns anvertrauten Menschen. Ich will den Datenschutz nicht überhöhen. Aber wenn unsere Kirche eine feste Burg für Daten ist, wird auch das Vertrauen schaffen!« Predigen können sie, die Evangelischen.
Fragebogen des BfD EKD zur Prüfung von Krankenhäusern
Die angekündigte Prüfung des BfD EKD von evangelischen Krankenhäusern läuft. Mir wurde der umfangreiche Fragenkatalog zugespielt, den die zufällig ausgewählten Einrichtungen ausfüllen müssen. Insgesamt sind 64 Fragen in elf Themengebieten zu beantworten: allgemeine Angaben zum Krankenhaus, Angaben zur oder zum örtlich Beauftragten für den Datenschutz, Fragen zum rechtlichen und organisatorischen Umfeld, IT-Organisation, Krankenhausinformationssystem, Zugangs- und Zugriffsregelungen, Protokollierung, Aufbewahrung und Löschen, Mandantentrennung sowie Patientenakten. Außerdem sollen mehrere Dokumente vorgelegt werden: Liste der Dienstleister, Regelung zur Nutzung von privaten und beruflichen Endgeräten, Behandlungsvertrag mit Datenschutzinformationen, Formulare zur Einholung von Einwilligungen, Verarbeitungsverzeichnis, Löschkonzept und Rechte-Rollenkonzept des KIS.
Vieles davon sind Fragen nach allgemeinen Standards des Datenschutzmanagements. Einige Fragen sind aber auch sehr speziell auf Krankenhäuser abgestimmt, etwa die nach dem Prozess der Einbindung der Krankenhausseelsorge während des Krankenhausaufenthalts der Patienten und welche Daten den Krankenhausseelsorgenden dazu zur Verfügung gestellt werden. Gefragt wird nach interner und externer Forschung und branchenspezifischen Sicherheitsstandards und einer Umsetzung der Orientierungshilfe Krankenhaus-Informationssysteme (OH KIS) der DSK.
IDSG-Entscheidung: Pfarrer liest anderer Leute WhatsApp
Der leitende Pfarrer war bei einem Pfarreimitglied, um zum Geburtstag zu gratulieren. Dort sollte er das Smartphone der Besuchten so einrichten, dass online übertragene Gottesdienste angeschaut werden können. Auf dem ihm dazu überreichten Smartphone hat er aber Einblick in eine WhatsApp-Nachricht genommen mit einer Nachricht einer Kirchenmusikerin der Gemeinde, in der sie den Pfarrer kritisiert. Es folgen Drama, eine Beschwerde bei der Datenschutzaufsicht und eine Klage. Der Bescheid der zuständigen Datenschutzaufsicht wurde nun vom Interdiözesanen Datenschutzgericht geprüft (IDSG 01/2022, Beschluss vom 11. September 2023.
Wie üblich in verfahrenen Beschäftigungssituationen ist der Fall verwinkelt und kompliziert. Von allgemeinem Interesse dürfte die umfangreiche Prüfung von Rechtsgrundlagen sein: Die bloße Übergabe des entsperrten Smartphones stellt nach Ansicht des Gerichts noch keine konkludente Einwilligung ins Lesen von WhatsApp-Nachrichten dar – schon weil sich eine Einwilligung auf eine konkrete Verarbeitung beziehen muss. Der Einwilligende muss »eine im Wesentlichen zutreffende Vorstellung davon hat, worin er einwilligt, so dass er Bedeutung und Tragweite seines als schlüssig zu bewertenden Verhaltens überblicken kann«. Auch die anderen durchgeprüften Rechtsgrundlagen sind nicht einschlägig.
Als Auflage wurde dem leitenden Pfarrer eine Datenschutzschulung verordnet. Das steht nicht im Katalog der Anordnung von § 47 Abs. 5 Satz 2 lit. a) bis f) KDG, der Katalog sei aber nicht abschließend, stellt das Gericht fest. Dass überhaupt eine Datenverarbeitung vorlag, war für das Gericht recht klar: Das Lesen einer WhatsApp-Nachricht ist für das Gericht eine Verarbeitung, da sie in einem automatisierten Dateisystem gespeichert ist: »Damit liegt nicht lediglich eine Gesprächssituation im Sinn der datenschutzgerichtlichen Rechtsprechung vor.«
Neuer Auftritt der Ordensdatenschutzbeauftragten
Die Ordensdatenschutzaufsicht hat jetzt eine eigene Webseite: datenschutz.orden.de. Schon jetzt gibt es dort einen gut gefüllten Downloadbereich mit einigen Handreichungen, eine Rubrik zu den neuesten Hinweisen verspricht größere Aktualität und Transparenz.
In den Hinweisen ist bereits einer mit einer interessanten Festlegung: Beim Hinweisgeberschutzgesetz gehen die Ordensdatenschutzbeauftragten davon aus, dass für die relevanten Schwellenwerte im Gesetz nicht nur die klassischen Beschäftigten, sondern auch die Ordensmitglieder zählen. Man geht also davon aus, dass Ordensleute als Beschäftigte im Sinne des Gesetzes gelten, und zwar – das hat mir der Ordensdatenschutzbeauftragte Jupp Joachimski auf Nachfrage bestätigt – gemäß § 3 Abs. 8 Nr. 6 HinSchG (»Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind«). Der Einbezug von Mitgliedern gilt also tatsächlich nur für Orden – bei Vereinen zählen Mitglieder nicht.
In eigener Sache: Datenschutz und Urheberrecht in der Jugendarbeit
- Am 19. Oktober 2023, 9.30–15 Uhr, bin ich mit einem Vortrag zu Datenschutz und Social Media am »Social Media Meet Up 2023« der MDG beteiligt. Die Anmeldung ist bis zum Tag der Veranstaltung möglich. (Teilnahmebeitrag 78 Euro.)
- Am 12. Dezember, 16.30 bis 18 Uhr, findet bei JHD|Bildung ein Webinar zu Bild- und Persönlichkeitsrechten in der katholischen Jugendarbeit statt. Die Anmeldung ist bis zum 28. November möglich. (Teilnahmebeitrag 10 Euro.)
Auf Artikel 91
- Empfindliche Buße – Tätigkeitsbericht 2022 des KDSZ Frankfurt
- So prüft die NRW-Datenschutzaufsicht kirchlichen Datenschutz
Aus der Welt
- Verantwortliche haben gemäß Art. 12 Abs. 3 DSGVO Auskunftsersuchen »unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags« zu ersuchen. Eine kürzere Fristsetzung durch Betroffene ändert daran nichts, hat das LAG Baden-Württemberg entschieden (Urteil vom 28. Juli 2023, 9 Sa 73/21). Carlo Piltz bespricht die Entscheidung. Für den kirchlichen Datenschutz dürfte die Entscheidung grundsätzlich übertragbar sein: § 14 Abs. 3 KDG sieht dieselbe Frist vor, § 16 Abs. 3 DSG-EKD gesteht evangelischen Verantwortlichen sogar drei Monate (ohne unverzüglich) zu.
Kirchenamtliches
- Bistum Aachen:
- Bistum Limburg: Ordnung zum Beschwerdenavigator und Beschwerdemanagement im Bistum Limburg
- BfD EKD:
- Evangelische Landeskirche in Baden: Durchführungsbestimmungen zur Datenablage in Clouddiensten (DB-Ablage-Cloud)
- Bistum Magdeburg:
- IDSG 01/2022, Entscheidung vom 11. September 2023