Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Woche im kirchlichen Datenschutz
BfD EKD sieht Probleme mit Churchpool ausgeräumt
Im Tätigkeitsbericht für den Zeitraum 2021/2022 benannte der BfD EKD einige Probleme mit der Kirchenapp Churchpool. Nun teilt die Aufsicht mit, dass auf die Beanstandungen reagiert wurde. Nutzungsbedingungen wurden angepasst, das Verhältnis von kirchlicher Stelle und Churchpool als gemeinsame Verantwortlichkeit festgelegt und die Einbettung von Drittanbietern eingestellt. Nun spricht sich die Behörde für eine Aufsicht ungewöhnlich deutlich sogar explizit für den Dienst aus: »Der BfD EKD unterstützt den Einsatz in Kirche und Diakonie der App Churchpool, die eine einheitliche Plattform zur Kommunikation und Öffentlichkeitsarbeit bietet und damit eine Arbeitserleichterung mit sich bringen kann.«
Betroffene können DSFA nicht einklagen
Nach einer ersten erfolglosen Klage wegen der Vernichtung einer Beistandsakte hat derselbe Kläger noch einmal die katholischen Datenschutzgerichte bemüht. Diesmal bemängelte er, dass die verantwortliche Stelle es unterlassen habe, eine Datenschutz-Folgeabschätzung vorzunehmen. Beide Instanzen sahen hier keinen möglichen Klagegrund. Das DSG-DBK befindet in seinem nun veröffentlichten Beschluss (07/2022 vom 9. November) dem Kläger knapp: »Die Datenschutz-Folgeabschätzung dient nicht seinen Rechten.« Die Verpflichtung zur DSFA stelle keine schutznorm dar, mit der einzelne ein subjektives Recht darauf einräumt: »Für die Annahme einer Schutznorm ist entscheidend, dass sich aus individualisierenden Tatbestandsmerkmalen der Norm ein Personenkreis entnehmen lässt, der sich hinreichend von der Allgemeinheit unterscheidet.« Die Pflicht zur DSFA verfolge »im Sinne einer generellen Gefahrenvorsorge übergeordnete Ziele im Gemeininteresse«. Die kirchlichen Gerichte können also direkt nicht bemüht werden, um KDG-Normen durchzusetzen, die nicht direkt den Rechten von Betroffenen dienen. Vor Gericht dürften solche Themen nur kommen, wenn sie Gegenstand einer Aufsichtsentscheidung sind, gegen die vorgegangen wird. Interessant wäre nun, wie der Rechtsweg aussähe, um beispielsweise eine Aufsicht, die ihre Pflicht zur Berichterstattung vernachlässigt (im katholischen Bereich ein hypothetischer Fall), zur Einhaltung des Gesetzes zu bewegen.
Digitalisierung im Bistum Münster
Der Münsteraner Diözesanrat hat im Rahmen des Strukturprozesses über Voten an den Bischof abgestimmt, teilte das Bistum mit. Dazu gehören auch die Empfehlungen der Themengruppe Digitale Angebote. Die Arbeitsgruppe bestand fast zur Hälfte aus Bistumsbeschäftigten aus dem Bereich IT. Eine auffallende Leerstelle: Der betriebliche Datenschutz oder externe Datenschutzkompetenz waren nicht ausdrücklich beteiligt. Datenschutz taucht quasi nur unter dem Punkt »Pragmatische und datenschutzkonforme Daten- und Rechtestruktur« auf, also im Kontext des Datenaustauschs zwischen verschiedenen Rechtsträgern. Dabei wurde auch daran gedacht, derartige Transfers gegebenenfalls auf die Rechtsgrundlage eines bischöflichen Gesetzes zu stellen – das ist transparenter und sauberer als Interessensabwägungen. Im weiteren vorgeschlagenen Prozess tauchen Datenschutz-Expert*innen nicht ausdrücklich auf. Erfahrungsgemäß sind IT-Projekte und Prozessgestaltungen deutlich reibungsloser umzusetzen, wenn Datenschutz von Anfang an mitgedacht wird und nicht erst hinterher mühsam noch nachträglich ausgebessert werden muss.
Ransomware-Angriff auf Landeskirche Hannovers
Es war nur eine Frage der Zeit, bis eine zentrale kirchliche Verwaltung Opfer eines Ransomware-Angriffs wird: Am Sonntag hat es die Landeskirche Hannovers erwischt. »Die Täter*innen konnten sich Zugriff auf die IT-Infrastruktur des Landeskirchenamtes, des Hauses kirchlicher Dienste und der Bischofskanzlei verschaffen«, heißt es in der Pressemitteilung. Zur Sicherheit wurden einige Dienste heruntergefahren, die betroffenen Einrichtungen sind telefonisch gar nicht und per E-Mail nur eingeschränkt zu erreichen. Auswirkungen auf Gliederungen in der Fläche sind noch nicht bekannt. Nicht betroffen ist die derzeit erstmals online laufende Kirchenvorstandswahl: »Hier liegt die gesamte IT-Struktur und Datenverwaltung auf Servern eines externen Dienstleisters, die nicht geschädigt sind. Dies gilt ebenfalls für alle Daten des neuen Newsletters zur Kirchenvorstandswahl, für den sich Interessierte nach der Online-Wahl anmelden konnten.«
Auf Artikel 91
Aus der Welt
- Signal hat angekündigt, dass demnächst Accountnamen ausgerollt werden, über die auch ohne Offenlegung der Telefonnummer Kontakt aufgenommen werden kann. Das ist eine Verbesserung, aber immer noch nicht ideal: Ganz ohne Telefonnummern kommt Signal weiterhin nicht aus. Bei der von der EU verordneten Interoperabilität will Signal (wie Threema) indes nicht mitmachen: Dazu müssten Datenschutz- und Sicherheitsstandards gesenkt werden. Beides Entscheidungen, die in Datenschutzbewertungen einfließen sollten.