Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Woche im kirchlichen Datenschutz
Die Gründe für den MS-365-Einstieg der Nordkirche
Aus Kreisen der Nordkirche wurde mir die Beschlussvorlage für die Kirchenleitung mit dem Aktenzeichen 3923 – 001/L Ko zugespielt. Auf Anfrage wollte die Nordkirche selbst nicht offenlegen, auf welcher Grundlage ihre Kirchenleitung die Datenschutzkonformität von MS 365 festgestellt hat und somit das das landeskirchliche IT-Gesetz in Kraft treten konnte. Mit der Vorlage sind die Gründe nun klar. Unter Abschnitt »B. Lösung« wird der Angemessenheitsbeschluss der EU-Kommission für den Datenschutzrahmen EU-USA angeführt. In der Begründung heißt es: »Mit dem Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 wird den gesetzlichen Anforderungen des § 10 Absatz 1 Nr. 1 DSG-EKD entsprochen.« Auf die Risiken gingen sowohl die Datenschutzfolgenabschätzungen als auch die beigefügten Stellungnahmen ein.
Die Stellungnahme des örtlichen Datenschutzbeauftragten benennt die beiden Risiken des Angemessenheitsbeschlusses und der fehlenden Transparenz bei Telemetriedaten; diese Probleme hatte bei der Synode bereits die damalige Nordkirchen-Datenschutzaufsicht benannt. Beim Angemessenheitsbeschluss stehe eine möglicherweise durch den EuGH festgestellte Rechtswidrigkeit im Raum, bei den Telemetriedaten lege Microsoft nicht ausreichend offen, welche Daten zu welchem Zweck gesammelt und verarbeitet werden: »Aufgrund dieser fehlenden Transparenz können kirchliche Stellen, die Microsoft 365 einsetzen, zwei wesentlichen Verpflichtungen aus dem Datenschutzgesetz nicht vollständig nachkommen, nämlich der Rechenschaftspflicht nach § 5 Absatz 2 DSG-EKD und der Informationspflicht gegenüber den betroffenen Personen (§§ 17 und 18 DSG-EKD).« Hier drohe eine Untersagung der Verarbeitung durch die Datenschutzaufsicht. Einen Einsatz kann der örtliche Beauftragte nur empfehlen, wenn vier Maßnahmen getroffen werden: ein Datenablagekonzept, eine Einschränkung der Telemetriedaten, ausreichende Ressourcen für M365-Projekt und -Betrieb sowie den Ausschluss der Nutzung mit unsicherem Gerät.
Der schiere Umfang zeigt, wie komplex es ist, MS 365 einzuführen: Insgesamt hat die Beschlussvorlage samt Anlagen einen Umfang von 198 Seiten. Zu den drei Seiten für die eigentliche Vorlage kommen 4 Seiten für die Stellungnahme des örtlichen Datenschutzbeauftragten des Landeskirchenamtes, der Text des IT-Gesetzes nebst Anlagen, eine von Althammer & Kill besorgte Datenschutz-Folgenabschätzung (40 Seiten) mit einer Anlage »Beschreibung und Einsatzzweck der Verarbeitungsvorgänge« (38 Seiten), eine Richtlinie zur Verhaltensweise bei Betroffenenanfragen (8 Seiten), Datenschutzhinweise für Online-Meetings, Telefonkonferenzen und Webinare via „Microsoft Teams“ (6 Seiten), Datenschutzhinweise Microsoft 365 (4 Seiten), eine Risikoanalyse (3 Seiten), ein Maßnahmenkatalog (7 Seiten), eine Zusatzverpflichtung für IT-Personal / Microsoft 365 Administratoren (2 Seiten), ein Löschkonzept für die Mitgliederdaten der Nordkirche (21 Seiten), eine Liste der Aufbewahrungs- und Löschfristen für die Nordkirche (3 Seiten), eine Dienstvereinbarung Microsoft 365 (9 Seiten), ein Off-Boarding Prozess in der Ev.-Luth. Kirche in Norddeutschland (5 Seiten) sowie ein von der Wolkenwerk GmbH besorgten Tenant-Governance- (7 Seiten) und Tenant-Initiierungskonzept (28 Seiten).
Bundesrats-Vorschlag zur BDSG-Reform teilweise verfassungswidrig
In der ZD-Aktuell (9/2024) bewertet Christian Peter Wilde den Vorschlag des Bundesrats zur BDSG-Reform, öffentlich-rechtlich verfasste Religions- und Weltanschauungsgemeinschaften wie nicht-öffentliche Stellen zu behandeln. Wilde war auch der erste, der überhaupt auf die Problematik dieser Regelungslücke aufmerksam gemacht hat, die in Bayern dazu führt, dass sich keine der beiden bayerischen Aufsichten für solche Gemeinschaften zuständig betrachtet.
In seinem neuen Beitrag sieht Wilde den Bundesrats-Vorschlag als verfassungswidrig an. Er argumentiert überzeugend, dass der Bund für landesunmittelbare öffentlich-rechtliche Religions- und Weltanschaungsgemeinschaften keine Gesetzgebungskompetenz hat. Kritik äußert er auch die Behandlung in Analogie zu nicht-öffentlichen Stellen: »Dass eine Rechtsaufsicht des Staates fehlt und diese Institutionen nicht in die Staatsorganisation eingebunden sind, ändert nichts daran, dass diese Gemeinschaften durch die Verleihung des Status als Körperschaft des öffentlichen Rechts dem öffentlichen Recht zugeordnet sind.«
Datenpanne bei Mailverteilern im Erzbistum Köln
In der Nacht zum vergangenen Freitag wurden über E-Mail-Verteiler des Erzbistums Köln Nachrichten einer Gruppe »XK5G – Cyber Phantoms« verschickt. Da auch der Presseverteiler betroffen war, konnte ich von Anfang an für katholisch.de berichten. Die Betroffenen wurden von dem Datenschutzvorfall am Freitagnachmittag informiert: »Die Sicherheitsabteilung für die Mailing-Software Cleverreach hat uns bestätigt, dass keine Daten abgeflossen sind.« Die Mail-Adressen seien nur für den Versand benutzt worden. Ein Download von Mailinglisten durch den kriminellen Täter habe laut Anbieter nicht stattgefunden.
Betroffen waren nur E-Mail-Adressen und gegebenenfalls die damit verbundenen Namen – der Vorfall ist ein gutes Beispiel dafür, wie durch Datensparsamkeit und Zweckbindung schlimmeres verhindert werden konnte: Die Mailverteiler sind getrennt von anderen Daten, etwa Personaldaten, und es wurden nur die erforderlichen Daten erhoben (wobei man bei Namen streiten kann, ob sie wirklich erforderlich sind). Für den Artikel-91-Newsletter erhebe ich nur die E-Mail-Adresse.
In eigener Sache
- Am 5. Juni, 16.30 bis 18.30 Uhr biete ich wieder für JHD.Bildung ein Online-Seminar zu Kirchlichem Datenschutz allgemein und in den sozialen Netzwerken an. (Anmeldung bis 22. Mai bei JHD.Bildung, 20 Euro.)
- Bei den Praxistagen Datenschutz & Informationssicherheit von Althammer & Kill vom 4. bis 6. September bin ich wieder als Referent dabei, dieses Mal voraussichtlich zum neuen DSG-EKD. (Anmeldung bei Althammer & Kill, 850 Euro, Frühbucherrabatt bis 31. Mai.)
Auf Artikel 91
Aus der Welt
- Stephan Hansen-Oest hat ein sehr kompaktes und verständliches Muster für Datenschutzhinweise für Videoüberwachung veröffentlicht. Bei einer Verwendung im Bereich des kirchlichen Datenschutzes sollte man eine Änderung vornehmen: Bei BDSG und DSGVO gibt es das Problem, dass die Videoüberwachungsnorm § 4 BDSG nach herrschender Ansicht nicht DSGVO-konform ist, Hansen-Oest nennt daher nicht diese Norm, sondern Art. 6 Abs. 1 lit. f) DSGVO, also berechtigtes Interesse, als Rechtsgrundlage. Das ist im kirchlichen Datenschutz nicht erforderlich und angezeigt, hier sind die parallel zu § 4 BDSG formulierten Videoüberwachungsnormen (§ 52 KDG und § 52 DSG-EKD) anwendbar und in den Hinweisen anzuführen, da sie in Einklang mit der DSGVO stehen – mit denselben Argumenten, mit denen die KDSA Ost auch die KDG-Beschäftigtendatenschutznorm trotz EuGH für anwendbar hält.