Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Woche im kirchlichen Datenschutz
Führungszeugnisse nicht mehr zu den Akten nehmen
Der BfD EKD weist auf seine geänderte Rechtsauffassung zum Umgang mit erweiterten Führungszeugnissen hin. Hatte er bisher vertreten, dass sie in verschlossenen Umschlägen zu den Personalakten genommen werden dürfen, sieht er nun durch das geänderte Bundeszentralregistergesetz eine andere Rechtslage: »Da § 30 a Abs. 3 BZRG lediglich von „Daten aus einem erweiterten Führungszeugnis“ spricht, darf das erweiterte Führungszeugnis (als solches oder eine Kopie davon) nach einhelliger Meinung somit nicht (mehr) verarbeitet werden.« Der BfD EKD nennt außerdem noch weitere Anforderungen an den Umgang mit diesen Daten. Zu den Akten genommen werden darf nur ein Sichtvermerk über die Einsichtnahme, bereits in den Akten befindliche Zeugnisse müssen datenschutzkonform vernichtet werden.
Engmaschige Protokollierung von Internetnutzung in Dresdner Pfarreien
Das Bistum Dresden-Meißen hat eine Richtlinie zur Nutzung der informations- und kommunikationstechnischen Anlagen (IKA) der Pfarreien in Kraft gesetzt. Über die KDG-Durchführungsverordnung hinaus werden detailliert Regeln festgelegt, die für Haupt- wie Ehrenamtliche gelten. Zentral ist dabei die Nutzung der Dienste des Rechenzentrums des Bistums Eichstätt, die grundsätzlich und vorrangig in Anspruch zu nehmen sind. Geregelt werden außerdem der Umgang mit privaten Geräten und Diensten und technische und organisatorische Maßnahmen – unter anderem wird angeordnet, dass unterwegs nur mit Sichtschutzmaßnahmen wie Blickschutzfolien und geeignete Platzwahl auf dienstliche Daten zugegriffen werden darf. Betroffenenrechte der Mitarbeitenden werden erstaunlich stark eingeschränkt: So darf aus dringenden dienstlichen Gründen auf das Postfach des Beschäftigten durch Administrator*innen zugegriffen werden, wenn es der Kirchenvorstand schriftlich anweist. Eine Beteiligung von MAV oder Datenschutzbeauftragten wird nicht verlangt. Datenschutzbeauftragte müssen dann beteiligt werden, wenn der Zugriff wegen eines Verdachts auf missbräuchliche Nutzung erfolgt.
Eine Anlage regelt die recht umfangreiche Protokollierung des E-Mail-Systems und der Internetnutzung. Unter anderem werden Sender, Empfänger und
Betreff aller E-Mails sowie alle aufgerufenen Internetseiten protokolliert. Ausnahmen für die MAV und Seelsorge gibt es nicht, gesetzlich geregelte Datenverarbeitungen sollen aber unberührt bleiben. Ob damit auch schon klar ist, dass MAV-Datenverkehr nicht protokolliert werden darf, geht aus der Anlage nicht hervor. Die Löschfrist beträgt fünf Monate, Daten dürfen pseudonymisiert ausgewertet werden. »Sofern bei der statistischen Auswertung der begründete Verdacht entsteht, dass eine unzulässige Nutzung stattfand, erfolgt nach Rücksprache mit dem Kirchenvorstand eine personenbezogene Auswertung der betroffenen Protokolldaten.« Immerhin werden hier DSB und MAV vorab und Betroffene informiert.
EU-Freidenker*innen wollen Löschrechte für Ex-Mitglieder durchsetzen
Das Europäische Koordinationsbüro freigeistiger Organisationen (Bureau Européen de la Libre Pensée) will eine Petition ans Europäische Parlament richten, um Religionsgemeinschaften auf die Löschung der Daten von ehemaligen Mitgliedern zu verpflichten. Hintergrund sind die Entscheidungen der irischen Datenschutzaufsicht und des französischen Staatsrats, dass Taufregister nicht gelöscht werden müssen. Die Organisation fordert, »dass alle konfessionellen Organisationen, unabhängig von ihrem rechtlichen Status in dem jeweiligen Staat, dem allgemeinen Recht unterliegen und alle persönlichen Daten von Personen, die aufgrund der Ausübung ihrer Gewissensfreiheit die Konfession verlassen haben, zu löschen haben«. Die – dank der Religionsfreiheit abwägungsrelevanten – Interessen der Religionsgemeinschaften werden als lediglich »auf ihre interne Funktionsweise bezogene« Gründe bezeichnet. Der Spielraum des adressierten EU-Parlaments ist überschaubar: Die EU hat gemäß Art. 17 AEUV ausdrücklich kein Mandat, ins religionsverfassungsrechtliche System ihrer Mitgliedsstaaten einzugreifen.
Cyberangriff auf die Katholische Jugendfürsorge Augsburg
Die Katholische Jugendfürsorge der Diözese Augsburg ist von einem Datenschutzvorfall betroffen, der sich am 17. April ereignet hat: »Eine Hackergruppe hat unsere Sicherheitsschranken überwunden und Zugriff auf die IT-Infrastruktur unserer Zentrale erlangt.« Dabei sind laut der Schadensmeldung auch Daten abgeflossen, darunter Personal-, Finanz-, Patienten- und Gesundheitsdaten, nicht aber Behandlungsdokumentationen und Arztbriefe. Betroffen sind einige mit der Zentrale verbundene Einrichtungen, darunter Kliniken, Jugendhilfeeinrichtungen sowie Fachschulen und -akademien. Für potentielle Betroffene wurde eine Hotline eingerichtet.
In eigener Sache
- Am 5. Juni, 16.30 bis 18.30 Uhr biete ich wieder für JHD.Bildung ein Online-Seminar zu Kirchlichem Datenschutz allgemein und in den sozialen Netzwerken an. (Anmeldung bis 22. Mai bei JHD.Bildung, 20 Euro.)
- Bei den Praxistagen Datenschutz & Informationssicherheit von Althammer & Kill vom 4. bis 6. September bin ich wieder als Referent dabei, dieses Mal voraussichtlich zum neuen DSG-EKD. (Anmeldung bei Althammer & Kill, 850 Euro, Frühbucherrabatt bis 31. Mai.)
Auf Artikel 91
Aus der Welt
- Der Linguistik-Podcast tuwort widmet Passworten eine ganze Folge. Besonders interessant sind die Ausführungen zur Kulturalität von Passworten.