Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Woche im kirchlichen Datenschutz

Praktisches zu Datenpannen

Die Betriebliche Datenschutzstelle im Bistum Mainz weist auf die Umfrage der katholischen Südwest- und Nord-Datenschutzaufsichten hin, deren Fragen ich hier schon veröffentlicht und diskutiert habe. Die Datenschutzstelle stellt dazu eine sehr gute Handreichung zu Datenpannen (inkl. Muster-Dokumentationsformular und Flussdiagramm zum Vorgehen) zur Verfügung. (Überhaupt ist die Mainzer Datenschutzsstelle immer eine gute Anlaufstelle für praktische Tipps – leider anscheinend ohne Möglichkeit eines Abonnements per Mail oder RSS.)

Telearbeit macht viel Arbeit

Von Telearbeit hört man nicht mehr viel, seit alle auf den Trichter gekommen sind, dass man stattdessen besser »mobiles Arbeiten« sagt und sich den Rattenschwanz an Bürokratie spart, der mit echter Telearbeit einhergeht. Warum, sieht man an der jetzt in Kraft gesetzten neuen Arbeitsrechtsregelung zur Telearbeit der Badischen Landeskirche: Sehr umfangreich und eingriffstief wird geregelt, wie Telearbeit gestaltet wird. Dazu gehören natürlich auch datenschutzrechtliche Aspekte. § 8 regelt den Zugang zum häuslichen Arbeitsplatz für unter anderem Personen, die aufgrund gesetzlicher Verpflichtung Zugang benötigen. In der beispielhaften Aufzählung fehlen die örtlichen Beauftragten für den Datenschutz und die Datenschutzaufsicht (so auch die DSG-EKD-Kommentierung im Wagner zum Thema). Wer sich auf Telearbeit einlässt, muss also zugleich akzeptieren, dass mit dem institutionellen Datenschutz ein intensiver Eingriff in die eigene Wohnung verbunden ist.

Die eigentlichen Regelungen zum Datenschutz in § 9 sind so weit unspektakulär: Auch zuhause braucht es angemessene technische und organisatorische Maßnahmen. Etwas verwundert der letzte Punkt im Pflichtenkatalog. Es sei sicherzustellen, dass »der Anstellungsträger jährlich eine Übersicht über die Datenverarbeitung im Sinne des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland erhält«. Diese Regelung bleibt etwas dunkel – sollen Telearbeitende die Verantwortung für ein Heim-Verarbeitungsverzeichnis haben? Sollen sie jeden Verarbeitungsvorgang dokumentieren? Beides wirkt kaum umsetzbar.

61-Millionen-Euro-Schaden bei Caritas Luxemburg wohl CEO-Fraud

Bisher wurde davon ausgegangen, dass es sich bei dem Verlust von 61 Millionen Euro der Caritas Luxemburg um eine Unterschlagung durch eine Mitarbeiterin handelt. Die luxemburgische Staatsanwaltschaft teilt nun mit mit, dass es sich wohl um einen Fall von »CEO-Fraud« handelt. Das ist die Betrugsmasche, bei der sich Kriminelle als Vorgesetzt ausgeben und so Beschäftigte dazu bewegen, Geld zu überweisen. (Ich melde das hier, obwohl es kein Datenschutz-Thema im engeren Sinne ist – aber mit IT-Sicherheits hat es doch etwas zu tun, und gute organisatorische Maßnahmen, um so etwas zu verhindern, zahlen auch auf das Datenschutzmanagement ein.)

In eigener Sache

• Bei den Praxistagen Datenschutz & Informationssicherheit von Althammer & Kill vom 4. bis 6. September bin ich wieder als Referent dabei mit einem Workshop zum neuen DSG-EKD und auf dem Podium zum Thema Künstliche Intelligenz. (Anmeldung bei Althammer & Kill, 850 Euro)

Auf Artikel 91

• IDSG zur Weiterleitung fraglicher Masken-Atteste ans Gesundheitsamt

Aus der Welt

• Die Datenschutz-Notizen besprechen die Handreichung zu Messengern in der Jugendarbeit aus Hamburg eher positiv. (Ich war letzte Woche eher kritisch). Sicher zutreffend ist, was hier grundsätzlich aus der Tatsache der Veröffentlichung hervorgeht: »Mit der Veröffentlichung der Handreichung wird außerdem deutlich, dass immer mehr Datenschutzaufsichtsbehörden die praktische Unverzichtbarkeit von sozialen Medien in der Kinder- und Jugendarbeit anerkennen, trotz der datenschutzrechtlichen Herausforderungen« – hier wäre es natürlich interessant, ob die kirchlichen Behörden sich auch äußern.
• Die kuriose und traurige Meldung, dass eine Kuh aufgrund eines Hackerangriffs sterben musste, ist tatsächlich etwas weniger spektakulär als gelegentlich berichtet: Nicht der Melkroboter wurde gehackt, ein Windows-Rechner hat sich Ransomware eingefangen und lebenswichtige Vitaldaten der Kuh waren nicht abrufbar. Die Meldungslage wird sehr schön und mit einer praktischen Einschätzung von Martin Steiger aufgedröselt.

Kirchenamtliches

• Betriebliche Datenschutzstelle Bistum Mainz
  • Aktuelle Online-Umfrage der KDSZ Frankfurt: Umgang mit Datenschutzverletzungen in kirchlichen Einrichtungen
  • Messenger-Dienste in der Kinder- und Jugendarbeit: Messenger-Dienste
• IDSG: Beschluss 04/2021 vom 17. Juli 2024
• Evangelische Landeskirche in Baden: Arbeitsrechtsregelung zur Telearbeit (Arbeitsplatz im häuslichen Bereich – AR-Telearbeit)