Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Woche im kirchlichen Datenschutz
DSG-EKD-Lernplattform des BfD EKD
Der BfD EKD bietet eine Lernplattform zum DSG-EKD an. Einrichtungen in Diakonie und Kirche sollen damit Mitarbeitende schulen und sensibilisieren können. Die Aufsicht verspricht eine niederschwellige Schulung, die ohne Paragraphen auskommt. Das Angebot ist kostenlos, es braucht aber einen Einschreibeschlüssel – für alle offen ist die Lernumgebung also zunächst nicht.
Freundlicherweise hat mir der BfD EKD zum Testen einen Zutrittscode zur Verfügung gestellt. Die gesamte Schulung schafft man gut in unter einer Stunde. Die acht Einheiten (personenbezogene Daten, Verarbeitung, Grundsätze, sichere E-Mail-Kommunikation, sichere Passworte, örtlich Beauftragte, Rechte, Verhalten bei Datenpannen) werden jeweils über etwa fünfminütige Videos vermittelt, das aus Folien mit (professionell) eingesprochenen Erläuterungen besteht. Dabei werden jeweils lebensnahe Beispiele aus verschiedenen kirchlichen Arbeitsfeldern verwendet. Um das Zertifikat zu erhalten, müssen nach jeder Einheit zwei Multiple-Choice-Fragen beantwortet werden. Grundsätzlich wirkt alles sehr solide und praxiserprobt, die immer gleiche Lernzielkontrolle ist aber (wohl bewusst) sehr einfach gehalten.
Die Einheit »Sicher per E-Mail kommunizieren« rät zu einer Risikoabschätzung und zeigt, wie über verschlüsselte Anhänge und getrennt kommunizierte Passworte ein hohes Schutznivau erreicht werden kann. Das ist anspruchsvoll, aber praktikabel. Es ist angenehm, dass den Schulungsteilnehmenden etwas zugetraut wird. Etwas pragmatischer könnten die Tipps für sichere Passworte sein. Für die Praxis würde ich heute nur noch auf Länge setzen, nicht auf Regeln für den zu verwendenden Zeichenraum. Bei den Betroffenenrechten wären auch Hinweise auf die Rechte der Beschäftigten selbst schön gewesen.
Ausbaufähig ist die Barrierefreiheit: Für Menschen mit Sehbeeinträchtigungen sind die Tonspuren der Videos geeignet, Menschen mit Hörbeeinträchtigungen kommen nicht weit. Hier würde es schon helfen, wenn die Inhalte auch als Text zur Verfügung stünden. Insgesamt ist die Schulung ein sehr guter Aufschlag für eine erste Einführung, die nicht überfrachtet ist und trotz der allgemeinen Zielgruppe in vielen Arbeitsfeldern hilfreich für die erste Sensibilisierung sein dürfte. Als System wurde Moodle gewählt – damit sollte es möglich sein, einfach weitere Module zu ergänzen.
KdÖR-Religionsgemeinschaften als nicht-öffentliche Stellen in Berlin
Als erste Landesdatenschutzaufsicht äußert sich die Berliner Behörde in ihrem aktuellen Tätigkeitsbericht für 2023 zur Frage der Zuständigkeit für Religionsgemeinschaften, die Körperschaft des öffentlichen Rechts sind und kein eigenes Datenschutzrecht anwenden. Anscheinend kommt es regelmäßig vor, dass Beschwerden über Religionsbehörden bei der staatlichen Aufsicht eingehen: »Häufig handelt es sich um Personen, die sich wegen Datenschutzverstößen etwa im Zusammenhang mit oder nach dem Austritt aus der Glaubensgemeinschaft an uns wenden.« Die Aufsicht betont, dass ein pauschaler Verweis auf Art. 91 DSGVO nicht genügt: »Hier ist jedoch eine genaue Prüfung erforderlich, ob die Voraussetzungen dieser Norm tatsächlich erfüllt sind.« Insbesondere werden Stichtagsregelung und Einklang benannt. Der Stichtag wird auf Linie des DSK-Beschlusses dem Wortlaut nach ausgelegt.
Anders als in Bayern kommt die Berliner Aufsicht ohne Wenn und Aber zu dem Ergebnis, dass staatliche Aufsichten zuständig sind, wenn Art. 91 DSGVO nicht greift. Fraglich sei nur noch, ob als Körperschaft verfasste Religionsgemeinschaften als öffentliche oder nicht-öffentliche Stellen behandelt werden. »Vor dem Hintergrund aktueller Rechtsprechung gehen wir davon aus, dass solche Organisationen den nicht-öffentlichen Stellen gleichzustellen sind, sodass die entsprechenden Zuständigkeitsregelungen der Landesdatenschutzgesetze Anwendung finden können«, stellt die Aufsicht unter Verweis auf das Hannoveraner Urteil zur SELK fest und betont, dass es eine klarstellende Regelung im Landes- oder Bundesrecht brauche.
Aufsichtsfreie Räume und BDSG-Reform
In der aktuellen Ausgabe der PinG habe ich die Diskussion um die Lösung für das Problem aufsichtsfreier Räume für Religions- und Weltanschauungsgemeinschaften noch einmal zusamengefasst. Mein Fazit (ergänzt um verlinkte Hintergründe): »Der faktische datenschutzaufsichtsfreie Raum für öffentlich-rechtlich verfasste Religions- und Weltanschauungsgemeinschaften in Bayern drängt zum Handeln: Es braucht eine Regelung. Mit der anstehenden BDSG-Reform scheint der Bundesgesetzgeber auch auf einem guten Weg zu sein, diese Lücke zu schließen und damit auch eine lückenlose Aufsicht in Bayern zu gewährleisten. Der gewählte Weg scheint vertretbar und pragmatisch zu sein. Insbesondere die grundlegende Entscheidung, Religions- und Weltanschauungsgemeinschaften analog zu nicht-öffentlichen Stellen zu behandeln, wird ihrem Status als grundrechtsberechtigten Institutionen gerecht. Die konkrete Formulierung, die der Bundesrat vorschlägt, führt zwar grundsätzlich zum gewünschten Ergebnis, ist aber missverständlich formuliert.«
In eigener Sache
- Für JHD|Bildung biete ich wieder Online-Seminare an. Am 18. Dezember 2024, 16.30–19 Uhr, geht es um Bildrechte (Anmeldung bis 4. Dezember), am 29. Januar 2025, 16.30–19 Uhr, um Datenschutz und Social Media (Anmeldung bis 20. Januar). Die Seminare kosten je 20 Euro.
Auf Artikel 91
Aus der Welt
- Der BayLfD hat seinen Tätigkeitsbericht für 2023 veröffentlicht. Lesenswert ist insbesondere der Schwerpunkt zur Frage, wann eine natürliche Person identifizierbar ist.