Die Woche im kirchlichen Datenschutz

Passauer Studie mit Münsteraner Echo

Die Forschungsgruppe um den Passauer Historiker Marc von Knorring hat die Aufarbeitungsstudie für das Bistum Passau veröffentlicht. Bemerkenswert ist, dass es ein eigenes »juristisches Vorwort« gibt, das das Vorgehen zum Schutz von Persönlichkeitsrechten erläutert. Als Rechtsgrundlage wird die Privilegierung von Forschung angeführt: Art. 9 Abs. 2 lit. j) DSGVO in Verbindung mit Art. 89 DSGVO, für den kirchlichen Bereich § 54 KDG.

Deutlich sieht man an der Erläuterung der Maßnahmen zur Anonymisierung, dass aus dem Münsteraner Fall Lehren gezogen wurden. Ein zentrales Problem dort war, dass Fälle zwar anonymisiert werden sollten, die Fallbeschreibungen aber eine Identifizierung ermöglichte. Das soll in Passau nun nicht mehr möglich sein:

»Die Pseudonymisierung speziell der Interview-Protokolle erfolgt dabei kapitelweise. Ihre Pseudonyme werden nicht kapitelübergreifend fortgeführt, um Querverbindungen zwischen verschiedenen narrativen Strängen zu vermeiden und das Re-Identifikationsrisiko über einzelne Kapitel hinaus gezielt zu minimieren. Auf diese Weise soll verhindert werden, dass durch die Verknüpfung mehrerer Fallgeschichten eine schleichende Wiedererkennbarkeit einzelner Personen entsteht. Personenbezogene Daten werden nur in dem Umfang offengelegt, der für das Verständnis der Strukturen und Mechanismen von Missbrauch und dessen Vertuschung unerlässlich ist. In eng begrenzten, begründeten Konstellationen – etwa dort, wo die Wiedererkennbarkeit bereits aus dem sozialen Kontext unabhängig von dieser Studie naheliegt oder wo die Nachzeichnung komplexer institutioneller Verantwortungszusammenhänge andernfalls nicht möglich wäre – wird ein begrenztes Re-Identifikationsrisiko bewusst in Kauf genommen. Auch in diesen Fällen bleibt die Darstellung jedoch auf das zur Aufklärungs- und Dokumentationsfunktion erforderliche Maß beschränkt.«

EKD-Gutachterausschuss aufgelöst

Schon Mitte November teilte die EKD in ihrem Amtsblatt mit, dass sie ihren Gutachterausschuss auflöst. Warum, ging aus der Mitteilung nicht hervor. Der Ausschuss hatte die Aufgabe, Softwarehersteller zu auditieren. Auf Anfrage teilte die EKD nun mit, dass sich die Schwerpunkte bei der IT-Beschaffung der Kirche verändert hat. Früher habe es viel mehr kirchliche Besonderheiten gegeben. »Inzwischen gibt es aber starke Bestrebungen, auf Standardsoftware zuzugehen und auf kirchliche Besonderheiten möglichst vollständig zu verzichten«, so die EKD-Sprecherin. Dazu komme die Verbreitung von zertifiziertem Qualitäts- und Informationssicherheitsmanagement bei Lieferanten, die eigene Audits immer weniger relevant machten: »Die Landeskirchen achten mittlerweile bei Ihren Ausschreibungen auf vorhandene Zertifizierungen.«

Als dritten Grund führte die Sprecherin an, dass es immer schwieriger geworden sei, den Ausschuss zu besetzen, weil die Landeskirchen kein geeignetes Personal mehr dafür abstellen wollten. Aus den Datenschutzaufsichten waren dort bisher Michael Tolk, der stellvertretende BfD EKD, und Erik Kahnt, der bis zur Auflösung der Aufsicht ostdeutscher Landeskirchen ehemaliger stellvertretender DSBKD war. (Dass diese Tätigkeit gewisse Potentiale für Interessenkonflikte bieten, hatte ich beim letzten Tätigkeitsbericht des DSBKD angemerkt.)

Rechtsmittel nach Verfahrenseinstellung gegen spanische Bischofskonferenz

Missbrauchsbetroffene geben sich nicht mit der Entscheidung der spanischen Datenschutzaufsicht AEPD zufrieden, das Verfahren gegen die spanische Bischofskonferenz einzustellen. Die Bischofskonferenz hatte durch eine nicht anonymisierte Fassung eines Missbrauchsgutachtens versehentlich personenbezogene Daten von 45 Betroffenen sexualisierter Gewalt auf ihrer Webseite veröffentlicht. Die Aufsicht habe es versäumt, angemessen zu ermitteln und die Betroffenen zu beteiligen, zitiert Religión Digital aus dem Schriftsatz.

Ransomware-Attacke auf Scientology

Die Ransomware-Gruppe Qilin will einen erfolgreichen Angriff auf Scientology in Großbritannien erzielt haben. Qilin verfolgt die Double-Extortion-Strategie, also Verschlüsselung und Verkauf von Daten. Was genau erbeutet wurde und ob der Angriff tatsächlich stattgefunden hat, ist noch unklar. Bislang ist die einzige Quelle, auf die sich unter anderem Heise und deutlich ausführlicher, mittlerweile aber wieder offline das Fachportal HackRead (mehr dazu auf Reddit) beziehen, die Darknet-Seite der Hackergruppe. Neben Daten zur Struktur sollen personenbezogene Daten zu Beschäftigten und Mitgliedern der sich als Religionsgemeinschaft verstehenden Organisation erbeutet worden sein.

Auf Artikel 91

• –

Aus der Welt

• Das australische Social-Media-Verbot für Unter-16-Jährige ging durch die Medien – ich schließe mich Dirk von Gehlen in der Bewertung an: »Ich halte die Debatte für Augenwischerei, die auf dem Rücken der nächsten Generation von den wirklichen Problemen im Umgang mit Social Media ablenkt – und den aktuell überforderten Erwachsenen eine scheinbar einfache Antwort anbietet.«

Kirchenamtliches

• KDSA Ost: Datenschutz macht Schule: Ein Beitrag zum Safer Internet Day
• Katholische Kirche in den Niederlanden: AVG-nieuws: vijf aandachtspunten voor parochies als het gaat om digitale veiligheid [DSGVO-News: Fünf wichtige Punkte für Kirchengemeinden in Bezug auf digitale Sicherheit]