Archiv des Autors: Felix Neumann

Staatstrojaner in der Kita – Wochenrückblick KW 23/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Beauftragte für den Datenschutz der EKD kündigte am Dienstag eine eigene Prüfoffensive an: 100 zufällig ausgewählte evangelische Kindertageseinrichtungen werden in den nächsten Monaten geprüft. Der BfD EKD hat dazu Online-Fragebögen verschickt, der neben allgemeinen Fragen zum rechtlichen und organisatorischen Umfeld auch Fragen zum technischen Umfeld enthalten soll. Ein Fokus soll dabei »Sicherheit von mobilen Endgeräten« sein – das überrascht auf den ersten Blick: Gibt’s davon so viele in Kitas? Auf Nachfrage erläuterte eine Sprecherin des BfD, dass es dabei insbesondere um den Einsatz dienstlicher Endgeräte und Speichermedien sowie im speziellen um Fragen bezüglich der Verwendung privater Endgeräte und Speichermedien zu dienstlichen Zwecken und deren Sicherheit gehen werde. Der Fragebogen des BfD EKD wird auch auf Nachfrage vorerst nicht veröffentlicht, es soll aber ein öffentliches Resümee gezogen werden, eine Veröffentlichung dann wird geprüft.

Ein weiteres Mal zeigt sich, dass Kitas als besonders kritisch erkannt wurden und daher im Fokus der Aufsicht sind. Nach Angaben der Sprecherin wurde dieser Prüfschwerpunkt aufgrund der »besonderen Schutzwürdigkeit von Kindern und der Erkenntnis aus den gemeldeten Datenpannen, dass es einen signifikant hohen Anteil verlorener oder gestohlener mobiler Endgeräte im Bereich von Kindertageseinrichtungen gibt«, gewählt. Dazu hatte sich der BfD EKD schon im vergangenen Jahr geäußert. Im Kirchlichen Datenschutzmodell soll das Beispiel einer Kita als erstes veröffentlicht werden, und auch in den verschiedenen Tätigkeitsberichten tauchen sie regelmäßig auf, meist aufgrund von Datenpannen durch Einbrüche, und sie sind auch bei der KDSA Nord und dem Datenschutzzentrum Dortmund Ziel einer Schwerpunktprüfung.

Die KDSA Ost weist derweil auf den offenen Brief verschiedener Unternehmen und Organisationen der Zivilgesellschaft, darunter der CCC, Google und Facebook, zur Überwachungsoffensive der Großen Koalition zum Ende der Sitzungsperiode hin. Leider ist die KDSA Ost wieder einmal die einzige kirchliche Stimme auf weiter Flur, die ein Sensorium für die Gemeinwohlrelevanz von staatlichen Überwachungsphantasien hat.

Weiterlesen

Adieu Richtung EKD – Tätigkeitsberichte der Kirche der Pfalz 2017–2020

Die Evangelische Kirche der Pfalz stellt eine Besonderheit dar: Sie ist – neben der personell stark mit dem EKD-Datenschutzbeauftragten verwobenen Nordkirche – die einzige Landeskirche, die allein eine eigene Datenschutzaufsicht betreibt. Freundlicherweise hat mir die Datenschutzbeauftragte Pia Schneider ihre Tätigkeitsberichte für die Jahre 2017/18 und 2019/20 zur Verfügung gestellt, die nicht online zu finden sind. Tätigkeitsberichte nach dem DSG-EKD sind Mangelware – weniger Aufsichten und Berichtspflicht nur alle zwei Jahre führen dazu, dass über das DSG-EKD und seine Anwendung deutlich weniger bekannt ist als zu seinem katholischen Pendant.

Die Speyerer Gedächtniskirche ist die Hauptkirche der Kirche der Pfalz – sie hat den höchsten deutschen Kirchturm westlich des Rheins zwischen Köln und Straßburg, was allerdings mit Datenschutz nichts zu tun hat. (Bildquelle: AnRo0002 (Wikimedia Commons), CC0; bearbeitet und montiert)
Die Speyerer Gedächtniskirche ist die Hauptkirche der Kirche der Pfalz – sie hat den höchsten deutschen Kirchturm westlich des Rheins zwischen Köln und Straßburg, was allerdings mit Datenschutz nichts zu tun hat. (Bildquelle: AnRo0002 (Wikimedia Commons), CC0; bearbeitet und montiert)

Die Berichte der Pfälzer Aufsicht sind sehr kompakt – einmal eine Seite, im Folgejahr zwei. Neben viel aufsichtsüblicher Routine erfährt man aber doch noch einiges Interessantes. Sicher das spannendste: Im jüngsten Bericht wird die Übertragung der Datenschutzaufsicht durch die Landeskirche auf die EKD angesprochen – »spä­testens ab 2023«. Das dürfte schon deshalb sinnvoll sein, weil das Diakonische Werk der Pfalz bereits unter der Aufsicht des Beauftragten für den Datenschutz der EKD steht. Auf Nachfrage teilte die Datenschutzbeauftragte mit, dass die Übertragung voraussichtlich in den nächsten ein bis anderthalb Jahren erfolgen werde. »Erste Gespräche in unserem Hause werden noch im Laufe dieses Jahres stattfinden«, so Schneider.

Weiterlesen

Das Erzbistum Hamburg digitalisiert seinen Schuldatenschutz

Das Erzbistum Hamburg macht den Datenschutz an seinen Schulen coronafest. Die neue Durchführungsverordnung zum Schutz personenbezogener Daten in katholischen Schulen im Erzbistum Hamburg schafft Rechtsgrundlagen für den Einsatz digitaler Werkzeuge im Unterricht und damit hoffentlich mehr Rechtsklarheit. Zugleich werden auch Auskunfts- und Informationsrechte festgeschrieben – allerdings mit einem Haken.

Ein Kind zeichnet etwas auf einem Tablet, nur die Hände, der Stylus und das Tablet sind zu sehen.
(Symbolbild, Photo by Jeswin Thomas on Unsplash)

Die Ordnung ersetzt eine Vorgängernorm aus 2009, die Anordnung zum Schutz personenbezogener Daten in katholischen Schulen in freier Trägerschaft im Erzbistum Hamburg. Es scheint sich dabei um originäres Hamburger Recht zu handeln, nicht um die Umsetzung einer deutschlandweiten Rahmengesetzgebung des VDD wie bei anderen Gesetzen. (Zuerst hatten die Datenschutz-Notizen über die bereits am 31. Mai im Amtsblatt veröffentlichte neue Ordnung berichtet.)

Weiterlesen

Sie soll, sie kann, sie will – Wochenrückblick KW 22/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Monatsanfang ist immer wie ein kleines Weihnachten: Dann veröffentlicht der Würzburger Kirchenrechtslehrstuhl seinen »Kanon des Monats«. Der 1. Juni war wie Weihnachten und Ostern: Der Kanon des Monats Juni ist can. 220 CIC – also der Datenschutzkanon. Martina Tollkühn gibt einen Überblick über die universalkirchliche Datenschutzgesetzgebung und wie und warum sie in Deutschland so konkret ausgestaltet wird: »Aber warum haben die deutschen Bistümer eigene Regelungen zum Datenschutz? Und was hat das mit dem c. 220 CIC/1983 zu tun? Die Kurzformel auf diese Fragen könnte sein: Weil sie sollen, weil sie können und weil sie wollen.« Nicht beantwortet wird allerdings, warum sie wollen sollten, was sie können, und warum dazu die allgemeinen staatlichen Gesetze nicht genügen. Etwas zirkulär positivistisch lautet die Begründung: Kirchen dürfen ihre eigenen Angelegenheiten selbst regeln, und weil sie ein Datenschutzrecht haben, ist das eine eigene Angelegenheit.

Die KDSA Ost hat sich mit Corona-Tests an Schulen befasst – vor drei Wochen war eine Entscheidung aus Hamburg dazu schon Thema hier. Im Ergebnis kommt die Aufsicht zu einem ähnlichen Ergebnis wie das Verwaltungsgericht, aber mit einem deutlichen Fokus auf die Zulässigkeit von Testungen in Schulen: »Schüler*innen und Erziehungsberechtigte, die mit dieser Art der Durchführung und Erhebung von personenbezogenen Daten nicht einverstanden sind, sollte die Möglichkeit eingeräumt werden, ein negatives Testergebnis durch ein anerkanntes Testzentrum (auch Schnelltestzentrum) oder einem Arzt vorzulegen.« Das Verwaltungsgericht hatte festgestellt, dass externe Tests anerkannt werden müssen. Ohne sollte.

Und dann hat die KDSA Ost sich auch noch einmal zur Abdingbarkeit von Technischen und organisatorischen Maßnahmen geäußert, nachdem der Hamburger Datenschutzbeauftragte die als Möglichkeit gesehen hatte (auch hier wurde schon darüber berichtet). Die kirchliche Aufsicht bekräftigt nun noch einmal die bereits zuvor geäußerte Ansicht, dass eine Einwilligung sich nur auf das Ob, nicht auf das Wie der Datenverarbeitung beziehen kann: »Würde man die Einwilligung so weit für zulässig erachten, wie dies im Vermerk der Hamburger Datenschutzbehörde zum Ausdruck kommt, handelte es sich nicht mehr um eine Einwilligung, sondern um einen Verzicht auf Datenschutz«, so die KDSA Ost – mit der paradoxen Folge, dass es zwar problemlos möglich wäre, in die Veröffentlichung der eigenen Daten auf einer Webseite zuzustimmen, nicht aber in eine ungesicherte E-Mail-Übermittlung derselben Daten.

Der Beschluss des IDSG zu einer Datenpanne durch fehlgelaufene Briefe in einem katholischen Krankenhaus wurde hier schon besprochen. Einige kritische Anfragen daran haben die Datenschutz-Notizen aufgeworfen: Es scheint unterschiedliche Ansichten dazu zu geben, wie ausführlich das Verfahrensverzeichnis sein muss – die beteiligte Aufsicht scheint dort auch eine konkrete Verfahrensbeschreibung zu erwarten, die den Beschäftigten bekannt sein muss. Das Gericht folgte der Ansicht, dass Verfahren im Detail dokumentiert sein müssen. »Die dabei geforderte Detailtiefe ist auf den ersten Blick überraschend«, so die Autorin, der nötige Aufwand bei der Erstellung von Verarbeitungsverzeichnissen wäre enorm: »Die hierdurch gebundenen personellen Kapazitäten könnte man sicher an anderen Stellen sinnvoller nutzen.« Mit Blick auf das KDG und das Verarbeitungsverzeichnis-Muster der Aufsichten wirken die Anforderungen des Gerichts aber durchaus plausibel. Im Musterformular gibt es mit Feld B.3 Verarbeitungsablauf ein passendes Feld: »Eine (kurze) Beschreibung des operativen Ablaufs der Verarbeitung mit ihren wichtigsten Schritten«, und das Gesetz selbst sieht vor, »wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen« aufzunehmen (§ 31 Abs. 1 lit. h)).

Weiterlesen

Einblick ins kirchliche Datenschutzgericht aus erster Hand

Bisher hat das Interdiözesane Datenschutzgericht nur durch seine Beschlüsse gesprochen – am vergangenen Freitag hat der Vorsitzende Richter des IDSG Bernhard Fessler einige Einblicke in die Arbeit des Gerichts gegeben. Mittlerweile liegt auch das Manuskript des Vortrags bei der Geburtstagstagung zum KDG vor.

Bernhard Fessler bei der Tagung »Drei Jahre KDG« (Screenshot)
Bernhard Fessler bei der Tagung »Drei Jahre KDG« (Screenshot)

Leider ist der Vortrag bisher nur den Teilnehmenden der Tagung zugänglich gemacht worden – das ist sehr schade angesichts des bislang umfassendsten Überblick über die kirchliche Datenschutzgerichtsbarkeit. Daher hier noch einmal eine ausführlichere Besprechung des Vortrags, nachdem er bereits im Tagungsrückblick vom Montag erwähnt wurde.

Weiterlesen

Tagungsbericht »Drei Jahre Gesetz über den Kirchlichen Datenschutz«

Im vierten Jahr seiner Geltung geht es beim KDG und seiner Umsetzung in die Details – das zeigte die von Curacon und den nordrhein-westfälischen Caritasverbänden organisierte Tagung zum dritten Geburtstag des Gesetzes über den kirchlichen Datenschutz am vergangenen Freitag.

Folie mit dem Veranstaltungstitel auf einem Laptop

Schwerpunkt waren alltägliche, aber komplizierte Themen: Der Umgang mit Auskunftsersuchen, Auftragsverarbeitung, Schadensersatzansprüche, Datenschutzfolgenabschätzungen und Compliance. Zwei Produkt-Vorstellungen – ein KDG-Compliance-Tool der GDD und ein Datenschutzfolgenabschätzungstool der Curacon – standen zudem auf der Tagesordnung. Den Blick aus den Niederungen der Praxis weitete zum Abschluss ein Vortrag des Vorsitzenden Richters am Interdiözesanen Datenschutzgericht, Bernhard Fessler.

Weiterlesen

Landschaftskunde – Wochenrückblick KW 21/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der dritte Geburtstag der DSGVO wurde in den Medien breit gewürdigt mit vielen Einschätzungen zum aktuellen Stand – oft mit dem Tenor: Verordnung gut, Durchsetzung na ja. Sehr still war es um den dritten Geburtstag des KDG. (Die Woche verzeichnet sogar – wann gab es das zuletzt? – keine einzige amtliche kirchliche Veröffentlichung zum Datenschutz.) Immerhin die Vorsitzende der Konferenz der Diözesandatenschutzbeauftragten Ursula Becker-Rathmair war zum Interview auf katholisch.de bereit. Sie berichtet, dass die Themen vom Anfang sich gewandelt haben: Anstatt um Kinderfotos geht es jetzt um Spezialthemen wie Fotos zur Wunddokumentation bei nichteinwilligungsfähigen Patient*innen. Und noch ein weiteres wichtiges Thema spricht sie an: Die Frage nach gemischten Trägerschaften. Bisher ist es völlig ungeklärt, was passiert – etwa bei gemeinsamer Verantwortlichkeit oder Joint ventures –, wenn mehrere Datenschutzgesetze potentiell anwendbar sind.

Die DSGVO hat zum Geburtstag ein großartiges Geburtstagsgeschenk von Winfried Veil und Stefan Heinemann bekommen: Die »Dataprotection Landscape«, ein Tool, das das weite Feld Datenschutz systematisch und im Kontext erschließt, oder wie Veil es nennt: ein Koordinatensystem des Datenschutzes. Die Kachel zur Öffnungsklausel Artikel 91 ist noch etwas karg. Ich habe aber schon meine Unterstützung angeboten.

Der frisch erschienene Tätigkeitsbericht der niedersächsischen Datenschutzbeauftragten berichtet (neben den hier schon verhandelten Neuigkeiten zum Konflikt um die Datenschutzrichtlinie der SELK) über eine reichlich makabre Missionierungsstrategie: »Ein Verein, der sich auf christlichen Beistand in schwerer Zeit spezialisiert hatte, wertete die Traueranzeigen der örtlichen Tagezeitung aus und glich diese mit dem Telefonbuch ab. An die so ermittelte Adresse wurde dann ein Brief mit Trauerrand versandt, der eine Druckschrift mit Missionierungscharakter beinhaltete sowie eine vorgedruckte Postkarte zur Anforderung von Büchern, Schriften, Bibelfernkursen und CDs.« Beim Verfahren ging es nur um die Auskunftsrechte – ob damit stillschweigend auch gesagt ist, dass es für diese Datenakquise eine Rechtsgrundlage gibt, ist unklar.

Außerdem hat sich das Datenschutzblog der Kanzlei Reichert und Reichert das hier bereits besprochene Kirchliche Datenschutzmodell angeschaut und kommt zu ähnlichen Schlüssen wie bei Erscheinen hier vertreten: »Herausgekommen ist ein komplexes Modell, das zum einen den Aufbau und häufig auch das Wording und die Struktur des Standard-Datenschutzmodells übernimmt, auf der anderen Seite durch den direkten Bezug auf die beiden kirchlichen Datenschutzgesetze und deren gewohnten Begrifflichkeiten das Verständnis und die Übertragung in die Praxis kirchlicher Datenschutzbeauftragter durchaus fördern mag.«

Weiterlesen

Datenschutzaufsicht Niedersachsen vs. Selbständige Evangelisch-Lutherische Kirche

Erstmals gibt es eine offizielle öffentliche Äußerung einer staatlichen Aufsichtsbehörde zu einem konkreten Konfliktfall um die Zuständigkeit für eine Religionsgemeinschaft. Im am Donnerstag erschienenen Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen gibt es einen Abschnitt zu »Anforderungen an eine kircheneigene spezifische Aufsichtsbehörde«: Es gibt einen Konflikt um die Frage, ob die Anforderungen von Art. 91 DSGVO an ein kircheneigenes Datenschutzgesetz erfüllt sind.

Der 26. Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen für das Jahr 2020
Der 26. Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen für das Jahr 2020

Auch wenn der Name nicht genannt wird: Aufgrund früherer Recherchen zum Umgang mit kleineren Religionsgemeinschaften und zu Beratungen in der Datenschutzkonferenz dürfte sicher sein, dass es sich um die Selbständige Evangelisch-Lutherische Kirche (SELK) handelt, die ihren Sitz in Hannover hat und deren Datenschutzrichtlinie an das DSG-EKD angelehnt ist.

Weiterlesen

Was wir über die Reform des kirchlichen Datenschutzes wissen

An Pfingsten hat zwar nicht die Kirche Geburtstag, dafür dieses Jahr das Gesetz über den kirchlichen Datenschutz: Am 24. Mai 2018, ein Tag vor dem Wirksamwerden der DSGVO, trat es in Kraft. Damit gilt es nun seit drei Jahren – und das heißt: Seine Evaluierung steht an.

Ein Buch unter der Lupe
(Bildquelle: Photo by Teslariu Mihai on Unsplash)

Besonders viel ist noch nicht bekannt – nur eins dürfte sicher sein: Ein eigenes Datenschutzrecht bleibt, das aber Datenschutz nicht grundsätzlich anders aufzieht als die DSGVO (schon um den geforderten Einklang nicht zu gefährden).

Weiterlesen

Zum Geburtstag eine Evaluierung – Wochenrückblick KW 20/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Am Montag hat das KDG seinen dritten Geburtstag – die Deutsche Bischofskonferenz hat jetzt etwas mehr zur geplanten Evaluierung mitgeteilt: Dass es vor 2023 nichts mit der fertigen Novelle wird, war zu erwarten. Nun wird aber erstmals zugesichert, dass auch eine Verbändebeteiligung – genannt wurden Spitzenverbände wie der Deutsche Caritasverband und der BDKJ – stattfinden wird, allerdings noch ohne festen Zeitplan.

Die KDSA Ost hat sich zur Verpflichtung zu Datenschutzschulungen geäußert. Die steht zwar nicht explizit im Gesetz. »Dennoch kann sie aber eine Obliegenheit sein, also ein Handeln, das nicht erzwungen werden kann, aber zur Vermeidung von Rechtsnachteilen im Interesse des Verantwortlichen geboten ist«, so die Aufsicht. Ein wichtiger Hinweis: Es geht auch anders als durch verpflichtende Schulungen für alle, die in der Regel nur in größeren Abständen durchgeführt werden können und oft ohnehin wenig bringen. (Arbeitssicherheitsschulung, ick hör dir trapsen.) Die Tipps für unterjährige Datenschutzsensibilisierung freuen mich natürlich besonders: »„Geeignete Maßnahmen“ i. S. d. § 38 KDG sind deshalb z. B. auch Newsletter oder Datenschutzblogs.« Einen anderen, ebenfalls sehr guten Weg über das Intranet hat vor einiger Zeit die Würzburger Bistumsdatenschutzbeauftragte im Interview vorgestellt.

Das sollte Schule machen: Oxford University Press hat ein Update zum DSGVO-Kommentar von Kuner/Bygrave/Docksey frei zugänglich veröffentlicht. Zu Art. 91 ist eine interessante Ergänzung zu finden: ein Hinweis auf den Tätigkeitsbericht der irischen Aufsichtsbehörde DPC für 2019. Die Behörde überprüft auf mehrere Beschwerden hin, ob es eine Rechtsgrundlage für die Weigerung gibt, Daten aus Kirchenbüchern zu löschen. (Im jüngsten Bericht steht dazu nichts, die Prüfung scheint also noch anzudauern.) Diese Problematik scheint eine zentrale Frage im Verhältnis von Datenschutzrecht zu Religionsgemeinschaften zu sein – jüngst war hier eine ähnlich gelagerte Frage zu den Zeugen Jehovas Thema, und auch beim Lobbying der Kirchen spielte sie eine Rolle – es ist also durchaus denkbar, dass wir in mittlerer Zukunft Kirchenbücher vor dem EuGH sehen.

Weiterlesen