Archiv des Autors: Felix Neumann

Über Felix Neumann

Felix Neumann ist Journalist und berichtet hauptsächlich über kirchliche Themen. Der Politikwissenschaftler und vergleichende Kirchenrechtler hat die Qualifizierung zum Betrieblichen Datenschutzbeauftragten (IHK) absolviert und berät freiberuflich kirchliche Verbände und Institutionen zu praktischen Fragen des Datenschutzes und durch Datenschutzschulungen.

Ausnahmen von der Ausnahme – Datenschutz beim Bund Freikirchlicher Pfingstgemeinden

Schreiben Sie eine Antwort

Grundsätzlich hatten alle Kirchen und Religionsgemeinschaften die Möglichkeit, ein eigenes Datenschutzrecht gemäß Art. 91 DSGVO anzuwenden – welche das sind, ist nicht immer einfach herauszufinden, und oft herrscht selbst bei den bekannten (ich weiß momentan von 15 Gemeinschaften) nicht die höchste Transparenz. Anders sieht es beim Bund Freikirchlicher Pfingstgemeinden (BFP) aus: Die Datenschutzaufsicht betreibt eine Infoseite und der Tätigkeitsbericht ist öffentlich zugänglich.

Der Tätigkeitsbericht des Datenschutzbeauftragten des BFP liegt auf neutral-blauem Hintergrund.
Bildquelle: BFP-Aktuell

Das erklärte Ziel des Datenschutzbeauftragten des Bundes ist es, »das ›Gütesiegel‹ eines angemessenen Datenschutzniveaus« zu sichern, so der Bericht – »immer in dem Wissen, dass es um Menschen geht, die Gott uns anvertraut hat«. Der im September veröffentlichte Tätigkeitsbericht für 2018 und 2019 bietet einen interessanten Einblick in Arbeitsweise und Struktur des Datenschutzes in einer kleineren Religionsgemeinschaft – und birgt sehr besondere Ausnahmeregeln.

Weiterlesen

Videokonferenz praktisch datenschutzkonform – nur wie?

Schreiben Sie eine Antwort

Eins gleich vorweg: Die Antwort auf die drängendste Frage, nämlich »Darf ich Zoom verwenden?«, ist ein deutliches »Tja, hmm …«. Zum Thema Videokonferenzen haben die kirchlichen Datenschutzaufsichten viel veröffentlicht – und vieles ist auf der strengeren Seite möglicher Spielräume, bis hin zu ganz klaren Aussagen, dass US-Dienste kategorisch unzulässig sind. Aus diesem Dilemma kommt man nicht heraus.

Eine Videokonferenz mit vielen Teilnehmenden auf einem Laptopbildschirm
Videokonferenz. (Photo by Chris Montgomery on Unsplash)

Auch dieser Artikel kann kein Patentrezept liefern. Das kann momentan niemand – oder wie es der bayerische Diözesandatenschutzbeauftragte sagt: »Wenn Sie nach dem Lesen des Aufsatzes nicht wissen, welches Programm Sie nun wählen sollen, sind Sie damit nicht allein auf der Welt.« Was aber geht: Das Datenschutzniveau pragmatisch zu heben, sich statt völlig immerhin größtmöglich rechtskonform aufzustellen – selbst wenn die Wahl auf einen US-Anbieter fällt – und das eigene Verhalten auf respektvollen Umgang mit den Daten anderer zu optimieren.

Weiterlesen

Beschäftigtendatenschutz-Woche! – Wochenrückblick KW 45

Schreiben Sie eine Antwort

Beim Beauftragten für den Datenschutz der EKD ist Beschäftigtendatenschutz-Woche: In zwei frisch erschienenen Flyern mit Kurzinformationen geht es um Personalakten und Informationen für Mitarbeitende. Das Papier zu Personalakten startet vage (»Unterschiedliche Teile der Personalakte unterliegen aufgrund unterschiedlicher Verarbeitungszwecke der personenbezogenen Daten unterschiedlichen Aufbewahrungsfristen.«), wird dann aber doch sehr hilfreich und listet auf, was in die Personalakte gehört, was nicht und wie damit umzugehen ist.

Das Kurzpapier »Was müssen Mitarbeitende über den Datenschutz wissen?« ist gut gemeint – aber für normale Mitarbeitende doch etwas kryptisch, da viele Fragen nur mit einem Verweis auf die Fundstelle im Gesetz beantwortet werden. Als Grundlage für betriebliche Datenschutzbeauftragte kann es aber hilfreich sein für die Planung von Schulungen. Leider zieht sich auch hier durch das Papier die ärgerliche Angewohnheit des DSB-EKD durch, Informationen nach nicht nachvollziehbaren Kriterien nur selektiv zu nennen. Dass bei der Frage nach der Veröffentlichungen von Mitarbeitendenfotos (grundsätzlich nur mit Einwilligung) der Sonderfall von Mitarbeitenden nicht erwähnt wird, bei denen das zum Stellenprofil gehört (z. B. bei Pressesprecher*innen), ist verschmerzbar. Wie in einem Papier zum Beschäftigtendatenschutz aber nur die Rechtsgrundlagen Einwilligung und Gesetz für die Verarbeitung personenbezogener Daten erwähnt werden können, wo doch hier in der Regel die einschlägigen Rechtsgrundlagen Arbeitsvertrag und insbesondere die speziellen Regelungen zum Beschäftigtendatenschutz (§ 49 DSG-EKD) sind, ist unverständlich. Eine grobe Unterlassung ist es zudem, dass die Problematik von Einwilligungen im Arbeitsverhältnis und die besonderen Anforderungen an sie (auf die § 49 Abs. 3 DSG-EKD explizit eingeht) gar nicht erst erwähnt wird.

Auch im Bereich der katholischen Kirche scheint die Sommerpause jetzt vorbei zu sein. Der bayerische Diözesandatenschutzbeauftragte hat eine Handreichung zu Schrems II veröffentlicht und das Erzbistum Köln reiht sich ein in die Bistümer, die ein eigenes §-29-KDG-Gesetz zur Auftragsdatenverarbeitung erlassen haben. Außerdem haben die Datenschutz-Notizen über den bayerischen Tätigkeitsbericht berichtet: »kurz und brisant« ist das Urteil, ähnlich wie meines.

Weiterlesen

Facebook-Verbot mit Schonfrist: Bayerns DDSB zu Schrems II

Schreiben Sie eine Antwort

Der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski hat sich Zeit genommen: Mehr als ein Vierteljahr nach dem Schrems-II-Urteil äußert er sich zu seinem Umgang mit dem Aus fürs Privacy Shield. Das Warten hat sich gelohnt: Das schon in der Woche nach dem Urteil veröffentlichte Prüfschema aus NRW und dem Nordosten half in der Praxis nicht viel weiter, hier gibt es etwas mehr Konkretes.

(Photo by Barefoot Communications on Unsplash)

Joachimski legt nun eine Aufstellung von Einschätzungen vor, aufgeschlüsselt nach unterschiedlichen Datenarten – und er gibt (nach ersten Äußerungen im Tätigkeitsbericht) auch einen Ausblick, wie er selbst vorgehen wird. Grundsätzlich und der herrschenden Meinung entsprechend weist Joachimski darauf hin, dass explizit zwar nur Privacy Shield gekippt wurde, dass aber auch die Standardvertragsklauseln nach dem Urteil auf tönernen Füßen stehen, vor allem wegen des CLOUD Acts. Entgegen der herrschenden Meinung (aber mit der herrschenden Praxis) will er aber Übergangsfristen gewähren – mit einem Corona-Bonus. Weil es eh nicht anders geht: »Ein fahrender Zug hat auch einen gehörigen Bremsweg.«

Weiterlesen

Im Datenschutz misst die Kirche mit zweierlei Maß

Schreiben Sie eine Antwort

Als im Mai 2018 das Gesetz über den kirchlichen Datenschutz (KDG) in Kraft trat, gab es neben einiger Rechtsunklarheit auch Verunsicherung durch die nun erstmals im kirchlichen Raum angedrohten Bußgelder. Im Vergleich zum EU-Recht blieb der kirchliche Gesetzgeber mit einer Höchstsumme von 500.000 Euro zwar vergleichsweise niedrig – aber auch dieser Betrag wirkt bei den üblichen Budgets abschreckend.

Zerknüllter Zehn-Euro-Schein auf der Straße
(Photo by Imelda on Unsplash)

Dennoch ist das Bußgeld in der Praxis ein stumpfes Schwert. Liest man den nun veröffentlichten Tätigkeitsbericht des Diözesandatenschutzbeauftragten für die NRW-Bistümer, könnte man denken, dass es jetzt Bußgeld um Bußgeld hagelt: Deutlich betont er, dass die Zeit bloßer Beratung, Hilfe und Mahnungen vorbei sei. Der Bericht relativiert diese Ansage aber auch: Gerade einmal von zwei Bußgeldern ist zu lesen.

Weiterlesen

Wenn die Corona-App rote Welle hat – Wochenrückblick KW 44

Schreiben Sie eine Antwort

Taugt Fiebermessen für den Infektionsschutz am Arbeitsplatz? Mit der rollenden zweiten Welle wird die Frage wieder wichtiger – und auch für Dienstgeber*innen und Mitarbeitervertreter*innen relevant: Unter welchen Bedingungen darf überhaupt bei Beschäftigen gemessen werden? Im Datenschutzblog der Kanzlei Reichert und Reichert schaut sich Matthias Herkert die Empfehlungen verschiedener Datenschutzaufsichten an und prüft, ob und wie im Rahmen des DSG-EKD Fieber gemessen werden kann. Sein Fazit: »Während das Thema in den vergangenen Monaten von Datenschützern und den meisten Aufsichtsbehörden eher kritisch gesehen wurde, kann das aktuelle Infektionsgeschehen und der im Bereich der Pflege und Betreuung völlig regelmäßige Umgang mit Risikogruppen den Einsatz entsprechender Geräte derzeit wohl rechtfertigen.«

Rückverfolgbarkeit bei Gottesdiensten bleibt ein Thema – im kommenden Wellenbrecher-Lockdown sind Gottesdienste weiterhin möglich. Die Erzdiözese Freiburg hat in ihrem aktuellen Amtsblatt eine neue Fassung der »Instruktion zur Feier der Liturgie in Zeiten der Corona-Krise« veröffentlicht, in denen noch einmal betont wird, dass das Auslegen von Listen nicht zulässig ist. Das Referat Datenschutz des Bistums stellt ein Musterformular und Informationen zur Rechtslage in Baden-Württemberg bereit.

Gibt es eigentlich noch dienstliche Besucher*innen? Auch dafür gibt es ein Formular, das neben Rückverfolgbarkeit auch einen Covid-19-Symptom-Check beinhaltet. Außerdem stellt die Datenschutzaufsicht der Evangelischen Landeskirchen und Diakonien Sachsen und Anhalts Beschäftigteninformationen für Besuchsregelungen bereit.

Weiterlesen

Wo sind all die Datenschutzbeauftragten hin? – Tätigkeitsbericht DDSB Südwest erschienen

Schreiben Sie eine Antwort

Jetzt sind die katholischen Tätigkeitsberichte komplett: Die Diözesandatenschutzbeauftragte Ursula Becker-​Rathmair, zuständig für die Südwest-Bistümer Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier, hat am Dienstag ihren Bericht für 2019 veröffentlicht. Er ist weitgehend überraschungsfrei, hat aber drastische Beispiele für die Praxisrelevanz von Datenschutz.

»Die Sensibilisierung für den Schutz der eigenen Daten hat an Fahrt aufgenommen«, betont Becker-Rathmair – auch sie hat mehr zu tun. Aber nicht so viel mehr, wie man bei diesen großen Bistümern erwarten könnte, jedenfalls in manchen Bistümern. Zeigen sich hier Compliance-Lücken bei den Verantwortlichen? Jedenfalls nicht in Trier: Das ist zahlenmäßig Spitzenreiter

Weiterlesen

Datenschutz: Zum Ährenraufen! – Wochenrückblick KW 43

Schreiben Sie eine Antwort

Morgen, am 20. Sonntag nach Trinitatis, ist in der evangelischen Kirche Mk 2, 23–28 Predigttext – das Gleichnis vom Ährenraufen am Sabbat. Lutz Neumeier hat diese Woche dazu schon eine Kurzpredigt per Sharepic für das Pfarrer*innen-Barcamp der EKHN gehalten:

Die Datenschutzgesetze sind um der Menschen willen gemacht und nicht der Mensch um der Datenschutzgesetze willen. Das gilt gerade auch für die Kirche: Wir müssen für die Menschen da sein können. Datenschutz darf das nicht verhindern, indem er als höchstes Gut betrachtet wird.

@NEUMEdIER

Auf Twitter folgte ein kleines Predigtgespräch: »Beliebteste Ausrede von Verantwortlichen, um sich keine Arbeit machen zu müssen«, meinte @privdeu – »Und im kirchlichen Bereich ist das wiederum die beliebteste Entgegnung, um sich überhaupt keine Arbeit machen zu müssen«, seufzte @HerrVikarin.

Für einen risikobasierten Ansatz und Abwägungen plädiert auch der Impuls zum Predigttext auf kirchenjahr-evangelisch.de: »Wer nach Gott in seinem täglichen Leben fragt und nach dem, was den Menschen dient, der wird Regeln nie sklavisch anwenden, sondern im christlichen Geist der Liebe und der Freiheit.«

Weiterlesen

Ticketsysteme für Gottesdienste – und der Datenschutz?

Schreiben Sie eine Antwort

Rückverfolgbarkeit von Gottesdienst-Teilnehmenden ist für die Infektionskettenverfolgung immer noch ein wichtiges Thema – die Lösungen dafür sind vielfältig und realisieren ganz unterschiedliche Datenschutzniveaus: Von der Eintragung in eine fortlaufende, offen einsehbare Liste (ganz schlecht) bis zum Einwurf von individuellen Karten mit Kontaktdaten in geschlossene Behältnisse (sehr gut) ist alles dabei – und auch elektronische Varianten mit Ticketsystemen und Voranmeldungen sind im Einsatz.

Die Silhouette einer Kirche auf einer Collage von Eintrittskarten
Montage: Manfred Heyde (Wikimedia Commons), CC BY-SA 3.0; Frankie Luis Garcia (Unsplash)

So praktisch das ist: Datenschutzrechtlich ist die Umsetzung anspruchsvoll – erst recht, wenn eine Gemeinde ein besonderes Serviceniveau durch die Reservierung von Dauerplätzen oder eine vereinfachte Anmeldung mit hinterlegten Daten anbieten will. Um solche Systeme einigermaßen datenschutzkonform zu betreiben, braucht es einige Überlegungen.

Weiterlesen

Transparenz und Teilhabe beim Diözesanrecht – Wochenrückblick KW 42

Schreiben Sie eine Antwort

Bei katholisch.de spreche ich mich in der Rubrik Standpunkt für mehr Transparenz beim Diözesanrecht aus: Macht und Gewaltenteilung fängt in den Bistümern an. In einem ersten Schritt die Amtsblätter aller Bistümer online stellen machen und ordentliche Rechtssammlungen aufbauen (Die Zentral-KODA sammelt Links zu den Amtsblättern. Noch ohne Online-Version sind die Bistümer Aachen, Augsburg, Bamberg, Eichstätt, Erfurt, Mainz sowie München und Freising und das Militärbischofsamt.) Der zweite Schritt: Anhörungsverfahren für Ortskirchenrecht. Das hätte auch dem Gesetz über den kirchlichen Datenschutz gutgetan: Im Vergleich zum DSG-EKD (Synode wirkt!) scheint es oft handwerklich schlechter gemacht (z. B. beim Schutzalter der Einwilligung), es fehlen nützliche kirchenspezifische Regelungen (wie zum Gottesdienststreaming), und die Evaluation läuft auch wieder unter Ausschluss der Öffentlichkeit. Ohne auskunftswillige Diözesandatenschutzbeauftragte wüsste man nichts dazu. Transparenz und Teilhabe beim Diözesanrecht ist kein sexy Thema – die üblichen fruchtlosen Debatten über »heiße Eisen« machen mehr Spaß und schärfen das eigene Reform- oder Traditionsprofil deutlich mehr. Es wäre aber ein realistisch machbarer Schritt zu mehr Gewaltenteilung, wenn der kirchliche Gesetzgeber sich künftig vor Inkraftsetzung auf Argumente einlassen würde.

Das darf in keiner Linksammlung fehlen: Datenschutz Nord hat eine FAQ-Liste zum kirchlichen Datenschutz online gestellt. Die Formulare stehen nur Kund*innen zur Verfügung, aber schon aus den allgemein zugänglichen Antworten kann man einige praxistaugliche Informationen finden.

Weiterlesen