Archiv des Autors: Felix Neumann

Über Felix Neumann

Felix Neumann ist Journalist und berichtet hauptsächlich über kirchliche Themen. Der Politikwissenschaftler und vergleichende Kirchenrechtler hat die Qualifizierung zum Betrieblichen Datenschutzbeauftragten (IHK) absolviert und berät freiberuflich kirchliche Verbände und Institutionen zu praktischen Fragen des Datenschutzes und durch Datenschutzschulungen.

Prüfschema zum Privacy-Shield-Urteil

Schreiben Sie eine Antwort

Was tun, nachdem das Privacy Shield nicht mehr für die Datenübertragung in die USA zur Verfügung steht? Die katholischen Datenschutzaufsichten für NRW und die Nordwest-Bistümer haben nun eine erste FAQ und ein Prüfschema dazu veröffentlicht. Eine endgültige Positionierung gibt es noch nicht, die Abstimmungen laufen nach gleichlautender Meldung aus Dortmund und Bremen noch. [Ergänzung, 24. Juli, 12.15]Am Freitag hat sich auch die Konferenz der Beauftragten für den
Datenschutz in der EKD mit einer ähnlichen Einschätzung der Sachlage geäußert. Es wurden Bemühungen angekündigt, zu einer einheitlichen Vorgehensweise
mit den Datenschutzaufsichtsbehörden in Deutschland zu kommen.[/Ergänzung]

Klar ist aber jetzt schon: Das Urteil gilt sofort, die Diözesandatenschutzbeauftragten werden die Vorgaben des EuGH umsetzen – »das erfordert aber intensive Untersuchungen zu der Frage, wie – ohne Gefährdung des laufenden Betriebs – ein Ausstieg möglich ist«, heißt es in der Verlautbarung: »Das mag in einigen Bereichen schneller gehen und in anderen länger dauern.« Keine Aussage wird dazu gemacht, welche üblichen Anwendungsfälle überhaupt betroffen sind. In der Praxis dürfte das vor allem Office 365 sein (wobei Microsoft die Rechtskonformität betont).

Weiterlesen

Tätigkeitsbericht des Diözesandatenschutzbeauftragten Nordwest erschienen

Schreiben Sie eine Antwort

Am Mittwoch hat der Diözesandatenschutzbeauftragte für die Nordwest-Bistümer Andreas Mündelein seinen Tätigkeitsbericht für 2019 veröffentlicht. Nach seinem Kollegen für die Ost-Bistümer, der schon vor einigen Monaten veröffentlicht hat, ist das der zweite Bericht der kirchlichen Aufsichten.

Der Bericht kommt weitgehend ohne Überraschungen aus; die »Verunsicherungen, der Medienrummel und die gesamtkirchlichen Irritationen haben sich im Laufe des Berichtszeitraums 2019 nicht weiter fortgesetzt.« Beratungsnachfragen stagnieren auf hohem Niveau, Beschwerden und Meldungen von Datenpannen haben aber zugenommen. (Beschwerden +18,75 Prozent, Meldungen +73,30 Prozent, Prüfungen +90,67 Prozent; absolute Zahlen fehlen leider.) Positiv würdigt der DDSB, dass anlasslose Prüfungen ein gestiegenes Datenschutzbewusstsein gezeigt haben.
Social Media wird immer noch kritisch gesehen.

Weiterlesen

EU-Bischöfe fordern Datenschutz bei der KI-Regulierung

Schreiben Sie eine Antwort

Die Kommission der Bischofskonferenzen der Europäischen Gemeinschaft (COMECE) hat sich an der Konsultation zu einem EU-Weißbuch zu Künstlicher Intelligenz beteiligt. Die Bischöfe fordern dabei allgemein einen sozialethischen Diskurs und die systematische Beteiligung von Religionsgemeinschaften ein. Die Regulierung von KI müsse sich am Gemeinwohl orientieren. In der schon im Juni eingereichten Stellungnahme werden in diesem Kontext auch Forderungen zum Datenschutz gestellt.

Photo by Franck V. on Unsplash

Die COMECE sieht Positionen mit Sorge, die eine weitreichende Flexibilität bei der Anwendung der DSGVO auf KI-Anwendungen fordern. Stattdessen macht sie die Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 DSGVO stark, insbesondere Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz; Datenminimierung; Integrität und Vertraulichkeit und Rechenschaftspflicht (Art. 5 Abs. 1 litt. a), c), f) und Abs. 2 DSGVO).

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW29

Schreiben Sie eine Antwort

Das Thema der Woche ist natürlich das Aus für Privacy Shield – lange erwartet, jetzt ist es passiert. Mehr dazu gab es hier im Blog: EuGH kippt Privacy Shield.

Für katholisch.de hat mir der Diözesandatenschutzbeauftragte der NRW-Bistümer Steffen Pau eine erste Einschätzung gegeben. Seine Empfehlung:

»Die kirchlichen Stellen sollten für sich nochmals eine Bestandsaufnahme von den Verarbeitungen personenbezogener Daten machen. Aus diesen Verarbeitungen sind diejenigen genauer anzuschauen, bei denen ein Datenaustausch mit den USA stattfindet. Alle diese Verarbeitungen müssen bezüglich der Auswirkungen des Urteils zur Grundlage der Verarbeitung überprüft werden. Sofern die Datenverarbeitung bisher auf den Privacy Shield gestützt wurde, müssen hier andere Lösungen gefunden werden.«

Steffen Pau, Katholisches Datenschutzzentrum Dortmund
Weiterlesen

EuGH kippt Privacy Shield – weitreichende Konsequenzen erwartet

Schreiben Sie eine Antwort

Der Europäische Gerichtshof hat das Privacy-Shield-Abkommen gekippt. In der Entscheidung vom 16. Juli, die die von Max Schrems gegründete NGO »None Of Your Business« (NOYB) veröffentlicht hat, wird Facebook zudem die Nutzung von Standardsvertragsbedingungen zur Ermöglichung von Datentransfers in die USA verboten.

Die Entscheidung wird weitreichende Konsequenzen haben für Dienste und Daten, die in den USA gehostet sind. Dass das Abkommen auf wackligen Beinen steht, haben Datenschutzaktivist*innen schon seit Jahren betont, die Frage war eher wann, nicht ob.

Weiterlesen

Gericht: Der Name der Küsterin darf auf die Pfarrei-Webseite

Schreiben Sie eine Antwort

Die Veröffentlichung der mit dem Namen und Vornamen gebildeten dienstlichen E-Mail-Anschrift eines Mitarbeiters mit Außenkontakten (hier eine Küsterin) auf der Homepage der Pfarrgemeinde verletzt keine kirchlichen Datenschutzrechte.

Nichtamtlicher Leitsatz zum Beschluss IDSG 03/2019
In der Sakristei. Bildquelle: Jorge Royan/http://www.royan.com.ar (Wikimedia Commons), CC BY-SA 3.0. (Symbolbild)

Eine Küsterin muss damit leben, dass ihr Name auf der Webseite der katholischen Pfarrei genannt wird und ihre personalisierte E-Mail-Adresse im Stil von vorname.nachname@XXX.de veröffentlicht wird. Ein Anspruch auf eine rein funktionsbezogene E-Mail-Adresse wie kuesterin@XXX.de besteht nicht. Das hat das Interdiözesane Datenschutzgericht am 22. April in einem jetzt veröffentlichten Beschluss (IDSG 03/2019) entschieden.

Weiterlesen

Ein Blog zum kirchlichen Datenschutz. Wozu das denn?

2 Antworten

Das Artikel-91-Blog richtet sich an Praktiker*innen aus den Religionsgemeinschaften wie Datenschutzbeauftragte und alle, die sich für die Schnittstelle von Theologie, Kirche und Grundrechten interessieren.

»Nur weil die Kirchen die Kirchen sind, sind sie datenschutzrechtlich keine Heiligen«, schreibt der Münsteraner Jura-Professor Thomas Hoeren. Weil die Kirchen aber die Kirchen sind, sind sie in Sachen Datenschutz Gesetzgeberinnen – was das Grundgesetz als Selbstorganisationsrecht von Anfang an gewährleistet, findet auch in der europäischen Datenschutzgrundverordnung Widerhall. Artikel 91 DSGVO erlaubt ihnen, eigene Regeln zum Datenschutz anzuwenden – »sofern sie mit dieser Verordnung in Einklang« stehen.

Von diesem Recht haben vor allem in Deutschland Religionsgemeinschaften Gebrauch gemacht: Die katholische Kirche mit ihrem Gesetz über den kirchlichen Datenschutz (KDG) in seinen verschiedenen Varianten ebenso wie die evangelische Kirche mit ihrem DSG-EKD, aber auch viele kleinere Gemeinschaften und Bünde. Neben den staatlichen Aufsichtsbehörden gibt es nun auch kirchliche Datenschutzaufsichten und sogar Datenschutzgerichte.

Seit Jahren beschäftige ich mich mit Datenschutz, früher politisch in den katholischen Jugendverbänden, seit 2018 vor allem journalistisch bei katholisch.de und als Referent bei Workshops zu Datenschutz mit Augenmaß: In der Zeit der Einführung von KDG und DSGVO war der Informationsbedarf, die Verwirrung und teilweise auch die Panik groß.

Kritische Begleitung, praktische Hinweise

Mittlerweile hat sich das gelegt; Datenschutz ist auch in der Kirche wieder etwas randständiger geworden. Weltliche Jurist*innen interessieren sich selten für kirchliches Datenschutzrecht, immer noch kann man die Veröffentlichungen an einer Hand abzählen – und eine kritische journalistische Begleitung der Arbeit der kirchlichen Aufsichtsbehörden und Gerichte findet kaum statt. Das wäre aber wichtig: das Datenschutzrecht ordnet in einer Gesellschaft der Digitalität wesentliche Bereiche der Öffentlichkeit, wird aber von Gesetzgeber*innen vernachlässigt und von Aufsichtsbehörden und Datenschutzbeauftragten oft einseitig ohne Abwägung anderer Grundrechte angewandt. Datenschutz ist ein wichtiges Grundrecht in der digitalen Gesellschaft – aber kein Supergrundrecht.

Dieses Blog soll ein Ort sein, an dem derartige Diskussionen geführt und Nachrichten und Hintergründe zum Datenschutz in den Religionsgemeinschaften gesammelt und eingeordnet werden. Zugleich soll es Anlaufstelle und Materialsammlung für Praktiker*innen des kirchlichen Datenschutzes, von Datenschutzbeauftragten über Vereinsvorstände bis hin zum betroffenen Kirchenmitglied sein.

Die Woche im kirchlichen Datenschutz – KW28

Schreiben Sie eine Antwort

Philipp Greifenstein (Die Eule) kommentiert in seiner aktuellen Folge der YouTube-Reihe zur Digitalen Kirche in Corona-Zeiten den »lieben, lieben Datenschutz«: Der sei von »Angst, technischer Unkenntnis und sehr großer Vorsicht« geprägt. Sein Plädoyer: Die Eigenverantwortung der Menschen ernst nehmen. (Allerdings: Wenn Einwilligungen schon das Allheilmittel wären, wär’s ja schön – aber weder das WhatsApp-Knock-out-Problem mit den automatisch übertragenen Adressbüchern noch die dann immer noch zu erfüllenden Informationspflichten sind damit gelöst.)

Weiterlesen

LAG Nürnberg: Kirchlicher Datenschutz vor weltlichen Gerichten

2 Antworten
LAG Nürnberg, Aarp65 (Wikimedia Commons), CC BY-SA 4.0.

Die katholische Kirche hat eigene Datenschutzgerichte eingerichtet, die EKD eröffnet in ihrem Datenschutzgesetz den Rechtsweg zu ihren Gerichten – man sollte denken, dass die Datenschutzgesetze von Religionsgemeinschaften für staatliche Gerichte nicht relevant wären. Das ändert sich mit einem Beschluss des Landesarbeitsgerichts Nürnberg vom 29. Mai 2020 (AZ 8 Ta 36/20). Die Zusammenfassung:

Bei einem Rechtsstreit eines bei der Erzdiözese im Rahmen eines privatrechtlichen Arbeitsvertrages angestellten Arbeitnehmers auf Schadensersatz wegen Verstößen gegen das kirchliche Datenschutzgesetz (KDG) ist der Rechtsweg zu den Arbeitsgerichten gegeben und nicht zu den nach KDSGO errichteten interdiözesanen Datenschutzgerichten.

Landesarbeitsgericht Nürnberg, 29. Mai 2020 (AZ 8 Ta 36/20)
Weiterlesen

Rechtskonforme Rückverfolgbarkeit von Gottesdiensten – gar nicht so einfach

Schreiben Sie eine Antwort
GFreihalter (Wikimedia Commons), Lizenz: CC BY-SA 3.0

Zur Eindämmung der Corona-Pandemie ist die Rückverfolgbarkeit der Mitfeiernden bei Gottesdiensten ein wichtiges Element – das allerdings auch datenschutzkonform umgesetzt werden muss. In Nordrhein-Westfalen wurde die entsprechende Anforderung erst sehr spät (und für die katholische Kirche überraschend) in die ab 30. Mai geltende Corona-Schutzverordnung aufgenommen, Wochen, nachdem die öffentlichen Gottesdienste wieder aufgenommen wurden.

Weiterlesen