Archiv der Kategorie: Aufsichtsbehörden

Wo sind all die Datenschutzbeauftragten hin? – Tätigkeitsbericht DDSB Südwest erschienen

Jetzt sind die katholischen Tätigkeitsberichte komplett: Die Diözesandatenschutzbeauftragte Ursula Becker-​Rathmair, zuständig für die Südwest-Bistümer Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier, hat am Dienstag ihren Bericht für 2019 veröffentlicht. Er ist weitgehend überraschungsfrei, hat aber drastische Beispiele für die Praxisrelevanz von Datenschutz.

»Die Sensibilisierung für den Schutz der eigenen Daten hat an Fahrt aufgenommen«, betont Becker-Rathmair – auch sie hat mehr zu tun. Aber nicht so viel mehr, wie man bei diesen großen Bistümern erwarten könnte, jedenfalls in manchen Bistümern. Zeigen sich hier Compliance-Lücken bei den Verantwortlichen? Jedenfalls nicht in Trier: Das ist zahlenmäßig Spitzenreiter

Weiterlesen

Das steht an bei der Evaluierung des KDG – Bayerns Diözesandatenschutzbeauftragter im Interview

Jupp Joachimski (Jahrgang 1942) leitet die Gemeinsame Datenschutzaufsicht der bayerischen (Erz-) Diözesen. Seit 2007 ist er als Diözesandatenschutzbeauftragter tätig.

Jupp Joachimski ist Diözesandatenschutzbeauftragter für die bayerischen Bistümer. Eigentlich sollte er das Amt heute abgeben – doch noch steht sein Nachfolger nicht fest. Der ehemalige Vorsitzende Richter am Obersten Bayerischen Landesgericht hat am Gesetzgebungsprozess für das Gesetz über den katholischen Datenschutz mitgewirkt. Auch bei der gerade stattfindenden Evaluierung des KDG ist er beteiligt. Bei Artikel 91 verrät er einige Details dazu.

(Ebenfalls heute ist ein Interview mit Joachimski auf katholisch.de erschienen. Dort geht es eher allgemein um seine Erfahrungen im kirchlichen Datenschutz. Zudem verrät er dort noch einen weiteren Punkt aus der KDG-Evaluierung: Das Schriftformerfordernis bei der Einwilligung soll fallen.)

Weiterlesen

Die Schonzeit ist vorbei: Der Tätigkeitsbericht des Datenschutzzentrums NRW

Die Schonzeit ist vorbei. Das ist der Grundtenor im heute veröffentlichten Bericht des Diözesandatenschutzbeauftragten für die nordrhein-westfälischen Bistümer für 2019. Immer wieder wird darin betont, dass nach dem von Beratung und Information geprägten Jahr der KDG-Einführung 2018 die Regelungen des Gesetzes über den kirchlichen Datenschutzes ab 2019 von der Aufsicht scharf geschaltet werden.

Im Berichtszeitraum wurden erst im vierten Quartal Geldbußen verhängt – zweimal für das Offenlegen von Gesundheitsdaten, einmal für das Versäumnis, eine Datenpanne zu melden. Über die neue Härte bei der Aufsicht hinaus gibt es vieles, was sich schon in anderen Berichten abgezeichnet hat. Besonders interessant sind drei Informationen: Zur Familienforschung, zum Patient*innendatenschutz und zum Kirchlichen Datenschutz-Modell.

Weiterlesen

Wie übergriffig ist Öffentlichkeitsarbeit? – Anmerkungen zum Bericht der KDSA Ost

Nach den Ordensdatenschutzbeauftragten kam der erste Tätigkeitsbericht für 2019 aus dem Osten: Die Kirchliche Datenschutzaufsicht der ostdeutschen Bistümer und des Katholischen Militärbischofs hat schon vor Monaten ihren Bericht vorgelegt – auf über 100 Seiten sehr umfangreich, aber auch mit Längen.

Der Ost-DSB hat traditionell den meinungsstärksten Bericht – dabei greift er gelegentlich auch daneben. War es im letzten Jahr ein zweifelhaftes Verständnis von Pressefreiheit, ist es dieses Jahr die Instrumentalisierung des Diskurses über übergriffiges Verhalten in der Kirche. Immer wieder wird im Bericht starkgemacht, dass es beim Datenschutz um den Schutz von Menschen, nicht um den Schutz von Daten geht. Dabei schießt der DDSB aber über das Ziel hinaus:

Weiterlesen

Alles in Ordnung bei den Orden – Tätigkeitsbericht 2019 der Ordensdatenschützer*innen

Schon im Februar haben die Gemeinsamen Ordensdatenschutzbeauftragte ihren Tätigkeitsbericht für 2019 veröffentlicht für den Zeitraum vom 1. Februar bis 31. Januar 2020. Die Datenschutzaufsicht der Orden päpstlichen Rechts besteht aus drei Personen, die für insgesamt 236 Gemeinschaften in Deutschland zuständig sind (14 mehr als im Vorjahr) – eindeutig das beste Betreuungsverhältnis unter den kirchlichen Datenschutzaufsichten.

Der Bericht bleibt recht knapp: Vier Seiten genügen. Auf spektakuläre Einzelfälle wird nicht eingegangen, Datenpannen sind die üblichen Datenträgerverluste, Bußgelder wurden keine verhängt. Nur wenige Punkte sind bemerkenswert – und wie beim Tätigkeitsbericht des Nordwest-DDSB erfährt man auch hier Dinge, die sonst noch nirgends kommuniziert wurden.

Evaluierung des KDG

Das Gesetz über den kirchlichen Datenschutz sieht ebenso wie das für die Ordensgemeinschaften geltende KDR-OG eine Überprüfung binnen dreier Jahre nach Inkrafttreten vor – der Zeitraum läuft am 24. Mai 2021 ab. Bisher war öffentlich nichts von einer Evaluierung unter eventueller breiterer Beteiligung bekannt. Hinter den Kulissen läuft die Überprüfung schon, erfährt man aus dem Bericht, und zwar mit der Anhörung der kirchlichen Aufsichten. Erste Vorschläge würden bereits von der Arbeitsgruppe »Datenschutz und Melderecht« der Rechtskommission des Verbandes der Diözesen Deutschlands (VDD) diskutiert. »Parallel dazu wurde die Notwendigkeit festgestellt, einige Teilbereiche besonders ausdrücklich zu regeln. Es handelt sich dabei um Vorschriften aus den Bereichen Schule, Krankenhaus und Personalaktenführung. Für die Datenschutzaufsichten ist ein Verwaltungsverfahrensgesetz in Bearbeitung, welches das KDG/die KDR-OG im Hinblick auf die Verwaltungstätigkeit der Datenschutzaufsicht ergänzen soll«, erfährt man außerdem.

Das bedeutet auch: Wer sich noch in die Evaluierung des KDG einbringen will, sollte das schnell tun – sonst ist es zu spät.

Umgang mit Bilder: Weg vom »bürokratischen Monster«

Zu den Ordensdatenschutzbeauftragten gehört Jupp Joachimski, der zugleich für die bayerischen Bistümer zuständig ist. Als einziger der Diözesandatenschutzbeauftragten stammt der ehemalige Richter am bayerischen Obersten Landesgericht aus der Judikative und nicht aus der betrieblichen Compliance; schon bei der Einführung des KDG war er als einziger der (später von der Konferenz der Diözesandatenschutzbeauftragten übernommenen) Meinung, dass die Kriterien des Kunsturhebergesetzes herangezogen werden können – eine deutliche Vereinfachung im Umgang mit Bildern. So ist wohl zu vermuten, dass die ungewöhnlich deutlich Formulierung im aktuellen Bericht auf ihn zurückgeht: »Dieser doppelte Rechtfertigungszwang [bei der Aufnahme und bei der Veröffentlichung] macht zum Beispiel das Fotografieren auf Schul- oder Pfarrfesten zu einem bürokratischen Monster. Erst mit der Zeit setzte sich in der Konferenz der Diözesandatenschutzbeauftragten die Meinung durch, dass eine einheitliche Einwilligung ausreiche.«

Lob fürs Engagement

Der Bericht ist voll von Lob: Es wird gewürdigt, dass »sehr viele Mitglieder oder Mitarbeiter vorhanden sind, die ihre volle Arbeitsleistung in dieses Gebiet einbringen möchten«. Die Anliegen des Datenschutzes werden, so die Aufsichtspersonen, »mit großem Ernst und der Bereitschaft zur intensiven Arbeitsleistung aufgenommen«. Also alles in Ordnung bei den Orden: »Hier ist es offensichtlich allen klar, dass die Datenschutzgesetze nicht etwa die Daten als solche schützen, sondern den Menschen dahinter – eine keineswegs selbstverständlich überall anzutreffende Einsicht.«

Es bleibt schwierig mit den USA: Weitere kirchliche Aufsichten zu Schrems II

Zwei weitere kirchliche Aufsichtsbehörden haben sich zum Aus für das Privacy Shield geäußert: Der Beauftragte für den Datenschutz der EKD hat eine FAQ veröffentlicht, die Diözesandatenschutzbeauftragte für die Südwest-Bistümer eine Orientierungshilfe.

Logo des Privacy Shield Frameworks

Im Ergebnis kommen die beiden Aufsichtsbehörden nicht zu anderen Ergebnissen als bereits direkt nach dem Urteil die Diözesandatenschutzbeauftragten von NRW und der Nordwest-Bistümer: Es gibt keine Übergangszeit, Standardvertragsklausen sind aufgrund der Überwachungsgesetze in den USA schwierig. Im Detail gibt es aber jeweils interessante Informationen – die evangelische FAQ ist auch praxisnäher anwendbar als das von NRW und Nordwest vorgestellte Prüfschema. Wie die »Ausnahmen für bestimmte Fälle« in der Praxis angewandt werden können, wird im kirchlichen Bereich aber bisher nicht geklärt.

Weiterlesen

Medienprivileg für Gemeindebrief und Pfarrblatt?

Am Freitag hat der Beauftragte für den Datenschutz der EKD festgestellt, dass das Medienprivileg aus § 51 DSG-EKD nicht für Gemeindebriefe gilt – und zwar kategorisch, nicht einmal ein »grundsätzlich« steht in der Stellungnahme. Damit wäre das Datenschutzrecht voll anzuwenden – mit allen Konsequenzen. Zuvor war nur auf katholischer Seite eine Position der Deutschen Bischofskonferenz bekannt, die die Sache deutlich entspannter darstellt. Betrachtet man die jeweiligen Positionen im Detail, stellen sich bei beiden deutliche Anfragen: Die eine scheint zu eng, die andere zu weit. Was tun?

Weiterlesen

Prüfschema zum Privacy-Shield-Urteil

Was tun, nachdem das Privacy Shield nicht mehr für die Datenübertragung in die USA zur Verfügung steht? Die katholischen Datenschutzaufsichten für NRW und die Nordwest-Bistümer haben nun eine erste FAQ und ein Prüfschema dazu veröffentlicht. Eine endgültige Positionierung gibt es noch nicht, die Abstimmungen laufen nach gleichlautender Meldung aus Dortmund und Bremen noch. [Ergänzung, 24. Juli, 12.15]Am Freitag hat sich auch die Konferenz der Beauftragten für den
Datenschutz in der EKD mit einer ähnlichen Einschätzung der Sachlage geäußert. Es wurden Bemühungen angekündigt, zu einer einheitlichen Vorgehensweise
mit den Datenschutzaufsichtsbehörden in Deutschland zu kommen.[/Ergänzung]

Klar ist aber jetzt schon: Das Urteil gilt sofort, die Diözesandatenschutzbeauftragten werden die Vorgaben des EuGH umsetzen – »das erfordert aber intensive Untersuchungen zu der Frage, wie – ohne Gefährdung des laufenden Betriebs – ein Ausstieg möglich ist«, heißt es in der Verlautbarung: »Das mag in einigen Bereichen schneller gehen und in anderen länger dauern.« Keine Aussage wird dazu gemacht, welche üblichen Anwendungsfälle überhaupt betroffen sind. In der Praxis dürfte das vor allem Office 365 sein (wobei Microsoft die Rechtskonformität betont).

Weiterlesen

Tätigkeitsbericht des Diözesandatenschutzbeauftragten Nordwest erschienen

Am Mittwoch hat der Diözesandatenschutzbeauftragte für die Nordwest-Bistümer Andreas Mündelein seinen Tätigkeitsbericht für 2019 veröffentlicht. Nach seinem Kollegen für die Ost-Bistümer, der schon vor einigen Monaten veröffentlicht hat, ist das der zweite Bericht der kirchlichen Aufsichten.

Der Bericht kommt weitgehend ohne Überraschungen aus; die »Verunsicherungen, der Medienrummel und die gesamtkirchlichen Irritationen haben sich im Laufe des Berichtszeitraums 2019 nicht weiter fortgesetzt.« Beratungsnachfragen stagnieren auf hohem Niveau, Beschwerden und Meldungen von Datenpannen haben aber zugenommen. (Beschwerden +18,75 Prozent, Meldungen +73,30 Prozent, Prüfungen +90,67 Prozent; absolute Zahlen fehlen leider.) Positiv würdigt der DDSB, dass anlasslose Prüfungen ein gestiegenes Datenschutzbewusstsein gezeigt haben.
Social Media wird immer noch kritisch gesehen.

Weiterlesen

DSB-EKD: FAQ-Liste zum Datenschutz in Vereinen

Der Datenschutzbeauftragte der EKD hat eine Liste mit Fragen zu kirchlichen Vereinen veröffentlicht. Während die weltlichen Datenschutzaufsichten schon lange Vereinsarbeitshilfen veröffentlicht haben, teilweise sehr ausführlich, ist das für den kirchlichen Bereich eine Premiere. Nützlich ist die FAQ-Liste leider nur sehr begrenzt.

Weiterlesen