Archiv der Kategorie: Aufsichtsbehörden

EKD-Aufsichten zu Schrems II – Weniger ausnahmsweise als Art. 49 DSGVO

Die Konferenz der Beauftragten für den Datenschutz in der EKD  hat eine Gemeinsame Stellungnahme zur Datenübermittlung in die USA veröffentlicht. Dass eine gemeinsame Stellungnahme in Arbeit ist, wurde bereits vor zwei Wochen durch die verspätete Veröffentlichung einer Position des Datenschutzbeauftragten für Kirche und Diakonie bekannt und löst den selbst gegebenen Abstimmungsauftrag aus der Stellungnahme aus dem Juli des vergangenen Jahres ein..

Ein Verriegelungsknopf an einem Oldtimer, im Hintergrund eine US-Flagge.
Symbolbilder für Drittlanddatenübertragungen sind ohnehin alle Unsinn, warum also nicht das, das immerhin einen Knopf an einem Auto zeigt? (Photo by Nick Fewings on Unsplash)

Inhaltlich ist die nun für den gesamten landeskirchlichen Bereich abgestimmte Stellungnahme fast keine Überraschung: Im wesentlichen wird das in § 10 Abs. 2 DSG-EKD festgelegte Verfahren zur Drittlandsdatenübermittlung ohne Angemessenheitsbeschluss und Standarddatenschutzklauseln vorgestellt, dazu kommt eine detaillierte Geschichte der Datenübermittlung in die USA, eine Erörterung des Marktortprinzips der DSGVO und ein Überblick über die durch den CLOUD-Act erzeugten Probleme – die eine kleine Überraschung: Die Antwort auf die Frage, ob das DSG-EKD wie Art. 49 DSGVO nur ausnahmsweise Datenübertragungen in Drittländer ohne Angemessenheitsbeschluss normiert.

Weiterlesen

Wanderaufsicht ohne Buße – Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten 2020/2021

Der bayerische Diözesandatenschutzbeauftragte hat die aktuelle Tätigkeitsberichtsrunde abgeschlossen – mit seinem auf den 1. Oktober datierten und spät am Montag veröffentlichten Bericht für den Zeitraum vom 1. Oktober 2020 bis zum 30. September 2021 liegen nun alle katholischen Berichte vor.

Titelseite des Tätigkeitsberichts des bayerischen Diözesandatenschutzbeauftragten.
Schlicht wie immer: Der Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten für 2020/2021

Wie immer schmucklos, ist er mit 14 Seiten dieses Mal so lang wie noch nie in Bayern. Drama wie im letzten Jahr der Hilferuf wegen der mangelnden Ausstattung der Aufsicht gibt es höchstens zwischen den Zeilen – und der DDSB Jupp Joachimski zeigt wieder einmal, dass er unter seinen Kolleg*innen der mit der stärksten juristischen Durchdringung der komplizierten Verwaltungsmaterien ist.

Weiterlesen

Wann kommt das Katholische Datenschutzzentrum Nürnberg?

»Die Freisinger Bischofskonferenz errichtet in Nürnberg ein kirchliches Datenschutzzentrum, das als unabhängige kirchliche Behörde die Aufgaben der Datenschutzaufsicht wahrnehmen wird«, hieß es knapp und unscheinbar im März 2018 in der Erklärung zur Frühjahrsvollversammlung der bayerischen Bischöfe in Augsburg. Jetzt, dreieinhalb Jahre später, gibt es immer noch kein Datenschutzzentrum Nürnberg, seit gut einem Jahr ist die Amtszeit des Diözesandatenschutzbeauftragten ausgelaufen (er führt das Amt bis zum Amtsantritt seiner Nachfolge weiter, wie es das Kirchenrecht vorsieht), seine »Behörde« ist die mit Abstand am schlechtesten ausgestattete katholische Datenschutzaufsicht, wie der Leiter selbst in dramatischen Worten in seinem letztjährigen Tätigkeitsbericht schrieb.

Eine Glühbirne ohne Lampenschirm hängt an einem Kabel von einer Decke mit weiß-blauen Rauten herab.
Erstmals kommt dank der Auskunft der Freisinger Bischofskonferenz etwas Licht ins Dunkel um das Katholische Datenschutzzentrum Nürnberg. (Das Symbolbild zeigt eine Lampe in der Bonner Kreuzbergkirche, wo die Wittelsbacher als Kölner Kurfürsten auch mal was zu sagen hatten.)

Möglicherweise kommt jetzt etwas Bewegung in die Sache. Oder auch nicht. Auf Nachfrage teilte mir das Erzbistum München und Freising mit, dessen Pressestelle in Personalunion die der Freisinger Bischofskonferenz bildet, wie es um die Nürnberger Neugründung steht: Es fänden »vorbereitende Schritte« statt, der Prozess soll »schnellstmöglich, aber auch mit der angemessenen Gründlichkeit« abgeschlossen werden.

Weiterlesen

EKD-Datenschutzbeauftragter veröffentlicht FAQ zu gemeinsamer Verantwortlichkeit

Erstmals äußert sich eine kirchliche Aufsicht ausführlicher zur gemeinsamen Verantwortlichkeit. Der Beauftragte für den Datenschutz der EKD hat am Donnerstag eine FAQ-Liste zu gemeinsam verantwortlichen Stellen veröffentlicht. Die Liste erläutert allgemein, wie gemeinsame Verantwortlichkeit umgesetzt wird. Die eigentlich spannende und bisher ungeklärte Frage, die nach der Zusammenarbeit von Stellen, die unterschiedlichen Datenschutzgesetzen unterliegen, wird immerhin angesprochen.

Neonröhren in Form von sich schüttelnden Händen
(Photo by Charles Deluvio on Unsplash)

Im Blick sind dabei Konstellationen, in denen kirchliche und nichtkirchliche Stellen gemeinsam verantwortlich sind – gemeint sind damit der Diktion des DSG-EKD folgend »kirchliche Stellen« als »dem DSG-EKD unterfallende«, also auch Kooperationen zwischen Stellen, die unterschiedlichen Kirchenrechtsregimen unterliegen. Einige Fragen bleiben trotzdem offen.

Weiterlesen

Kirchliche Datenschutzaufsicht: Ausstattung gut bis ungenügend

Das schönste Gesetz nutzt nichts, wenn es nicht auch umgesetzt wird. Beim Datenschutzrecht ist ein Faktor dabei die Leistungsfähigkeit der Aufsicht. Der Europäische Datenschutzausschuss EDPB hat daher die Aufsichtsbehörden der Staaten, in denen die DSGVO gilt, unter die Lupe genommen und ihre Ressourcenausstattung verglichen: »Overview on resources made available by Member States to the Data Protection Authorities and on enforcement actions by the Data Protection Authorities«. Aufgrund des Prinzips der federführenden Behörde (»one stop shop«) hat eine schlecht ausgestattete Aufsicht Auswirkungen auf alle – »a lack of resources in a supervisory authority competent to handle cross-border cases, can after all have tangible consequences for citizens across the EU«.

Fünf unterschiedlich hohe Stapel mit Eurocent-Münzen
So transparent lässt sich das Budget nicht bei allen kirchlichen Aufsichten ermitteln. (Symbolbild: Photo by Ibrahim Rifath on Unsplash)

Nicht betrachtet wurde die Ausstattung der kirchlichen Aufsichtsbehörden, die (mindestens in Deutschland und Polen) einen beachtlichen Teil von Stellen beaufsichtigen, die oft mit besonders sensiblen Daten hantieren. Der von den Kirchen geforderte Einklang mit dem DSGVO-Datenschutzniveau steht und fällt dort, wo eigene Aufsichten eingerichtet werden, mit deren Ausstattung. Ein Blick in Tätigkeitsberichte und Kirchenhaushalte kann zumindest ein wenig Licht ins Dunkel bringen.

Weiterlesen

Rekordgeldbuße im Südwesten – Tätigkeitsbericht 2020 des KDSZ Frankfurt erschien

Der Tätigkeitsbericht 2020 der katholischen Aufsicht für den Südwesten ist da – und damit ist der 2020er-Reigen vorerst abgeschlossen. (Der bayerische DDSB berichtet immer von September bis September statt zum Kalenderjahr.) Natürlich gibt es wieder viel Corona – und in einem Nebensatz den Hinweis auf die bisher höchsten bekannten Geldbußen im kirchlichen Datenschutz.

Die Titelseite des Tätigkeitsbericht 2020 der KDSZ Frankfurt
Den Bericht des KDSZ Frankfurt ziert eine schöne Statue des hl. Johannes Nepomuk – leider ist auch in der verwendeten Stockphoto-Datenbank nicht herauszufinden, wo diese Statue steht. Vielleicht weiß es ein*e Leser*in?

Erstmals ziert der heilige Johannes Nepomuk den Tätigkeitsbericht – anlässlich der Errichtung als KdÖR hat das Katholische Datenschutzzentrum Frankfurt ein Siegel und einen Schutzpatron bekommen. (Und der NRW-Datenschutzpatron Ivo einen Kollegen.) Er möge, so die Diözesandatenschutzbeauftragte, »den Blick dafür öffnen, wann man reden und wann man vielleicht besser schweigen sollte«.

Weiterlesen

Betroffenenrechte mangelhaft – Tätigkeitsbericht 2020 des Katholischen Datenschutzzentrums NRW

»Corona.« Mit einem Seufzer beginnt das Vorwort des Tätigkeitsberichts des Katholischen Datenschutzzentrums Dortmund für 2020. Die Bericht der Aufsicht für die NRW-Bistümer und den VDD kommt wie die anderen bereits erschienenen Berichte natürlich nicht um das alles beherrschende Thema herum, setzt aber noch einige andere Schwerpunkte: Schrems II und Brexit sind von außen gesetzt. (Und bieten für regelmäßige Leser*innen hier nichts neues.) Eine intensive Auseinandersetzung mit Betroffenenrechten und eine Kita-Querschnittsprüfung sind selbst gewählt.

Titelseite des Tätigkeitsberichts 2020
Fünf Zeilen für den Namen der Behörde. Eine mögliche Umbenennung in KDSA NRW wird im Bericht aber nicht angesprochen.

Im vergangenen Jahr hieß es hier zum Tätigkeitsbericht für 2019 »Die Schonzeit ist vorbei«. Auch in diesem Jahr macht der DDSB deutlich, dass (zum Veröffentlichungszeitraum) nach mehr als drei Jahren KDG nicht mit allzu viel Nachsicht zu rechnen ist. Die großen Bußgeld-Hämmer blieben dennoch aus.

Weiterlesen

Keine Gelegenheit für Bußgelder – Tätigkeitsbericht 2020 der KDSA Nord

Noch schnell vor der Sommerpause hat die Katholische Datenschutzaufsicht Nord am Donnerstag ihren Tätigkeitsbericht für 2020 veröffentlicht – natürlich ein weiterer Corona-Bericht. Die Pandemie hat sich neben dem Ausfall von allen Vor-Ort-Prüfungen bis auf zwei vielfältig in der Aufsichts- und Beratungstätigkeit niedergeschlagen.

Titelseite des Tätigkeitsberichts 2020 der KDSA Nord

Titelseite des Tätigkeitsberichts 2020 der KDSA Nord

Eine auffällige Leerstelle im Bericht sind die Aufsichtsmaßnahmen: Zwar werden einige Fälle geschildert, in denen durchaus gravierende Datenschutzverstöße vorliegen. Bußgelder werden jedoch nicht erwähnt. Auf Anfrage teilte mir der Diözesandatenschutzbeauftragte Andreas Mündelein mit, dass er keine Möglichkeit hatte, Bußgelder zu verhängen – die besonders gravierenden Fälle waren bei öffentlich-rechtlich organisierten Stellen und damit durch das KDG von Bußgeldern ausgenommen. Der Glaubwürdigkeit der kirchlichen Selbstverwaltung trägt diese Regelung nicht bei.

Weiterlesen

Befreite Protokolle: Spezifische Aufsichten am Katzentisch der DSK

Ein- bis zweimal im Jahr treffen sich Vertreter*innen der Datenschutzkonferenz mit den spezifischen Aufsichten, also den Datenschutzaufsichten von Rundfunk und Religionsgemeinschaften. Die Protokolle werden nicht proaktiv veröffentlicht. Per Informationsfreiheitsantrag gelingt es aber regelmäßig, sie zu befreien. Jetzt liegen die Protokolle der Sitzungen vom 21. Oktober 2020 und 5. Mai 2021 vor.

Wieder einmal wurde per fragdenstaat.de ein Bündel an Unterlagen befreit.
Wieder einmal wurde per fragdenstaat.de ein Bündel an Unterlagen befreit.

Ein unterschwelliges Thema, das auch gelegentlich an die Oberfläche kommt, ist die Einbeziehung der spezifischen Aufsichten in die Arbeit der Datenschutzkonferenz – die dort vertretenen Aufsichten der Länder und des Bundes haben kein gesteigertes Interesse, die spezifischen Aufsichten als gleichwertig zu betrachten. Auch dieses Mal.

Weiterlesen

Hessische Datenschutzaufsicht nimmt sich Zeugen Jehovas vor

Das Verhältnis der Landesdatenschutzaufsichten zu den kirchlichen Aufsichten ist nicht immer ganz konfliktfrei. Die Aufsichten der großen Kirchen werden respektiert, in der Datenschutzkonferenz wird ihnen ein Mindestmaß an Beteiligung ermöglicht. Bei ihnen ist auch unstreitig, dass sie legitim sind – das sieht, wie eine Recherche im vergangenen Jahr zeigte, bei den Aufsichten kleinerer Gemeinschaften oft anders aus.

Drei weibliche Mitglieder der Zeugen Jehovas in einer Bahnhofsunterführung mit Informationsmaterial auf Arabisch.
Zeugen Jehovas in Wien. (Bildquelle: Elph (Wikimedia Commons), CC BY-SA 4.0, zugeschnitten und Farbton bearbeitet)

Abgeschlossen ist keines der Prüfverfahren der Landesdatenschutzaufsichten von Berlin, Hessen, Niedersachsen und Nordrhein-Westfalen, bei dem unter anderem das Alt-Katholische Bistum, die Selbständige Evangelisch-Lutherische Kirche (SELK), die Zeugen Jehovas und die Neuapostolische Kirche Westdeutschland überprüft werden – eine neue Abfrage hat aber zumindest in einem Fall neue Zwischenstände gebracht: zu den Zeugen Jehovas.

Weiterlesen