Archiv der Kategorie: Aufsichtsbehörden

Kommt der Facebook-Crackdown? Jahresausblick 2022 zum kirchlichen Datenschutz

2021 ist Geschichte, 2022 noch größtenteils Zukunft. Aus dem Jahresausblick 2021 sind einige Prognosen in Erfüllung gegangen – dass das beginnende Jahr das Jahr 1 post Corona wird, ist aber immer noch fromme Hoffnung, genauso wie einige andere uneingelöste Dauerbrenner. Es werden noch Wetten angenommen, ob erst die Pandemie endet oder das katholische Bayern eine funktionsfähige Datenschutzaufsicht erhält.

Eine Glaskugel auf rotem Stoff, links daneben ein Schlüssel
Blick in die Glaskugel. (Bildquelle: Michael Dziedzic/Unsplash)
Weiterlesen

SELK will kirchlichen Datenschutz vom EuGH klären lassen

Der Europäische Gerichtshof könnte sich bald mit zentralen Fragen des kirchlichen Datenschutzes befassen: Im Konflikt zwischen der niedersächsischen Landesdatenschutzaufsicht und der Selbständigen Evangelisch-Lutherischen Kirche (SELK) hat die Kirche Klage vor dem Verwaltungsgericht Hannover erhoben, um unter anderem eine EuGH-Vorlage zu erreichen.

Das Emblem des Europäischen Gerichtshofs vor den Türmen B und C
Der EuGH ist nicht immer ganz sensibel, wenn es um religionsverfassungsrechtliche Eigenheiten der Mitgliedstaaten geht. (By LuxofluxoOwn work, CC BY-SA 4.0, Link)

Die Datenschutzaufsicht bezweifelt, dass die SELK schon vor Inkrafttreten der DSGVO umfassende Datenschutzregeln anwandte, wie es dem Wortlaut von Art. 91 Abs. 1 DSGVO nach verlangt wird. Die schon seit 1993 existierende Datenschutzrichtlinie der Kirche sei nicht »umfassend« im Sinn der DSGVO gewesen. Über den Fall wurde hier schon mehrfach berichtet: Zunächst als Ergebnis einer Recherche, im letzten Tätigkeitsbericht hat die Landesdatenschutzaufsicht den Vorgang auch selbst öffentlich gemacht.

Weiterlesen

Nordisch knapp zu Austritt und Aufgaben – Tätigkeitsbericht BfD Nordkirche 2021

Ist die Situation des Datenschutzes in der Nordkirche im Großen und Ganzen in Ordnung? »Ich konnte das nicht bestätigen, sondern muss auf die Gefahren des oftmals nicht ausreichenden Datenschutzes und IT-Sicherheitsschutzes für die Betroffenen und unsere Kirche hinweisen«, berichtet der Beauftragte für den Datenschutz der Nordkirche in seinem nun vollständig vorliegenden Tätigkeitsbericht für den Zeitraum ab September 2019 von der Aussprache bei der Landessynode.

Titelseite des Berichts des BfD Nordkirche vom November 2021
Mit neun Seiten ist der Bericht des BfD Nordkirche recht kompakt, knapp die Hälfte war auch schon von der Landessynode bekannt.

Ganz so schlimm ist es dann aber mit Blick auf den Bericht nicht. Jedenfalls nicht schlimmer als in anderen Landeskirchen und Bistümern – und von schlimmeren Aufsichtsmaßnahmen als Beanstandungen ist auch nicht die Rede.

Weiterlesen

Katholische Datenschutzkonferenz: Neue Regeln für Social Media und Messenger

Die Konferenz der Diözesandatenschutzbeauftragten hat ihren Beschluss »zur Beurteilung von Messenger- und anderen Social Media-Diensten« erneuert. Der schon bei der Konferenz am 15. September gefällte, aber erst jetzt veröffentlichte Beschluss aktualisiert den alten Stand aus dem Sommer 2018.

Verschiedene Messengerdienste unterschiedlichen Erlaubtheitsgrades auf einem Smartphone-Display
Verschiedene Messengerdienste unterschiedlichen Erlaubtheitsgrades auf einem Smartphone-Display. (Photo by Adem AY on Unsplash)

Einen großen Kurswechsel stellt der Beschluss nicht dar, eher eine folgerichtige Fortschreibung. Weiterhin gibt es – anders als beim BfD EKD – keine Bewertung konkreter Dienste. Einen Ausschluss gibt es aber doch: Die KDSA Ost betont explizit, dass Telegram kein zulässiger Messenger-Dienst für dienstliche Kommunikation sei.

Weiterlesen

BfD EKD Michael Jacob für weitere acht Jahre berufen

Kontinuität beim Beauftragten für den Datenschutz der EKD: Der Rat der EKD hat Michael Jacob für eine zweite Amtszeit von acht Jahren bestätigt, wie der BfD EKD am späten Dienstagabend selbst mitteilte.

Porträtfoto von Michael Jacob
(Bildquelle: BfD EKD/Michael Jacob; bearbeitet)

Jacob war seit Einrichtung seiner Behörde 2014 mit dieser Aufgabe betraut und tritt seine zweite Amtszeit zum 1. Januar 2022 an. Der westfälische Jurist hat in seiner ersten Amtszeit den Übergang vom alten aufs neue, an die DSGVO angelehnte Datenschutzgesetz der EKD begleitet – gerade in der Umbruchszeit 2018 nicht die dankbarste Aufgabe.

Weiterlesen

Nordkirche stimmt für Übertragung der Datenschutzaufsicht an die EKD

Die EKD-Datenschutzaufsicht konsolidiert sich weiter: Die 12. Tagung der Landessynode der Nordkirche hat am Donnerstag in erster Lesung einstimmig ein »Kirchengesetz zur Übertragung der Datenschutzaufsicht« an den BfD EKD beschlossen; die endgültige Verabschiedung bei der zweiten Lesung am Samstag dürfte damit nur noch eine Formalität sein. Die Argumente waren für die Synodalen schlagend: eine schlankere und günstigere Verwaltung, dazu Synergieeffekte, die eine angemessene Beaufsichtigung vor allem der diakonischen Einrichtungen ermöglicht. Redebedarf in der Aussprache gab es nicht.

Blick ins Plenum der Landessynode der Nordkirche, September 2020
Die Landessynode der Nordkirche – hier ein Bild aus dem vergangenen Jahr; dieses Mal musste die Synode wieder in den digitalen Raum weichen. (Bildquelle: Susanne Hübner/Nordkirche)

Dass es solche Bestrebungen gibt, war bekannt – im jüngsten Tätigkeitsbericht des BfD EKD hieß es, dass »weitere Gliedkirchen und diakonische Landesverbände« Interesse haben, die Datenschutzaufsicht »in absehbarer Zeit« auf die EKD zu übertragen. Bisher war das lediglich von der Landeskirche der Pfalz bekannt, wo es ebenfalls im Tätigkeitsbericht angekündigt wurde. Noch im Juni hatte die Pressestelle der Nordkirche auf Anfrage mitgeteilt, es gebe »aktuell […] in der Nordkirche keine konkreten Pläne, die Datenschutzaufsicht auf die EKD zu übertragen« – was nicht der Wahrheit entsprach, wie aus dem Synodenantrag nun hervorging.

Weiterlesen

Neue Argumente für die Unterwerfungserklärung nach DSG-EKD

Auftragsverarbeitung verbindet oft den Anwendungsbereich verschiedener Datenschutzregime: Wenn eine kirchliche Stelle einen nicht-kirchlichen Dienstleister beauftragt, unterliegt der zwar weiterhin der DSGVO, als verantwortliche Stelle muss die kirchliche Einrichtung aber die Durchsetzung des kirchlichen Datenschutzgesetzes sicherstellen. Auftragsverarbeitung im kirchlichen Kontext braucht daher Zusatzvereinbarungen zu den Standard-Auftragsverarbeitungsverträgen.

Eine Hand steckt ein Netzwerkkabel in einem Serverschrank.
Auftragsverarbeitung ist besonders bei der IT alltäglich. (Symbolbild, Photo by ThisisEngineering RAEng on Unsplash)

Als wäre es nicht schon anspruchsvoll genug, Dienstleister (die oft Massendienstleistungen anbieten) von Zusatzvereinbarungen zu überzeugen, verwendet man im Bereich des DSG-EKD auch noch den sehr unsympathischen Begriff »Unterwerfungserklärung«, der nicht unbedingt die besten Assoziationen weckt. Wohl auch deshalb hat der BfD EKD sein Muster einer Unterwerfungserklärung um hilfreiche Erläuterungen ergänzt.

Weiterlesen

Aufsichten vs. Microsoft-Cloud: Viel Dialog, (fast) keine Sanktionen

Viel Beratung und Dialog, kaum Maßnahmen – das ist das Ergebnis einer Umfrage unter den Datenschutzaufsichten der Länder und des Bundes, die ich in den vergangenen zwei Wochen zur Nutzung von Microsoft-Produkten in der Cloud durchgeführt habe. Nur eine einzige Behörde antwortete auf die Frage, ob sie aufgrund eines Einsatzes von Microsoft-Produkten von Abhilfebefugnissen gegenüber Verantwortlichen gemäß Art. 58 Abs. 2 DSGVO Gebrauch gemacht habe, mit einem klaren Ja – die Berliner Beauftragte für Datenschutz und Informationsfreiheit.

Eine Nahaufnahme einer Windows-Taste auf einer schwarzen Tastatur
scheinen Alternativen zu Microsoft-Produkten scheinen oft unvorstellbar – wenn schon die Hardware mit Microsoft-Branding kommt. (Symbolbild, Photo by Tadas Sar on Unsplash

Das Handeln staatlicher Aufsichten ist auch für den kirchlichen Datenschutzaufsichten unterworfene Verantwortliche interessant: Die kirchlichen Aufsichten bemühen sich um einen großen Einklang mit den staatlichen, in kirchlichen Stellen dominiert Microsoft den Bürosoftware-Markt genauso wie in weltlichen. Wo die staatlichen nicht hart durchgreifen, ist auch kein kirchlicher Durchmarsch zu erwarten.

(Die gesammelten und systematisierten Rückmeldungen in Rohform gibt es auch zum Download.)

Weiterlesen

EKD-Aufsichten zu Schrems II – Weniger ausnahmsweise als Art. 49 DSGVO

Die Konferenz der Beauftragten für den Datenschutz in der EKD  hat eine Gemeinsame Stellungnahme zur Datenübermittlung in die USA veröffentlicht. Dass eine gemeinsame Stellungnahme in Arbeit ist, wurde bereits vor zwei Wochen durch die verspätete Veröffentlichung einer Position des Datenschutzbeauftragten für Kirche und Diakonie bekannt und löst den selbst gegebenen Abstimmungsauftrag aus der Stellungnahme aus dem Juli des vergangenen Jahres ein..

Ein Verriegelungsknopf an einem Oldtimer, im Hintergrund eine US-Flagge.
Symbolbilder für Drittlanddatenübertragungen sind ohnehin alle Unsinn, warum also nicht das, das immerhin einen Knopf an einem Auto zeigt? (Photo by Nick Fewings on Unsplash)

Inhaltlich ist die nun für den gesamten landeskirchlichen Bereich abgestimmte Stellungnahme fast keine Überraschung: Im wesentlichen wird das in § 10 Abs. 2 DSG-EKD festgelegte Verfahren zur Drittlandsdatenübermittlung ohne Angemessenheitsbeschluss und Standarddatenschutzklauseln vorgestellt, dazu kommt eine detaillierte Geschichte der Datenübermittlung in die USA, eine Erörterung des Marktortprinzips der DSGVO und ein Überblick über die durch den CLOUD-Act erzeugten Probleme – die eine kleine Überraschung: Die Antwort auf die Frage, ob das DSG-EKD wie Art. 49 DSGVO nur ausnahmsweise Datenübertragungen in Drittländer ohne Angemessenheitsbeschluss normiert.

Weiterlesen

Wanderaufsicht ohne Buße – Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten 2020/2021

Der bayerische Diözesandatenschutzbeauftragte hat die aktuelle Tätigkeitsberichtsrunde abgeschlossen – mit seinem auf den 1. Oktober datierten und spät am Montag veröffentlichten Bericht für den Zeitraum vom 1. Oktober 2020 bis zum 30. September 2021 liegen nun alle katholischen Berichte vor.

Titelseite des Tätigkeitsberichts des bayerischen Diözesandatenschutzbeauftragten.
Schlicht wie immer: Der Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten für 2020/2021

Wie immer schmucklos, ist er mit 14 Seiten dieses Mal so lang wie noch nie in Bayern. Drama wie im letzten Jahr der Hilferuf wegen der mangelnden Ausstattung der Aufsicht gibt es höchstens zwischen den Zeilen – und der DDSB Jupp Joachimski zeigt wieder einmal, dass er unter seinen Kolleg*innen der mit der stärksten juristischen Durchdringung der komplizierten Verwaltungsmaterien ist.

Weiterlesen