Archiv der Kategorie: Praxis

Wenige Pannen, viele Reisen: Bericht des Freiburger Datenschutzreferats

Im Erzbistum Freiburg gibt es eine einmalige Besonderheit: Das Referat Datenschutz im Erzbischöflichen Ordinariat veröffentlicht einen Jahresbericht und damit quasi die Gegenblende aus Sicht der Datenschutzbeauftragten zum Bericht der zuständigen Aufsicht.

Titelseite des Berichts für 2021 des Referats Datenschutz des Erzbischöflichen Ordinariats Freiburg
Mit 22 Seiten ist der Bericht kompakt und übersichtlich.

Jetzt wurde der Bericht für 2021 veröffentlicht. Das Referat ist nicht nur für das Ordinariat zuständig, sondern stellt mit seinen fünf Vollzeitkräften zugleich die betrieblichen Datenschutzbeauftragten für weitere Einrichtungen und insbesondere die Seelsorgeeinheiten der Erzdiözese.

Weiterlesen

KDSA Ost hat erhebliche Bedenken gegen Luca in Brandenburg

Der Diözesandatenschutzbeauftragte für die ostdeutschen Bistümer ist kein Freund der Luca-App zur Kontaktverfolgung – das hat er schon im vergangenen April ungewöhnlich deutlich gemacht: »datenschutzrechtlich zweifelhaft und demnächst überflüssig«, war sein Urteil. Jetzt setzt er noch einen drauf – zumindest für kirchliche Stellen im Land Brandenburg: »Kirchliche Datenschutzaufsicht empfiehlt alle[n] kirchlichen Dienststellen im Land Brandenburg, für die Kontaktnachverfolgung ausschließlich die Corona Warn-App (CWA) zu nutzen!«, heißt es in der aktuellen Pressemeldung.

Die Corona-Warn-App läuft auf einem Handy
(Bildquelle: Photo by Mika Baumeister on Unsplash)

Die Einschätzung »demnächst überflüssig« war im April nur etwas zu optimistisch, aber immerhin haben die meisten Bundesländer mittlerweile dann doch Abstand von Luca genommen – aber Brandenburg setzt immer noch darauf. Und nicht nur für Kontaktverfolgung in der Corona-Bekämpfung soll Luca genutzt werden – die brandenburgische Justizministerin hat noch ganz andere Begehrlichkeiten: Eine Verwendung zur Strafverfolgung. (Unter anderem netzpolitik.org hat die Details.)

Weiterlesen

Kommunikation nach Kirchenaustritt – so geht’s datenschutzkonform

Der Rottenburg-Stuttgarter Bischof Gebhard Fürst würde aus der Kirche Ausgetretene gerne wie früher zu Gesprächen einladen. »Ob ich das noch einmal machen kann, weiß ich nicht. Dem steht heute der Datenschutz entgegen«, sagte er im Interview mit der Südwest-Presse, das auch hier schon Thema war.

Briefumschlag auf Notizbüchern
Photo by pure julia on Unsplash

Wie immer beim Argument »geht nicht wegen Datenschutz« lohnt sich ein zweiter Blick: Geht das wirklich nicht? Und wie könnte man Prozesse so gestalten, dass das eigene Kommunikationsinteresse mit der Wahrung des Grundrechts auf Datenschutz bei den Betroffenen in Einklang zu bringen ist?

Weiterlesen

JIM-Studie 2021: Jugendliche fühlen sich auf Plattformen sicher

Der Medienpädagogische Forschungsverbund Südwest hat am Dienstag die neue JIM-Studie 2021 veröffentlicht. »JIM« steht für Jugend, Information, Medien. Die Studie ist eine der wichtigsten Jugendstudien in Deutschland und erhebt die Mediennutzung von Jugendlichen von 12–19 Jahren quantitativ.

Das Cover der aktuellen JIM-Studie zeigt ein Netzwerk aus Mediensymbolen: Controller einer Konsole, Kopfhörer, Kamera, Lupe.
Titelseite der aktuellen JIM-Studie (Bildquelle: Medienpädagogischer Forschungsverbund Südwest (mpfs)

Erstmals seit 2015 werden wieder Einstellungen zu Datenschutz dargestellt: »Im Rahmen der JIM-Studie 2021 wurde den Jugendlichen daher die Frage gestellt, wie sicher sie sich auf den unterschiedlichen Plattformen in Bezug auf den Schutz ihrer Daten fühlen«, heißt es. Die Ergebnisse sind überraschend – und zeigen vor allem noch mehr Forschungsbedarf auf.

Weiterlesen

Drei Tipps für datensparsame Formulare

»Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein«, steht so oder ähnlich in der DSGVO und den kirchlichen Datenschutzgesetzen – Datenminimierung ist ein Grundsatz für die Verarbeitung personenbezogener Daten, der theoretisch sehr einleuchtend ist. In der Praxis erhebt man aber gerne viel mehr Daten, als man eigentlich braucht – sei’s, weil man sie irgendwann brauchen könnte, sei’s weil man’s schon immer so gemacht hat und das Formular zur Datenerhebung nunmal die Felder hat, die es hat.

Ein Steuerformular, das noch nicht ausgefüllt ist – und das wird dauern, weil lang und schmerzhaft. Der Stift liegt schon bereit.
Sicher kein Best-practice-Beispiel für ein gutes Formular. Aber immerhin wahrscheinlich mit ordentlicher Rechtsgrundlage für jedes auszufüllende Feld. (Symbolbild, Photo by Leon Dewiwje on Unsplash)

Zu einem guten Datenschutzmanagement gehört daher, einen Blick darauf zu werfen, welche Daten man erhebt – und ob es die wirklich braucht. Mit einer klugen Gestaltung von Formularen lässt sich viel erreichen – das gilt sowohl für Web-Formulare wie für Formulare, die am Bildschirm oder auf Papier ausgefüllt und ausgedruckt oder digital verschickt werden.

Weiterlesen

Neue Argumente für die Unterwerfungserklärung nach DSG-EKD

Auftragsverarbeitung verbindet oft den Anwendungsbereich verschiedener Datenschutzregime: Wenn eine kirchliche Stelle einen nicht-kirchlichen Dienstleister beauftragt, unterliegt der zwar weiterhin der DSGVO, als verantwortliche Stelle muss die kirchliche Einrichtung aber die Durchsetzung des kirchlichen Datenschutzgesetzes sicherstellen. Auftragsverarbeitung im kirchlichen Kontext braucht daher Zusatzvereinbarungen zu den Standard-Auftragsverarbeitungsverträgen.

Eine Hand steckt ein Netzwerkkabel in einem Serverschrank.
Auftragsverarbeitung ist besonders bei der IT alltäglich. (Symbolbild, Photo by ThisisEngineering RAEng on Unsplash)

Als wäre es nicht schon anspruchsvoll genug, Dienstleister (die oft Massendienstleistungen anbieten) von Zusatzvereinbarungen zu überzeugen, verwendet man im Bereich des DSG-EKD auch noch den sehr unsympathischen Begriff »Unterwerfungserklärung«, der nicht unbedingt die besten Assoziationen weckt. Wohl auch deshalb hat der BfD EKD sein Muster einer Unterwerfungserklärung um hilfreiche Erläuterungen ergänzt.

Weiterlesen

Aufsichten vs. Microsoft-Cloud: Viel Dialog, (fast) keine Sanktionen

Viel Beratung und Dialog, kaum Maßnahmen – das ist das Ergebnis einer Umfrage unter den Datenschutzaufsichten der Länder und des Bundes, die ich in den vergangenen zwei Wochen zur Nutzung von Microsoft-Produkten in der Cloud durchgeführt habe. Nur eine einzige Behörde antwortete auf die Frage, ob sie aufgrund eines Einsatzes von Microsoft-Produkten von Abhilfebefugnissen gegenüber Verantwortlichen gemäß Art. 58 Abs. 2 DSGVO Gebrauch gemacht habe, mit einem klaren Ja – die Berliner Beauftragte für Datenschutz und Informationsfreiheit.

Eine Nahaufnahme einer Windows-Taste auf einer schwarzen Tastatur
scheinen Alternativen zu Microsoft-Produkten scheinen oft unvorstellbar – wenn schon die Hardware mit Microsoft-Branding kommt. (Symbolbild, Photo by Tadas Sar on Unsplash

Das Handeln staatlicher Aufsichten ist auch für den kirchlichen Datenschutzaufsichten unterworfene Verantwortliche interessant: Die kirchlichen Aufsichten bemühen sich um einen großen Einklang mit den staatlichen, in kirchlichen Stellen dominiert Microsoft den Bürosoftware-Markt genauso wie in weltlichen. Wo die staatlichen nicht hart durchgreifen, ist auch kein kirchlicher Durchmarsch zu erwarten.

(Die gesammelten und systematisierten Rückmeldungen in Rohform gibt es auch zum Download.)

Weiterlesen

Kein Stream beim Synodalen Weg – Einwilligungen sind schuld

Grundsätzlich hat die zweite Synodalversammlung des Synodalen Wegs am vergangenen Wochenende transparent gearbeitet, mit guter Öffentlichkeitsarbeit und umfassender Veröffentlichung von Ergebnissen. Beim Livestream kam es aber gelegentlich zu Aussetzern aus »rechtlichen Gründen«. Nicht nur die Öffentlichkeit, sondern – das wurde aber schnell korrigiert – auch die (möglicherweise aus zwingenden medizinischen Gründen) remote teilnehmenden Synodalen wurden teilweise von der Beratung ausgeschlossen.

Screenshot aus dem Livestream der zweiten Synodalversammlung: »Gleich geht es weiter. Aus rechtlichen Gründen können Ton und Bild nicht übertragen werden«
So sah es im Livestream aus, wenn nichts zu sehen war. (Screenshot aus dem Livestream der zweiten Synodalversammlung)

Die rechtlichen Gründe liegen darin, wie der Livestream datenschutzrechtlich gestaltet wurde: nämlich mit Einwilligungen der einzelnen Teilnehmenden. Das ist auch hier die scheinbar einfachste, tatsächlich aber schlechteste Rechtsgrundlage, die genau zu solchen Problemen führt. Dabei wäre es eigentlich so einfach, hier eine datenschutzrechtlich saubere Lösung zu wählen, die Teilhabe ermöglicht, auch wenn kein Medienprivileg greift.

Weiterlesen

Sicherer Freiraum für Kinder – Datenschutz bei der KjG Rheinbach

In vielen kleinen Vereinen gilt Datenschutz vor allem als eins: lästig. Anders in der Katholischen jungen Gemeinde Rheinbachden Leiter*innen des Jugendverbandes ist es wichtig, für Kinder und Jugendliche einen sicheren Ort zu schaffen. Dazu gehört auch, die Privatsphäre zu achten und informationelle Selbstbestimmung zu wahren. Datenschutz wird dort deshalb nicht nur als Pflichtaufgabe angesehen, sondern aktiv gestaltet. Im Interview erzählt Berni Escamilla, Mitglied der Pfarrleitung und des Datenschutz-Komitees, wie es dazu kam und was andere Vereine von der KjG Rheinbach lernen können.

Eine Kindergruppe bei einer Ferienfreizeit. Keine Gesichter sind erkennbar.
Auch wenn keine Gesichter erkennbar sind: Der Blick des Kindes in der Mitte und der geschickte Aufbau in mehreren Bildebenen zieht in das Bild hinein und macht das Motiv lebendig. (Bildquelle: KjG Rheinbach)

Frage: Ihr beschäftigt euch seit einigen Jahren sehr viel damit, wie ihr eure Jugendarbeit datenschutzkonform gestalten könnt. Warum hat das für euch einen so großen Stellenwert?

Bernardo Escamilla: Zum einen, weil wir einfach auf der richtigen Seite des Gesetzes stehen wollen, aber auch, weil wir umfassend auf unsere Mitglieder und besonders die Kinder achtgeben wollen. Wir sehen unseren Auftrag nicht nur darin, den Kindern einen Freiraum zu geben, in dem sie sich entfalten und entwickeln können, wir wollen diesen Freiraum auch so gestalten, dass er so gut es geht ein sicherer Raum für Kinder ist. Alle unsere Leiter nehmen an den Schulungen des BDKJ zur Prävention sexualisierter Gewalt teil, und genauso halten wir es für sinnvoll, beim Datenschutz auf diese Aspekte zu achten.

Weiterlesen

EKD-Datenschutzbeauftragter veröffentlicht FAQ zu gemeinsamer Verantwortlichkeit

Erstmals äußert sich eine kirchliche Aufsicht ausführlicher zur gemeinsamen Verantwortlichkeit. Der Beauftragte für den Datenschutz der EKD hat am Donnerstag eine FAQ-Liste zu gemeinsam verantwortlichen Stellen veröffentlicht. Die Liste erläutert allgemein, wie gemeinsame Verantwortlichkeit umgesetzt wird. Die eigentlich spannende und bisher ungeklärte Frage, die nach der Zusammenarbeit von Stellen, die unterschiedlichen Datenschutzgesetzen unterliegen, wird immerhin angesprochen.

Neonröhren in Form von sich schüttelnden Händen
(Photo by Charles Deluvio on Unsplash)

Im Blick sind dabei Konstellationen, in denen kirchliche und nichtkirchliche Stellen gemeinsam verantwortlich sind – gemeint sind damit der Diktion des DSG-EKD folgend »kirchliche Stellen« als »dem DSG-EKD unterfallende«, also auch Kooperationen zwischen Stellen, die unterschiedlichen Kirchenrechtsregimen unterliegen. Einige Fragen bleiben trotzdem offen.

Weiterlesen