Archiv der Kategorie: Praxis

Welches Recht für ökumenische Einrichtungen?

Schreiben Sie eine Antwort

Solide konfessionelle Milieus haben Vorteile: Wo’s die gibt, braucht man sich nicht um Rechtsfragen der Ökumene zu kümmern Monokonfessionelle Milieus gibt’s aber immer weniger, das Bewusstsein und der Bedarf für die Zusammenarbeit aller Christ*innen immer mehr, und dementsprechend auch immer mehr ökumenische institutionelle Kooperationen: Besonders im sozialen Bereich gibt es viele Einrichtungen in ökumenischer Trägerschaft: Dem Selbstverständnis nach christlich, aber eben nicht nur einer Gemeinschaft zugehörig. Das wirft rechtliche Fragen auf, auch für den Datenschutz: Gilt kirchliches Recht – und wenn ja welches?

Schild mit der Aufschrift »COMPASS Diakonie Caritas Haus«
Auch wenn Diakonie und Caritas draufstehen: Ob es ein katholisches, ein evangelisches oder ein ökumenisches Haus im Rechtssinn ist, erkennt man daran noch nicht. (Caritas/Roland Knillmann)

Im Bereich des Datenschutzes sind die konfessionellen Gesetze wenig hilfreich; dort kommen solche Konstruktionen schlicht nicht vor. Die jeweiligen Festlegungen zum organisatorischen Anwendungsbereich gehen von Stellen aus, die zu genau einer Kirche gehören. Was zu gelten hat, wenn eine Institution evangelisch und katholisch getragen wird, und das womöglich noch zu gleichen Gesellschaftsanteilen, ist ungeklärt. Mit Blick auf das kirchliche Arbeitsrecht hat sich der ehemalige Präsident des Kirchen- und des Verfassungsgerichtshofs der EKD Harald Schliemann in der aktuellen Ausgabe der ZMV (4/2021, S. 182–185) mit der Frage ökumenischer Trägerschaft befasst – ein Aufsatz, der zwar nicht vom Datenschutzrecht handelt, aber doch auch dafür erhellend ist.

Weiterlesen

Gemeinsame Verantwortlichkeit, verschiedene Datenschutzgesetze?

Schreiben Sie eine Antwort

Gemeinsame Verantwortlichkeit ist kompliziert genug – wenn mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden, braucht es gute Absprachen und eine transparente Vereinbarung darüber, wer welche Pflichten übernimmt. Wenn kirchliche Datenschutzgesetze gelten, wird es noch komplizierter: Wie mit Unterschieden in den einzelnen Gesetzen umzugehen ist und welche Aufsicht wann zuständig ist, ist nicht in den einzelnen Gesetzen geregelt, weder von Aufsichtsbehörden noch von Gerichten sind Einschätzungen und Entscheidungen dazu bekannt – und die sehr übersichtliche Kommentarliteratur hält sich bedeckt.

Fünf Fäuste für eine gemeinsame Verantwortlichkeit (Symbolbild, Photo by Antonio Janeski on Unsplash)

Eine Expertin für den kirchlichen Datenschutz und seine Umsetzung ist die Juristin Beate Brucker. Die Beraterin ist betriebliche Datenschutzbeauftragte für verschiedene kirchliche Einrichtungen erläutert im Interview, wie man mit gemeinsamer Verantwortlichkeit bei unterschiedlichen Datenschutzgesetzen umgeht.

Weiterlesen

Personenbezogene Daten mit dem Fax übertragen – so geht’s (nicht)

Schreiben Sie eine Antwort

Im Alltag, und gerade beim Versand von Unterlagen, muss es oft schnell gehen. Hier kommt es immer noch häufig vor, dass das Fax als Übertragungsmedium genutzt wird. Jedoch ist dem Versender nicht bewusst, wo das Faxgerät vom Empfänger steht oder wer Zugriff auf das Gerät hat – das ist auch ein datenschutzrechtliches Risiko.

Schematische Darstellung eines unverschlüsselten (oben) und eines verschlüsselten (unten) Faxtransfers. Quelle: Tätigkeitsbericht 2020 KDSA Ost.
Schematische Darstellung eines unverschlüsselten (oben) und eines verschlüsselten (unten) Faxtransfers. Quelle: Tätigkeitsbericht 2020 KDSA Ost.

Wie man mit diesen Risiken umgeht, erläutert Marco Eck, Berater Datenschutz bei der Curacon GmbH Wirtschaftsprüfungsgesellschaft, in seinem Beitrag.

Weiterlesen

Fotos vom Ferienlager – so klappt’s mit dem Datenschutz

1 Antwort

Jetzt ist wieder die Zeit der Zeltlager und Ferienfreizeiten – und damit wird eine Klassikerfrage des Datenschutzes wieder sehr aktuell: Was ist eigentlich erlaubt bei Fotos, auf denen Kinder und Jugendliche zu sehen sind? Unter welchen Bedingungen darf was fotografiert werden, und wo und wie dürfen diese Bilder dann veröffentlicht werden?

Ein Pfadfinder trägt einen Seesack in Richtung einer Gruppe von Menschen vor einem Zelt. Er ist von hinten zu sehen, die Gruppe dank fehlender Tiefenschärfe nicht identifizierbar.
Datenschutzrechtlich relevant sind nur Fotos, auf denen »identifizierte oder identifizierbare« Personen abgebildet sind – auch wenn Gesichter Bilder besonders lebendig wirken lassen – dieses Bild von einem Pfadfinder*innen-Lager zeigt, dass es auch ohne Gesicht möglich ist, ansprechende und atmosphärische Bilder aufzunehmen. (Photo by Mael BALLAND on Unsplash)

Immer noch ist es oft Standard, einfach ein Ankreuzfeld auf eine Anmeldung zu packen, mit dem die Eltern in alles einwilligen, was mit Fotos zu tun hat, und dann zu glauben, dass damit auch der Datenschutz abgehakt ist. Tatsächlich braucht es etwas mehr – vor allem ein Verständnis dafür, dass das Thema kein Selbstzweck ist und im besten Fall sogar eine medienpädagogische Chance darstellt. Daher liefert dieser Artikel auch keine fertigen Formulare – sondern Grundlagen für das Lagerteam für eine Beschäftigung mit dem Thema Datenschutz bei Fotos: Datenschutz als Haltung aus Verantwortung vor den anvertrauten Kindern und Jugendlichen – nicht als bürokratische Übung.

(Der Artikel aktualisiert meinen 2018 im BDKJ-Blog »Digitale Lebenswelten« veröffentlichten Beitrag.)

Weiterlesen

Datenverarbeitung auf der Webseite – Ein Spiegel des Datenschutzmanagements

Schreiben Sie eine Antwort

Die Webseite einer Organisation, insbesondere im Gesundheits- und Sozialwesen, wo häufig die besonderen Vorschriften der kirchlichen Datenschutzgesetze gelten, ist oftmals die erste Anlaufstelle für Personen, die Informationen zu den durch die Organisation erbrachten Leistungen suchen. Häufig handelt es sich hier um besonders sensible Leistungsbereiche wie Schwangeren-, Sucht- und Erziehungsberatung oder sogar Online-Beratungsangebote. In der Praxis zeigt sich zudem, dass viele Verantwortliche gar nicht vollständig wissen, welche Dienste auf der Webseite integriert wurden, da jeder Bereich hier seine eigenen Präferenzen hat und am Ende ein wildes Durcheinander der Datenverarbeitung herrscht.

Ein Laptop spiegelt sich in einem runden Spiegel.
Photo by Shashi Chaturvedula on Unsplash

Ein Beitrag von David Große Dütting, Senior-Berater Datenschutz bei der Curacon GmbH Wirtschaftsprüfungsgesellschaft. Sein Beitrag zur datenschutzkonformen Gestaltung von Webseiten basiert auf seinem Vortrag bei der Tagung »Drei Jahre Gesetz über den kirchlichen Datenschutz« der nordrhein-westfälischen Caritasverbände und der Curacon.

Weiterlesen

Der UK-Angemessenheitsbeschluss und die kirchlichen Datenschutzgesetze

Schreiben Sie eine Antwort

Da hat die EU-Kommission fast eine Punktlandung hingelegt: Vor dem Auslaufen der Brexit-Übergangsregelung zum Datentransfer ins Vereinigte Königreich kam am Montag der Angemessenheitsbeschluss – das UK ist jetzt ein sicheres Drittland.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)

Damit ist auch eine unschöne Hängepartie vermieden, die sich die kirchlichen Gesetzgeber teilweise selbst eingebrockt haben. (Spoiler: Wie immer, wenn’s um Drittländer geht, sind es die Katholik*innen, die sich ein Bein gestellt haben.)

Weiterlesen

Tagungsbericht »Drei Jahre Gesetz über den Kirchlichen Datenschutz«

Schreiben Sie eine Antwort

Im vierten Jahr seiner Geltung geht es beim KDG und seiner Umsetzung in die Details – das zeigte die von Curacon und den nordrhein-westfälischen Caritasverbänden organisierte Tagung zum dritten Geburtstag des Gesetzes über den kirchlichen Datenschutz am vergangenen Freitag.

Folie mit dem Veranstaltungstitel auf einem Laptop

Schwerpunkt waren alltägliche, aber komplizierte Themen: Der Umgang mit Auskunftsersuchen, Auftragsverarbeitung, Schadensersatzansprüche, Datenschutzfolgenabschätzungen und Compliance. Zwei Produkt-Vorstellungen – ein KDG-Compliance-Tool der GDD und ein Datenschutzfolgenabschätzungstool der Curacon – standen zudem auf der Tagesordnung. Den Blick aus den Niederungen der Praxis weitete zum Abschluss ein Vortrag des Vorsitzenden Richters am Interdiözesanen Datenschutzgericht, Bernhard Fessler.

Weiterlesen

Schrems-II-Workaround auch mit kirchlichem Datenschutzrecht?

Schreiben Sie eine Antwort

Nach wie vor machen Datenübertragungen in die USA nach dem Kippen des Privacy Shields Probleme. Eine wirkliche Lösung gibt es dafür noch nicht, und wenn überhaupt, schärfen die Datenschutzaufsichten ihren Umgang damit gerade an – zuletzt hatte der rheinland-pfälzische Datenschutzbeauftragte unter dem Label »Informationsoffensive« mit dem Zaunpfahl gewunken.

Der Europäische Datenschutzausschuss interpretiert die in Art. 49 DSGVO festgelegten »Ausnahmen für bestimmte Fälle« recht eng (allerdings nicht klar sauber belegt). Nun wird nach dem »Europäischen Datenschutztag« am 28. Januar diskutiert, ob es vielleicht doch weniger eng geht: Dort hatte der EuGH-Richter Thomas von Danwitz, der außerdem Berichterstatter bei Schrems II war, geäußert, dass die Ausnahmen aus Art. 49 noch nicht genug »ausgelotet« seien und auch weniger restriktiv ausgelegt werden könnten.

Ein Mann mit einer US-Flagge als Umhang wird von einer laufenden Frau mit US-Flagge verfolgt. Am Horizont erkennt man keinen Nachfolger für Privacy Shield.
So oder so ähnlich funktioniert Datenübertragung in die USA. (Bildquelle: Photo by frank mckenna on Unsplash)

Diese Äußerung hat eine juristische Debatte ausgelöst. Stephan Hansen-Oest schlüsselt Schritt für Schritt in seinem Blog auf, worum es geht und wie sich eine weniger restriktive Auslegung und damit eine vereinfachte Datenübertragung in die USA rechtfertigen lässt. Für Anwender*innen der kirchlichen Datenschutzgesetze stellt sich damit natürlich die Frage: Können wir das auch?

Weiterlesen

Der Datenschutz hat das Faxen dicke

Schreiben Sie eine Antwort

Für viel Spott hat diese Woche eine Orientierungshilfe der bremischen Datenschutzaufsicht gesorgt: »Telefax ist nicht Datenschutz konform« heißt es dort. Die Behörde kommt zu dem Schluss, dass Faxe deshalb unsicher sind, weil sie nicht mehr über exklusive Telefonleitungen von Gerät zu Gerät geschickt werden und oft in E-Mails umgewandelt werden – damit seien sie mit E-Mails gleichgestellt.

Zeichnung eines Amstutz Electro-Artograph.
So ähnlich sieht der Arbeitsalltag in vielen Praxen und Kanzleien heute noch aus. (Amstutz Electro-Artograph, Scientific American vom 6. April 1895)

Insbesondere sei die Übertragung besonderer Kategorien personenbezogener Daten unzulässig – eine Rechtsauffassung, die in Medizin und Justiz viele in die Verzweiflung treiben dürfte. Die Ansicht der Aufsicht ist aber keineswegs herrschende Meinung – und insbesondere im kirchlichen Datenschutzrecht gibt es explizite Regelungen für Menschen, die das Faxen nicht lassen können.

Weiterlesen

Teilnehmerlisten bei Veranstaltungen – geht das noch?

Schreiben Sie eine Antwort

Eine Frage darf bei keinem Datenschutz-Seminar mit Bildungsträgern fehlen: Wie ist das eigentlich mit Teilnehmer*innen-Listen – dürfen die noch geführt und verteilt werden? Solche Listen sind praktisch – vor der Veranstaltung, um Fahrgemeinschaften zu organisieren, währenddessen, um sich die Namen zu merken, und hinterher, um in Kontakt zu bleiben. Leider sieht man es vielen personenbezogenen Daten nicht an, wie schutzbedürftig sie sind.

Photo by Romain Dancre on Unsplash

Einen besonders drastischen Fall hat die Diözesandatenschutzbeauftragte für die Südwest-Bistümer in ihrem letzten Bericht geschildert, bei dem gut gemeinter Datenaustausch ziemlich problematisch wurde. Dabei wäre es eigentlich recht einfach und unbürokratisch möglich, die Vorteile einer Teilnehmer*innen-Liste mit einem angemessenen Datenschutzniveau zu verbinden.

Weiterlesen