Pragmatismusschub dank Corona bei der KDSA Ost – Tätigkeitsbericht 2020

Von der Katholischen Datenschutzaufsicht Ost kommt traditionell der schnellste und der politischste der Tätigkeitsberichte der Diözesandatenschutzbeauftragten – so auch dieses Jahr. Programmatisch stellt Matthias Ullrich seinem diesjährigen Bericht ein Zitat der Schriftstellerin und brandenburgischen Verfassungsrichterin Juli Zehn voran: »Ein observierter Mensch ist nicht frei.«

Cover des Tätigkeitsberichts der KDSA Ost 2019
Symbolbild Tätigkeitsbericht der KDSA Ost

Im letzten Jahr habe ich den politischen Teil deutlich kritisiert, als Öffentlichkeitsarbeit mit Fotos in den Kontext sexualisierter Gewalt gestellt wurden. Dieses Jahr kommt so etwas nicht vor – der Bericht spart trotzdem nicht mit klaren politischen Ansagen. Und viele praxisrelevante Tipps und Checklisten sind auch dabei.

Weiterlesen

Seelsorge, Beschaffung und Exchange-Apokalypse – Wochenrückblick KW 10/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

»Digitale Seelsorge: Sicher und nah? Geht das überhaupt?«, fragt Ralf Peter Reimann auf Theonet. Mit vielen Beispielen aus der teilweise schon jahrzehntelang bestehenden Praxis zeigt er in seinem lesenswerten Grundsatzartikel zu digitaler Seelsorge ein Dilemma der Seelsorge auf, die digital bei den Menschen ist: Da wo die Leute sind, sind in der Regel nicht die für Seelsorge notwendige sichere Rahmenbedingungen vorhanden, und die Leute in kirchliche sichere Plattformen zu bekommen, ist schwer genug, und dann gibt es noch mehr Hürden: »sie erfüllen die vom EKD-Datenschutzgesetz und -Seelsorgegeheimnisgesetz geforderten Voraussetzungen, aber ihnen fehlt die Reichweite, Interessierte müssen sie gezielt suchen. Oft entspricht auch die User Experience und die Benutzeroberfläche nicht den sonst im Web gewohnten Standards, so dass deren Nutzung auf mobilen Endgeräten z.B. bei chatseelsorge.de schwierig ist«, so Reimann.

Das Dilemma aus Nutzungsfreundlichkeit, ethischen Prinzipien und Zugänglichkeit war auch Thema bei der Tagung »Kirche im Web«, wo Markus Beckedahl die Keynote gehalten hat. Sein Plädoyer für Kirchen: Nicht notwendig aus allen großen Netzwerken raushalten – aber eben auch zusätzlich die sicheren und dezentralen Kanäle ausprobieren. Und: Die Kirche hat eine große Marktmacht – die könnte sie in open-source-freundlichen Beschaffungsrichtlinien zur Gestaltung der freien Infrastruktur nutzen. Mehr dazu schreibt Benedikt Heider auf katholisch.de. Im Barcamp gab es auch eine sehr interessante Session zu Open-Source-Projekten in der Kirche wie das von mehreren Bistümern gemeinsam betriebene Communicare – das ist dort durchaus Thema. Die großen Probleme: mangelnde Akzeptanz, ungewohnte Oberflächen, Bequemlichkeit in der Beschaffung – und schwierige Kooperationen in den Bistümern.

Die Deutsche Bischofskonferenz hat eine Rechtssammlung zum kirchlichen Datenschutzrecht veröffentlicht (digital und als Broschüre). Kompakt stellt es die bundeseinheitlichen Gesetze zusammen (aber nur die katholischen, die ökumenische Rechtssammlung von Golland lohnt sich immer noch). Aus dem Vorwort und der Einleitung erfährt man auch, dass die Evaluierung des KDG nicht sofort Früchte tragen wird, wenn die dreijährige Frist ab Inkrafttreten im Mai erreicht wird: »Vor diesem Hintergrund ist mit einer Gesetzesänderung innerhalb der nächsten drei Jahre zu rechnen.«

Ansonsten war die große Exchange-Apokalypse Thema – auch bei den kirchlichen Aufsichten. Sowohl die Dortmunder wie die EKD-Aufsicht weisen auf’s BSI dazu hin, beide bitten, nicht voreilig Pannen zu melden: »Von einer – vorsorglichen – Meldung einer Datenschutzverletzung nach § 32 DSG-EKD/§ 33 KDG bitten wir solange abzusehen, bis eine tatsächliche Verletzung festgestellt wurde.«

Weiterlesen

Luca-App für kirchliche Veranstaltungen?

Das ist doch mal erfreulich: Die Hype-App du jour hat sich Datenschutz auf die Fahnen geschrieben. Die Kontaktverfolgungs-App »luca« für private Treffen, öffentliche Veranstaltungen und Gastronomie hat viel Lob bekommen: Endlich weg von der Zettelwirtschaft und hin zu einer einfachen, datenschutzkonformen Rückverfolgbarkeit! Erstaunlich viele Testimonials hat die App, Mecklenburg-Vorpommern hat sie lizenziert – und auch kirchliche Veranstalter*innen – von Bildungshäusern bis zum Kirchenkaffee – könnten davon profitieren.

Check-in per QR-Code
(Bildquelle: Photo by Albert Hu on Unsplash)

Erste Interessent*innen gibt es bereits: Am Montag kündigte die Katholische Akademie des Bistums Dresden-Meißen die Nutzung von neuen Kontaktnachverfolgungsapps, darunter »luca«, an: »Wir sind davon überzeugt, dass wir mit dem System für die verschlüsselte, anonymisierte und datenschutzkonforme Kontaktdatenregistrierung und eine schnelle und lückenlose Nachverfolgung von Infektionsketten einen sinnvollen Beitrag leisten, unsere Besucher und Referent*innen vor Infektionen zu schützen«, so Akademie-Direktor Thomas Arnold.

Aber sind diese und andere Apps überhaupt im kirchlichen Kontext problemlos verwendbar? Während die technischen Anforderungen der kirchlichen Datenschutzgesetze sich nicht von den Anforderungen der DSGVO unterscheiden, gibt es doch Besonderheiten: Nach evangelischem Datenschutzrecht ist Auftragsverarbeitung durch nichtkirchliche Stellen generell anspruchsvoll, nach katholischem bereiten Drittlandsübertragungen Schwierigkeiten.

Weiterlesen

One more thing – Bericht der Ordensdatenschutzaufsicht 2020

Jupp Joachimski ist der Steve Jobs unter den kirchlichen Datenschutzaufsichten. In seinen Berichten zieht er nach dem Pflichtteil immer noch gerne »one more thing« hervor. In seiner Funktion als Ordensdatenschutzbeauftragter ist das im jetzt erschienenen Bericht für 2020 diese Ankündigung: »In Kürze wird sogar ein von einem deutschen kirchlichen Rechenzentrum entwickeltes Konferenzprogramm auf den Markt kommen.«

Eingang des Konvents Santa Catalina, Arequipa, Perú. Über dem Portal steht »Silencio«
Silencio flickr photo by morrissey shared under a Creative Commons (BY) license

Ansonsten wird nichts angeteasert, spannende Vorfälle gibt es anscheinend nicht – im Gegenteil: Auch die drei Ordensdatenschutzbeauftragten haben sich während der Corona-Krise in Zurückhaltung geübt, geht aus dem am Dienstag veröffentlichten Bericht für den Zeitraum vom 1. Februar 2020 bis zum 31. Januar 2021 hervor.

Weiterlesen

Gesetze, Bargeld, E-Zelebret – Wochenrückblick KW 9/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Was für eine volle Woche – gleich mehrere Bistümer haben ihre Seelsorge-Patientendatenschutzgesetze im Amtsblatt veröffentlicht (Essen, Köln und Münster), und die katholischen Aufsichten haben auch fleißig publiziert: Die KDSA Ost warnt vor der Abschaffung des Bargelds, gibt eine Einschätzung zur Nennung des Namens von Datenschutzbeauftragten und fordert eine Klarstellung in der Mitarbeitervertretungsordnung, ob Mitarbeitervertretungen verantwortliche Stelle sind oder nicht. Die NRW-Aufsicht weist auf das Datenschutz-Verwaltungsverfahren-Gesetz hin, das nun in allen NRW-Bistümern in Kraft gesetzt wurde, auf Videoüberwachung und weist auf die letzte Woche schon angesprochene Entscheidung zur Einwilligungspflicht für Gruppenfotos auf Facebook hin.

Die Deutsche Bischofskonferenz hat unterdessen eine Datenschutzrechtssammlung mit dem KDG und seinen Nebengesetzen angekündigt: Die Arbeitshilfe Nr. 320 Kirchliches Datenschutzrecht soll demnächst erscheinen, verrät das Erzbistum Berlin. Eine günstige Ergänzung zu der immer noch empfehlenswerten ökumenischen Rechtssammlung, die schon länger auf dem Markt ist (und die Nebengesetze noch nicht alle abbilden konnte).

Das Misstrauen der Aufsichten von Bund und Ländern gegenüber den spezifischen Aufsichten war hier schon Thema. Sehr deutlich bringt es der SWR-Rundfunkdatenschutzbeauftragte in seinem aktuellen Tätigkeitsbericht auf den Punkt (S. 50): »Leider haben einige Landesdatenschutzbeauftragte nach wie vor Berührungsängste mit den Datenschutzbeauftragten der Kirchen und der Rundfunkanstalten zusammenzuarbeiten und versuchen nach außen den Eindruck zu erwecken, die Datenschutzkonferenz (DSK) sei die wahre und alleinige Vertretung der Datenschutzaufsichtsorgane in Deutschland.«

Bei kath.ch gibt es ein kurzweiliges Interview zur E-ID, über die die Schweizer kommende Woche abstimmen: Ist ein elektronischer Ausweis auch für die Kirchen relevant? Nicht allzu sehr, ist der Tenor, und Datenschutzbedenken gibt es auch. Aber einen kreativen Vorschlag hat der interviewte Rechtsanwalt Martin Steiger doch dabei: »Es wäre denkbar, dass eine kirchliche E-ID geschaffen würde. Für die römisch-katholische Kirche beispielsweise könnte eine globale ›Vatican ID‹ hilfreich sein. Eine solche E-ID wäre nicht auf die Schweiz beschränkt, sondern könnte von Gläubigen in aller Welt genutzt werden« – wer schon einmal versucht hat, dem Vatikan Informationen per E-Mail zu entlocken, dürfte genug darüber wissen, wie realistisch das ist. (Und wahrscheinlich gibt’s eh keine praktische Verwendung dafür – etwas weniger groß angelegt als eine E-ID für 1,3 Milliarden Katholiken, dafür praktisch, wäre vielleicht ein fälschungssicheres E-Zelebret angesichts immer wieder auftauchender falscher Priester, Bischöfe und Kardinäle.)

Weiterlesen

GKP-Vorschläge für ein besseres Medienprivileg

Bisher läuft der Prozess der Evaluierung des Gesetzes über den kirchlichen Datenschutzes (KDG) noch sehr im Verborgenen ab. Hätte nicht der bayerische Diözesandatenschutzbeauftragte schon einiges ausgeplaudert, wüsste man bis heute nichts, ein Vierteljahr vor der im Gesetz festgelegten Frist von drei Jahren ab Inkrafttreten.

Ein silbernes Schloss an einem blauen Stahlkasten
Photo by Chris Barbalis on Unsplash

Nun hat die Gesellschaft Katholischer Publizisten Deutschlands (GKP) einen eigenen Beitrag zur Evaluierung vorgelegt. (Ich bin Mitglied des Vorstands und im Vorstand für die Stellungnahme verantwortlich.) Während die bisher bekannten schon in der Evaluierung befindlichen Punkte vor allem Details und Verfahrensregelungen betreffen, widmet sich die GKP vor allem Themen, die für Medien und Öffentlichkeitsarbeit wichtig sind: Insbesondere das sehr kompakte Medienprivileg soll deutlich verändert werden. Dazu kommen noch einige Kleinigkeiten, die eine Handhabung in kleinen, ehrenamtlich getragenen Vereinen handhabbarer machen.

Die gesamte Stellungnahme ist online verfügbar.

Weiterlesen

Lobby für den »Kirchenartikel« – so haben die Kirchen die DSGVO beeinflusst

Die Europäische Union ist nicht unbedingt dafür bekannt, besonders religiös musikalisch zu sein. Dass das europäische Datenschutzrecht eine eigene Ausnahme für Kirchen und Religionsgemeinschaften hat, ist daher nicht selbstverständlich – selbst wenn die europäischen Verträge eigentlich Religionsfreiheit und die hergebrachten Selbstverwaltungsrechte der Kirchen in den Mitgliedsstaaten achten.

Klar ist: Ohne die Lobbytätigkeit der Kirchen und ohne großen Einsatz der deutschen Bundesregierung hätte es Art. 91 DSGVO (im Entwurfsstadium Art. 85) nicht in die DSGVO geschafft. Wie es dazu gekommen ist und was den Kirchen sonst noch wichtig gewesen ist, zeigen zwei erfolgreiche Informationsfreiheitsanfragen beim Justizministerium und bei der Europäischen Kommission.

EU-Flaggen vor dem Berlaymont-Gebäude der Europäischen Union in Brüssel
EU-Flaggen vor dem Berlaymont-Gebäude der Europäischen Union in Brüssel. (Photo by Christian Lue on Unsplash)

Bei beiden Behörden habe ich allgemein nach Lobbytätigkeiten im Zusammenhang mit Datenschutz von Religionsgemeinschaften angefragt. Es zeigte sich: Datenschutz-Lobbyismus ist eine christliche Sache, in der EU sogar eine rein katholische. (Allerdings sind auch die christlichen Kirchen besonders etabliert und gut organisiert – insofern ist die Überraschung nicht allzu groß, dass es keine Angaben anderer Religionsgemeinschaften gab.)

Weiterlesen

Wenn der MAV-Chef krank ist – Wochenrückblick KW 8/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Datenschutz ist hartes Brot. Erst recht, wenn er vor Gericht geht. Wieder einmal hat das Interdiözesane Datenschutzgericht einen Beschluss veröffentlicht (IDSG 09/2020) , recht lang und kompliziert – es geht um die Frage eines möglichen Datenschutzverstoß eines Geschäftsführers eines Krankenhauses, den dieser gegenüber dem Vorsitzenden der Mitarbeitervertretung begangen haben soll.

Zunächst entwickelt das Gericht das kirchliche Prozessrecht weiter: Auch wenn es keine Regelung zur Wiedereinsetzung in den vorherigen Stand gibt, sieht das IDSG das als möglich an: »Im Fall einer unverschuldeten Fristversäumnis erfordert es das Gebot effektiven Rechtsschutzes, eine Wiedereinsetzung in den vorigen Stand zu ermöglichen.« (Nr. 44)

In der Sache dürfte das Urteil für die Zusammenarbeit von Dienstgeber*innen und Mitarbeitervertretung Rechtssicherheit schaffen – auch wenn der Fall kurios ist: Wenn der Vorsitzende der MAV krank ist – wie darf das von wem kommuniziert werden? Dass es kommuniziert werden muss, ist relativ klar, schließlich braucht es eine Vertretung. Nun ist das auch gerichtlich abgesichert, dass es hier keine Datenschutzprobleme gibt – schließlich sieht die Mitarbeitervertretungsordnung und damit ein kirchliches Gesetz vor, dass eine tatsächliche Verhinderung (und nicht bloß etwa eine versehentliche Abwesenheit) festgestellt werden muss. (Die Zusammenfassung vereinfacht grob den 17-seitigen Beschluss. Wer bei »Mitarbeitervertretung« hellhörig wird: Ob diese eine eigenständige Verantwortliche ist, wird im Beschluss nicht angesprochen.

Weiterlesen

Befreit: Interne Protokolle der Datenschutzkonferenz zu spezifischen Aufsichten

Die Datenschutzkonferenz des Bundes und der Länder treffen sich regelmäßig mit den spezifischen Datenschutzaufsichten – das sind die der Medien und der Religionsgemeinschaften. Was dort besprochen wurde, blieb bisher vor der Öffentlichkeit verborgen. Eine erfolgreiche Informationsfreiheitsanfrage beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, der 2019 den Vorsitz in der DSK hatte, bringt nun ans Licht, was dort besprochen wurde.

Zwei Protokolle der Treffen vom 21. Mai und 15. Oktober 2019 sind nun öffentlich, geschwärzt wurden nur die Namen der Teilnehmenden. Ganz heiße Neuigkeiten stehen nicht in den Protokollen – nur die restriktive und wenig religionsfreiheitsfreundliche Auslegung von Art. 91 DSGVO auch durch die spezifischen Aufsichten überrascht.

Weiterlesen

E-Mails und Berufsgeheimnisträger*innen

Sind unverschlüsselte E-Mails überhaupt noch datenschutzrechtlich zulässig? Das war eines der großen Aufregerthemen bei der Einführung der neuen Datenschutzgesetze. Im kirchlichen Bereich sorgte vor allem ein etwas zu scharf geschaltetes Kommunikationsportal im Bistum Rottenburg-Stuttgart, der »Secure Mail Gateway« für Spott und Ärger, über das alle Mails mit personenbezogenen Daten mit extern (also eigentlich alle) abgewickelt werden sollten.

Photo by Bundo Kim on Unsplash

Tatsächlich ist E-Mail nicht unproblematisch: Transportverschlüsselung ist zwar Standard, aber keine echte Ende-zu-Ende-Verschlüsselung; mindestens die jeweiligen Provider und Mailserver könnten gegebenenfalls in Inhalte Einblick nehmen. Ein nun veröffentlichtes Urteil des Verwaltungsgerichts Mainz (1 K 778/19.MZ) befasst sich mit Blick auf Berufsgeheimnisträger*innen mit der Zulässigkeit von E-Mails; im Fall geht es um einen Rechtsanwalt, der einem Mandanten Daten per unverschlüsselter E-Mail geschickt hat. War das zulässig? Das Urteil kommt zum Schluss: Ja, Transportverschlüsselung stellt ein angemessenes Schutznivau dar, wenn kein erhöhter Schutzbedarf besteht. Auch im kirchlichen Bereich ist dieses Urteil interessant: Schließlich sind auch Seelsorger*innen Berufsgeheimnisträger*innen, und was für die recht ist, sollte auch für normale Menschen billig sein.

[…] Ein angemessenes Schutzniveau im Sinne des Art. 32 Abs. 1 DS-GVO ist auch bei Berufsgeheimnisträgern (hier: Rechtsanwälte) grundsätzlich durch Nutzung einer (obligatorischen) Transportverschlüsselung anzunehmen, soweit nicht im Einzelfall besondere Anhaltspunkte für einen erhöhten Schutzbedarf bestehen.

Leitsatz des Urteils des Verwaltungsgerichts Mainz (1 K 778/19.MZ)
Weiterlesen