Namenlos in der MS365-Cloud – Wochenrückblick KW 1/2023

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Noch vor Weihnachten hat die Datenschutzaufsicht der bayerischen Diözesen eine Ankündigung zum Umgang mit MS-365-Installationen veröffentlicht. Der Diözesandatenschutzbeauftragte kündigt darin seinen Umgang mit Neu- und Bestandsinstallationen an, nachdem die katholische Datenschutzkonferenz dazu keinen Beschluss gefasst hat. Für Neuinstallationen nach dem 21. 12. 2022 wird von einer Beanstandung abgesehen, wenn MS Onedrive dauerhaft abgeschaltet wird und Datenflüsse an Microsoft unterbunden werden. Außerdem müssen Accounts ohne personalisierte Benutzernamen und E-Mail-Postfächer eingerichtet werden. Zulässig sind pseudonymisierte Benutzernamen und Funktionspostfächer. Für Bestandsinstallationen wird für ab April eine Anordnung angekündigt, »wenn feststeht, ob die Bemühungen der USA und der EU um eine Nachfolgeregelung des „privacy shields“ Erfolg hatten«.

Die Diözesandatenschutzbeauftragte für die Südwest-Bistümer Ursula Becker-Rathmair wurde für eine weitere Amtszeit vom 1. Januar 2023 bis zum 31. Dezember 2027 bestellt. Als erste der beteiligten Diözesen hat das Erzbistum Freiburg die Bestellung veröffentlicht.

Die fünf nordrhein-westfälischen Bistümer haben eine öffentlich-rechtliche Vereinbarung zur Regelung der Zusammenarbeit auf verschiedenen Gebieten geschlossen; dazu gehört auch die gemeinsame Datenschutzaufsicht. In der Sache ändert sich für das Katholische Datenschutzzentrum Dortmund dadurch nichts. Während bei den anderen genannten Bereichen der Zusammenarbeit – von der Rundfunkmedienarbeit bis zur Polizeiseelsorge – in den jeweiligen Abschnitten »vereinbart« wird, »dass diese Tätigkeit eine öffentliche Aufgabe ist und daher zwingend von einer juristischen Person des öffentlichen Rechts zu erbringen ist«, wird das (nur) bei der Datenschutzaufsicht anders formuliert: »Gemäß Art. 91 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 i.V.m. §§ 42 ff. der jeweiligen bischöflichen Gesetze über den Kirchlichen Datenschutz (KDG) ist diese Tätigkeit eine öffentliche Aufgabe und daher zwingend von einer juristischen Person des öffentlichen Rechts zu erbringen.« Das überrascht: Art. 91 Abs. 2 DSGVO regelt spezifische Aufsichtsbehörden, ohne ihre Tätigkeit als »öffentliche Aufgabe« zu definieren. Sie müssen lediglich die Anforderungen aus Kapitel VI DSGVO erfüllen. Dort ist zwar von »Behörden« die Rede, nicht aber von bestimmten Rechtsformen, die Aufsicht wird auch dort nicht als »öffentliche Aufgabe« bezeichnet. Das KDG regelt nichts zur Rechtsform und spricht nicht von »öffentlicher Aufgabe«, und auch in der Kommentarliteratur findet sich dieses angeblich zwingende Erfordernis nicht. Die Praxis spricht auch dagegen: Lediglich in NRW und im Südwesten sind die kirchlichen Aufsichten als KdÖR verfasst (in Bayern und im Norden ist es geplant), alle anderen kirchlichen Datenschutzaufsichten, katholische wie evangelische (und erst recht freikirchliche) haben keine öffentlich-rechtliche Rechtsform. Es spricht also einiges dafür, dass das Rechtsformerfordernis für das KDSZ Dortmund nicht aus zwingenden rechtlichen Gründen, sondern wie bei den anderen Feldern aus der Vereinbarung selbst erwächst.

Der aktuelle »Kanon des Monats« des Würzburger Kirchenrechtlers Martin Rehak widmet sich Benedikt XVI. Darin findet sich auch ein Überblick über sein kirchenrechtliches Wirken. Hier einschlägige Themen spielen dabei fast keine Rolle – nur ein Dekret aus der Zeit Ratzingers als Präfekt der Glaubenskongregation verschärft den Persönlichkeitsrechteschutz bei der Beichte: Die Exkommunikation als Tatstrafe zieht sich zu, wer »mittels irgendeines technischen Gerätes selbst aufnimmt oder durch andere aufnehmen lässt, was bei einer (echten oder simulierten) Beichte vom Beichtvater oder vom Pönitenten gesagt wird. Ebenfalls zieht sich jeder die Exkommunikation als Tatstrafe zu, der solche Aufnahmen durch die sozialen Kommunikationsmittel verbreitet«.

Weiterlesen

VG Hannover kassiert Datenschutzrecht der SELK – Entscheidungsgründe

Schreiben Sie eine Antwort

Im November hat das Verwaltungsgericht Hannover die Klage der Selbständigen Evangelisch-Lutherischen Kirche gegen die Landesdatenschutzbeauftragte Niedersachsen abgewiesen und damit das eigene Datenschutzrecht und die eigene Datenschutzaufsicht der Kirche verworfen. Nun liegen die Entscheidungsgründe vor. (VG Hannover, Urteil vom 30. November 2022, Az. 10 A 1195/21)

Fachgerichtszentrum Hannover mit Urteil SELK ./. LfD Niedersachsen
(Bildquelle: Stefan Brending, Lizenz: Creative Commons by-sa-3.0 de, CC BY-SA 3.0 de, Link; VG Hannover; (zugeschnitten und montiert))

Kurz zusammengefasst lautet das Urteil: Der Wortlaut von Art. 91 DSGVO gilt. Der Kirchenartikel ist wirklich nur eine Bestandsschutzregelung. Eine eingehendere Analyse gibt einige interessante Anhaltspunkte zur Auslegung des Artikels – und wenn das Urteil rechtskräftig werden sollte, werden wohl einige Kommentare umgeschrieben werden müssen.

Weiterlesen

Endlich Evaluierung? Jahresausblick 2023 zum kirchlichen Datenschutz

Schreiben Sie eine Antwort

Im kirchlichen Datenschutz passiert ziemlich viel – das hat der Jahresrückblick 2022 gezeigt. Gleichzeitig passiert bei diversen Dauerbrennern auch ziemlich wenig – der Facebook-Crackdown blieb aus, der DSG-EKD-Kommentar ist immer noch nicht veröffentlicht, das KDSZ Bayern lässt immer noch auf sich warten. 2023 könnte das Jahr werden, in dem zumindest einiges davon endlich Wirklichkeit wird.

Eine Glaskugel auf rotem Stoff, links daneben ein Schlüssel
Blick in die Glaskugel. (Bildquelle: Michael Dziedzic/Unsplash)
Weiterlesen

Dauerbrenner und kontraintutive konfessionelle Transparenz – das war 2022

Schreiben Sie eine Antwort

2022 endet, wie es begonnen hat: Die hier prophezeiten großen Themen können alle auf Wiedervorlage gelegt werden. Die große Facebook-Dämmerung kam nicht – alle warten immer noch auf das Musterverfahren zwischen dem Bundesdatenschutzbeauftragten und dem Bundespresseamt. Bei der Evaluierung der kirchlichen Datenschutzgesetze gibt es auch nichts Neues – das KDG ist nach wie vor überfällig, beim DSG-EKD ist öffentlich keine Bewegung sichtbar. Die KDSA Nord ist immer noch keine KdÖR, und in Bayern ist Jupp Joachimski im 81. Lebensjahr Diözesandatenschutzbeauftragter ohne Aussicht auf Ablöse. Der DSG-EKD-Kommentar ist immer noch nicht da, die KDSGO-Kommentierung auch nicht.

Jahresrückblick kirchlicher Datenschutz 2022
(Bildquelle: Moritz Knöringer on Unsplash)

Vormals große Themen wie der Umgang mit Corona haben an Bedeutung verloren – im Frühjahr wurde noch über den richtigen Umgang mit Impfnachweisen diskutiert, seither ist die Pandemie zumindest datenschutzrechtlich vorbei. Die Tendenz der vergangenen Jahre zeichnet sich also fort: Der kirchliche Datenschutz läuft im Regelbetrieb. Große Aufregerthemen blieben aus, nach Ausnahmejahren der Pandemie können sich Aufsichten und Verantwortliche wieder auf ihre Regelaufgaben konzentrieren.

Weiterlesen

Flut, Kita und Videoüberwachung – Tätigkeitsbericht des KDSZ Dortmund 2021

Schreiben Sie eine Antwort

Gerade noch rechtzeitig vor Weihnachten kommt der letzte Tätigkeitsbericht des Jahres – das KDSZ Dortmund hat sich bis in den Dezember damit Zeit gelassen, über das Jahr 2021 zu berichten. Aus dieser Distanz wirken die großen Themen des Vorjahres schon sehr weit weg – wie stark Corona noch das letzte Jahr geprägt hat, hat man gar nicht mehr präsent.

Cover des Tätigkeitsberichts für 2021 des KDSZ Dortmund
Cover des Tätigkeitsberichts für 2021 des KDSZ Dortmund

Auch in Nordrhein-Westfalen waren einige Regionen von der Flut betroffen, wenn auch nicht so stark wie in Rheinland-Pfalz: Der Tätigkeitsbericht der Südwest-Aufsicht war massiv von diesem Thema und eindrücklichen Katastrophenschilderungen geprägt; in NRW ist es nur ein Thema unter mehreren.

Weiterlesen

DSG-EKD amtlich geändert – Wochenrückblick KW 50/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das DSG-EKD ist nun amtlich geändert: Am Donnerstag veröffentlichte die EKD das Änderungsgesetz im Amtsblatt. (Was sich ändert, stand auch schon mal hier. Spoiler: Nichts Spektakuläres.)

Am Mittwoch fand (wahrscheinlich) das zweite Treffen der Datenschutzkonferenz mit den spezifischen Aufsichten für dieses Jahr statt. Den Termin hatte ich im Sommer mit einer IFG-Anfrage herausgefunden, das Protokoll wird dann wieder per Informationsfreiheitsgesetz zu befreien sein – wie jedes Mal. Auch ohne Transparenzgesetz könnte die DSK die Informationen auch einfach immer von vornherein veröffentlichen.

Zum Ende seiner Amtszeit legt der Gemeinsame Rundfunkdatenschutzbeauftragte von BR, SR, WDR, Deutschlandradio und ZDF einen Abschlussbericht vor. Darin geht er auch noch einmal auf die mangelnde Beteiligung der spezifischen Aufsichten ander Datenschutzkonferenz ein (Rn. 28f.), die er bereits zuvor in einem Positionspapier thematisiert hatte. Konkrete Verabredungen gebe es noch nicht. »Ziel sollte es sein, den nach Auffassung aller Beteiligten bislang unbefriedigenden retrospektiven Austausch durch ein Verfahren zu ersetzen, das eine frühzeitige wechselseitige Information und gegebenenfalls gemeinsame Positionierungen ermöglicht«, so der Rundfunkdatenschutzbeauftragte.

In der aktuellen ZMV befasst sich Matthias Ullrich, der Diözesandatenschutzbeauftragte der Ost-Bistümer und Autor des hier schon besprochenen Buchs »Beschäftigtendatenschutz der katholischen Kirche« mit betrieblichen Datenschutzbeauftragten im staatlichen und kirchlichen Recht. Gewohnt gelungen ist dabei die Verknüpfung von arbeits- und datenschutzrechtlicher Expertise, die auf einige Fragen abhebt, die aus dem Datenschutzrecht allein nicht zu beantworten sind, etwa zur Bestellung (nach Ansicht Ullrichs nicht durch einseitige Übertragung, sondern in der Regel durch eine Arbeitsvertragsänderung vorzunehmen), Probezeit (nicht zulässig, da Anforderungen von Tag 1 an sicher erfüllt sein müssen) sowie Befristung des Amts (in § 36 Abs. 5 KDG und § 36 Abs. 3 DSG-EKD geregelt) und der Stelle (nicht geregelt). Ullricht ist einer Befristung der Stelle zum Unterlaufen der gesetzlichen Mindestbenennungsfristen gegenüber kritisch: »In solchen Fällen ist das befristete Arbeitsverhältnis deshalb aus datenschutzrechtlicher Sicht bei der Benennung zu entfristen oder zumindest auf die Mindestbenennungsdauer für betriebliche Datenschutzbeauftragte zu verlängern.« Im Ergebnis führt das dazu, dass Datenschutzbeauftragte aus Sicht des Datenschutzrechts regelmäßig nicht sachgrundlos befristet beschäftigt werden können – im katholischen Arbeitsrecht ist die maximale sachgrundlose Befristung auf 14 Monate festgelegt, im evangelischen Bereich gilt die gesetzliche Höchstdauer von zwei Jahren.

Die russisch-orthodoxe Kirche hat man nicht als erstes auf dem Zettel, wenn es um grund- und menschenrechtsorientierte Sozialverkündigung geht. Patriarch Kyrill hat sich nun zu biometrischen Datenbanken geäußert: »Die Kirche stimmt den den Experten zu, die darauf hinweisen, dass jede Datenbank mit personenbezogenen Daten, einschließlich biometrischer Daten, nicht vollständig vor Lecks geschützt werden kann. Die Risiken von biometrischer Datenlecks sind aufgrund der Neuartigkeit der Technologie noch nicht vollständig bekannt.« Daher stehe die Kirche für das »grundsätzliche und bedingungslose Recht der Bürger, die biometrische Identifizierung abzulehnen, mit absoluten Garantien der Nicht-Diskriminierung im Falle einer solchen Entscheidung«.

Weiterlesen

Datenschutz in den jüdischen Gemeinden Frankfurts und Württembergs

Schreiben Sie eine Antwort

Natürlich ist die Ausnahmeregel der DSGVO, die Glaubensgemeinschaften eigenes Datenschutzrecht ermöglicht, religionsneutral formuliert. Praktisch wird Art. 91 DSGVO vor allem von christlichen Kirchen genutzt. Es gibt aber doch auch nichtchristliche Gemeinschaften, die Datenschutzrecht setzen: Die Israelitische Religionsgemeinschaft Württembergs und die Jüdische Gemeinde Frankfurt am Main haben beide je eine eigene Datenschutzordnung, die für sich in Anspruch nimmt, Art. 91 DSGVO umzusetzen.

Siegel mit Davidstern
Siegel mit Davidstern (Bildquelle: Marek Studzinski on Unsplash)

Ein Blick in die beiden Datenschutzordnungen zeigt einerseits sehr eigenständige Regelungen: Mit den großen kirchlichen Gesetzesfamilien KDG und DSG-EKD sind sie ersichtlich nicht verwandt. Zugleich fehlt es aber strukturell an Eigenständigkeit: Die Ordnungen wollen DSGVO und BDSG nur ergänzen, nicht ersetzen. Nicht nur das wirft Fragen nach der Vereinbarkeit mit dem Europarecht auf.

Weiterlesen

Evangelische Weite zu MS 365 – Wochenrückblick KW 49/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die evangelischen Datenschutzaufsichten bewerten die Feststellung der Datenschutzkonferenz des Bundes und der Länder zu Microsoft unterschiedlich: Während sich in der vergangenen Woche der BfD EKD den Bericht zumindest in der Überschrift zueigen gemacht hat (»Der Einsatz von Microsoft 365 ist weiterhin nicht datenschutzkonform möglich«), äußert sich nun der Datenschutzbeauftragte für Kirche und Diakonie anders: Derzeit könne keine Aneignung der Feststellung erfolgen, teilte die ostdeutsche Aufsichtsbehörde mit. Begründet wird das mit der mangelnden Beteiligung der spezifischen Aufsichtsbehörden an der DSK: »Aus diesem Grund haben wir keinen Einblick in die Arbeit der Arbeitsgruppe DSK „Microsoft-Onlinedienste“. Außer den oben genannten Dokumenten liegen uns zum heutigen Tag keine weiteren Dokumente vor, insbesondere nicht der vollständige Bericht der genannten Arbeitsgruppe.« Daher bleibt es für den DSBKD bei den Empfehlungen aus seinem aktuellen Tätigkeitsbericht.

Advent ist eine Zeit des Wartens – und so ist diese Woche geprägt von einigem Warten auf Dinge, die eigentlich noch dieses Jahr raus sollten: Immer noch fehlt eine offizielle Ankündigung des Wechsels des Diözesandatenschutzbeauftragten für die Nord-Bistümer (auch wenn sie hier schon vermeldet wurde), der Tätigkeitsbericht der NRW-Aufsicht fehlt noch (soll aber, wie man hört, in den letzten Zügen sein), und wer im kommenden Jahr die Konferenz der Diözesandatenschutzbeauftragten leiten wird, ist auch noch nicht bekannt.

Weiterlesen

Diözesandatenschutzbeauftragter Nord geht in den Ruhestand

Schreiben Sie eine Antwort

Erstmals seit Inkrafttreten des Gesetzes über den kirchlichen Datenschutz kommt es zu einem Wechsel im Amt eines Diözesandatenschutzbeauftragten. Der Leiter der KDSA Nord Andreas Mündelein geht zum Ende des Jahres in den Ruhestand. Zuerst berichteten die Datenschutz-Notizen, auf Anfrage bestätigte das Bistum Osnabrück die Informationen.

Porträtfoto von Andreas Mündelein, Leiter der KDSA Nord (links), und Michael Jacob, BfD EKD (rechts).
Andreas Mündelein, Leiter der KDSA Nord (links), zusammen mit seinem evangelischen Kollegen Michael Jacob, dem BfD EKD (rechts). (Bildquelle: Der Beauftragte für den Datenschutz der EKD)

Auch der Nachfolger von Mündelein steht schon fest: Sein bisheriger Stellvertreter Andreas Bloms übernimmt zum 1. Januar 2023 die Leitung der Datenschutzaufsicht der Bistümer Hamburg, Hildesheim, Osnabrück und des Offizialatsbezirks Vechta.

Weiterlesen

Verwaltungsgericht kassiert kirchlichen Datenschutz – Wochenrückblick KW 48/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Nach der Niederlage der Selbständigen Evangelisch-Lutherischen Kirche vor dem VG Hannover ist das eigene Datenschutzrecht der Gemeinschaft in der Schwebe: Wenn das Urteil rechtskräftig wird, gilt die DSGVO und die Landesdatenschutzbeauftragte ist zuständig statt einer eigenen kirchlichen Aufsicht. Beide Seiten, die SELK und die LfD Niedersachsen, äußerten sich in der Sache noch nicht. Ob die SELK die Zulassung zur Berufung beantragen wird, steht noch nicht fest: »Das Urteil mit seiner Begründung müssen wir nun abwarten, um anschließend über das weitere Vorgehen zu entscheiden«, sagte ein Sprecher der SELK auf Anfrage. Die LfD Niedersachsen will vor einem rechtskräftigen Urteil noch nichts dazu sagen, wie sie dann agieren werde, wenn ihre Zuständigkeit feststeht. Grundsätzlich begrüßt man in der Aufsicht das Urteil aber: »Wir sehen das Urteil als Bestätigung unserer Rechtsauffassung an, dass es sich bei Art. 91 Abs. 1 DS-GVO um eine abschließende Bestandsschutzregelung handelt, die außerhalb ihres Anwendungsbereichs keinen Raum für sonstige kirchliche Datenschutzvorschriften lässt«, teilte ein Sprecher der Aufsicht auf Anfrage mit.

Der BfD EKD hat seine Position, dass Elternbeiräte keine eigene verantwortliche Stelle sind, jetzt auch noch einmal in einem Kurzbeitrag auf der Webseite der Aufsicht veröffentlicht. So hatte er sich auf schon als Beitrag zu dem ausführlicheren Artikel zum Thema hier auf Anfrage geäußert. Eine Herausforderung: »Da es in der Regel gesetzlich ausgeschlossen ist, dass Mitarbeitende der Kindertageseinrichtungen den Elternbeiräten angehören, haben die Kindertageseinrichtungen keine Möglichkeit, die Einhaltung des Datenschutzes durch die Elternbeiräte zu kontrollieren.« Der BfD EKD empfiehlt daher Sensibilisierung und Vorgaben für den Umgang mit Daten durch die Elternbeiräte.

Bei den Datenschutz-Notizen widmet sich Sebastian Ertel dem hier schon besprochenen IDSG-Beschluss zur konkludenten Einwilligung. Vermisst wird dabei die Auseinandersetzung mit zwei Fragen: Zum einen, ob überhaupt zurecht kirchliches Datenschutzrecht angewendet wurde bei einem von einer kirchlichen Stiftung getragenen Medizinischen Versorgungszentrum, da es »faktisch keinen kirchlichen Auftrag verfolgt«. Zum anderen schweigt die Entscheidung zu dem kuriosen Faktum, dass Patient*innenakten 23 Jahre aufbewahrt wurden: »nach § 10 Abs. 3 MBO-Ärzte bzw. § 630f BGB liegt die Aufbewahrungspflicht und -frist der Behandlungsdokumentation grundsätzlich bei zehn Jahren nach Abschluss der Behandlung«, bemerkt Ertel.

Weiterlesen