Deine Rechte – So funktioniert Datenschutz Teil 3

Schreiben Sie eine Antwort

Teil 3 der dreiteiligen Serie: Ein Crashkurs für Interessierte dazu, wie Datenschutz tickt und was man wissen sollte für die eigene Datensouveränität.

Digitale Mündigkeit: Kenne Deine Rechte!

Warum sollte ich genau das wissen? Das Datenschutzrecht gibt Betroffenen eine Reihe von zum Teil sehr mächtigen Instrumenten an die Hand, um die eigene informationelle Selbstbestimmung zu ermöglichen. Nur wer die Rechte kennt, kann sie ausüben.

Statue mit Blitz in der Hand, auf dem »Droits de l'homme« steht
Photo by DDP on Unsplash
Weiterlesen

Stop! Verbot mit Erlaubnisvorbehalt – So funktioniert Datenschutz Teil 2

1 Antwort

Teil 2 der dreiteiligen Serie: Ein Crashkurs für Interessierte dazu, wie Datenschutz tickt und was man wissen sollte für die eigene Datensouveränität.

Das Grundprinzip: Verbot mit Erlaubnisvorbehalt

Warum sollte ich genau das wissen? Das Verbot mit Erlaubnisvorbehalt ist das Grundprinzip des Datenschutzrechts. Wer weiß, auf welcher Rechtsgrundlage Daten verarbeitet werden dürfen, kann einschätzen, was erlaubt ist und wie man die eigenen Rechte durchsetzt.

Stoppschild
Photo by John Matychuk on Unsplash
Weiterlesen

Daten und wie man mit ihnen umgeht – So funktioniert Datenschutz Teil 1

Schreiben Sie eine Antwort
Logo des Barcamp Bonn

Beim Barcamp Bonn habe ich am Freitag eine Session mit einer Einführung ins Datenschutzrecht angeboten: Ein Crashkurs für Interessierte dazu, wie Datenschutz tickt und was man wissen sollte für die eigene Datensouveränität.
DSGVO in 45 Minuten, inklusive Fragen – da muss man sich auf den Kern konzentrieren.

Dazu habe ich ein sehr weites Feld auf drei Punkte heruntergebrochen, die ich hier im Blog in einer kleinen Serie vorstelle – einschließlich der Besonderheiten im kirchlichen Datenschutzrecht. Die Folien der Session gibt es hier zum Download (pdf).

Personenbezogene Daten und wie man mit ihnen umgeht

Warum sollte ich genau das wissen? Nur wenn klar ist, was personenbezogene Daten sind, weiß ich, womit sich Datenschutz überhaupt beschäftigt. Die Grundsätze für den Umgang mit personenbezogenen Daten sind verständliche Richtlnien, um auch im Alltag achtsam und respektvoll mit den Daten anderer Menschen umzugehen.

Bücher und Akten, chaotisch in einem Regal
Photo by JF Martin on Unsplash
Weiterlesen

Die Woche im kirchlichen Datenschutz – KW32

Schreiben Sie eine Antwort

Die Rückverfolgbarkeit von Gastronomie-Gästen prägte diese Woche die Diskussion. Die Debatte konzentriert sich auf das Gastgewerbe; Rückverfolgbarkeit ist aber auch bei Gottesdiensten sicherzustellen – ein Aspekt, der bisher nicht vorkommt. Dabei geht es dort sogar um besondere Kategorien personenbezogener Daten: die Tatsache eines Gottesdienstbesuchs gehört auch nach kirchlichem Datenschutzrecht dazu. (Anders als im weltlichen wird zwar die bloße Information über die Zugehörigkeit zu einer Religionsgemeinschaft aus den besonderen Kategorien herausgenommen – Informationen über Gottesdienstbesuche gehen über die bloße Mitgliedschaft hinaus.)

Bei den Datenschutz-Notizen gibt es einen kurzen Überblick über erste kirchliche Reaktionen auf das Schrems-II-Urteil des EuGH. (Das von der Datenschutz-Nord-Gruppe betriebene Blog ist eines der wenigen, die regelmäßig auch den kirchlichen Datenschutz im Blick haben – ein Blick in den aktuellen Tätigkeitsbericht des Nordwest-Diözesandatenschutzbeauftragten verrät warum: Mehrere Bistümer haben einen betrieblichen Datenschutzbeauftragten des Unternehmens beauftragt.)

Weiterlesen

Medienprivileg für Gemeindebrief und Pfarrblatt?

Schreiben Sie eine Antwort
Titelseiten von Gemeindebriefen
Bildquelle: amras.wi (Wikimedia Commons) CC BY-SA 3.0 de (bearbeitet).

Am Freitag hat der Beauftragte für den Datenschutz der EKD festgestellt, dass das Medienprivileg aus § 51 DSG-EKD nicht für Gemeindebriefe gilt – und zwar kategorisch, nicht einmal ein »grundsätzlich« steht in der Stellungnahme. Damit wäre das Datenschutzrecht voll anzuwenden – mit allen Konsequenzen. Zuvor war nur auf katholischer Seite eine Position der Deutschen Bischofskonferenz bekannt, die die Sache deutlich entspannter darstellt. Betrachtet man die jeweiligen Positionen im Detail, stellen sich bei beiden deutliche Anfragen: Die eine scheint zu eng, die andere zu weit. Was tun?

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW31

Schreiben Sie eine Antwort

Die Woche endet mit einer Entscheidung des Beauftragten für den Datenschutz der EKD, die vieles erschweren dürfte: Das Medienprivileg (§ 51 DSG-EKD) gilt seiner Auffassung nach nicht für den Gemeindebrief. Es mangle am Zweck, »Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten« und dem unbestimmten Empfängerkreis. Das sieht die Deutsche Bischofskonferenz nur zum Teil so, die in ihrer schon lange veröffentlichten FAQ-Liste festhält, dass grundsätzlich auch Pfarrbriefe dem Medienprivileg (§ 55 KDG) unterfallen können: »Hier dürfte es entscheidend darauf ankommen, ob diese sich im Einzelfall lediglich an die Gemeindemitglieder oder an einen öffentlichen, unbestimmbaren Personenkreis richten.«

Kommende Woche Freitag findet das digitale Barcamp Bonn statt. Ich biete eine Session an: So funktioniert Datenschutz: Einführung in die DSGVO für Anfänger*innen (so grundsätzlich gehalten, dass es auch für Anwender*innen der kirchlichen Datenschutzgesetze nützlich ist). Anmeldungen für das digitale Barcamp sind noch möglich.

Eine Datenschutzschulung speziell für das Gesetz über den kirchlichen Datenschutz (KDG) bietet das Erzbistum München und Freising auf seiner Lernplattform an. Es richtet sich zwar an Mitarbeiter*innen und Ehrenamtliche der Diözese, die Anmeldung ist aber allen möglich. Durchaus nützlich, ein Zertifikat gibt’s auch, im Detail aber problematisch, wenn es zu Passworten nur die Tipps gibt, sie nicht im Browser (warum eigentlich?) und auf Post-its zu speichern und sie regelmäßig zu wechseln (spätestens mit der letzten Fassung des BSI-Grundschutz-Kompendiums ist dieser Tipp veraltet und schon länger als Sicherheitsrisiko bekannt), aber keine sichere Alternative zum Post-it präsentiert wird.

Wie Auftragsverarbeitung nach dem KDG funktioniert, steht im Datenschutzblog von Reichert und Reichert. Das Fazit: »Die Zusammenarbeit zwischen kirchlichen Rechtsträgern und nicht-kirchlichen Stellen kann im Datenschutz für beide Seiten herausfordernd sein. Die Einbeziehung des für die meisten Auftragsverarbeiter unbekannten KDG stößt auf Unsicherheiten, vielfach auch auf die fehlende Bereitschaft, sich mit dem Datenschutzrecht des Auftraggebers zumindest überblicksartig zu beschäftigten.« Im Artikel geht es nur um die katholische Variante, die dank einer sehr liberalen Beschlusslage der Konferenz der Diözesandatenschutzbeauftragten sehr einfach umzusetzen ist. Evangelisch wird’s etwas schwerer: Im Gegensatz zum KDG fordert das DSG-EKD explizit, dass sich Auftragsverarbeiter*innen der kirchlichen Datenschutzaufsicht unterwerfen (§ 30 Abs. 5 Satz 3 DSG-EKD).

Weiterlesen

Buchtipp: Rechtssammlung zum kirchlichen Datenschutz

Schreiben Sie eine Antwort

Seit kurzem liegt die von Alexander Golland herausgegebene Rechtssammlung zum kirchlichen Datenschutz in zweiter Auflage (Affiliate Link) vor. Auch wenn es keine grundsätzlichen Änderungen an den darin abgebildeten Gesetzen gab – DSGVO, katholisches KDG und KDR-OG und evangelisches DSG-EKD, jeweils mit weiteren relevanten Gesetzen –, lohnt sich doch knapp zwei Jahre nach Erscheinen der Erstauflage eine Aktualisierung: Redaktionell wurden in den Gesetzen einige Kleinigkeiten korrigiert, die Ordnungen der kirchlichen Gerichte haben neu Eingang in die Sammlung gefunden, und vor allem haben die zuständigen Datenschutzaufsichten mittlerweile einige Grundsatzbeschlüsse vorgelegt.

Alexander Golland (Hg.): Kirchliches Datenschutzrecht (Reihe Datenschutzberater), dfv-Mediengruppe, Frankfurt, 2. Aufl. 2020, XIII, 341 Seiten, 34,90 Euro. (Affiliate Link)

Zielgruppe der Sammlung sind ausweislich der Einleitung alle Anwender*innen kirchlichen Datenschutzrechts – und das sind mehr, als man denkt: Neben den eigentlich betroffenen kirchlichen Stellen letzten Endes alle, die mit Religionsgemeinschaften in irgendeiner Form zu tun haben, die das Hantieren mit personenbezogenen Daten beinhaltet.

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW30

Schreiben Sie eine Antwort

Die ersten Einschätzungen der katholischen und evangelischen Datenschutzaufsichten zum Aus für das Privacy Shield sind verfügbar – eine erste Hilfe, aber immer noch sind viele Fragen offen. Einen Überblick über Entwicklungen bei der Anwendung des KDG gibt der Tätigkeitsbericht des Nordwest-Diözesandatenschutzbeauftragten – der ist in dieser Woche endlich erschienen.

Seit 2018 ist das katholische Gesetz über den kirchlichen Datenschutz (KDG) in Kraft, bisher waren Anwender*innen bei der Auslegung auf DSGVO-Kommentare, die Erläuterungen des Gesetzgebers und der Aufsichten und die –wenigen – veröffentlichten Urteile der Datenschutzgerichte angewiesen. Das ändert sich bald: Nomos hat voraussichtlich für September einen »Handkommentar Kirchliches Datenschutzrecht« (Affiliate link) zum KDG angekündigt, herausgegeben von Gernot Sydow. Der Münsteraner Europarechtler hat bereits einen Kommentar zur DSGVO (Affiliate link) herausgegeben und ist als Vorsitzender Richter des DBK-Datenschutzgerichts selbst mit der praktischen Anwendung des KDG betraut. (Und aus den veröffentlichten Urteilen ist bekannt: der Sydow ist auch beim Interdiözesanen Datenschutzgericht beliebt.) Ein Kommentar zum evangelischen DSG-EKD steht leider noch aus.

Weiterlesen

Prüfschema zum Privacy-Shield-Urteil

Schreiben Sie eine Antwort

Was tun, nachdem das Privacy Shield nicht mehr für die Datenübertragung in die USA zur Verfügung steht? Die katholischen Datenschutzaufsichten für NRW und die Nordwest-Bistümer haben nun eine erste FAQ und ein Prüfschema dazu veröffentlicht. Eine endgültige Positionierung gibt es noch nicht, die Abstimmungen laufen nach gleichlautender Meldung aus Dortmund und Bremen noch. [Ergänzung, 24. Juli, 12.15]Am Freitag hat sich auch die Konferenz der Beauftragten für den
Datenschutz in der EKD mit einer ähnlichen Einschätzung der Sachlage geäußert. Es wurden Bemühungen angekündigt, zu einer einheitlichen Vorgehensweise
mit den Datenschutzaufsichtsbehörden in Deutschland zu kommen.[/Ergänzung]

Klar ist aber jetzt schon: Das Urteil gilt sofort, die Diözesandatenschutzbeauftragten werden die Vorgaben des EuGH umsetzen – »das erfordert aber intensive Untersuchungen zu der Frage, wie – ohne Gefährdung des laufenden Betriebs – ein Ausstieg möglich ist«, heißt es in der Verlautbarung: »Das mag in einigen Bereichen schneller gehen und in anderen länger dauern.« Keine Aussage wird dazu gemacht, welche üblichen Anwendungsfälle überhaupt betroffen sind. In der Praxis dürfte das vor allem Office 365 sein (wobei Microsoft die Rechtskonformität betont).

Weiterlesen

Tätigkeitsbericht des Diözesandatenschutzbeauftragten Nordwest erschienen

Schreiben Sie eine Antwort

Am Mittwoch hat der Diözesandatenschutzbeauftragte für die Nordwest-Bistümer Andreas Mündelein seinen Tätigkeitsbericht für 2019 veröffentlicht. Nach seinem Kollegen für die Ost-Bistümer, der schon vor einigen Monaten veröffentlicht hat, ist das der zweite Bericht der kirchlichen Aufsichten.

Der Bericht kommt weitgehend ohne Überraschungen aus; die »Verunsicherungen, der Medienrummel und die gesamtkirchlichen Irritationen haben sich im Laufe des Berichtszeitraums 2019 nicht weiter fortgesetzt.« Beratungsnachfragen stagnieren auf hohem Niveau, Beschwerden und Meldungen von Datenpannen haben aber zugenommen. (Beschwerden +18,75 Prozent, Meldungen +73,30 Prozent, Prüfungen +90,67 Prozent; absolute Zahlen fehlen leider.) Positiv würdigt der DDSB, dass anlasslose Prüfungen ein gestiegenes Datenschutzbewusstsein gezeigt haben.
Social Media wird immer noch kritisch gesehen.

Weiterlesen