Schlagwort-Archive: Auftragsverarbeitung

Freikirche auf dem Kieker – Wochenrückblick KW 3/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das katholische Datenschutzzentrum Dortmund gibt Winke dazu, ob und wie Microsoft 365 eingesetzt werden kann – allerdings ohne Patentlösungen: »Damit Microsoft die Daten nicht mehr zu eigenen Zwecken verarbeiten kann, müsste der Zugriff auf die personenbezogenen Daten vom Verantwortlichen unterbunden werden. Neben der Nutzung pseudonymisierter Nutzerkonten könnte auch die Nutzung des Cloud-Speichers ausgeschlossen werden«, heißt es in dem Beitrag. Der Einzelfall sei zu betrachten und in einer Datenschutzfolgenabschätzung zu prüfen. Die katholische NRW-Aufsicht geht damit in eine ähnliche Richtung wie die bayerische, aber mit weniger konkreten Ansagen.

Nach dem Erfolg gegen die Selbständige Evangelisch-Lutherische Kirche hat die niedersächsische Landesdatenschutzbeauftragte eine weitere Religionsgemeinschaft im Visier: Auf Anfrage teilte die LfD Niedersachsen mit, dass ein weiteres Prüfverfahren gegen eine Freikirche gemeinsam mit einer weiteren Aufsichtsbehörde derzeit vorbereitet wird. Weitere Angaben können angesichts des frühen Vorbereitungsstadiums noch nicht gemacht werden, so der Sprecher. Mit Blick auf das Urteil des VG Hannover, mit dem das Datenschutzrecht der SELK verworfen wurde, zeigte sich die Aufsicht zufrieden. »Aus Sicht unserer Behörde ist es sehr zu begrüßen, dass eine Vielzahl an wichtigen Auslegungsfragen zu Art. 91 DS-GVO nun erstmals gerichtlich entschieden wurde. Wir gehen davon aus, dass dieses Urteil über den konkreten Einzelfall hinaus auch für andere (Frei-)Kirchen oder Religionsgemeinschaften Bedeutung haben könnte«, so der Sprecher. Mit Blick auf die durch die SELK eingelegte Berufung beim Niedersächsischen Oberverwaltungsgericht bleibe jedoch zunächst noch die weitere Entwicklung der Rechtsprechung abzuwarten.

In Berlin, wo die Landesdatenschutzbeauftragte die Zeugen Jehovas prüft, gibt es unterdessen noch nichts Neues – auf Anfrage teilte ein Sprecher mit, dass man hoffe, im ersten Quartal fertig zu sein. »In den kommenden Wochen stehen dazu weitere Abstimmungen mit anderen Aufsichtsbehörden und den zuständigen Gremien der Datenschutzkonferenz an«, so der Sprecher.

Auf Mastodon beantwortet der BayLfD jede Woche eine Frage – dieses Mal geht es um Religionsunterricht: »Dürfen kirchliche Religionslehrkräfte, die an staatlichen Schulen eingesetzt werden, Daten von Schülern auf IT-Systemen einer kirchlichen Stelle speichern?« Religionsunterricht als ordentliches Lehrfach sei in der Verantwortung der Schule, antwortet die Aufsicht. »Der Umgang mit Schülerdaten ist grundsätzlich der Schule als verantwortlicher Stelle zuzurechnen; maßgeblich sind die dort geltenden Datenschutzregeln. Eine Nutzung kirchlicher IT-Infrastruktur ist jedenfalls nicht ohne weiteres zulässig.«

In der Neuen Zeitschrift für Arbeitsrecht (NZA 1/2023, S. 7–13) befasst sich Thomas Ritter mit Compliance-Pflichten bei der Leitung katholischer Unternehmen, die sich aus der neuen Grundordnung des kirchlichen Dienstes ergeben. Mit der neuen Grundordnung hat das Kriterium der Kirchenzugehörigkeit für weniger Beschäftigte Relevanz (nicht aber des Kirchenaustritts). Damit stellt sich die Frage, ob die Religionszugehörigkeit über die Steuer hinaus überhaupt noch in den Personaldaten verarbeitet werden kann. Die Zugehörigkeit zur katholischen Kirche wird nur noch gefordert von Beschäftigten, denen eine besondere Verantwortung für die katholische Identität der Einrichtung zukommt, und im pastoralen Dienst. Das führt dazu – so Ritter überzeugend –, dass bei solchen Stellen auch die Frage nach dem Bekenntnis im Bewerbungsverfahren zulässig ist. Eine falsche Antwort begründe das Recht der Anfechtung. »Es besteht ein berechtigtes Interesse der Kirche und der ihr zuzurechnenden Träger von kirchlichen Einrichtungen an einer wahrheitsgemäßen Beantwortung«, so Ritter. Dabei spreche im Blick auf den institutionellen Ansatz der neuen GO viel dafür, dass die Frage nach der Religionszugehörigkeit – etwa im Personalfragebogen – bei anderen (potentiellen) Beschäftigten zulässig sei.

Weiterlesen

Hallo Mastodon – Wochenrückblick KW 47/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Bei Twitter ist nach der Musk-Übernahme Endzeitstimmung. Mit der Unsicherheit, ob’s der Dienst noch länger macht, geht der Boom der dezentralen und datensparsamen Open-Source-Alternative Mastodon einher. Für katholisch.de habe ich mich im (katholischen) Bereich umgehört, wie dort die Umzugsstimmung ist. Mit der steigenden Popularität von Mastodon stellt sich auch die Frage, wie Instanzen datenschutzkonform betrieben werden können. Dazu hat schon vor einem Jahr Christian Brecheis einige Einschätzungen aus seiner Praxis gegeben: Er ist Datenschutzbeauftragter und mit für die Mastodon-Instanz kirche.social zuständig.

Die Caritas-Dienstgeber beschäftigen sich mit dem Urteil des Bundesarbeitsgerichts zum Kündigungsschutz des Datenschutzbeauftragten (Urteil vom 25. August 2022, BAG 2 AZR 225/20) und kommt zu dem Schluss, dass sich die Entscheidung auch auf den betrieblichen Datenschutzbeauftragten gemäß KDG anwenden lässt: »Dieser hat eine vergleichbare Rechtsstellung, wie Datenschutzbeauftragte in weltlichen Einrichtungen, insbesondere greift auch hier gem. § 37 Absatz 4 Satz 1 KDG ein Sonderkündigungsschutz im laufenden Dienstverhältnis ein, so dass eine Kündigung nur aus wichtigem Grund zulässig ist«, heißt es in der Analyse des Urteils.

Das Gutachten zur Einführung einer diözesanen Verwaltungsgerichtsbarkeit im Bistum Münster verzögert sich noch: Der ursprünglich mit der Ausarbeitung beauftragte Emeritus Klaus Lüdicke hat sich mit Bischof Felix Genn überworfen. »Hintergrund waren Meinungsverschiedenheiten zum Umgang mit Vorwürfen gegen einen Priester […], weil ich die von mir eingeleiteten Untersuchungen nicht sofort einstellen wollte«, heißt es in Genns Zwischenbericht. Neu beauftragt wurden Lüdickes Nachfolger Thomas Schüller (einer der wenigen Kanonist*innen, die schon zum kirchlichen Datenschutzrecht publiziert haben) und sein Mitarbeiter Thomas Neumann. Die prüfen nun nicht nur die Möglichkeit, sondern wollen bis Mai auch eine mögliche Ordnung für das Münsteraner kirchliche Verwaltungsgericht vorlegen.

Neues vom DSG-EKD-Kommentar: Der ursprünglich für das zweite Quartal 2022 angekündigte Kommentar ist laut Auskunft des Nomos-Verlags nun erst im Mai 2023 zu erwarten. Pünktlich zur Evaluierungsfrist des DSG-EKD.

In eigener Sache: Im Podcast Spiritualität 9.0 habe ich mit Claus Geißendörfer über kirchlichen Datenschutz und Rechtskultur in der Kirche gesprochen.

Weiterlesen

Wo gilt kirchlicher Datenschutz? – Wochenrückblick KW 46/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Für die Stiftung Datenschutz habe ich einen Praxisratgeber kirchlicher Datenschutz verfasst, der sich an Verantwortliche in kirchlichen und kirchennahen Vereinen und Einrichtungen richtet. In dieser Woche ist er zusammen mit der Aufzeichnung des Webinars zum Thema erschienen. Oft ist dabei die größte Schwierigkeit, herauszufinden, ob die Stelle kirchlich genug ist, um an der kirchlichen Selbstverwaltung teilzuhaben. Nur dann kommt kirchliches Recht zur Anwendung. Einen Schwerpunkt nehmen daher ein paar Faustregeln und Strategien ein, wie man feststellt, ob überhaupt kirchliches Datenschutzrecht gilt. Dazu kommt dann noch ein Blick auf typische Besonderheiten kirchlicher Datenschutzgesetze.

Bei der kirchenrechtlichen Tagung »De processibus matrimonialibus« hat die Bonner Kirchenrechtlerin Judith Hahn am Donnerstag über Sachurteile in kirchlichen Missbrauchsverfahren gesprochen: can. 1726 CIC legt fest, dass der kirchlicher Richter bei offenkundiger Unschuld dies per Urteil feststellen muss, auch dann, wenn der Vorwurf verjährt ist. Hahn bringt diese Norm in Zusammenhang mit dem hier schon häufiger als »Datenschutzkanon« thematisierten can. 220 CIC, der den Schutz des guten Rufs und der Intimsphäre regelt. Die Kehrseite, die auch Hahn anspricht: Wo es einen Freispruch erster Klasse gibt, wird ein Freispruch aus Mangel an Beweisen gerade zum Makel. (Ausführlich dazu Hahns Beitrag für das Oxford Journal of Law and Religion.)

Weiterlesen

Flutdatenschaden – Tätigkeitsbericht 2021 des KDSZ Frankfurt

Nach Corona ist immer noch während Corona – und das Jahr der Flut. Unter den sieben Bistümern, die das Katholische Datenschutzzentrum Frankfurt beaufsichtigt, sind die von der Flut am schwersten betroffenen – das Ahrtal gehört zum Bistum Trier. Das prägt auch den Tätigkeitsbericht für 2021, der nun erschienen ist.

Titelseite des Tätigkeitsberichts für 2021 des KDSZ Frankfurt
In diesem Jahr wieder kühle Stockphoto-Ästhetik statt dem heiligen Johannes Nepomuk auf dem Cover.

Der Südwest-Tätigkeitsbericht gehört immer zu denen, die sich am unterhaltsamsten lesen. Die Diözesandatenschutzbeauftragte Ursula Becker-Rathmair hat ein Talent, Datenschutzvorfälle so lakonisch mit trockenem Humor zu schildern, dass man bei Datenschutzschulungen eins zu eins aus dem Tätigkeitsbericht vorlesen möchte. Auch wenn sie sich angesichts der Flut erschüttert zeigt: Auch das prägt wieder den Bericht.

Weiterlesen

Checkliste Auftragsverarbeitung nach KDG und DSG-EKD

Kaum eine Einrichtung dürfte ohne Auftragsverarbeitung auskommen: Das Hosting der eigenen Webseite, IT- und Versand-Dienstleistungen und andere Verarbeitungen werden meist extern gelöst. Um das rechtskonform abzubilden, braucht es in der Regel einen Auftragsverarbeitungsvertrag. Viele Dienstleister haben auch schon fertige Musterverträge. Aber schon im Geltungsbereich der DSGVO sind die oft nicht vollständig und korrekt – im kirchlichen Bereich kommt erschwerend dazu, dass Musterverträge selten auf die Existenz anderer Rechtsordnungen und Aufsichtsregime als nach der DSGVO Rücksicht nehmen, und allein mit dem Verweis ist es auch nicht getan.

Symbolbild Auftragsverarbeitung: Eine Brille liegt auf einem Vertrag.
(Bildquelle Mari Helin on Unsplash)

Für die Prüfung von DSGVO-Auftragsverarbeitungsverträgen hat die Berliner Landesdatenschutzaufsicht eine ausführliche und detaillierte Checkliste nebst Ausfüllhinweisen veröffentlicht. Bevor man damit aber Auftragsverarbeitungen im kirchlichen Bereich prüfen oder gestalten kann, braucht es viel Arbeit: Die entsprechenden Paragraphen im KDG und im DSG-EKD sind teils sehr unterschiedlich aufgebaut – und dazu kommen Besonderheiten, die es nur in den kirchlichen Gesetzen gibt. Hier hilft eine KDG- und DSG-EKD-Synopse zur Berliner Checkliste.

Weiterlesen

Blick in die Akten – Wochenrückblick KW 29/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das Bistum Rottenburg-Stuttgart ermöglicht nun auch die Akteneinsicht zur Missbrauchsaufarbeitung bei allen Beschäftigten. Im aktuellen Amtsblatt wurde eine Ordnung zur Regelung von Einsichts- und Auskunftsrechten für die Kommissionen zur Aufarbeitung von sexuellem Missbrauch Minderjähriger und schutz- oder hilfebedürftiger Erwachsener in Bezug auf Personalaktendaten von Beschäftigten (OAK-DRS) veröffentlicht. Die Ordnung ist eine Premiere: Mittlerweile haben zwar mindestens 16 Bistümer Einsichtsnormen in Personalakten von Klerikern und Kirchenbeamten in Kraft gesetzt, darunter Rottenburg-Stuttgart. Aber über einen Beschluss der Bistums-KODA tatsächlich alle Beschäftigten zu erfassen, auch die nicht unmittelbaren Bistumsbeschäftigten, geht weit darüber hinaus. Ob das so zulässig ist, wird sich im Streitfall vor Gericht erweisen. (Auch bei katholisch.de habe ich darüber berichtet.)

Der Jahresbericht 2021 der Kommission der EU-Bischofskonferenzen COMECE ist erschienen. Darin gibt es auch einen kurzen Abschnitt zum Datenschutz und zum Umgang mit der DSGVO (»a permanent priority of the Catholic Church in Europe«), in dem von einer Überarbeitung der internen Richtlinien für die Bischofskonferenzen der EU, die in diesem Jahr fertig gestellt werden soll. Was darin genau steht, ist nicht bekannt. Es ist aber anzunehmen, dass es sich um das Muster-Datenschutzgesetz handelt, auf dessen Grundlage beispielsweise die polnische, die maltesische und die spanische Bischofskonferenz ihr Datenschutzgesetz erlassen haben. Außerdem erfährt man vom Datenschutz-Austauschtreffen der COMECE, von dem bereits der polnische Datenschutzbeauftragte (KIOD) berichtet hatte. Thema war außerdem die Rechtsgrundlage berechtigtes Interesse und das Zusammenspiel von DSGVO und Kirchenrecht. Zudem werden datenschutzrechtliche Fälle mit Kirchenbezug gesammelt.

Bei Nebentätigkeiten entwickeln Dienstgeber häufig eine ungesunde Neugierde und haben wenig im Blick, was erforderlich ist und dass Nebentätigkeiten auch von Grundrechten geschützt sind. Da ist es sehr hilfreich, wenn die KDSA Ost eine kleine Handreichung zur Verfügung stellt, wie der Datenschutz dabei ins Spiel kommt.

Weiterlesen

PinG 3/2022 mit Schwerpunkt kirchlicher Datenschutz

Die aktuelle Ausgabe der Zeitschrift PiNG (Privacy in Germany) widmet sich schwerpunktmäßig dem Datenschutz in den Religionsgemeinschaften. Zu dem Schwerpunkt habe ich einen Beitrag zur Anwendung von Art. 91 DSGVO in den EU-Mitgliedstaaten beigesteuert. Lesenswert ist das Heft aber vor allem aufgrund der großen Bandbreite an Beiträgen, die Theorie und Praxis exzellent verknüpfen und die juristische Diskussion voranbringen. Ein Blick ins Heft.

Cover der Ausgabe 3/2022 der Zeitschrift PinG
Weiterlesen

Neue Argumente für die Unterwerfungserklärung nach DSG-EKD

Auftragsverarbeitung verbindet oft den Anwendungsbereich verschiedener Datenschutzregime: Wenn eine kirchliche Stelle einen nicht-kirchlichen Dienstleister beauftragt, unterliegt der zwar weiterhin der DSGVO, als verantwortliche Stelle muss die kirchliche Einrichtung aber die Durchsetzung des kirchlichen Datenschutzgesetzes sicherstellen. Auftragsverarbeitung im kirchlichen Kontext braucht daher Zusatzvereinbarungen zu den Standard-Auftragsverarbeitungsverträgen.

Eine Hand steckt ein Netzwerkkabel in einem Serverschrank.
Auftragsverarbeitung ist besonders bei der IT alltäglich. (Symbolbild, Photo by ThisisEngineering RAEng on Unsplash)

Als wäre es nicht schon anspruchsvoll genug, Dienstleister (die oft Massendienstleistungen anbieten) von Zusatzvereinbarungen zu überzeugen, verwendet man im Bereich des DSG-EKD auch noch den sehr unsympathischen Begriff »Unterwerfungserklärung«, der nicht unbedingt die besten Assoziationen weckt. Wohl auch deshalb hat der BfD EKD sein Muster einer Unterwerfungserklärung um hilfreiche Erläuterungen ergänzt.

Weiterlesen

Keine E-Mails bei der EKD, kein Adressbuch bei den Alt-Katholischen – Wochenrückblick KW 38/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der EKD-Ratsvorsitzende Heinrich Bedford-Strohm hat bei einer Tagung der Evangelischen Akademie der Pfalz fünf Visionen für eine digitale Kirche formuliert – der ganze Vortrag lohnt sich. Zum Thema Datenschutz wünscht sich der bayerische Landesbischof, »dass wir als Kirche viel mutiger Daten dazu nutzen, nicht um den Menschen irgendetwas zu verkaufen, sondern um ihnen gegenüber durch eine freundliche Kontaktaufnahme die Liebe Gottes nahezubringen und eine klare Botschaft zu vermitteln«. Während Babynahrungskonzerne ohne Skrupel und ohne Probleme an die Adressen von neuen Eltern kommen, tue sich die Kirche schwer damit: »Wir haben noch nicht einmal die E-Mail-Adressen unserer Mitglieder.« Der Wunsch ist verständlich und pastoral verantwortet – die Hürden, in einer Mitgliederkirche, deren Mitglieder föderal-dezentral verteilt und (auch) über staatliche Meldedaten erfasst werden, dafür eine Regelung zu finden, die nicht als übergriffig empfunden wird, dürfte eine große Herausforderung sein.

Das Antragsbuch zur 62. Synode des Alt-Katholischen Bistums wurde veröffentlicht. Darin gibt es auch einen Antrag zur Änderung der Kirchlichen Datenschutzordnung (KDO) (Antrag 18): Die Pastoralkonferenz Bayern beantragt eine eigene Rechtsgrundlage für die Veröffentlichung von Kontaktdaten von Ansprechpersonen. Die Formulierung ist dabei sehr weitreichend, weil ohne weitere Bestimmung von »Kontaktdaten« die Rede ist, also nicht eingeschränkt auf dienstliche (oder für Ehrenamtliche funktionsbezogene) Kontaktdaten. Die vorgeschlagene Rechtsgrundlage ist auch nicht eingebettet in die Betroffenenrechte; bei den Rechtsgrundlagen kirchliches und berechtigtes Interesse regelt § 23 Abs. 1 KDO ein Widerspruchsrecht. Hier auch für nach der beantragten neuen Rechtsgrundlage veröffentlichte Daten ein Widerspruchsrecht vorzusehen, wäre eine sinnvolle Ergänzung, dazu sollte von Anfang an die betroffene Person mehr Einfluss darauf haben, welche ihrer Kontaktdaten derart veröffentlicht werden können – die Formulierung hebt zwar beispielhaft auf wohl gedruckte Publikationen ab, würde aber auch eine Online-Veröffentlichung ermöglichen.

Das Erzbistum Hamburg hat sich nun in die Reihe der Bistümer eingereiht, die ein eigenes Gesetz zur Auftragsverarbeitung kirchlicher öffentlich-rechtlicher Stellen erlassen haben. Im aktuellen Amtsblatt ist das »Gesetz über die Auftragsdatenverarbeitung zwischen juristischen Personen im Erzbistum Hamburg« nebst der dazugehörigen Durchführungsverordnung erschienen. Inhaltlich ähnelt es trotz des anderen Namens den anderen bereits in Kraft gesetzten §-29-KDG-Gesetzen (vgl. dazu etwa das Münsteraner Gesetz) auf der Grundlage der Vorlage des VDD: Es schafft das in § 29 Abs. 3 KDG vorgesehene »andere Rechtsinstrument« zur Regelung von Auftragsverarbeitung. Inhaltlich regelt die Durchführungsverordnung ziemlich exakt die Punkte, die auch in einem AV-Vertrag stehen würden, die Verantwortlichen und ihre Auftragsverarbeiter können sich einfach darauf berufen, statt einen eigenen AV-Vertrag aufzusetzen. Praktisch und ein Beitrag zu mehr Rechtsklarheit durch Standardisierung. Innerdiözesan jedenfalls: Bei den §-29-Gesetzen herrscht ziemlicher Wildwuchs; die VDD-Vorlage ist sehr kompakt, und warum sich die diözesanen Gesetzgeber ausgerechnet hier ohne große Konsequenzen so verkünsteln (Hamburg weicht von der Vorlage immer wieder ab, ohne unmittelbar ersichtliche Regelungsabweichungen vorzunehmen), ist unklar.

Bei der Vollversammlung der Deutschen Bischofskonferenz wurde ein möglichst einheitliches Gesetz angekündigt: Eine neue Personalaktenordnung soll zum 1. Januar 2022 in allen Bistümern Kraft treten. »Mit der Verabschiedung der PAO ist es möglich, dass Missbrauchsbeschuldigungen künftig in allen Diözesen verbindlich, einheitlich und transparent dokumentiert werden. Zudem ist eine Übermittlung aller personalaktenrelevanter Dokumente und Vorgänge bei Tätigkeiten von Klerikern außerhalb der Inkardinationsdiözese geregelt«, so Bischof Bätzing im Abschlussbericht. Auch hier gab es keinen offenen Anhörungsprozess – aber immerhin wurde der Betroffenenbeirat der DBK beteiligt. Außerdem aus den Personalia: Uta Losem ist neue stellvertretende Leiterin des Katholischen Büros Berlin – zu ihrem Aufgabengebiet gehörte bisher auch der Datenschutz.

Explizit nicht um Datenschutz wird es in einem neuen Pop-Up-Newsletter vom Kollegen von der Eule gehen: unter dem Slogan »#digitaleKirche verstehen mit DIGITAL TUTORIAL« erscheinen bis Weihnachten sieben thematische Newsletter zum Thema, die ich jetzt schon ungelesen empfehlen kann, ist Eule-Herausgeber Philipp Greifenstein doch einer der besten Kenner und Kritiker der digitalen Kirche.

Weiterlesen

Der UK-Angemessenheitsbeschluss und die kirchlichen Datenschutzgesetze

Da hat die EU-Kommission fast eine Punktlandung hingelegt: Vor dem Auslaufen der Brexit-Übergangsregelung zum Datentransfer ins Vereinigte Königreich kam am Montag der Angemessenheitsbeschluss – das UK ist jetzt ein sicheres Drittland.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)

Damit ist auch eine unschöne Hängepartie vermieden, die sich die kirchlichen Gesetzgeber teilweise selbst eingebrockt haben. (Spoiler: Wie immer, wenn’s um Drittländer geht, sind es die Katholik*innen, die sich ein Bein gestellt haben.)

Weiterlesen