Schlagwort-Archive: Auftragsverarbeitung

Der UK-Angemessenheitsbeschluss und die kirchlichen Datenschutzgesetze

Da hat die EU-Kommission fast eine Punktlandung hingelegt: Vor dem Auslaufen der Brexit-Übergangsregelung zum Datentransfer ins Vereinigte Königreich kam am Montag der Angemessenheitsbeschluss – das UK ist jetzt ein sicheres Drittland.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)

Damit ist auch eine unschöne Hängepartie vermieden, die sich die kirchlichen Gesetzgeber teilweise selbst eingebrockt haben. (Spoiler: Wie immer, wenn’s um Drittländer geht, sind es die Katholik*innen, die sich ein Bein gestellt haben.)

Weiterlesen

Tagungsbericht »Drei Jahre Gesetz über den Kirchlichen Datenschutz«

Im vierten Jahr seiner Geltung geht es beim KDG und seiner Umsetzung in die Details – das zeigte die von Curacon und den nordrhein-westfälischen Caritasverbänden organisierte Tagung zum dritten Geburtstag des Gesetzes über den kirchlichen Datenschutz am vergangenen Freitag.

Folie mit dem Veranstaltungstitel auf einem Laptop

Schwerpunkt waren alltägliche, aber komplizierte Themen: Der Umgang mit Auskunftsersuchen, Auftragsverarbeitung, Schadensersatzansprüche, Datenschutzfolgenabschätzungen und Compliance. Zwei Produkt-Vorstellungen – ein KDG-Compliance-Tool der GDD und ein Datenschutzfolgenabschätzungstool der Curacon – standen zudem auf der Tagesordnung. Den Blick aus den Niederungen der Praxis weitete zum Abschluss ein Vortrag des Vorsitzenden Richters am Interdiözesanen Datenschutzgericht, Bernhard Fessler.

Weiterlesen

luca-Betreiberin ermöglicht Einsatz unter kirchlichem Datenschutzrecht

Die Betreiberin der luca-App, die culture4life GmbH, ist bereit, die für die Verwendbarkeit unter dem kirchlichen Datenschutzrecht notwendigen Auflagen bei Auftragsverarbeitungsverträgen zu erfüllen. Auf Anfrage von „Artikel 91“ bestätigte die Datenschutzbeauftragte des Unternehmens Vera Weidmann, dass die nach dem DSG-EKD notwendige Unterwerfungserklärung unter die kirchliche Datenschutzaufsicht ebenso wie der nach KDG erforderliche Bezug auf das kirchliche Datenschutzrecht möglich sei. Wörtlich sagte Weidmann: »Die Zusatzvereinbarung kann zwischen uns und den kirchlichen Trägern unterzeichnet werden. Eine weitere Klausel für katholische Einrichtungen kann ebenfalls in den AVV integriert werden.« [Ergänzung, 26. April 2021]Für die Zusatzvereinbarung zur Unterwerfungserklärung wird das Muster der kirchlichen Aufsicht verwendet: „Dieses erhalten die kirchlichen Einrichtungen bisher nur auf Anfrage bei uns“, so Weidmann. Die zusätzliche Klausel im AVV für katholische Einrichtungen wird gerade erarbeitet und auf Anfrage zur Verfügung gestellt.[/Ergänzung] Damit ist die wichtigste rechtliche Hürde genommen, die Auftragsverarbeitung im kirchlichen Datenschutzrecht im Vergleich zu den Regelungen der DSGVO darstellt.

Weiterlesen

Luca-App für kirchliche Veranstaltungen?

Das ist doch mal erfreulich: Die Hype-App du jour hat sich Datenschutz auf die Fahnen geschrieben. Die Kontaktverfolgungs-App »luca« für private Treffen, öffentliche Veranstaltungen und Gastronomie hat viel Lob bekommen: Endlich weg von der Zettelwirtschaft und hin zu einer einfachen, datenschutzkonformen Rückverfolgbarkeit! Erstaunlich viele Testimonials hat die App, Mecklenburg-Vorpommern hat sie lizenziert – und auch kirchliche Veranstalter*innen – von Bildungshäusern bis zum Kirchenkaffee – könnten davon profitieren.

Check-in per QR-Code
(Bildquelle: Photo by Albert Hu on Unsplash)

Erste Interessent*innen gibt es bereits: Am Montag kündigte die Katholische Akademie des Bistums Dresden-Meißen die Nutzung von neuen Kontaktnachverfolgungsapps, darunter »luca«, an: »Wir sind davon überzeugt, dass wir mit dem System für die verschlüsselte, anonymisierte und datenschutzkonforme Kontaktdatenregistrierung und eine schnelle und lückenlose Nachverfolgung von Infektionsketten einen sinnvollen Beitrag leisten, unsere Besucher und Referent*innen vor Infektionen zu schützen«, so Akademie-Direktor Thomas Arnold.

Aber sind diese und andere Apps überhaupt im kirchlichen Kontext problemlos verwendbar? Während die technischen Anforderungen der kirchlichen Datenschutzgesetze sich nicht von den Anforderungen der DSGVO unterscheiden, gibt es doch Besonderheiten: Nach evangelischem Datenschutzrecht ist Auftragsverarbeitung durch nichtkirchliche Stellen generell anspruchsvoll, nach katholischem bereiten Drittlandsübertragungen Schwierigkeiten.

Weiterlesen

Katholische Aufsichten ermöglichen Auftragsverarbeitung im UK – vorerst

Auftragsverarbeitung im Vereinigten Königreich bleibt auch im Geltungsbereich des katholischen Gesetzes über den kirchlichen Datenschutz erst einmal möglich – das stellt der jüngste Beschluss der Konferenz der Diözesandatenschutzbeauftragten sicher. Damit wird die hier bereits angesprochene Ungewissheit im Bereich des KDG aufgelöst.

Für KDG-Anwender*innen brachte das Brexit-Abkommen nämlich ein besonderes Problem mit sich: Explizit legt das katholische Gesetz in § 29 Abs. 11 fest, dass Auftragsverarbeitung nur in EU- und EWR-Ländern, auf Grundlage eines Angemessenheitsbeschlusses oder auf Grundlage einer Feststellung einer Datenschutzaufsicht zulässig ist. Der vom Abkommen gewählte Umweg einer Behandlung des UK, als sei es kein Drittstaat, ist davon nicht abgedeckt.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)
Weiterlesen

Was das Brexit-Abkommen für den kirchlichen Datenschutz bedeutet

Das Vereinigte Königreich ist kein datenschutzrechtliches Drittland – erstmal. Das am Samstag veröffentlichte Abkommen hat den harten Brexit abgewendet (vorbehaltlich der noch nötigen Ratifizierungen) und auch verhindert, dass ab 1. Januar Großbritannien zum Drittland ohne Angemessenheitsbeschluss und damit mit erheblichem Mehraufwand für die Datenübertragung wird. Die Lösung ist aber nur eine vorläufige – und zumindest Anwender*innen des KDG stehen doch noch vor Problemen.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)
Weiterlesen

Hart, härter, kirchlicher Datenschutz?

Der kirchliche Datenschutz gilt als besonders streng – jedenfalls hört man das oft von Anwender*innen. Aber stimmt das eigentlich? Schließlich müssen die eigenen Datenschutzregeln von Religionsgemeinschaften, so sieht es Art. 91 DSGVO vor, »in Einklang« mit den Wertungen der DSGVO stehen. Und während die Deutsche Bischofskonferenz schreibt, dass sie mit einem Unterschied in der Formulierung der Einwilligung nicht strenger, sondern »lediglich konkreter und damit anwenderfreundlicher« sein wollte, sagte der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski, der auch an der Ausarbeitung des KDG mitwirkte, dass die Kirche aufgrund ihres Demokratiedefizits handeln musste: »und deshalb waren wir an manchen Stellen bei der Entwicklung des KDG strenger, um zu zeigen, dass wir bereit sind, solche Defizite auszugleichen«, so Joachimski. Von evangelischer Seite sind keine solche Äußerungen bekannt – aber auch dort hört man selten den Vorwurf, das DSG-EKD sei zu lax.

Stimmt es aber überhaupt, dass die kirchlichen Gesetze im Zweifel strenger sind? Ein genauer Blick fördert Interessantes zu Tage – und einige Regelungen, über die man überraschend wenig in der Praxis hört. An einigen Punkten gibt es deutliche Abweichungen von den Regelungen der DSGVO, die auch das Schutzniveau für betroffene Personen verändern.

Weiterlesen

Videokonferenz praktisch datenschutzkonform – nur wie?

Eins gleich vorweg: Die Antwort auf die drängendste Frage, nämlich »Darf ich Zoom verwenden?«, ist ein deutliches »Tja, hmm …«. Zum Thema Videokonferenzen haben die kirchlichen Datenschutzaufsichten viel veröffentlicht – und vieles ist auf der strengeren Seite möglicher Spielräume, bis hin zu ganz klaren Aussagen, dass US-Dienste kategorisch unzulässig sind. Aus diesem Dilemma kommt man nicht heraus.

Eine Videokonferenz mit vielen Teilnehmenden auf einem Laptopbildschirm
Videokonferenz. (Photo by Chris Montgomery on Unsplash)

Auch dieser Artikel kann kein Patentrezept liefern. Das kann momentan niemand – oder wie es der bayerische Diözesandatenschutzbeauftragte sagt: »Wenn Sie nach dem Lesen des Aufsatzes nicht wissen, welches Programm Sie nun wählen sollen, sind Sie damit nicht allein auf der Welt.« Was aber geht: Das Datenschutzniveau pragmatisch zu heben, sich statt völlig immerhin größtmöglich rechtskonform aufzustellen – selbst wenn die Wahl auf einen US-Anbieter fällt – und das eigene Verhalten auf respektvollen Umgang mit den Daten anderer zu optimieren.

Weiterlesen

Beschäftigtendatenschutz-Woche! – Wochenrückblick KW 45

Beim Beauftragten für den Datenschutz der EKD ist Beschäftigtendatenschutz-Woche: In zwei frisch erschienenen Flyern mit Kurzinformationen geht es um Personalakten und Informationen für Mitarbeitende. Das Papier zu Personalakten startet vage (»Unterschiedliche Teile der Personalakte unterliegen aufgrund unterschiedlicher Verarbeitungszwecke der personenbezogenen Daten unterschiedlichen Aufbewahrungsfristen.«), wird dann aber doch sehr hilfreich und listet auf, was in die Personalakte gehört, was nicht und wie damit umzugehen ist.

Das Kurzpapier »Was müssen Mitarbeitende über den Datenschutz wissen?« ist gut gemeint – aber für normale Mitarbeitende doch etwas kryptisch, da viele Fragen nur mit einem Verweis auf die Fundstelle im Gesetz beantwortet werden. Als Grundlage für betriebliche Datenschutzbeauftragte kann es aber hilfreich sein für die Planung von Schulungen. Leider zieht sich auch hier durch das Papier die ärgerliche Angewohnheit des DSB-EKD durch, Informationen nach nicht nachvollziehbaren Kriterien nur selektiv zu nennen. Dass bei der Frage nach der Veröffentlichungen von Mitarbeitendenfotos (grundsätzlich nur mit Einwilligung) der Sonderfall von Mitarbeitenden nicht erwähnt wird, bei denen das zum Stellenprofil gehört (z. B. bei Pressesprecher*innen), ist verschmerzbar. Wie in einem Papier zum Beschäftigtendatenschutz aber nur die Rechtsgrundlagen Einwilligung und Gesetz für die Verarbeitung personenbezogener Daten erwähnt werden können, wo doch hier in der Regel die einschlägigen Rechtsgrundlagen Arbeitsvertrag und insbesondere die speziellen Regelungen zum Beschäftigtendatenschutz (§ 49 DSG-EKD) sind, ist unverständlich. Eine grobe Unterlassung ist es zudem, dass die Problematik von Einwilligungen im Arbeitsverhältnis und die besonderen Anforderungen an sie (auf die § 49 Abs. 3 DSG-EKD explizit eingeht) gar nicht erst erwähnt wird.

Auch im Bereich der katholischen Kirche scheint die Sommerpause jetzt vorbei zu sein. Der bayerische Diözesandatenschutzbeauftragte hat eine Handreichung zu Schrems II veröffentlicht und das Erzbistum Köln reiht sich ein in die Bistümer, die ein eigenes §-29-KDG-Gesetz zur Auftragsdatenverarbeitung erlassen haben. Außerdem haben die Datenschutz-Notizen über den bayerischen Tätigkeitsbericht berichtet: »kurz und brisant« ist das Urteil, ähnlich wie meines.

Weiterlesen

#TeamDatenschutz – Wochenrückblick KW 38

Das große Thema der vergangenen Woche auf Datenschutz-Twitter: Winfried Veil hat den Hashtag #TeamDatenschutz analysiert und damit aktive Accounts ausgemacht, die über Datenschutz diskutieren. @artikel91 hat’s auch auf die Liste geschafft – ansonsten sind hauptsächlich Jurist*innen, Datenschützer*innen und Medien dabei. Kirchliche Datenschutz-Interessierte findet man kaum – auf Social Media machen sich die eher rar.

Auftragsverarbeitung gehört zu den schwierigeren Themen des Datenschutzrechts. Anscheinend reichen die gesetzlichen Grundlagen nicht aus: Mehrere Bistümer haben eigene Gesetze erlassen, die die Umsetzung von Auftragsverarbeitung regeln. Bei den Datenschutz-Notizen wird das im Januar veröffentlichte Gesetz des Bistums Münster vorgestellt, weitere entsprechende kirchliche Gesetze wurden verlinkt.

Auch eine Aussage über Videokonferenzsysteme: Der EKD-Datenschutzbeauftragte hat alle Grund- und Aufbauseminare für 2020 abgesagt, für 2021 gibt es nur noch Restplätze. Ist es wirklich unmöglich, digital und datenschutzkonform Datenschutzbeauftragte zu qualifizieren?

Weiterlesen