Schlagwort-Archive: Auftragsverarbeitung

Nachhaltig, synodal, ethisch – Wochenrückblick KW 19/2025

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung. Über den Newsletter gibt es außerdem Zugang zur Artikel-91-Signal-Gruppe und zu den digitalen Datenschutz-Stammtischen.

Wochenrückblick Kirchlicher Datenschutz KW 19/2025
(Bildquelle: ali syaaban on Unsplash)
Weiterlesen

Das neue DSG-EKD tritt am 1. Mai in Kraft – das ist zu tun

Alles neu macht der Mai: Am 1. Mai tritt das novellierte DSG-EKD in Kraft. Die Veränderungen, die hier schon auf Grundlage des Referentenentwurfs und des Synodenantrags diskutiert wurden, sind umfangreich, aber mehr Evolution als Revolution.

Eine Checkliste mit der Überschrift »DSG-EKD – 1. Mai 2025« liegt vor einer digitalen Ausgabe des EKD-Amtsblatts
Die Checkliste zur Umsetzung der Änderungen sollte einigermaßen kompakt bleiben können.

Dennoch gibt es neben Klarstellungen, Anpassungen an den Sprachgebrauch der DSGVO und Formulierungsänderungen auch substantielle Änderungen, die es umzusetzen gilt. Den Text des neuen DSG-EKD gibt es in der EKD-Rechtssammlung.

Weiterlesen

MAVO und Muster – Wochenrückblick KW 49/2024

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wochenrückblick Kirchlicher Datenschutz KW 49/2024
(Bildquelle: ali syaaban on Unsplash)
Weiterlesen

Besser gemeinsam verantwortlich – Wochenrückblick KW 30/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wochenrückblick Kirchlicher Datenschutz KW 30/2023
(Bildquelle: ali syaaban on Unsplash)
Weiterlesen

Das »kleine Konzernprivileg« bei Kooperationen und Konzentrationen

Häufig ist bei rechtlich selbständigen kirchlichen Stellen ein reger Datenaustausch zu verzeichnen. Zum Teil kooperieren diese Stellen entweder eng miteinander oder sind gar in einer Konzernstruktur verbunden. Das »kleine Konzernprivileg« kann hier nur sehr bedingt eingesetzt werden. Diese Verarbeitungen müssen daher einer differenzierten datenschutzrechtlichen Betrachtung unterzogen und, wo nötig, vertraglich geregelt werden.

Geometrische Figuren ergeben ein kompliziertes, sich überlagerndes Muster
Nicht jedes Organigramm ist gleich eingängig. (Symbolbild, Bildquelle: Martin Sanchez auf Unsplash)

Kooperationen sind im kirchlichen Umfeld fester Bestandteil der Arbeitswelt. Neben Einrichtungen des Gesundheits- und Sozialwesens übernehmen auch in der verfassten Kirche verschiedene Stellen Aufgaben für andere (z. B. Dekanate, kreiskirchliche Verwaltungsämter, Regionalzentren).

Damit geht meist eine Datenverarbeitung einher, für die je nach Konstellation vertragliche Regelungen erforderlich werden. Unumgänglich ist es, die Rechtsgrundlage für den Datenaustausch und die Verantwortlichkeit für die Verarbeitung personenbezogener Daten zu klären. Denn nur so ist eine (haftungs-)rechtliche Absicherung und die Erfüllung aller Pflichten der verantwortlichen Stellen möglich.

Weiterlesen

Freikirche auf dem Kieker – Wochenrückblick KW 3/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das katholische Datenschutzzentrum Dortmund gibt Winke dazu, ob und wie Microsoft 365 eingesetzt werden kann – allerdings ohne Patentlösungen: »Damit Microsoft die Daten nicht mehr zu eigenen Zwecken verarbeiten kann, müsste der Zugriff auf die personenbezogenen Daten vom Verantwortlichen unterbunden werden. Neben der Nutzung pseudonymisierter Nutzerkonten könnte auch die Nutzung des Cloud-Speichers ausgeschlossen werden«, heißt es in dem Beitrag. Der Einzelfall sei zu betrachten und in einer Datenschutzfolgenabschätzung zu prüfen. Die katholische NRW-Aufsicht geht damit in eine ähnliche Richtung wie die bayerische, aber mit weniger konkreten Ansagen.

Nach dem Erfolg gegen die Selbständige Evangelisch-Lutherische Kirche hat die niedersächsische Landesdatenschutzbeauftragte eine weitere Religionsgemeinschaft im Visier: Auf Anfrage teilte die LfD Niedersachsen mit, dass ein weiteres Prüfverfahren gegen eine Freikirche gemeinsam mit einer weiteren Aufsichtsbehörde derzeit vorbereitet wird. Weitere Angaben können angesichts des frühen Vorbereitungsstadiums noch nicht gemacht werden, so der Sprecher. Mit Blick auf das Urteil des VG Hannover, mit dem das Datenschutzrecht der SELK verworfen wurde, zeigte sich die Aufsicht zufrieden. »Aus Sicht unserer Behörde ist es sehr zu begrüßen, dass eine Vielzahl an wichtigen Auslegungsfragen zu Art. 91 DS-GVO nun erstmals gerichtlich entschieden wurde. Wir gehen davon aus, dass dieses Urteil über den konkreten Einzelfall hinaus auch für andere (Frei-)Kirchen oder Religionsgemeinschaften Bedeutung haben könnte«, so der Sprecher. Mit Blick auf die durch die SELK eingelegte Berufung beim Niedersächsischen Oberverwaltungsgericht bleibe jedoch zunächst noch die weitere Entwicklung der Rechtsprechung abzuwarten.

In Berlin, wo die Landesdatenschutzbeauftragte die Zeugen Jehovas prüft, gibt es unterdessen noch nichts Neues – auf Anfrage teilte ein Sprecher mit, dass man hoffe, im ersten Quartal fertig zu sein. »In den kommenden Wochen stehen dazu weitere Abstimmungen mit anderen Aufsichtsbehörden und den zuständigen Gremien der Datenschutzkonferenz an«, so der Sprecher.

Auf Mastodon beantwortet der BayLfD jede Woche eine Frage – dieses Mal geht es um Religionsunterricht: »Dürfen kirchliche Religionslehrkräfte, die an staatlichen Schulen eingesetzt werden, Daten von Schülern auf IT-Systemen einer kirchlichen Stelle speichern?« Religionsunterricht als ordentliches Lehrfach sei in der Verantwortung der Schule, antwortet die Aufsicht. »Der Umgang mit Schülerdaten ist grundsätzlich der Schule als verantwortlicher Stelle zuzurechnen; maßgeblich sind die dort geltenden Datenschutzregeln. Eine Nutzung kirchlicher IT-Infrastruktur ist jedenfalls nicht ohne weiteres zulässig.«

In der Neuen Zeitschrift für Arbeitsrecht (NZA 1/2023, S. 7–13) befasst sich Thomas Ritter mit Compliance-Pflichten bei der Leitung katholischer Unternehmen, die sich aus der neuen Grundordnung des kirchlichen Dienstes ergeben. Mit der neuen Grundordnung hat das Kriterium der Kirchenzugehörigkeit für weniger Beschäftigte Relevanz (nicht aber des Kirchenaustritts). Damit stellt sich die Frage, ob die Religionszugehörigkeit über die Steuer hinaus überhaupt noch in den Personaldaten verarbeitet werden kann. Die Zugehörigkeit zur katholischen Kirche wird nur noch gefordert von Beschäftigten, denen eine besondere Verantwortung für die katholische Identität der Einrichtung zukommt, und im pastoralen Dienst. Das führt dazu – so Ritter überzeugend –, dass bei solchen Stellen auch die Frage nach dem Bekenntnis im Bewerbungsverfahren zulässig ist. Eine falsche Antwort begründe das Recht der Anfechtung. »Es besteht ein berechtigtes Interesse der Kirche und der ihr zuzurechnenden Träger von kirchlichen Einrichtungen an einer wahrheitsgemäßen Beantwortung«, so Ritter. Dabei spreche im Blick auf den institutionellen Ansatz der neuen GO viel dafür, dass die Frage nach der Religionszugehörigkeit – etwa im Personalfragebogen – bei anderen (potentiellen) Beschäftigten zulässig sei.

Weiterlesen

Hallo Mastodon – Wochenrückblick KW 47/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Bei Twitter ist nach der Musk-Übernahme Endzeitstimmung. Mit der Unsicherheit, ob’s der Dienst noch länger macht, geht der Boom der dezentralen und datensparsamen Open-Source-Alternative Mastodon einher. Für katholisch.de habe ich mich im (katholischen) Bereich umgehört, wie dort die Umzugsstimmung ist. Mit der steigenden Popularität von Mastodon stellt sich auch die Frage, wie Instanzen datenschutzkonform betrieben werden können. Dazu hat schon vor einem Jahr Christian Brecheis einige Einschätzungen aus seiner Praxis gegeben: Er ist Datenschutzbeauftragter und mit für die Mastodon-Instanz kirche.social zuständig.

Die Caritas-Dienstgeber beschäftigen sich mit dem Urteil des Bundesarbeitsgerichts zum Kündigungsschutz des Datenschutzbeauftragten (Urteil vom 25. August 2022, BAG 2 AZR 225/20) und kommt zu dem Schluss, dass sich die Entscheidung auch auf den betrieblichen Datenschutzbeauftragten gemäß KDG anwenden lässt: »Dieser hat eine vergleichbare Rechtsstellung, wie Datenschutzbeauftragte in weltlichen Einrichtungen, insbesondere greift auch hier gem. § 37 Absatz 4 Satz 1 KDG ein Sonderkündigungsschutz im laufenden Dienstverhältnis ein, so dass eine Kündigung nur aus wichtigem Grund zulässig ist«, heißt es in der Analyse des Urteils.

Das Gutachten zur Einführung einer diözesanen Verwaltungsgerichtsbarkeit im Bistum Münster verzögert sich noch: Der ursprünglich mit der Ausarbeitung beauftragte Emeritus Klaus Lüdicke hat sich mit Bischof Felix Genn überworfen. »Hintergrund waren Meinungsverschiedenheiten zum Umgang mit Vorwürfen gegen einen Priester […], weil ich die von mir eingeleiteten Untersuchungen nicht sofort einstellen wollte«, heißt es in Genns Zwischenbericht. Neu beauftragt wurden Lüdickes Nachfolger Thomas Schüller (einer der wenigen Kanonist*innen, die schon zum kirchlichen Datenschutzrecht publiziert haben) und sein Mitarbeiter Thomas Neumann. Die prüfen nun nicht nur die Möglichkeit, sondern wollen bis Mai auch eine mögliche Ordnung für das Münsteraner kirchliche Verwaltungsgericht vorlegen.

Neues vom DSG-EKD-Kommentar: Der ursprünglich für das zweite Quartal 2022 angekündigte Kommentar ist laut Auskunft des Nomos-Verlags nun erst im Mai 2023 zu erwarten. Pünktlich zur Evaluierungsfrist des DSG-EKD.

In eigener Sache: Im Podcast Spiritualität 9.0 habe ich mit Claus Geißendörfer über kirchlichen Datenschutz und Rechtskultur in der Kirche gesprochen.

Weiterlesen

Wo gilt kirchlicher Datenschutz? – Wochenrückblick KW 46/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Für die Stiftung Datenschutz habe ich einen Praxisratgeber kirchlicher Datenschutz verfasst, der sich an Verantwortliche in kirchlichen und kirchennahen Vereinen und Einrichtungen richtet. In dieser Woche ist er zusammen mit der Aufzeichnung des Webinars zum Thema erschienen. Oft ist dabei die größte Schwierigkeit, herauszufinden, ob die Stelle kirchlich genug ist, um an der kirchlichen Selbstverwaltung teilzuhaben. Nur dann kommt kirchliches Recht zur Anwendung. Einen Schwerpunkt nehmen daher ein paar Faustregeln und Strategien ein, wie man feststellt, ob überhaupt kirchliches Datenschutzrecht gilt. Dazu kommt dann noch ein Blick auf typische Besonderheiten kirchlicher Datenschutzgesetze.

Bei der kirchenrechtlichen Tagung »De processibus matrimonialibus« hat die Bonner Kirchenrechtlerin Judith Hahn am Donnerstag über Sachurteile in kirchlichen Missbrauchsverfahren gesprochen: can. 1726 CIC legt fest, dass der kirchlicher Richter bei offenkundiger Unschuld dies per Urteil feststellen muss, auch dann, wenn der Vorwurf verjährt ist. Hahn bringt diese Norm in Zusammenhang mit dem hier schon häufiger als »Datenschutzkanon« thematisierten can. 220 CIC, der den Schutz des guten Rufs und der Intimsphäre regelt. Die Kehrseite, die auch Hahn anspricht: Wo es einen Freispruch erster Klasse gibt, wird ein Freispruch aus Mangel an Beweisen gerade zum Makel. (Ausführlich dazu Hahns Beitrag für das Oxford Journal of Law and Religion.)

Weiterlesen

Flutdatenschaden – Tätigkeitsbericht 2021 des KDSZ Frankfurt

Nach Corona ist immer noch während Corona – und das Jahr der Flut. Unter den sieben Bistümern, die das Katholische Datenschutzzentrum Frankfurt beaufsichtigt, sind die von der Flut am schwersten betroffenen – das Ahrtal gehört zum Bistum Trier. Das prägt auch den Tätigkeitsbericht für 2021, der nun erschienen ist.

Titelseite des Tätigkeitsberichts für 2021 des KDSZ Frankfurt
In diesem Jahr wieder kühle Stockphoto-Ästhetik statt dem heiligen Johannes Nepomuk auf dem Cover.

Der Südwest-Tätigkeitsbericht gehört immer zu denen, die sich am unterhaltsamsten lesen. Die Diözesandatenschutzbeauftragte Ursula Becker-Rathmair hat ein Talent, Datenschutzvorfälle so lakonisch mit trockenem Humor zu schildern, dass man bei Datenschutzschulungen eins zu eins aus dem Tätigkeitsbericht vorlesen möchte. Auch wenn sie sich angesichts der Flut erschüttert zeigt: Auch das prägt wieder den Bericht.

Weiterlesen

Checkliste Auftragsverarbeitung nach KDG und DSG-EKD

Kaum eine Einrichtung dürfte ohne Auftragsverarbeitung auskommen: Das Hosting der eigenen Webseite, IT- und Versand-Dienstleistungen und andere Verarbeitungen werden meist extern gelöst. Um das rechtskonform abzubilden, braucht es in der Regel einen Auftragsverarbeitungsvertrag. Viele Dienstleister haben auch schon fertige Musterverträge. Aber schon im Geltungsbereich der DSGVO sind die oft nicht vollständig und korrekt – im kirchlichen Bereich kommt erschwerend dazu, dass Musterverträge selten auf die Existenz anderer Rechtsordnungen und Aufsichtsregime als nach der DSGVO Rücksicht nehmen, und allein mit dem Verweis ist es auch nicht getan.

Symbolbild Auftragsverarbeitung: Eine Brille liegt auf einem Vertrag.
(Bildquelle Mari Helin on Unsplash)

Für die Prüfung von DSGVO-Auftragsverarbeitungsverträgen hat die Berliner Landesdatenschutzaufsicht eine ausführliche und detaillierte Checkliste nebst Ausfüllhinweisen veröffentlicht. Bevor man damit aber Auftragsverarbeitungen im kirchlichen Bereich prüfen oder gestalten kann, braucht es viel Arbeit: Die entsprechenden Paragraphen im KDG und im DSG-EKD sind teils sehr unterschiedlich aufgebaut – und dazu kommen Besonderheiten, die es nur in den kirchlichen Gesetzen gibt. Hier hilft eine KDG- und DSG-EKD-Synopse zur Berliner Checkliste.

Weiterlesen