Schlagwort-Archiv: Auftragsverarbeitung

Wo gilt kirchlicher Datenschutz? – Wochenrückblick KW 46/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Für die Stiftung Datenschutz habe ich einen Praxisratgeber kirchlicher Datenschutz verfasst, der sich an Verantwortliche in kirchlichen und kirchennahen Vereinen und Einrichtungen richtet. In dieser Woche ist er zusammen mit der Aufzeichnung des Webinars zum Thema erschienen. Oft ist dabei die größte Schwierigkeit, herauszufinden, ob die Stelle kirchlich genug ist, um an der kirchlichen Selbstverwaltung teilzuhaben. Nur dann kommt kirchliches Recht zur Anwendung. Einen Schwerpunkt nehmen daher ein paar Faustregeln und Strategien ein, wie man feststellt, ob überhaupt kirchliches Datenschutzrecht gilt. Dazu kommt dann noch ein Blick auf typische Besonderheiten kirchlicher Datenschutzgesetze.

Bei der kirchenrechtlichen Tagung »De processibus matrimonialibus« hat die Bonner Kirchenrechtlerin Judith Hahn am Donnerstag über Sachurteile in kirchlichen Missbrauchsverfahren gesprochen: can. 1726 CIC legt fest, dass der kirchlicher Richter bei offenkundiger Unschuld dies per Urteil feststellen muss, auch dann, wenn der Vorwurf verjährt ist. Hahn bringt diese Norm in Zusammenhang mit dem hier schon häufiger als »Datenschutzkanon« thematisierten can. 220 CIC, der den Schutz des guten Rufs und der Intimsphäre regelt. Die Kehrseite, die auch Hahn anspricht: Wo es einen Freispruch erster Klasse gibt, wird ein Freispruch aus Mangel an Beweisen gerade zum Makel. (Ausführlich dazu Hahns Beitrag für das Oxford Journal of Law and Religion.)

Weiterlesen

Flutdatenschaden – Tätigkeitsbericht 2021 des KDSZ Frankfurt

Schreiben Sie eine Antwort

Nach Corona ist immer noch während Corona – und das Jahr der Flut. Unter den sieben Bistümern, die das Katholische Datenschutzzentrum Frankfurt beaufsichtigt, sind die von der Flut am schwersten betroffenen – das Ahrtal gehört zum Bistum Trier. Das prägt auch den Tätigkeitsbericht für 2021, der nun erschienen ist.

Titelseite des Tätigkeitsberichts für 2021 des KDSZ Frankfurt
In diesem Jahr wieder kühle Stockphoto-Ästhetik statt dem heiligen Johannes Nepomuk auf dem Cover.

Der Südwest-Tätigkeitsbericht gehört immer zu denen, die sich am unterhaltsamsten lesen. Die Diözesandatenschutzbeauftragte Ursula Becker-Rathmair hat ein Talent, Datenschutzvorfälle so lakonisch mit trockenem Humor zu schildern, dass man bei Datenschutzschulungen eins zu eins aus dem Tätigkeitsbericht vorlesen möchte. Auch wenn sie sich angesichts der Flut erschüttert zeigt: Auch das prägt wieder den Bericht.

Weiterlesen

Checkliste Auftragsverarbeitung nach KDG und DSG-EKD

Schreiben Sie eine Antwort

Kaum eine Einrichtung dürfte ohne Auftragsverarbeitung auskommen: Das Hosting der eigenen Webseite, IT- und Versand-Dienstleistungen und andere Verarbeitungen werden meist extern gelöst. Um das rechtskonform abzubilden, braucht es in der Regel einen Auftragsverarbeitungsvertrag. Viele Dienstleister haben auch schon fertige Musterverträge. Aber schon im Geltungsbereich der DSGVO sind die oft nicht vollständig und korrekt – im kirchlichen Bereich kommt erschwerend dazu, dass Musterverträge selten auf die Existenz anderer Rechtsordnungen und Aufsichtsregime als nach der DSGVO Rücksicht nehmen, und allein mit dem Verweis ist es auch nicht getan.

Symbolbild Auftragsverarbeitung: Eine Brille liegt auf einem Vertrag.
(Bildquelle Mari Helin on Unsplash)

Für die Prüfung von DSGVO-Auftragsverarbeitungsverträgen hat die Berliner Landesdatenschutzaufsicht eine ausführliche und detaillierte Checkliste nebst Ausfüllhinweisen veröffentlicht. Bevor man damit aber Auftragsverarbeitungen im kirchlichen Bereich prüfen oder gestalten kann, braucht es viel Arbeit: Die entsprechenden Paragraphen im KDG und im DSG-EKD sind teils sehr unterschiedlich aufgebaut – und dazu kommen Besonderheiten, die es nur in den kirchlichen Gesetzen gibt. Hier hilft eine KDG- und DSG-EKD-Synopse zur Berliner Checkliste.

Weiterlesen

Blick in die Akten – Wochenrückblick KW 29/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das Bistum Rottenburg-Stuttgart ermöglicht nun auch die Akteneinsicht zur Missbrauchsaufarbeitung bei allen Beschäftigten. Im aktuellen Amtsblatt wurde eine Ordnung zur Regelung von Einsichts- und Auskunftsrechten für die Kommissionen zur Aufarbeitung von sexuellem Missbrauch Minderjähriger und schutz- oder hilfebedürftiger Erwachsener in Bezug auf Personalaktendaten von Beschäftigten (OAK-DRS) veröffentlicht. Die Ordnung ist eine Premiere: Mittlerweile haben zwar mindestens 16 Bistümer Einsichtsnormen in Personalakten von Klerikern und Kirchenbeamten in Kraft gesetzt, darunter Rottenburg-Stuttgart. Aber über einen Beschluss der Bistums-KODA tatsächlich alle Beschäftigten zu erfassen, auch die nicht unmittelbaren Bistumsbeschäftigten, geht weit darüber hinaus. Ob das so zulässig ist, wird sich im Streitfall vor Gericht erweisen. (Auch bei katholisch.de habe ich darüber berichtet.)

Der Jahresbericht 2021 der Kommission der EU-Bischofskonferenzen COMECE ist erschienen. Darin gibt es auch einen kurzen Abschnitt zum Datenschutz und zum Umgang mit der DSGVO (»a permanent priority of the Catholic Church in Europe«), in dem von einer Überarbeitung der internen Richtlinien für die Bischofskonferenzen der EU, die in diesem Jahr fertig gestellt werden soll. Was darin genau steht, ist nicht bekannt. Es ist aber anzunehmen, dass es sich um das Muster-Datenschutzgesetz handelt, auf dessen Grundlage beispielsweise die polnische, die maltesische und die spanische Bischofskonferenz ihr Datenschutzgesetz erlassen haben. Außerdem erfährt man vom Datenschutz-Austauschtreffen der COMECE, von dem bereits der polnische Datenschutzbeauftragte (KIOD) berichtet hatte. Thema war außerdem die Rechtsgrundlage berechtigtes Interesse und das Zusammenspiel von DSGVO und Kirchenrecht. Zudem werden datenschutzrechtliche Fälle mit Kirchenbezug gesammelt.

Bei Nebentätigkeiten entwickeln Dienstgeber häufig eine ungesunde Neugierde und haben wenig im Blick, was erforderlich ist und dass Nebentätigkeiten auch von Grundrechten geschützt sind. Da ist es sehr hilfreich, wenn die KDSA Ost eine kleine Handreichung zur Verfügung stellt, wie der Datenschutz dabei ins Spiel kommt.

Weiterlesen

PinG 3/2022 mit Schwerpunkt kirchlicher Datenschutz

Schreiben Sie eine Antwort

Die aktuelle Ausgabe der Zeitschrift PiNG (Privacy in Germany) widmet sich schwerpunktmäßig dem Datenschutz in den Religionsgemeinschaften. Zu dem Schwerpunkt habe ich einen Beitrag zur Anwendung von Art. 91 DSGVO in den EU-Mitgliedstaaten beigesteuert. Lesenswert ist das Heft aber vor allem aufgrund der großen Bandbreite an Beiträgen, die Theorie und Praxis exzellent verknüpfen und die juristische Diskussion voranbringen. Ein Blick ins Heft.

Cover der Ausgabe 3/2022 der Zeitschrift PinG
Weiterlesen

Neue Argumente für die Unterwerfungserklärung nach DSG-EKD

Schreiben Sie eine Antwort

Auftragsverarbeitung verbindet oft den Anwendungsbereich verschiedener Datenschutzregime: Wenn eine kirchliche Stelle einen nicht-kirchlichen Dienstleister beauftragt, unterliegt der zwar weiterhin der DSGVO, als verantwortliche Stelle muss die kirchliche Einrichtung aber die Durchsetzung des kirchlichen Datenschutzgesetzes sicherstellen. Auftragsverarbeitung im kirchlichen Kontext braucht daher Zusatzvereinbarungen zu den Standard-Auftragsverarbeitungsverträgen.

Eine Hand steckt ein Netzwerkkabel in einem Serverschrank.
Auftragsverarbeitung ist besonders bei der IT alltäglich. (Symbolbild, Photo by ThisisEngineering RAEng on Unsplash)

Als wäre es nicht schon anspruchsvoll genug, Dienstleister (die oft Massendienstleistungen anbieten) von Zusatzvereinbarungen zu überzeugen, verwendet man im Bereich des DSG-EKD auch noch den sehr unsympathischen Begriff »Unterwerfungserklärung«, der nicht unbedingt die besten Assoziationen weckt. Wohl auch deshalb hat der BfD EKD sein Muster einer Unterwerfungserklärung um hilfreiche Erläuterungen ergänzt.

Weiterlesen

Keine E-Mails bei der EKD, kein Adressbuch bei den Alt-Katholischen – Wochenrückblick KW 38/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der EKD-Ratsvorsitzende Heinrich Bedford-Strohm hat bei einer Tagung der Evangelischen Akademie der Pfalz fünf Visionen für eine digitale Kirche formuliert – der ganze Vortrag lohnt sich. Zum Thema Datenschutz wünscht sich der bayerische Landesbischof, »dass wir als Kirche viel mutiger Daten dazu nutzen, nicht um den Menschen irgendetwas zu verkaufen, sondern um ihnen gegenüber durch eine freundliche Kontaktaufnahme die Liebe Gottes nahezubringen und eine klare Botschaft zu vermitteln«. Während Babynahrungskonzerne ohne Skrupel und ohne Probleme an die Adressen von neuen Eltern kommen, tue sich die Kirche schwer damit: »Wir haben noch nicht einmal die E-Mail-Adressen unserer Mitglieder.« Der Wunsch ist verständlich und pastoral verantwortet – die Hürden, in einer Mitgliederkirche, deren Mitglieder föderal-dezentral verteilt und (auch) über staatliche Meldedaten erfasst werden, dafür eine Regelung zu finden, die nicht als übergriffig empfunden wird, dürfte eine große Herausforderung sein.

Das Antragsbuch zur 62. Synode des Alt-Katholischen Bistums wurde veröffentlicht. Darin gibt es auch einen Antrag zur Änderung der Kirchlichen Datenschutzordnung (KDO) (Antrag 18): Die Pastoralkonferenz Bayern beantragt eine eigene Rechtsgrundlage für die Veröffentlichung von Kontaktdaten von Ansprechpersonen. Die Formulierung ist dabei sehr weitreichend, weil ohne weitere Bestimmung von »Kontaktdaten« die Rede ist, also nicht eingeschränkt auf dienstliche (oder für Ehrenamtliche funktionsbezogene) Kontaktdaten. Die vorgeschlagene Rechtsgrundlage ist auch nicht eingebettet in die Betroffenenrechte; bei den Rechtsgrundlagen kirchliches und berechtigtes Interesse regelt § 23 Abs. 1 KDO ein Widerspruchsrecht. Hier auch für nach der beantragten neuen Rechtsgrundlage veröffentlichte Daten ein Widerspruchsrecht vorzusehen, wäre eine sinnvolle Ergänzung, dazu sollte von Anfang an die betroffene Person mehr Einfluss darauf haben, welche ihrer Kontaktdaten derart veröffentlicht werden können – die Formulierung hebt zwar beispielhaft auf wohl gedruckte Publikationen ab, würde aber auch eine Online-Veröffentlichung ermöglichen.

Das Erzbistum Hamburg hat sich nun in die Reihe der Bistümer eingereiht, die ein eigenes Gesetz zur Auftragsverarbeitung kirchlicher öffentlich-rechtlicher Stellen erlassen haben. Im aktuellen Amtsblatt ist das »Gesetz über die Auftragsdatenverarbeitung zwischen juristischen Personen im Erzbistum Hamburg« nebst der dazugehörigen Durchführungsverordnung erschienen. Inhaltlich ähnelt es trotz des anderen Namens den anderen bereits in Kraft gesetzten §-29-KDG-Gesetzen (vgl. dazu etwa das Münsteraner Gesetz) auf der Grundlage der Vorlage des VDD: Es schafft das in § 29 Abs. 3 KDG vorgesehene »andere Rechtsinstrument« zur Regelung von Auftragsverarbeitung. Inhaltlich regelt die Durchführungsverordnung ziemlich exakt die Punkte, die auch in einem AV-Vertrag stehen würden, die Verantwortlichen und ihre Auftragsverarbeiter können sich einfach darauf berufen, statt einen eigenen AV-Vertrag aufzusetzen. Praktisch und ein Beitrag zu mehr Rechtsklarheit durch Standardisierung. Innerdiözesan jedenfalls: Bei den §-29-Gesetzen herrscht ziemlicher Wildwuchs; die VDD-Vorlage ist sehr kompakt, und warum sich die diözesanen Gesetzgeber ausgerechnet hier ohne große Konsequenzen so verkünsteln (Hamburg weicht von der Vorlage immer wieder ab, ohne unmittelbar ersichtliche Regelungsabweichungen vorzunehmen), ist unklar.

Bei der Vollversammlung der Deutschen Bischofskonferenz wurde ein möglichst einheitliches Gesetz angekündigt: Eine neue Personalaktenordnung soll zum 1. Januar 2022 in allen Bistümern Kraft treten. »Mit der Verabschiedung der PAO ist es möglich, dass Missbrauchsbeschuldigungen künftig in allen Diözesen verbindlich, einheitlich und transparent dokumentiert werden. Zudem ist eine Übermittlung aller personalaktenrelevanter Dokumente und Vorgänge bei Tätigkeiten von Klerikern außerhalb der Inkardinationsdiözese geregelt«, so Bischof Bätzing im Abschlussbericht. Auch hier gab es keinen offenen Anhörungsprozess – aber immerhin wurde der Betroffenenbeirat der DBK beteiligt. Außerdem aus den Personalia: Uta Losem ist neue stellvertretende Leiterin des Katholischen Büros Berlin – zu ihrem Aufgabengebiet gehörte bisher auch der Datenschutz.

Explizit nicht um Datenschutz wird es in einem neuen Pop-Up-Newsletter vom Kollegen von der Eule gehen: unter dem Slogan »#digitaleKirche verstehen mit DIGITAL TUTORIAL« erscheinen bis Weihnachten sieben thematische Newsletter zum Thema, die ich jetzt schon ungelesen empfehlen kann, ist Eule-Herausgeber Philipp Greifenstein doch einer der besten Kenner und Kritiker der digitalen Kirche.

Weiterlesen

Der UK-Angemessenheitsbeschluss und die kirchlichen Datenschutzgesetze

Schreiben Sie eine Antwort

Da hat die EU-Kommission fast eine Punktlandung hingelegt: Vor dem Auslaufen der Brexit-Übergangsregelung zum Datentransfer ins Vereinigte Königreich kam am Montag der Angemessenheitsbeschluss – das UK ist jetzt ein sicheres Drittland.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)

Damit ist auch eine unschöne Hängepartie vermieden, die sich die kirchlichen Gesetzgeber teilweise selbst eingebrockt haben. (Spoiler: Wie immer, wenn’s um Drittländer geht, sind es die Katholik*innen, die sich ein Bein gestellt haben.)

Weiterlesen

Tagungsbericht »Drei Jahre Gesetz über den Kirchlichen Datenschutz«

Schreiben Sie eine Antwort

Im vierten Jahr seiner Geltung geht es beim KDG und seiner Umsetzung in die Details – das zeigte die von Curacon und den nordrhein-westfälischen Caritasverbänden organisierte Tagung zum dritten Geburtstag des Gesetzes über den kirchlichen Datenschutz am vergangenen Freitag.

Folie mit dem Veranstaltungstitel auf einem Laptop

Schwerpunkt waren alltägliche, aber komplizierte Themen: Der Umgang mit Auskunftsersuchen, Auftragsverarbeitung, Schadensersatzansprüche, Datenschutzfolgenabschätzungen und Compliance. Zwei Produkt-Vorstellungen – ein KDG-Compliance-Tool der GDD und ein Datenschutzfolgenabschätzungstool der Curacon – standen zudem auf der Tagesordnung. Den Blick aus den Niederungen der Praxis weitete zum Abschluss ein Vortrag des Vorsitzenden Richters am Interdiözesanen Datenschutzgericht, Bernhard Fessler.

Weiterlesen

luca-Betreiberin ermöglicht Einsatz unter kirchlichem Datenschutzrecht

Schreiben Sie eine Antwort

Die Betreiberin der luca-App, die culture4life GmbH, ist bereit, die für die Verwendbarkeit unter dem kirchlichen Datenschutzrecht notwendigen Auflagen bei Auftragsverarbeitungsverträgen zu erfüllen. Auf Anfrage von „Artikel 91“ bestätigte die Datenschutzbeauftragte des Unternehmens Vera Weidmann, dass die nach dem DSG-EKD notwendige Unterwerfungserklärung unter die kirchliche Datenschutzaufsicht ebenso wie der nach KDG erforderliche Bezug auf das kirchliche Datenschutzrecht möglich sei. Wörtlich sagte Weidmann: »Die Zusatzvereinbarung kann zwischen uns und den kirchlichen Trägern unterzeichnet werden. Eine weitere Klausel für katholische Einrichtungen kann ebenfalls in den AVV integriert werden.« [Ergänzung, 26. April 2021]Für die Zusatzvereinbarung zur Unterwerfungserklärung wird das Muster der kirchlichen Aufsicht verwendet: „Dieses erhalten die kirchlichen Einrichtungen bisher nur auf Anfrage bei uns“, so Weidmann. Die zusätzliche Klausel im AVV für katholische Einrichtungen wird gerade erarbeitet und auf Anfrage zur Verfügung gestellt.[/Ergänzung] Damit ist die wichtigste rechtliche Hürde genommen, die Auftragsverarbeitung im kirchlichen Datenschutzrecht im Vergleich zu den Regelungen der DSGVO darstellt.

Weiterlesen