Schlagwort-Archive: Auftragsverarbeitung

Neue Argumente für die Unterwerfungserklärung nach DSG-EKD

Auftragsverarbeitung verbindet oft den Anwendungsbereich verschiedener Datenschutzregime: Wenn eine kirchliche Stelle einen nicht-kirchlichen Dienstleister beauftragt, unterliegt der zwar weiterhin der DSGVO, als verantwortliche Stelle muss die kirchliche Einrichtung aber die Durchsetzung des kirchlichen Datenschutzgesetzes sicherstellen. Auftragsverarbeitung im kirchlichen Kontext braucht daher Zusatzvereinbarungen zu den Standard-Auftragsverarbeitungsverträgen.

Eine Hand steckt ein Netzwerkkabel in einem Serverschrank.
Auftragsverarbeitung ist besonders bei der IT alltäglich. (Symbolbild, Photo by ThisisEngineering RAEng on Unsplash)

Als wäre es nicht schon anspruchsvoll genug, Dienstleister (die oft Massendienstleistungen anbieten) von Zusatzvereinbarungen zu überzeugen, verwendet man im Bereich des DSG-EKD auch noch den sehr unsympathischen Begriff »Unterwerfungserklärung«, der nicht unbedingt die besten Assoziationen weckt. Wohl auch deshalb hat der BfD EKD sein Muster einer Unterwerfungserklärung um hilfreiche Erläuterungen ergänzt.

Weiterlesen

Keine E-Mails bei der EKD, kein Adressbuch bei den Alt-Katholischen – Wochenrückblick KW 38/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der EKD-Ratsvorsitzende Heinrich Bedford-Strohm hat bei einer Tagung der Evangelischen Akademie der Pfalz fünf Visionen für eine digitale Kirche formuliert – der ganze Vortrag lohnt sich. Zum Thema Datenschutz wünscht sich der bayerische Landesbischof, »dass wir als Kirche viel mutiger Daten dazu nutzen, nicht um den Menschen irgendetwas zu verkaufen, sondern um ihnen gegenüber durch eine freundliche Kontaktaufnahme die Liebe Gottes nahezubringen und eine klare Botschaft zu vermitteln«. Während Babynahrungskonzerne ohne Skrupel und ohne Probleme an die Adressen von neuen Eltern kommen, tue sich die Kirche schwer damit: »Wir haben noch nicht einmal die E-Mail-Adressen unserer Mitglieder.« Der Wunsch ist verständlich und pastoral verantwortet – die Hürden, in einer Mitgliederkirche, deren Mitglieder föderal-dezentral verteilt und (auch) über staatliche Meldedaten erfasst werden, dafür eine Regelung zu finden, die nicht als übergriffig empfunden wird, dürfte eine große Herausforderung sein.

Das Antragsbuch zur 62. Synode des Alt-Katholischen Bistums wurde veröffentlicht. Darin gibt es auch einen Antrag zur Änderung der Kirchlichen Datenschutzordnung (KDO) (Antrag 18): Die Pastoralkonferenz Bayern beantragt eine eigene Rechtsgrundlage für die Veröffentlichung von Kontaktdaten von Ansprechpersonen. Die Formulierung ist dabei sehr weitreichend, weil ohne weitere Bestimmung von »Kontaktdaten« die Rede ist, also nicht eingeschränkt auf dienstliche (oder für Ehrenamtliche funktionsbezogene) Kontaktdaten. Die vorgeschlagene Rechtsgrundlage ist auch nicht eingebettet in die Betroffenenrechte; bei den Rechtsgrundlagen kirchliches und berechtigtes Interesse regelt § 23 Abs. 1 KDO ein Widerspruchsrecht. Hier auch für nach der beantragten neuen Rechtsgrundlage veröffentlichte Daten ein Widerspruchsrecht vorzusehen, wäre eine sinnvolle Ergänzung, dazu sollte von Anfang an die betroffene Person mehr Einfluss darauf haben, welche ihrer Kontaktdaten derart veröffentlicht werden können – die Formulierung hebt zwar beispielhaft auf wohl gedruckte Publikationen ab, würde aber auch eine Online-Veröffentlichung ermöglichen.

Das Erzbistum Hamburg hat sich nun in die Reihe der Bistümer eingereiht, die ein eigenes Gesetz zur Auftragsverarbeitung kirchlicher öffentlich-rechtlicher Stellen erlassen haben. Im aktuellen Amtsblatt ist das »Gesetz über die Auftragsdatenverarbeitung zwischen juristischen Personen im Erzbistum Hamburg« nebst der dazugehörigen Durchführungsverordnung erschienen. Inhaltlich ähnelt es trotz des anderen Namens den anderen bereits in Kraft gesetzten §-29-KDG-Gesetzen (vgl. dazu etwa das Münsteraner Gesetz) auf der Grundlage der Vorlage des VDD: Es schafft das in § 29 Abs. 3 KDG vorgesehene »andere Rechtsinstrument« zur Regelung von Auftragsverarbeitung. Inhaltlich regelt die Durchführungsverordnung ziemlich exakt die Punkte, die auch in einem AV-Vertrag stehen würden, die Verantwortlichen und ihre Auftragsverarbeiter können sich einfach darauf berufen, statt einen eigenen AV-Vertrag aufzusetzen. Praktisch und ein Beitrag zu mehr Rechtsklarheit durch Standardisierung. Innerdiözesan jedenfalls: Bei den §-29-Gesetzen herrscht ziemlicher Wildwuchs; die VDD-Vorlage ist sehr kompakt, und warum sich die diözesanen Gesetzgeber ausgerechnet hier ohne große Konsequenzen so verkünsteln (Hamburg weicht von der Vorlage immer wieder ab, ohne unmittelbar ersichtliche Regelungsabweichungen vorzunehmen), ist unklar.

Bei der Vollversammlung der Deutschen Bischofskonferenz wurde ein möglichst einheitliches Gesetz angekündigt: Eine neue Personalaktenordnung soll zum 1. Januar 2022 in allen Bistümern Kraft treten. »Mit der Verabschiedung der PAO ist es möglich, dass Missbrauchsbeschuldigungen künftig in allen Diözesen verbindlich, einheitlich und transparent dokumentiert werden. Zudem ist eine Übermittlung aller personalaktenrelevanter Dokumente und Vorgänge bei Tätigkeiten von Klerikern außerhalb der Inkardinationsdiözese geregelt«, so Bischof Bätzing im Abschlussbericht. Auch hier gab es keinen offenen Anhörungsprozess – aber immerhin wurde der Betroffenenbeirat der DBK beteiligt. Außerdem aus den Personalia: Uta Losem ist neue stellvertretende Leiterin des Katholischen Büros Berlin – zu ihrem Aufgabengebiet gehörte bisher auch der Datenschutz.

Explizit nicht um Datenschutz wird es in einem neuen Pop-Up-Newsletter vom Kollegen von der Eule gehen: unter dem Slogan »#digitaleKirche verstehen mit DIGITAL TUTORIAL« erscheinen bis Weihnachten sieben thematische Newsletter zum Thema, die ich jetzt schon ungelesen empfehlen kann, ist Eule-Herausgeber Philipp Greifenstein doch einer der besten Kenner und Kritiker der digitalen Kirche.

Weiterlesen

Der UK-Angemessenheitsbeschluss und die kirchlichen Datenschutzgesetze

Da hat die EU-Kommission fast eine Punktlandung hingelegt: Vor dem Auslaufen der Brexit-Übergangsregelung zum Datentransfer ins Vereinigte Königreich kam am Montag der Angemessenheitsbeschluss – das UK ist jetzt ein sicheres Drittland.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)

Damit ist auch eine unschöne Hängepartie vermieden, die sich die kirchlichen Gesetzgeber teilweise selbst eingebrockt haben. (Spoiler: Wie immer, wenn’s um Drittländer geht, sind es die Katholik*innen, die sich ein Bein gestellt haben.)

Weiterlesen

Tagungsbericht »Drei Jahre Gesetz über den Kirchlichen Datenschutz«

Im vierten Jahr seiner Geltung geht es beim KDG und seiner Umsetzung in die Details – das zeigte die von Curacon und den nordrhein-westfälischen Caritasverbänden organisierte Tagung zum dritten Geburtstag des Gesetzes über den kirchlichen Datenschutz am vergangenen Freitag.

Folie mit dem Veranstaltungstitel auf einem Laptop

Schwerpunkt waren alltägliche, aber komplizierte Themen: Der Umgang mit Auskunftsersuchen, Auftragsverarbeitung, Schadensersatzansprüche, Datenschutzfolgenabschätzungen und Compliance. Zwei Produkt-Vorstellungen – ein KDG-Compliance-Tool der GDD und ein Datenschutzfolgenabschätzungstool der Curacon – standen zudem auf der Tagesordnung. Den Blick aus den Niederungen der Praxis weitete zum Abschluss ein Vortrag des Vorsitzenden Richters am Interdiözesanen Datenschutzgericht, Bernhard Fessler.

Weiterlesen

luca-Betreiberin ermöglicht Einsatz unter kirchlichem Datenschutzrecht

Die Betreiberin der luca-App, die culture4life GmbH, ist bereit, die für die Verwendbarkeit unter dem kirchlichen Datenschutzrecht notwendigen Auflagen bei Auftragsverarbeitungsverträgen zu erfüllen. Auf Anfrage von „Artikel 91“ bestätigte die Datenschutzbeauftragte des Unternehmens Vera Weidmann, dass die nach dem DSG-EKD notwendige Unterwerfungserklärung unter die kirchliche Datenschutzaufsicht ebenso wie der nach KDG erforderliche Bezug auf das kirchliche Datenschutzrecht möglich sei. Wörtlich sagte Weidmann: »Die Zusatzvereinbarung kann zwischen uns und den kirchlichen Trägern unterzeichnet werden. Eine weitere Klausel für katholische Einrichtungen kann ebenfalls in den AVV integriert werden.« [Ergänzung, 26. April 2021]Für die Zusatzvereinbarung zur Unterwerfungserklärung wird das Muster der kirchlichen Aufsicht verwendet: „Dieses erhalten die kirchlichen Einrichtungen bisher nur auf Anfrage bei uns“, so Weidmann. Die zusätzliche Klausel im AVV für katholische Einrichtungen wird gerade erarbeitet und auf Anfrage zur Verfügung gestellt.[/Ergänzung] Damit ist die wichtigste rechtliche Hürde genommen, die Auftragsverarbeitung im kirchlichen Datenschutzrecht im Vergleich zu den Regelungen der DSGVO darstellt.

Weiterlesen

Luca-App für kirchliche Veranstaltungen?

Das ist doch mal erfreulich: Die Hype-App du jour hat sich Datenschutz auf die Fahnen geschrieben. Die Kontaktverfolgungs-App »luca« für private Treffen, öffentliche Veranstaltungen und Gastronomie hat viel Lob bekommen: Endlich weg von der Zettelwirtschaft und hin zu einer einfachen, datenschutzkonformen Rückverfolgbarkeit! Erstaunlich viele Testimonials hat die App, Mecklenburg-Vorpommern hat sie lizenziert – und auch kirchliche Veranstalter*innen – von Bildungshäusern bis zum Kirchenkaffee – könnten davon profitieren.

Check-in per QR-Code
(Bildquelle: Photo by Albert Hu on Unsplash)

Erste Interessent*innen gibt es bereits: Am Montag kündigte die Katholische Akademie des Bistums Dresden-Meißen die Nutzung von neuen Kontaktnachverfolgungsapps, darunter »luca«, an: »Wir sind davon überzeugt, dass wir mit dem System für die verschlüsselte, anonymisierte und datenschutzkonforme Kontaktdatenregistrierung und eine schnelle und lückenlose Nachverfolgung von Infektionsketten einen sinnvollen Beitrag leisten, unsere Besucher und Referent*innen vor Infektionen zu schützen«, so Akademie-Direktor Thomas Arnold.

Aber sind diese und andere Apps überhaupt im kirchlichen Kontext problemlos verwendbar? Während die technischen Anforderungen der kirchlichen Datenschutzgesetze sich nicht von den Anforderungen der DSGVO unterscheiden, gibt es doch Besonderheiten: Nach evangelischem Datenschutzrecht ist Auftragsverarbeitung durch nichtkirchliche Stellen generell anspruchsvoll, nach katholischem bereiten Drittlandsübertragungen Schwierigkeiten.

Weiterlesen

Katholische Aufsichten ermöglichen Auftragsverarbeitung im UK – vorerst

Auftragsverarbeitung im Vereinigten Königreich bleibt auch im Geltungsbereich des katholischen Gesetzes über den kirchlichen Datenschutz erst einmal möglich – das stellt der jüngste Beschluss der Konferenz der Diözesandatenschutzbeauftragten sicher. Damit wird die hier bereits angesprochene Ungewissheit im Bereich des KDG aufgelöst.

Für KDG-Anwender*innen brachte das Brexit-Abkommen nämlich ein besonderes Problem mit sich: Explizit legt das katholische Gesetz in § 29 Abs. 11 fest, dass Auftragsverarbeitung nur in EU- und EWR-Ländern, auf Grundlage eines Angemessenheitsbeschlusses oder auf Grundlage einer Feststellung einer Datenschutzaufsicht zulässig ist. Der vom Abkommen gewählte Umweg einer Behandlung des UK, als sei es kein Drittstaat, ist davon nicht abgedeckt.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)
Weiterlesen

Was das Brexit-Abkommen für den kirchlichen Datenschutz bedeutet

Das Vereinigte Königreich ist kein datenschutzrechtliches Drittland – erstmal. Das am Samstag veröffentlichte Abkommen hat den harten Brexit abgewendet (vorbehaltlich der noch nötigen Ratifizierungen) und auch verhindert, dass ab 1. Januar Großbritannien zum Drittland ohne Angemessenheitsbeschluss und damit mit erheblichem Mehraufwand für die Datenübertragung wird. Die Lösung ist aber nur eine vorläufige – und zumindest Anwender*innen des KDG stehen doch noch vor Problemen.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)
Weiterlesen

Hart, härter, kirchlicher Datenschutz?

Der kirchliche Datenschutz gilt als besonders streng – jedenfalls hört man das oft von Anwender*innen. Aber stimmt das eigentlich? Schließlich müssen die eigenen Datenschutzregeln von Religionsgemeinschaften, so sieht es Art. 91 DSGVO vor, »in Einklang« mit den Wertungen der DSGVO stehen. Und während die Deutsche Bischofskonferenz schreibt, dass sie mit einem Unterschied in der Formulierung der Einwilligung nicht strenger, sondern »lediglich konkreter und damit anwenderfreundlicher« sein wollte, sagte der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski, der auch an der Ausarbeitung des KDG mitwirkte, dass die Kirche aufgrund ihres Demokratiedefizits handeln musste: »und deshalb waren wir an manchen Stellen bei der Entwicklung des KDG strenger, um zu zeigen, dass wir bereit sind, solche Defizite auszugleichen«, so Joachimski. Von evangelischer Seite sind keine solche Äußerungen bekannt – aber auch dort hört man selten den Vorwurf, das DSG-EKD sei zu lax.

Stimmt es aber überhaupt, dass die kirchlichen Gesetze im Zweifel strenger sind? Ein genauer Blick fördert Interessantes zu Tage – und einige Regelungen, über die man überraschend wenig in der Praxis hört. An einigen Punkten gibt es deutliche Abweichungen von den Regelungen der DSGVO, die auch das Schutzniveau für betroffene Personen verändern.

Weiterlesen

Videokonferenz praktisch datenschutzkonform – nur wie?

Eins gleich vorweg: Die Antwort auf die drängendste Frage, nämlich »Darf ich Zoom verwenden?«, ist ein deutliches »Tja, hmm …«. Zum Thema Videokonferenzen haben die kirchlichen Datenschutzaufsichten viel veröffentlicht – und vieles ist auf der strengeren Seite möglicher Spielräume, bis hin zu ganz klaren Aussagen, dass US-Dienste kategorisch unzulässig sind. Aus diesem Dilemma kommt man nicht heraus.

Eine Videokonferenz mit vielen Teilnehmenden auf einem Laptopbildschirm
Videokonferenz. (Photo by Chris Montgomery on Unsplash)

Auch dieser Artikel kann kein Patentrezept liefern. Das kann momentan niemand – oder wie es der bayerische Diözesandatenschutzbeauftragte sagt: »Wenn Sie nach dem Lesen des Aufsatzes nicht wissen, welches Programm Sie nun wählen sollen, sind Sie damit nicht allein auf der Welt.« Was aber geht: Das Datenschutzniveau pragmatisch zu heben, sich statt völlig immerhin größtmöglich rechtskonform aufzustellen – selbst wenn die Wahl auf einen US-Anbieter fällt – und das eigene Verhalten auf respektvollen Umgang mit den Daten anderer zu optimieren.

Weiterlesen