Schlagwort-Archive: betriebliche Datenschutzbeauftragte

Kindergarten Landtag Sachsen-Anhalt – Wochenrückblick KW 42/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Reaktion auf das erneute Scheitern der Wahl eines Landesdatenschutzbeauftragten in Sachsen-Anhalt kommt spät, aber deutlich – und von ungewohnter Stelle: Dass sich eine kirchliche Einrichtung so scharf zur Landespolitik äußert wie nun der Diözesandatenschutzbeauftragte für die Ost-Bistümer, ist eine absolute Ausnahme. »Die Ablehnung von zwei im Sinne der DS-GVO geeigneten Bewerbern in inzwischen fünf Wahlgängen über mehr als vier Jahren lässt erkennen, dass die Durchsetzung eines effektiven Datenschutzes im Land Sachsen-Anhalt für den Landtag keine Priorität besitzt. Dieser Verstoß gegen die Datenschutzgrundverordnung ist nicht nur parteipolitischer Nepotismus, sondern ein massiver Eingriff in die Grundrechte der Bürger dieses Landes«, schreibt Matthias Ullrich in seiner am Donnerstag veröffentlichten Stellungnahme.

Die neue bayerische Datenschutzaufsicht wird wohl tatsächlich »Katholisches Datenschutzzentrum Bayern« heißen – darauf deuten (neben einem Grußwort des Vorsitzenden der Freisinger Bischofskonferenz) zwei Domains hin, die registriert, aber noch nicht mit Inhalt gefüllt sind: kdsz-bayern.de und kath-datenschutzzentrum-bayern.de (herzlichen Dank an den Hinweisgeber!). Noch nichts Neues gibt es bei der Errichtung der geplanten Körperschaft des öffentlichen Rechts: Auf Anfrage teilte das Bayerische Staatsministerium für Unterricht und Kultus mit, dass ihm dafür noch kein Antrag vorliege.

Die KDSA Ost widmet sich außerdem der Frage, ob Kindertagesstätten Datenschutzbeauftragte bestellen müssen. Auch wenn dort weniger als zehn Personen mit der Verarbeitung personenbezogener Daten befasst sind, sieht die Aufsicht die Bestellung als notwendig an: »Da jedoch unabhängig von der Anzahl der Personen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, sensible, gesundheitliche, entwicklungsbezogene, sozialpädagogische Daten, dementsprechend besondere Kategorien personenbezogener Daten verarbeitet werden, greift in jeder Kindertagesstätte die Benennungsvoraussetzung lit c).« Interessant ist, dass gar nicht darauf eingegangen wird, dass vor allem Kitas von Pfarreien in der Regel wohl gar keine eigenen Verantwortlichen sind, sondern Teil der Kirchengemeinde – für die ohnehin gemäß § 36 Abs. 1 KDG eine Bestellungspflicht besteht. Eine eigene Verantwortlichkeit kann man mit Blick auf die übliche mitarbeitervertretungsrechtliche Argumentation zur Leitungsfunktion von Kita-Leitungen wohl regelmäßig verneinen.

Weiterlesen

Die DSK zeigt die Instrumente – Wochenrückblick KW 27/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Am 18. Mai fand das Treffen der Datenschutzkonferenz mit den spezifischen Aufsichten statt. Die Unterlagen konnte ich per Informationsfreiheitsanfrage befreien. Wieder einmal ging es um Beteiligung. Die Aufsichtsbehörden in der DSK sind bekanntlich nicht ganz freigiebig mit der Einbeziehung der spezifischen Aufsichten. Auch beim Europäischen Datenschutzausschuss können die Spezifischen nicht auf die dort verwendete Dokumentenablageplattform Confluence zugreifen, da das Innenministerium die spezifischen Aufsichten nicht nach Art. 51 Abs. 4 DSGVO notifiziert hat. Aus dem Protokoll erfährt man, dass die Frage einer nachträglichen Notifizierung durch das BMI derzeit in den kirchlichen Gremien geprüft werde. Außerdem kündigt der BfDI an, dass die Forderung des Rundfunkdatenschutzbeauftragten nach mehr Beteiligung, über die hier schon berichtet wurde, auch eine Antwort aus der DSK erfahren soll. Sehr diplomatisch heißt es, dass die Teilnehmenden »Einigkeit« erzielt hätten, »dass ein qualitativer Ausbau der Kooperation gewünscht sei«. Beim Bericht aus der Arbeit der DSK gibt es einen Ausblick auf die beabsichtigten Maßnahmen mit Blick auf Facebook-Fanpages. In Betracht kämen demnach die Untersagung und die Anordnung eines datenschutzgerechten Betriebs. Außerdem wurde das zweite Austauschtreffen für 2022 zwischen DSK und spezifischer Aufsicht angekündigt: Es findet am 14. Dezember statt.

Die KDSA Ost stellt die Entscheidung des EuGH zum Kündigungsschutz von Datenschutzbeauftragten vor. Im Vorfeld wurde vertreten, dass die EuGH-Entscheidung unabhängig vom Ausgang keine Auswirkungen auf den analogen Kündigungsschutz im KDG und im DSG-EKD haben werde. Nachdem der EuGH die BDSG-Rechtslage für zulässig erachtet, bleibt diese Frage akademisch. »Auch wenn die Rechtsprechung des EuGHs keine direkte Auswirkung auf das kirchliche Datenschutzrecht (§ 37 Abs. 4 KDG, § 37 Abs. 2 DSG-EKD) hat, stellt das Urteil doch eine Stärkung der dort verankerten inhaltsgleichen Regelungen dar«, ordnet die KDSA Ost ein.

Mit der kirchlichen Strafrechtsreform hat auch der Schutz der Persönlichkeitsrechte in der katholischen Kirche etwas mehr Zähne bekommen: Wer jemandes guten Ruf schädigt, wird nun nicht mehr nur fakultativ bestraft. Die entsprechende Strafnorm can. 1390 § 2 CIC ist Thema des aktuellen »Kanon des Monats« der Würzburger Kanonistik. Zur Erfüllung der Strafnorm müssen zum einen »Behauptungen falsch, also wahrheitswidrig« und »nicht durch irgendwie geartete, rechtfertigende Begründungen getragen« sein, so die Autorin Anna Krähe. Im folgenden zeigt sie dann auch implizit eine Möglichkeit auf, wie der Tatbestand in Verbindung mit Verstößen gegen das kirchliche Datenschutzrecht einschlägig werden könnte: »Der Tatbestand ist aber auch erfüllt, wenn es sich um eine wahre Behauptung handelt, der bzw. die Täter*in diese aber nicht an die Öffentlichkeit hätte bringen dürfen, also die Veröffentlichung bzw. Verbreitung rechtswidrig ist.«

Weiterlesen

Tuchfühlung mit Aufsicht – Wochenrückblick KW 22/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Beim Katholikentag habe ich den Stand der kirchlichen Datenschutzaufsichten besucht und die Gelegenheit genutzt, über aktuelle Entwicklungen bei den Aufsichten zu sprechen – allzu viel kann ich aus dem Hintergrundgespräch nicht ausplaudern. Vielleicht nur so viel: Auch die kirchlichen Aufsichten schauen gespannt darauf, wann der Bundesdatenschutzbeauftragte seine Ankündigung in die Tat umsetzt und Maßnahmen gegen Facebook-Fanseiten von Bundesbehörden ergreift. Dann wurde ich noch gefragt, was ich für Veröffentlichungen der Aufsichten sinnvoll fände. Mein Wunschzettel: Arbeitshilfen zu gemeinsamer Verantwortlichkeit und kirchlichem Interesse. Da der Stand sehr zentral am Anfang der Kirchenmeile gelegen war, bin ich im Laufe der Tage immer wieder vorbeigelaufen: Nicht überfüllt, aber doch stets besucht. Mein Eindruck ist, dass diese Form der Öffentlichkeitsarbeit nicht nur den beruflich unmittelbar mit Datenschutz Befassten hilft (von denen einige da waren, wie mir berichtet wurde), sondern auch dazu beiträgt, das Thema Datenschutz durch unkomplizierte Kontakte etwas zu entdramatisieren.

Der Stand der kirchlichen Datenschutzaufsichten beim Katholikentag in Stuttgart
Vor der Eröffnung fotografiert – zwar etwas langweiliges Bild, dafür datensparsam ohne personenbezogene Daten.

Gemeinsam mit der Bundeskonferenz der kirchlichen Archive in Deutschland hat das KDSZ Dortmund eine Handreichung zu kirchlichen Archiven veröffentlicht. Zielgruppe sind dabei nicht Menschen, die etwas aus kirchlichen Archiven herausholen wollen (dazu gab es hier Hinweise), sondern kirchliche Stellen, die etwas hineintun wollen oder müssen. Dafür und insbesondere für die dafür nötigen Prozesse gibt es Informationen und Checklisten. Derweil hat die Kollegin in Frankfurt die Arbeitshilfen zu Online-Meeting-Tools und Microsoft 365 auf den aktuellen Stand gebracht. Keine Überraschung: Beides immer noch schwierig.

Die aktuelle Ausgabe der Zeitschrift für die Praxis der Mitarbeitervertretung (ZMV) hat mit zwei Artikeln einen Schwerpunkt zum Beschäftigtendatenschutz. Paul Tophof befasst sich mit »Grenzen des Beschäftigtendatenschutzes bei internen Ermittlungen«; grundsätzlich ein hilfreicher Beitrag, allerdings ist etwas unklar, warum Tophof hier kirchliches Sondergut in den Normen zum Beschäftigtendatenschutz ausmacht, obwohl die entsprechende Formulierung weitgehend aus § 26 BDSG entnommen ist. Matthias Ullrich befasst sich mit »Betriebsrat und MAV als Teil des datenschutzrechtlich Verantwortlichen« und kommt darin zum selben Schluss wie in seinem Buch zum kirchlichen Beschäftigtendatenschutz: Es sei »erforderlich, dass die Interessenvertretungen für die Verarbeitung personenbezogener Daten in ihrem Wirkungskreis ein rechtkonformes Verfahren etablieren und dieses dem Arbeitgeber offenlegen«.

Diese Woche ist der Tätigkeitsbericht des Landesdatenschutzbeauftragten von Mecklenburg-Vorpommern erschienen. Ohne Fälle mit kirchlichem Bezug, aber mit dem Stichwort »Nordkirche« im Index. Grund dafür ist eine Kooperation mit der Nordkirche bei den Tagen ethischer Orientierung für die Klassenstufen 5 und 6 unter dem Titel »Mein Klick, meine Verantwortung?!«. Auch die niedersächsische Datenschutzaufsicht hat ihren Tätigkeitsbericht veröffentlicht. Anders als im letzten Jahr gibt es aber keine Angaben zum Fortschritt des Konflikts mit der SELK.

Weiterlesen

Wenige Pannen, viele Reisen: Bericht des Freiburger Datenschutzreferats

Im Erzbistum Freiburg gibt es eine einmalige Besonderheit: Das Referat Datenschutz im Erzbischöflichen Ordinariat veröffentlicht einen Jahresbericht und damit quasi die Gegenblende aus Sicht der Datenschutzbeauftragten zum Bericht der zuständigen Aufsicht.

Titelseite des Berichts für 2021 des Referats Datenschutz des Erzbischöflichen Ordinariats Freiburg
Mit 22 Seiten ist der Bericht kompakt und übersichtlich.

Jetzt wurde der Bericht für 2021 veröffentlicht. Das Referat ist nicht nur für das Ordinariat zuständig, sondern stellt mit seinen fünf Vollzeitkräften zugleich die betrieblichen Datenschutzbeauftragten für weitere Einrichtungen und insbesondere die Seelsorgeeinheiten der Erzdiözese.

Weiterlesen

Kita kontrolliert – Wochenrückblick KW 27/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die KDSA Nord hat ihre Kita-Querschnittsprüfung abgeschlossen und berichtet knapp darüber. Anlass waren gehäufte Datenpannen-Meldungen aufgrund von Einbrüchen, bei denen Datenträger gestohlen wurden. Die Aufsicht sieht die Kitas auf einem guten Weg. Nachbesserungsbedarf wurde vor allem im Bereich der Vermeidung unberechtigter Nutzung von IT-Systemen und Zugriff auf Daten durch aktuell gehaltene Zugriffsberechtigungen und Löschkonzepte gesehen. Das Instrument der Querschnittprüfung selbst wird auch positiv bewertet angesichts des großen Zuständigkeitsbereichs der Aufsicht. Noch keine Ergebnisse gibt es von den Kita-Prüfungen des Datenschutzzentrums Dortmund und des BfD EKD.

Ob MAV-Vorsitzende zugleich betriebliche Datenschutzbeauftragte sein dürfen, ist momentan noch nicht geklärt – derzeit liegt dem EuGH eine Vorlage vor, die die Kompatibilität eines Betriebsratsvorsitzes mit dem Amt des Datenschutzbeauftragten umfasst. Mit einer anderen Konstellation hat sich wohl noch niemand befasst, die jetzt im Bistum Passau auftritt: Dort wurde ein Rechtsanwalt als betrieblicher Datenschutzbeauftragter des Bistums bestellt, wie dem aktuellen Amtsblatt zu entnehmen ist. Was nicht im Amtsblatt steht: Bei dem Rechtsanwalt (einem Fachanwalt für Verkehrsrecht) handelt es sich um den Diözesanratsvorsitzenden. § 36 Abs. 7 KDG benennt nur zwei Ausschlussgründe mit einer Soll-Vorschrift (IT-Leitung und Leitung der Stelle). Dennoch ist denkbar, dass hier ein Interessenkonflikt vorliegen könnte – geklärt wird das aber nur im Konfliktfall. Bis dahin bleibt die Personalie nur eine Kuriosität.

… und dann ist noch eine Antwort zur Frage nach der Zentralisierung der EKD-Datenschutzaufsicht eingegangen: Auch die Nordkirche will nicht unters Dach des BfD EKD, teilte mir eine Sprecherin mit. Anscheinend geht es wirklich nur um die Pfalz.

Weiterlesen

Tut Buße! Nur wie? – Wochenrückblick KW 51

Die Angst vor Bußgeldern hat sich als weitgehend unbegründet erwiesen – auch wenn (so etwa in NRW) es langsam losgeht. Grundsätzliche Bedenken hat der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski schon zuvor geäußert. Jetzt legt er noch einmal nach mit einem kurzen Papier mit dem Titel »Bußgelderkenntnisse im Geltungsbereich von KDG/KDR-OG«, in dem er aufschlüsselt, wann, gegen wen und unter welchen Umständen überhaupt ein Bußgeld verhängt werden kann. Sein Ergebnis: In den meisten Fällen nicht – weil das KDG so formuliert ist, dass Bußgelder dann verhängt werden können, wenn der Verantwortliche vorsätzlich oder fahrlässig für die Datenschutzverletzung verantwortlich ist, während gegen Mitarbeitende nur in sehr speziellen Ausnahmen vorgegangen werden kann.

In der Diözese Rottenburg-Stuttgart beschäftigt sich das aktuelle Amtsblatt mit Schrems II und der praktischen Umsetzung des Urteils – ohne dabei wesentlich Neues zu bisherigen Veröffentlichungen beizutragen: »Zusammenfassend ist zu konstatieren, dass es ohne ein tragfähiges Abkommen zwischen der EU und den USA oder eine grundsätzliche Regelung auf EU-Ebene nach dem derzeitigen Stand keine völlig zufriedenstellenden Lösungen für die durch das EuGH-Urteil aufgeworfenen datenschutzrechtlichen Probleme gibt.« Hilfreich ist immerhin die Anweisung, wenigstens das Privacy Shield aus den Datenschutzerklärungen zu entfernen. Der elephant in the room wird auch hier wieder einmal nicht angesprochen: Dass § 29 Abs. 11 KDG Auftragsverarbeitung ausschließlich in Ländern der EU, des EWR oder solchen mit Angemessenheitsbeschluss zulässt – und damit Auftragsverarbeitung in den USA nach KDG generell nicht mehr möglich ist.

Im evangelischen Bereich gab es dagegen nur kleinere Änderungen in der Durchführungsverordnung der Evangelisch-Reformierten Kirche.

Nicht direkt Datenschutz, aber in jedem Fall lohnend: am Montag ist der Online-Kurs Kirchenrecht von Hendrik Munsonius vom Kirchenrechtlichen Institut der EKD gestartet: »Diese Einführung ist aus Vorlesungen an der Georg-August-Universität Göttingen hervorgegangen und richtet sich an Menschen, die an einer gedeihlichen Ordnung kirchlicher Praxis interessiert sind.« Dem kann man nichts hinzufügen – unbedingte Lockdown-Fortbildungs-Empfehlung!

Weiterlesen

Mehr (kirchliches) Verwaltungsrecht wagen! – Wochenrückblick KW 50

Zum Jahresende hauen alle noch mal einen raus: Der EKD-Datenschutzbeauftragte eine Handreichung zu Fotos – und der Verband der Diözesen Deutschlands (VDD) gleich ein ganzes Gesetz. Zum Gesetz über den kirchlichen Datenschutz, dessen Durchführungsverordnung und Kirchliche Datenschutzgerichtsordnung tritt nun die vierte bundesweit einheitliche Norm: Das Gesetz über das Verwaltungsverfahren im kirchlichen Datenschutz (KDS-VwVfG), das ab dem 1. Januar 2021 gilt und online zuerst im Speyerer Amtsblatt veröffentlicht wurde.

Die Materie ist so trocken, wie der Titel verspricht, und es braucht wohl Verwaltungsjurist*innen, um im Detail zu bewerten, ob es überraschende Regeln gibt. (Gastbeiträge willkommen!) So trocken aber Verwaltungsrecht ist, so revolutionär ist das für die Kirche: Neben die spezifische Verwaltungsgerichtsbarkeit in Form der Datenschutzgerichte ist damit jetzt auch eine rechtsförmliche Ordnung der Tätigkeit der Aufsichten getreten, die man sich auch für andere katholische Institutionen wünschen würde. Das Gesetz legt unter anderem auch einige Rechte der Beteiligten fest, etwa auf Akteneinsicht (§ 6; leider keine allgemeine Informationsfreiheitsregelung). Wichtig dürfte auch die Regelung zur Durchsetzung und Vollstreckung von Bußgeldbescheiden sein, mit denen die Aufsicht kirchliche Stellen in die Pflicht nehmen kann bei Androhung der Einschaltung der Bischöflichen Aufsicht, »um rechtmäßige Zustände herzustellen«. (Ein Interessenskonflikt kann hier – leider – nicht entstehen, die öffentlich-rechtlich organisierten Diözesen können gar nicht gebußt werden.)

Weiterlesen

Ausnahmen von der Ausnahme – Datenschutz beim Bund Freikirchlicher Pfingstgemeinden

Grundsätzlich hatten alle Kirchen und Religionsgemeinschaften die Möglichkeit, ein eigenes Datenschutzrecht gemäß Art. 91 DSGVO anzuwenden – welche das sind, ist nicht immer einfach herauszufinden, und oft herrscht selbst bei den bekannten (ich weiß momentan von 15 Gemeinschaften) nicht die höchste Transparenz. Anders sieht es beim Bund Freikirchlicher Pfingstgemeinden (BFP) aus: Die Datenschutzaufsicht betreibt eine Infoseite und der Tätigkeitsbericht ist öffentlich zugänglich.

Der Tätigkeitsbericht des Datenschutzbeauftragten des BFP liegt auf neutral-blauem Hintergrund.
Bildquelle: BFP-Aktuell

Das erklärte Ziel des Datenschutzbeauftragten des Bundes ist es, »das ›Gütesiegel‹ eines angemessenen Datenschutzniveaus« zu sichern, so der Bericht – »immer in dem Wissen, dass es um Menschen geht, die Gott uns anvertraut hat«. Der im September veröffentlichte Tätigkeitsbericht für 2018 und 2019 bietet einen interessanten Einblick in Arbeitsweise und Struktur des Datenschutzes in einer kleineren Religionsgemeinschaft – und birgt sehr besondere Ausnahmeregeln.

Weiterlesen

Wo sind all die Datenschutzbeauftragten hin? – Tätigkeitsbericht DDSB Südwest erschienen

Jetzt sind die katholischen Tätigkeitsberichte komplett: Die Diözesandatenschutzbeauftragte Ursula Becker-​Rathmair, zuständig für die Südwest-Bistümer Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier, hat am Dienstag ihren Bericht für 2019 veröffentlicht. Er ist weitgehend überraschungsfrei, hat aber drastische Beispiele für die Praxisrelevanz von Datenschutz.

»Die Sensibilisierung für den Schutz der eigenen Daten hat an Fahrt aufgenommen«, betont Becker-Rathmair – auch sie hat mehr zu tun. Aber nicht so viel mehr, wie man bei diesen großen Bistümern erwarten könnte, jedenfalls in manchen Bistümern. Zeigen sich hier Compliance-Lücken bei den Verantwortlichen? Jedenfalls nicht in Trier: Das ist zahlenmäßig Spitzenreiter

Weiterlesen