Schlagwort-Archive: Corona-Pandemie

3G und der Bär – Wochenrückblick KW 49/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die KDSA Ost befasst sich mit smarten Weihnachtsgeschenken. Das hat zwar nicht direkt etwas mit kirchlichem Datenschutz zu tun, aber allein wegen der sehr liebevoll gemachten selbstgebastelten Illustration mit einem aufgesmarteten Teddybär (die Antenne! DIE CLOUD OMG DIE CLOUD!) lohnt sich der Link. Die Checkliste, wie man geschenkte Technik so in Gang setzt, ist auch sehr nützlich. Aber vor allem: der Bär!

Auch in dieser Woche (allerdings auf den 24. November rückdatiert) sind bei der KDSA Ost Hinweise zu 3G am Arbeitsplatz erschienen. Dort wird noch einmal der Grundsatz der Datensparsamkeit betont: »Kann auf Namenslisten verzichtet werden, sollte man dies auch tun. Kann darauf verzichtet werden, den Impf- und Genesenenstatus zu speichern, sollte auch hierauf verzichtet werden.« Das sollte man auch in Freiburg nochmal lesen.

Die unabhängige Missbrauchsstudie der Schweizer Kirche wird konkreter, in dieser Woche wurde die Vertragsunterzeichnung mit der Uni Zürich verkündet. Bei kath.ch hat Raphael Rauch einen Blick auf den geplanten Umgang mit Persönlichkeitsrechten geworfen: »Missbrauchsstudie: Welche Kirchenvertreter müssen nicht anonymisiert werden?«

Die aktuelle Ausgabe der Zeitschrift »Kirche & Recht« hat einen Datenschutzschwerpunkt: Rüdiger Althaus schreibt über die neue DBK-Personalaktenordnung, Steffen Pau und Stephanie Melzow vom KDSZ Dortmund über das Auskunftsrecht nach § 17 KDG in der aufsichtsrechtlichen Praxis und Bernhard Fessler über erste Erfahrungen aus dem katholischen Datenschutzgericht – laut Abstract basiert dieser Beitrag wohl auf dem hier bereits besprochenen Vortrag aus dem Mai.

Weiterlesen

Kita-Check in der EKD, 3G-Check in Freiburg – Wochenrückblick KW 48/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der BfD EKD hat erste Ergebnisse seiner Schwerpunktprüfung in 100 zufällig ausgewählten Kindertagesstätten veröffentlicht. Eine praktische Erkenntnis: Wer den Fragebogen auch auf Nachfrage nicht ausfüllt, gewinnt eine Vor-Ort-Prüfung und bekommt Besuch. Gut etabliert seien mittlerweile die Verpflichtung aufs Datengeheimnis und die Bestellung von örtlichen Datenschutzbeauftragten. Verbesserungsbedarf gebe es bei der Meldung von Datenpannen. Überraschend ist, dass lediglich in einem Viertel der Einrichtungen »private mobile Endgeräte« dienstlich eingesetzt werden, »wobei diese häufig nur zur telefonischen Erreichbarkeit bei Ausflügen oder zur kurzfristigen Kommunikation zu Corona-Zeiten genutzt werden«. Interessant wäre, wie im restlichen Dreiviertel der Einrichtungen solche Kommunikation läuft – gibt es da eine angemessene Ausstattung an Dienstgeräten? Für den Sommer ist eine detaillierte Auswertung angekündigt, dann soll auch der Fragebogen veröffentlicht werden.

Das Referat Datenschutz des Erzbistums Freiburg hat für die Überprüfung des 3G-Status eine Vorlage für Verarbeitungsverzeichnisse zur Verfügung gestellt. Überraschend ist, wie ausführlich darin Informationen dokumentiert werden: Nicht nur wird nach geimpft und genesen differenziert, sondern auch genaue Daten zum Erreichen des vollständigen Impfschutzes und zum Auslaufen des Genesenenstatus erhoben. Hier wäre eine datensparsamere Lösung möglich, insbesondere, da die Rechtsgrundlage für die Erfassung bis zum 19. März befristet ist; eigentlich sollte ein Eintrag »Nachweis geprüft« und nur bei Genesenen ein Datum genügen, schließlich sind die Mitarbeitenden ohnehin verpflichtet, ihren Nachweis mit sich zu führen. Verantwortlich für diesen Umfang ist der Generalvikar: In einem Anwendungserlass wurde diese Detailtiefe verlangt, zudem wird nicht darauf hingewiesen, dass die Vorlage eines Nachweises freiwillig ist (dann greift allerdings die Testpflicht). Die gerade erschienene Handreichung des baden-württembergischen Landesdatenschutzbeauftragten weist darauf hin, dass die Speicherung des Status eine Einwilligung erfordert, zudem sieht er die Differenzierung nach Art des Status in der Regel als nicht erforderlich an. Befremdlich ist auch die Handreichung zur Überprüfung des Impfschutzes des Generalvikars, die eine reine Sichtprüfung (inkl. Herumtippen auf Geräten der Mitarbeitenden) vorsieht und als Papiervariante nur den gelben Impfass und nicht die maschinenlesbare Papierform des EU-Covid-Zertifikats kennt. Die baden-württembergische Corona-Verordnung sieht in § 6a vor, dass Nachweise digital lesbar vorzulegen und grundsätzlich elektronische Anwendungen zur Überprüfung einzusetzen sind – die Landesverordnung ist zwar wohl nicht für die Umsetzung des IFSG (eines Bundesgesetzes) einschlägig, könnte aber dennoch zur Ausfüllung der Gestaltungsfreiräume der Kontrolle genutzt werden.

In eigener Sache: In der aktuellen Ausgabe der BvD-News ist ein Artikel von mir mit einer Einführung in die Besonderheiten des kirchlichen Datenschutzes.

Weiterlesen

Datensparsam 3G-Status prüfen – Wochenrückblick KW 47/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Änderungen am Infektionsschutzgesetz sind nun in Kraft – inklusive der 3G-Regelung am Arbeitsplatz. Die lässt sich gut und weniger gut umsetzen – wie es gut geht, legt der BfD EKD in einer Pressemeldung dar. Eine langfristige Speicherung sei »eher nicht« erforderlich, schon »nach Zutritt oder am Ende des jeweiligen Tages« können die angefallenen Daten einer Zutrittskontrolle gelöscht werden. (Gemeint sind aufgrund der Dokumentationspflichten damit wohl nur die eigentlichen Nachweise.) »Für eine dauerhafte Zutrittsmöglichkeit genügt auch die Dokumentation im Rahmen eines einmaligen ›Abhakens‹ auf einer Liste bei erstmaliger Vorlage des Impf- oder Genesenennachweises«, so der BfD EKD. Dazu brauche es nachprüfbare Prozesse – wie die genau aussehen, wird nicht weiter ausgeführt. Tipps dafür gibt es bei den Datenschutz-Notizen und beim Datenschutz-Guru. Althammer & Kill haben sogar schon fertige Vorlagen für Datenschutzinformationen nach KDG und DSG-EKD. Neben dem BfD EKD hatte sich kurzfristig auch der Datenschutzbeauftragte für Kirche und Diakonie geäußert – die Position wurde aber noch am selben Tag wieder aus dem Netz genommen. Meines Erachtens wohl zurecht.

Die Ampel hat ihren Koalitionsvertrag vorgelegt, und natürlich spielt auch Datenschutz eine Rolle. Ein Vorhaben ist auch für hier besonders interessant: »Zur besseren Durchsetzung und Kohärenz des Datenschutzes verstärken wir die europäische Zusammenarbeit, institutionalisieren die Datenschutzkonferenz im Bundesdatenschutzgesetz (BDSG) und wollen ihr rechtlich, wo möglich, verbindliche Beschlüsse ermöglichen.« Die Ausführung wird noch interessant werden: Einmal mit Blick auf die Umsetzung, die aufgrund des Verbots der Mischverwaltung wohl eine Grundgesetzänderung erfordert (wie im BDSG-Evaluierungsbericht des BMI festgestellt wurde). Aber natürlich auch mit Blick auf die bislang kaum beteiligten spezifischen Aufsichten – bei einer BDSG-Reform sollte hier eine verbindliche Beteiligung festgeschrieben werden. Einen Überblick über die Datenschutzpläne der Ampel gibt es übersichtlich in der Dataprotection Landscape. (Mit Blick auf Religionspolitik habe ich den Vertrag bei katholisch.de analysiert.)

Nichts Neues gibt es in der Nordkirche: Auf der Landessynode in der vergangenen Woche hatte der Datenschutzbeauftragte zwar auf seinen schriftlichen Bericht verwiesen – der ist aber noch nicht veröffentlicht.

Weiterlesen

Wanderaufsicht ohne Buße – Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten 2020/2021

Der bayerische Diözesandatenschutzbeauftragte hat die aktuelle Tätigkeitsberichtsrunde abgeschlossen – mit seinem auf den 1. Oktober datierten und spät am Montag veröffentlichten Bericht für den Zeitraum vom 1. Oktober 2020 bis zum 30. September 2021 liegen nun alle katholischen Berichte vor.

Titelseite des Tätigkeitsberichts des bayerischen Diözesandatenschutzbeauftragten.
Schlicht wie immer: Der Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten für 2020/2021

Wie immer schmucklos, ist er mit 14 Seiten dieses Mal so lang wie noch nie in Bayern. Drama wie im letzten Jahr der Hilferuf wegen der mangelnden Ausstattung der Aufsicht gibt es höchstens zwischen den Zeilen – und der DDSB Jupp Joachimski zeigt wieder einmal, dass er unter seinen Kolleg*innen der mit der stärksten juristischen Durchdringung der komplizierten Verwaltungsmaterien ist.

Weiterlesen

Impfstatus abfragen und kaum Schrems-II-Ausnahmen – Wochenrückblick KW 40/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Beauftragte für den Datenschutz der EKD hat eine Stellungnahme zur Verarbeitung des Impf- und Genesenenstatus veröffentlicht. Recht klar legt er dar, dass die Verarbeitung des Status für die Durchführung des Beschäftigungsverhältnisses grundsätzlich nicht erforderlich ist und nur in den im Infektionsschutzgesetz aufgezählten Einrichtungen eine gesetzliche Grundlage vorliegt. Tarifverträge und Dienstvereinbarungen kämen auch nicht in Frage, so dass in der Regel nur die Einwilligung bleibt, die allerdings wie immer im Arbeitsverhältnis besonders gut abgesichert sein muss in Hinblick auf die Freiwilligkeit. Gegen die Freiwilligkeit spricht laut BfD EKD »Ausüben von sozialem Druck oder eine behauptete Pflicht«. Interessant dagegen: Anreize nicht, sogar im Gegenteil. »Ein Indiz für die Freiwilligkeit besteht dann, wenn Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erhalten. Beschäftigte können beispielsweise ihren Impf- und Serostatus zweckgebunden freiwillig an den Betriebsarzt offenlegen, um die vorgeschriebenen regelmäßige Testung abzuwenden.« In jedem Fall verpflichtend ist nach Ansicht des BfD EKD eine Datenschutzfolgenabschätzung.

In der vergangenen Woche ging es um weitere Kommentare zum kirchlichen Datenschutzrecht. Auf Anfrage teilte mir der Nomos-Verlag mit, dass der dort geplante DSG-EKD-Kommentar von dem Dresdener Professor Ralph Wagner herausgegeben wird, der Erscheinungstermin wird mit voraussichtlich 2. Halbjahr 2022 angegeben – allerdings ist das der erwähnte Kommentar, der laut dem Mitautor Alexander Golland schon dieses Jahr erscheinen soll. Hoffen wir auf den früheren Termin. Außerdem ist ein weiteres Werk in Sicht: Neben Mitarbeitervertretungsordnung und Kirchlicher Arbeitsgerichtsordnung wird der ebenfalls für 2022 von Hermann Reichold, Thomas Ritter und Christian Gohm herausgegebene angekündigte Kommentar(Affiliate Link) auch die Kirchliche Datenschutzgerichtsordnung abdecken. Besondere Desiderate dafür: außerordentliche Rechtsbehelfe und § 2 Abs. 1 S. 2 KDSGO i.V.m. Art. 267 AEUV. (Also: Wie kommt der Fall vor die obersten Kirchengerichte in Rom, und wie kommt man zu Antworten vom EuGH, ob eine kirchliche Norm in Einklang mit der DSGVO steht?)

Der Datenschutzbeauftragte für Kirche und Diakonie hat eine etwas erratische Veröffentlichungspraxis. Diese Woche ist auf der Seite neben einem Text über die Prüfung von Software-Lösungen anhand der Vertragsbedingungen eine auf 10. Juni datierte Position zur »Datenübermittlung in Drittstaaten nach geltendem Recht und der Rechtsprechung des EuGH« erschienen. Ziel dabei ist eine möglichst große Kohärenz mit den Positionen anderer Aufsichten, insofern gibt es keine Überraschungen in der ausführlichen Übersicht und dem vorgestellten Prüfschema. Im wesentlichen wurde die Position des BfDI auf das kirchliche Recht übertragen. Wichtig ist vor allem die klare Ansage, dass die Ausnahmeregeln für die Übertragung auch wirklich Ausnahmen darstellen müssen: »Die Anwendung der Zulässigkeitsvoraussetzungen nach § 10 Abs. 2 Nrn. 1-6 DSG-EKD für Datenübermittlungen in sogenannte unsichere Drittstaaten, zu denen nach dem EuGH Urteil derzeit auch die USA gehören, dürfen nicht dazu führen die in § 10 Abs. 1 DSG-EKD als Grundregel geltende Voraussetzung „ad absurdum“ zu führen, wonach jede Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen nur zulässig ist, wenn ein angemessenes Datenschutzniveau besteht.«

Um das DSG-EKD ging es in dieser Woche auch bei Dr. Datenschutz – dort gibt es einen kompakten Überblick über die Besonderheiten des evangelischen Datenschutzgesetzes.

Weiterlesen

Impffragen und Jubiläum im Geheimarchiv – Wochenrückblick KW 35/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Frage, ob Beschäftigte von ihren Arbeitgeber*innen nach dem Impfstatus gefragt werden dürfen, beherrscht diese Woche die Pandemie-Diskussion. Gegenüber dem ZDF hat sich dazu auch Theologe und Ethikratsmitglied Andreas Lob-Hüdepohl geäußert: »Der Datenschutz ist ein wichtiges Gut, allerdings werden die Daten nicht um ihrer selber geschützt, sondern sie dienen der Persönlichkeitssphäre der betroffenen Mitarbeiterinnen und Mitarbeiter, von daher muss man tatsächlich in dieser Situation eine Güterabwägung vornehmen, nämlich zwischen dem Gut der geschützten Daten um des Persönlichkeitsschutzes willen, oder aber das Wissen um bestimmte Daten, in diesem Fall Gesundheitsdaten, auch um Personen zu schützen, nämlich im Betrieb, von daher ist das grundsätzlich anzudenken und möglicherweise sogar erforderlich.« Lob-Hüdepohl betont dabei die ethische Notwendigkeit einer rechtlichen Regelung: »denn nur was gesetzlich geregelt ist, dagegen kann ich mich gegebenenfalls auch wehren, das ist ein Rechtsstaatsprinzip«, so der Berliner Theologe.

Das Katholische Datenschutzzentrum Dortmund feiert sein fünfjähriges Jubiläum und die Bestätigung von Steffen Pau als Diözesandatenschutzbeauftragter auf fünf weitere Jahre. (Amtsblatt- und Artikel-91-Leser*innen wussten das schon.) In der Meldung hebt das Datenschutzzentrum seine organisatorische Vorreiterrolle hervor, die die Errichtung als KdÖR darstellte: »In der Folge entstand für die südwestlichen (Erz-)Bistümer in Deutschland das „Katholische Datenschutzzentrum Frankfurt am Main“ (KdöR). Auch die Freisinger Bischofskonferenz plant zur Unterstützung des gemeinsamen Diözesandatenschutzbeauftragten der bayerischen (Erz-)Bistümer ein „kirchliches Datenschutzzentrum“ in Nürnberg zu errichten.« Wann das der Fall sein wird, ist trotz vieler Nachfragen bei der Pressestelle der Freisinger Bischofskonferenz noch nicht zu erfahren.

Im Würzburger »Kanon des Monats« geht es im September um die bischöflichen Geheimarchive. Jessica Scheiper, die das Thema bereits vor einigen Wochen bei Feinschwarz angesprochen hatte, legt jetzt noch einige kanonistische Details nach. Dazu gehört auch der Verweis auf can. 490 § 3 CIC: »Aus dem Geheimarchiv bzw. Geheimschrank dürfen keine Dokumente herausgegeben werden.« Das hat auch für die Betroffenenrechte des Datenschutzrechts erhebliche Auswirkungen: Das Universalkirchenrecht ist höherrangiges Recht als das KDG und geht damit den datenschutzrechtlichen Auskunftsrechten vor. Da im Geheimarchiv unter anderem »Akten der Strafsachen in Sittlichkeitsverfahren« gelagert werden, hebelt das insbesondere die Rechte von Betroffenen sexualisierter Gewalt aus.

Weiterlesen

Noch weniger Betroffenenrechte im Osnabrücker Schuldatenschutz

Nach dem Erzbistum Hamburg hat auch das Bistum Osnabrück eine Durchführungsverordnung zum Schutz personenbezogener Daten in katholischen Schulen veröffentlicht. Schon die Hamburger Ordnung hat einen zwiespältigen Eindruck hinterlassen: Während die digitalen Methoden und Werkzeuge angemessen berücksichtigt wurden, wurden die Betroffenenrechte von Schüler*innen empfindlich eingeschränkt.

Ein Kind zeichnet mit einem Stylus auf einem Tablet
Ein Kind zeichnet mit einem Stylus auf einem Tablet (Photo by Jeswin Thomas on Unsplash)

Die Osnabrücker Verordnung ähnelt in weiten Teilen der Hamburger, mit einigen Umstellungen und kleineren Änderungen – aber auch mit substantiellen Unterschieden. Und zwar nicht zum Besseren.

Weiterlesen

Rekordgeldbuße im Südwesten – Tätigkeitsbericht 2020 des KDSZ Frankfurt erschien

Der Tätigkeitsbericht 2020 der katholischen Aufsicht für den Südwesten ist da – und damit ist der 2020er-Reigen vorerst abgeschlossen. (Der bayerische DDSB berichtet immer von September bis September statt zum Kalenderjahr.) Natürlich gibt es wieder viel Corona – und in einem Nebensatz den Hinweis auf die bisher höchsten bekannten Geldbußen im kirchlichen Datenschutz.

Die Titelseite des Tätigkeitsbericht 2020 der KDSZ Frankfurt
Den Bericht des KDSZ Frankfurt ziert eine schöne Statue des hl. Johannes Nepomuk – leider ist auch in der verwendeten Stockphoto-Datenbank nicht herauszufinden, wo diese Statue steht. Vielleicht weiß es ein*e Leser*in?

Erstmals ziert der heilige Johannes Nepomuk den Tätigkeitsbericht – anlässlich der Errichtung als KdÖR hat das Katholische Datenschutzzentrum Frankfurt ein Siegel und einen Schutzpatron bekommen. (Und der NRW-Datenschutzpatron Ivo einen Kollegen.) Er möge, so die Diözesandatenschutzbeauftragte, »den Blick dafür öffnen, wann man reden und wann man vielleicht besser schweigen sollte«.

Weiterlesen

Zweite Instanz: Der Pfarrer darf Gottesdienst-Teilnahmelisten kontrollieren

Auch das Datenschutzgericht der Deutschen Bischofskonferenz hat kein Problem damit, dass ein Leitender Pfarrer nach den Gottesdiensten die Teilnahmelisten auf Richtigkeit kontrolliert. Das geht aus dem bereits am Freitag veröffentlichten Beschluss der zweiten Instanz hervor (DSG-DBK 01/2021), der die Entscheidung des IDSG (IDSG 27/2020) bestätigt und die Einwände des Katholischen Datenschutzzentrums Dortmund verwirft.

Carl Spitzweg: Disputierende Mönche
Jetzt ist es amtlich: Der Pfarrer darf die Kontaktnachverfolgungslisten kontrollieren. (Symbolbild: Carl Spitzweg: Disputierende Mönche (Detail) – gemeinfrei/Wikimedia Commons)

Bei dem Fall ging es um einen Pfarrer, der Teilnahmelisten im Nachhinein auf Plausibilität hin kontrolliert hatte – offiziell mit der Begründung, dass nur so die von der Corona-Schutzverordnung des Landes geforderte Rückverfolgbarkeit sichergestellt werden könne, zudem solle so eine Evaluierung des Hygienekonzeptes erfolgen. Zum Konflikt kam es aber dadurch, dass mit dem Abgleich von Anwesenheitslisten und Anmeldungen aufflog, dass zwei Ehrenamtliche zwar da waren, sich aber nicht angemeldet hatten. (Der Protest gegen die Anmeldepflicht war angekündigt.) Auf ihre Beschwerde hin hatte die Aufsicht die nachträgliche Durchsicht verboten, dagegen wehrte sich die Pfarrei, die nun in beiden Instanzen recht bekommen hat. (Der Beschluss des Instanzgerichts wurde hier bereits sehr kritisch besprochen.)

Weiterlesen

Betroffenenrechte mangelhaft – Tätigkeitsbericht 2020 des Katholischen Datenschutzzentrums NRW

»Corona.« Mit einem Seufzer beginnt das Vorwort des Tätigkeitsberichts des Katholischen Datenschutzzentrums Dortmund für 2020. Die Bericht der Aufsicht für die NRW-Bistümer und den VDD kommt wie die anderen bereits erschienenen Berichte natürlich nicht um das alles beherrschende Thema herum, setzt aber noch einige andere Schwerpunkte: Schrems II und Brexit sind von außen gesetzt. (Und bieten für regelmäßige Leser*innen hier nichts neues.) Eine intensive Auseinandersetzung mit Betroffenenrechten und eine Kita-Querschnittsprüfung sind selbst gewählt.

Titelseite des Tätigkeitsberichts 2020
Fünf Zeilen für den Namen der Behörde. Eine mögliche Umbenennung in KDSA NRW wird im Bericht aber nicht angesprochen.

Im vergangenen Jahr hieß es hier zum Tätigkeitsbericht für 2019 »Die Schonzeit ist vorbei«. Auch in diesem Jahr macht der DDSB deutlich, dass (zum Veröffentlichungszeitraum) nach mehr als drei Jahren KDG nicht mit allzu viel Nachsicht zu rechnen ist. Die großen Bußgeld-Hämmer blieben dennoch aus.

Weiterlesen