Schlagwort-Archive: Corona-Warn-App

KDSA Ost hat erhebliche Bedenken gegen Luca in Brandenburg

Der Diözesandatenschutzbeauftragte für die ostdeutschen Bistümer ist kein Freund der Luca-App zur Kontaktverfolgung – das hat er schon im vergangenen April ungewöhnlich deutlich gemacht: »datenschutzrechtlich zweifelhaft und demnächst überflüssig«, war sein Urteil. Jetzt setzt er noch einen drauf – zumindest für kirchliche Stellen im Land Brandenburg: »Kirchliche Datenschutzaufsicht empfiehlt alle[n] kirchlichen Dienststellen im Land Brandenburg, für die Kontaktnachverfolgung ausschließlich die Corona Warn-App (CWA) zu nutzen!«, heißt es in der aktuellen Pressemeldung.

Die Corona-Warn-App läuft auf einem Handy
(Bildquelle: Photo by Mika Baumeister on Unsplash)

Die Einschätzung »demnächst überflüssig« war im April nur etwas zu optimistisch, aber immerhin haben die meisten Bundesländer mittlerweile dann doch Abstand von Luca genommen – aber Brandenburg setzt immer noch darauf. Und nicht nur für Kontaktverfolgung in der Corona-Bekämpfung soll Luca genutzt werden – die brandenburgische Justizministerin hat noch ganz andere Begehrlichkeiten: Eine Verwendung zur Strafverfolgung. (Unter anderem netzpolitik.org hat die Details.)

Weiterlesen

Dokumentieren, verschicken und büßen – Wochenrückblick KW 19/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das ist doch erfreulich: Die Arbeit am Kirchlichen Datenschutzmodell geht voran – nachdem bei der Vorstellung vor zwei Wochen erst drei Bausteine verfügbar waren, wurde jetzt der vierte zum Thema »Dokumentieren« veröffentlicht. Das macht Hoffnung, dass die Bausteine schnell komplettiert werden. Ein Satz aus dem Baustein passt zum hier immer wieder angesprochenen Thema der Zugänglichkeit kirchlichen Rechts: »Den verantwortlichen kirchlichen Stellen wird […] empfohlen, ein Rechtskataster zu pflegen, welches speziell zusammengestellt ist und den rechtlichen Rahmen aller in und von der verantwortlichen Stelle zu erfüllenden Aufgaben abdeckt« – gar nicht so einfach angesichts der nur in manchen Bistümern gut zugänglichen kirchlichen Rechtssammlungen.

Am Mittwoch wurde außerdem eine weitere Entscheidung des Interdiözesanen Datenschutzgerichts veröffentlicht (IDSG 14/2020 vom 19. April 2021) – der zugrundeliegende Fall dreht sich um den Klassiker »fehlgelaufener Patient*innenbrief«. In der Sache und für die Praxis interessant dürfte die Diskussion des Verfahrensverzeichnisses sein, in dem das Verfahren des Versands und der Kontrolle der Richtigkeit der Unterlagen im Laufe des Falls detailliert ausgearbeitet wurde (RN 4). Erstmals wird mit 2000 Euro auch eine einzelne Summe eines Bußgelds bekannt. Von grundsätzlicher rechtlicher Bedeutung sind die Fragen nach der Zuständigkeit des Gerichts für die Überprüfung von Bußgeldbescheiden (das sieht das IDSG als gegeben an, RN 51f.; man merkt aber dem Schluss an, dass man sich wohl auch eine eigene Kompetenz zur Verhängung wünschen würde, RN 58) und die auch schon an anderer Stelle aufgeworfene Frage, inwiefern überhaupt Bußgelder verhängt werden können, wenn die Datenschutzverletzung von Mitarbeitenden begangen wird. Im vorliegenden Fall argumentiert das Gericht mit dem Funktionsträgerprinzip und bekräftigt seine Position aus einem vorherigen Fall, »dass dem Rechtsträger als dem Verantwortlichen nicht nur das Verhalten von Organen, sondern auch das Verhalten anderer Mitarbeiter zugerechnet wird« (RN 47). Auch der aktuelle Fall fällt allerdings vor die Geltung des Gesetzes über das Verwaltungsverfahren im kirchlichen Datenschutz, das das Ordnungswidrigkeitengesetz für anwendbar erklärt. Wie ähnliche Fälle jetzt entschieden würden, ist also noch offen.

Und, teilweise in eigener Sache: Die Datenschutz-Notizen weisen auf die Evaluierung des KDG hin und dabei auch sehr freundlich auf die hier auf »Artikel 91« ausgegrabenen Erkenntnisse.

Weiterlesen

Von wegen Osterruhe! Wochenrückblick KW 13/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Auch in der Karwoche wird noch ordentlich publiziert, vor allem im Osten: Die KDSA-Ost arbeitet an ihrem Streak weiter und füllt den Newsticker fast täglich mit direkt aus dem Leben gegriffenen Fragen wie der, ob »Original ersetzendes Scannen« zulässig ist oder wie Arbeitgeber*innen mit Corona-Test-Listen umgehen sollen. Außerdem scheinen Beschwerden ohne Betroffenheit ein Problem bei der KDSA Ost zu sein.

Der Datenschutzbeauftragte für Kirche und Diakonie hat (neben dem lang erwarteten Tätigkeitsbericht) außerdem eine Stellungnahme zu »Luca« und anderen Kontaktnachverfolgungsapps veröffentlicht, verweist allerdings im wesentlichen auf das DSK-Papier (wie der DSB-EKD). Besonderheiten des evangelischen Datenschutzrechts wie die hier besonders wichtige Frage nach der Verantwortlichkeit (weil Auftragsverarbeitung nur mit Unterwerfungserklärung funktioniert) werden leider nicht kommentiert. (Inhaltliche Änderungen am Artikel hier auf dem Blog waren daher nicht nötig.) Ansonsten hat Luca gerade keinen guten Lauf – die wenig gelungene Offenlegung des Quellcodes und das weiterhin unschöne Kommunikationsverhalten prägen doch die Wahrnehmung.

Weiterlesen

Luca-App für kirchliche Veranstaltungen?

Das ist doch mal erfreulich: Die Hype-App du jour hat sich Datenschutz auf die Fahnen geschrieben. Die Kontaktverfolgungs-App »luca« für private Treffen, öffentliche Veranstaltungen und Gastronomie hat viel Lob bekommen: Endlich weg von der Zettelwirtschaft und hin zu einer einfachen, datenschutzkonformen Rückverfolgbarkeit! Erstaunlich viele Testimonials hat die App, Mecklenburg-Vorpommern hat sie lizenziert – und auch kirchliche Veranstalter*innen – von Bildungshäusern bis zum Kirchenkaffee – könnten davon profitieren.

Check-in per QR-Code
(Bildquelle: Photo by Albert Hu on Unsplash)

Erste Interessent*innen gibt es bereits: Am Montag kündigte die Katholische Akademie des Bistums Dresden-Meißen die Nutzung von neuen Kontaktnachverfolgungsapps, darunter »luca«, an: »Wir sind davon überzeugt, dass wir mit dem System für die verschlüsselte, anonymisierte und datenschutzkonforme Kontaktdatenregistrierung und eine schnelle und lückenlose Nachverfolgung von Infektionsketten einen sinnvollen Beitrag leisten, unsere Besucher und Referent*innen vor Infektionen zu schützen«, so Akademie-Direktor Thomas Arnold.

Aber sind diese und andere Apps überhaupt im kirchlichen Kontext problemlos verwendbar? Während die technischen Anforderungen der kirchlichen Datenschutzgesetze sich nicht von den Anforderungen der DSGVO unterscheiden, gibt es doch Besonderheiten: Nach evangelischem Datenschutzrecht ist Auftragsverarbeitung durch nichtkirchliche Stellen generell anspruchsvoll, nach katholischem bereiten Drittlandsübertragungen Schwierigkeiten.

Weiterlesen

Gesetze, Bargeld, E-Zelebret – Wochenrückblick KW 9/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Was für eine volle Woche – gleich mehrere Bistümer haben ihre Seelsorge-Patientendatenschutzgesetze im Amtsblatt veröffentlicht (Essen, Köln und Münster), und die katholischen Aufsichten haben auch fleißig publiziert: Die KDSA Ost warnt vor der Abschaffung des Bargelds, gibt eine Einschätzung zur Nennung des Namens von Datenschutzbeauftragten und fordert eine Klarstellung in der Mitarbeitervertretungsordnung, ob Mitarbeitervertretungen verantwortliche Stelle sind oder nicht. Die NRW-Aufsicht weist auf das Datenschutz-Verwaltungsverfahren-Gesetz hin, das nun in allen NRW-Bistümern in Kraft gesetzt wurde, auf Videoüberwachung und weist auf die letzte Woche schon angesprochene Entscheidung zur Einwilligungspflicht für Gruppenfotos auf Facebook hin.

Die Deutsche Bischofskonferenz hat unterdessen eine Datenschutzrechtssammlung mit dem KDG und seinen Nebengesetzen angekündigt: Die Arbeitshilfe Nr. 320 Kirchliches Datenschutzrecht soll demnächst erscheinen, verrät das Erzbistum Berlin. Eine günstige Ergänzung zu der immer noch empfehlenswerten ökumenischen Rechtssammlung, die schon länger auf dem Markt ist (und die Nebengesetze noch nicht alle abbilden konnte).

Das Misstrauen der Aufsichten von Bund und Ländern gegenüber den spezifischen Aufsichten war hier schon Thema. Sehr deutlich bringt es der SWR-Rundfunkdatenschutzbeauftragte in seinem aktuellen Tätigkeitsbericht auf den Punkt (S. 50): »Leider haben einige Landesdatenschutzbeauftragte nach wie vor Berührungsängste mit den Datenschutzbeauftragten der Kirchen und der Rundfunkanstalten zusammenzuarbeiten und versuchen nach außen den Eindruck zu erwecken, die Datenschutzkonferenz (DSK) sei die wahre und alleinige Vertretung der Datenschutzaufsichtsorgane in Deutschland.«

Bei kath.ch gibt es ein kurzweiliges Interview zur E-ID, über die die Schweizer kommende Woche abstimmen: Ist ein elektronischer Ausweis auch für die Kirchen relevant? Nicht allzu sehr, ist der Tenor, und Datenschutzbedenken gibt es auch. Aber einen kreativen Vorschlag hat der interviewte Rechtsanwalt Martin Steiger doch dabei: »Es wäre denkbar, dass eine kirchliche E-ID geschaffen würde. Für die römisch-katholische Kirche beispielsweise könnte eine globale ›Vatican ID‹ hilfreich sein. Eine solche E-ID wäre nicht auf die Schweiz beschränkt, sondern könnte von Gläubigen in aller Welt genutzt werden« – wer schon einmal versucht hat, dem Vatikan Informationen per E-Mail zu entlocken, dürfte genug darüber wissen, wie realistisch das ist. (Und wahrscheinlich gibt’s eh keine praktische Verwendung dafür – etwas weniger groß angelegt als eine E-ID für 1,3 Milliarden Katholiken, dafür praktisch, wäre vielleicht ein fälschungssicheres E-Zelebret angesichts immer wieder auftauchender falscher Priester, Bischöfe und Kardinäle.)

Weiterlesen

Auf dem religiösen Auge blind – Wochenrückblick KW 47

Mit der Hamburger Datenschutzaufsicht hat nun die vorletzte Behörde (nur Mecklenburg-Vorpommern fehlt) auf die Presseanfragen zum Umgang mit kleinen Religionsgemeinschaften geantwortet, ein Tag nach Veröffentlichung der Recherche. Eine überraschende Erkenntnis der Abfrage ist eine Nicht-Meldung: Nämlich darüber, welche Religionsgemeinschaften mit eigenem Datenschutzrecht überhaupt bei den Aufsichten bekannt sind. Das sind bei den meisten über römisch-katholische Kirche und evangelische Landeskirchen hinaus keine – und das obwohl es ein Austauschtreffen von Datenschutzkonferenz und spezifischen Aufsichtsbehörden gibt (dazu gehören neben denen der Religionsgemeinschaften auch die von Medien). Bei den meisten Aufsichten ist es nicht auf dem Schirm, wer überhaupt eigenes Datenschutzrecht anwendet. Das scheint Methode zu haben: 2019 wurde von der Datenschutzkonferenz ein Zusatztext abgelehnt »über eine beabsichtigte Registrierung als spezifische Aufsichtsbehörde zur Verwendung auf der Homepage der DSK-Mitglieder«.

Den bisher einzigen Überblick über Religionsgemeinschaften mit eigenem Datenschutzrecht gibt’s hier in der Rechtssammlung – bisher sind (mir) 16 kleinere Gemeinschaften bekannt, darunter nur eine (die Israelitische Religionsgemeinschaft Württembergs), die nicht aus dem weiteren christlichen Spektrum kommt.

… und erst nach Veröffentlichung des Wochenrückblicks veröffentlicht der Diözesandatenschutzbeauftragte für die norddeutschen Bistümer die Nachricht der Woche: Seine Behörde trägt jetzt den neuen, deutlich griffigeren Namen »Katholische Datenschutzaufsicht Nord« (und anders als bei der KDSA Ost klappt auch die Weiterleitung auf die neue Adresse reibungslos). Weiterhin auf der To-do-Liste: Die Umbenennung der Konferenz der Diözesandatenschutzbeauftragten in »Katholische Datenschutzkonferenz« und die Errichtung des Nürnberger Datenschutzzentrums.

Weiterlesen

Wenn die Corona-App rote Welle hat – Wochenrückblick KW 44

Taugt Fiebermessen für den Infektionsschutz am Arbeitsplatz? Mit der rollenden zweiten Welle wird die Frage wieder wichtiger – und auch für Dienstgeber*innen und Mitarbeitervertreter*innen relevant: Unter welchen Bedingungen darf überhaupt bei Beschäftigen gemessen werden? Im Datenschutzblog der Kanzlei Reichert und Reichert schaut sich Matthias Herkert die Empfehlungen verschiedener Datenschutzaufsichten an und prüft, ob und wie im Rahmen des DSG-EKD Fieber gemessen werden kann. Sein Fazit: »Während das Thema in den vergangenen Monaten von Datenschützern und den meisten Aufsichtsbehörden eher kritisch gesehen wurde, kann das aktuelle Infektionsgeschehen und der im Bereich der Pflege und Betreuung völlig regelmäßige Umgang mit Risikogruppen den Einsatz entsprechender Geräte derzeit wohl rechtfertigen.«

Rückverfolgbarkeit bei Gottesdiensten bleibt ein Thema – im kommenden Wellenbrecher-Lockdown sind Gottesdienste weiterhin möglich. Die Erzdiözese Freiburg hat in ihrem aktuellen Amtsblatt eine neue Fassung der »Instruktion zur Feier der Liturgie in Zeiten der Corona-Krise« veröffentlicht, in denen noch einmal betont wird, dass das Auslegen von Listen nicht zulässig ist. Das Referat Datenschutz des Bistums stellt ein Musterformular und Informationen zur Rechtslage in Baden-Württemberg bereit.

Gibt es eigentlich noch dienstliche Besucher*innen? Auch dafür gibt es ein Formular, das neben Rückverfolgbarkeit auch einen Covid-19-Symptom-Check beinhaltet. Außerdem stellt die Datenschutzaufsicht der Evangelischen Landeskirchen und Diakonien Sachsen und Anhalts Beschäftigteninformationen für Besuchsregelungen bereit.

Weiterlesen