Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Google-Fonts-Abmahnungen beschäftigen auch kirchliche Stellen. Die Rechtsabteilung des Bistums Osnabrück warnt vor Schadensersatzforderungen. In der Warnung wird darauf hingewiesen, dass eine dynamische Einbindung dann datenschutzrechtlich problematisch sein kann, »wenn kein zusätzliches Consent-Tool eingesetzt wird«. Von einer Bezahlung wird abgeraten: »Angesichts der Häufung derartiger Abmahnungen handelt es sich um ein unzulässiges und damit rechtsmissbräuchliches Vorgehen«, so die Rechtsabteilung. Im Erzbistum Freiburg weist die Datenschutzabteilung darauf hin, dass das bistumseigene CMS Sesam Google-Fonts lokal und damit datenschutzkonform einbindet – was eine Kanzlei nicht von einer (unbegründeten) Abmahnung abhielt, und auch das Bistum Speyer warnt. Nicht nur Deutschland ist betroffen: Schon im September hatte die österreichische Diözese St. Pölten vor entsprechenden Massenanschreiben einer österreichischen Kanzlei gewarnt.
Ein anderer Google-Dienst ist datenschutzkonform einsetzbar: »Da die Google Search Console keine personenbezogenen Daten verarbeitet, ist die Nutzung dieser Konsole datenschutzrechtlich unbedenklich, so der EKD-Datenschutzbeauftrage auf Nachfrage«, findet man bei Ralf Peter Reimanns Einblicken in die Analyse der Webseiten der Evangelischen Kirche im Rheinland. Damit auch im Backend der Datenschutz gewahrt wird, sollte man allerdings für den Zugang keine personalisierten Accounts verwenden.
In seinem aktuellen Tätigkeitsbericht befasst sich der Thüringer Landesdatenschutzbeauftragte mit der Vorlage von Kontoauszügen beim Jobcenter und der Zulässigkeit von Schwärzungen. Das Schwärzen von einzelnen Buchungen könne dem Antragsteller nicht grundsätzlich verwehrt werden, betont der TLfDI. Grundsätzlich zulässig sei es, wenn die Buchungstexte Angaben über besonders geschützte Daten enthielten: »Dazu zählen Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Beispielsweise kann bei Überweisungen von Mitgliedsbeiträgen an eine Partei oder bei Zahlungen an eine Religionsgemeinschaft die Bezeichnung der Organisation geschwärzt werden«, heißt es im Bericht. Nicht geschwärzt werden solle bei den einzelnen Buchungen aber, dass es sich um Mitgliedsbeiträge oder Spenden handelt.
Bei katholisch.de habe ich über zunehmende Ransomware-Angriffe auf kirchliche Einrichtungen berichtet. Zu Wort kommt neben der Caritas München auch der Vorsitzende der Konferenz der Diözesandatenschutzbeauftragten.
In der aktuellen Ausgabe von Theologie und Glaube hat der Paderborner Kirchenrechtler Rüdiger Althaus einen Beitrag zu geistlichem Missbrauch veröffentlicht. Darin widmet er sich auch der Bedeutung des Datenschutzkanons can. 220 CIC beim Schutz von Persönlichkeitsrechten und Intimsphäre. (Open access, aber nicht direkt verlinkbar, S. 320f.)
In der Regel verhandeln die kirchlichen Datenschutzgerichte ohne mündlichen Termin. Die erste mündliche Verhandlung überhaupt findet an diesem Freitag um 13 Uhr statt. Gegen die Entscheidung des IDSG im Zusammenhang mit der Visitation der Katholischen Integrierten Gemeinde (IDSG 03/2020) wurden Rechtsmittel eingelegt (Aktenzeichen DSG-DBK 02/2022), über die das DSG-DBK jetzt zu entscheiden hat. Obwohl die KDSGO dazu keine Regelung trifft, ist die Verhandlung öffentlich, ich bin als Journalist akkreditiert und werde berichten.
WeiterlesenVor zwei Wochen hatte die Berliner Landesdatenschutzbeauftragte in ihrem Tätigkeitsbericht den Fall einer Lücke in Software für Stipendienbewerbungen geschildert. Laut Bericht waren vier Studienstiftungen betroffen. Da durch die Ausrichtungen der nicht namentlich genannten Stiftungen auch Daten zur Religionszugehörigkeit erhoben wurden, ist davon auszugehen, dass auch eine der Stiftungen von Religionsgemeinschaften betroffen war. Nun ist klar, um welche es sich handelt: Auf Anfrage teilte das Avicenna-Studienwerk mit, dass dort die fragliche Software eingesetzt wurde. Ausgenutzt wurde die Sicherheitslücke aber nicht.
»Die Herstellerfirma informierte uns unmittelbar über die Sicherheitslücke und deaktivierte die Webseite. Erst nach der Beseitigung der Sicherheitslücke wurde das Bewerbungsportal wieder freigeschaltet«, teilte das muslimische Begabtenförderungswerk auf Anfrage mit. Die zuständige niedersächsische Landesdatenschutzbeauftragte sei durch das in Osnabrück ansässige Werk unmittelbar über den Vorfall informiert worden. »Ein externer Zugriff konnte nach intensiver Prüfung von allen Seiten ausgeschlossen werden. Eine weitere Veranlassung wurde seitens der Landesdatenschutzbehörde für nicht notwendig erachtet«, so das Werk weiter.
Die Berliner Datenschutzbeauftragte hatte mitgeteilt, dass sie Ende August 2021 einen Hinweis erhalten habe, dass durch eine Sicherheitslücke in einer Software für Stipendienportale der Zugriff auf eine große Menge personenbezogener Daten verschiedener Studienstiftungen möglich sei. »Die unsichere Software wurde hauptsächlich zum Bereitstellen von Stipendienbewerbungsportalen genutzt, wo eine große Menge von zum Teil höchstpersönlichen Daten gespeichert werden. Aufgrund der jeweiligen Ausrichtung der betroffenen Studienstiftungen waren zudem besondere Kategorien personenbezogener Daten, wie Religionszugehörigkeit oder Daten zur politischen Überzeugung und Weltanschauung betroffen«, hieß es im Bericht. Die Sicherheitslücke, die auf die falsche Nutzung eines Frameworks zurückging, sei mittlerweile behoben.
Die anderen drei konfessionellen und religiösen Begabtenförderungswerke, die aus Mitteln des Bundesbildungsministeriums gefördert wurden, waren nicht betroffen. Schon vor zwei Wochen teilten sowohl das katholische Cusanuswerk wie das Evangelische Studienwerk Villigst mit, die Software nicht eingesetzt zu haben. Mittlerweile hat sich auch das Ernst-Ludwig-Ehrlich-Studienwerk zu der Sicherheitslücke geäußert: Wie die christlichen Studienwerke setzt auch das jüdische Begabtenförderungswerk die bemängelte Software nicht ein und ist daher nicht betroffen.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
In ihrem frisch erschienenen Tätigkeitsbericht schildert die Berliner Datenschutzbeauftragte einen Fall einer Sicherheitslücke in einer Software für Stipendienportale. Durch die Ausnutzung der Schwachstellen soll es möglich gewesen sein, ein Nutzungskonto anzulegen, die Datenbank abzufragen, hochgeladene Dokumente herunterzuladen und ein Nutzungskonto mit Adminrechten auszustatten. Laut Bericht waren vier Studienstiftungen betroffen. Da durch die Ausrichtungen der nicht namentlich genannten Stiftungen auch Daten zur Religionszugehörigkeit und zur Nähe zu politischen Parteien erhoben wurden, ist davon auszugehen, dass auch eine der Stiftungen von Religionsgemeinschaften betroffen ist. Auf Anfrage teilten das katholische Cusanuswerk und das Evangelische Studienwerk Villigst mit, dass sie von keiner Sicherheitslücke betroffen waren. Das jüdische Ernst-Ludwig-Ehrlich-Studienwerk und die muslimische Avicenna-Studienstiftung haben auf die Anfrage noch nicht geantwortet. (Angefragt wurden nur diese vier, die aus Mitteln des Bildungsministerium finanziert werden.)
Mit Transparenz tut sich die römisch-katholische Kirche schwer – gerade, was ihre Gerichtsbarkeit angeht. Immerhin: Die Datenschutzgerichte veröffentlichen Entscheidungen – aber nur ausgewählte, freiwillig und ohne Rechtspflicht. Daher hat die Gesellschaft Katholischer Publizisten (GKP), in der ich mich im Vorstand engagiere, sich erneut für mehr Transparenz in der kirchlichen Justiz ausgesprochen. Anlass ist die Ankündigung des Münsteraner Bischofs Felix Genn, schon vor der Genehmigung einer bundesweiten kirchlichen Verwaltungsgerichtsbarkeit durch den Heiligen Stuhl eine vorläufige diözesane einzurichten. »Die Kirche darf in ihrem eigenen Rechtssystem nicht hinter Selbstverständlichkeiten des Rechtsstaats zurückbleiben, wenn sie Vertrauen zurückgewinnen will. Ungehinderte Gerichtsberichterstattung ist ein wesentliches Element jeder freiheitlich-rechtsstaatlichen Ordnung«, sagt der GKP-Vorsitzende Joachim Frank. Gefordert sind öffentliche mündliche Verhandlungen und Urteilsverkündungen, die Veröffentlichung von Urteilen sowie Informations- und Auskunftsrechte für die Medien.
Die schon in der vergangenen Woche angekündigte Entscheidung des IDSG zu einem offenen E-Mail-Verteiler ist da (Beschluss vom 29. November 2011 – IDSG 04/2019). Und wer – wie hier vermutet – lediglich nüchterne und praxisrelevante Tipps zum E-Mail-Schreiben erwartet hat, erhält deutlich mehr als erhofft: Eine weitere kuriose Anekdote, in der Kommunikation gründlich schiefgegangen ist.
Der Auslöser der Klage ist datenschutzrechtlich unspektakulär: Rundmail an Ehrenamtliche eines Caritas-Projekts, offener Verteiler ohne Einwilligung, bitte nicht machen, danke. Nur leider ist dann alles ein wenig eskaliert.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Monatsanfang ist immer wie ein kleines Weihnachten: Dann veröffentlicht der Würzburger Kirchenrechtslehrstuhl seinen »Kanon des Monats«. Der 1. Juni war wie Weihnachten und Ostern: Der Kanon des Monats Juni ist can. 220 CIC – also der Datenschutzkanon. Martina Tollkühn gibt einen Überblick über die universalkirchliche Datenschutzgesetzgebung und wie und warum sie in Deutschland so konkret ausgestaltet wird: »Aber warum haben die deutschen Bistümer eigene Regelungen zum Datenschutz? Und was hat das mit dem c. 220 CIC/1983 zu tun? Die Kurzformel auf diese Fragen könnte sein: Weil sie sollen, weil sie können und weil sie wollen.« Nicht beantwortet wird allerdings, warum sie wollen sollten, was sie können, und warum dazu die allgemeinen staatlichen Gesetze nicht genügen. Etwas zirkulär positivistisch lautet die Begründung: Kirchen dürfen ihre eigenen Angelegenheiten selbst regeln, und weil sie ein Datenschutzrecht haben, ist das eine eigene Angelegenheit.
Die KDSA Ost hat sich mit Corona-Tests an Schulen befasst – vor drei Wochen war eine Entscheidung aus Hamburg dazu schon Thema hier. Im Ergebnis kommt die Aufsicht zu einem ähnlichen Ergebnis wie das Verwaltungsgericht, aber mit einem deutlichen Fokus auf die Zulässigkeit von Testungen in Schulen: »Schüler*innen und Erziehungsberechtigte, die mit dieser Art der Durchführung und Erhebung von personenbezogenen Daten nicht einverstanden sind, sollte die Möglichkeit eingeräumt werden, ein negatives Testergebnis durch ein anerkanntes Testzentrum (auch Schnelltestzentrum) oder einem Arzt vorzulegen.« Das Verwaltungsgericht hatte festgestellt, dass externe Tests anerkannt werden müssen. Ohne sollte.
Und dann hat die KDSA Ost sich auch noch einmal zur Abdingbarkeit von Technischen und organisatorischen Maßnahmen geäußert, nachdem der Hamburger Datenschutzbeauftragte die als Möglichkeit gesehen hatte (auch hier wurde schon darüber berichtet). Die kirchliche Aufsicht bekräftigt nun noch einmal die bereits zuvor geäußerte Ansicht, dass eine Einwilligung sich nur auf das Ob, nicht auf das Wie der Datenverarbeitung beziehen kann: »Würde man die Einwilligung so weit für zulässig erachten, wie dies im Vermerk der Hamburger Datenschutzbehörde zum Ausdruck kommt, handelte es sich nicht mehr um eine Einwilligung, sondern um einen Verzicht auf Datenschutz«, so die KDSA Ost – mit der paradoxen Folge, dass es zwar problemlos möglich wäre, in die Veröffentlichung der eigenen Daten auf einer Webseite zuzustimmen, nicht aber in eine ungesicherte E-Mail-Übermittlung derselben Daten.
Der Beschluss des IDSG zu einer Datenpanne durch fehlgelaufene Briefe in einem katholischen Krankenhaus wurde hier schon besprochen. Einige kritische Anfragen daran haben die Datenschutz-Notizen aufgeworfen: Es scheint unterschiedliche Ansichten dazu zu geben, wie ausführlich das Verfahrensverzeichnis sein muss – die beteiligte Aufsicht scheint dort auch eine konkrete Verfahrensbeschreibung zu erwarten, die den Beschäftigten bekannt sein muss. Das Gericht folgte der Ansicht, dass Verfahren im Detail dokumentiert sein müssen. »Die dabei geforderte Detailtiefe ist auf den ersten Blick überraschend«, so die Autorin, der nötige Aufwand bei der Erstellung von Verarbeitungsverzeichnissen wäre enorm: »Die hierdurch gebundenen personellen Kapazitäten könnte man sicher an anderen Stellen sinnvoller nutzen.« Mit Blick auf das KDG und das Verarbeitungsverzeichnis-Muster der Aufsichten wirken die Anforderungen des Gerichts aber durchaus plausibel. Im Musterformular gibt es mit Feld B.3 Verarbeitungsablauf ein passendes Feld: »Eine (kurze) Beschreibung des operativen Ablaufs der Verarbeitung mit ihren wichtigsten Schritten«, und das Gesetz selbst sieht vor, »wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen« aufzunehmen (§ 31 Abs. 1 lit. h)).
Jetzt sind die katholischen Tätigkeitsberichte komplett: Die Diözesandatenschutzbeauftragte Ursula Becker-Rathmair, zuständig für die Südwest-Bistümer Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier, hat am Dienstag ihren Bericht für 2019 veröffentlicht. Er ist weitgehend überraschungsfrei, hat aber drastische Beispiele für die Praxisrelevanz von Datenschutz.
»Die Sensibilisierung für den Schutz der eigenen Daten hat an Fahrt aufgenommen«, betont Becker-Rathmair – auch sie hat mehr zu tun. Aber nicht so viel mehr, wie man bei diesen großen Bistümern erwarten könnte, jedenfalls in manchen Bistümern. Zeigen sich hier Compliance-Lücken bei den Verantwortlichen? Jedenfalls nicht in Trier: Das ist zahlenmäßig Spitzenreiter
Weiterlesen
Jupp Joachimski ist Diözesandatenschutzbeauftragter für die bayerischen Bistümer. Eigentlich sollte er das Amt heute abgeben – doch noch steht sein Nachfolger nicht fest. Der ehemalige Vorsitzende Richter am Obersten Bayerischen Landesgericht hat am Gesetzgebungsprozess für das Gesetz über den katholischen Datenschutz mitgewirkt. Auch bei der gerade stattfindenden Evaluierung des KDG ist er beteiligt. Bei Artikel 91 verrät er einige Details dazu.
(Ebenfalls heute ist ein Interview mit Joachimski auf katholisch.de erschienen. Dort geht es eher allgemein um seine Erfahrungen im kirchlichen Datenschutz. Zudem verrät er dort noch einen weiteren Punkt aus der KDG-Evaluierung: Das Schriftformerfordernis bei der Einwilligung soll fallen.)
WeiterlesenAm Mittwoch hat der Diözesandatenschutzbeauftragte für die Nordwest-Bistümer Andreas Mündelein seinen Tätigkeitsbericht für 2019 veröffentlicht. Nach seinem Kollegen für die Ost-Bistümer, der schon vor einigen Monaten veröffentlicht hat, ist das der zweite Bericht der kirchlichen Aufsichten.
Der Bericht kommt weitgehend ohne Überraschungen aus; die »Verunsicherungen, der Medienrummel und die gesamtkirchlichen Irritationen haben sich im Laufe des Berichtszeitraums 2019 nicht weiter fortgesetzt.« Beratungsnachfragen stagnieren auf hohem Niveau, Beschwerden und Meldungen von Datenpannen haben aber zugenommen. (Beschwerden +18,75 Prozent, Meldungen +73,30 Prozent, Prüfungen +90,67 Prozent; absolute Zahlen fehlen leider.) Positiv würdigt der DDSB, dass anlasslose Prüfungen ein gestiegenes Datenschutzbewusstsein gezeigt haben.
Social Media wird immer noch kritisch gesehen.