Schlagwort-Archive: Datenpanne

Sie soll, sie kann, sie will – Wochenrückblick KW 22/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Monatsanfang ist immer wie ein kleines Weihnachten: Dann veröffentlicht der Würzburger Kirchenrechtslehrstuhl seinen »Kanon des Monats«. Der 1. Juni war wie Weihnachten und Ostern: Der Kanon des Monats Juni ist can. 220 CIC – also der Datenschutzkanon. Martina Tollkühn gibt einen Überblick über die universalkirchliche Datenschutzgesetzgebung und wie und warum sie in Deutschland so konkret ausgestaltet wird: »Aber warum haben die deutschen Bistümer eigene Regelungen zum Datenschutz? Und was hat das mit dem c. 220 CIC/1983 zu tun? Die Kurzformel auf diese Fragen könnte sein: Weil sie sollen, weil sie können und weil sie wollen.« Nicht beantwortet wird allerdings, warum sie wollen sollten, was sie können, und warum dazu die allgemeinen staatlichen Gesetze nicht genügen. Etwas zirkulär positivistisch lautet die Begründung: Kirchen dürfen ihre eigenen Angelegenheiten selbst regeln, und weil sie ein Datenschutzrecht haben, ist das eine eigene Angelegenheit.

Die KDSA Ost hat sich mit Corona-Tests an Schulen befasst – vor drei Wochen war eine Entscheidung aus Hamburg dazu schon Thema hier. Im Ergebnis kommt die Aufsicht zu einem ähnlichen Ergebnis wie das Verwaltungsgericht, aber mit einem deutlichen Fokus auf die Zulässigkeit von Testungen in Schulen: »Schüler*innen und Erziehungsberechtigte, die mit dieser Art der Durchführung und Erhebung von personenbezogenen Daten nicht einverstanden sind, sollte die Möglichkeit eingeräumt werden, ein negatives Testergebnis durch ein anerkanntes Testzentrum (auch Schnelltestzentrum) oder einem Arzt vorzulegen.« Das Verwaltungsgericht hatte festgestellt, dass externe Tests anerkannt werden müssen. Ohne sollte.

Und dann hat die KDSA Ost sich auch noch einmal zur Abdingbarkeit von Technischen und organisatorischen Maßnahmen geäußert, nachdem der Hamburger Datenschutzbeauftragte die als Möglichkeit gesehen hatte (auch hier wurde schon darüber berichtet). Die kirchliche Aufsicht bekräftigt nun noch einmal die bereits zuvor geäußerte Ansicht, dass eine Einwilligung sich nur auf das Ob, nicht auf das Wie der Datenverarbeitung beziehen kann: »Würde man die Einwilligung so weit für zulässig erachten, wie dies im Vermerk der Hamburger Datenschutzbehörde zum Ausdruck kommt, handelte es sich nicht mehr um eine Einwilligung, sondern um einen Verzicht auf Datenschutz«, so die KDSA Ost – mit der paradoxen Folge, dass es zwar problemlos möglich wäre, in die Veröffentlichung der eigenen Daten auf einer Webseite zuzustimmen, nicht aber in eine ungesicherte E-Mail-Übermittlung derselben Daten.

Der Beschluss des IDSG zu einer Datenpanne durch fehlgelaufene Briefe in einem katholischen Krankenhaus wurde hier schon besprochen. Einige kritische Anfragen daran haben die Datenschutz-Notizen aufgeworfen: Es scheint unterschiedliche Ansichten dazu zu geben, wie ausführlich das Verfahrensverzeichnis sein muss – die beteiligte Aufsicht scheint dort auch eine konkrete Verfahrensbeschreibung zu erwarten, die den Beschäftigten bekannt sein muss. Das Gericht folgte der Ansicht, dass Verfahren im Detail dokumentiert sein müssen. »Die dabei geforderte Detailtiefe ist auf den ersten Blick überraschend«, so die Autorin, der nötige Aufwand bei der Erstellung von Verarbeitungsverzeichnissen wäre enorm: »Die hierdurch gebundenen personellen Kapazitäten könnte man sicher an anderen Stellen sinnvoller nutzen.« Mit Blick auf das KDG und das Verarbeitungsverzeichnis-Muster der Aufsichten wirken die Anforderungen des Gerichts aber durchaus plausibel. Im Musterformular gibt es mit Feld B.3 Verarbeitungsablauf ein passendes Feld: »Eine (kurze) Beschreibung des operativen Ablaufs der Verarbeitung mit ihren wichtigsten Schritten«, und das Gesetz selbst sieht vor, »wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen« aufzunehmen (§ 31 Abs. 1 lit. h)).

Weiterlesen

Wo sind all die Datenschutzbeauftragten hin? – Tätigkeitsbericht DDSB Südwest erschienen

Jetzt sind die katholischen Tätigkeitsberichte komplett: Die Diözesandatenschutzbeauftragte Ursula Becker-​Rathmair, zuständig für die Südwest-Bistümer Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier, hat am Dienstag ihren Bericht für 2019 veröffentlicht. Er ist weitgehend überraschungsfrei, hat aber drastische Beispiele für die Praxisrelevanz von Datenschutz.

»Die Sensibilisierung für den Schutz der eigenen Daten hat an Fahrt aufgenommen«, betont Becker-Rathmair – auch sie hat mehr zu tun. Aber nicht so viel mehr, wie man bei diesen großen Bistümern erwarten könnte, jedenfalls in manchen Bistümern. Zeigen sich hier Compliance-Lücken bei den Verantwortlichen? Jedenfalls nicht in Trier: Das ist zahlenmäßig Spitzenreiter

Weiterlesen

Das steht an bei der Evaluierung des KDG – Bayerns Diözesandatenschutzbeauftragter im Interview

Jupp Joachimski (Jahrgang 1942) leitet die Gemeinsame Datenschutzaufsicht der bayerischen (Erz-) Diözesen. Seit 2007 ist er als Diözesandatenschutzbeauftragter tätig.

Jupp Joachimski ist Diözesandatenschutzbeauftragter für die bayerischen Bistümer. Eigentlich sollte er das Amt heute abgeben – doch noch steht sein Nachfolger nicht fest. Der ehemalige Vorsitzende Richter am Obersten Bayerischen Landesgericht hat am Gesetzgebungsprozess für das Gesetz über den katholischen Datenschutz mitgewirkt. Auch bei der gerade stattfindenden Evaluierung des KDG ist er beteiligt. Bei Artikel 91 verrät er einige Details dazu.

(Ebenfalls heute ist ein Interview mit Joachimski auf katholisch.de erschienen. Dort geht es eher allgemein um seine Erfahrungen im kirchlichen Datenschutz. Zudem verrät er dort noch einen weiteren Punkt aus der KDG-Evaluierung: Das Schriftformerfordernis bei der Einwilligung soll fallen.)

Weiterlesen

Tätigkeitsbericht des Diözesandatenschutzbeauftragten Nordwest erschienen

Am Mittwoch hat der Diözesandatenschutzbeauftragte für die Nordwest-Bistümer Andreas Mündelein seinen Tätigkeitsbericht für 2019 veröffentlicht. Nach seinem Kollegen für die Ost-Bistümer, der schon vor einigen Monaten veröffentlicht hat, ist das der zweite Bericht der kirchlichen Aufsichten.

Der Bericht kommt weitgehend ohne Überraschungen aus; die »Verunsicherungen, der Medienrummel und die gesamtkirchlichen Irritationen haben sich im Laufe des Berichtszeitraums 2019 nicht weiter fortgesetzt.« Beratungsnachfragen stagnieren auf hohem Niveau, Beschwerden und Meldungen von Datenpannen haben aber zugenommen. (Beschwerden +18,75 Prozent, Meldungen +73,30 Prozent, Prüfungen +90,67 Prozent; absolute Zahlen fehlen leider.) Positiv würdigt der DDSB, dass anlasslose Prüfungen ein gestiegenes Datenschutzbewusstsein gezeigt haben.
Social Media wird immer noch kritisch gesehen.

Weiterlesen