Schlagwort-Archive: Datenschutzerklärung

Tagungsbericht »Drei Jahre Gesetz über den Kirchlichen Datenschutz«

Im vierten Jahr seiner Geltung geht es beim KDG und seiner Umsetzung in die Details – das zeigte die von Curacon und den nordrhein-westfälischen Caritasverbänden organisierte Tagung zum dritten Geburtstag des Gesetzes über den kirchlichen Datenschutz am vergangenen Freitag.

Folie mit dem Veranstaltungstitel auf einem Laptop

Schwerpunkt waren alltägliche, aber komplizierte Themen: Der Umgang mit Auskunftsersuchen, Auftragsverarbeitung, Schadensersatzansprüche, Datenschutzfolgenabschätzungen und Compliance. Zwei Produkt-Vorstellungen – ein KDG-Compliance-Tool der GDD und ein Datenschutzfolgenabschätzungstool der Curacon – standen zudem auf der Tagesordnung. Den Blick aus den Niederungen der Praxis weitete zum Abschluss ein Vortrag des Vorsitzenden Richters am Interdiözesanen Datenschutzgericht, Bernhard Fessler.

Weiterlesen

Windows-10-Schnelltest für Schüler*innen bei YouTube – Wochenrückblick KW 18/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Gleich zwei nützliche Handreichungen hat in dieser Woche die KDSA Ost veröffentlicht: Die »Mustervorlage freiwilliger Corona-Schnelltest« dürfte gerade in einigen Unternehmen benötigt werden. Interessant ist die dort angeführte Rechtsgrundlage: »§ 11 (2) lit. a KDG iVm. § 26 (2) BDSG«, also die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten in Verbindung mit den erhöhten Anforderungen an eine Einwilligung im Beschäftigungsverhältnis. Eine derartige Norm fehlt in § 53 KDG, die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses regelt. Dass man auch im kirchlichen Datenschutzrecht gut daran tut, Einwilligung im Beschäftigungskontext besonders streng zu ziehen, dürfte keine Überraschung sein. Dass dabei aber direkt auf eine BDSG-Norm verwiesen wird, ist neu und wirft die Frage auf, ob nach Ansicht der Aufsicht alle BDSG-Regelungen hilfsweise herangezogen werden können, wenn das KDG nichts regelt.

Mit Blick auf das näher rückende Schuljahresende ist die zweite Handreichung nützlich, bei der es um Leistungsnachweise per Video im Homeschooling geht. In fünf kompakten Punkten gibt es eine gut umsetzbare Hilfestellung – nur bei Punkt 3 ist fraglich, ob sich die Schüler*innen in der Sache wirklich sensibilisieren lassen wollen. Auch hier gibt es eine interessante Formulierung: So sei die Zustimmung von Eltern und Kindern nötig. »Diese Einverständniserklärung kann auch durch das schlüssige Handeln erfolgen, indem das Video aufgenommen und zur Bewertung zur Verfügung gestellt wird« – im folgenden Satz wird auch explizit von »Einwilligung« gesprochen – anscheinend wird hier einer der Fälle angenommen, in denen gemäß § 8 Abs. 2 KDG von der Schriftform aufgrund »besonderer Umstände« abgewichen werden kann. So einen Umgang mit der Einwilligung ist bisher nicht von Aufsichten bekannt – im Zweifelsfall würde man hier wohl lieber doch auf eine schriftliche Einwilligung nach den Regeln der Kunst zurückgreifen, schon weil die Einwilligung sowohl von Eltern wie von Schüler*innen konkludent eher schwer nachzuweisen ist.

Auch die Konferenz der Diözesandatenschutzbeauftragten hat gearbeitet: Für den Einsatz von Windows 10 gibt es technische Handreichungen, wie man das Betriebssystem datensparsam betreiben kann – die Frage, ob Windows 10 überhaupt rechtskonform eingesetzt werden kann, wird bewusst ausgeblendet.

In Altenberg und digital tagt gerade die BDKJ-Hauptversammlung. Im Bericht des Bundesvorstands des Dachverbands der katholischen Jugendverbände wird auch das Engagement für einen handhabbaren Datenschutz angesprochen: »Insbesondere während der Corona-Pandemie sind die benötigten digitalen Räume nicht ohne bewusste Verstöße gegen die geltenden Bestimmungen nutzbar. Auch die Erreichbarkeit der Zielgruppe ist über KDG-konforme Medien kaum gegeben. Der Bundesvorstand ist bemüht, die konkreten Veränderungs­bedarfe zu sammeln und in eine Novellierung der Gesetze einzubringen.« Über aktuelle Entwicklungen bei der KDG-Evaluierung haben diese Woche auch die Datenschutz-Notizen berichtet.

Bei Feinschwarz plädiert die Kirchenrechtlerin Jessica Scheiper für mehr Transparenz im kirchlichen Archivwesen – leider sieht das Kirchenrecht nämlich vor, dass Bischöfe Geheimarchive unterhalten. Zu viel Schutz von Daten (vor allem wenn er nicht dem Grundrechtsschutz, sondern dem Institutionenschutz dient), schadet: »Ein wichtiger Schritt in die richtige Richtung könnte daher sein, wenn die für die Geheimarchive zuständigen Diözesanbischöfe oder auch ganze Bischofskonferenzen um die päpstliche Dispens von der Pflicht zur Geheimarchivierung bitten würden.«

Weiterlesen

Geburtstagsparty für das KDG – Wochenrückblick KW 17/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der dritte Jahrestag des Inkrafttretens des KDG kommt näher. Die Geburtstagsparty wird organisiert von den fünf nordrhein-westfälischen Caritasverbänden und der Wirtschaftsprüfungs- und Beratungsgesellschaft Curacon. Unter dem Titel Erfahrungsaustausch »Drei Jahre Gesetz über den Kirchlichen Datenschutz« gibt es praxisnahe Vorträge unter anderem zu Informationspflichten und Auftragsverarbeitung. Besonders interessant dürfte der Beitrag von Bernhard Fessler werden, dem Vorsitzenden Richter am Interdiözesanen Datenschutzgericht, über erste Erfahrungen aus dem kirchlichen Datenschutzgericht. Bis einschließlich heute gibt es auch noch einen Frühbucherpreis. (Offenlegung, weil sich’s gehört: Ich bin als Journalist akkreditiert und komme kostenlos rein; der Hinweis hier wurde weder bezahlt noch als Gegenleistung für die Akkreditierung angeboten.)

Der Ärger um die luca-App hört nicht auf. Das heißt aber noch lange nicht, dass sie nicht eingesetzt wird – über den Einsatz im Bistum Münster berichtet »Kirche und Leben«. Der Artikel geht auch umfassend auf die vielfältige Kritik ein. Die zuständige Datenschutzbeauftragte des Bistums für die Pfarreien sieht Vorteile, aber auch noch ungeklärtes – etwa die Verantwortlichkeit bei den verschiedenen Schritten des Rückverfolgungsprozesses und die zentrale Datenspeicherung.

Am Donnerstag gab es die Ergebnisse des zweiten Wahlgangs für die Zuwahl von Einzelpersönlichkeiten ins Zentralkomitee der deutschen Katholiken. Warum ist das hier Thema? Mit Johannes Norpoth ist der (mutmaßlich) erste hauptberufliche betriebliche Datenschutzbeauftragte ZdK-Mitglied geworden. Eventuell wurde er nicht deswegen gewählt, dennoch herzlichen Glückwunsch und viel Erfolg!

Weiterlesen

Bedingt auskunftsbereit – Wochenrückblick KW 6/2021

Drei Recherchen beschäftigen mich weitgehend erfolglos seit Monaten: Was wird aus der katholischen Datenschutzaufsicht in Bayern, welche Religionsgemeinschaften mit eigenem Datenschutzregime kennen die staatlichen Behörden – und was macht eigentlich die EKD? Zu den drei Recherchen habe ich diese Woche wieder nachgehakt.

  • In Bayern ist die Datenschutzaufsicht seit Herbst kommissarisch besetzt, kein Nachfolger und kein Zeitplan für die Nachbesetzung bekannt, das 2018 beschlossene Nürnberger Datenschutzzentrum immer noch nicht eingerichtet. Regelmäßig Presseanfragen in München (wo die Bistumspressestelle auch die der Freisinger Bischofskonferenz ist) waren bisher erfolglos, die einzelnen bayerischen Bistümer verweisen auf die Zentrale und wissen auch nichts.
  • In Deutschland gibt es keine übersichtliche Liste, welche spezifischen Aufsichtsbehörden – zu denen die der Religionsgemeinschaften gehören – den staatlichen Aufsichten bekannt sind. (Vorbildlich: Polen.) Auf Presseanfragen rückten die Länderaufsichten keine konkreten Listen heraus. Informationsfreiheitsanfragen über Frag den Staat ziehen sich seit Monaten hin. Durch Carlo Piltz wurde ich nun auf das Mitte Januar veröffentlichte Protokoll der 100. Datenschutzkonferenz aufmerksam. Unter TOP 15 wird dort eine »Liste über die spezifischen Aufsichtsbehörden« erwähnt. Informationsfreiheitsanfrage ist raus.
  • Seit Monaten läuft meine eigentlich sehr simple Presseanfrage bei der EKD. Mich interessieren zwei Dinge: Gab es schon kirchliche Gerichtsentscheidungen, in denen das neue DSG-EKD eine Rolle spielte? (Sollte es eigentlich, katholische gibt’s schon einige – aber die normalerweise viel bessere evangelische Rechtssammlung findet keine.) Und: Gibt es bereits Pläne zur Evaluierung des DSG-EKD? (Bei einer synodal organisierten Kirche sollte man doch denken, dass da mit Vorlauf und Transparenz gearbeitet werden müsste.) Am Anfang wurde ich noch vertröstet, jetzt bekomme ich von der EKD-Pressestelle gar keine Antwort mehr.

Der Datenschutz-Dienstleister Althammer & Kill hat ein Whitepaper zu »Microsoft 365 in Kirche & Wohlfahrt« veröffentlicht. Das ist nicht nur nützlich und lesenswert, wenn es direkt um die Office-Frage geht. Auch ausführliche Passagen allgemein zur Drittlandübertragung und wie sie nach KDG und DSG-EKD gestaltet werden sind sehr erhellend. Vor allem im Bereich des KDG wird bei einigen Formulierungen deutlich angefragt, ob sie praktikabel oder gar europarechtskonform sind – insbesondere die schon länger als zweifelhaft bekannte Möglichkeit einer »Selbstzertifizierung«, wie sie § 40 Abs. 2 lit. b) KDG eröffnet wird: »Damit wird die Bewertungshoheit aus den Händen der Europäischen Kommission in die des Verantwortlichen gelegt, was im Zweifelsfall kaum standhalten würde. Eine Drittlandübermittlung auf dieser Basis weist nicht die erforderliche Rechtssicherheit auf.« (Hier wird auch der Ursprung der Norm erwähnt: Eine unkritische Übernahme aus dem alten BDSG – im DSG-EKD gibt es deutlich weniger Probleme, weil der evangelische Gesetzgeber bei der Drittlandsübermittlung unnötige Abweichungen von der säkularen Rechtslage stärker vermieden hat.)

Weiterlesen

Videokonferenz praktisch datenschutzkonform – nur wie?

Eins gleich vorweg: Die Antwort auf die drängendste Frage, nämlich »Darf ich Zoom verwenden?«, ist ein deutliches »Tja, hmm …«. Zum Thema Videokonferenzen haben die kirchlichen Datenschutzaufsichten viel veröffentlicht – und vieles ist auf der strengeren Seite möglicher Spielräume, bis hin zu ganz klaren Aussagen, dass US-Dienste kategorisch unzulässig sind. Aus diesem Dilemma kommt man nicht heraus.

Eine Videokonferenz mit vielen Teilnehmenden auf einem Laptopbildschirm
Videokonferenz. (Photo by Chris Montgomery on Unsplash)

Auch dieser Artikel kann kein Patentrezept liefern. Das kann momentan niemand – oder wie es der bayerische Diözesandatenschutzbeauftragte sagt: »Wenn Sie nach dem Lesen des Aufsatzes nicht wissen, welches Programm Sie nun wählen sollen, sind Sie damit nicht allein auf der Welt.« Was aber geht: Das Datenschutzniveau pragmatisch zu heben, sich statt völlig immerhin größtmöglich rechtskonform aufzustellen – selbst wenn die Wahl auf einen US-Anbieter fällt – und das eigene Verhalten auf respektvollen Umgang mit den Daten anderer zu optimieren.

Weiterlesen

Wo sind all die Datenschutzbeauftragten hin? – Tätigkeitsbericht DDSB Südwest erschienen

Jetzt sind die katholischen Tätigkeitsberichte komplett: Die Diözesandatenschutzbeauftragte Ursula Becker-​Rathmair, zuständig für die Südwest-Bistümer Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier, hat am Dienstag ihren Bericht für 2019 veröffentlicht. Er ist weitgehend überraschungsfrei, hat aber drastische Beispiele für die Praxisrelevanz von Datenschutz.

»Die Sensibilisierung für den Schutz der eigenen Daten hat an Fahrt aufgenommen«, betont Becker-Rathmair – auch sie hat mehr zu tun. Aber nicht so viel mehr, wie man bei diesen großen Bistümern erwarten könnte, jedenfalls in manchen Bistümern. Zeigen sich hier Compliance-Lücken bei den Verantwortlichen? Jedenfalls nicht in Trier: Das ist zahlenmäßig Spitzenreiter

Weiterlesen