Schlagwort-Archive: Datenschutzkonferenz

Datensparsam 3G-Status prüfen – Wochenrückblick KW 47/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Änderungen am Infektionsschutzgesetz sind nun in Kraft – inklusive der 3G-Regelung am Arbeitsplatz. Die lässt sich gut und weniger gut umsetzen – wie es gut geht, legt der BfD EKD in einer Pressemeldung dar. Eine langfristige Speicherung sei »eher nicht« erforderlich, schon »nach Zutritt oder am Ende des jeweiligen Tages« können die angefallenen Daten einer Zutrittskontrolle gelöscht werden. (Gemeint sind aufgrund der Dokumentationspflichten damit wohl nur die eigentlichen Nachweise.) »Für eine dauerhafte Zutrittsmöglichkeit genügt auch die Dokumentation im Rahmen eines einmaligen ›Abhakens‹ auf einer Liste bei erstmaliger Vorlage des Impf- oder Genesenennachweises«, so der BfD EKD. Dazu brauche es nachprüfbare Prozesse – wie die genau aussehen, wird nicht weiter ausgeführt. Tipps dafür gibt es bei den Datenschutz-Notizen und beim Datenschutz-Guru. Althammer & Kill haben sogar schon fertige Vorlagen für Datenschutzinformationen nach KDG und DSG-EKD. Neben dem BfD EKD hatte sich kurzfristig auch der Datenschutzbeauftragte für Kirche und Diakonie geäußert – die Position wurde aber noch am selben Tag wieder aus dem Netz genommen. Meines Erachtens wohl zurecht.

Die Ampel hat ihren Koalitionsvertrag vorgelegt, und natürlich spielt auch Datenschutz eine Rolle. Ein Vorhaben ist auch für hier besonders interessant: »Zur besseren Durchsetzung und Kohärenz des Datenschutzes verstärken wir die europäische Zusammenarbeit, institutionalisieren die Datenschutzkonferenz im Bundesdatenschutzgesetz (BDSG) und wollen ihr rechtlich, wo möglich, verbindliche Beschlüsse ermöglichen.« Die Ausführung wird noch interessant werden: Einmal mit Blick auf die Umsetzung, die aufgrund des Verbots der Mischverwaltung wohl eine Grundgesetzänderung erfordert (wie im BDSG-Evaluierungsbericht des BMI festgestellt wurde). Aber natürlich auch mit Blick auf die bislang kaum beteiligten spezifischen Aufsichten – bei einer BDSG-Reform sollte hier eine verbindliche Beteiligung festgeschrieben werden. Einen Überblick über die Datenschutzpläne der Ampel gibt es übersichtlich in der Dataprotection Landscape. (Mit Blick auf Religionspolitik habe ich den Vertrag bei katholisch.de analysiert.)

Nichts Neues gibt es in der Nordkirche: Auf der Landessynode in der vergangenen Woche hatte der Datenschutzbeauftragte zwar auf seinen schriftlichen Bericht verwiesen – der ist aber noch nicht veröffentlicht.

Weiterlesen

Aufsichten vs. Microsoft-Cloud: Viel Dialog, (fast) keine Sanktionen

3 Antworten

Viel Beratung und Dialog, kaum Maßnahmen – das ist das Ergebnis einer Umfrage unter den Datenschutzaufsichten der Länder und des Bundes, die ich in den vergangenen zwei Wochen zur Nutzung von Microsoft-Produkten in der Cloud durchgeführt habe. Nur eine einzige Behörde antwortete auf die Frage, ob sie aufgrund eines Einsatzes von Microsoft-Produkten von Abhilfebefugnissen gegenüber Verantwortlichen gemäß Art. 58 Abs. 2 DSGVO Gebrauch gemacht habe, mit einem klaren Ja – die Berliner Beauftragte für Datenschutz und Informationsfreiheit.

Eine Nahaufnahme einer Windows-Taste auf einer schwarzen Tastatur
scheinen Alternativen zu Microsoft-Produkten scheinen oft unvorstellbar – wenn schon die Hardware mit Microsoft-Branding kommt. (Symbolbild, Photo by Tadas Sar on Unsplash

Das Handeln staatlicher Aufsichten ist auch für den kirchlichen Datenschutzaufsichten unterworfene Verantwortliche interessant: Die kirchlichen Aufsichten bemühen sich um einen großen Einklang mit den staatlichen, in kirchlichen Stellen dominiert Microsoft den Bürosoftware-Markt genauso wie in weltlichen. Wo die staatlichen nicht hart durchgreifen, ist auch kein kirchlicher Durchmarsch zu erwarten.

(Die gesammelten und systematisierten Rückmeldungen in Rohform gibt es auch zum Download.)

Weiterlesen

Befreite Protokolle: Spezifische Aufsichten am Katzentisch der DSK

Schreiben Sie eine Antwort

Ein- bis zweimal im Jahr treffen sich Vertreter*innen der Datenschutzkonferenz mit den spezifischen Aufsichten, also den Datenschutzaufsichten von Rundfunk und Religionsgemeinschaften. Die Protokolle werden nicht proaktiv veröffentlicht. Per Informationsfreiheitsantrag gelingt es aber regelmäßig, sie zu befreien. Jetzt liegen die Protokolle der Sitzungen vom 21. Oktober 2020 und 5. Mai 2021 vor.

Wieder einmal wurde per fragdenstaat.de ein Bündel an Unterlagen befreit.
Wieder einmal wurde per fragdenstaat.de ein Bündel an Unterlagen befreit.

Ein unterschwelliges Thema, das auch gelegentlich an die Oberfläche kommt, ist die Einbeziehung der spezifischen Aufsichten in die Arbeit der Datenschutzkonferenz – die dort vertretenen Aufsichten der Länder und des Bundes haben kein gesteigertes Interesse, die spezifischen Aufsichten als gleichwertig zu betrachten. Auch dieses Mal.

Weiterlesen

Spezifisch skeptisch – Wochenrückblick KW 25/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Suche von Wolfgang Loest nach DSG-EKD-kooperationswilligen Newsletter-Providern, die hier in der vergangenen Woche schon erwähnt wurde, hat einige Ergebnisse gebracht, die er in seinem Blog zusammengefasst hat. Interessant bei der Recherche ist das Unverständnis, das ein Provider den kirchlichen Anforderungen entgegenbrachte: »Es ist doch etwas befremdlich, dass eine Kirche mit den Begriffen „sich unterwerfen“ und „Geldbußen“ hantiert.« Über den bürokratischen Aufwand sind auch die kommunikativen Kosten eines eigenen Datenschutzrechts relevant – und die evangelische Rechtslage ist hier besonders ungünstig. Wer will sich schon einer kirchlichen Behörde unterwerfen?

Die staatlichen Datenschutzaufsichten sind sehr skeptisch den spezifischen (zu denen auch die kirchlichen gehören) gegenüber – das haben auch einige Recherchen hier gezeigt. Das nun veröffentlichte Protokoll der 101. Datenschutzkonferenz zeigt das wieder einmal. So einfach kommt eine spezifische Austauschbehörde nämlich nicht in die internen Kommunikationstools, wie die der bayerischen Medienaufsicht erfahren hat, die in das DSK-Confluence-System wollte. Der wurde nicht so einfach erteilt – stattdessen soll der AK Grundsatz der DSK nun prüfen, ob der kleine Informationsfinger zur ganzen Handvoll Beteiligung für die ungeliebten spezifischen Aufsichten führen würde: »Hierbei ist insbesondere auch zu prüfen, ob sich aus dem Zugang zu Confluence eine präjudizierende Wirkung ergibt, wie z.B. für den Zugang zu IMI, die Beteiligung an der Bildung eines gemeinsamen Standpunktes oder die Teilnahme an den DSK-Sitzungen.«

… und dann gibt’s noch einen Job für #TeamKirchlicherDatenschutz: Der Caritas-Diözesanverband Köln sucht eine*n Referent*in Datenschutz.

Weiterlesen

Umfassende Rechtsunkenntnis der gesamten Kurie – Wochenrückblick KW 11/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das beherrschende Thema der Woche war die Vorstellung des Kölner Missbrauchsgutachtens – dazu wurde anderswo (auch von mir) schon viel kommentiert. Mit Blick auf die Frage nach Recht und Rechtmäßigkeit in der Kirche enthält es einen erschütternden, aber nicht überraschenden Abschnitt: »Umfassende Rechtsunkenntnis in der gesamten Kurie« ist er überschrieben (ab S. 224 des Gutachtens). Dort liest man: »Bis in die höchsten Kreise kirchlicher Verantwortungsträger hinein war die Kenntnis des kanonischen Rechts im Allgemeinen und des kirchlichen Strafrechts im Besonderen, ausgesprochen defizitär«, später wird darauf hingewiesen, dass ein Problem insbesondere »die Praxis des Heiligen Stuhls [ist], Gesetzestexte nicht in jedem Fall zu veröffentlichen und nicht dafür zu sorgen, dass sie jedem Rechtsanwender zur Kenntnis gelangten«. Was mit schrecklicher Konsequenz im Großen und im Bereich des Strafrechts gilt, zieht sich auch im Kleinen und in weniger konsequenzenträchtigen Bereichen durch: Schon oft wurde von mir angemerkt, wie defizitär viele (insbesondere) Bistümer sind in der transparenten Darstellung ihres Diözesanrechts sind, teilweise sind nicht einmal die Amtsblätter online zugänglich. (Der Vatikan ist besonders defizitär: Eine unübersichtliche Webseite, sehr uneinheitlich aktuell, und viele zentrale Texte nur in einer PDF-Textwüste auf Latein verfügbar.)

Apropos Transparenz: Noch einmal das 2018 beschlossene Nürnberger Datenschutzzentrum, von dem man seither nichts mehr gehört hat – die Freisinger Bischofskonferenz hat wieder getagt, das stand nicht auf der Tagesordnung. Dafür habe ich auf Twitter erstmals ein offizielles Statement vom Pressesprecher der Erzdiözese München und Freising, zugleich Sprecher der Freisinger Bischofskonferenz, erhalten. Ich zitiere vollständig: »🤷‍♂️«

Transparenter geht’s bei der Datenschutzkonferenz zu – weil man die per Informationsfreiheitsgesetz anzapfen kann. Jetzt liegt mir (danke, FragdenStaat.de!) auch das Protokoll des Treffens der DSK mit den spezifischen Aufsichten von der Sitzung vom 21. Oktober 2020 vor. Darin wurde (auf eine andere IFG-Anfrage von mir hin) gefragt, wie man mit Protokollen verfahren wolle. Eine Vereinbarung wurde wohl getroffen, steht aber nicht im Protokoll. Tja. Eine Liste der bekannten spezifischen Aufsichten im Bereich der Religionsgemeinschaften gibt es nach wie vor nicht – nur römisch-katholische Aufsichten, die der EKD und die der Selbständigen Evangelisch-Lutherischen Kirche tauchen auf – die SELK mit dem Vermerk, dass ihr Status gerade in Niedersachsen geprüft werde und mit einer Aberkennung gerechnet werde, wie bereits zuvor hier berichtet wurde.

Weiterlesen

Befreit: Interne Protokolle der Datenschutzkonferenz zu spezifischen Aufsichten

Schreiben Sie eine Antwort

Die Datenschutzkonferenz des Bundes und der Länder treffen sich regelmäßig mit den spezifischen Datenschutzaufsichten – das sind die der Medien und der Religionsgemeinschaften. Was dort besprochen wurde, blieb bisher vor der Öffentlichkeit verborgen. Eine erfolgreiche Informationsfreiheitsanfrage beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, der 2019 den Vorsitz in der DSK hatte, bringt nun ans Licht, was dort besprochen wurde.

Zwei Protokolle der Treffen vom 21. Mai und 15. Oktober 2019 sind nun öffentlich, geschwärzt wurden nur die Namen der Teilnehmenden. Ganz heiße Neuigkeiten stehen nicht in den Protokollen – nur die restriktive und wenig religionsfreiheitsfreundliche Auslegung von Art. 91 DSGVO auch durch die spezifischen Aufsichten überrascht.

Weiterlesen

Bedingt auskunftsbereit – Wochenrückblick KW 6/2021

Schreiben Sie eine Antwort

Drei Recherchen beschäftigen mich weitgehend erfolglos seit Monaten: Was wird aus der katholischen Datenschutzaufsicht in Bayern, welche Religionsgemeinschaften mit eigenem Datenschutzregime kennen die staatlichen Behörden – und was macht eigentlich die EKD? Zu den drei Recherchen habe ich diese Woche wieder nachgehakt.

  • In Bayern ist die Datenschutzaufsicht seit Herbst kommissarisch besetzt, kein Nachfolger und kein Zeitplan für die Nachbesetzung bekannt, das 2018 beschlossene Nürnberger Datenschutzzentrum immer noch nicht eingerichtet. Regelmäßig Presseanfragen in München (wo die Bistumspressestelle auch die der Freisinger Bischofskonferenz ist) waren bisher erfolglos, die einzelnen bayerischen Bistümer verweisen auf die Zentrale und wissen auch nichts.
  • In Deutschland gibt es keine übersichtliche Liste, welche spezifischen Aufsichtsbehörden – zu denen die der Religionsgemeinschaften gehören – den staatlichen Aufsichten bekannt sind. (Vorbildlich: Polen.) Auf Presseanfragen rückten die Länderaufsichten keine konkreten Listen heraus. Informationsfreiheitsanfragen über Frag den Staat ziehen sich seit Monaten hin. Durch Carlo Piltz wurde ich nun auf das Mitte Januar veröffentlichte Protokoll der 100. Datenschutzkonferenz aufmerksam. Unter TOP 15 wird dort eine »Liste über die spezifischen Aufsichtsbehörden« erwähnt. Informationsfreiheitsanfrage ist raus.
  • Seit Monaten läuft meine eigentlich sehr simple Presseanfrage bei der EKD. Mich interessieren zwei Dinge: Gab es schon kirchliche Gerichtsentscheidungen, in denen das neue DSG-EKD eine Rolle spielte? (Sollte es eigentlich, katholische gibt’s schon einige – aber die normalerweise viel bessere evangelische Rechtssammlung findet keine.) Und: Gibt es bereits Pläne zur Evaluierung des DSG-EKD? (Bei einer synodal organisierten Kirche sollte man doch denken, dass da mit Vorlauf und Transparenz gearbeitet werden müsste.) Am Anfang wurde ich noch vertröstet, jetzt bekomme ich von der EKD-Pressestelle gar keine Antwort mehr.

Der Datenschutz-Dienstleister Althammer & Kill hat ein Whitepaper zu »Microsoft 365 in Kirche & Wohlfahrt« veröffentlicht. Das ist nicht nur nützlich und lesenswert, wenn es direkt um die Office-Frage geht. Auch ausführliche Passagen allgemein zur Drittlandübertragung und wie sie nach KDG und DSG-EKD gestaltet werden sind sehr erhellend. Vor allem im Bereich des KDG wird bei einigen Formulierungen deutlich angefragt, ob sie praktikabel oder gar europarechtskonform sind – insbesondere die schon länger als zweifelhaft bekannte Möglichkeit einer »Selbstzertifizierung«, wie sie § 40 Abs. 2 lit. b) KDG eröffnet wird: »Damit wird die Bewertungshoheit aus den Händen der Europäischen Kommission in die des Verantwortlichen gelegt, was im Zweifelsfall kaum standhalten würde. Eine Drittlandübermittlung auf dieser Basis weist nicht die erforderliche Rechtssicherheit auf.« (Hier wird auch der Ursprung der Norm erwähnt: Eine unkritische Übernahme aus dem alten BDSG – im DSG-EKD gibt es deutlich weniger Probleme, weil der evangelische Gesetzgeber bei der Drittlandsübermittlung unnötige Abweichungen von der säkularen Rechtslage stärker vermieden hat.)

Weiterlesen

DSK-Dokumente befreit: Staatliche Skepsis gegenüber kirchlichem Datenschutz

Schreiben Sie eine Antwort

Die Datenschutzaufsichten von Bund und Ländern stehen in Deutschland ihren kirchlichen Pendants eher kritisch gegenüber. Zumindest wollen sie die Beteiligung überschaubar halten – das war schon bekannt. Über einen Informationsfreiheitsantrag per »Frag den Staat« habe ich bisher unveröffentlichte Dokumente zum Verhältnis und zum Umgang mit den sogenannten »spezifischen« Aufsichtsbehörden (das sind neben den kirchlichen auch die der Medien) bekommen. Herausgegeben wurden die Unterlagen vom Landesdatenschutzbeauftragte von Rheinland-Pfalz, der 2019 den Vorsitz in der Datenschutzkonferenz hatte. Die Datenschutzkonferenz selbst ist leider rechtlich nicht so verfasst, dass man dort direkt IFG-Anfragen stellen könnte.

Ein Stapel mit den befreiten Dokumenten, oben rechts auf dem Papier das Logo der Datenschutzkonferenz.

Inhaltlich gibt es keine großen Überraschungen – aber man kann sehr deutlich ablesen, wie holprig die Zusammenarbeit mit den spezifischen Aufsichtsbehörden ist: Die Dokumente zeigen, wie groß die Skepsis der staatlichen Aufsichten ist und wie gering sie die Beteiligung an ihrer Arbeit halten wollen.

Weiterlesen

Auf dem religiösen Auge blind – Wochenrückblick KW 47

Schreiben Sie eine Antwort

Mit der Hamburger Datenschutzaufsicht hat nun die vorletzte Behörde (nur Mecklenburg-Vorpommern fehlt) auf die Presseanfragen zum Umgang mit kleinen Religionsgemeinschaften geantwortet, ein Tag nach Veröffentlichung der Recherche. Eine überraschende Erkenntnis der Abfrage ist eine Nicht-Meldung: Nämlich darüber, welche Religionsgemeinschaften mit eigenem Datenschutzrecht überhaupt bei den Aufsichten bekannt sind. Das sind bei den meisten über römisch-katholische Kirche und evangelische Landeskirchen hinaus keine – und das obwohl es ein Austauschtreffen von Datenschutzkonferenz und spezifischen Aufsichtsbehörden gibt (dazu gehören neben denen der Religionsgemeinschaften auch die von Medien). Bei den meisten Aufsichten ist es nicht auf dem Schirm, wer überhaupt eigenes Datenschutzrecht anwendet. Das scheint Methode zu haben: 2019 wurde von der Datenschutzkonferenz ein Zusatztext abgelehnt »über eine beabsichtigte Registrierung als spezifische Aufsichtsbehörde zur Verwendung auf der Homepage der DSK-Mitglieder«.

Den bisher einzigen Überblick über Religionsgemeinschaften mit eigenem Datenschutzrecht gibt’s hier in der Rechtssammlung – bisher sind (mir) 16 kleinere Gemeinschaften bekannt, darunter nur eine (die Israelitische Religionsgemeinschaft Württembergs), die nicht aus dem weiteren christlichen Spektrum kommt.

… und erst nach Veröffentlichung des Wochenrückblicks veröffentlicht der Diözesandatenschutzbeauftragte für die norddeutschen Bistümer die Nachricht der Woche: Seine Behörde trägt jetzt den neuen, deutlich griffigeren Namen »Katholische Datenschutzaufsicht Nord« (und anders als bei der KDSA Ost klappt auch die Weiterleitung auf die neue Adresse reibungslos). Weiterhin auf der To-do-Liste: Die Umbenennung der Konferenz der Diözesandatenschutzbeauftragten in »Katholische Datenschutzkonferenz« und die Errichtung des Nürnberger Datenschutzzentrums.

Weiterlesen