Schlagwort-Archive: Datenschutzkonferenz

Stiftungspanne – Wochenrückblick KW 25/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

In ihrem frisch erschienenen Tätigkeitsbericht schildert die Berliner Datenschutzbeauftragte einen Fall einer Sicherheitslücke in einer Software für Stipendienportale. Durch die Ausnutzung der Schwachstellen soll es möglich gewesen sein, ein Nutzungskonto anzulegen, die Datenbank abzufragen, hochgeladene Dokumente herunterzuladen und ein Nutzungskonto mit Adminrechten auszustatten. Laut Bericht waren vier Studienstiftungen betroffen. Da durch die Ausrichtungen der nicht namentlich genannten Stiftungen auch Daten zur Religionszugehörigkeit und zur Nähe zu politischen Parteien erhoben wurden, ist davon auszugehen, dass auch eine der Stiftungen von Religionsgemeinschaften betroffen ist. Auf Anfrage teilten das katholische Cusanuswerk und das Evangelische Studienwerk Villigst mit, dass sie von keiner Sicherheitslücke betroffen waren. Das jüdische Ernst-Ludwig-Ehrlich-Studienwerk und die muslimische Avicenna-Studienstiftung haben auf die Anfrage noch nicht geantwortet. (Angefragt wurden nur diese vier, die aus Mitteln des Bildungsministerium finanziert werden.)

Mit Transparenz tut sich die römisch-katholische Kirche schwer – gerade, was ihre Gerichtsbarkeit angeht. Immerhin: Die Datenschutzgerichte veröffentlichen Entscheidungen – aber nur ausgewählte, freiwillig und ohne Rechtspflicht. Daher hat die Gesellschaft Katholischer Publizisten (GKP), in der ich mich im Vorstand engagiere, sich erneut für mehr Transparenz in der kirchlichen Justiz ausgesprochen. Anlass ist die Ankündigung des Münsteraner Bischofs Felix Genn, schon vor der Genehmigung einer bundesweiten kirchlichen Verwaltungsgerichtsbarkeit durch den Heiligen Stuhl eine vorläufige diözesane einzurichten. »Die Kirche darf in ihrem eigenen Rechtssystem nicht hinter Selbstverständlichkeiten des Rechtsstaats zurückbleiben, wenn sie Vertrauen zurückgewinnen will. Ungehinderte Gerichtsberichterstattung ist ein wesentliches Element jeder freiheitlich-rechtsstaatlichen Ordnung«, sagt der GKP-Vorsitzende Joachim Frank. Gefordert sind öffentliche mündliche Verhandlungen und Urteilsverkündungen, die Veröffentlichung von Urteilen sowie Informations- und Auskunftsrechte für die Medien.

Weiterlesen

Spezifische Aufsichten auch in der DSK 2.0 außen vor

Schreiben Sie eine Antwort

Die Datenschutzkonferenz des Bundes und der Länder befasst sich damit, wie das Gremium für eine wirksamere Kooperation ausgestattet werden kann. Über eine IFG-Anfrage wurde das im Protokoll der letzten DSK-Sitzung erwähnte Gutachten »Rechtliche Möglichkeiten zur Stärkung und Institutionalisierung der Kooperation der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK 2.0)« von Eike Richter und Indra Spiecker gen. Döhmann öffentlich gemacht.

Titelseite des DSK-Gutachtens

Die staatlichen Aufsichten haben kein gesteigertes Interesse daran, dass die spezifischen Aufsichten mehr Beteiligungsrechte erhalten. Das spiegelt sich auch im Auftragsgutachten wieder – eine zu enge Einbeziehung soll sogar verfassungs- und europarechtswidrig sein. Das überzeugt nur bedingt.

Weiterlesen

Entspannung in Hessen – Wochenrückblick KW 23/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Datenschutzkonferenz hat auf ihrer jüngsten Sitzung laut Protokoll ein Gutachten mit dem Titel »Rechtliche Möglichkeiten zur Stärkung und Institutionalisierung der Kooperation der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK 2.0)« beraten (eine IFG-Anfrage ist bereits gestellt). Besonderes Engagement, die spezifischen – also auch die kirchlichen – Aufsichtsbehörden besser einzubinden, ist nicht zu erwarten. Aber man lässt sich ja gern überraschen.

Der 50. Tätigkeitsbericht der Hessischen Datenschutzaufsicht ist erschienen. Darin wird wie erstmals im vergangenen Jahr auch die Kategorie »Religionsgemeinschaften« in der Eingabenstatistik aufgeführt. Beschwerden (2) und Beratungen (3) gingen im Vergleich zum Vorjahr deutlich von zuvor insgesamt 23 zurück. Im vergangenen Jahr ging es hauptsächlich um die Zeugen Jehovas und Mormonen, insbesondere mit Blick auf Werbung, Briefe und Datenlöschung bei Austritt, wie die Sprecherin damals mitteilte, die aktuelle Anfrage ist noch nicht beantwortet. Dieses Mal gab es außerdem Weisheit aus dem Aufsichtsalltag: »Datenschutzrechtliche Beschwerden entstammen dem prallen Leben und ihre Bearbeitung erfordert neben datenschutzrechtlichem Sachverstand oft auch Humor, Empathie oder auch die Beschäftigung mit Websites, die ansonsten von dienstlichen Rechnern nicht aufgerufen werden sollten.«

Die Normen zur Einsichtnahme in Personalakten zur Missbrauchsaufarbeitung tröpfeln immer noch ein – nun hat das Bistum Passau das Gesetz in Kraft gesetzt, nach meiner Statistik die 16. Diözese.

Weiterlesen

Was bedeuten die Aufsichts-Beschlüsse zu Facebook-Fanpages?

Schreiben Sie eine Antwort

Was Facebook-Fanpages angeht, herrscht große Einmütigkeit zwischen den staatlichen und den kirchlichen Aufsichten: die Datenschutzkonferenz des Bundes und der Länder, die evangelische Datenschutzkonferenz und die KDSA Ost haben seit März grundsätzlich identische Beschlüsse auf Grundlage eines DSK-Kurzgutachtens »zur datenschutzrechtlichen Konformität  des Betriebs von Facebook‐Fanpages« gefasst – doch der Inhalt ist kryptisch.

Facebook-Daumen nach unten
(Bildquelle: Barefoot Communications on Unsplash)

Unbedarft gelesen könnte es aussehen, als stellten die Aufsichten Kriterien auf, unter denen Facebook-Fanpages zulässig wären. Eine genauere Betrachtung zeigt aber: die Rechtsposition der Aufsichten ist, dass die notwendigen Kriterien derzeit gar nicht erfüllt werden können. Das stellt Verantwortliche, die nicht auf Facebook-Fanseiten verzichten wollen, vor große Hindernisse. Gibt es Auswege?

Weiterlesen

Facebook auch evangelisch fraglich – Wochenrückblick KW 18/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die evangelische Datenschutzkonferenz hat sich der DSK in Sachen Facebook in vollem Umfang angeschlossen. An evangelische Stellen werden dieselben zu erfüllenden (aber laut DSK-Kurzgutachten wohl eher nicht erfüllbaren) Anforderungen gestellt wie an Stellen im Einzugsbereich der staatlichen Aufsichten. Die tatsächlichen Konsequenzen aus dem Gutachten werden aber auch hier nur angedeutet: »Es bildet für uns eine wichtige Grundlage unserer aufsichtsbehördlichen Tätigkeit gegenüber kirchlichen und diakonischen Stellen.« Aus von den evangelischen Aufsichten ist bislang keine Maßnahme wegen Facebook-Fanseiten bekannt.

Die Kommission der europäischen Bischofskonferenzen COMECE ist mit dem Relaunch ihrer Webseite deutlich transparenter geworden: Neben einem durchsuchbaren Dokumentenarchiv (in dem sich zu Datenschutz nur die Stellungnahme von 2011 findet, die hier bereits per Informationsfreiheitsantrag die EU-Kommission ans Licht gebracht wurde) gibt es auch eine Terminliste. Darin wird für den 19. Mai das nächste Treffen der kirchlichen Datenschutzexpert*innen angekündigt – leider keine öffentliche Veranstaltung.

In der aktuellen Ausgabe der Zeitschrift für Arbeitsrecht und Tarifpolitik in kirchlichen Unternehmen (ZAT 2/2022) gibt es eine Rezension zu Sydows KDG-Kommentar von Jonas Botta. Wie die Rezension hier grundsätzlich positiv, aber doch auch mit Kritik im Detail, etwa an der Kommentierung von § 2 zum Anwendungsbereich: »Er vertritt ua, dass Daten, die mit dem Einverständnis der betroffenen Person veröffentlicht worden sind, nicht vom KDG erfasst seien. Da jedoch offen bleibt, wie sich diese Ansicht zur Existenz des Erlaubnistatbestands der Einwilligung(§ 6 Abs. 1 lit. b KDG) verhält, wäre zukünftig eine weiterführende Erläuterung förderlich.«

Weiterlesen

DSK, IuK und EU-KI – Wochenrückblick KW 10/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Über eine Informationsfreiheitsanfrage habe ich das Protokoll des Austauschs der Datenschutzkonferenz mit den spezifischen Aufsichtsbehörden vom 8. Dezember 2021 besorgt. (Zu finden bei fragdenstaat.de) Daraus erfährt man, dass der BfDI während seines DSK-Vorsitzes im Jahr 2022 »das übergreifende Thema der Zusammenarbeit zwischen der DSK und den spezifischen Aufsichtsbehörden« vertiefen möchte. Wie erwartet fragt hier vor allem der Rundfunkdatenschutzbeauftragte wieder mal kritisch nach. Viel erfährt man darüber nicht; gesprochen wurde unter anderem über den Zugang zum Dokumentenmanagementsystem des Europäischen Datenschutzausschusses Confluence. Das sei auch schon bei der 102. DSK besprochen worden – der Zugang könne dann beantragt werden, wenn die jeweilige spezifische Aufsichtsbehörde betroffen ist. Wieder einmal sind von den kirchlichen Aufsichten nur der BfD EKD und die Vorsitzende der katholischen Datenschutzkonferenz anwesend – und die »Katholische Kirche Südbayern«, wer auch immer das sein mag. Möglicherweise der für Süddeutschland zuständige Ordensdatenschutzbeauftragte?

Die Landeskirche Hannovers hat eine IuK-Richtlinie erlassen. Erfreulich: Darin wird explizit auch geregelt, dass auch Ehrenamtliche dienstliche Kommunikationsgeräte erhalten können, »wenn die übertragenen Aufgaben es von ihrem Inhalt oder Umfang her erfordern«. Über die Bereitstellung für Ehrenamtliche entscheidet die beauftragende Körperschaft. Da allerdings ohne besondere Hürden auch die dienstliche Nutzung privater Kommunikationsgeräte erlaubt wird, dürfte das nicht dazu führen, dass beispielsweise Kirchenvorstände künftig für ihre Arbeit mit kirchlichen Geräten ausgestattet werden, um die IT-Sicherheit und Vertraulichkeit zu sichern. Die praktischen Auswirkungen der Richtlinie auf das tatsächliche Datenschutzniveau sind damit nicht allzu hoch anzusetzen.

Das Interdiözesane Datenschutzgericht kündigt wieder einmal eine Entscheidungsveröffentlichung an – den Stichworten nach zu urteilen mit hoher praktischer Relevanz: IDSG 04/2019, Offener E-Mail-Verteiler und Kontextinformationen. Erfahrungsgemäß dauert es etwa eine Woche von der Erwähnung in der Entscheidungssammlung bis zur Veröffentlichung der Entscheidung im Volltext.

Der Bund Katholischer Unternehmer hat sich zum Entwurf der EU-KI-Verordnung geäußert und dabei den Schwerpunkt auf die Forderung nach dem Vorrang menschlichen Handelns und Autonomie gelegt. „Die Würde des Menschen und das Recht auf Selbstbestimmung bleiben auch in der digitalen Welt unantastbar“, heißt es in dem Papier des Arbeitskreises Digitalpolitik. Insbesondere wende man sich gegen „digitale Monopole und Datenkolonialismus“. Um als „mündige Bürgerinnen und Bürger in der digitalen Welt partizipieren und die persönlichen wie gesellschaftlichen Risiken besser einschätzen und steuern zu können“, wird ein Mindestanspruch auf digitale Bildung gefordert: „dies betrifft z.B. auch den Umgang mit den eigenen personenbezogenen Daten“, so das Papier weiter. Neben der eigentlichen Regulierung brauche es daher auch eine bildungspolitische und zivilgesellschaftliche Strategie. Der BKU ist dabei nicht der einzige kirchliche Player, der sich bereits zur EU-KI-Politik geäußert hat, wie ich vor einiger Zeit durch eine Informationsfreiheitsanfrage an die EU-Kommission herausgefunden hatte.

Weiterlesen

Der Rundfunkdatenschutzbeauftragte fordert Beteiligung an der Datenschutzkonferenz

Schreiben Sie eine Antwort

Die Datenschutzaufsichten des Bundes und der Länder bleiben bei der Datenschutzkonferenz weitgehend unter sich – die spezifischen Aufsichten, also diejenigen für die Rundfunkanstalten und die Kirchen, werden nur über regelmäßige Austauschtreffen und die Möglichkeit beratender Ausschussmitarbeit beteiligt.

Deckblatt des Tätigkeitsberichts für 2021 des Rundfunkdatenschutzbeauftragten

Diesen Missstand – schließlich werden so Aufsichten ausgeschlossen, die genauso legitim sind wie die staatlichen – beklagen kirchliche Aufsichten dezent, der Rundfunkdatenschutzbeauftragte von BR, SR, WDR, Deutschlandradio und ZDF immer wieder deutlich. Auch in seinem aktuellen Tätigkeitsbericht für 2021, der nun veröffentlicht wurde.

Weiterlesen

Datensparsam 3G-Status prüfen – Wochenrückblick KW 47/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Änderungen am Infektionsschutzgesetz sind nun in Kraft – inklusive der 3G-Regelung am Arbeitsplatz. Die lässt sich gut und weniger gut umsetzen – wie es gut geht, legt der BfD EKD in einer Pressemeldung dar. Eine langfristige Speicherung sei »eher nicht« erforderlich, schon »nach Zutritt oder am Ende des jeweiligen Tages« können die angefallenen Daten einer Zutrittskontrolle gelöscht werden. (Gemeint sind aufgrund der Dokumentationspflichten damit wohl nur die eigentlichen Nachweise.) »Für eine dauerhafte Zutrittsmöglichkeit genügt auch die Dokumentation im Rahmen eines einmaligen ›Abhakens‹ auf einer Liste bei erstmaliger Vorlage des Impf- oder Genesenennachweises«, so der BfD EKD. Dazu brauche es nachprüfbare Prozesse – wie die genau aussehen, wird nicht weiter ausgeführt. Tipps dafür gibt es bei den Datenschutz-Notizen und beim Datenschutz-Guru. Althammer & Kill haben sogar schon fertige Vorlagen für Datenschutzinformationen nach KDG und DSG-EKD. Neben dem BfD EKD hatte sich kurzfristig auch der Datenschutzbeauftragte für Kirche und Diakonie geäußert – die Position wurde aber noch am selben Tag wieder aus dem Netz genommen. Meines Erachtens wohl zurecht.

Die Ampel hat ihren Koalitionsvertrag vorgelegt, und natürlich spielt auch Datenschutz eine Rolle. Ein Vorhaben ist auch für hier besonders interessant: »Zur besseren Durchsetzung und Kohärenz des Datenschutzes verstärken wir die europäische Zusammenarbeit, institutionalisieren die Datenschutzkonferenz im Bundesdatenschutzgesetz (BDSG) und wollen ihr rechtlich, wo möglich, verbindliche Beschlüsse ermöglichen.« Die Ausführung wird noch interessant werden: Einmal mit Blick auf die Umsetzung, die aufgrund des Verbots der Mischverwaltung wohl eine Grundgesetzänderung erfordert (wie im BDSG-Evaluierungsbericht des BMI festgestellt wurde). Aber natürlich auch mit Blick auf die bislang kaum beteiligten spezifischen Aufsichten – bei einer BDSG-Reform sollte hier eine verbindliche Beteiligung festgeschrieben werden. Einen Überblick über die Datenschutzpläne der Ampel gibt es übersichtlich in der Dataprotection Landscape. (Mit Blick auf Religionspolitik habe ich den Vertrag bei katholisch.de analysiert.)

Nichts Neues gibt es in der Nordkirche: Auf der Landessynode in der vergangenen Woche hatte der Datenschutzbeauftragte zwar auf seinen schriftlichen Bericht verwiesen – der ist aber noch nicht veröffentlicht.

Weiterlesen

Aufsichten vs. Microsoft-Cloud: Viel Dialog, (fast) keine Sanktionen

3 Antworten

Viel Beratung und Dialog, kaum Maßnahmen – das ist das Ergebnis einer Umfrage unter den Datenschutzaufsichten der Länder und des Bundes, die ich in den vergangenen zwei Wochen zur Nutzung von Microsoft-Produkten in der Cloud durchgeführt habe. Nur eine einzige Behörde antwortete auf die Frage, ob sie aufgrund eines Einsatzes von Microsoft-Produkten von Abhilfebefugnissen gegenüber Verantwortlichen gemäß Art. 58 Abs. 2 DSGVO Gebrauch gemacht habe, mit einem klaren Ja – die Berliner Beauftragte für Datenschutz und Informationsfreiheit.

Eine Nahaufnahme einer Windows-Taste auf einer schwarzen Tastatur
scheinen Alternativen zu Microsoft-Produkten scheinen oft unvorstellbar – wenn schon die Hardware mit Microsoft-Branding kommt. (Symbolbild, Photo by Tadas Sar on Unsplash

Das Handeln staatlicher Aufsichten ist auch für den kirchlichen Datenschutzaufsichten unterworfene Verantwortliche interessant: Die kirchlichen Aufsichten bemühen sich um einen großen Einklang mit den staatlichen, in kirchlichen Stellen dominiert Microsoft den Bürosoftware-Markt genauso wie in weltlichen. Wo die staatlichen nicht hart durchgreifen, ist auch kein kirchlicher Durchmarsch zu erwarten.

(Die gesammelten und systematisierten Rückmeldungen in Rohform gibt es auch zum Download.)

Weiterlesen

Befreite Protokolle: Spezifische Aufsichten am Katzentisch der DSK

Schreiben Sie eine Antwort

Ein- bis zweimal im Jahr treffen sich Vertreter*innen der Datenschutzkonferenz mit den spezifischen Aufsichten, also den Datenschutzaufsichten von Rundfunk und Religionsgemeinschaften. Die Protokolle werden nicht proaktiv veröffentlicht. Per Informationsfreiheitsantrag gelingt es aber regelmäßig, sie zu befreien. Jetzt liegen die Protokolle der Sitzungen vom 21. Oktober 2020 und 5. Mai 2021 vor.

Wieder einmal wurde per fragdenstaat.de ein Bündel an Unterlagen befreit.
Wieder einmal wurde per fragdenstaat.de ein Bündel an Unterlagen befreit.

Ein unterschwelliges Thema, das auch gelegentlich an die Oberfläche kommt, ist die Einbeziehung der spezifischen Aufsichten in die Arbeit der Datenschutzkonferenz – die dort vertretenen Aufsichten der Länder und des Bundes haben kein gesteigertes Interesse, die spezifischen Aufsichten als gleichwertig zu betrachten. Auch dieses Mal.

Weiterlesen