Schlagwort-Archive: Datenschutzschulung

Körperschaftswelten – Wochenrückblick KW 38/2024

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wochenrückblick Kirchlicher Datenschutz KW 38/2024
(Bildquelle: ali syaaban on Unsplash)
Weiterlesen

Datensparsam 3G-Status prüfen – Wochenrückblick KW 47/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Änderungen am Infektionsschutzgesetz sind nun in Kraft – inklusive der 3G-Regelung am Arbeitsplatz. Die lässt sich gut und weniger gut umsetzen – wie es gut geht, legt der BfD EKD in einer Pressemeldung dar. Eine langfristige Speicherung sei »eher nicht« erforderlich, schon »nach Zutritt oder am Ende des jeweiligen Tages« können die angefallenen Daten einer Zutrittskontrolle gelöscht werden. (Gemeint sind aufgrund der Dokumentationspflichten damit wohl nur die eigentlichen Nachweise.) »Für eine dauerhafte Zutrittsmöglichkeit genügt auch die Dokumentation im Rahmen eines einmaligen ›Abhakens‹ auf einer Liste bei erstmaliger Vorlage des Impf- oder Genesenennachweises«, so der BfD EKD. Dazu brauche es nachprüfbare Prozesse – wie die genau aussehen, wird nicht weiter ausgeführt. Tipps dafür gibt es bei den Datenschutz-Notizen und beim Datenschutz-Guru. Althammer & Kill haben sogar schon fertige Vorlagen für Datenschutzinformationen nach KDG und DSG-EKD. Neben dem BfD EKD hatte sich kurzfristig auch der Datenschutzbeauftragte für Kirche und Diakonie geäußert – die Position wurde aber noch am selben Tag wieder aus dem Netz genommen. Meines Erachtens wohl zurecht.

Die Ampel hat ihren Koalitionsvertrag vorgelegt, und natürlich spielt auch Datenschutz eine Rolle. Ein Vorhaben ist auch für hier besonders interessant: »Zur besseren Durchsetzung und Kohärenz des Datenschutzes verstärken wir die europäische Zusammenarbeit, institutionalisieren die Datenschutzkonferenz im Bundesdatenschutzgesetz (BDSG) und wollen ihr rechtlich, wo möglich, verbindliche Beschlüsse ermöglichen.« Die Ausführung wird noch interessant werden: Einmal mit Blick auf die Umsetzung, die aufgrund des Verbots der Mischverwaltung wohl eine Grundgesetzänderung erfordert (wie im BDSG-Evaluierungsbericht des BMI festgestellt wurde). Aber natürlich auch mit Blick auf die bislang kaum beteiligten spezifischen Aufsichten – bei einer BDSG-Reform sollte hier eine verbindliche Beteiligung festgeschrieben werden. Einen Überblick über die Datenschutzpläne der Ampel gibt es übersichtlich in der Dataprotection Landscape. (Mit Blick auf Religionspolitik habe ich den Vertrag bei katholisch.de analysiert.)

Nichts Neues gibt es in der Nordkirche: Auf der Landessynode in der vergangenen Woche hatte der Datenschutzbeauftragte zwar auf seinen schriftlichen Bericht verwiesen – der ist aber noch nicht veröffentlicht.

Weiterlesen

Zum Geburtstag eine Evaluierung – Wochenrückblick KW 20/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Am Montag hat das KDG seinen dritten Geburtstag – die Deutsche Bischofskonferenz hat jetzt etwas mehr zur geplanten Evaluierung mitgeteilt: Dass es vor 2023 nichts mit der fertigen Novelle wird, war zu erwarten. Nun wird aber erstmals zugesichert, dass auch eine Verbändebeteiligung – genannt wurden Spitzenverbände wie der Deutsche Caritasverband und der BDKJ – stattfinden wird, allerdings noch ohne festen Zeitplan.

Die KDSA Ost hat sich zur Verpflichtung zu Datenschutzschulungen geäußert. Die steht zwar nicht explizit im Gesetz. »Dennoch kann sie aber eine Obliegenheit sein, also ein Handeln, das nicht erzwungen werden kann, aber zur Vermeidung von Rechtsnachteilen im Interesse des Verantwortlichen geboten ist«, so die Aufsicht. Ein wichtiger Hinweis: Es geht auch anders als durch verpflichtende Schulungen für alle, die in der Regel nur in größeren Abständen durchgeführt werden können und oft ohnehin wenig bringen. (Arbeitssicherheitsschulung, ick hör dir trapsen.) Die Tipps für unterjährige Datenschutzsensibilisierung freuen mich natürlich besonders: »„Geeignete Maßnahmen“ i. S. d. § 38 KDG sind deshalb z. B. auch Newsletter oder Datenschutzblogs.« Einen anderen, ebenfalls sehr guten Weg über das Intranet hat vor einiger Zeit die Würzburger Bistumsdatenschutzbeauftragte im Interview vorgestellt.

Das sollte Schule machen: Oxford University Press hat ein Update zum DSGVO-Kommentar von Kuner/Bygrave/Docksey frei zugänglich veröffentlicht. Zu Art. 91 ist eine interessante Ergänzung zu finden: ein Hinweis auf den Tätigkeitsbericht der irischen Aufsichtsbehörde DPC für 2019. Die Behörde überprüft auf mehrere Beschwerden hin, ob es eine Rechtsgrundlage für die Weigerung gibt, Daten aus Kirchenbüchern zu löschen. (Im jüngsten Bericht steht dazu nichts, die Prüfung scheint also noch anzudauern.) Diese Problematik scheint eine zentrale Frage im Verhältnis von Datenschutzrecht zu Religionsgemeinschaften zu sein – jüngst war hier eine ähnlich gelagerte Frage zu den Zeugen Jehovas Thema, und auch beim Lobbying der Kirchen spielte sie eine Rolle – es ist also durchaus denkbar, dass wir in mittlerer Zukunft Kirchenbücher vor dem EuGH sehen.

Weiterlesen

Tut Buße! Nur wie? – Wochenrückblick KW 51

Die Angst vor Bußgeldern hat sich als weitgehend unbegründet erwiesen – auch wenn (so etwa in NRW) es langsam losgeht. Grundsätzliche Bedenken hat der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski schon zuvor geäußert. Jetzt legt er noch einmal nach mit einem kurzen Papier mit dem Titel »Bußgelderkenntnisse im Geltungsbereich von KDG/KDR-OG«, in dem er aufschlüsselt, wann, gegen wen und unter welchen Umständen überhaupt ein Bußgeld verhängt werden kann. Sein Ergebnis: In den meisten Fällen nicht – weil das KDG so formuliert ist, dass Bußgelder dann verhängt werden können, wenn der Verantwortliche vorsätzlich oder fahrlässig für die Datenschutzverletzung verantwortlich ist, während gegen Mitarbeitende nur in sehr speziellen Ausnahmen vorgegangen werden kann.

In der Diözese Rottenburg-Stuttgart beschäftigt sich das aktuelle Amtsblatt mit Schrems II und der praktischen Umsetzung des Urteils – ohne dabei wesentlich Neues zu bisherigen Veröffentlichungen beizutragen: »Zusammenfassend ist zu konstatieren, dass es ohne ein tragfähiges Abkommen zwischen der EU und den USA oder eine grundsätzliche Regelung auf EU-Ebene nach dem derzeitigen Stand keine völlig zufriedenstellenden Lösungen für die durch das EuGH-Urteil aufgeworfenen datenschutzrechtlichen Probleme gibt.« Hilfreich ist immerhin die Anweisung, wenigstens das Privacy Shield aus den Datenschutzerklärungen zu entfernen. Der elephant in the room wird auch hier wieder einmal nicht angesprochen: Dass § 29 Abs. 11 KDG Auftragsverarbeitung ausschließlich in Ländern der EU, des EWR oder solchen mit Angemessenheitsbeschluss zulässt – und damit Auftragsverarbeitung in den USA nach KDG generell nicht mehr möglich ist.

Im evangelischen Bereich gab es dagegen nur kleinere Änderungen in der Durchführungsverordnung der Evangelisch-Reformierten Kirche.

Nicht direkt Datenschutz, aber in jedem Fall lohnend: am Montag ist der Online-Kurs Kirchenrecht von Hendrik Munsonius vom Kirchenrechtlichen Institut der EKD gestartet: »Diese Einführung ist aus Vorlesungen an der Georg-August-Universität Göttingen hervorgegangen und richtet sich an Menschen, die an einer gedeihlichen Ordnung kirchlicher Praxis interessiert sind.« Dem kann man nichts hinzufügen – unbedingte Lockdown-Fortbildungs-Empfehlung!

Weiterlesen

Wo sind all die Datenschutzbeauftragten hin? – Tätigkeitsbericht DDSB Südwest erschienen

Jetzt sind die katholischen Tätigkeitsberichte komplett: Die Diözesandatenschutzbeauftragte Ursula Becker-​Rathmair, zuständig für die Südwest-Bistümer Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier, hat am Dienstag ihren Bericht für 2019 veröffentlicht. Er ist weitgehend überraschungsfrei, hat aber drastische Beispiele für die Praxisrelevanz von Datenschutz.

»Die Sensibilisierung für den Schutz der eigenen Daten hat an Fahrt aufgenommen«, betont Becker-Rathmair – auch sie hat mehr zu tun. Aber nicht so viel mehr, wie man bei diesen großen Bistümern erwarten könnte, jedenfalls in manchen Bistümern. Zeigen sich hier Compliance-Lücken bei den Verantwortlichen? Jedenfalls nicht in Trier: Das ist zahlenmäßig Spitzenreiter

Weiterlesen

Transparenz und Teilhabe beim Diözesanrecht – Wochenrückblick KW 42

Bei katholisch.de spreche ich mich in der Rubrik Standpunkt für mehr Transparenz beim Diözesanrecht aus: Macht und Gewaltenteilung fängt in den Bistümern an. In einem ersten Schritt die Amtsblätter aller Bistümer online stellen machen und ordentliche Rechtssammlungen aufbauen (Die Zentral-KODA sammelt Links zu den Amtsblättern. Noch ohne Online-Version sind die Bistümer Aachen, Augsburg, Bamberg, Eichstätt, Erfurt, Mainz sowie München und Freising und das Militärbischofsamt.) Der zweite Schritt: Anhörungsverfahren für Ortskirchenrecht. Das hätte auch dem Gesetz über den kirchlichen Datenschutz gutgetan: Im Vergleich zum DSG-EKD (Synode wirkt!) scheint es oft handwerklich schlechter gemacht (z. B. beim Schutzalter der Einwilligung), es fehlen nützliche kirchenspezifische Regelungen (wie zum Gottesdienststreaming), und die Evaluation läuft auch wieder unter Ausschluss der Öffentlichkeit. Ohne auskunftswillige Diözesandatenschutzbeauftragte wüsste man nichts dazu. Transparenz und Teilhabe beim Diözesanrecht ist kein sexy Thema – die üblichen fruchtlosen Debatten über »heiße Eisen« machen mehr Spaß und schärfen das eigene Reform- oder Traditionsprofil deutlich mehr. Es wäre aber ein realistisch machbarer Schritt zu mehr Gewaltenteilung, wenn der kirchliche Gesetzgeber sich künftig vor Inkraftsetzung auf Argumente einlassen würde.

Das darf in keiner Linksammlung fehlen: Datenschutz Nord hat eine FAQ-Liste zum kirchlichen Datenschutz online gestellt. Die Formulare stehen nur Kund*innen zur Verfügung, aber schon aus den allgemein zugänglichen Antworten kann man einige praxistaugliche Informationen finden.

Weiterlesen

Bei der Kirchensteuer hört der Datenschutz auf – Wochenrückblick KW 41

In Berlin machen sich die Kirchen nicht viele Freund*innen mit ihrem Vorgehen beim Kirchensteuereinzug. Das Institut für Weltanschauungsrecht (ifw) der Giordano-Bruno-Stiftung hat es schon lange auf die von ihm als »Rasterfahndung« bezeichnete Recherchepraxis der Kirchensteuerstellen abgesehen, die trotz ihrer Ansiedelung im Finanzamt kirchliche Stellen sind. Ein Hebel gegen diese Praxis (die man auch aus kirchlichem Blickwinkel kritisieren kann, wie ich letztes Jahr kommentierte) ist das Datenschutzrecht: Alexander Roßnagel sieht in einem Gutachten das Vorgehen als datenschutzwidrig an – auch auf kirchliches Datenschutzrecht könne sich die nötige Datenübermittlung nicht stützen: die Erhebung der Kirchensteuer sei staatliche, nicht innerkirchliche Aufgabe, und daher müsse sich die gesetzliche Erlaubnis zur Datenerhebung aus staatlichem Datenschutzrecht ergeben, argumentiert er. Die Forderungen des ifw sind klar: keine kirchlichen Kirchensteuerstellen in den Finanzämtern, und im Idealfall keine Kirchensteuererhebung durch den Staat. Entweltlichung, ick hör dir trapsen.

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW31

Die Woche endet mit einer Entscheidung des Beauftragten für den Datenschutz der EKD, die vieles erschweren dürfte: Das Medienprivileg (§ 51 DSG-EKD) gilt seiner Auffassung nach nicht für den Gemeindebrief. Es mangle am Zweck, »Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten« und dem unbestimmten Empfängerkreis. Das sieht die Deutsche Bischofskonferenz nur zum Teil so, die in ihrer schon lange veröffentlichten FAQ-Liste festhält, dass grundsätzlich auch Pfarrbriefe dem Medienprivileg (§ 55 KDG) unterfallen können: »Hier dürfte es entscheidend darauf ankommen, ob diese sich im Einzelfall lediglich an die Gemeindemitglieder oder an einen öffentlichen, unbestimmbaren Personenkreis richten.«

Kommende Woche Freitag findet das digitale Barcamp Bonn statt. Ich biete eine Session an: So funktioniert Datenschutz: Einführung in die DSGVO für Anfänger*innen (so grundsätzlich gehalten, dass es auch für Anwender*innen der kirchlichen Datenschutzgesetze nützlich ist). Anmeldungen für das digitale Barcamp sind noch möglich.

Eine Datenschutzschulung speziell für das Gesetz über den kirchlichen Datenschutz (KDG) bietet das Erzbistum München und Freising auf seiner Lernplattform an. Es richtet sich zwar an Mitarbeiter*innen und Ehrenamtliche der Diözese, die Anmeldung ist aber allen möglich. Durchaus nützlich, ein Zertifikat gibt’s auch, im Detail aber problematisch, wenn es zu Passworten nur die Tipps gibt, sie nicht im Browser (warum eigentlich?) und auf Post-its zu speichern und sie regelmäßig zu wechseln (spätestens mit der letzten Fassung des BSI-Grundschutz-Kompendiums ist dieser Tipp veraltet und schon länger als Sicherheitsrisiko bekannt), aber keine sichere Alternative zum Post-it präsentiert wird.

Wie Auftragsverarbeitung nach dem KDG funktioniert, steht im Datenschutzblog von Reichert und Reichert. Das Fazit: »Die Zusammenarbeit zwischen kirchlichen Rechtsträgern und nicht-kirchlichen Stellen kann im Datenschutz für beide Seiten herausfordernd sein. Die Einbeziehung des für die meisten Auftragsverarbeiter unbekannten KDG stößt auf Unsicherheiten, vielfach auch auf die fehlende Bereitschaft, sich mit dem Datenschutzrecht des Auftraggebers zumindest überblicksartig zu beschäftigten.« Im Artikel geht es nur um die katholische Variante, die dank einer sehr liberalen Beschlusslage der Konferenz der Diözesandatenschutzbeauftragten sehr einfach umzusetzen ist. Evangelisch wird’s etwas schwerer: Im Gegensatz zum KDG fordert das DSG-EKD explizit, dass sich Auftragsverarbeiter*innen der kirchlichen Datenschutzaufsicht unterwerfen (§ 30 Abs. 5 Satz 3 DSG-EKD).

Weiterlesen