Schlagwort-Archive: E-Mail

Renitente Verantwortliche – Tätigkeitsbericht 2023 der KDSA Ost

Schreiben Sie eine Antwort

Die KDSA Ost hat ihren Tätigkeitsbericht für das Berichtsjahr 2023 vorgelegt. Auf 116 Seiten geht es vor allem praxisorientiert zu: Detaillierte Prüfberichte und Schilderungen, wie man etwa ein Verarbeitungsverzeichnis einer Kita richtig gestaltet, machen diesen Bericht zur Arbeitshilfe.

Titelseite des Tätigkeitsberichts 2023 der KDSA Ost

Krass sind einige der Fälle, die der Diözesandatenschutzbeauftragte Matthias Ullrich schildert: Von einem plastischen Chirurgen, der Fotos einer Patientin zweckentfremdet bis zu einem Bistum, das so gar keine Lust hat, auf ein Auskunftsersuchen zu reagieren, tun sich Abgründe auf. In den beiden Fällen gab es kein Bußgeld – ein weiterer Extremfall hat aber sogar eine fünfstellige Buße nach sich gezogen. Ein Motiv zieht sich in vielen Fällen durch: Wo es schief läuft, sorgt renitentes Verhalten von Verantwortlichen oft für weitere Eskalation.

Weiterlesen

Mailsicherheit geprüft – Wochenrückblick KW 22/2023

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wochenrückblick Kirchlicher Datenschutz KW 22/2023
(Bildquelle: ali syaaban on Unsplash)
Weiterlesen

Ein Bistum ohne Datenschutz – Tätigkeitsbericht 2022 der KDSA Ost

Schreiben Sie eine Antwort

Bei der KDSA Ost darf man sich jedes Jahr auf klare grundrechtliche Ansagen ebenso wie ausführliche Berichte aus dem prallen kirchlichen (Datenschutz-)Leben freuen. So nimmt auch der jetzt erschienene Tätigkeitsbericht für 2022 wieder diese Perspektiven ein.

Tätigkeitsbericht der KDSA Ost 2022

Geprüft wurden vor allem Kitas und Pfarreien, und während in den meisten anderen Berichten kirchlicher Aufsichten das allgemeine Datenschutzbewusstsein gelobt wird, findet der Diözesandatenschutzbeauftragte Matthias Ullrich eine Diözese, in der sich Pfarreien so gut wie gar nicht um das geltende Recht scheren.

Weiterlesen

Blick in die Akten – Wochenrückblick KW 29/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das Bistum Rottenburg-Stuttgart ermöglicht nun auch die Akteneinsicht zur Missbrauchsaufarbeitung bei allen Beschäftigten. Im aktuellen Amtsblatt wurde eine Ordnung zur Regelung von Einsichts- und Auskunftsrechten für die Kommissionen zur Aufarbeitung von sexuellem Missbrauch Minderjähriger und schutz- oder hilfebedürftiger Erwachsener in Bezug auf Personalaktendaten von Beschäftigten (OAK-DRS) veröffentlicht. Die Ordnung ist eine Premiere: Mittlerweile haben zwar mindestens 16 Bistümer Einsichtsnormen in Personalakten von Klerikern und Kirchenbeamten in Kraft gesetzt, darunter Rottenburg-Stuttgart. Aber über einen Beschluss der Bistums-KODA tatsächlich alle Beschäftigten zu erfassen, auch die nicht unmittelbaren Bistumsbeschäftigten, geht weit darüber hinaus. Ob das so zulässig ist, wird sich im Streitfall vor Gericht erweisen. (Auch bei katholisch.de habe ich darüber berichtet.)

Der Jahresbericht 2021 der Kommission der EU-Bischofskonferenzen COMECE ist erschienen. Darin gibt es auch einen kurzen Abschnitt zum Datenschutz und zum Umgang mit der DSGVO (»a permanent priority of the Catholic Church in Europe«), in dem von einer Überarbeitung der internen Richtlinien für die Bischofskonferenzen der EU, die in diesem Jahr fertig gestellt werden soll. Was darin genau steht, ist nicht bekannt. Es ist aber anzunehmen, dass es sich um das Muster-Datenschutzgesetz handelt, auf dessen Grundlage beispielsweise die polnische, die maltesische und die spanische Bischofskonferenz ihr Datenschutzgesetz erlassen haben. Außerdem erfährt man vom Datenschutz-Austauschtreffen der COMECE, von dem bereits der polnische Datenschutzbeauftragte (KIOD) berichtet hatte. Thema war außerdem die Rechtsgrundlage berechtigtes Interesse und das Zusammenspiel von DSGVO und Kirchenrecht. Zudem werden datenschutzrechtliche Fälle mit Kirchenbezug gesammelt.

Bei Nebentätigkeiten entwickeln Dienstgeber häufig eine ungesunde Neugierde und haben wenig im Blick, was erforderlich ist und dass Nebentätigkeiten auch von Grundrechten geschützt sind. Da ist es sehr hilfreich, wenn die KDSA Ost eine kleine Handreichung zur Verfügung stellt, wie der Datenschutz dabei ins Spiel kommt.

Weiterlesen

Wunschoma will anonym bleiben

Schreiben Sie eine Antwort

Die schon in der vergangenen Woche angekündigte Entscheidung des IDSG zu einem offenen E-Mail-Verteiler ist da (Beschluss vom 29. November 2011 – IDSG 04/2019). Und wer – wie hier vermutet – lediglich nüchterne und praxisrelevante Tipps zum E-Mail-Schreiben erwartet hat, erhält deutlich mehr als erhofft: Eine weitere kuriose Anekdote, in der Kommunikation gründlich schiefgegangen ist.

Eine ältere Dame mit einem schwarzen Balken vor den Augen
Nein, das ist nicht die echte Wunschoma aus dem Beschluss. Bitte nicht verklagen! (Photo by RepentAnd SeekChristJesus on Unsplash, bearbeitet)

Der Auslöser der Klage ist datenschutzrechtlich unspektakulär: Rundmail an Ehrenamtliche eines Caritas-Projekts, offener Verteiler ohne Einwilligung, bitte nicht machen, danke. Nur leider ist dann alles ein wenig eskaliert.

Weiterlesen

Kein Brief von Bischof Gebhard – Wochenrückblick KW 7/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Aus der Rubrik »was der Datenschutz alles verhindert« dieses Mal der Rottenburger Bischof Gebhard Fürst im Interview mit der Südwest-Presse: »Wir hatten im Januar erheblich mehr Kirchenaustritte als in den Jahren zuvor. Das ist außerordentlich schmerzlich. In früheren Wellen habe ich mit den Ausgetretenen Kontakt aufgenommen und sie zu Gesprächen eingeladen. Ob ich das noch einmal machen kann, weiß ich nicht. Dem steht heute der Datenschutz entgegen.« Warum ein einmaliges Anschreiben nicht datenschutzrechtlich abzubilden sein soll, wird nicht ausgeführt – selbst wenn man vertritt, dass die Daten gar nicht im Ordinariat landen dürfen, wäre doch zumindest eine Beilage zum Schreiben vom Pfarrer möglich.

Nun hat sich auch die KDSA Nord zu Impf- und Genesenennachweisen geäußert – allerdings nicht so umfassend wie der BfD EKD, sondern nur mit Blick auf die Gesundheits- und Pflegeeinrichtungen, und auch nicht so konkret. Immerhin wird festgehalten, dass aus der Pflicht zur Vorlage der Serostatusdokumentation nicht auch folgt, dass von den vorgelegten Dokumenten Kopien gefertigt werden dürfen. Eine so klare Äußerung wie beim evangelischen Kollegen, dass bei den anzufertigenden Dokumentationen nicht der Serostatus selbst erfasst werden darf, sondern nur die Information darüber, fehlt allerdings.

In den USA haben sich mehrere Dutzend Vertreter*innen verschiedenster Religionen und Konfessionen in einem Offenen Brief an Mark Zuckerberg gewandt und ein endgültiges Aus für die Pläne gefordert, ein Instagram für Kinder zu entwickeln. Für katholisch.de habe ich mit dem Mainzer Medienpädagogen Andreas Büsch und der Frankfurter Religionspädagogin Viera Pirker darüber gesprochen – die finden kleine Kinder auf Social Media zwar auch nicht nur erstrebenswert, legen aber einen deutlich differenzierteren Ansatz als der Offene Brief an den Tag.

Buzzfeed News hat mehrere Gebets-Apps untersucht – und die Ergebnisse sind ernüchternd, aber kaum überraschend: »Nothing Sacred: These Apps Reserve The Right To Sell Your Prayers« Neben den erwartbaren intransparenten Datenweitergaben an Dritte zur Monetarisierung wird auch dieses Detail erwähnt: »At least one government has taken an interest in prayer app data, too — the US military bought extensive location data mined from Muslim prayer apps back in 2020 for use in special forces operations.«

Weiterlesen

Happy Datenschutztag! Wochenrückblick KW 4/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Heute feiern wir den Europäischen Datenschutztag! Das Datum wurde gewählt, weil am 28. Januar 1981 die Europäische Datenschutzkonvention unterzeichnet wurde – quasi die Mutter aller internationalen Datenschutzabkommen. Das Übereinkommen Nr. 108 des Europarats zeichnete grundsätzlich vieles vor, was heute noch geltendes Recht ist – auch der besondere Schutz personenbezogener Daten, die »religiöse oder andere Überzeugungen erkennen lassen« (so die Formulierung in Art. 6) war schon vorhanden. Mittlerweile sind 55 Staaten, darunter 9, die nicht dem Europarat angehören, dem Abkommen beigetreten. Wer fehlt, ist wie so oft bei Menschenrechtsabkommen der Heilige Stuhl – der Vatikan kommt immer noch ganz ohne Datenschutzrecht aus.

Ach, E-Mails: Geht nicht mit, geht nicht ohne. Der Datenschutzbeauftragte für Kirche und Diakonie hat eine Arbeitshilfe zum Umgang mit E-Mail veröffentlicht. Inhaltlich gibt es nicht viel Neues (auch hier gab es schon Tipps zum Umgang mit E-Mails), aber eine gute Zusammenstellung von best und worst practices. Dass ganz pauschal festgestellt wird, dass offene Mailverteiler ohne Einwilligung aller Beteiligten nur innerbetrieblich zulässig sind, ist vom Absender her verständlich, auch wenn dann doch wohl Konstellationen denkbar sind, in denen es auch so geht (wahrscheinlich wieder: dumm gelaufen mit dem unpraktikabel gelösten berechtigten Interesse im DSG-EKD). Dass E-Mails realistisch betrachtet eigentlich überhaupt nicht in Frage kommen, zeigen unumsetzbare Tipps wie dieser: »Setzen Sie technische Hilfsmittel ein, damit Empfänger, egal ob innerbetrieblich oder extern eine E-Mail nicht an Unbefugte weiterleiten können«.

Die Datenschutz-Notizen stellen einen aktuellen arbeitsrechtlichen Fall vor: Eine Kündigung einer Pfarrangestellten wegen eines Datenschutzverstoßes. Sie hatte Daten über den Pfarrer aus einer E-Mail unerlaubt weitergegeben, unter anderem an die Staatsanwaltschaft. Über die (nachvollziehbare) arbeitsrechtliche Sache hinaus ist auch interessant, dass das Urteil des LAG Köln (vom 02.11.2021 – 4 Sa 290/21) auf § 26 BDSG Bezug nimmt, obwohl das DSG-EKD (es handelt sich um einen Fall im Gebiet der Evangelischen Kirche im Rheinland) einschlägig wäre – das hätte in der Sache zwar nichts geändert, zeigt aber doch auf, dass das eigene Datenschutzrecht der Kirchen nicht notwendig bei staatlichen Gerichten präsent ist.

Weiterlesen

Spezifisch skeptisch – Wochenrückblick KW 25/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Suche von Wolfgang Loest nach DSG-EKD-kooperationswilligen Newsletter-Providern, die hier in der vergangenen Woche schon erwähnt wurde, hat einige Ergebnisse gebracht, die er in seinem Blog zusammengefasst hat. Interessant bei der Recherche ist das Unverständnis, das ein Provider den kirchlichen Anforderungen entgegenbrachte: »Es ist doch etwas befremdlich, dass eine Kirche mit den Begriffen „sich unterwerfen“ und „Geldbußen“ hantiert.« Über den bürokratischen Aufwand sind auch die kommunikativen Kosten eines eigenen Datenschutzrechts relevant – und die evangelische Rechtslage ist hier besonders ungünstig. Wer will sich schon einer kirchlichen Behörde unterwerfen?

Die staatlichen Datenschutzaufsichten sind sehr skeptisch den spezifischen (zu denen auch die kirchlichen gehören) gegenüber – das haben auch einige Recherchen hier gezeigt. Das nun veröffentlichte Protokoll der 101. Datenschutzkonferenz zeigt das wieder einmal. So einfach kommt eine spezifische Austauschbehörde nämlich nicht in die internen Kommunikationstools, wie die der bayerischen Medienaufsicht erfahren hat, die in das DSK-Confluence-System wollte. Der wurde nicht so einfach erteilt – stattdessen soll der AK Grundsatz der DSK nun prüfen, ob der kleine Informationsfinger zur ganzen Handvoll Beteiligung für die ungeliebten spezifischen Aufsichten führen würde: »Hierbei ist insbesondere auch zu prüfen, ob sich aus dem Zugang zu Confluence eine präjudizierende Wirkung ergibt, wie z.B. für den Zugang zu IMI, die Beteiligung an der Bildung eines gemeinsamen Standpunktes oder die Teilnahme an den DSK-Sitzungen.«

… und dann gibt’s noch einen Job für #TeamKirchlicherDatenschutz: Der Caritas-Diözesanverband Köln sucht eine*n Referent*in Datenschutz.

Weiterlesen

E-Mails – praktisch, aber unsicher. Was tun?

2 Antworten

E-Mail ist praktisch, quasi flächendeckend verfügbar, barrierearm, günstig – und leider nicht übermäßig gesichert. Zwar ist mittlerweile Transportverschlüsselung, also die Verschlüsselung von Server zu Server, Standard (und selbst da gibt’s Ausnahmen) – was aber in aller Regel fehlt, ist eine Ende-zu-Ende-Verschlüsselung, die sicherstellt, dass ausschließlich Senderin und Empfänger die Inhalte lesen können.

Postkarte zu Weihnachten
Photo by Annie Spratt on Unsplash

Das ist auch datenschutzrechtlich ein Problem – schließlich werden ständig personenbezogene Daten über E-Mail verschickt. Ist das überhaupt zulässig? Pauschal kann man kein grünes Licht geben – aber doch für einige E-Mails. Und selbst wenn die enthaltenen Daten zu sensibel für normale Mails sind, gibt es Wege.

Weiterlesen

E-Mails und Berufsgeheimnisträger*innen

3 Antworten

Sind unverschlüsselte E-Mails überhaupt noch datenschutzrechtlich zulässig? Das war eines der großen Aufregerthemen bei der Einführung der neuen Datenschutzgesetze. Im kirchlichen Bereich sorgte vor allem ein etwas zu scharf geschaltetes Kommunikationsportal im Bistum Rottenburg-Stuttgart, der »Secure Mail Gateway« für Spott und Ärger, über das alle Mails mit personenbezogenen Daten mit extern (also eigentlich alle) abgewickelt werden sollten.

Photo by Bundo Kim on Unsplash

Tatsächlich ist E-Mail nicht unproblematisch: Transportverschlüsselung ist zwar Standard, aber keine echte Ende-zu-Ende-Verschlüsselung; mindestens die jeweiligen Provider und Mailserver könnten gegebenenfalls in Inhalte Einblick nehmen. Ein nun veröffentlichtes Urteil des Verwaltungsgerichts Mainz (1 K 778/19.MZ) befasst sich mit Blick auf Berufsgeheimnisträger*innen mit der Zulässigkeit von E-Mails; im Fall geht es um einen Rechtsanwalt, der einem Mandanten Daten per unverschlüsselter E-Mail geschickt hat. War das zulässig? Das Urteil kommt zum Schluss: Ja, Transportverschlüsselung stellt ein angemessenes Schutznivau dar, wenn kein erhöhter Schutzbedarf besteht. Auch im kirchlichen Bereich ist dieses Urteil interessant: Schließlich sind auch Seelsorger*innen Berufsgeheimnisträger*innen, und was für die recht ist, sollte auch für normale Menschen billig sein.

[…] Ein angemessenes Schutzniveau im Sinne des Art. 32 Abs. 1 DS-GVO ist auch bei Berufsgeheimnisträgern (hier: Rechtsanwälte) grundsätzlich durch Nutzung einer (obligatorischen) Transportverschlüsselung anzunehmen, soweit nicht im Einzelfall besondere Anhaltspunkte für einen erhöhten Schutzbedarf bestehen.

Leitsatz des Urteils des Verwaltungsgerichts Mainz (1 K 778/19.MZ)
Weiterlesen