Schlagwort-Archive: Facebook

Endlich Evaluierung? Jahresausblick 2023 zum kirchlichen Datenschutz

Im kirchlichen Datenschutz passiert ziemlich viel – das hat der Jahresrückblick 2022 gezeigt. Gleichzeitig passiert bei diversen Dauerbrennern auch ziemlich wenig – der Facebook-Crackdown blieb aus, der DSG-EKD-Kommentar ist immer noch nicht veröffentlicht, das KDSZ Bayern lässt immer noch auf sich warten. 2023 könnte das Jahr werden, in dem zumindest einiges davon endlich Wirklichkeit wird.

Eine Glaskugel auf rotem Stoff, links daneben ein Schlüssel
Blick in die Glaskugel. (Bildquelle: Michael Dziedzic/Unsplash)
Weiterlesen

Dauerbrenner und kontraintutive konfessionelle Transparenz – das war 2022

2022 endet, wie es begonnen hat: Die hier prophezeiten großen Themen können alle auf Wiedervorlage gelegt werden. Die große Facebook-Dämmerung kam nicht – alle warten immer noch auf das Musterverfahren zwischen dem Bundesdatenschutzbeauftragten und dem Bundespresseamt. Bei der Evaluierung der kirchlichen Datenschutzgesetze gibt es auch nichts Neues – das KDG ist nach wie vor überfällig, beim DSG-EKD ist öffentlich keine Bewegung sichtbar. Die KDSA Nord ist immer noch keine KdÖR, und in Bayern ist Jupp Joachimski im 81. Lebensjahr Diözesandatenschutzbeauftragter ohne Aussicht auf Ablöse. Der DSG-EKD-Kommentar ist immer noch nicht da, die KDSGO-Kommentierung auch nicht.

Jahresrückblick kirchlicher Datenschutz 2022
(Bildquelle: Moritz Knöringer on Unsplash)

Vormals große Themen wie der Umgang mit Corona haben an Bedeutung verloren – im Frühjahr wurde noch über den richtigen Umgang mit Impfnachweisen diskutiert, seither ist die Pandemie zumindest datenschutzrechtlich vorbei. Die Tendenz der vergangenen Jahre zeichnet sich also fort: Der kirchliche Datenschutz läuft im Regelbetrieb. Große Aufregerthemen blieben aus, nach Ausnahmejahren der Pandemie können sich Aufsichten und Verantwortliche wieder auf ihre Regelaufgaben konzentrieren.

Weiterlesen

Kontra aus München – Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten 2021/2022

Die Gemeinsame Datenschutzaufsicht der Bayerischen (Erz-)Diözesen hat ihren Tätigkeitsbericht für 2021/2022 veröffentlicht – immer noch in der alten Konstellation, in der Jupp Joachimski Diözesandatenschutzbeauftragter mit einem Mitarbeiter und ohne rechtlich selbständige Stelle ist. Über den Stand der Errichtung des geplanten Kirchlichen Datenschutzzentrums Bayern in Nürnberg erfährt man nichts.

Titelseite des Tätigkeitsberichts 2021/2022 des bayerischen Diözesandatenschutzbeauftragten
So kennt man den Bericht des bayerischen Diözesandatenschutzbeauftragten: Kompakt, schnörkellos und extrem nah am Ende des Berichtszeitraums, dem 1. Oktober.

Ansonsten gibt es vor allem Einblicke in Entscheidungen zu in kirchlichen Einrichtungen verwendeter Software – und deutliche Kritik an der Mehrheits-Rechtsposition der kirchlichen Aufsichten und Datenschutzgerichte zum Bußgeld.

Weiterlesen

Spezifisch beteiligt – Wochenrückblick KW 35/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Datenschutzkonferenz will besser mit den spezifischen Aufsichtsbehörden, also auch denen der Kirchen, zusammenarbeiten. Das lief bislang nicht allzu beteiligungsfreudig. Im nun erschienenen Protokoll der 2. DSK-Zwischenkonferenz findet sich als TOP 12, wie es weitergehen soll: Bis spätestens der 104. DSK im November soll der Entwurf einer Antwort auf das hier schon besprochene Positionspapier des Rundfunkdatenschutzbeauftragten vorliegen. Ebenfalls bis dahin soll der AK Grundsatz Vorschläge für eine verbesserte Kooperation mit den spezifischen Aufsichtsbehörden vorlegen.

Bei der Experteninitiative Religionspolitik unterzieht Bruno Schrage den Entwurf für eine neue Grundordnung des kirchlichen Dienstes einer lesenswerten Generalkritik. Im dritten Teil erwähnt er auch eine Folge der Festlegung, künftig nicht nur Beschäftigte, sondern auch Ehrenamtliche der Grundordnung zu unterwerfen: »Katholische Träger müssen künftig wohl nicht nur in Bewerbungsgesprächen, sondern auch mit Ehrenamtlichen erst ein datenschutzrechtlich zweifelhaftes Gespräch über eine (bisherige) katholische Zugehörigkeit und den hoffentlich nicht erfolgten Kirchenaustritt führen.« Was caritative Träger vielleicht noch leisten könnten (aber nicht wollen), dürfte gerade bei überwiegend ehrenamtlich getragenen kirchlichen Vereinen und Verbänden sehr anspruchsvoll werden. Immerhin: die bloße Zugehörigkeit zu einer Religionsgemeinschaft zählt ja bekanntlich im kirchlichen Datenschutzrecht nicht zu den besonderen Kategorien. (Bereits jetzt hat die zuständige kirchliche Autorität allerdings darüber zu wachen, dass in privaten kanonischen Vereinen »die Unversehrtheit von Glaube und Sitte bewahrt wird«, can. 305 § 1 CIC.)

Bisher war kirchliche Gesetzgebung kaum geregelt. Die DBK ändert das nun, zumindest fürs Arbeitsrecht: Heute tritt die »Ordnung über das Zustandekommen von arbeitsrechtlichen Regelungen auf der Ebene der Deutschen Bischofskonferenz« mit Veröffentlichung im Limburger Amtsblatt in Kraft. Ziel ist die »Sicherstellung eines transparenten und rechtssicheren Verfahrens«. Neu ist dabei das Initiativrecht und die umfassende Beteiligung kirchlicher Stakeholder im Prozess, bevor die Bischöfe beschließen. (Etwas detaillierter auf katholisch.de.) Die Transparenz beschränkt sich aber dem Normtext nach leider auf die Stakeholder: Eine Veröffentlichung von Gesetzesentwürfen ist nicht vorgesehen, das Anhörungsverfahren beschränkt sich auf benannte Stakeholder. Da wäre mehr gegangen. Dennoch ist das ein Meilenstein in der katholischen Rechtskultur: So viel regelhafte Beteiligung ist ein absolutes Novum und ein Schritt in die richtige Richtung, sich innerhalb der ekklesiologischen Grenzen Macht- und Gewaltenteilung anzunähern.

In eigener Sache: Am 21. September um 18 Uhr leite ich bei der Stiftung Datenschutz ein Webinar zu Besonderheiten im Bereich des kirchlichen Engagements – die Teilnahme ist kostenlos.

Weiterlesen

Die DSK zeigt die Instrumente – Wochenrückblick KW 27/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Am 18. Mai fand das Treffen der Datenschutzkonferenz mit den spezifischen Aufsichten statt. Die Unterlagen konnte ich per Informationsfreiheitsanfrage befreien. Wieder einmal ging es um Beteiligung. Die Aufsichtsbehörden in der DSK sind bekanntlich nicht ganz freigiebig mit der Einbeziehung der spezifischen Aufsichten. Auch beim Europäischen Datenschutzausschuss können die Spezifischen nicht auf die dort verwendete Dokumentenablageplattform Confluence zugreifen, da das Innenministerium die spezifischen Aufsichten nicht nach Art. 51 Abs. 4 DSGVO notifiziert hat. Aus dem Protokoll erfährt man, dass die Frage einer nachträglichen Notifizierung durch das BMI derzeit in den kirchlichen Gremien geprüft werde. Außerdem kündigt der BfDI an, dass die Forderung des Rundfunkdatenschutzbeauftragten nach mehr Beteiligung, über die hier schon berichtet wurde, auch eine Antwort aus der DSK erfahren soll. Sehr diplomatisch heißt es, dass die Teilnehmenden »Einigkeit« erzielt hätten, »dass ein qualitativer Ausbau der Kooperation gewünscht sei«. Beim Bericht aus der Arbeit der DSK gibt es einen Ausblick auf die beabsichtigten Maßnahmen mit Blick auf Facebook-Fanpages. In Betracht kämen demnach die Untersagung und die Anordnung eines datenschutzgerechten Betriebs. Außerdem wurde das zweite Austauschtreffen für 2022 zwischen DSK und spezifischer Aufsicht angekündigt: Es findet am 14. Dezember statt.

Die KDSA Ost stellt die Entscheidung des EuGH zum Kündigungsschutz von Datenschutzbeauftragten vor. Im Vorfeld wurde vertreten, dass die EuGH-Entscheidung unabhängig vom Ausgang keine Auswirkungen auf den analogen Kündigungsschutz im KDG und im DSG-EKD haben werde. Nachdem der EuGH die BDSG-Rechtslage für zulässig erachtet, bleibt diese Frage akademisch. »Auch wenn die Rechtsprechung des EuGHs keine direkte Auswirkung auf das kirchliche Datenschutzrecht (§ 37 Abs. 4 KDG, § 37 Abs. 2 DSG-EKD) hat, stellt das Urteil doch eine Stärkung der dort verankerten inhaltsgleichen Regelungen dar«, ordnet die KDSA Ost ein.

Mit der kirchlichen Strafrechtsreform hat auch der Schutz der Persönlichkeitsrechte in der katholischen Kirche etwas mehr Zähne bekommen: Wer jemandes guten Ruf schädigt, wird nun nicht mehr nur fakultativ bestraft. Die entsprechende Strafnorm can. 1390 § 2 CIC ist Thema des aktuellen »Kanon des Monats« der Würzburger Kanonistik. Zur Erfüllung der Strafnorm müssen zum einen »Behauptungen falsch, also wahrheitswidrig« und »nicht durch irgendwie geartete, rechtfertigende Begründungen getragen« sein, so die Autorin Anna Krähe. Im folgenden zeigt sie dann auch implizit eine Möglichkeit auf, wie der Tatbestand in Verbindung mit Verstößen gegen das kirchliche Datenschutzrecht einschlägig werden könnte: »Der Tatbestand ist aber auch erfüllt, wenn es sich um eine wahre Behauptung handelt, der bzw. die Täter*in diese aber nicht an die Öffentlichkeit hätte bringen dürfen, also die Veröffentlichung bzw. Verbreitung rechtswidrig ist.«

Weiterlesen

DSK zu Facebook-Fanpages: Derzeit nicht rechtskonform möglich

Die FAQ-Liste der Datenschutzkonferenz zu Facebook-Fanpages wurde nun von der Aufsicht Sachsen-Anhalts veröffentlicht. Bei den zehn Fragen und Antworten auf sechs Seiten muss man nicht sonderlich zwischen den Zeilen lesen, um zu bestätigen, was ohnehin keine Überraschung ist: Facebook-Fanseiten sind zur Zeit nicht rechtskonform zu betreiben.

Facebook-Daumen nach unten
(Bildquelle: Barefoot Communications on Unsplash)

Da wirkt es fast schon komisch, wenn die Antwort auf die vierte Frage, »Müssen Facebook-Fanpages jetzt sofort deaktiviert werden?«, kein klares Ja ist, sondern nur ein Verklausuliertes: »Kann die Verarbeitung personenbezogener Daten nicht rechtskonform durchgeführt werden, ist der Betrieb einer Facebook-Fanpage rechtswidrig. Die Aufsichtsbehörden haben seit Jahren auf die Probleme hingewiesen. Übergangsfristen kennt die DSGVO nicht.« Es scheint in dieser Versammlung einige empfindliche Ohren zu geben, die das Wort »Blut« nicht wohl vertragen können.

Weiterlesen

Stiftungspanne – Wochenrückblick KW 25/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

In ihrem frisch erschienenen Tätigkeitsbericht schildert die Berliner Datenschutzbeauftragte einen Fall einer Sicherheitslücke in einer Software für Stipendienportale. Durch die Ausnutzung der Schwachstellen soll es möglich gewesen sein, ein Nutzungskonto anzulegen, die Datenbank abzufragen, hochgeladene Dokumente herunterzuladen und ein Nutzungskonto mit Adminrechten auszustatten. Laut Bericht waren vier Studienstiftungen betroffen. Da durch die Ausrichtungen der nicht namentlich genannten Stiftungen auch Daten zur Religionszugehörigkeit und zur Nähe zu politischen Parteien erhoben wurden, ist davon auszugehen, dass auch eine der Stiftungen von Religionsgemeinschaften betroffen ist. Auf Anfrage teilten das katholische Cusanuswerk und das Evangelische Studienwerk Villigst mit, dass sie von keiner Sicherheitslücke betroffen waren. Das jüdische Ernst-Ludwig-Ehrlich-Studienwerk und die muslimische Avicenna-Studienstiftung haben auf die Anfrage noch nicht geantwortet. (Angefragt wurden nur diese vier, die aus Mitteln des Bildungsministerium finanziert werden.)

Mit Transparenz tut sich die römisch-katholische Kirche schwer – gerade, was ihre Gerichtsbarkeit angeht. Immerhin: Die Datenschutzgerichte veröffentlichen Entscheidungen – aber nur ausgewählte, freiwillig und ohne Rechtspflicht. Daher hat die Gesellschaft Katholischer Publizisten (GKP), in der ich mich im Vorstand engagiere, sich erneut für mehr Transparenz in der kirchlichen Justiz ausgesprochen. Anlass ist die Ankündigung des Münsteraner Bischofs Felix Genn, schon vor der Genehmigung einer bundesweiten kirchlichen Verwaltungsgerichtsbarkeit durch den Heiligen Stuhl eine vorläufige diözesane einzurichten. »Die Kirche darf in ihrem eigenen Rechtssystem nicht hinter Selbstverständlichkeiten des Rechtsstaats zurückbleiben, wenn sie Vertrauen zurückgewinnen will. Ungehinderte Gerichtsberichterstattung ist ein wesentliches Element jeder freiheitlich-rechtsstaatlichen Ordnung«, sagt der GKP-Vorsitzende Joachim Frank. Gefordert sind öffentliche mündliche Verhandlungen und Urteilsverkündungen, die Veröffentlichung von Urteilen sowie Informations- und Auskunftsrechte für die Medien.

Weiterlesen

Entspannung in Hessen – Wochenrückblick KW 23/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Datenschutzkonferenz hat auf ihrer jüngsten Sitzung laut Protokoll ein Gutachten mit dem Titel »Rechtliche Möglichkeiten zur Stärkung und Institutionalisierung der Kooperation der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK 2.0)« beraten (eine IFG-Anfrage ist bereits gestellt). Besonderes Engagement, die spezifischen – also auch die kirchlichen – Aufsichtsbehörden besser einzubinden, ist nicht zu erwarten. Aber man lässt sich ja gern überraschen.

Der 50. Tätigkeitsbericht der Hessischen Datenschutzaufsicht ist erschienen. Darin wird wie erstmals im vergangenen Jahr auch die Kategorie »Religionsgemeinschaften« in der Eingabenstatistik aufgeführt. Beschwerden (2) und Beratungen (3) gingen im Vergleich zum Vorjahr deutlich von zuvor insgesamt 23 zurück. Im vergangenen Jahr ging es hauptsächlich um die Zeugen Jehovas und Mormonen, insbesondere mit Blick auf Werbung, Briefe und Datenlöschung bei Austritt, wie die Sprecherin damals mitteilte, die aktuelle Anfrage ist noch nicht beantwortet. Dieses Mal gab es außerdem Weisheit aus dem Aufsichtsalltag: »Datenschutzrechtliche Beschwerden entstammen dem prallen Leben und ihre Bearbeitung erfordert neben datenschutzrechtlichem Sachverstand oft auch Humor, Empathie oder auch die Beschäftigung mit Websites, die ansonsten von dienstlichen Rechnern nicht aufgerufen werden sollten.«

Die Normen zur Einsichtnahme in Personalakten zur Missbrauchsaufarbeitung tröpfeln immer noch ein – nun hat das Bistum Passau das Gesetz in Kraft gesetzt, nach meiner Statistik die 16. Diözese.

Weiterlesen

Tuchfühlung mit Aufsicht – Wochenrückblick KW 22/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Beim Katholikentag habe ich den Stand der kirchlichen Datenschutzaufsichten besucht und die Gelegenheit genutzt, über aktuelle Entwicklungen bei den Aufsichten zu sprechen – allzu viel kann ich aus dem Hintergrundgespräch nicht ausplaudern. Vielleicht nur so viel: Auch die kirchlichen Aufsichten schauen gespannt darauf, wann der Bundesdatenschutzbeauftragte seine Ankündigung in die Tat umsetzt und Maßnahmen gegen Facebook-Fanseiten von Bundesbehörden ergreift. Dann wurde ich noch gefragt, was ich für Veröffentlichungen der Aufsichten sinnvoll fände. Mein Wunschzettel: Arbeitshilfen zu gemeinsamer Verantwortlichkeit und kirchlichem Interesse. Da der Stand sehr zentral am Anfang der Kirchenmeile gelegen war, bin ich im Laufe der Tage immer wieder vorbeigelaufen: Nicht überfüllt, aber doch stets besucht. Mein Eindruck ist, dass diese Form der Öffentlichkeitsarbeit nicht nur den beruflich unmittelbar mit Datenschutz Befassten hilft (von denen einige da waren, wie mir berichtet wurde), sondern auch dazu beiträgt, das Thema Datenschutz durch unkomplizierte Kontakte etwas zu entdramatisieren.

Der Stand der kirchlichen Datenschutzaufsichten beim Katholikentag in Stuttgart
Vor der Eröffnung fotografiert – zwar etwas langweiliges Bild, dafür datensparsam ohne personenbezogene Daten.

Gemeinsam mit der Bundeskonferenz der kirchlichen Archive in Deutschland hat das KDSZ Dortmund eine Handreichung zu kirchlichen Archiven veröffentlicht. Zielgruppe sind dabei nicht Menschen, die etwas aus kirchlichen Archiven herausholen wollen (dazu gab es hier Hinweise), sondern kirchliche Stellen, die etwas hineintun wollen oder müssen. Dafür und insbesondere für die dafür nötigen Prozesse gibt es Informationen und Checklisten. Derweil hat die Kollegin in Frankfurt die Arbeitshilfen zu Online-Meeting-Tools und Microsoft 365 auf den aktuellen Stand gebracht. Keine Überraschung: Beides immer noch schwierig.

Die aktuelle Ausgabe der Zeitschrift für die Praxis der Mitarbeitervertretung (ZMV) hat mit zwei Artikeln einen Schwerpunkt zum Beschäftigtendatenschutz. Paul Tophof befasst sich mit »Grenzen des Beschäftigtendatenschutzes bei internen Ermittlungen«; grundsätzlich ein hilfreicher Beitrag, allerdings ist etwas unklar, warum Tophof hier kirchliches Sondergut in den Normen zum Beschäftigtendatenschutz ausmacht, obwohl die entsprechende Formulierung weitgehend aus § 26 BDSG entnommen ist. Matthias Ullrich befasst sich mit »Betriebsrat und MAV als Teil des datenschutzrechtlich Verantwortlichen« und kommt darin zum selben Schluss wie in seinem Buch zum kirchlichen Beschäftigtendatenschutz: Es sei »erforderlich, dass die Interessenvertretungen für die Verarbeitung personenbezogener Daten in ihrem Wirkungskreis ein rechtkonformes Verfahren etablieren und dieses dem Arbeitgeber offenlegen«.

Diese Woche ist der Tätigkeitsbericht des Landesdatenschutzbeauftragten von Mecklenburg-Vorpommern erschienen. Ohne Fälle mit kirchlichem Bezug, aber mit dem Stichwort »Nordkirche« im Index. Grund dafür ist eine Kooperation mit der Nordkirche bei den Tagen ethischer Orientierung für die Klassenstufen 5 und 6 unter dem Titel »Mein Klick, meine Verantwortung?!«. Auch die niedersächsische Datenschutzaufsicht hat ihren Tätigkeitsbericht veröffentlicht. Anders als im letzten Jahr gibt es aber keine Angaben zum Fortschritt des Konflikts mit der SELK.

Weiterlesen

Was bedeuten die Aufsichts-Beschlüsse zu Facebook-Fanpages?

Was Facebook-Fanpages angeht, herrscht große Einmütigkeit zwischen den staatlichen und den kirchlichen Aufsichten: die Datenschutzkonferenz des Bundes und der Länder, die evangelische Datenschutzkonferenz und die KDSA Ost haben seit März grundsätzlich identische Beschlüsse auf Grundlage eines DSK-Kurzgutachtens »zur datenschutzrechtlichen Konformität  des Betriebs von Facebook‐Fanpages« gefasst – doch der Inhalt ist kryptisch.

Facebook-Daumen nach unten
(Bildquelle: Barefoot Communications on Unsplash)

Unbedarft gelesen könnte es aussehen, als stellten die Aufsichten Kriterien auf, unter denen Facebook-Fanpages zulässig wären. Eine genauere Betrachtung zeigt aber: die Rechtsposition der Aufsichten ist, dass die notwendigen Kriterien derzeit gar nicht erfüllt werden können. Das stellt Verantwortliche, die nicht auf Facebook-Fanseiten verzichten wollen, vor große Hindernisse. Gibt es Auswege?

Weiterlesen