Der Bundesdatenschutzbeauftragte hat die zweite Runde Pixi-Bücher veröffentlicht. Dieses Mal liegt der Schwerpunkt auf dem I für Informationsfreiheit aus der vollständigen Amtsbezeichnung BfDI, nachdem das letzte Mal D wie Datenschutz dran war.
Wieder gibt es ein Buch für die kleineren und ein Buch für die größeren Kinder. In beiden trifft man die »Daten-Füchse« wieder. Dieses Mal haben sie eine Mission: Das Schwimmbad darf nicht geschlossen werden! Und es braucht Schwimmkurse!
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Über eine Informationsfreiheitsanfrage habe ich das Protokoll des Austauschs der Datenschutzkonferenz mit den spezifischen Aufsichtsbehörden vom 8. Dezember 2021 besorgt. (Zu finden bei fragdenstaat.de) Daraus erfährt man, dass der BfDI während seines DSK-Vorsitzes im Jahr 2022 »das übergreifende Thema der Zusammenarbeit zwischen der DSK und den spezifischen Aufsichtsbehörden« vertiefen möchte. Wie erwartet fragt hier vor allem der Rundfunkdatenschutzbeauftragte wieder mal kritisch nach. Viel erfährt man darüber nicht; gesprochen wurde unter anderem über den Zugang zum Dokumentenmanagementsystem des Europäischen Datenschutzausschusses Confluence. Das sei auch schon bei der 102. DSK besprochen worden – der Zugang könne dann beantragt werden, wenn die jeweilige spezifische Aufsichtsbehörde betroffen ist. Wieder einmal sind von den kirchlichen Aufsichten nur der BfD EKD und die Vorsitzende der katholischen Datenschutzkonferenz anwesend – und die »Katholische Kirche Südbayern«, wer auch immer das sein mag. Möglicherweise der für Süddeutschland zuständige Ordensdatenschutzbeauftragte?
Die Landeskirche Hannovers hat eine IuK-Richtlinie erlassen. Erfreulich: Darin wird explizit auch geregelt, dass auch Ehrenamtliche dienstliche Kommunikationsgeräte erhalten können, »wenn die übertragenen Aufgaben es von ihrem Inhalt oder Umfang her erfordern«. Über die Bereitstellung für Ehrenamtliche entscheidet die beauftragende Körperschaft. Da allerdings ohne besondere Hürden auch die dienstliche Nutzung privater Kommunikationsgeräte erlaubt wird, dürfte das nicht dazu führen, dass beispielsweise Kirchenvorstände künftig für ihre Arbeit mit kirchlichen Geräten ausgestattet werden, um die IT-Sicherheit und Vertraulichkeit zu sichern. Die praktischen Auswirkungen der Richtlinie auf das tatsächliche Datenschutzniveau sind damit nicht allzu hoch anzusetzen.
Das Interdiözesane Datenschutzgericht kündigt wieder einmal eine Entscheidungsveröffentlichung an – den Stichworten nach zu urteilen mit hoher praktischer Relevanz: IDSG 04/2019, Offener E-Mail-Verteiler und Kontextinformationen. Erfahrungsgemäß dauert es etwa eine Woche von der Erwähnung in der Entscheidungssammlung bis zur Veröffentlichung der Entscheidung im Volltext.
Der Bund Katholischer Unternehmer hat sich zum Entwurf der EU-KI-Verordnung geäußert und dabei den Schwerpunkt auf die Forderung nach dem Vorrang menschlichen Handelns und Autonomie gelegt. „Die Würde des Menschen und das Recht auf Selbstbestimmung bleiben auch in der digitalen Welt unantastbar“, heißt es in dem Papier des Arbeitskreises Digitalpolitik. Insbesondere wende man sich gegen „digitale Monopole und Datenkolonialismus“. Um als „mündige Bürgerinnen und Bürger in der digitalen Welt partizipieren und die persönlichen wie gesellschaftlichen Risiken besser einschätzen und steuern zu können“, wird ein Mindestanspruch auf digitale Bildung gefordert: „dies betrifft z.B. auch den Umgang mit den eigenen personenbezogenen Daten“, so das Papier weiter. Neben der eigentlichen Regulierung brauche es daher auch eine bildungspolitische und zivilgesellschaftliche Strategie. Der BKU ist dabei nicht der einzige kirchliche Player, der sich bereits zur EU-KI-Politik geäußert hat, wie ich vor einiger Zeit durch eine Informationsfreiheitsanfrage an die EU-Kommission herausgefunden hatte.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Eigenes Datenschutzrecht von Religionsgemeinschaften ist die Ausnahme und selten Thema bei den staatlichen Behörden. Das zeigt das Ergebnis von zwei Informationsfreiheitsanfragen an den Europäischen Datenschutzausschuss und den Europäischen Datenschutzbeauftragten: kaum Befassung und Geheimniskrämerei. Der Europäische Datenschutzausschuss schickt zwei Dokumente: Ein Mailverkehr zu einer journalistischen Anfrage, ob die dänische Staatskirche es mit dem Datenschutz übertreibt, wenn sie Pfarrer*innen anweist, in Mails religiöse Bezüge zu vermeiden, und ein großzügig geschwärztes Protokoll der 10. Plenarsitzung des Datenschutzausschusses, aus dem lediglich hervorgeht, dass unter Punkt 5.1 »Access by specific supervisory authorities according to Article 85 and 91 GDPR to Documents of the European Data Protection Board« diskutiert wurde. Zu weiteren vier Dokumenten mit Artikel-91-Bezug wurde der Zugang verweigert. Beim europäischen Datenschutzbeauftragten gab es nur ein einziges Dokument: Die nordrhein-westfälische Aufsicht hat Anfang Oktober gebeten, eine Abfrage zu starten, ob es in anderen Mitgliedsstaaten als Deutschland auch spezifische Aufsichten gemäß Art. 91 Abs. 2 DSGVO gibt – möglicherweise im Zusammenhang mit dem Vorgehen der Aufsicht gegen die alt-katholische und neuapostolische Kirche.
Noch weiß man nicht viel darüber, was da im Bistum Augsburg los ist, dass Bischof Bertram Meier drei leitende Mitarbeitende freistellen musste. Im Raum steht allerdings »Datenmissbrauch«. Aufgrund der vorliegenden Informationen ist es kaum möglich, jetzt schon ein abschließendes Urteil zu fällen. Es könnte aber auch datenschutzrechtlich interessant werden: »Datenmissbrauch« könnte je nachdem, was vorgefallen ist, den Straftatbestand aus § 42 Abs. 2 BDSG verwirklichen – eine wenig angewendete Norm, OpenJur kennt nur zwei Entscheidungen (des VG Frankfurt und des OLG Brandenburg), die darauf Bezug nehmen. Das BDSG dürfte hier trotz kirchlichem Datenschutz einschlägig sein, weil wohl ein Mitarbeiterexzess vorliegt.
Kurz vor Redaktionsschluss hat das Interdiözesane Datenschutzgericht noch eine Entscheidung veröffentlicht – IDSG 08/2021 befasst sich mit Datenweitergabe innerhalb eines Ordinariats. In aller Kürze (nächste Woche mehr): Das Ergebnis ist plausibel. Teile des Wegs dahin über eine quasi »aufgedrängte« konkludente Einwilligung überraschen.
Ein- bis zweimal im Jahr treffen sich Vertreter*innen der Datenschutzkonferenz mit den spezifischen Aufsichten, also den Datenschutzaufsichten von Rundfunk und Religionsgemeinschaften. Die Protokolle werden nicht proaktiv veröffentlicht. Per Informationsfreiheitsantrag gelingt es aber regelmäßig, sie zu befreien. Jetzt liegen die Protokolle der Sitzungen vom 21. Oktober 2020 und 5. Mai 2021 vor.
Ein unterschwelliges Thema, das auch gelegentlich an die Oberfläche kommt, ist die Einbeziehung der spezifischen Aufsichten in die Arbeit der Datenschutzkonferenz – die dort vertretenen Aufsichten der Länder und des Bundes haben kein gesteigertes Interesse, die spezifischen Aufsichten als gleichwertig zu betrachten. Auch dieses Mal.
WeiterlesenDie Europäische Union ist nicht unbedingt dafür bekannt, besonders religiös musikalisch zu sein. Dass das europäische Datenschutzrecht eine eigene Ausnahme für Kirchen und Religionsgemeinschaften hat, ist daher nicht selbstverständlich – selbst wenn die europäischen Verträge eigentlich Religionsfreiheit und die hergebrachten Selbstverwaltungsrechte der Kirchen in den Mitgliedsstaaten achten.
Klar ist: Ohne die Lobbytätigkeit der Kirchen und ohne großen Einsatz der deutschen Bundesregierung hätte es Art. 91 DSGVO (im Entwurfsstadium Art. 85) nicht in die DSGVO geschafft. Wie es dazu gekommen ist und was den Kirchen sonst noch wichtig gewesen ist, zeigen zwei erfolgreiche Informationsfreiheitsanfragen beim Justizministerium und bei der Europäischen Kommission.
Bei beiden Behörden habe ich allgemein nach Lobbytätigkeiten im Zusammenhang mit Datenschutz von Religionsgemeinschaften angefragt. Es zeigte sich: Datenschutz-Lobbyismus ist eine christliche Sache, in der EU sogar eine rein katholische. (Allerdings sind auch die christlichen Kirchen besonders etabliert und gut organisiert – insofern ist die Überraschung nicht allzu groß, dass es keine Angaben anderer Religionsgemeinschaften gab.)
Weiterlesen