Schlagwort-Archive: IT-Sicherheit

TTDSG, Jubiläen und Böhmermann – Wochenrückblick KW 50/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der BfD EKD hat eine FAQ-Liste zum TTDSG veröffentlicht, die einen allgemeinen Blick auf die neuen Verpflichtungen richtet. Ob das TTDSG überhaupt für alle kirchlichen Einrichtungen gilt, ist aufgrund des § 1 Abs. 3 TTDSG geregelten Anwendungsbereichs nicht ganz offensichtlich; dort ist die Rede von »alle[n] Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen«; die Formulierung sollte nach Auskunft des federführenden Wirtschaftsministeriums jedoch lediglich das Marktortprinzip festlegen, nicht den Anwendungsbereich auf Körperschaften einschränken, die »Unternehmen« im engeren Sinn sind. Der BfD EKD bejaht daher auch die Anwendung für kirchliche Stellen: »Ja, das TTDSG gilt auch für kirchliche und diakonische Stellen, soweit sie als Anbieter von Telekommunikationsdiensten oder als Anbieter von Telemediendiensten wie z.B. Websitebetreiber auftreten.«

Bei den Informationspflichten scheint einiges im Argen zu liegen – kein Wunder: Viel mehr als Datenschutzhinweise mit Textbausteinen auf Webseiten bekommt man oft nicht zu sehen. Dazu hat sich die KDSA Ost geäußert. »Merke!«, heißt es dort: »Immer wenn personenbezogene Daten erhoben werden, muss die Informationspflicht erfüllt werden.« Von den wenigen Ausnahmen solle nur zurückhaltend Gebrauch gemacht werden – sicherheitshalber werden die Ausnahmen auch gar nicht genannt. Die werden grundsätzlich aus den Ausnahmen der §§ 32f. BDSG geschöpft, allerdings wie üblich mit einer kirchlichen Anpassung: Die Informationspflicht besteht nicht, »wenn durch die Auskunft die Wahrnehmung des Auftrags der Kirche gefährdet wird« (§ 15 Abs. 5 lit. c KDG – ohne die Interessensabwägung aus § 32 Abs. 1 Nr. 3 BDSG) – in diesen Fällen besteht auch kein Auskunftsrecht (§ 17 Abs. 6 lit. a) KDG).

Am Fachbereich Theologie der Universität Frankfurt fand eine Tagung zu Primärquellen in der Missbrauchsforschung statt. Ein Schwerpunkt war dabei auch der Umgang mit kirchlichen Archiven. Einen kurzen Tagungsbericht gibt es dazu von der KNA bei katholisch.de mit Blick auf Bistumsarchive, die oft nicht vollständig sind. Über den Vortrag der Kirchenhistorikerin Alexandra von Teuffenbach zu ihren Erfahrungen bei der Aufarbeitung der Missbrauchsvorwürfe gegen den Schönstatt-Gründer Josef Kentenich und zur Zugänglichkeit der Vatikan-Archive habe ich eine Meldung veröffentlicht.

Das Bistum Rottenburg-Stuttgart hat seine Jubiläumsordnung aktualisiert, die neben der Veröffentlichung von Jubiläen auch die von Sakramentenspendungen und anderen Ereignissen regelt. Das gibt es in einigen Bistümern – aber so umfassend wie hier wohl selten: Grundsätzlich veröffentlicht werden dürfen neben Dienst- und Weihejubiläen in kircheneigenen Medien Geburt, Taufe, Erstkommunion, Firmung, Trauung sowie Alters- und Ehejubiläen von Mitgliedern der Kirchengemeinden.

Die Log4Shell-Sicherheitslücke hat auch einige kirchliche Aufsichten zu Warnungen und Hinweise auf die Informationen des BSI bewogen. Das Pro-Magazin hat dazu noch einige Anbieter von Standardsoftware für Gemeinden angefragt, die für ihre Dienste Entwarnung geben können.

Für katholisch.de habe ich über die neuen Kriterien der katholischen Datenschutzkonferenz für Messenger berichtet. Das Bistum Würzburg teilte mir dazu mit, dass für den Bistumskanal ein Umstieg von Telegram auf Signal geplant sei: „Der Abschied von Telegram geschieht vor allem aufgrund der Kultur Telegrams, die nicht nur seitens des Herstellers undurchsichtig ist, sondern auch von Nutzern für radikale, gesetzeswidrige und gefährliche Inhalte genutzt wird“, so der Sprecher.

»Comminuite, perdite, publicate, moderate Facebook!«, forderte Jan Böhmermann in seiner letzten Sendung und lässt auf der umfangreichen Seite zur Sendung (unter anderem mit Interviews mit Frances Haugen und Max Schrems) eigentlich nur die Frage offen, ob es nicht eigentlich »Facebookem« heißen müsste. Das Video zum Facebook-Requiem wurde in der Kölner Kirche St. Engelbert gedreht – der Pfarrer fand’s nach Lesen des Drehbuchs unterstützenswert, hat er mir erzählt.

Weiterlesen

3G und der Bär – Wochenrückblick KW 49/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die KDSA Ost befasst sich mit smarten Weihnachtsgeschenken. Das hat zwar nicht direkt etwas mit kirchlichem Datenschutz zu tun, aber allein wegen der sehr liebevoll gemachten selbstgebastelten Illustration mit einem aufgesmarteten Teddybär (die Antenne! DIE CLOUD OMG DIE CLOUD!) lohnt sich der Link. Die Checkliste, wie man geschenkte Technik so in Gang setzt, ist auch sehr nützlich. Aber vor allem: der Bär!

Auch in dieser Woche (allerdings auf den 24. November rückdatiert) sind bei der KDSA Ost Hinweise zu 3G am Arbeitsplatz erschienen. Dort wird noch einmal der Grundsatz der Datensparsamkeit betont: »Kann auf Namenslisten verzichtet werden, sollte man dies auch tun. Kann darauf verzichtet werden, den Impf- und Genesenenstatus zu speichern, sollte auch hierauf verzichtet werden.« Das sollte man auch in Freiburg nochmal lesen.

Die unabhängige Missbrauchsstudie der Schweizer Kirche wird konkreter, in dieser Woche wurde die Vertragsunterzeichnung mit der Uni Zürich verkündet. Bei kath.ch hat Raphael Rauch einen Blick auf den geplanten Umgang mit Persönlichkeitsrechten geworfen: »Missbrauchsstudie: Welche Kirchenvertreter müssen nicht anonymisiert werden?«

Die aktuelle Ausgabe der Zeitschrift »Kirche & Recht« hat einen Datenschutzschwerpunkt: Rüdiger Althaus schreibt über die neue DBK-Personalaktenordnung, Steffen Pau und Stephanie Melzow vom KDSZ Dortmund über das Auskunftsrecht nach § 17 KDG in der aufsichtsrechtlichen Praxis und Bernhard Fessler über erste Erfahrungen aus dem katholischen Datenschutzgericht – laut Abstract basiert dieser Beitrag wohl auf dem hier bereits besprochenen Vortrag aus dem Mai.

Weiterlesen

Nicht allzu zentralisiert – Wochenrückblick KW 26/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wird die evangelische Datenschutzaufsichtslandschaft noch weiter zentralisiert? Bisher gibt es neben dem BfD EKD noch drei weitere Aufsichten: Für die Landeskirche der Pfalz, für die Nordkirche und den Datenschutzbeauftragten für Kirche und Diakonie in Sachsen und Sachsen-Anhalt. Im frisch erschienenen Tätigkeitsbereit des BfD EKD wird angekündigt, dass »weitere Gliedkirchen und diakonische Landesverbände Interesse haben, die Datenschutzaufsicht in absehbarer Zeit auf die EKD zu übertragen«. Bekannt war das bisher nur von der Landeskirche der Pfalz. Anfragen bei den anderen Landeskirchen und Diakonien haben ergeben, dass es wohl vorerst auch dabei bleibt: die Diakonie und die Landeskirche Sachsens sowie die Landeskirche Anhalts teilen auf Anfrage mit, dass keine Übertragung geplant sei; Antworten aus der Diakonie Mitteldeutschland und der Nordkirche (die allerdings ohnehin schon eng mit dem BfD EKD verbunden ist) stehen noch aus.

Das Bistum Augsburg verbietet freie WLAN-Hotspots an kirchlichen Gebäuden. Schuld ist (natürlich) der Datenschutz, ergänzt mit Jugendschutz. Überzeugend ist das nicht – auf evangelischer Seite gibt’s Godspot, Freifunk existiert, die EU fördert kommunale offene Netze. Angeführt wird § 8 Abs. 8 S. 1 KDG, demzufolge personenbezogene Daten Minderjähriger, denen »elektronisch eine Dienstleistung oder ein vergleichbares anderes Angebot von einer kirchlichen Stelle gemacht wird«, nur bei Über-16-Jährigen verarbeitet werden dürfen. Würde man diese Interpretation durchhalten, hieße das auch: Alle kirchlichen Angebote im Netz brauchten eine Alterskontrolle; das sieht offensichtlich niemand so, auch nicht das Bistum Augsburg, dessen Webseite und Newsletter ohne Alterskontrolle genutzt werden können, obwohl auch dort (Meta-)Daten der Besucher*innen verarbeitet werden. Wenn man wollte, ginge freies WLAN – mit guten Argumenten, wenn man sich von den genannten Anbietern und Initiativen beraten ließe. Datenschutz wird hier wieder einmal als Verhinderer stark gemacht – das kommentiere ich heute auch bei katholisch.de: »Es ginge also – rechtssicher, datensparsam, frei und offen. Dazu müssten aber die kirchlichen Verantwortungsträger die Chancen des Netzes für die Kirche und seine Bedeutung fürs Gemeinwohl sehen – und nutzen wollen.«

Weiterlesen

Landschaftskunde – Wochenrückblick KW 21/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der dritte Geburtstag der DSGVO wurde in den Medien breit gewürdigt mit vielen Einschätzungen zum aktuellen Stand – oft mit dem Tenor: Verordnung gut, Durchsetzung na ja. Sehr still war es um den dritten Geburtstag des KDG. (Die Woche verzeichnet sogar – wann gab es das zuletzt? – keine einzige amtliche kirchliche Veröffentlichung zum Datenschutz.) Immerhin die Vorsitzende der Konferenz der Diözesandatenschutzbeauftragten Ursula Becker-Rathmair war zum Interview auf katholisch.de bereit. Sie berichtet, dass die Themen vom Anfang sich gewandelt haben: Anstatt um Kinderfotos geht es jetzt um Spezialthemen wie Fotos zur Wunddokumentation bei nichteinwilligungsfähigen Patient*innen. Und noch ein weiteres wichtiges Thema spricht sie an: Die Frage nach gemischten Trägerschaften. Bisher ist es völlig ungeklärt, was passiert – etwa bei gemeinsamer Verantwortlichkeit oder Joint ventures –, wenn mehrere Datenschutzgesetze potentiell anwendbar sind.

Die DSGVO hat zum Geburtstag ein großartiges Geburtstagsgeschenk von Winfried Veil und Stefan Heinemann bekommen: Die »Dataprotection Landscape«, ein Tool, das das weite Feld Datenschutz systematisch und im Kontext erschließt, oder wie Veil es nennt: ein Koordinatensystem des Datenschutzes. Die Kachel zur Öffnungsklausel Artikel 91 ist noch etwas karg. Ich habe aber schon meine Unterstützung angeboten.

Der frisch erschienene Tätigkeitsbericht der niedersächsischen Datenschutzbeauftragten berichtet (neben den hier schon verhandelten Neuigkeiten zum Konflikt um die Datenschutzrichtlinie der SELK) über eine reichlich makabre Missionierungsstrategie: »Ein Verein, der sich auf christlichen Beistand in schwerer Zeit spezialisiert hatte, wertete die Traueranzeigen der örtlichen Tagezeitung aus und glich diese mit dem Telefonbuch ab. An die so ermittelte Adresse wurde dann ein Brief mit Trauerrand versandt, der eine Druckschrift mit Missionierungscharakter beinhaltete sowie eine vorgedruckte Postkarte zur Anforderung von Büchern, Schriften, Bibelfernkursen und CDs.« Beim Verfahren ging es nur um die Auskunftsrechte – ob damit stillschweigend auch gesagt ist, dass es für diese Datenakquise eine Rechtsgrundlage gibt, ist unklar.

Außerdem hat sich das Datenschutzblog der Kanzlei Reichert und Reichert das hier bereits besprochene Kirchliche Datenschutzmodell angeschaut und kommt zu ähnlichen Schlüssen wie bei Erscheinen hier vertreten: »Herausgekommen ist ein komplexes Modell, das zum einen den Aufbau und häufig auch das Wording und die Struktur des Standard-Datenschutzmodells übernimmt, auf der anderen Seite durch den direkten Bezug auf die beiden kirchlichen Datenschutzgesetze und deren gewohnten Begrifflichkeiten das Verständnis und die Übertragung in die Praxis kirchlicher Datenschutzbeauftragter durchaus fördern mag.«

Weiterlesen

Von wegen Osterruhe! Wochenrückblick KW 13/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Auch in der Karwoche wird noch ordentlich publiziert, vor allem im Osten: Die KDSA-Ost arbeitet an ihrem Streak weiter und füllt den Newsticker fast täglich mit direkt aus dem Leben gegriffenen Fragen wie der, ob »Original ersetzendes Scannen« zulässig ist oder wie Arbeitgeber*innen mit Corona-Test-Listen umgehen sollen. Außerdem scheinen Beschwerden ohne Betroffenheit ein Problem bei der KDSA Ost zu sein.

Der Datenschutzbeauftragte für Kirche und Diakonie hat (neben dem lang erwarteten Tätigkeitsbericht) außerdem eine Stellungnahme zu »Luca« und anderen Kontaktnachverfolgungsapps veröffentlicht, verweist allerdings im wesentlichen auf das DSK-Papier (wie der DSB-EKD). Besonderheiten des evangelischen Datenschutzrechts wie die hier besonders wichtige Frage nach der Verantwortlichkeit (weil Auftragsverarbeitung nur mit Unterwerfungserklärung funktioniert) werden leider nicht kommentiert. (Inhaltliche Änderungen am Artikel hier auf dem Blog waren daher nicht nötig.) Ansonsten hat Luca gerade keinen guten Lauf – die wenig gelungene Offenlegung des Quellcodes und das weiterhin unschöne Kommunikationsverhalten prägen doch die Wahrnehmung.

Weiterlesen

Ändere-dein-Passwort-Tag? Besser nicht!

Heute ist Ändere-dein-Passwort-Tag! Das heißt aber noch lange nicht, dass regelmäßiger Passwortwechsel eine gute Idee ist: Wer sich regelmäßig neue Passworte merken muss, wird einfachere, leichter zu erratende wählen. Der GAU dabei ist der vierteljährlich erzwungene Windows-Passwort-Wechsel, mit dem IT-Abteilungen IT-Sicherheit vorgaukeln. Ergebnis: An das Passwort wird alle drei Monate eine neue Zahl angehängt. Sicherheitsgewinn: keiner.

Ein stilisiertes Passwort-Eingabe-Feld
Bildquelle: Christiaan Colen (Flickr), „Computer login“, CC BY-SA 2.0.

Gegen akute Angriffe nützt ein regelmäßiger Passwortwechsel auch nichts: Wenn ein Passwort kompromittiert ist, dann wird das sofort genutzt – und nicht erst nach dem jährlichen Passwortwechsel. Dennoch ist der jährliche Passwort-Tag eine gute Gelegenheit, sich Gedanken über den eigenen Umgang mit Passworten zu machen.

Weiterlesen