Schlagwort-Archive: IT-Sicherheit

Namenlos in der MS365-Cloud – Wochenrückblick KW 1/2023

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Noch vor Weihnachten hat die Datenschutzaufsicht der bayerischen Diözesen eine Ankündigung zum Umgang mit MS-365-Installationen veröffentlicht. Der Diözesandatenschutzbeauftragte kündigt darin seinen Umgang mit Neu- und Bestandsinstallationen an, nachdem die katholische Datenschutzkonferenz dazu keinen Beschluss gefasst hat. Für Neuinstallationen nach dem 21. 12. 2022 wird von einer Beanstandung abgesehen, wenn MS Onedrive dauerhaft abgeschaltet wird und Datenflüsse an Microsoft unterbunden werden. Außerdem müssen Accounts ohne personalisierte Benutzernamen und E-Mail-Postfächer eingerichtet werden. Zulässig sind pseudonymisierte Benutzernamen und Funktionspostfächer. Für Bestandsinstallationen wird für ab April eine Anordnung angekündigt, »wenn feststeht, ob die Bemühungen der USA und der EU um eine Nachfolgeregelung des „privacy shields“ Erfolg hatten«.

Die Diözesandatenschutzbeauftragte für die Südwest-Bistümer Ursula Becker-Rathmair wurde für eine weitere Amtszeit vom 1. Januar 2023 bis zum 31. Dezember 2027 bestellt. Als erste der beteiligten Diözesen hat das Erzbistum Freiburg die Bestellung veröffentlicht.

Die fünf nordrhein-westfälischen Bistümer haben eine öffentlich-rechtliche Vereinbarung zur Regelung der Zusammenarbeit auf verschiedenen Gebieten geschlossen; dazu gehört auch die gemeinsame Datenschutzaufsicht. In der Sache ändert sich für das Katholische Datenschutzzentrum Dortmund dadurch nichts. Während bei den anderen genannten Bereichen der Zusammenarbeit – von der Rundfunkmedienarbeit bis zur Polizeiseelsorge – in den jeweiligen Abschnitten »vereinbart« wird, »dass diese Tätigkeit eine öffentliche Aufgabe ist und daher zwingend von einer juristischen Person des öffentlichen Rechts zu erbringen ist«, wird das (nur) bei der Datenschutzaufsicht anders formuliert: »Gemäß Art. 91 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 i.V.m. §§ 42 ff. der jeweiligen bischöflichen Gesetze über den Kirchlichen Datenschutz (KDG) ist diese Tätigkeit eine öffentliche Aufgabe und daher zwingend von einer juristischen Person des öffentlichen Rechts zu erbringen.« Das überrascht: Art. 91 Abs. 2 DSGVO regelt spezifische Aufsichtsbehörden, ohne ihre Tätigkeit als »öffentliche Aufgabe« zu definieren. Sie müssen lediglich die Anforderungen aus Kapitel VI DSGVO erfüllen. Dort ist zwar von »Behörden« die Rede, nicht aber von bestimmten Rechtsformen, die Aufsicht wird auch dort nicht als »öffentliche Aufgabe« bezeichnet. Das KDG regelt nichts zur Rechtsform und spricht nicht von »öffentlicher Aufgabe«, und auch in der Kommentarliteratur findet sich dieses angeblich zwingende Erfordernis nicht. Die Praxis spricht auch dagegen: Lediglich in NRW und im Südwesten sind die kirchlichen Aufsichten als KdÖR verfasst (in Bayern und im Norden ist es geplant), alle anderen kirchlichen Datenschutzaufsichten, katholische wie evangelische (und erst recht freikirchliche) haben keine öffentlich-rechtliche Rechtsform. Es spricht also einiges dafür, dass das Rechtsformerfordernis für das KDSZ Dortmund nicht aus zwingenden rechtlichen Gründen, sondern wie bei den anderen Feldern aus der Vereinbarung selbst erwächst.

Der aktuelle »Kanon des Monats« des Würzburger Kirchenrechtlers Martin Rehak widmet sich Benedikt XVI. Darin findet sich auch ein Überblick über sein kirchenrechtliches Wirken. Hier einschlägige Themen spielen dabei fast keine Rolle – nur ein Dekret aus der Zeit Ratzingers als Präfekt der Glaubenskongregation verschärft den Persönlichkeitsrechteschutz bei der Beichte: Die Exkommunikation als Tatstrafe zieht sich zu, wer »mittels irgendeines technischen Gerätes selbst aufnimmt oder durch andere aufnehmen lässt, was bei einer (echten oder simulierten) Beichte vom Beichtvater oder vom Pönitenten gesagt wird. Ebenfalls zieht sich jeder die Exkommunikation als Tatstrafe zu, der solche Aufnahmen durch die sozialen Kommunikationsmittel verbreitet«.

Weiterlesen

Hallo Mastodon – Wochenrückblick KW 47/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Bei Twitter ist nach der Musk-Übernahme Endzeitstimmung. Mit der Unsicherheit, ob’s der Dienst noch länger macht, geht der Boom der dezentralen und datensparsamen Open-Source-Alternative Mastodon einher. Für katholisch.de habe ich mich im (katholischen) Bereich umgehört, wie dort die Umzugsstimmung ist. Mit der steigenden Popularität von Mastodon stellt sich auch die Frage, wie Instanzen datenschutzkonform betrieben werden können. Dazu hat schon vor einem Jahr Christian Brecheis einige Einschätzungen aus seiner Praxis gegeben: Er ist Datenschutzbeauftragter und mit für die Mastodon-Instanz kirche.social zuständig.

Die Caritas-Dienstgeber beschäftigen sich mit dem Urteil des Bundesarbeitsgerichts zum Kündigungsschutz des Datenschutzbeauftragten (Urteil vom 25. August 2022, BAG 2 AZR 225/20) und kommt zu dem Schluss, dass sich die Entscheidung auch auf den betrieblichen Datenschutzbeauftragten gemäß KDG anwenden lässt: »Dieser hat eine vergleichbare Rechtsstellung, wie Datenschutzbeauftragte in weltlichen Einrichtungen, insbesondere greift auch hier gem. § 37 Absatz 4 Satz 1 KDG ein Sonderkündigungsschutz im laufenden Dienstverhältnis ein, so dass eine Kündigung nur aus wichtigem Grund zulässig ist«, heißt es in der Analyse des Urteils.

Das Gutachten zur Einführung einer diözesanen Verwaltungsgerichtsbarkeit im Bistum Münster verzögert sich noch: Der ursprünglich mit der Ausarbeitung beauftragte Emeritus Klaus Lüdicke hat sich mit Bischof Felix Genn überworfen. »Hintergrund waren Meinungsverschiedenheiten zum Umgang mit Vorwürfen gegen einen Priester […], weil ich die von mir eingeleiteten Untersuchungen nicht sofort einstellen wollte«, heißt es in Genns Zwischenbericht. Neu beauftragt wurden Lüdickes Nachfolger Thomas Schüller (einer der wenigen Kanonist*innen, die schon zum kirchlichen Datenschutzrecht publiziert haben) und sein Mitarbeiter Thomas Neumann. Die prüfen nun nicht nur die Möglichkeit, sondern wollen bis Mai auch eine mögliche Ordnung für das Münsteraner kirchliche Verwaltungsgericht vorlegen.

Neues vom DSG-EKD-Kommentar: Der ursprünglich für das zweite Quartal 2022 angekündigte Kommentar ist laut Auskunft des Nomos-Verlags nun erst im Mai 2023 zu erwarten. Pünktlich zur Evaluierungsfrist des DSG-EKD.

In eigener Sache: Im Podcast Spiritualität 9.0 habe ich mit Claus Geißendörfer über kirchlichen Datenschutz und Rechtskultur in der Kirche gesprochen.

Weiterlesen

Quellen des Ärgers – Wochenrückblick KW 43/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Google-Fonts-Abmahnungen beschäftigen auch kirchliche Stellen. Die Rechtsabteilung des Bistums Osnabrück warnt vor Schadensersatzforderungen. In der Warnung wird darauf hingewiesen, dass eine dynamische Einbindung dann datenschutzrechtlich problematisch sein kann, »wenn kein zusätzliches Consent-Tool eingesetzt wird«. Von einer Bezahlung wird abgeraten: »Angesichts der Häufung derartiger Abmahnungen handelt es sich um ein unzulässiges und damit rechtsmissbräuchliches Vorgehen«, so die Rechtsabteilung. Im Erzbistum Freiburg weist die Datenschutzabteilung darauf hin, dass das bistumseigene CMS Sesam Google-Fonts lokal und damit datenschutzkonform einbindet – was eine Kanzlei nicht von einer (unbegründeten) Abmahnung abhielt, und auch das Bistum Speyer warnt. Nicht nur Deutschland ist betroffen: Schon im September hatte die österreichische Diözese St. Pölten vor entsprechenden Massenanschreiben einer österreichischen Kanzlei gewarnt.

Ein anderer Google-Dienst ist datenschutzkonform einsetzbar: »Da die Google Search Console keine personenbezogenen Daten verarbeitet, ist die Nutzung dieser Konsole datenschutzrechtlich unbedenklich, so der EKD-Datenschutzbeauftrage auf Nachfrage«, findet man bei Ralf Peter Reimanns Einblicken in die Analyse der Webseiten der Evangelischen Kirche im Rheinland. Damit auch im Backend der Datenschutz gewahrt wird, sollte man allerdings für den Zugang keine personalisierten Accounts verwenden.

In seinem aktuellen Tätigkeitsbericht befasst sich der Thüringer Landesdatenschutzbeauftragte mit der Vorlage von Kontoauszügen beim Jobcenter und der Zulässigkeit von Schwärzungen. Das Schwärzen von einzelnen Buchungen könne dem Antragsteller nicht grundsätzlich verwehrt werden, betont der TLfDI. Grundsätzlich zulässig sei es, wenn die Buchungstexte Angaben über besonders geschützte Daten enthielten: »Dazu zählen Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Beispielsweise kann bei Überweisungen von Mitgliedsbeiträgen an eine Partei oder bei Zahlungen an eine Religionsgemeinschaft die Bezeichnung der Organisation geschwärzt werden«, heißt es im Bericht. Nicht geschwärzt werden solle bei den einzelnen Buchungen aber, dass es sich um Mitgliedsbeiträge oder Spenden handelt.

Bei katholisch.de habe ich über zunehmende Ransomware-Angriffe auf kirchliche Einrichtungen berichtet. Zu Wort kommt neben der Caritas München auch der Vorsitzende der Konferenz der Diözesandatenschutzbeauftragten.

In der aktuellen Ausgabe von Theologie und Glaube hat der Paderborner Kirchenrechtler Rüdiger Althaus einen Beitrag zu geistlichem Missbrauch veröffentlicht. Darin widmet er sich auch der Bedeutung des Datenschutzkanons can. 220 CIC beim Schutz von Persönlichkeitsrechten und Intimsphäre. (Open access, aber nicht direkt verlinkbar, S. 320f.)

In der Regel verhandeln die kirchlichen Datenschutzgerichte ohne mündlichen Termin. Die erste mündliche Verhandlung überhaupt findet an diesem Freitag um 13 Uhr statt. Gegen die Entscheidung des IDSG im Zusammenhang mit der Visitation der Katholischen Integrierten Gemeinde (IDSG 03/2020) wurden Rechtsmittel eingelegt (Aktenzeichen DSG-DBK 02/2022), über die das DSG-DBK jetzt zu entscheiden hat. Obwohl die KDSGO dazu keine Regelung trifft, ist die Verhandlung öffentlich, ich bin als Journalist akkreditiert und werde berichten.

Weiterlesen

Kontra aus München – Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten 2021/2022

Schreiben Sie eine Antwort

Die Gemeinsame Datenschutzaufsicht der Bayerischen (Erz-)Diözesen hat ihren Tätigkeitsbericht für 2021/2022 veröffentlicht – immer noch in der alten Konstellation, in der Jupp Joachimski Diözesandatenschutzbeauftragter mit einem Mitarbeiter und ohne rechtlich selbständige Stelle ist. Über den Stand der Errichtung des geplanten Kirchlichen Datenschutzzentrums Bayern in Nürnberg erfährt man nichts.

Titelseite des Tätigkeitsberichts 2021/2022 des bayerischen Diözesandatenschutzbeauftragten
So kennt man den Bericht des bayerischen Diözesandatenschutzbeauftragten: Kompakt, schnörkellos und extrem nah am Ende des Berichtszeitraums, dem 1. Oktober.

Ansonsten gibt es vor allem Einblicke in Entscheidungen zu in kirchlichen Einrichtungen verwendeter Software – und deutliche Kritik an der Mehrheits-Rechtsposition der kirchlichen Aufsichten und Datenschutzgerichte zum Bußgeld.

Weiterlesen

Art.-9-Gründe – Wochenrückblick KW 38/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Am Montag haben sich die Unabhängigen Aufarbeitungskommissionen der Bistümer getroffen. Laut Pressemitteilung der Bischofskonferenz standen auch datenschutzrechtliche Fragen auf der Tagesordnung – weiter ins Detail ging es nicht. Eine Herausforderung dürften die unterschiedlichen Rechtsgrundlagen zur Aktenweitergabe an die Kommissionen sein – die wurden bislang nicht in allen Bistümern geschaffen.

Die Caritas München geht nicht auf die Forderungen ihrer Erpresser ein: Lösegeld werde nach dem Verschlüsselungsangriff nicht gezahlt, betonte der Caritasdirektor Hermann Sollfrank am Montag. Auf Grundlage der vorhandenen Backups soll eine neue IT-Infrastruktur aufgebaut werden.

Das Whitepaper zu Microsoft 365 in Kirche und Wohlfahrt von Althammer & Kill und der SoCura ist in einer zweiten Auflage erschienen. Neben einer Neustrukturierung entlang des Lebenszyklus von MS 365 geht es vor allem auf rechtliche Neuerungen wie die neue Standarddatenschutzklauseln, Transfer Impact Assessment, Videosprechstunde und Telemedizin ein und nimmt einen Abgleich mit neuen Gesetzen aus den Bereichen Telekomunikation und Telemedien vor.

In eigener Sache: Das Webinar zu Besonderheiten im Bereich des kirchlichen Engagements musste leider aus Art.-9-Gründen entfallen. Ein Nachholtermin ist für Anfang Oktober geplant.

Weiterlesen

Hl. Josef von Cupertino, bitte für die Caritas München – Wochenrückblick KW 37/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Münchner Diözesancaritasverband arbeitet erst einmal analog. Er »verzeichnet seit vergangenem Wochenende eine Großstörung zentraler IT-Systeme und ist nach aktuellem Kenntnisstand Opfer eines weitreichenden Cyberangriffs geworden«, heißt es in der Pressemitteilung. Die eigentliche Arbeit sei aber trotzdem gesichert. Viele Details erfährt man nicht – auch wenn der Caritasdirektor beteuert, der Vorfall sei »trotz umfangreicher technischer und organisatorischer Schutzmaßnahmen« eingetreten. Ein Krisenstab wurde eingerichtet, Anzeige ist erstattet. »Wir befinden uns derzeit noch in der Analysephase. Gleichwohl gibt es konkrete Hinweise darauf, dass es den Cyberkriminellen gelungen ist, trotz aller Schutzvorkehrungen Daten aus unseren Systemen abzugreifen. Um welche Daten es sich handelt, können wir zum jetzigen Stand nicht zweifelsfrei und auch aus ermittlungstaktischen Gründen nicht sagen«, so Diözesancaritasdirektor Hermann Sollfrank weiter. Aus Kreisen des Verbands erfährt man, dass die Behebung des Schadens noch länger, möglicherweise Monate dauern werde, und dass es um Erpressung geht. Normalerweise gilt: Kein Backup, kein Mitleid. Bei der Caritas und dem, was sie für Menschen in Notsituationen leistet, darf man aber trotzdem ein Kerzchen mit einer Bitte um Fürsprache des hl. Josef von Cupertino aufstellen. Der Franziskaner darf dank seiner Gabe der Bilokation auch als Schutzpatron der redundanten Datenhaltung gelten.

»Unterwerfungserklärung« ist wohl der ungeschickteste Begriff, den das kirchliche Datenschutzrecht hervorgebracht hat (oder besser: der sich in seiner Anwendung eingebürgert hat). Das wird deutlich in der Erläuterung bei »Althammer & Kill«, die vor naheliegenden Fehldeutungen warnt: »Auch wenn solch eine „Unterwerfung“ vor allem bei größeren Dienstleistern auf einen abwehrenden Reflex stößt, sollte beachtet werden, dass diese Erklärung nicht dazu dient, sich Gott, der Kirche oder einem bestimmten Glauben zu beugen«, heißt es da. Besser sei die Bezeichnung Anerkennungserklärung oder auch nur Zusatzvereinbarung, wird vorgeschlagen. Die Problematik der Vermittlung beim Abschluss von Auftragsverarbeitungsverträgen hat auch der BfD EKD erkannt und sein Muster vor einiger Zeit um gute Erläuterungen ergänzt, was da eigentlich vor sich geht.

Das IDSG kündigt eine Entscheidung (Beschluss vom 25. Mai 2022 – IDSG 01/2021) zu den Anforderungen an eine konkludente Einwilligung zur Datenverarbeitung bei der Übernahme einer Arztpraxis an. Konkludente Einwilligungen kamen bereits in Entscheidungen des kirchlichen Datenschutzgerichts vor, aber so zentral, wie der Leitsatz verspricht, noch nicht. Insbesondere eine klare Darlegung an die Anforderungen, wie sie in der Ankündigung versprochen wird, dürfte sehr hilfreich sein.

In eigener Sache: Am 21. September um 18 Uhr leite ich bei der Stiftung Datenschutz ein Webinar zu Besonderheiten im Bereich des kirchlichen Engagements – die Teilnahme ist kostenlos.

Weiterlesen

Avicenna-Studienwerk von Software-Lücke betroffen – kein Datenverlust

Schreiben Sie eine Antwort

Vor zwei Wochen hatte die Berliner Landesdatenschutzbeauftragte in ihrem Tätigkeitsbericht den Fall einer Lücke in Software für Stipendienbewerbungen geschildert. Laut Bericht waren vier Studienstiftungen betroffen. Da durch die Ausrichtungen der nicht namentlich genannten Stiftungen auch Daten zur Religionszugehörigkeit erhoben wurden, ist davon auszugehen, dass auch eine der Stiftungen von Religionsgemeinschaften betroffen war. Nun ist klar, um welche es sich handelt: Auf Anfrage teilte das Avicenna-Studienwerk mit, dass dort die fragliche Software eingesetzt wurde. Ausgenutzt wurde die Sicherheitslücke aber nicht.

Logo des Avicenna-Studienwerks auf einem Standbild des Imagefilms des Werks
Das Avicenna-Studienwerk ist das jüngste der 13 vom Bundesministerium für Bildung und Forschung anerkannten Begabtenförderungswerke in Deutschland. Es fördert begabte und gesellschaftlich engagierte muslimische Studierende und Doktoranden aller Fachrichtungen durch die Vergabe von Stipendien. (Bildquelle: Screenshot Avicenna-Studienwerk)

»Die Herstellerfirma informierte uns unmittelbar über die Sicherheitslücke und deaktivierte die Webseite. Erst nach der Beseitigung der Sicherheitslücke wurde das Bewerbungsportal wieder freigeschaltet«, teilte das muslimische Begabtenförderungswerk auf Anfrage mit. Die zuständige niedersächsische Landesdatenschutzbeauftragte sei durch das in Osnabrück ansässige Werk unmittelbar über den Vorfall informiert worden. »Ein externer Zugriff konnte nach intensiver Prüfung von allen Seiten ausgeschlossen werden. Eine weitere Veranlassung wurde seitens der Landesdatenschutzbehörde für nicht notwendig erachtet«, so das Werk weiter.

Die Berliner Datenschutzbeauftragte hatte mitgeteilt, dass sie Ende August 2021 einen Hinweis erhalten habe, dass durch eine Sicherheitslücke in einer Software für Stipendienportale der Zugriff auf eine große Menge personenbezogener Daten verschiedener Studienstiftungen möglich sei. »Die unsichere Software wurde hauptsächlich zum Bereitstellen von Stipendienbewerbungsportalen genutzt, wo eine große Menge von zum Teil höchstpersönlichen Daten gespeichert werden. Aufgrund der jeweiligen Ausrichtung der betroffenen Studienstiftungen waren zudem besondere Kategorien personenbezogener Daten, wie Religionszugehörigkeit oder Daten zur politischen Überzeugung und Weltanschauung betroffen«, hieß es im Bericht. Die Sicherheitslücke, die auf die falsche Nutzung eines Frameworks zurückging, sei mittlerweile behoben.

Die anderen drei konfessionellen und religiösen Begabtenförderungswerke, die aus Mitteln des Bundesbildungsministeriums gefördert wurden, waren nicht betroffen. Schon vor zwei Wochen teilten sowohl das katholische Cusanuswerk wie das Evangelische Studienwerk Villigst mit, die Software nicht eingesetzt zu haben. Mittlerweile hat sich auch das Ernst-Ludwig-Ehrlich-Studienwerk zu der Sicherheitslücke geäußert: Wie die christlichen Studienwerke setzt auch das jüdische Begabtenförderungswerk die bemängelte Software nicht ein und ist daher nicht betroffen.

Stiftungspanne – Wochenrückblick KW 25/2022

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

In ihrem frisch erschienenen Tätigkeitsbericht schildert die Berliner Datenschutzbeauftragte einen Fall einer Sicherheitslücke in einer Software für Stipendienportale. Durch die Ausnutzung der Schwachstellen soll es möglich gewesen sein, ein Nutzungskonto anzulegen, die Datenbank abzufragen, hochgeladene Dokumente herunterzuladen und ein Nutzungskonto mit Adminrechten auszustatten. Laut Bericht waren vier Studienstiftungen betroffen. Da durch die Ausrichtungen der nicht namentlich genannten Stiftungen auch Daten zur Religionszugehörigkeit und zur Nähe zu politischen Parteien erhoben wurden, ist davon auszugehen, dass auch eine der Stiftungen von Religionsgemeinschaften betroffen ist. Auf Anfrage teilten das katholische Cusanuswerk und das Evangelische Studienwerk Villigst mit, dass sie von keiner Sicherheitslücke betroffen waren. Das jüdische Ernst-Ludwig-Ehrlich-Studienwerk und die muslimische Avicenna-Studienstiftung haben auf die Anfrage noch nicht geantwortet. (Angefragt wurden nur diese vier, die aus Mitteln des Bildungsministerium finanziert werden.)

Mit Transparenz tut sich die römisch-katholische Kirche schwer – gerade, was ihre Gerichtsbarkeit angeht. Immerhin: Die Datenschutzgerichte veröffentlichen Entscheidungen – aber nur ausgewählte, freiwillig und ohne Rechtspflicht. Daher hat die Gesellschaft Katholischer Publizisten (GKP), in der ich mich im Vorstand engagiere, sich erneut für mehr Transparenz in der kirchlichen Justiz ausgesprochen. Anlass ist die Ankündigung des Münsteraner Bischofs Felix Genn, schon vor der Genehmigung einer bundesweiten kirchlichen Verwaltungsgerichtsbarkeit durch den Heiligen Stuhl eine vorläufige diözesane einzurichten. »Die Kirche darf in ihrem eigenen Rechtssystem nicht hinter Selbstverständlichkeiten des Rechtsstaats zurückbleiben, wenn sie Vertrauen zurückgewinnen will. Ungehinderte Gerichtsberichterstattung ist ein wesentliches Element jeder freiheitlich-rechtsstaatlichen Ordnung«, sagt der GKP-Vorsitzende Joachim Frank. Gefordert sind öffentliche mündliche Verhandlungen und Urteilsverkündungen, die Veröffentlichung von Urteilen sowie Informations- und Auskunftsrechte für die Medien.

Weiterlesen

TTDSG, Jubiläen und Böhmermann – Wochenrückblick KW 50/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der BfD EKD hat eine FAQ-Liste zum TTDSG veröffentlicht, die einen allgemeinen Blick auf die neuen Verpflichtungen richtet. Ob das TTDSG überhaupt für alle kirchlichen Einrichtungen gilt, ist aufgrund des § 1 Abs. 3 TTDSG geregelten Anwendungsbereichs nicht ganz offensichtlich; dort ist die Rede von »alle[n] Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen«; die Formulierung sollte nach Auskunft des federführenden Wirtschaftsministeriums jedoch lediglich das Marktortprinzip festlegen, nicht den Anwendungsbereich auf Körperschaften einschränken, die »Unternehmen« im engeren Sinn sind. Der BfD EKD bejaht daher auch die Anwendung für kirchliche Stellen: »Ja, das TTDSG gilt auch für kirchliche und diakonische Stellen, soweit sie als Anbieter von Telekommunikationsdiensten oder als Anbieter von Telemediendiensten wie z.B. Websitebetreiber auftreten.«

Bei den Informationspflichten scheint einiges im Argen zu liegen – kein Wunder: Viel mehr als Datenschutzhinweise mit Textbausteinen auf Webseiten bekommt man oft nicht zu sehen. Dazu hat sich die KDSA Ost geäußert. »Merke!«, heißt es dort: »Immer wenn personenbezogene Daten erhoben werden, muss die Informationspflicht erfüllt werden.« Von den wenigen Ausnahmen solle nur zurückhaltend Gebrauch gemacht werden – sicherheitshalber werden die Ausnahmen auch gar nicht genannt. Die werden grundsätzlich aus den Ausnahmen der §§ 32f. BDSG geschöpft, allerdings wie üblich mit einer kirchlichen Anpassung: Die Informationspflicht besteht nicht, »wenn durch die Auskunft die Wahrnehmung des Auftrags der Kirche gefährdet wird« (§ 15 Abs. 5 lit. c KDG – ohne die Interessensabwägung aus § 32 Abs. 1 Nr. 3 BDSG) – in diesen Fällen besteht auch kein Auskunftsrecht (§ 17 Abs. 6 lit. a) KDG).

Am Fachbereich Theologie der Universität Frankfurt fand eine Tagung zu Primärquellen in der Missbrauchsforschung statt. Ein Schwerpunkt war dabei auch der Umgang mit kirchlichen Archiven. Einen kurzen Tagungsbericht gibt es dazu von der KNA bei katholisch.de mit Blick auf Bistumsarchive, die oft nicht vollständig sind. Über den Vortrag der Kirchenhistorikerin Alexandra von Teuffenbach zu ihren Erfahrungen bei der Aufarbeitung der Missbrauchsvorwürfe gegen den Schönstatt-Gründer Josef Kentenich und zur Zugänglichkeit der Vatikan-Archive habe ich eine Meldung veröffentlicht.

Das Bistum Rottenburg-Stuttgart hat seine Jubiläumsordnung aktualisiert, die neben der Veröffentlichung von Jubiläen auch die von Sakramentenspendungen und anderen Ereignissen regelt. Das gibt es in einigen Bistümern – aber so umfassend wie hier wohl selten: Grundsätzlich veröffentlicht werden dürfen neben Dienst- und Weihejubiläen in kircheneigenen Medien Geburt, Taufe, Erstkommunion, Firmung, Trauung sowie Alters- und Ehejubiläen von Mitgliedern der Kirchengemeinden.

Die Log4Shell-Sicherheitslücke hat auch einige kirchliche Aufsichten zu Warnungen und Hinweise auf die Informationen des BSI bewogen. Das Pro-Magazin hat dazu noch einige Anbieter von Standardsoftware für Gemeinden angefragt, die für ihre Dienste Entwarnung geben können.

Für katholisch.de habe ich über die neuen Kriterien der katholischen Datenschutzkonferenz für Messenger berichtet. Das Bistum Würzburg teilte mir dazu mit, dass für den Bistumskanal ein Umstieg von Telegram auf Signal geplant sei: „Der Abschied von Telegram geschieht vor allem aufgrund der Kultur Telegrams, die nicht nur seitens des Herstellers undurchsichtig ist, sondern auch von Nutzern für radikale, gesetzeswidrige und gefährliche Inhalte genutzt wird“, so der Sprecher.

»Comminuite, perdite, publicate, moderate Facebook!«, forderte Jan Böhmermann in seiner letzten Sendung und lässt auf der umfangreichen Seite zur Sendung (unter anderem mit Interviews mit Frances Haugen und Max Schrems) eigentlich nur die Frage offen, ob es nicht eigentlich »Facebookem« heißen müsste. Das Video zum Facebook-Requiem wurde in der Kölner Kirche St. Engelbert gedreht – der Pfarrer fand’s nach Lesen des Drehbuchs unterstützenswert, hat er mir erzählt.

Weiterlesen

3G und der Bär – Wochenrückblick KW 49/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die KDSA Ost befasst sich mit smarten Weihnachtsgeschenken. Das hat zwar nicht direkt etwas mit kirchlichem Datenschutz zu tun, aber allein wegen der sehr liebevoll gemachten selbstgebastelten Illustration mit einem aufgesmarteten Teddybär (die Antenne! DIE CLOUD OMG DIE CLOUD!) lohnt sich der Link. Die Checkliste, wie man geschenkte Technik so in Gang setzt, ist auch sehr nützlich. Aber vor allem: der Bär!

Auch in dieser Woche (allerdings auf den 24. November rückdatiert) sind bei der KDSA Ost Hinweise zu 3G am Arbeitsplatz erschienen. Dort wird noch einmal der Grundsatz der Datensparsamkeit betont: »Kann auf Namenslisten verzichtet werden, sollte man dies auch tun. Kann darauf verzichtet werden, den Impf- und Genesenenstatus zu speichern, sollte auch hierauf verzichtet werden.« Das sollte man auch in Freiburg nochmal lesen.

Die unabhängige Missbrauchsstudie der Schweizer Kirche wird konkreter, in dieser Woche wurde die Vertragsunterzeichnung mit der Uni Zürich verkündet. Bei kath.ch hat Raphael Rauch einen Blick auf den geplanten Umgang mit Persönlichkeitsrechten geworfen: »Missbrauchsstudie: Welche Kirchenvertreter müssen nicht anonymisiert werden?«

Die aktuelle Ausgabe der Zeitschrift »Kirche & Recht« hat einen Datenschutzschwerpunkt: Rüdiger Althaus schreibt über die neue DBK-Personalaktenordnung, Steffen Pau und Stephanie Melzow vom KDSZ Dortmund über das Auskunftsrecht nach § 17 KDG in der aufsichtsrechtlichen Praxis und Bernhard Fessler über erste Erfahrungen aus dem katholischen Datenschutzgericht – laut Abstract basiert dieser Beitrag wohl auf dem hier bereits besprochenen Vortrag aus dem Mai.

Weiterlesen