Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Der erste Donnerstag im Mai ist Welt-Passwort-Tag. Der Gedenktag wurde 2013 durch den Chip-Hersteller Intel ins Leben gerufen. Anders als der Ändere-dein-Passwort-Tag am 1. Februar mit seiner unsinnigen und gefährlichen Botschaft geht es heute erst einmal nur neutral um Passwort-Sicherheit.
Datensicherheit ist auch im kirchlichen Datenschutz wichtig. Das kirchliche Datenschutzrecht überlässt die konkrete Ausgestaltung von technischen und organisatorischen Maßnahmen aber weitgehend den jeweiligen Verantwortlichen. Nur wenige Normen beziehen sich explizit auf Passwörter – und die sind leider nicht immer gelungen.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Noch vor Weihnachten hat die Datenschutzaufsicht der bayerischen Diözesen eine Ankündigung zum Umgang mit MS-365-Installationen veröffentlicht. Der Diözesandatenschutzbeauftragte kündigt darin seinen Umgang mit Neu- und Bestandsinstallationen an, nachdem die katholische Datenschutzkonferenz dazu keinen Beschluss gefasst hat. Für Neuinstallationen nach dem 21. 12. 2022 wird von einer Beanstandung abgesehen, wenn MS Onedrive dauerhaft abgeschaltet wird und Datenflüsse an Microsoft unterbunden werden. Außerdem müssen Accounts ohne personalisierte Benutzernamen und E-Mail-Postfächer eingerichtet werden. Zulässig sind pseudonymisierte Benutzernamen und Funktionspostfächer. Für Bestandsinstallationen wird für ab April eine Anordnung angekündigt, »wenn feststeht, ob die Bemühungen der USA und der EU um eine Nachfolgeregelung des „privacy shields“ Erfolg hatten«.
Die Diözesandatenschutzbeauftragte für die Südwest-Bistümer Ursula Becker-Rathmair wurde für eine weitere Amtszeit vom 1. Januar 2023 bis zum 31. Dezember 2027 bestellt. Als erste der beteiligten Diözesen hat das Erzbistum Freiburg die Bestellung veröffentlicht.
Die fünf nordrhein-westfälischen Bistümer haben eine öffentlich-rechtliche Vereinbarung zur Regelung der Zusammenarbeit auf verschiedenen Gebieten geschlossen; dazu gehört auch die gemeinsame Datenschutzaufsicht. In der Sache ändert sich für das Katholische Datenschutzzentrum Dortmund dadurch nichts. Während bei den anderen genannten Bereichen der Zusammenarbeit – von der Rundfunkmedienarbeit bis zur Polizeiseelsorge – in den jeweiligen Abschnitten »vereinbart« wird, »dass diese Tätigkeit eine öffentliche Aufgabe ist und daher zwingend von einer juristischen Person des öffentlichen Rechts zu erbringen ist«, wird das (nur) bei der Datenschutzaufsicht anders formuliert: »Gemäß Art. 91 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 i.V.m. §§ 42 ff. der jeweiligen bischöflichen Gesetze über den Kirchlichen Datenschutz (KDG) ist diese Tätigkeit eine öffentliche Aufgabe und daher zwingend von einer juristischen Person des öffentlichen Rechts zu erbringen.« Das überrascht: Art. 91 Abs. 2 DSGVO regelt spezifische Aufsichtsbehörden, ohne ihre Tätigkeit als »öffentliche Aufgabe« zu definieren. Sie müssen lediglich die Anforderungen aus Kapitel VI DSGVO erfüllen. Dort ist zwar von »Behörden« die Rede, nicht aber von bestimmten Rechtsformen, die Aufsicht wird auch dort nicht als »öffentliche Aufgabe« bezeichnet. Das KDG regelt nichts zur Rechtsform und spricht nicht von »öffentlicher Aufgabe«, und auch in der Kommentarliteratur findet sich dieses angeblich zwingende Erfordernis nicht. Die Praxis spricht auch dagegen: Lediglich in NRW und im Südwesten sind die kirchlichen Aufsichten als KdÖR verfasst (in Bayern und im Norden ist es geplant), alle anderen kirchlichen Datenschutzaufsichten, katholische wie evangelische (und erst recht freikirchliche) haben keine öffentlich-rechtliche Rechtsform. Es spricht also einiges dafür, dass das Rechtsformerfordernis für das KDSZ Dortmund nicht aus zwingenden rechtlichen Gründen, sondern wie bei den anderen Feldern aus der Vereinbarung selbst erwächst.
Der aktuelle »Kanon des Monats« des Würzburger Kirchenrechtlers Martin Rehak widmet sich Benedikt XVI. Darin findet sich auch ein Überblick über sein kirchenrechtliches Wirken. Hier einschlägige Themen spielen dabei fast keine Rolle – nur ein Dekret aus der Zeit Ratzingers als Präfekt der Glaubenskongregation verschärft den Persönlichkeitsrechteschutz bei der Beichte: Die Exkommunikation als Tatstrafe zieht sich zu, wer »mittels irgendeines technischen Gerätes selbst aufnimmt oder durch andere aufnehmen lässt, was bei einer (echten oder simulierten) Beichte vom Beichtvater oder vom Pönitenten gesagt wird. Ebenfalls zieht sich jeder die Exkommunikation als Tatstrafe zu, der solche Aufnahmen durch die sozialen Kommunikationsmittel verbreitet«.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Bei Twitter ist nach der Musk-Übernahme Endzeitstimmung. Mit der Unsicherheit, ob’s der Dienst noch länger macht, geht der Boom der dezentralen und datensparsamen Open-Source-Alternative Mastodon einher. Für katholisch.de habe ich mich im (katholischen) Bereich umgehört, wie dort die Umzugsstimmung ist. Mit der steigenden Popularität von Mastodon stellt sich auch die Frage, wie Instanzen datenschutzkonform betrieben werden können. Dazu hat schon vor einem Jahr Christian Brecheis einige Einschätzungen aus seiner Praxis gegeben: Er ist Datenschutzbeauftragter und mit für die Mastodon-Instanz kirche.social zuständig.
Die Caritas-Dienstgeber beschäftigen sich mit dem Urteil des Bundesarbeitsgerichts zum Kündigungsschutz des Datenschutzbeauftragten (Urteil vom 25. August 2022, BAG 2 AZR 225/20) und kommt zu dem Schluss, dass sich die Entscheidung auch auf den betrieblichen Datenschutzbeauftragten gemäß KDG anwenden lässt: »Dieser hat eine vergleichbare Rechtsstellung, wie Datenschutzbeauftragte in weltlichen Einrichtungen, insbesondere greift auch hier gem. § 37 Absatz 4 Satz 1 KDG ein Sonderkündigungsschutz im laufenden Dienstverhältnis ein, so dass eine Kündigung nur aus wichtigem Grund zulässig ist«, heißt es in der Analyse des Urteils.
Das Gutachten zur Einführung einer diözesanen Verwaltungsgerichtsbarkeit im Bistum Münster verzögert sich noch: Der ursprünglich mit der Ausarbeitung beauftragte Emeritus Klaus Lüdicke hat sich mit Bischof Felix Genn überworfen. »Hintergrund waren Meinungsverschiedenheiten zum Umgang mit Vorwürfen gegen einen Priester […], weil ich die von mir eingeleiteten Untersuchungen nicht sofort einstellen wollte«, heißt es in Genns Zwischenbericht. Neu beauftragt wurden Lüdickes Nachfolger Thomas Schüller (einer der wenigen Kanonist*innen, die schon zum kirchlichen Datenschutzrecht publiziert haben) und sein Mitarbeiter Thomas Neumann. Die prüfen nun nicht nur die Möglichkeit, sondern wollen bis Mai auch eine mögliche Ordnung für das Münsteraner kirchliche Verwaltungsgericht vorlegen.
Neues vom DSG-EKD-Kommentar: Der ursprünglich für das zweite Quartal 2022 angekündigte Kommentar ist laut Auskunft des Nomos-Verlags nun erst im Mai 2023 zu erwarten. Pünktlich zur Evaluierungsfrist des DSG-EKD.
In eigener Sache: Im Podcast Spiritualität 9.0 habe ich mit Claus Geißendörfer über kirchlichen Datenschutz und Rechtskultur in der Kirche gesprochen.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Die Google-Fonts-Abmahnungen beschäftigen auch kirchliche Stellen. Die Rechtsabteilung des Bistums Osnabrück warnt vor Schadensersatzforderungen. In der Warnung wird darauf hingewiesen, dass eine dynamische Einbindung dann datenschutzrechtlich problematisch sein kann, »wenn kein zusätzliches Consent-Tool eingesetzt wird«. Von einer Bezahlung wird abgeraten: »Angesichts der Häufung derartiger Abmahnungen handelt es sich um ein unzulässiges und damit rechtsmissbräuchliches Vorgehen«, so die Rechtsabteilung. Im Erzbistum Freiburg weist die Datenschutzabteilung darauf hin, dass das bistumseigene CMS Sesam Google-Fonts lokal und damit datenschutzkonform einbindet – was eine Kanzlei nicht von einer (unbegründeten) Abmahnung abhielt, und auch das Bistum Speyer warnt. Nicht nur Deutschland ist betroffen: Schon im September hatte die österreichische Diözese St. Pölten vor entsprechenden Massenanschreiben einer österreichischen Kanzlei gewarnt.
Ein anderer Google-Dienst ist datenschutzkonform einsetzbar: »Da die Google Search Console keine personenbezogenen Daten verarbeitet, ist die Nutzung dieser Konsole datenschutzrechtlich unbedenklich, so der EKD-Datenschutzbeauftrage auf Nachfrage«, findet man bei Ralf Peter Reimanns Einblicken in die Analyse der Webseiten der Evangelischen Kirche im Rheinland. Damit auch im Backend der Datenschutz gewahrt wird, sollte man allerdings für den Zugang keine personalisierten Accounts verwenden.
In seinem aktuellen Tätigkeitsbericht befasst sich der Thüringer Landesdatenschutzbeauftragte mit der Vorlage von Kontoauszügen beim Jobcenter und der Zulässigkeit von Schwärzungen. Das Schwärzen von einzelnen Buchungen könne dem Antragsteller nicht grundsätzlich verwehrt werden, betont der TLfDI. Grundsätzlich zulässig sei es, wenn die Buchungstexte Angaben über besonders geschützte Daten enthielten: »Dazu zählen Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Beispielsweise kann bei Überweisungen von Mitgliedsbeiträgen an eine Partei oder bei Zahlungen an eine Religionsgemeinschaft die Bezeichnung der Organisation geschwärzt werden«, heißt es im Bericht. Nicht geschwärzt werden solle bei den einzelnen Buchungen aber, dass es sich um Mitgliedsbeiträge oder Spenden handelt.
Bei katholisch.de habe ich über zunehmende Ransomware-Angriffe auf kirchliche Einrichtungen berichtet. Zu Wort kommt neben der Caritas München auch der Vorsitzende der Konferenz der Diözesandatenschutzbeauftragten.
In der aktuellen Ausgabe von Theologie und Glaube hat der Paderborner Kirchenrechtler Rüdiger Althaus einen Beitrag zu geistlichem Missbrauch veröffentlicht. Darin widmet er sich auch der Bedeutung des Datenschutzkanons can. 220 CIC beim Schutz von Persönlichkeitsrechten und Intimsphäre. (Open access, aber nicht direkt verlinkbar, S. 320f.)
In der Regel verhandeln die kirchlichen Datenschutzgerichte ohne mündlichen Termin. Die erste mündliche Verhandlung überhaupt findet an diesem Freitag um 13 Uhr statt. Gegen die Entscheidung des IDSG im Zusammenhang mit der Visitation der Katholischen Integrierten Gemeinde (IDSG 03/2020) wurden Rechtsmittel eingelegt (Aktenzeichen DSG-DBK 02/2022), über die das DSG-DBK jetzt zu entscheiden hat. Obwohl die KDSGO dazu keine Regelung trifft, ist die Verhandlung öffentlich, ich bin als Journalist akkreditiert und werde berichten.
WeiterlesenDie Gemeinsame Datenschutzaufsicht der Bayerischen (Erz-)Diözesen hat ihren Tätigkeitsbericht für 2021/2022 veröffentlicht – immer noch in der alten Konstellation, in der Jupp Joachimski Diözesandatenschutzbeauftragter mit einem Mitarbeiter und ohne rechtlich selbständige Stelle ist. Über den Stand der Errichtung des geplanten Kirchlichen Datenschutzzentrums Bayern in Nürnberg erfährt man nichts.
Ansonsten gibt es vor allem Einblicke in Entscheidungen zu in kirchlichen Einrichtungen verwendeter Software – und deutliche Kritik an der Mehrheits-Rechtsposition der kirchlichen Aufsichten und Datenschutzgerichte zum Bußgeld.
Weiterlesen