Schlagwort-Archive: IT-Sicherheit

Quellen des Ärgers – Wochenrückblick KW 43/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Google-Fonts-Abmahnungen beschäftigen auch kirchliche Stellen. Die Rechtsabteilung des Bistums Osnabrück warnt vor Schadensersatzforderungen. In der Warnung wird darauf hingewiesen, dass eine dynamische Einbindung dann datenschutzrechtlich problematisch sein kann, »wenn kein zusätzliches Consent-Tool eingesetzt wird«. Von einer Bezahlung wird abgeraten: »Angesichts der Häufung derartiger Abmahnungen handelt es sich um ein unzulässiges und damit rechtsmissbräuchliches Vorgehen«, so die Rechtsabteilung. Im Erzbistum Freiburg weist die Datenschutzabteilung darauf hin, dass das bistumseigene CMS Sesam Google-Fonts lokal und damit datenschutzkonform einbindet – was eine Kanzlei nicht von einer (unbegründeten) Abmahnung abhielt, und auch das Bistum Speyer warnt. Nicht nur Deutschland ist betroffen: Schon im September hatte die österreichische Diözese St. Pölten vor entsprechenden Massenanschreiben einer österreichischen Kanzlei gewarnt.

Ein anderer Google-Dienst ist datenschutzkonform einsetzbar: »Da die Google Search Console keine personenbezogenen Daten verarbeitet, ist die Nutzung dieser Konsole datenschutzrechtlich unbedenklich, so der EKD-Datenschutzbeauftrage auf Nachfrage«, findet man bei Ralf Peter Reimanns Einblicken in die Analyse der Webseiten der Evangelischen Kirche im Rheinland. Damit auch im Backend der Datenschutz gewahrt wird, sollte man allerdings für den Zugang keine personalisierten Accounts verwenden.

In seinem aktuellen Tätigkeitsbericht befasst sich der Thüringer Landesdatenschutzbeauftragte mit der Vorlage von Kontoauszügen beim Jobcenter und der Zulässigkeit von Schwärzungen. Das Schwärzen von einzelnen Buchungen könne dem Antragsteller nicht grundsätzlich verwehrt werden, betont der TLfDI. Grundsätzlich zulässig sei es, wenn die Buchungstexte Angaben über besonders geschützte Daten enthielten: »Dazu zählen Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Beispielsweise kann bei Überweisungen von Mitgliedsbeiträgen an eine Partei oder bei Zahlungen an eine Religionsgemeinschaft die Bezeichnung der Organisation geschwärzt werden«, heißt es im Bericht. Nicht geschwärzt werden solle bei den einzelnen Buchungen aber, dass es sich um Mitgliedsbeiträge oder Spenden handelt.

Bei katholisch.de habe ich über zunehmende Ransomware-Angriffe auf kirchliche Einrichtungen berichtet. Zu Wort kommt neben der Caritas München auch der Vorsitzende der Konferenz der Diözesandatenschutzbeauftragten.

In der aktuellen Ausgabe von Theologie und Glaube hat der Paderborner Kirchenrechtler Rüdiger Althaus einen Beitrag zu geistlichem Missbrauch veröffentlicht. Darin widmet er sich auch der Bedeutung des Datenschutzkanons can. 220 CIC beim Schutz von Persönlichkeitsrechten und Intimsphäre. (Open access, aber nicht direkt verlinkbar, S. 320f.)

In der Regel verhandeln die kirchlichen Datenschutzgerichte ohne mündlichen Termin. Die erste mündliche Verhandlung überhaupt findet an diesem Freitag um 13 Uhr statt. Gegen die Entscheidung des IDSG im Zusammenhang mit der Visitation der Katholischen Integrierten Gemeinde (IDSG 03/2020) wurden Rechtsmittel eingelegt (Aktenzeichen DSG-DBK 02/2022), über die das DSG-DBK jetzt zu entscheiden hat. Obwohl die KDSGO dazu keine Regelung trifft, ist die Verhandlung öffentlich, ich bin als Journalist akkreditiert und werde berichten.

Weiterlesen

Kontra aus München – Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten 2021/2022

Die Gemeinsame Datenschutzaufsicht der Bayerischen (Erz-)Diözesen hat ihren Tätigkeitsbericht für 2021/2022 veröffentlicht – immer noch in der alten Konstellation, in der Jupp Joachimski Diözesandatenschutzbeauftragter mit einem Mitarbeiter und ohne rechtlich selbständige Stelle ist. Über den Stand der Errichtung des geplanten Kirchlichen Datenschutzzentrums Bayern in Nürnberg erfährt man nichts.

Titelseite des Tätigkeitsberichts 2021/2022 des bayerischen Diözesandatenschutzbeauftragten
So kennt man den Bericht des bayerischen Diözesandatenschutzbeauftragten: Kompakt, schnörkellos und extrem nah am Ende des Berichtszeitraums, dem 1. Oktober.

Ansonsten gibt es vor allem Einblicke in Entscheidungen zu in kirchlichen Einrichtungen verwendeter Software – und deutliche Kritik an der Mehrheits-Rechtsposition der kirchlichen Aufsichten und Datenschutzgerichte zum Bußgeld.

Weiterlesen

Art.-9-Gründe – Wochenrückblick KW 38/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Am Montag haben sich die Unabhängigen Aufarbeitungskommissionen der Bistümer getroffen. Laut Pressemitteilung der Bischofskonferenz standen auch datenschutzrechtliche Fragen auf der Tagesordnung – weiter ins Detail ging es nicht. Eine Herausforderung dürften die unterschiedlichen Rechtsgrundlagen zur Aktenweitergabe an die Kommissionen sein – die wurden bislang nicht in allen Bistümern geschaffen.

Die Caritas München geht nicht auf die Forderungen ihrer Erpresser ein: Lösegeld werde nach dem Verschlüsselungsangriff nicht gezahlt, betonte der Caritasdirektor Hermann Sollfrank am Montag. Auf Grundlage der vorhandenen Backups soll eine neue IT-Infrastruktur aufgebaut werden.

Das Whitepaper zu Microsoft 365 in Kirche und Wohlfahrt von Althammer & Kill und der SoCura ist in einer zweiten Auflage erschienen. Neben einer Neustrukturierung entlang des Lebenszyklus von MS 365 geht es vor allem auf rechtliche Neuerungen wie die neue Standarddatenschutzklauseln, Transfer Impact Assessment, Videosprechstunde und Telemedizin ein und nimmt einen Abgleich mit neuen Gesetzen aus den Bereichen Telekomunikation und Telemedien vor.

In eigener Sache: Das Webinar zu Besonderheiten im Bereich des kirchlichen Engagements musste leider aus Art.-9-Gründen entfallen. Ein Nachholtermin ist für Anfang Oktober geplant.

Weiterlesen

Hl. Josef von Cupertino, bitte für die Caritas München – Wochenrückblick KW 37/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Münchner Diözesancaritasverband arbeitet erst einmal analog. Er »verzeichnet seit vergangenem Wochenende eine Großstörung zentraler IT-Systeme und ist nach aktuellem Kenntnisstand Opfer eines weitreichenden Cyberangriffs geworden«, heißt es in der Pressemitteilung. Die eigentliche Arbeit sei aber trotzdem gesichert. Viele Details erfährt man nicht – auch wenn der Caritasdirektor beteuert, der Vorfall sei »trotz umfangreicher technischer und organisatorischer Schutzmaßnahmen« eingetreten. Ein Krisenstab wurde eingerichtet, Anzeige ist erstattet. »Wir befinden uns derzeit noch in der Analysephase. Gleichwohl gibt es konkrete Hinweise darauf, dass es den Cyberkriminellen gelungen ist, trotz aller Schutzvorkehrungen Daten aus unseren Systemen abzugreifen. Um welche Daten es sich handelt, können wir zum jetzigen Stand nicht zweifelsfrei und auch aus ermittlungstaktischen Gründen nicht sagen«, so Diözesancaritasdirektor Hermann Sollfrank weiter. Aus Kreisen des Verbands erfährt man, dass die Behebung des Schadens noch länger, möglicherweise Monate dauern werde, und dass es um Erpressung geht. Normalerweise gilt: Kein Backup, kein Mitleid. Bei der Caritas und dem, was sie für Menschen in Notsituationen leistet, darf man aber trotzdem ein Kerzchen mit einer Bitte um Fürsprache des hl. Josef von Cupertino aufstellen. Der Franziskaner darf dank seiner Gabe der Bilokation auch als Schutzpatron der redundanten Datenhaltung gelten.

»Unterwerfungserklärung« ist wohl der ungeschickteste Begriff, den das kirchliche Datenschutzrecht hervorgebracht hat (oder besser: der sich in seiner Anwendung eingebürgert hat). Das wird deutlich in der Erläuterung bei »Althammer & Kill«, die vor naheliegenden Fehldeutungen warnt: »Auch wenn solch eine „Unterwerfung“ vor allem bei größeren Dienstleistern auf einen abwehrenden Reflex stößt, sollte beachtet werden, dass diese Erklärung nicht dazu dient, sich Gott, der Kirche oder einem bestimmten Glauben zu beugen«, heißt es da. Besser sei die Bezeichnung Anerkennungserklärung oder auch nur Zusatzvereinbarung, wird vorgeschlagen. Die Problematik der Vermittlung beim Abschluss von Auftragsverarbeitungsverträgen hat auch der BfD EKD erkannt und sein Muster vor einiger Zeit um gute Erläuterungen ergänzt, was da eigentlich vor sich geht.

Das IDSG kündigt eine Entscheidung (Beschluss vom 25. Mai 2022 – IDSG 01/2021) zu den Anforderungen an eine konkludente Einwilligung zur Datenverarbeitung bei der Übernahme einer Arztpraxis an. Konkludente Einwilligungen kamen bereits in Entscheidungen des kirchlichen Datenschutzgerichts vor, aber so zentral, wie der Leitsatz verspricht, noch nicht. Insbesondere eine klare Darlegung an die Anforderungen, wie sie in der Ankündigung versprochen wird, dürfte sehr hilfreich sein.

In eigener Sache: Am 21. September um 18 Uhr leite ich bei der Stiftung Datenschutz ein Webinar zu Besonderheiten im Bereich des kirchlichen Engagements – die Teilnahme ist kostenlos.

Weiterlesen

Avicenna-Studienwerk von Software-Lücke betroffen – kein Datenverlust

Vor zwei Wochen hatte die Berliner Landesdatenschutzbeauftragte in ihrem Tätigkeitsbericht den Fall einer Lücke in Software für Stipendienbewerbungen geschildert. Laut Bericht waren vier Studienstiftungen betroffen. Da durch die Ausrichtungen der nicht namentlich genannten Stiftungen auch Daten zur Religionszugehörigkeit erhoben wurden, ist davon auszugehen, dass auch eine der Stiftungen von Religionsgemeinschaften betroffen war. Nun ist klar, um welche es sich handelt: Auf Anfrage teilte das Avicenna-Studienwerk mit, dass dort die fragliche Software eingesetzt wurde. Ausgenutzt wurde die Sicherheitslücke aber nicht.

Logo des Avicenna-Studienwerks auf einem Standbild des Imagefilms des Werks
Das Avicenna-Studienwerk ist das jüngste der 13 vom Bundesministerium für Bildung und Forschung anerkannten Begabtenförderungswerke in Deutschland. Es fördert begabte und gesellschaftlich engagierte muslimische Studierende und Doktoranden aller Fachrichtungen durch die Vergabe von Stipendien. (Bildquelle: Screenshot Avicenna-Studienwerk)

»Die Herstellerfirma informierte uns unmittelbar über die Sicherheitslücke und deaktivierte die Webseite. Erst nach der Beseitigung der Sicherheitslücke wurde das Bewerbungsportal wieder freigeschaltet«, teilte das muslimische Begabtenförderungswerk auf Anfrage mit. Die zuständige niedersächsische Landesdatenschutzbeauftragte sei durch das in Osnabrück ansässige Werk unmittelbar über den Vorfall informiert worden. »Ein externer Zugriff konnte nach intensiver Prüfung von allen Seiten ausgeschlossen werden. Eine weitere Veranlassung wurde seitens der Landesdatenschutzbehörde für nicht notwendig erachtet«, so das Werk weiter.

Die Berliner Datenschutzbeauftragte hatte mitgeteilt, dass sie Ende August 2021 einen Hinweis erhalten habe, dass durch eine Sicherheitslücke in einer Software für Stipendienportale der Zugriff auf eine große Menge personenbezogener Daten verschiedener Studienstiftungen möglich sei. »Die unsichere Software wurde hauptsächlich zum Bereitstellen von Stipendienbewerbungsportalen genutzt, wo eine große Menge von zum Teil höchstpersönlichen Daten gespeichert werden. Aufgrund der jeweiligen Ausrichtung der betroffenen Studienstiftungen waren zudem besondere Kategorien personenbezogener Daten, wie Religionszugehörigkeit oder Daten zur politischen Überzeugung und Weltanschauung betroffen«, hieß es im Bericht. Die Sicherheitslücke, die auf die falsche Nutzung eines Frameworks zurückging, sei mittlerweile behoben.

Die anderen drei konfessionellen und religiösen Begabtenförderungswerke, die aus Mitteln des Bundesbildungsministeriums gefördert wurden, waren nicht betroffen. Schon vor zwei Wochen teilten sowohl das katholische Cusanuswerk wie das Evangelische Studienwerk Villigst mit, die Software nicht eingesetzt zu haben. Mittlerweile hat sich auch das Ernst-Ludwig-Ehrlich-Studienwerk zu der Sicherheitslücke geäußert: Wie die christlichen Studienwerke setzt auch das jüdische Begabtenförderungswerk die bemängelte Software nicht ein und ist daher nicht betroffen.

Stiftungspanne – Wochenrückblick KW 25/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

In ihrem frisch erschienenen Tätigkeitsbericht schildert die Berliner Datenschutzbeauftragte einen Fall einer Sicherheitslücke in einer Software für Stipendienportale. Durch die Ausnutzung der Schwachstellen soll es möglich gewesen sein, ein Nutzungskonto anzulegen, die Datenbank abzufragen, hochgeladene Dokumente herunterzuladen und ein Nutzungskonto mit Adminrechten auszustatten. Laut Bericht waren vier Studienstiftungen betroffen. Da durch die Ausrichtungen der nicht namentlich genannten Stiftungen auch Daten zur Religionszugehörigkeit und zur Nähe zu politischen Parteien erhoben wurden, ist davon auszugehen, dass auch eine der Stiftungen von Religionsgemeinschaften betroffen ist. Auf Anfrage teilten das katholische Cusanuswerk und das Evangelische Studienwerk Villigst mit, dass sie von keiner Sicherheitslücke betroffen waren. Das jüdische Ernst-Ludwig-Ehrlich-Studienwerk und die muslimische Avicenna-Studienstiftung haben auf die Anfrage noch nicht geantwortet. (Angefragt wurden nur diese vier, die aus Mitteln des Bildungsministerium finanziert werden.)

Mit Transparenz tut sich die römisch-katholische Kirche schwer – gerade, was ihre Gerichtsbarkeit angeht. Immerhin: Die Datenschutzgerichte veröffentlichen Entscheidungen – aber nur ausgewählte, freiwillig und ohne Rechtspflicht. Daher hat die Gesellschaft Katholischer Publizisten (GKP), in der ich mich im Vorstand engagiere, sich erneut für mehr Transparenz in der kirchlichen Justiz ausgesprochen. Anlass ist die Ankündigung des Münsteraner Bischofs Felix Genn, schon vor der Genehmigung einer bundesweiten kirchlichen Verwaltungsgerichtsbarkeit durch den Heiligen Stuhl eine vorläufige diözesane einzurichten. »Die Kirche darf in ihrem eigenen Rechtssystem nicht hinter Selbstverständlichkeiten des Rechtsstaats zurückbleiben, wenn sie Vertrauen zurückgewinnen will. Ungehinderte Gerichtsberichterstattung ist ein wesentliches Element jeder freiheitlich-rechtsstaatlichen Ordnung«, sagt der GKP-Vorsitzende Joachim Frank. Gefordert sind öffentliche mündliche Verhandlungen und Urteilsverkündungen, die Veröffentlichung von Urteilen sowie Informations- und Auskunftsrechte für die Medien.

Weiterlesen

TTDSG, Jubiläen und Böhmermann – Wochenrückblick KW 50/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der BfD EKD hat eine FAQ-Liste zum TTDSG veröffentlicht, die einen allgemeinen Blick auf die neuen Verpflichtungen richtet. Ob das TTDSG überhaupt für alle kirchlichen Einrichtungen gilt, ist aufgrund des § 1 Abs. 3 TTDSG geregelten Anwendungsbereichs nicht ganz offensichtlich; dort ist die Rede von »alle[n] Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen«; die Formulierung sollte nach Auskunft des federführenden Wirtschaftsministeriums jedoch lediglich das Marktortprinzip festlegen, nicht den Anwendungsbereich auf Körperschaften einschränken, die »Unternehmen« im engeren Sinn sind. Der BfD EKD bejaht daher auch die Anwendung für kirchliche Stellen: »Ja, das TTDSG gilt auch für kirchliche und diakonische Stellen, soweit sie als Anbieter von Telekommunikationsdiensten oder als Anbieter von Telemediendiensten wie z.B. Websitebetreiber auftreten.«

Bei den Informationspflichten scheint einiges im Argen zu liegen – kein Wunder: Viel mehr als Datenschutzhinweise mit Textbausteinen auf Webseiten bekommt man oft nicht zu sehen. Dazu hat sich die KDSA Ost geäußert. »Merke!«, heißt es dort: »Immer wenn personenbezogene Daten erhoben werden, muss die Informationspflicht erfüllt werden.« Von den wenigen Ausnahmen solle nur zurückhaltend Gebrauch gemacht werden – sicherheitshalber werden die Ausnahmen auch gar nicht genannt. Die werden grundsätzlich aus den Ausnahmen der §§ 32f. BDSG geschöpft, allerdings wie üblich mit einer kirchlichen Anpassung: Die Informationspflicht besteht nicht, »wenn durch die Auskunft die Wahrnehmung des Auftrags der Kirche gefährdet wird« (§ 15 Abs. 5 lit. c KDG – ohne die Interessensabwägung aus § 32 Abs. 1 Nr. 3 BDSG) – in diesen Fällen besteht auch kein Auskunftsrecht (§ 17 Abs. 6 lit. a) KDG).

Am Fachbereich Theologie der Universität Frankfurt fand eine Tagung zu Primärquellen in der Missbrauchsforschung statt. Ein Schwerpunkt war dabei auch der Umgang mit kirchlichen Archiven. Einen kurzen Tagungsbericht gibt es dazu von der KNA bei katholisch.de mit Blick auf Bistumsarchive, die oft nicht vollständig sind. Über den Vortrag der Kirchenhistorikerin Alexandra von Teuffenbach zu ihren Erfahrungen bei der Aufarbeitung der Missbrauchsvorwürfe gegen den Schönstatt-Gründer Josef Kentenich und zur Zugänglichkeit der Vatikan-Archive habe ich eine Meldung veröffentlicht.

Das Bistum Rottenburg-Stuttgart hat seine Jubiläumsordnung aktualisiert, die neben der Veröffentlichung von Jubiläen auch die von Sakramentenspendungen und anderen Ereignissen regelt. Das gibt es in einigen Bistümern – aber so umfassend wie hier wohl selten: Grundsätzlich veröffentlicht werden dürfen neben Dienst- und Weihejubiläen in kircheneigenen Medien Geburt, Taufe, Erstkommunion, Firmung, Trauung sowie Alters- und Ehejubiläen von Mitgliedern der Kirchengemeinden.

Die Log4Shell-Sicherheitslücke hat auch einige kirchliche Aufsichten zu Warnungen und Hinweise auf die Informationen des BSI bewogen. Das Pro-Magazin hat dazu noch einige Anbieter von Standardsoftware für Gemeinden angefragt, die für ihre Dienste Entwarnung geben können.

Für katholisch.de habe ich über die neuen Kriterien der katholischen Datenschutzkonferenz für Messenger berichtet. Das Bistum Würzburg teilte mir dazu mit, dass für den Bistumskanal ein Umstieg von Telegram auf Signal geplant sei: „Der Abschied von Telegram geschieht vor allem aufgrund der Kultur Telegrams, die nicht nur seitens des Herstellers undurchsichtig ist, sondern auch von Nutzern für radikale, gesetzeswidrige und gefährliche Inhalte genutzt wird“, so der Sprecher.

»Comminuite, perdite, publicate, moderate Facebook!«, forderte Jan Böhmermann in seiner letzten Sendung und lässt auf der umfangreichen Seite zur Sendung (unter anderem mit Interviews mit Frances Haugen und Max Schrems) eigentlich nur die Frage offen, ob es nicht eigentlich »Facebookem« heißen müsste. Das Video zum Facebook-Requiem wurde in der Kölner Kirche St. Engelbert gedreht – der Pfarrer fand’s nach Lesen des Drehbuchs unterstützenswert, hat er mir erzählt.

Weiterlesen

3G und der Bär – Wochenrückblick KW 49/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die KDSA Ost befasst sich mit smarten Weihnachtsgeschenken. Das hat zwar nicht direkt etwas mit kirchlichem Datenschutz zu tun, aber allein wegen der sehr liebevoll gemachten selbstgebastelten Illustration mit einem aufgesmarteten Teddybär (die Antenne! DIE CLOUD OMG DIE CLOUD!) lohnt sich der Link. Die Checkliste, wie man geschenkte Technik so in Gang setzt, ist auch sehr nützlich. Aber vor allem: der Bär!

Auch in dieser Woche (allerdings auf den 24. November rückdatiert) sind bei der KDSA Ost Hinweise zu 3G am Arbeitsplatz erschienen. Dort wird noch einmal der Grundsatz der Datensparsamkeit betont: »Kann auf Namenslisten verzichtet werden, sollte man dies auch tun. Kann darauf verzichtet werden, den Impf- und Genesenenstatus zu speichern, sollte auch hierauf verzichtet werden.« Das sollte man auch in Freiburg nochmal lesen.

Die unabhängige Missbrauchsstudie der Schweizer Kirche wird konkreter, in dieser Woche wurde die Vertragsunterzeichnung mit der Uni Zürich verkündet. Bei kath.ch hat Raphael Rauch einen Blick auf den geplanten Umgang mit Persönlichkeitsrechten geworfen: »Missbrauchsstudie: Welche Kirchenvertreter müssen nicht anonymisiert werden?«

Die aktuelle Ausgabe der Zeitschrift »Kirche & Recht« hat einen Datenschutzschwerpunkt: Rüdiger Althaus schreibt über die neue DBK-Personalaktenordnung, Steffen Pau und Stephanie Melzow vom KDSZ Dortmund über das Auskunftsrecht nach § 17 KDG in der aufsichtsrechtlichen Praxis und Bernhard Fessler über erste Erfahrungen aus dem katholischen Datenschutzgericht – laut Abstract basiert dieser Beitrag wohl auf dem hier bereits besprochenen Vortrag aus dem Mai.

Weiterlesen

Nicht allzu zentralisiert – Wochenrückblick KW 26/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wird die evangelische Datenschutzaufsichtslandschaft noch weiter zentralisiert? Bisher gibt es neben dem BfD EKD noch drei weitere Aufsichten: Für die Landeskirche der Pfalz, für die Nordkirche und den Datenschutzbeauftragten für Kirche und Diakonie in Sachsen und Sachsen-Anhalt. Im frisch erschienenen Tätigkeitsbereit des BfD EKD wird angekündigt, dass »weitere Gliedkirchen und diakonische Landesverbände Interesse haben, die Datenschutzaufsicht in absehbarer Zeit auf die EKD zu übertragen«. Bekannt war das bisher nur von der Landeskirche der Pfalz. Anfragen bei den anderen Landeskirchen und Diakonien haben ergeben, dass es wohl vorerst auch dabei bleibt: die Diakonie und die Landeskirche Sachsens sowie die Landeskirche Anhalts teilen auf Anfrage mit, dass keine Übertragung geplant sei; Antworten aus der Diakonie Mitteldeutschland und der Nordkirche (die allerdings ohnehin schon eng mit dem BfD EKD verbunden ist) stehen noch aus.

Das Bistum Augsburg verbietet freie WLAN-Hotspots an kirchlichen Gebäuden. Schuld ist (natürlich) der Datenschutz, ergänzt mit Jugendschutz. Überzeugend ist das nicht – auf evangelischer Seite gibt’s Godspot, Freifunk existiert, die EU fördert kommunale offene Netze. Angeführt wird § 8 Abs. 8 S. 1 KDG, demzufolge personenbezogene Daten Minderjähriger, denen »elektronisch eine Dienstleistung oder ein vergleichbares anderes Angebot von einer kirchlichen Stelle gemacht wird«, nur bei Über-16-Jährigen verarbeitet werden dürfen. Würde man diese Interpretation durchhalten, hieße das auch: Alle kirchlichen Angebote im Netz brauchten eine Alterskontrolle; das sieht offensichtlich niemand so, auch nicht das Bistum Augsburg, dessen Webseite und Newsletter ohne Alterskontrolle genutzt werden können, obwohl auch dort (Meta-)Daten der Besucher*innen verarbeitet werden. Wenn man wollte, ginge freies WLAN – mit guten Argumenten, wenn man sich von den genannten Anbietern und Initiativen beraten ließe. Datenschutz wird hier wieder einmal als Verhinderer stark gemacht – das kommentiere ich heute auch bei katholisch.de: »Es ginge also – rechtssicher, datensparsam, frei und offen. Dazu müssten aber die kirchlichen Verantwortungsträger die Chancen des Netzes für die Kirche und seine Bedeutung fürs Gemeinwohl sehen – und nutzen wollen.«

Weiterlesen

Landschaftskunde – Wochenrückblick KW 21/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der dritte Geburtstag der DSGVO wurde in den Medien breit gewürdigt mit vielen Einschätzungen zum aktuellen Stand – oft mit dem Tenor: Verordnung gut, Durchsetzung na ja. Sehr still war es um den dritten Geburtstag des KDG. (Die Woche verzeichnet sogar – wann gab es das zuletzt? – keine einzige amtliche kirchliche Veröffentlichung zum Datenschutz.) Immerhin die Vorsitzende der Konferenz der Diözesandatenschutzbeauftragten Ursula Becker-Rathmair war zum Interview auf katholisch.de bereit. Sie berichtet, dass die Themen vom Anfang sich gewandelt haben: Anstatt um Kinderfotos geht es jetzt um Spezialthemen wie Fotos zur Wunddokumentation bei nichteinwilligungsfähigen Patient*innen. Und noch ein weiteres wichtiges Thema spricht sie an: Die Frage nach gemischten Trägerschaften. Bisher ist es völlig ungeklärt, was passiert – etwa bei gemeinsamer Verantwortlichkeit oder Joint ventures –, wenn mehrere Datenschutzgesetze potentiell anwendbar sind.

Die DSGVO hat zum Geburtstag ein großartiges Geburtstagsgeschenk von Winfried Veil und Stefan Heinemann bekommen: Die »Dataprotection Landscape«, ein Tool, das das weite Feld Datenschutz systematisch und im Kontext erschließt, oder wie Veil es nennt: ein Koordinatensystem des Datenschutzes. Die Kachel zur Öffnungsklausel Artikel 91 ist noch etwas karg. Ich habe aber schon meine Unterstützung angeboten.

Der frisch erschienene Tätigkeitsbericht der niedersächsischen Datenschutzbeauftragten berichtet (neben den hier schon verhandelten Neuigkeiten zum Konflikt um die Datenschutzrichtlinie der SELK) über eine reichlich makabre Missionierungsstrategie: »Ein Verein, der sich auf christlichen Beistand in schwerer Zeit spezialisiert hatte, wertete die Traueranzeigen der örtlichen Tagezeitung aus und glich diese mit dem Telefonbuch ab. An die so ermittelte Adresse wurde dann ein Brief mit Trauerrand versandt, der eine Druckschrift mit Missionierungscharakter beinhaltete sowie eine vorgedruckte Postkarte zur Anforderung von Büchern, Schriften, Bibelfernkursen und CDs.« Beim Verfahren ging es nur um die Auskunftsrechte – ob damit stillschweigend auch gesagt ist, dass es für diese Datenakquise eine Rechtsgrundlage gibt, ist unklar.

Außerdem hat sich das Datenschutzblog der Kanzlei Reichert und Reichert das hier bereits besprochene Kirchliche Datenschutzmodell angeschaut und kommt zu ähnlichen Schlüssen wie bei Erscheinen hier vertreten: »Herausgekommen ist ein komplexes Modell, das zum einen den Aufbau und häufig auch das Wording und die Struktur des Standard-Datenschutzmodells übernimmt, auf der anderen Seite durch den direkten Bezug auf die beiden kirchlichen Datenschutzgesetze und deren gewohnten Begrifflichkeiten das Verständnis und die Übertragung in die Praxis kirchlicher Datenschutzbeauftragter durchaus fördern mag.«

Weiterlesen