Die erste Schwerpunktprüfung des BfD EKD ist beendet und dokumentiert: Am Freitag veröffentlichte die evangelische Aufsicht den Abschlussbericht zur anlasslosen Prüfung in 100 zufällig ausgewählten Kitas in allen Landeskirchen.
Vieles aus dem Abschlussbericht war schon aus dem Zwischenbericht bekannt. Neu ist, dass jetzt auch der verwendete Fragebogen veröffentlicht wurde, der sich zur Selbstprüfung eignet.
WeiterlesenElternbeiräte tragen viel Verantwortung für den guten Kontakt zwischen Eltern und Schule oder Kita. Aber tragen sie auch die datenschutzrechtliche Verantwortung? Die Antwort darauf hat Konsequenzen: Wenn die Mitbestimmungsgremien eigene Verantwortliche sind, müssen Eltervertreter*innen den ganzen Katalog der datenschutzrechtlichen Pflichten erfüllen. Sind sie es nicht, ist die Schule oder Kita auch für ihre Mitbestimmungsgremien verantwortlich – und muss damit auch im Blick haben und regulieren, wie Elternbeiräte arbeiten.
Im kirchlichen Datenschutzrecht wird die Frage nicht einfacher: Bei eigenen Verantwortlichen muss nämlich zusätzlich die Frage beantwortet werden, ob diese Verantwortliche dann auch kirchliche Stellen sind – ob sie also DSGVO oder das jeweilige kirchliche Datenschutzgesetz anwenden müssen.
WeiterlesenDer Datenschutzbeauftragte für Kirche und Diakonie, der für die Landeskirchen Sachsens und Sachsen-Anhalts und die Diakonie Sachsens und Mitteldeutschlands zuständig ist, hat seinen zweiten Tätigkeitsbericht vorgelegt. Die Berichtsjahre 2020 und 2021 decken die ersten beiden Corona-Jahre ab – aber es geht nicht nur um Corona.
Drei große Schwerpunktthemen widmen sich einem großen Datenschutz-Systemaudit, dem Einsatz von Microsoft-Produkten und Sprachassistenten in der Pflege – eine sehr praktische und nicht DSG-EKD-spezifische Schwerpunktsetzung, die auch für Anwender*innen anderer Datenschutzgesetze relevant sein dürfte.
WeiterlesenNach Juli Zeh im letzten Jahr greift der Diözesandatenschutzbeauftragte für die Ostbistümer und den Militärbischof Matthias Ullrich in die Glückskeks-Kiste: »Nicht der Wind, sondern das Segel bestimmt die Richtung« stellt er seinem Tätigkeitsbericht für 2021 voran und setzt damit einen etwas optimistischeren Akzent als im vergangenen Jahr – verbunden mit dem Appell, mit den eigenen Daten und denen anderer gut umzugehen.
Noch einmal ist Bericht über ein Corona-Jahr zu erstatten, das schlägt sich natürlich auch in besonderen Problemkreisen wie Impfstatusabfrage im Beschäftigungsverhältnis nieder. Dazu kommen wie jedes Jahr im Osten klare politische Ansagen zu staatlicher Überwachung und praxisnahe Tipps. Was leider auch hier wieder fehlt: Klare Zahlen zur Aufsichtstätigkeit.
WeiterlesenDas kirchliche Berichtsjahr beginnt mit einer Überraschung: Nicht die Ordensaufsicht, sondern die KDSA Nord eröffnet den Reigen mit ihrem Tätigkeitsbericht für 2021 – im letzten Jahr musste man sich bis Ende Juli gedulden. Allzu viel Konkretes erfährt man aber nicht – der Bericht macht generell einen sehr deskriptiven und zurückhaltenden Eindruck.
Mit dem Bericht wird auch das angekündigte Ergebnis der Querschnittsprüfung in Kindertagesstätten vorgestellt – inklusive des verwendeten Fragebogens. Der dürfte aufgrund seiner allgemeinen Gestaltung auch für alle anderen kirchlichen Stellen nützlich sein.
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Der BfD EKD hat erste Ergebnisse seiner Schwerpunktprüfung in 100 zufällig ausgewählten Kindertagesstätten veröffentlicht. Eine praktische Erkenntnis: Wer den Fragebogen auch auf Nachfrage nicht ausfüllt, gewinnt eine Vor-Ort-Prüfung und bekommt Besuch. Gut etabliert seien mittlerweile die Verpflichtung aufs Datengeheimnis und die Bestellung von örtlichen Datenschutzbeauftragten. Verbesserungsbedarf gebe es bei der Meldung von Datenpannen. Überraschend ist, dass lediglich in einem Viertel der Einrichtungen »private mobile Endgeräte« dienstlich eingesetzt werden, »wobei diese häufig nur zur telefonischen Erreichbarkeit bei Ausflügen oder zur kurzfristigen Kommunikation zu Corona-Zeiten genutzt werden«. Interessant wäre, wie im restlichen Dreiviertel der Einrichtungen solche Kommunikation läuft – gibt es da eine angemessene Ausstattung an Dienstgeräten? Für den Sommer ist eine detaillierte Auswertung angekündigt, dann soll auch der Fragebogen veröffentlicht werden.
Das Referat Datenschutz des Erzbistums Freiburg hat für die Überprüfung des 3G-Status eine Vorlage für Verarbeitungsverzeichnisse zur Verfügung gestellt. Überraschend ist, wie ausführlich darin Informationen dokumentiert werden: Nicht nur wird nach geimpft und genesen differenziert, sondern auch genaue Daten zum Erreichen des vollständigen Impfschutzes und zum Auslaufen des Genesenenstatus erhoben. Hier wäre eine datensparsamere Lösung möglich, insbesondere, da die Rechtsgrundlage für die Erfassung bis zum 19. März befristet ist; eigentlich sollte ein Eintrag »Nachweis geprüft« und nur bei Genesenen ein Datum genügen, schließlich sind die Mitarbeitenden ohnehin verpflichtet, ihren Nachweis mit sich zu führen. Verantwortlich für diesen Umfang ist der Generalvikar: In einem Anwendungserlass wurde diese Detailtiefe verlangt, zudem wird nicht darauf hingewiesen, dass die Vorlage eines Nachweises freiwillig ist (dann greift allerdings die Testpflicht). Die gerade erschienene Handreichung des baden-württembergischen Landesdatenschutzbeauftragten weist darauf hin, dass die Speicherung des Status eine Einwilligung erfordert, zudem sieht er die Differenzierung nach Art des Status in der Regel als nicht erforderlich an. Befremdlich ist auch die Handreichung zur Überprüfung des Impfschutzes des Generalvikars, die eine reine Sichtprüfung (inkl. Herumtippen auf Geräten der Mitarbeitenden) vorsieht und als Papiervariante nur den gelben Impfass und nicht die maschinenlesbare Papierform des EU-Covid-Zertifikats kennt. Die baden-württembergische Corona-Verordnung sieht in § 6a vor, dass Nachweise digital lesbar vorzulegen und grundsätzlich elektronische Anwendungen zur Überprüfung einzusetzen sind – die Landesverordnung ist zwar wohl nicht für die Umsetzung des IFSG (eines Bundesgesetzes) einschlägig, könnte aber dennoch zur Ausfüllung der Gestaltungsfreiräume der Kontrolle genutzt werden.
In eigener Sache: In der aktuellen Ausgabe der BvD-News ist ein Artikel von mir mit einer Einführung in die Besonderheiten des kirchlichen Datenschutzes.
Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Auf den ersten Blick wirkt die Veröffentlichung des Gesetzes über das Verwaltungsverfahren im kirchlichen Datenschutz im Amtsblatt des Bistums Limburg wie ein reiner Routine-Vorgang – schließlich tröpfeln die Inkraftsetzungen Diözese für Diözese seit Monaten langsam ein, beginnend mit Speyer Ende 2020. Dass dieses vom Verband der Diözesen Deutschlands abgestimmte Gesetz in allen Bistümern einzeln in Kraft gesetzt wird (und zwar formal ein jeweils eigenes, das sich mindestens in der Inkraftsetzungsformel unterscheidet), hat kirchenrechtliche Gründe: Der Diözesanbischof ist Gesetzgeber, die Bischofskonferenz und ihr Rechtsträger, der VDD, hat kaum Gesetzgebungskompetenzen – insbesondere nicht im Datenschutzrecht. Ein einheitliches DBK-Gesetz bräuchte ein besonderes Mandat des Heiligen Stuhls (wie die KDSGO). Das macht Arbeit und kostet Flexibilität, wenn alles erst über Rom muss (und aus dem wenigen, was man über die Entstehung der KDSGO weiß, ist das keineswegs eine reine Formalie, was im Vatikan passiert).
Einen großen Vorteil hätte ein einziges statt 27+ parallelen Gesetzen (»+«, weil das Militärbischofsamt und gegebenenfalls jeder einzelne Orden päpstlichen Rechts noch weitere erlassen können) dadurch, dass Rechtsklarheit herrscht. Bisher sind die Verwaltungsverfahrensgesetze zwar vom relevanten Wortlaut her gleich – was sich aber unterscheidet, sind die Geltungsdaten. Das im Juni 2020 vom VDD beschlossene Gesetz trat in manchen Bistümern schon zum 1. Januar 2021 in Kraft, aktuell in Limburg zum 1. Juli 2021 mit Veröffentlichung im August 2021 im Amtsblatt – für jede einzelne Diözese muss also geprüft werden, ob das Gesetz zu einem bestimmten Zeitpunkt schon in Kraft war (und für nach Inkrafttreten erst veröffentlichte Gesetze wäre eigens zu klären, ob sie wirklich schon zum im Gesetz genannten Zeitpunkt oder erst zum Erscheinungstag des Amtsblattes gelten). Die Österreichische Bischofskonferenz hat eine kreative Lösung ohne Rom-Umweg für einheitliche Gesetze gefunden, etwa bei ihrem Decretum Generale über den Datenschutz: »Die Diözesanbischöfe haben dem vorliegenden Decretum Generale über den Datenschutz in der Katholischen Kirche in Österreich und ihren Einrichtungen (Kirchliche Datenschutzverordnung) einzeln ihre Zustimmung im Sinne can. 455 § 4 CIC 1983 gegeben.« (Ob dieser Kanon als Mittel der Gesetzgebung wirklich so tragbar ist, kann man aber auch hinterfragen.)
Über die Schwerpunktprüfungen in Kindergärten war hier schon öfter zu lesen (katholisch in NRW und im Norden, außerdem beim BfD EKD). Kitas sind also gut beraten, den Datenschutz nicht schleifen zu lassen – die Datenschutz-Nord-Gruppe hat jetzt ein eigenes Serviceangebot zu Datenschutz in katholischen Kindertageseinrichtungen online gestellt.
Und dann gibt’s noch einen Job für #TeamKirchlicherDatenschutz: in Frankfurt sucht die katholische Aufsicht eine*n Sachbearbeiter*in für den Bereich Informationstechnologie.
»Corona.« Mit einem Seufzer beginnt das Vorwort des Tätigkeitsberichts des Katholischen Datenschutzzentrums Dortmund für 2020. Die Bericht der Aufsicht für die NRW-Bistümer und den VDD kommt wie die anderen bereits erschienenen Berichte natürlich nicht um das alles beherrschende Thema herum, setzt aber noch einige andere Schwerpunkte: Schrems II und Brexit sind von außen gesetzt. (Und bieten für regelmäßige Leser*innen hier nichts neues.) Eine intensive Auseinandersetzung mit Betroffenenrechten und eine Kita-Querschnittsprüfung sind selbst gewählt.
Im vergangenen Jahr hieß es hier zum Tätigkeitsbericht für 2019 »Die Schonzeit ist vorbei«. Auch in diesem Jahr macht der DDSB deutlich, dass (zum Veröffentlichungszeitraum) nach mehr als drei Jahren KDG nicht mit allzu viel Nachsicht zu rechnen ist. Die großen Bußgeld-Hämmer blieben dennoch aus.
WeiterlesenDer Beauftragte für den Datenschutz der EKD hat seinen Bericht für 2019 und 2020 vorgelegt – der erste, der komplett in den Geltungsbereich des neuen Datenschutzrechts fällt. Mit 64 Seiten ist er für zwei Jahre und eine Zuständigkeit für fast die komplette EKD doch recht kompakt. Dennoch gibt es darin einiges Interessantes über den Datenschutz in der evangelischen Kirche zu erfahren – und viel über die Eigenheiten des von der DSGVO besonders stark abweichenden DSG-EKD.
Natürlich kommt auch der BfD EKD nicht ohne eine Betonung der Relevanz seines Feldes aus – Bonuspunkte sammelt er dadurch, dass er nicht das abgelutschte Bonmot vom Schutz der Menschen, nicht der Daten verwendet. Bei ihm ist es so formuliert: »Auch in Zeiten der Corona-Pandemie brauchen wir in Staat und Kirche einen grundrechtebasierten Datenschutz! Das ›Datenschutzgrundrecht‹ hat sich stets als ein verlässlicher Partner an der Seite der Menschen erwiesen.«
WeiterlesenAbonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.
Der Beauftragte für den Datenschutz der EKD kündigte am Dienstag eine eigene Prüfoffensive an: 100 zufällig ausgewählte evangelische Kindertageseinrichtungen werden in den nächsten Monaten geprüft. Der BfD EKD hat dazu Online-Fragebögen verschickt, der neben allgemeinen Fragen zum rechtlichen und organisatorischen Umfeld auch Fragen zum technischen Umfeld enthalten soll. Ein Fokus soll dabei »Sicherheit von mobilen Endgeräten« sein – das überrascht auf den ersten Blick: Gibt’s davon so viele in Kitas? Auf Nachfrage erläuterte eine Sprecherin des BfD, dass es dabei insbesondere um den Einsatz dienstlicher Endgeräte und Speichermedien sowie im speziellen um Fragen bezüglich der Verwendung privater Endgeräte und Speichermedien zu dienstlichen Zwecken und deren Sicherheit gehen werde. Der Fragebogen des BfD EKD wird auch auf Nachfrage vorerst nicht veröffentlicht, es soll aber ein öffentliches Resümee gezogen werden, eine Veröffentlichung dann wird geprüft.
Ein weiteres Mal zeigt sich, dass Kitas als besonders kritisch erkannt wurden und daher im Fokus der Aufsicht sind. Nach Angaben der Sprecherin wurde dieser Prüfschwerpunkt aufgrund der »besonderen Schutzwürdigkeit von Kindern und der Erkenntnis aus den gemeldeten Datenpannen, dass es einen signifikant hohen Anteil verlorener oder gestohlener mobiler Endgeräte im Bereich von Kindertageseinrichtungen gibt«, gewählt. Dazu hatte sich der BfD EKD schon im vergangenen Jahr geäußert. Im Kirchlichen Datenschutzmodell soll das Beispiel einer Kita als erstes veröffentlicht werden, und auch in den verschiedenen Tätigkeitsberichten tauchen sie regelmäßig auf, meist aufgrund von Datenpannen durch Einbrüche, und sie sind auch bei der KDSA Nord und dem Datenschutzzentrum Dortmund Ziel einer Schwerpunktprüfung.
Die KDSA Ost weist derweil auf den offenen Brief verschiedener Unternehmen und Organisationen der Zivilgesellschaft, darunter der CCC, Google und Facebook, zur Überwachungsoffensive der Großen Koalition zum Ende der Sitzungsperiode hin. Leider ist die KDSA Ost wieder einmal die einzige kirchliche Stimme auf weiter Flur, die ein Sensorium für die Gemeinwohlrelevanz von staatlichen Überwachungsphantasien hat.