Schlagwort-Archive: Konferenz der Diözesandatenschutzbeauftragten

Verwaltung der Aufsicht durch die Beaufsichtigten?

Der Trend geht zur Körperschaft – zwei Diözesandatenschutzaufsichten sind schon als KdÖR verfasst, zwei weitere sollen es werden. Der Status soll die geforderte Unabhängigkeit der Aufsicht sichern. Doch in den Satzungen der bisher errichteten Körperschaften sichern sich die Diözesanbischöfe einiges an Mitsprache – zu viel? In einem Gastbeitrag sieht der Sprecher der Konferenz der Diözesandatenschutzbeauftragten Matthias Ullrich die vom Europarecht verlangte Unabhängigkeit der katholischen Aufsichten in Gefahr.

Brustbild eines Bischofs, der mit seinem rechten Zeigefinger auf etwas zeigt.
(Bildquelle: Maya Reagan auf Unsplash, bearbeitet)
Weiterlesen

Bayern sucht Diözesandatenschutzbeauftragte*n

Im März 2018 hat die Freisinger Bischofskonferenz beschlossen, ein kirchliches Datenschutzzentrum in Nürnberg als Datenschutzaufsicht einzurichten. Statt einer Behörde ist die Einrichtung mittlerweile ein Running Gag – immer noch muss der mittlerweile 80-jährige Diözesandatenschutzbeauftragte mit einem halben Mitarbeiter die sieben bayerischen Diözesen beaufsichtigen.

Die Freisinger Bischofskonferenz suchte mit einer Ausschreibung nach einer Leitung ihrer neuen Datenschutzaufsicht
Auf Anfrage schickte das Erzbistum Bamberg die Ausschreibung zu – während der kurzen Laufzeit war anscheinend Öffentlichkeit keine Priorität.

Nun gibt es aber Hoffnung, dass auch das katholische Bayern eine angemessen ausgestattete Aufsicht bekommt. Auch wenn die Freisinger Pressestelle weiterhin keine konkrete Auskünfte geben will (oder kann), weiß man nun wenigstens durch eine Stellenanzeige für den oder die Diözesandatenschutzbeauftragte*n mehr.

Weiterlesen

Endlich Evaluierung? Jahresausblick 2023 zum kirchlichen Datenschutz

Im kirchlichen Datenschutz passiert ziemlich viel – das hat der Jahresrückblick 2022 gezeigt. Gleichzeitig passiert bei diversen Dauerbrennern auch ziemlich wenig – der Facebook-Crackdown blieb aus, der DSG-EKD-Kommentar ist immer noch nicht veröffentlicht, das KDSZ Bayern lässt immer noch auf sich warten. 2023 könnte das Jahr werden, in dem zumindest einiges davon endlich Wirklichkeit wird.

Eine Glaskugel auf rotem Stoff, links daneben ein Schlüssel
Blick in die Glaskugel. (Bildquelle: Michael Dziedzic/Unsplash)
Weiterlesen

Der oberste bayerische katholische Datenschützer wird 80

Jupp Joachimski wird 80. Als bayerischer Diözesandatenschutzbeauftragter ist er immer noch im Dienst – auch wenn seine Amtszeit eigentlich schon lange abgelaufen ist: Es gibt einfach keinen Nachfolger, und Joachimski macht (wie das Gesetz es befiehlt) einfach weiter. Zum 80. schenkt das Katholische Datenschutzzentrum Dortmund dem Jubilar eine Festschrift in der Reihe »Schriften zum kirchlichen Datenschutz«.

Porträt von Jupp Joachimski mit dem Titel der Festschrift anlässlich seines 80. Geburtstags
Mit der von Steffen Pau, Christine Haumer und Stephanie Melzow herausgegebenen Festschrift »Justiz die Pflicht, Datenschutz die Kür« würdigen die Diözesandatenschutzbeauftragten und Weggefährt*innen den Vorsitzenden Richter am Bayerischen Obersten Landesgericht a.D.

Etwa die Hälfte des Bandes machen Aufsätze zum kirchlichen Datenschutz aus: Neben den anderen Diözesandatenschutzbeauftragten und ihren Mitarbeitenden kommen unter anderem der bayerische Landesdatenschutzbeauftragte Thomas Petri und der Würzburger Kirchenrechtler Martin Rehak zu Wort. Die Aufsätze sind meist historisch und deskriptiv ausgerichtet – sie geben aber auch einige neue, bislang unbekannte Informationen zum kirchlichen Datenschutz. Mehr oder weniger zwischen den Zeilen scheint es auch langsam Gewissheit zu werden, dass das lange geplante Katholische Datenschutzzentrum Wirklichkeit wird.

Weiterlesen

Katholische DSK lässt Einwilligung in schlechtere ToMs zu

Verantwortliche müssen technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten – so steht es in § 26 KDG. Dazu gehören beispielsweise besonders gesicherte Kommunikationskanäle. Lediglich transportverschlüsselte E-Mail fällt damit regelmäßig aus – das ist sicher, aber unpraktisch. In der Praxis stellt sich daher die Frage, ob auf angemessene ToMs durch eine Einwilligung verzichtet werden kann: »Ich willige in eine Zusendung des Untersuchungsbefunds per E-Mail ein«, zum Beispiel.

Ein offenes Vorhängeschloss an einem Riegel
Mit Einwilligung darf das Schloss künftig manchmal ab. (Bildquelle: iMattSmart on Unsplash)

Bislang war die Position der katholischen Datenschutzkonferenz, dass eine Einwilligung in schlechtere ToMs nicht zulässig ist. Die Verpflichtung sei »zwingender Natur und steht mithin nicht zur Disposition der an der Datenverarbeitung Beteiligten«, lautete bislang der Beschluss. Nun hat die Konferenz der Diözesandatenschutzbeauftragten ihren Beschluss revidiert und spricht von einem »Dispositionsrecht zur Einwilligung in die Nichtanwendung von technischen und organisatorischen Maßnahmen«. Der Beschluss der Juni-Sitzung wurde jetzt veröffentlicht.

Weiterlesen

Datenschutz und digitale Ethik beim Katholikentag

In der kommenden Woche findet der 102. Katholikentag in Stuttgart statt. Bürgerrechte und Netzpolitik waren nie die großen Stärken der katholischen Kirche und nie besonderer Schwerpunkt der katholischen Sozialverbände – dennoch gibt es ein paar Veranstaltungen und Angebote aus diesem Bereich, vor allem im Bereich der Ethik der Digitalität.

Logo des 102. Katholikentags in Stuttgart
Weiterlesen

Alles neu macht der Januar – Wochenrückblick KW 1/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Übertragung der Datenschutzaufsicht der Nordkirche an die EKD nimmt Gestalt an: Zum 1. Januar ist der BfD EKD Michael Jacob bereits zum stellvertretenden Beauftragten für die Nordkirche benannt worden; damit vertreten sich die beiden Beauftragten nun wechselweise. Ebenfalls zum 1. Januar übernahm der BfD EKD die Zuständigkeit für die diakonischen Einrichtungen der Nordkirche, der Rest folgt am 1. Oktober 2023.

Ebenfalls zum 1. Januar ist die Personalaktenordnung der Deutschen Bischofskonferenz in Kraft getreten. Der Würzburger Kirchenrechtler Martin Rehak hat das zum Anlass genommen, die Ordnung in seiner Kolumne »Kanon des Monats« zu besprechen. Dabei weist er auf die auch hier schon angesprochen Spannungen zur universalkirchenrechtlichen Geheimarchivierungspflicht hin und sieht Handlungsbedarf: »Vom kanonistischen Standpunkt besehen wäre es an dieser Stelle wünschenswert, wenn die Deutsche Bischofskonferenz nicht nur Normsetzungen veranlasst, die zu höherrangigem Recht augenscheinlich in Spannung stehen, sondern der deutsche Episkopat selbst an höherer Stelle eine klärende Debatte über das rechtspolitische Für und Wider der bischöflichen Geheimarchive als solcher anstieße.«

Die Konferenz der Diözesandatenschutzbeauftragten hat den Leiter des Katholischen Datenschutzzentrums Dortmund Steffen Pau für 2022 zu ihrem Sprecher gewählt. Das war er zuletzt 2019 – es geht also nicht reihum. Turnusgemäß wäre eigentlich der bayerische DDSB Jupp Joachimski an der Reihe gewesen, der zuletzt 2017 Sprecher war. Aber anscheinend hat man zumindest in der katholischen Datenschutzkonferenz die Hoffnung, dass er dieses Jahr in den Ruhestand darf. Würde das Amt systematisch rotieren, wäre der Nord-Beauftragte Mündelein Sprecher geworden (zuletzt 2018) – dessen wohl letzte Amtszeit endet 2024, er könnte also durchaus noch einmal zum Zuge kommen.

Die Sisters of St. Joseph of Peace haben sich Microsoft vorgenommen. Auf der Hauptversammlung brachte Schwester Susan Francois zwei Anträge ein, mit denen der Lobbyismus des Unternehmens mit Blick auf Menschenrechte, antirassistische Werte und Datenschutz kontrolliert und der Verkauf von Gesichtserkennungstechnologie an Behörden verhindert werden sollte. „Als Aktionäre, als Beschäftigte in der Technologiebranche und als Kämpfer für Gerechtigkeit können und müssen wir diese Unternehmen zur Verantwortung ziehen“, erläuterte die Schwester in einem Kampagnenvideo: „Neue Innovationen sollten die Menschenwürde und eine faire und gerechte Gesellschaft unterstützen und nicht die Spaltung und Diskriminierung verstärken.“ Beide Anträge scheiterten.

Weiterlesen

Katholische Datenschutzkonferenz: Neue Regeln für Social Media und Messenger

Die Konferenz der Diözesandatenschutzbeauftragten hat ihren Beschluss »zur Beurteilung von Messenger- und anderen Social Media-Diensten« erneuert. Der schon bei der Konferenz am 15. September gefällte, aber erst jetzt veröffentlichte Beschluss aktualisiert den alten Stand aus dem Sommer 2018.

Verschiedene Messengerdienste unterschiedlichen Erlaubtheitsgrades auf einem Smartphone-Display
Verschiedene Messengerdienste unterschiedlichen Erlaubtheitsgrades auf einem Smartphone-Display. (Photo by Adem AY on Unsplash)

Einen großen Kurswechsel stellt der Beschluss nicht dar, eher eine folgerichtige Fortschreibung. Weiterhin gibt es – anders als beim BfD EKD – keine Bewertung konkreter Dienste. Einen Ausschluss gibt es aber doch: Die KDSA Ost betont explizit, dass Telegram kein zulässiger Messenger-Dienst für dienstliche Kommunikation sei.

Weiterlesen

Noch mehr Probleme bei Brexit-Datentransfers?

Ist es doch nicht so einfach mit dem Brexit und dem katholischen Datenschutzrecht? Nachdem durch das rasche Handeln der Konferenz der Diözesandatenschutzbeauftragten um den Jahreswechsel schon Entwarnung herrschte, macht auf Twitter nun @privideu auf eine Problematik aufmerksam, die bisher nicht im Blick war: »Übrigens: Der Beschl[uss] der Konf[erenz] der Diözesan-DSB der Kath. Kirche vom 4.1.2021 betreffen die Datenverarbeitungen von Auftragsverarbeitern kath. Einrichtungen in [Großbritannien] ist keine zuverlässige Rechtsgrundlage für eine Datenübermittlung nach GB«, heißt es in dem kurzen Thread. Zwar gibt es zur Auftragsverarbeitung im UK einen klaren Beschluss – bei der Datenübermittlung allgemein ist das aber nicht der Fall.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)

Der Einwand scheint stichhaltig: Bis zum Ende der im Brexit-Abkommen vereinbarten Übergangsfrist ist das Vereinigte Königreich datenschutzrechtlich in einem Schwebezustand, den das kirchliche Datenschutzrecht nur schwer fassen kann: »For the duration of the specified period, transmission of personal data from the Union to the United Kingdom shall not be considered as transfer to a third country under Union law«, heißt es im Artikel FINPROV.10A (S. 414) des Abkommens. Das KDG hat Regeln für EU- und EWR-Staaten, Länder mit Angemessenheitsbeschluss und für Drittstaaten – aber natürlich nicht für diesen extra erfundenen Status.

Weiterlesen

Katholische Aufsichten ermöglichen Auftragsverarbeitung im UK – vorerst

Auftragsverarbeitung im Vereinigten Königreich bleibt auch im Geltungsbereich des katholischen Gesetzes über den kirchlichen Datenschutz erst einmal möglich – das stellt der jüngste Beschluss der Konferenz der Diözesandatenschutzbeauftragten sicher. Damit wird die hier bereits angesprochene Ungewissheit im Bereich des KDG aufgelöst.

Für KDG-Anwender*innen brachte das Brexit-Abkommen nämlich ein besonderes Problem mit sich: Explizit legt das katholische Gesetz in § 29 Abs. 11 fest, dass Auftragsverarbeitung nur in EU- und EWR-Ländern, auf Grundlage eines Angemessenheitsbeschlusses oder auf Grundlage einer Feststellung einer Datenschutzaufsicht zulässig ist. Der vom Abkommen gewählte Umweg einer Behandlung des UK, als sei es kein Drittstaat, ist davon nicht abgedeckt.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)
Weiterlesen