Schlagwort-Archive: Konferenz der Diözesandatenschutzbeauftragten

Alles neu macht der Januar – Wochenrückblick KW 1/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Übertragung der Datenschutzaufsicht der Nordkirche an die EKD nimmt Gestalt an: Zum 1. Januar ist der BfD EKD Michael Jacob bereits zum stellvertretenden Beauftragten für die Nordkirche benannt worden; damit vertreten sich die beiden Beauftragten nun wechselweise. Ebenfalls zum 1. Januar übernahm der BfD EKD die Zuständigkeit für die diakonischen Einrichtungen der Nordkirche, der Rest folgt am 1. Oktober 2023.

Ebenfalls zum 1. Januar ist die Personalaktenordnung der Deutschen Bischofskonferenz in Kraft getreten. Der Würzburger Kirchenrechtler Martin Rehak hat das zum Anlass genommen, die Ordnung in seiner Kolumne »Kanon des Monats« zu besprechen. Dabei weist er auf die auch hier schon angesprochen Spannungen zur universalkirchenrechtlichen Geheimarchivierungspflicht hin und sieht Handlungsbedarf: »Vom kanonistischen Standpunkt besehen wäre es an dieser Stelle wünschenswert, wenn die Deutsche Bischofskonferenz nicht nur Normsetzungen veranlasst, die zu höherrangigem Recht augenscheinlich in Spannung stehen, sondern der deutsche Episkopat selbst an höherer Stelle eine klärende Debatte über das rechtspolitische Für und Wider der bischöflichen Geheimarchive als solcher anstieße.«

Die Konferenz der Diözesandatenschutzbeauftragten hat den Leiter des Katholischen Datenschutzzentrums Dortmund Steffen Pau für 2022 zu ihrem Sprecher gewählt. Das war er zuletzt 2019 – es geht also nicht reihum. Turnusgemäß wäre eigentlich der bayerische DDSB Jupp Joachimski an der Reihe gewesen, der zuletzt 2017 Sprecher war. Aber anscheinend hat man zumindest in der katholischen Datenschutzkonferenz die Hoffnung, dass er dieses Jahr in den Ruhestand darf. Würde das Amt systematisch rotieren, wäre der Nord-Beauftragte Mündelein Sprecher geworden (zuletzt 2018) – dessen wohl letzte Amtszeit endet 2024, er könnte also durchaus noch einmal zum Zuge kommen.

Die Sisters of St. Joseph of Peace haben sich Microsoft vorgenommen. Auf der Hauptversammlung brachte Schwester Susan Francois zwei Anträge ein, mit denen der Lobbyismus des Unternehmens mit Blick auf Menschenrechte, antirassistische Werte und Datenschutz kontrolliert und der Verkauf von Gesichtserkennungstechnologie an Behörden verhindert werden sollte. „Als Aktionäre, als Beschäftigte in der Technologiebranche und als Kämpfer für Gerechtigkeit können und müssen wir diese Unternehmen zur Verantwortung ziehen“, erläuterte die Schwester in einem Kampagnenvideo: „Neue Innovationen sollten die Menschenwürde und eine faire und gerechte Gesellschaft unterstützen und nicht die Spaltung und Diskriminierung verstärken.“ Beide Anträge scheiterten.

Weiterlesen

Katholische Datenschutzkonferenz: Neue Regeln für Social Media und Messenger

Die Konferenz der Diözesandatenschutzbeauftragten hat ihren Beschluss »zur Beurteilung von Messenger- und anderen Social Media-Diensten« erneuert. Der schon bei der Konferenz am 15. September gefällte, aber erst jetzt veröffentlichte Beschluss aktualisiert den alten Stand aus dem Sommer 2018.

Verschiedene Messengerdienste unterschiedlichen Erlaubtheitsgrades auf einem Smartphone-Display
Verschiedene Messengerdienste unterschiedlichen Erlaubtheitsgrades auf einem Smartphone-Display. (Photo by Adem AY on Unsplash)

Einen großen Kurswechsel stellt der Beschluss nicht dar, eher eine folgerichtige Fortschreibung. Weiterhin gibt es – anders als beim BfD EKD – keine Bewertung konkreter Dienste. Einen Ausschluss gibt es aber doch: Die KDSA Ost betont explizit, dass Telegram kein zulässiger Messenger-Dienst für dienstliche Kommunikation sei.

Weiterlesen

Noch mehr Probleme bei Brexit-Datentransfers?

Ist es doch nicht so einfach mit dem Brexit und dem katholischen Datenschutzrecht? Nachdem durch das rasche Handeln der Konferenz der Diözesandatenschutzbeauftragten um den Jahreswechsel schon Entwarnung herrschte, macht auf Twitter nun @privideu auf eine Problematik aufmerksam, die bisher nicht im Blick war: »Übrigens: Der Beschl[uss] der Konf[erenz] der Diözesan-DSB der Kath. Kirche vom 4.1.2021 betreffen die Datenverarbeitungen von Auftragsverarbeitern kath. Einrichtungen in [Großbritannien] ist keine zuverlässige Rechtsgrundlage für eine Datenübermittlung nach GB«, heißt es in dem kurzen Thread. Zwar gibt es zur Auftragsverarbeitung im UK einen klaren Beschluss – bei der Datenübermittlung allgemein ist das aber nicht der Fall.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)

Der Einwand scheint stichhaltig: Bis zum Ende der im Brexit-Abkommen vereinbarten Übergangsfrist ist das Vereinigte Königreich datenschutzrechtlich in einem Schwebezustand, den das kirchliche Datenschutzrecht nur schwer fassen kann: »For the duration of the specified period, transmission of personal data from the Union to the United Kingdom shall not be considered as transfer to a third country under Union law«, heißt es im Artikel FINPROV.10A (S. 414) des Abkommens. Das KDG hat Regeln für EU- und EWR-Staaten, Länder mit Angemessenheitsbeschluss und für Drittstaaten – aber natürlich nicht für diesen extra erfundenen Status.

Weiterlesen

Katholische Aufsichten ermöglichen Auftragsverarbeitung im UK – vorerst

Auftragsverarbeitung im Vereinigten Königreich bleibt auch im Geltungsbereich des katholischen Gesetzes über den kirchlichen Datenschutz erst einmal möglich – das stellt der jüngste Beschluss der Konferenz der Diözesandatenschutzbeauftragten sicher. Damit wird die hier bereits angesprochene Ungewissheit im Bereich des KDG aufgelöst.

Für KDG-Anwender*innen brachte das Brexit-Abkommen nämlich ein besonderes Problem mit sich: Explizit legt das katholische Gesetz in § 29 Abs. 11 fest, dass Auftragsverarbeitung nur in EU- und EWR-Ländern, auf Grundlage eines Angemessenheitsbeschlusses oder auf Grundlage einer Feststellung einer Datenschutzaufsicht zulässig ist. Der vom Abkommen gewählte Umweg einer Behandlung des UK, als sei es kein Drittstaat, ist davon nicht abgedeckt.

Der Union Jack flattert vor bewölktem Himmel auf dem Kirchturm von Great St. Mary's in Cambridge
Bildquelle: »Union Jack on Great St. Mary’s« (CC BY 2.0) by James Bowe (zugeschnitten)
Weiterlesen

Die Woche im kirchlichen Datenschutz – KW31

Die Woche endet mit einer Entscheidung des Beauftragten für den Datenschutz der EKD, die vieles erschweren dürfte: Das Medienprivileg (§ 51 DSG-EKD) gilt seiner Auffassung nach nicht für den Gemeindebrief. Es mangle am Zweck, »Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten« und dem unbestimmten Empfängerkreis. Das sieht die Deutsche Bischofskonferenz nur zum Teil so, die in ihrer schon lange veröffentlichten FAQ-Liste festhält, dass grundsätzlich auch Pfarrbriefe dem Medienprivileg (§ 55 KDG) unterfallen können: »Hier dürfte es entscheidend darauf ankommen, ob diese sich im Einzelfall lediglich an die Gemeindemitglieder oder an einen öffentlichen, unbestimmbaren Personenkreis richten.«

Kommende Woche Freitag findet das digitale Barcamp Bonn statt. Ich biete eine Session an: So funktioniert Datenschutz: Einführung in die DSGVO für Anfänger*innen (so grundsätzlich gehalten, dass es auch für Anwender*innen der kirchlichen Datenschutzgesetze nützlich ist). Anmeldungen für das digitale Barcamp sind noch möglich.

Eine Datenschutzschulung speziell für das Gesetz über den kirchlichen Datenschutz (KDG) bietet das Erzbistum München und Freising auf seiner Lernplattform an. Es richtet sich zwar an Mitarbeiter*innen und Ehrenamtliche der Diözese, die Anmeldung ist aber allen möglich. Durchaus nützlich, ein Zertifikat gibt’s auch, im Detail aber problematisch, wenn es zu Passworten nur die Tipps gibt, sie nicht im Browser (warum eigentlich?) und auf Post-its zu speichern und sie regelmäßig zu wechseln (spätestens mit der letzten Fassung des BSI-Grundschutz-Kompendiums ist dieser Tipp veraltet und schon länger als Sicherheitsrisiko bekannt), aber keine sichere Alternative zum Post-it präsentiert wird.

Wie Auftragsverarbeitung nach dem KDG funktioniert, steht im Datenschutzblog von Reichert und Reichert. Das Fazit: »Die Zusammenarbeit zwischen kirchlichen Rechtsträgern und nicht-kirchlichen Stellen kann im Datenschutz für beide Seiten herausfordernd sein. Die Einbeziehung des für die meisten Auftragsverarbeiter unbekannten KDG stößt auf Unsicherheiten, vielfach auch auf die fehlende Bereitschaft, sich mit dem Datenschutzrecht des Auftraggebers zumindest überblicksartig zu beschäftigten.« Im Artikel geht es nur um die katholische Variante, die dank einer sehr liberalen Beschlusslage der Konferenz der Diözesandatenschutzbeauftragten sehr einfach umzusetzen ist. Evangelisch wird’s etwas schwerer: Im Gegensatz zum KDG fordert das DSG-EKD explizit, dass sich Auftragsverarbeiter*innen der kirchlichen Datenschutzaufsicht unterwerfen (§ 30 Abs. 5 Satz 3 DSG-EKD).

Weiterlesen