Schlagwort-Archive: Microsoft

Freikirche auf dem Kieker – Wochenrückblick KW 3/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das katholische Datenschutzzentrum Dortmund gibt Winke dazu, ob und wie Microsoft 365 eingesetzt werden kann – allerdings ohne Patentlösungen: »Damit Microsoft die Daten nicht mehr zu eigenen Zwecken verarbeiten kann, müsste der Zugriff auf die personenbezogenen Daten vom Verantwortlichen unterbunden werden. Neben der Nutzung pseudonymisierter Nutzerkonten könnte auch die Nutzung des Cloud-Speichers ausgeschlossen werden«, heißt es in dem Beitrag. Der Einzelfall sei zu betrachten und in einer Datenschutzfolgenabschätzung zu prüfen. Die katholische NRW-Aufsicht geht damit in eine ähnliche Richtung wie die bayerische, aber mit weniger konkreten Ansagen.

Nach dem Erfolg gegen die Selbständige Evangelisch-Lutherische Kirche hat die niedersächsische Landesdatenschutzbeauftragte eine weitere Religionsgemeinschaft im Visier: Auf Anfrage teilte die LfD Niedersachsen mit, dass ein weiteres Prüfverfahren gegen eine Freikirche gemeinsam mit einer weiteren Aufsichtsbehörde derzeit vorbereitet wird. Weitere Angaben können angesichts des frühen Vorbereitungsstadiums noch nicht gemacht werden, so der Sprecher. Mit Blick auf das Urteil des VG Hannover, mit dem das Datenschutzrecht der SELK verworfen wurde, zeigte sich die Aufsicht zufrieden. »Aus Sicht unserer Behörde ist es sehr zu begrüßen, dass eine Vielzahl an wichtigen Auslegungsfragen zu Art. 91 DS-GVO nun erstmals gerichtlich entschieden wurde. Wir gehen davon aus, dass dieses Urteil über den konkreten Einzelfall hinaus auch für andere (Frei-)Kirchen oder Religionsgemeinschaften Bedeutung haben könnte«, so der Sprecher. Mit Blick auf die durch die SELK eingelegte Berufung beim Niedersächsischen Oberverwaltungsgericht bleibe jedoch zunächst noch die weitere Entwicklung der Rechtsprechung abzuwarten.

In Berlin, wo die Landesdatenschutzbeauftragte die Zeugen Jehovas prüft, gibt es unterdessen noch nichts Neues – auf Anfrage teilte ein Sprecher mit, dass man hoffe, im ersten Quartal fertig zu sein. »In den kommenden Wochen stehen dazu weitere Abstimmungen mit anderen Aufsichtsbehörden und den zuständigen Gremien der Datenschutzkonferenz an«, so der Sprecher.

Auf Mastodon beantwortet der BayLfD jede Woche eine Frage – dieses Mal geht es um Religionsunterricht: »Dürfen kirchliche Religionslehrkräfte, die an staatlichen Schulen eingesetzt werden, Daten von Schülern auf IT-Systemen einer kirchlichen Stelle speichern?« Religionsunterricht als ordentliches Lehrfach sei in der Verantwortung der Schule, antwortet die Aufsicht. »Der Umgang mit Schülerdaten ist grundsätzlich der Schule als verantwortlicher Stelle zuzurechnen; maßgeblich sind die dort geltenden Datenschutzregeln. Eine Nutzung kirchlicher IT-Infrastruktur ist jedenfalls nicht ohne weiteres zulässig.«

In der Neuen Zeitschrift für Arbeitsrecht (NZA 1/2023, S. 7–13) befasst sich Thomas Ritter mit Compliance-Pflichten bei der Leitung katholischer Unternehmen, die sich aus der neuen Grundordnung des kirchlichen Dienstes ergeben. Mit der neuen Grundordnung hat das Kriterium der Kirchenzugehörigkeit für weniger Beschäftigte Relevanz (nicht aber des Kirchenaustritts). Damit stellt sich die Frage, ob die Religionszugehörigkeit über die Steuer hinaus überhaupt noch in den Personaldaten verarbeitet werden kann. Die Zugehörigkeit zur katholischen Kirche wird nur noch gefordert von Beschäftigten, denen eine besondere Verantwortung für die katholische Identität der Einrichtung zukommt, und im pastoralen Dienst. Das führt dazu – so Ritter überzeugend –, dass bei solchen Stellen auch die Frage nach dem Bekenntnis im Bewerbungsverfahren zulässig ist. Eine falsche Antwort begründe das Recht der Anfechtung. »Es besteht ein berechtigtes Interesse der Kirche und der ihr zuzurechnenden Träger von kirchlichen Einrichtungen an einer wahrheitsgemäßen Beantwortung«, so Ritter. Dabei spreche im Blick auf den institutionellen Ansatz der neuen GO viel dafür, dass die Frage nach der Religionszugehörigkeit – etwa im Personalfragebogen – bei anderen (potentiellen) Beschäftigten zulässig sei.

Weiterlesen

Namenlos in der MS365-Cloud – Wochenrückblick KW 1/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Noch vor Weihnachten hat die Datenschutzaufsicht der bayerischen Diözesen eine Ankündigung zum Umgang mit MS-365-Installationen veröffentlicht. Der Diözesandatenschutzbeauftragte kündigt darin seinen Umgang mit Neu- und Bestandsinstallationen an, nachdem die katholische Datenschutzkonferenz dazu keinen Beschluss gefasst hat. Für Neuinstallationen nach dem 21. 12. 2022 wird von einer Beanstandung abgesehen, wenn MS Onedrive dauerhaft abgeschaltet wird und Datenflüsse an Microsoft unterbunden werden. Außerdem müssen Accounts ohne personalisierte Benutzernamen und E-Mail-Postfächer eingerichtet werden. Zulässig sind pseudonymisierte Benutzernamen und Funktionspostfächer. Für Bestandsinstallationen wird für ab April eine Anordnung angekündigt, »wenn feststeht, ob die Bemühungen der USA und der EU um eine Nachfolgeregelung des „privacy shields“ Erfolg hatten«.

Die Diözesandatenschutzbeauftragte für die Südwest-Bistümer Ursula Becker-Rathmair wurde für eine weitere Amtszeit vom 1. Januar 2023 bis zum 31. Dezember 2027 bestellt. Als erste der beteiligten Diözesen hat das Erzbistum Freiburg die Bestellung veröffentlicht.

Die fünf nordrhein-westfälischen Bistümer haben eine öffentlich-rechtliche Vereinbarung zur Regelung der Zusammenarbeit auf verschiedenen Gebieten geschlossen; dazu gehört auch die gemeinsame Datenschutzaufsicht. In der Sache ändert sich für das Katholische Datenschutzzentrum Dortmund dadurch nichts. Während bei den anderen genannten Bereichen der Zusammenarbeit – von der Rundfunkmedienarbeit bis zur Polizeiseelsorge – in den jeweiligen Abschnitten »vereinbart« wird, »dass diese Tätigkeit eine öffentliche Aufgabe ist und daher zwingend von einer juristischen Person des öffentlichen Rechts zu erbringen ist«, wird das (nur) bei der Datenschutzaufsicht anders formuliert: »Gemäß Art. 91 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 i.V.m. §§ 42 ff. der jeweiligen bischöflichen Gesetze über den Kirchlichen Datenschutz (KDG) ist diese Tätigkeit eine öffentliche Aufgabe und daher zwingend von einer juristischen Person des öffentlichen Rechts zu erbringen.« Das überrascht: Art. 91 Abs. 2 DSGVO regelt spezifische Aufsichtsbehörden, ohne ihre Tätigkeit als »öffentliche Aufgabe« zu definieren. Sie müssen lediglich die Anforderungen aus Kapitel VI DSGVO erfüllen. Dort ist zwar von »Behörden« die Rede, nicht aber von bestimmten Rechtsformen, die Aufsicht wird auch dort nicht als »öffentliche Aufgabe« bezeichnet. Das KDG regelt nichts zur Rechtsform und spricht nicht von »öffentlicher Aufgabe«, und auch in der Kommentarliteratur findet sich dieses angeblich zwingende Erfordernis nicht. Die Praxis spricht auch dagegen: Lediglich in NRW und im Südwesten sind die kirchlichen Aufsichten als KdÖR verfasst (in Bayern und im Norden ist es geplant), alle anderen kirchlichen Datenschutzaufsichten, katholische wie evangelische (und erst recht freikirchliche) haben keine öffentlich-rechtliche Rechtsform. Es spricht also einiges dafür, dass das Rechtsformerfordernis für das KDSZ Dortmund nicht aus zwingenden rechtlichen Gründen, sondern wie bei den anderen Feldern aus der Vereinbarung selbst erwächst.

Der aktuelle »Kanon des Monats« des Würzburger Kirchenrechtlers Martin Rehak widmet sich Benedikt XVI. Darin findet sich auch ein Überblick über sein kirchenrechtliches Wirken. Hier einschlägige Themen spielen dabei fast keine Rolle – nur ein Dekret aus der Zeit Ratzingers als Präfekt der Glaubenskongregation verschärft den Persönlichkeitsrechteschutz bei der Beichte: Die Exkommunikation als Tatstrafe zieht sich zu, wer »mittels irgendeines technischen Gerätes selbst aufnimmt oder durch andere aufnehmen lässt, was bei einer (echten oder simulierten) Beichte vom Beichtvater oder vom Pönitenten gesagt wird. Ebenfalls zieht sich jeder die Exkommunikation als Tatstrafe zu, der solche Aufnahmen durch die sozialen Kommunikationsmittel verbreitet«.

Weiterlesen

Evangelische Weite zu MS 365 – Wochenrückblick KW 49/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die evangelischen Datenschutzaufsichten bewerten die Feststellung der Datenschutzkonferenz des Bundes und der Länder zu Microsoft unterschiedlich: Während sich in der vergangenen Woche der BfD EKD den Bericht zumindest in der Überschrift zueigen gemacht hat (»Der Einsatz von Microsoft 365 ist weiterhin nicht datenschutzkonform möglich«), äußert sich nun der Datenschutzbeauftragte für Kirche und Diakonie anders: Derzeit könne keine Aneignung der Feststellung erfolgen, teilte die ostdeutsche Aufsichtsbehörde mit. Begründet wird das mit der mangelnden Beteiligung der spezifischen Aufsichtsbehörden an der DSK: »Aus diesem Grund haben wir keinen Einblick in die Arbeit der Arbeitsgruppe DSK „Microsoft-Onlinedienste“. Außer den oben genannten Dokumenten liegen uns zum heutigen Tag keine weiteren Dokumente vor, insbesondere nicht der vollständige Bericht der genannten Arbeitsgruppe.« Daher bleibt es für den DSBKD bei den Empfehlungen aus seinem aktuellen Tätigkeitsbericht.

Advent ist eine Zeit des Wartens – und so ist diese Woche geprägt von einigem Warten auf Dinge, die eigentlich noch dieses Jahr raus sollten: Immer noch fehlt eine offizielle Ankündigung des Wechsels des Diözesandatenschutzbeauftragten für die Nord-Bistümer (auch wenn sie hier schon vermeldet wurde), der Tätigkeitsbericht der NRW-Aufsicht fehlt noch (soll aber, wie man hört, in den letzten Zügen sein), und wer im kommenden Jahr die Konferenz der Diözesandatenschutzbeauftragten leiten wird, ist auch noch nicht bekannt.

Weiterlesen

Kontra aus München – Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten 2021/2022

Die Gemeinsame Datenschutzaufsicht der Bayerischen (Erz-)Diözesen hat ihren Tätigkeitsbericht für 2021/2022 veröffentlicht – immer noch in der alten Konstellation, in der Jupp Joachimski Diözesandatenschutzbeauftragter mit einem Mitarbeiter und ohne rechtlich selbständige Stelle ist. Über den Stand der Errichtung des geplanten Kirchlichen Datenschutzzentrums Bayern in Nürnberg erfährt man nichts.

Titelseite des Tätigkeitsberichts 2021/2022 des bayerischen Diözesandatenschutzbeauftragten
So kennt man den Bericht des bayerischen Diözesandatenschutzbeauftragten: Kompakt, schnörkellos und extrem nah am Ende des Berichtszeitraums, dem 1. Oktober.

Ansonsten gibt es vor allem Einblicke in Entscheidungen zu in kirchlichen Einrichtungen verwendeter Software – und deutliche Kritik an der Mehrheits-Rechtsposition der kirchlichen Aufsichten und Datenschutzgerichte zum Bußgeld.

Weiterlesen

Art.-9-Gründe – Wochenrückblick KW 38/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Am Montag haben sich die Unabhängigen Aufarbeitungskommissionen der Bistümer getroffen. Laut Pressemitteilung der Bischofskonferenz standen auch datenschutzrechtliche Fragen auf der Tagesordnung – weiter ins Detail ging es nicht. Eine Herausforderung dürften die unterschiedlichen Rechtsgrundlagen zur Aktenweitergabe an die Kommissionen sein – die wurden bislang nicht in allen Bistümern geschaffen.

Die Caritas München geht nicht auf die Forderungen ihrer Erpresser ein: Lösegeld werde nach dem Verschlüsselungsangriff nicht gezahlt, betonte der Caritasdirektor Hermann Sollfrank am Montag. Auf Grundlage der vorhandenen Backups soll eine neue IT-Infrastruktur aufgebaut werden.

Das Whitepaper zu Microsoft 365 in Kirche und Wohlfahrt von Althammer & Kill und der SoCura ist in einer zweiten Auflage erschienen. Neben einer Neustrukturierung entlang des Lebenszyklus von MS 365 geht es vor allem auf rechtliche Neuerungen wie die neue Standarddatenschutzklauseln, Transfer Impact Assessment, Videosprechstunde und Telemedizin ein und nimmt einen Abgleich mit neuen Gesetzen aus den Bereichen Telekomunikation und Telemedien vor.

In eigener Sache: Das Webinar zu Besonderheiten im Bereich des kirchlichen Engagements musste leider aus Art.-9-Gründen entfallen. Ein Nachholtermin ist für Anfang Oktober geplant.

Weiterlesen

Bedenkenhuberei – Wochenrückblick KW 31/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

In Polen geht die Kontroverse um die Vernichtung von Akten in kirchlichen Missbrauchsverfahren weiter. Während die staatliche Missbrauchskommission weiterhin darüber klagt, dass Akten des bischöflichen Geheimarchivs entsprechend der kirchenrechtlichen Regeln nach dem Tod des Angeklagten oder zehn Jahre nach der Verurteilung vernichtet werden und so eine Aufarbeitung erschwert ist, sieht die Polnische Bischofskonferenz keine Probleme mit der Praxis und sieht im Zusammenspiel von polnischer Justiz und Heiligem Stuhl die Regierung am Zug, angemessene Vereinbarungen und gesetzliche Grundlagen zu schaffen.

Wolfgang Huber wagt den großen Aufschlag und hat eine »Ethik der Digitalisierung« unter dem Titel »Menschen, Götter und Maschinen«(Affiliate link) vorgelegt. Der ehemalige Berliner Landesbischof und EKD-Ratsvorsitzende befasst sich darin natürlich auch mit Datenschutz und informationeller Selbstbestimmung. Die Überschrift des vierten Kapitels, »Grenzüberschreitungen«, ist dabei programmatisch: Es wird ein grundsätzlich pessimistisches Bild gezeichnet, eine »Erosion des Privaten« festgestellt. Huber schlägt mit Hans Jonas eine »Heuristik der Furcht« als ethische Regel zum Umgang mit den eigenen Daten vor: »Es ist ein Gebot der Selbstachtung, Anbieter mit transparentem Datenschutz zu bevorzugen, Suchanfragen auf das Notwendige zu beschränken und Informationen über sich selbst nicht leichtfertig preiszugeben.« Dazu brauche es Selbstverpflichtungen der Digitalfirmen und eine Verschärfung der internationalen Rechtsregeln für den Umgang mit persönlichen Daten im Netz. Wie solche Regeln gestaltet sein können, fehlt allerdings. Allzu oft bleibt Huber bei einer pessimistischen Diagnose. Daten gibt es nur im gesellschaftlichen Verfallsmodus. Informationelle Selbstbestimmung wird zwar hochgehalten, dabei aber so interpretiert, dass selbstbestimmt nur das ist, was Hubers ethische Reflexionen für gut halten. »Dem digitalen Freiheitsgewinn wird ein erheblicher Teil der persönlichen Freiheit geopfert«, klagt er. Dass persönliche Freiheit auch in digitalem Freiheitsgewinn bestehen kann, ist nicht vorgesehen. Stattdessen wird wieder einmal Jaron Lanier und sein Social-Media-Ausstieg als Goldstandard dargestellt. Die DSGVO wird zwar erwähnt, aber ohne große Kenntnis und analytische Tiefe. Sie verfolge »erkennbar das Ziel, die umfangreiche Nutzung privater Daten mit dem Recht auf informationelle Selbstbestimmung vereinbar zu machen und zugleich eine Nutzung dieser Daten in möglichst hohem Umfang zu ermöglichen«. Woran sich das zeige, ist keiner Erläuterung wert. Huber beschränkt sich weitgehend auf die von ihm als zentral ausgemachten Instrumente der Pseudonymisierung und Anonymisierung. »Aus ethischer Perspektive ist es jedoch keineswegs unproblematisch, die Daten einer Person dann als frei verfügbar anzusehen, wenn sie statt unter dem authentischen Herkunftsnamen unter einem Pseudonym genutzt werden«, urteilt Huber. Nur: Wer vertritt diese Position? Die DSGVO jedenfalls nicht. Den Datenschutzdiskurs bringt Huber mangels Substanz so jedenfalls nicht weiter. »Theologisch interessierte Oberstudienräte finden gelehrte Einwände gegen die in den Feuilletons dieser Republik erhobenen Großthesen über die Chancen der Digitalisierung«, schließt die lesenswerte Rezension des Buchs in der Eule.

Weiterlesen

Sportliche Geheimjustiz – Wochenrückblick KW 30/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Gedruckte Gesetzessammlungen zum katholischen Datenschutz gibt es ebenso wie PDFs. Was bislang noch fehlte, war ein guter Zugang direkt im Netz. Die gibt es nun unter kirchlicher-datenschutz.org, besorgt von Christian Schmidt. Mit KDG, KDG-DVO, §-29-KDG-Gesetz, §-29-KDG-Gesetz-DVO, SeelsorgePatDSG, KDS-VwVfG, KDSGO und KAO sind dort die katholischen Datenschutzregelungen in der Fassung des Beschlusses durch den VDD sehr gut zugänglich.

Mitte Juli hat das Bundesverfassungsgericht seine Entscheidung im Fall von Claudia Pechsteins Verfassungsbeschwerde gegen den BGH veröffentlicht. (Guter Überblick dazu: Christian Duve im aktuellen FAZ-Einspruch-Podcast.) In der Sache geht es um den Internationalen Sportgerichtshof CAS. Die Entscheidung tragend ist das durch den CAS als privates Schiedsgericht verletzte Öffentlichkeitsprinzip unter Rückgriff auf die Europäische Menschenrechtskonvention: »Der Grundsatz der Öffentlichkeit mündlicher Verhandlungen ist ein wesentlicher Bestandteil des Rechtsstaatsprinzips und geht in seiner Bedeutung damit über einzelne Verfahrensregelungen weit hinaus. Auch entspricht er dem allgemeinen Öffentlichkeitsprinzip der Demokratie. Die Gerichtsöffentlichkeit sollte in Gestalt einer Verfahrensgarantie dem Schutz der an der Verhandlung Beteiligten gegen eine der öffentlichen Kontrolle entzogene Geheimjustiz dienen« (Rn. 44), erläutert das BVerfG. Die Entscheidung kann natürlich nicht direkt auf kirchliche Gerichte übertragen werden. Die ordentliche kirchliche Gerichtsbarkeit, die immer neben der staatlichen Gerichtsbarkeit und nie sie ersetzend tätig wird, ist davon sicher in keinem Fall betroffen. Interessant wird es für die Datenschutzgerichtsbarkeit, die statt der staatlichen Gerichtsbarkeit entscheidet – und keinerlei Öffentlichkeitsprinzipien kennt, selbst die Veröffentlichung ausgewählter Entscheidungen erfolgt auf freiwilliger Basis. Hier wäre es durchaus denkbar, dass unter Rückgriff auf die Argumentation im Fall Pechstein ein staatliches Gericht auch Zweifel an den rechtsstaatlichen Standards des kirchlichen Gerichts erkennt. (Die andere kirchliche Gerichtsbarkeit, die staatliche ersetzt, die Arbeitsgerichtsbarkeit, kennt ein Öffentlichkeitsprinzip.)

Weiterlesen

Systematisch auditiert – Tätigkeitsbericht DSBKD 2020/21

Der Datenschutzbeauftragte für Kirche und Diakonie, der für die Landeskirchen Sachsens und Sachsen-Anhalts und die Diakonie Sachsens und Mitteldeutschlands zuständig ist, hat seinen zweiten Tätigkeitsbericht vorgelegt. Die Berichtsjahre 2020 und 2021 decken die ersten beiden Corona-Jahre ab – aber es geht nicht nur um Corona.

Der Zuständigkeitsbereich des Datenschutzbeauftragten für Kirche und Diakonie umfasst zwei Landeskirchen und zwei Diakonische Werke
Der Zuständigkeitsbereich des Datenschutzbeauftragten für Kirche und Diakonie umfasst zwei Landeskirchen und zwei Diakonische Werke

Drei große Schwerpunktthemen widmen sich einem großen Datenschutz-Systemaudit, dem Einsatz von Microsoft-Produkten und Sprachassistenten in der Pflege – eine sehr praktische und nicht DSG-EKD-spezifische Schwerpunktsetzung, die auch für Anwender*innen anderer Datenschutzgesetze relevant sein dürfte.

Weiterlesen

Religionspolitik und Akten – Wochenrückblick KW 26/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Bei der Berliner Tagung zu religionspolitischen Reformperspektiven für die Kirchen äußerte der Leiter des Instituts für Staatskirchenrecht Ansgar Hense sich auf dem Panel zu inneren Angelegenheiten zum formativen und regulativen Einwirken der weltlichen Rechtsordnung auf kirchliche Normen. Ein (knappes) Beispiel war dabei das Datenschutzrecht. Hense äußerte sich zur kirchlichen Rechtswirklichkeit vor und nach Inkrafttreten der DSGVO: »Ich glaube, dass bis zum Inkrafttreten der Datenschutzgrundverordnung zwar ein kircheneigenes Datenschutzrecht reklamiert wurde, es aber nicht praktiziert wurde. Für die Zeit nach dem Inkrafttreten würde ich eine andere Auffassung vertreten«, so Hense. (Jacob Joussen widersprach in der Diskussion für den evangelischen Bereich, aber eine weitgehende Nichtrezeption des Datenschutzrechts vor der DSGVO dürfte ein allgemeines Problem sein.) Dabei hob er auch die mit Mandat des Heiligen Stuhls errichtete kirchliche Datenschutzgerichtsbarkeit und die Unabhängigkeit der kirchlichen Datenschutzaufsicht hervor, die staatlich vorformatiert erstmals echte rechtliche Kontrollinstanzen ins kirchliche Recht brachten. (Auf die formative Wirkung staatlichen Rechts ging Hense auch in seinem Beitrag zum jüngsten Sammelband des KDSZ Dortmund ein.) Später habe ich den Berliner Generalvikar Manfred Kollig nach der 2019 getätigten Ankündigung gefragt, dass der damals neu eingerichtete VDD-Verbandsrat klären wollte, »in welchem Umfang und mit welchem Inhalt die Kirche in Deutschland die grundgesetzlich zugestandenen Autonomiebereiche eigenständig ausfüllen kann und will (etwa im Bereich des Arbeits- und Datenschutzrechts)«. Kolligs knappe Antwort: »Meine Einschätzung ist: Wir werden nicht verzichten auf eigenes Arbeitsrecht und andere Rechte wie Datenschutz.«

Und noch eine Tagung: Am Donnerstag fand die von der Unabhängigen Kommission zur Aufarbeitung sexuellen Kindesmissbrauchs organisierte Tagung »Aufarbeitung, Akten, Archive – Zum Umgang mit sensiblen Dokumenten« statt. Dabei wurden auch einige Themen des Persönlichkeitsrechtsschutzes angesprochen. Einen allgemeinen Überblicksbericht von der Tagung gibt es bei katholisch.de. Die Videos der Panels werden in den nächsten Tagen in die Mediathek der Kommission eingestellt; besonders interessant für die Zielgruppe hier dürfte das letzte Podium zum Thema »Wer hat die Macht über die Quellen?« sein, bei der unter anderem der Münsteraner Kirchenrechtler Thomas Schüller interessante Einblicke in die Praxis und Rechtsgrundlagen kirchlicher Archive gab.

Bei Reichert und Reichert befasst sich Matthias Herkert mit der aktualisierten Arbeitshilfe zum Einsatz von Microsoft 365 des KDSZ Frankfurt. Im Vergleich zur ersten Version aus 2019 ist die Einschätzung der Aufsicht harscher geworden: »Während das KDSZ-FFM im Februar 2019 die datenschutzkonforme Nutzung der Microsoft-Cloud-Angebote zumindest als „aktuell zwar möglich“ bezeichnete und Verantwortliche lediglich darauf hinwies, dass diese „ein hohes Risiko“ eingingen, dass die Konformität zu KDG und DSGVO kurzfristig entfallen könne, geht sie inzwischen davon aus, dass ein datenschutzkonformer Betrieb von Microsoft 365 „erwartungsgemäß“ nur in Ausnahmefällen möglich sei.«

Weiterlesen

Tuchfühlung mit Aufsicht – Wochenrückblick KW 22/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Beim Katholikentag habe ich den Stand der kirchlichen Datenschutzaufsichten besucht und die Gelegenheit genutzt, über aktuelle Entwicklungen bei den Aufsichten zu sprechen – allzu viel kann ich aus dem Hintergrundgespräch nicht ausplaudern. Vielleicht nur so viel: Auch die kirchlichen Aufsichten schauen gespannt darauf, wann der Bundesdatenschutzbeauftragte seine Ankündigung in die Tat umsetzt und Maßnahmen gegen Facebook-Fanseiten von Bundesbehörden ergreift. Dann wurde ich noch gefragt, was ich für Veröffentlichungen der Aufsichten sinnvoll fände. Mein Wunschzettel: Arbeitshilfen zu gemeinsamer Verantwortlichkeit und kirchlichem Interesse. Da der Stand sehr zentral am Anfang der Kirchenmeile gelegen war, bin ich im Laufe der Tage immer wieder vorbeigelaufen: Nicht überfüllt, aber doch stets besucht. Mein Eindruck ist, dass diese Form der Öffentlichkeitsarbeit nicht nur den beruflich unmittelbar mit Datenschutz Befassten hilft (von denen einige da waren, wie mir berichtet wurde), sondern auch dazu beiträgt, das Thema Datenschutz durch unkomplizierte Kontakte etwas zu entdramatisieren.

Der Stand der kirchlichen Datenschutzaufsichten beim Katholikentag in Stuttgart
Vor der Eröffnung fotografiert – zwar etwas langweiliges Bild, dafür datensparsam ohne personenbezogene Daten.

Gemeinsam mit der Bundeskonferenz der kirchlichen Archive in Deutschland hat das KDSZ Dortmund eine Handreichung zu kirchlichen Archiven veröffentlicht. Zielgruppe sind dabei nicht Menschen, die etwas aus kirchlichen Archiven herausholen wollen (dazu gab es hier Hinweise), sondern kirchliche Stellen, die etwas hineintun wollen oder müssen. Dafür und insbesondere für die dafür nötigen Prozesse gibt es Informationen und Checklisten. Derweil hat die Kollegin in Frankfurt die Arbeitshilfen zu Online-Meeting-Tools und Microsoft 365 auf den aktuellen Stand gebracht. Keine Überraschung: Beides immer noch schwierig.

Die aktuelle Ausgabe der Zeitschrift für die Praxis der Mitarbeitervertretung (ZMV) hat mit zwei Artikeln einen Schwerpunkt zum Beschäftigtendatenschutz. Paul Tophof befasst sich mit »Grenzen des Beschäftigtendatenschutzes bei internen Ermittlungen«; grundsätzlich ein hilfreicher Beitrag, allerdings ist etwas unklar, warum Tophof hier kirchliches Sondergut in den Normen zum Beschäftigtendatenschutz ausmacht, obwohl die entsprechende Formulierung weitgehend aus § 26 BDSG entnommen ist. Matthias Ullrich befasst sich mit »Betriebsrat und MAV als Teil des datenschutzrechtlich Verantwortlichen« und kommt darin zum selben Schluss wie in seinem Buch zum kirchlichen Beschäftigtendatenschutz: Es sei »erforderlich, dass die Interessenvertretungen für die Verarbeitung personenbezogener Daten in ihrem Wirkungskreis ein rechtkonformes Verfahren etablieren und dieses dem Arbeitgeber offenlegen«.

Diese Woche ist der Tätigkeitsbericht des Landesdatenschutzbeauftragten von Mecklenburg-Vorpommern erschienen. Ohne Fälle mit kirchlichem Bezug, aber mit dem Stichwort »Nordkirche« im Index. Grund dafür ist eine Kooperation mit der Nordkirche bei den Tagen ethischer Orientierung für die Klassenstufen 5 und 6 unter dem Titel »Mein Klick, meine Verantwortung?!«. Auch die niedersächsische Datenschutzaufsicht hat ihren Tätigkeitsbericht veröffentlicht. Anders als im letzten Jahr gibt es aber keine Angaben zum Fortschritt des Konflikts mit der SELK.

Weiterlesen