Schlagwort-Archive: Office 365

Nordsynode in der Cloud – Wochenrückblick KW 10/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wochenrückblick Kirchlicher Datenschutz KW 10/2023
(Bildquelle: ali syaaban on Unsplash)
Weiterlesen

Freikirche auf dem Kieker – Wochenrückblick KW 3/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das katholische Datenschutzzentrum Dortmund gibt Winke dazu, ob und wie Microsoft 365 eingesetzt werden kann – allerdings ohne Patentlösungen: »Damit Microsoft die Daten nicht mehr zu eigenen Zwecken verarbeiten kann, müsste der Zugriff auf die personenbezogenen Daten vom Verantwortlichen unterbunden werden. Neben der Nutzung pseudonymisierter Nutzerkonten könnte auch die Nutzung des Cloud-Speichers ausgeschlossen werden«, heißt es in dem Beitrag. Der Einzelfall sei zu betrachten und in einer Datenschutzfolgenabschätzung zu prüfen. Die katholische NRW-Aufsicht geht damit in eine ähnliche Richtung wie die bayerische, aber mit weniger konkreten Ansagen.

Nach dem Erfolg gegen die Selbständige Evangelisch-Lutherische Kirche hat die niedersächsische Landesdatenschutzbeauftragte eine weitere Religionsgemeinschaft im Visier: Auf Anfrage teilte die LfD Niedersachsen mit, dass ein weiteres Prüfverfahren gegen eine Freikirche gemeinsam mit einer weiteren Aufsichtsbehörde derzeit vorbereitet wird. Weitere Angaben können angesichts des frühen Vorbereitungsstadiums noch nicht gemacht werden, so der Sprecher. Mit Blick auf das Urteil des VG Hannover, mit dem das Datenschutzrecht der SELK verworfen wurde, zeigte sich die Aufsicht zufrieden. »Aus Sicht unserer Behörde ist es sehr zu begrüßen, dass eine Vielzahl an wichtigen Auslegungsfragen zu Art. 91 DS-GVO nun erstmals gerichtlich entschieden wurde. Wir gehen davon aus, dass dieses Urteil über den konkreten Einzelfall hinaus auch für andere (Frei-)Kirchen oder Religionsgemeinschaften Bedeutung haben könnte«, so der Sprecher. Mit Blick auf die durch die SELK eingelegte Berufung beim Niedersächsischen Oberverwaltungsgericht bleibe jedoch zunächst noch die weitere Entwicklung der Rechtsprechung abzuwarten.

In Berlin, wo die Landesdatenschutzbeauftragte die Zeugen Jehovas prüft, gibt es unterdessen noch nichts Neues – auf Anfrage teilte ein Sprecher mit, dass man hoffe, im ersten Quartal fertig zu sein. »In den kommenden Wochen stehen dazu weitere Abstimmungen mit anderen Aufsichtsbehörden und den zuständigen Gremien der Datenschutzkonferenz an«, so der Sprecher.

Auf Mastodon beantwortet der BayLfD jede Woche eine Frage – dieses Mal geht es um Religionsunterricht: »Dürfen kirchliche Religionslehrkräfte, die an staatlichen Schulen eingesetzt werden, Daten von Schülern auf IT-Systemen einer kirchlichen Stelle speichern?« Religionsunterricht als ordentliches Lehrfach sei in der Verantwortung der Schule, antwortet die Aufsicht. »Der Umgang mit Schülerdaten ist grundsätzlich der Schule als verantwortlicher Stelle zuzurechnen; maßgeblich sind die dort geltenden Datenschutzregeln. Eine Nutzung kirchlicher IT-Infrastruktur ist jedenfalls nicht ohne weiteres zulässig.«

In der Neuen Zeitschrift für Arbeitsrecht (NZA 1/2023, S. 7–13) befasst sich Thomas Ritter mit Compliance-Pflichten bei der Leitung katholischer Unternehmen, die sich aus der neuen Grundordnung des kirchlichen Dienstes ergeben. Mit der neuen Grundordnung hat das Kriterium der Kirchenzugehörigkeit für weniger Beschäftigte Relevanz (nicht aber des Kirchenaustritts). Damit stellt sich die Frage, ob die Religionszugehörigkeit über die Steuer hinaus überhaupt noch in den Personaldaten verarbeitet werden kann. Die Zugehörigkeit zur katholischen Kirche wird nur noch gefordert von Beschäftigten, denen eine besondere Verantwortung für die katholische Identität der Einrichtung zukommt, und im pastoralen Dienst. Das führt dazu – so Ritter überzeugend –, dass bei solchen Stellen auch die Frage nach dem Bekenntnis im Bewerbungsverfahren zulässig ist. Eine falsche Antwort begründe das Recht der Anfechtung. »Es besteht ein berechtigtes Interesse der Kirche und der ihr zuzurechnenden Träger von kirchlichen Einrichtungen an einer wahrheitsgemäßen Beantwortung«, so Ritter. Dabei spreche im Blick auf den institutionellen Ansatz der neuen GO viel dafür, dass die Frage nach der Religionszugehörigkeit – etwa im Personalfragebogen – bei anderen (potentiellen) Beschäftigten zulässig sei.

Weiterlesen

Namenlos in der MS365-Cloud – Wochenrückblick KW 1/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Noch vor Weihnachten hat die Datenschutzaufsicht der bayerischen Diözesen eine Ankündigung zum Umgang mit MS-365-Installationen veröffentlicht. Der Diözesandatenschutzbeauftragte kündigt darin seinen Umgang mit Neu- und Bestandsinstallationen an, nachdem die katholische Datenschutzkonferenz dazu keinen Beschluss gefasst hat. Für Neuinstallationen nach dem 21. 12. 2022 wird von einer Beanstandung abgesehen, wenn MS Onedrive dauerhaft abgeschaltet wird und Datenflüsse an Microsoft unterbunden werden. Außerdem müssen Accounts ohne personalisierte Benutzernamen und E-Mail-Postfächer eingerichtet werden. Zulässig sind pseudonymisierte Benutzernamen und Funktionspostfächer. Für Bestandsinstallationen wird für ab April eine Anordnung angekündigt, »wenn feststeht, ob die Bemühungen der USA und der EU um eine Nachfolgeregelung des „privacy shields“ Erfolg hatten«.

Die Diözesandatenschutzbeauftragte für die Südwest-Bistümer Ursula Becker-Rathmair wurde für eine weitere Amtszeit vom 1. Januar 2023 bis zum 31. Dezember 2027 bestellt. Als erste der beteiligten Diözesen hat das Erzbistum Freiburg die Bestellung veröffentlicht.

Die fünf nordrhein-westfälischen Bistümer haben eine öffentlich-rechtliche Vereinbarung zur Regelung der Zusammenarbeit auf verschiedenen Gebieten geschlossen; dazu gehört auch die gemeinsame Datenschutzaufsicht. In der Sache ändert sich für das Katholische Datenschutzzentrum Dortmund dadurch nichts. Während bei den anderen genannten Bereichen der Zusammenarbeit – von der Rundfunkmedienarbeit bis zur Polizeiseelsorge – in den jeweiligen Abschnitten »vereinbart« wird, »dass diese Tätigkeit eine öffentliche Aufgabe ist und daher zwingend von einer juristischen Person des öffentlichen Rechts zu erbringen ist«, wird das (nur) bei der Datenschutzaufsicht anders formuliert: »Gemäß Art. 91 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 i.V.m. §§ 42 ff. der jeweiligen bischöflichen Gesetze über den Kirchlichen Datenschutz (KDG) ist diese Tätigkeit eine öffentliche Aufgabe und daher zwingend von einer juristischen Person des öffentlichen Rechts zu erbringen.« Das überrascht: Art. 91 Abs. 2 DSGVO regelt spezifische Aufsichtsbehörden, ohne ihre Tätigkeit als »öffentliche Aufgabe« zu definieren. Sie müssen lediglich die Anforderungen aus Kapitel VI DSGVO erfüllen. Dort ist zwar von »Behörden« die Rede, nicht aber von bestimmten Rechtsformen, die Aufsicht wird auch dort nicht als »öffentliche Aufgabe« bezeichnet. Das KDG regelt nichts zur Rechtsform und spricht nicht von »öffentlicher Aufgabe«, und auch in der Kommentarliteratur findet sich dieses angeblich zwingende Erfordernis nicht. Die Praxis spricht auch dagegen: Lediglich in NRW und im Südwesten sind die kirchlichen Aufsichten als KdÖR verfasst (in Bayern und im Norden ist es geplant), alle anderen kirchlichen Datenschutzaufsichten, katholische wie evangelische (und erst recht freikirchliche) haben keine öffentlich-rechtliche Rechtsform. Es spricht also einiges dafür, dass das Rechtsformerfordernis für das KDSZ Dortmund nicht aus zwingenden rechtlichen Gründen, sondern wie bei den anderen Feldern aus der Vereinbarung selbst erwächst.

Der aktuelle »Kanon des Monats« des Würzburger Kirchenrechtlers Martin Rehak widmet sich Benedikt XVI. Darin findet sich auch ein Überblick über sein kirchenrechtliches Wirken. Hier einschlägige Themen spielen dabei fast keine Rolle – nur ein Dekret aus der Zeit Ratzingers als Präfekt der Glaubenskongregation verschärft den Persönlichkeitsrechteschutz bei der Beichte: Die Exkommunikation als Tatstrafe zieht sich zu, wer »mittels irgendeines technischen Gerätes selbst aufnimmt oder durch andere aufnehmen lässt, was bei einer (echten oder simulierten) Beichte vom Beichtvater oder vom Pönitenten gesagt wird. Ebenfalls zieht sich jeder die Exkommunikation als Tatstrafe zu, der solche Aufnahmen durch die sozialen Kommunikationsmittel verbreitet«.

Weiterlesen

Systematisch auditiert – Tätigkeitsbericht DSBKD 2020/21

Der Datenschutzbeauftragte für Kirche und Diakonie, der für die Landeskirchen Sachsens und Sachsen-Anhalts und die Diakonie Sachsens und Mitteldeutschlands zuständig ist, hat seinen zweiten Tätigkeitsbericht vorgelegt. Die Berichtsjahre 2020 und 2021 decken die ersten beiden Corona-Jahre ab – aber es geht nicht nur um Corona.

Der Zuständigkeitsbereich des Datenschutzbeauftragten für Kirche und Diakonie umfasst zwei Landeskirchen und zwei Diakonische Werke
Der Zuständigkeitsbereich des Datenschutzbeauftragten für Kirche und Diakonie umfasst zwei Landeskirchen und zwei Diakonische Werke

Drei große Schwerpunktthemen widmen sich einem großen Datenschutz-Systemaudit, dem Einsatz von Microsoft-Produkten und Sprachassistenten in der Pflege – eine sehr praktische und nicht DSG-EKD-spezifische Schwerpunktsetzung, die auch für Anwender*innen anderer Datenschutzgesetze relevant sein dürfte.

Weiterlesen

Bedingt auskunftsbereit – Wochenrückblick KW 6/2021

Drei Recherchen beschäftigen mich weitgehend erfolglos seit Monaten: Was wird aus der katholischen Datenschutzaufsicht in Bayern, welche Religionsgemeinschaften mit eigenem Datenschutzregime kennen die staatlichen Behörden – und was macht eigentlich die EKD? Zu den drei Recherchen habe ich diese Woche wieder nachgehakt.

  • In Bayern ist die Datenschutzaufsicht seit Herbst kommissarisch besetzt, kein Nachfolger und kein Zeitplan für die Nachbesetzung bekannt, das 2018 beschlossene Nürnberger Datenschutzzentrum immer noch nicht eingerichtet. Regelmäßig Presseanfragen in München (wo die Bistumspressestelle auch die der Freisinger Bischofskonferenz ist) waren bisher erfolglos, die einzelnen bayerischen Bistümer verweisen auf die Zentrale und wissen auch nichts.
  • In Deutschland gibt es keine übersichtliche Liste, welche spezifischen Aufsichtsbehörden – zu denen die der Religionsgemeinschaften gehören – den staatlichen Aufsichten bekannt sind. (Vorbildlich: Polen.) Auf Presseanfragen rückten die Länderaufsichten keine konkreten Listen heraus. Informationsfreiheitsanfragen über Frag den Staat ziehen sich seit Monaten hin. Durch Carlo Piltz wurde ich nun auf das Mitte Januar veröffentlichte Protokoll der 100. Datenschutzkonferenz aufmerksam. Unter TOP 15 wird dort eine »Liste über die spezifischen Aufsichtsbehörden« erwähnt. Informationsfreiheitsanfrage ist raus.
  • Seit Monaten läuft meine eigentlich sehr simple Presseanfrage bei der EKD. Mich interessieren zwei Dinge: Gab es schon kirchliche Gerichtsentscheidungen, in denen das neue DSG-EKD eine Rolle spielte? (Sollte es eigentlich, katholische gibt’s schon einige – aber die normalerweise viel bessere evangelische Rechtssammlung findet keine.) Und: Gibt es bereits Pläne zur Evaluierung des DSG-EKD? (Bei einer synodal organisierten Kirche sollte man doch denken, dass da mit Vorlauf und Transparenz gearbeitet werden müsste.) Am Anfang wurde ich noch vertröstet, jetzt bekomme ich von der EKD-Pressestelle gar keine Antwort mehr.

Der Datenschutz-Dienstleister Althammer & Kill hat ein Whitepaper zu »Microsoft 365 in Kirche & Wohlfahrt« veröffentlicht. Das ist nicht nur nützlich und lesenswert, wenn es direkt um die Office-Frage geht. Auch ausführliche Passagen allgemein zur Drittlandübertragung und wie sie nach KDG und DSG-EKD gestaltet werden sind sehr erhellend. Vor allem im Bereich des KDG wird bei einigen Formulierungen deutlich angefragt, ob sie praktikabel oder gar europarechtskonform sind – insbesondere die schon länger als zweifelhaft bekannte Möglichkeit einer »Selbstzertifizierung«, wie sie § 40 Abs. 2 lit. b) KDG eröffnet wird: »Damit wird die Bewertungshoheit aus den Händen der Europäischen Kommission in die des Verantwortlichen gelegt, was im Zweifelsfall kaum standhalten würde. Eine Drittlandübermittlung auf dieser Basis weist nicht die erforderliche Rechtssicherheit auf.« (Hier wird auch der Ursprung der Norm erwähnt: Eine unkritische Übernahme aus dem alten BDSG – im DSG-EKD gibt es deutlich weniger Probleme, weil der evangelische Gesetzgeber bei der Drittlandsübermittlung unnötige Abweichungen von der säkularen Rechtslage stärker vermieden hat.)

Weiterlesen

Jubiläum im Amtsblatt, Beichte in der App – Wochenrückblick KW 40

Personalia und Jubiläen in kirchlichen Amtsblättern und Gemeindebriefen – das ist ein datenschutzrechtlicher Dauerbrenner, erst recht, wenn die Publikationen auch ins Netz sollen. (Denn das Medienprivileg steht dafür ziemlich sicher nicht zur Verfügung.) Die sauberste Lösung ist ein Gesetz, hatte der Nordwest-Diözesandatenschutzbeauftragte in seinem Tätigkeitsbericht für 2019 angemahnt. Seit Mai 2019 gibt es das schon im Erzbistum Hamburg (»Ausführungsdekret zur Veröffentlichung von Sakramentsspendungen sowie Geburtstags-, Ehe-, Weihe-, Ordens- und Dienstjubiläen im Erzbistum Hamburg«) für fast alle Publikationen, nun hat Essen im aktuellen Amtsblatt (Nr. 81, S. 108) nachgezogen mit einer deutlich engeren Regelung nur fürs Amtsblatt (»Verordnung betreffend die Veröffentlichung personenbezogener Daten kirchlicher Amtsträger«).

Noch so ein Dauerbrenner: Die Beichte digitalisieren. Bei katholisch.de wird über die neue Schweizer App »Confessora« berichtet, und keine zwei Tweets später wird die Frage nach der datenschutzrechtlichen Zulässigkeit gestellt. Nun ist diese App aus der Schweiz und nicht von einer kirchlichen Stelle – kirchliches Datenschutzrecht also nicht einschlägig. Bevor jedoch jemand auf falsche Gedanken kommt – die rechtliche Lage nach kirchlichem Datenschutzrecht wäre so: Katholischerseits kümmert sich die KDG-Durchführungsverordnung darum. Personenbezogene Daten, die dem Beichtgeheimnis unterliegen, dürfen nicht verarbeitet werden. Im Fall der App dürften die Daten aber nicht dem Beicht-, sondern dem Seelsorgegeheimnis unterliegen (da es sich von vornherein nicht um eine sakramentale Beichte handelt). Damit sind besondere Schutzvorkehrungen bei der Verarbeitung zu treffen (§ 14 Abs. 3–5 KDG-DVO). Evangelischerseits regelt § 3 DSG-EKD das Seelsorgegeheimnis, das auf ein eigenes Seelsorgegeheimnisgesetz verweist. Hier ist § 11 einschlägig: »Soweit Seelsorge mit technischen Kommunikationsmitteln ausgeübt wird, haben die jeweilige kirchliche Dienststelle oder Einrichtung und die in der Seelsorge tätige Person dafür Sorge zu tragen, dass die Vertraulichkeit in höchstmöglichem Maß gewahrt bleibt.« Hohe Hürden für den (ohnehin nicht wahrscheinlichen) Einsatz der App in kirchlicher Verantwortung.

Weiterlesen