Schlagwort-Archive: Passworte

Passworte im kirchlichen Datenschutz

Der erste Donnerstag im Mai ist Welt-Passwort-Tag. Der Gedenktag wurde 2013 durch den Chip-Hersteller Intel ins Leben gerufen. Anders als der Ändere-dein-Passwort-Tag am 1. Februar mit seiner unsinnigen und gefährlichen Botschaft geht es heute erst einmal nur neutral um Passwort-Sicherheit.

Ein Zahlenschloss zeigt die Kombination 0–1–3
(Foto von rc.xyz NFT gallery auf Unsplash

Datensicherheit ist auch im kirchlichen Datenschutz wichtig. Das kirchliche Datenschutzrecht überlässt die konkrete Ausgestaltung von technischen und organisatorischen Maßnahmen aber weitgehend den jeweiligen Verantwortlichen. Nur wenige Normen beziehen sich explizit auf Passwörter – und die sind leider nicht immer gelungen.

Weiterlesen

Recht transparent – Wochenrückblick KW 33/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Durch die Bausteine des Kirchlichen Datenschutzmodells zieht sich ein Satz: »Den verantwortlichen kirchlichen Stellen wird deshalb empfohlen, ein Rechtskataster zu pflegen, welches speziell zusammengestellt ist und den rechtlichen Rahmen aller in und von der verantwortlichen Stelle zu erfüllenden Aufgaben abdeckt.« Das ist gar nicht so einfach – gerade abseits der Diözesanverwaltungen. Die Minderheit der Bistümer hat eine niederschwellig zugängliche Rechtssammlung. Deutlich besser ist die Situation im evangelischen Bereich, wie das aktuelle EKD-Amtsblatt zeigt: Wie in jedem Sommer wird dort die vom Kirchenrechtlichen Institut der EKD zusammengestellte »Rechtsquellennachweisung für das deutsche evangelische Kirchenrecht und das deutsche Staatskirchenrecht« veröffentlicht – Vergleichbares findet sich im katholischen Bereich bestenfalls in den im (hochgradig unregelmäßig erscheinenden) »Archiv für katholisches Kirchenrecht« erscheinenden »Kirchlichen Erlassen und Entscheidungen«.

Bei Libra gibt es ein engagiertes Plädoyer von Tom Brägelmann für die Veröffentlichung von Entscheidungen in der Justiz: »[Die] Öffnung ermöglicht, dass jeder kontrollieren, kritisieren und loben kann, was die Dritte Gewalt so macht und tut. […] Kann es richtig sein, dass die Gerichte selber entscheiden und prüfen, wann eine Entscheidung veröffentlichungswürdig ist? Nein, es muss der demokratischen Öffentlichkeit überlassen bleiben, welche Entscheidungen der Dritten Gewalt sie für relevant hält.« Das ist auch für den katholischen Bereich relevant, wo die Justiz weitgehend eine Black Box ist: Nur die Entscheidungen der Arbeitsgerichte müssen veröffentlicht werden. Die Beschlüsse der Datenschutzgerichte werden lediglich auf freiwilliger Basis, aber anscheinend immerhin zu einem großen Prozentsatz, veröffentlicht. Entscheidungen der ordentlichen kirchlichen Gerichtsbarkeit liest man dagegen so gut wie nie, lediglich die Römische Rota veröffentlicht halbwegs regelmäßig.

Weiterlesen

Facebook auch evangelisch fraglich – Wochenrückblick KW 18/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die evangelische Datenschutzkonferenz hat sich der DSK in Sachen Facebook in vollem Umfang angeschlossen. An evangelische Stellen werden dieselben zu erfüllenden (aber laut DSK-Kurzgutachten wohl eher nicht erfüllbaren) Anforderungen gestellt wie an Stellen im Einzugsbereich der staatlichen Aufsichten. Die tatsächlichen Konsequenzen aus dem Gutachten werden aber auch hier nur angedeutet: »Es bildet für uns eine wichtige Grundlage unserer aufsichtsbehördlichen Tätigkeit gegenüber kirchlichen und diakonischen Stellen.« Aus von den evangelischen Aufsichten ist bislang keine Maßnahme wegen Facebook-Fanseiten bekannt.

Die Kommission der europäischen Bischofskonferenzen COMECE ist mit dem Relaunch ihrer Webseite deutlich transparenter geworden: Neben einem durchsuchbaren Dokumentenarchiv (in dem sich zu Datenschutz nur die Stellungnahme von 2011 findet, die hier bereits per Informationsfreiheitsantrag die EU-Kommission ans Licht gebracht wurde) gibt es auch eine Terminliste. Darin wird für den 19. Mai das nächste Treffen der kirchlichen Datenschutzexpert*innen angekündigt – leider keine öffentliche Veranstaltung.

In der aktuellen Ausgabe der Zeitschrift für Arbeitsrecht und Tarifpolitik in kirchlichen Unternehmen (ZAT 2/2022) gibt es eine Rezension zu Sydows KDG-Kommentar von Jonas Botta. Wie die Rezension hier grundsätzlich positiv, aber doch auch mit Kritik im Detail, etwa an der Kommentierung von § 2 zum Anwendungsbereich: »Er vertritt ua, dass Daten, die mit dem Einverständnis der betroffenen Person veröffentlicht worden sind, nicht vom KDG erfasst seien. Da jedoch offen bleibt, wie sich diese Ansicht zur Existenz des Erlaubnistatbestands der Einwilligung(§ 6 Abs. 1 lit. b KDG) verhält, wäre zukünftig eine weiterführende Erläuterung förderlich.«

Weiterlesen

Datensparsam 3G-Status prüfen – Wochenrückblick KW 47/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Änderungen am Infektionsschutzgesetz sind nun in Kraft – inklusive der 3G-Regelung am Arbeitsplatz. Die lässt sich gut und weniger gut umsetzen – wie es gut geht, legt der BfD EKD in einer Pressemeldung dar. Eine langfristige Speicherung sei »eher nicht« erforderlich, schon »nach Zutritt oder am Ende des jeweiligen Tages« können die angefallenen Daten einer Zutrittskontrolle gelöscht werden. (Gemeint sind aufgrund der Dokumentationspflichten damit wohl nur die eigentlichen Nachweise.) »Für eine dauerhafte Zutrittsmöglichkeit genügt auch die Dokumentation im Rahmen eines einmaligen ›Abhakens‹ auf einer Liste bei erstmaliger Vorlage des Impf- oder Genesenennachweises«, so der BfD EKD. Dazu brauche es nachprüfbare Prozesse – wie die genau aussehen, wird nicht weiter ausgeführt. Tipps dafür gibt es bei den Datenschutz-Notizen und beim Datenschutz-Guru. Althammer & Kill haben sogar schon fertige Vorlagen für Datenschutzinformationen nach KDG und DSG-EKD. Neben dem BfD EKD hatte sich kurzfristig auch der Datenschutzbeauftragte für Kirche und Diakonie geäußert – die Position wurde aber noch am selben Tag wieder aus dem Netz genommen. Meines Erachtens wohl zurecht.

Die Ampel hat ihren Koalitionsvertrag vorgelegt, und natürlich spielt auch Datenschutz eine Rolle. Ein Vorhaben ist auch für hier besonders interessant: »Zur besseren Durchsetzung und Kohärenz des Datenschutzes verstärken wir die europäische Zusammenarbeit, institutionalisieren die Datenschutzkonferenz im Bundesdatenschutzgesetz (BDSG) und wollen ihr rechtlich, wo möglich, verbindliche Beschlüsse ermöglichen.« Die Ausführung wird noch interessant werden: Einmal mit Blick auf die Umsetzung, die aufgrund des Verbots der Mischverwaltung wohl eine Grundgesetzänderung erfordert (wie im BDSG-Evaluierungsbericht des BMI festgestellt wurde). Aber natürlich auch mit Blick auf die bislang kaum beteiligten spezifischen Aufsichten – bei einer BDSG-Reform sollte hier eine verbindliche Beteiligung festgeschrieben werden. Einen Überblick über die Datenschutzpläne der Ampel gibt es übersichtlich in der Dataprotection Landscape. (Mit Blick auf Religionspolitik habe ich den Vertrag bei katholisch.de analysiert.)

Nichts Neues gibt es in der Nordkirche: Auf der Landessynode in der vergangenen Woche hatte der Datenschutzbeauftragte zwar auf seinen schriftlichen Bericht verwiesen – der ist aber noch nicht veröffentlicht.

Weiterlesen

Freiheit digital – Wochenrückblick KW 16/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die EKD hat eine Denkschrift zur Digitalität veröffentlicht: »Freiheit digital – Die Zehn Gebote in Zeiten des digitalen Wandels«. Für eine ausführliche Würdigung fehlte die Zeit für die eingehende Lektüre. Explizit zum Thema Datenschutz steht nur wenig in der ansonsten bisweilen sehr kleinteiligen Denkschrift. Der Grundtenor ist aber angenehm positiv gegenüber dem Digitalen, ohne naiv zu sein: »Die Digitalisierung mehrt den Nutzen der Gaben Gottes für alle, ermöglicht Freiheit und Teilhabe, wenn sie dazu beiträgt, das Leben zu verbessern und Regionen zu entwickeln, die bisher keinen oder kaum Anteil am globalen Wohlstand haben«, heißt es etwa an einer Stelle (S. 180).

Insgesamt achtmal taucht das Wort »Datenschutz« selbst auf, auf die DSGVO wird zweimal Bezug genommen, informationelle Selbstbestimmung wird gar nicht genannt, dafür Datensouveränität als Ziel. Die DSGVO wird als gutes Beispiel dafür angeführt, wie die EU regulatorische Maßstäbe setzen kann (S. 183); »gleichwohl beschäftigt die Fachwelt, welchen Nutzen sie für die Verbraucherinnen und Verbraucher tatsächlich erbracht hat« (S. 227) – insbesondere aufgrund von Durchsetzungsdefiziten.

Konkrete Forderungen zu einer Verbesserung des Datenschutzrechts werden nicht genannt, auch wenn in Bezug auf das Management digitaler Identitäten eine »neue Art von Datenschutz« eingefordert wird: »Soll die Datensouveränität der Nutzenden gewahrt bleiben, müssen sie besser als bisher ihre digitale Identität selbst verwalten können.« (S. 62f.) Wie bereits Markus Beckedahl vor einigen Wochen bei der Tagung »Kirche im Web« fordert auch die EKD-Denkschrift die Kirche auf, ihre Marktmacht bei der IT-Beschaffung einzusetzen: »So könnte sie dazu beitragen, eine Infrastruktur für die digitale Öffentlichkeit zu etablieren, die einer offeneren, verlässlicheren und der Anerkennung des oder der Nächsten dienenden Kommunikation dient.« (S. 208)

Bei der KDSA Ost war unter den (wieder einmal) vielen Veröffentlichungen der Woche auch ein Hinweis auf eine Reportage der ARD zu Kinderpornographie. Mit Blick auf die Nutzung frei zugänglicher Kinderfotos im Netz durch Pädokriminelle betont die Aufsicht, dass der sicherste Schutz für Kinder und Jugendliche unabhängig vom Datenschutz sei, »gar keine Bilder offen ins Netz zu stellen«: »Wir fordern deshalb die Verantwortlichen kirchlicher Einrichtungen nochmals auf, das Veröffentlichen von Personenfotos zu unterlassen. um die Persönlichkeitsrechte und Sicherheitsinteressen von Kindern und Jugendlichen zu wahren.« Diese Position ist bekannt – sie blendet aber auch weiterhin aus, dass digitale Veröffentlichungen die Öffentlichkeit wesentlich konstituieren, und auch Kinder und Jugendliche nicht nur Sicherheitsinteressen, sondern auch Teilhabe- und Repräsentanzinteressen haben. Um ein Wort von Heribert Prantl zu adaptieren: So wie es die Freiheit gefährdet, den »Terroristen als Gesetzgeber«(Affiliate Link) zu adeln, sollte auch nicht der Pädokriminelle als Gesetzgeber fungieren können.

Für katholisch.de habe ich diese Woche zu Datenabfragen des Kreisordnungsamts Oldenburg bei kirchlichen Gemeinden zum Corona-Schutz recherchiert. Nach einigem Medienrummel, weil ein wohl übereifriger Mitarbeiter Kontaktdaten von Konfirmanden erfragt hatte, konnte ich Entwarnung geben: Der Mitarbeiter wurde von der Behördenleiterin eingebremst, es gibt keine weiteren (ohnehin rechtlich nicht zulässige) Kontaktdatenabfragen.

Weiterlesen

Ändere-dein-Passwort-Tag? Besser nicht!

Heute ist Ändere-dein-Passwort-Tag! Das heißt aber noch lange nicht, dass regelmäßiger Passwortwechsel eine gute Idee ist: Wer sich regelmäßig neue Passworte merken muss, wird einfachere, leichter zu erratende wählen. Der GAU dabei ist der vierteljährlich erzwungene Windows-Passwort-Wechsel, mit dem IT-Abteilungen IT-Sicherheit vorgaukeln. Ergebnis: An das Passwort wird alle drei Monate eine neue Zahl angehängt. Sicherheitsgewinn: keiner.

Ein stilisiertes Passwort-Eingabe-Feld
Bildquelle: Christiaan Colen (Flickr), „Computer login“, CC BY-SA 2.0.

Gegen akute Angriffe nützt ein regelmäßiger Passwortwechsel auch nichts: Wenn ein Passwort kompromittiert ist, dann wird das sofort genutzt – und nicht erst nach dem jährlichen Passwortwechsel. Dennoch ist der jährliche Passwort-Tag eine gute Gelegenheit, sich Gedanken über den eigenen Umgang mit Passworten zu machen.

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW31

Die Woche endet mit einer Entscheidung des Beauftragten für den Datenschutz der EKD, die vieles erschweren dürfte: Das Medienprivileg (§ 51 DSG-EKD) gilt seiner Auffassung nach nicht für den Gemeindebrief. Es mangle am Zweck, »Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten« und dem unbestimmten Empfängerkreis. Das sieht die Deutsche Bischofskonferenz nur zum Teil so, die in ihrer schon lange veröffentlichten FAQ-Liste festhält, dass grundsätzlich auch Pfarrbriefe dem Medienprivileg (§ 55 KDG) unterfallen können: »Hier dürfte es entscheidend darauf ankommen, ob diese sich im Einzelfall lediglich an die Gemeindemitglieder oder an einen öffentlichen, unbestimmbaren Personenkreis richten.«

Kommende Woche Freitag findet das digitale Barcamp Bonn statt. Ich biete eine Session an: So funktioniert Datenschutz: Einführung in die DSGVO für Anfänger*innen (so grundsätzlich gehalten, dass es auch für Anwender*innen der kirchlichen Datenschutzgesetze nützlich ist). Anmeldungen für das digitale Barcamp sind noch möglich.

Eine Datenschutzschulung speziell für das Gesetz über den kirchlichen Datenschutz (KDG) bietet das Erzbistum München und Freising auf seiner Lernplattform an. Es richtet sich zwar an Mitarbeiter*innen und Ehrenamtliche der Diözese, die Anmeldung ist aber allen möglich. Durchaus nützlich, ein Zertifikat gibt’s auch, im Detail aber problematisch, wenn es zu Passworten nur die Tipps gibt, sie nicht im Browser (warum eigentlich?) und auf Post-its zu speichern und sie regelmäßig zu wechseln (spätestens mit der letzten Fassung des BSI-Grundschutz-Kompendiums ist dieser Tipp veraltet und schon länger als Sicherheitsrisiko bekannt), aber keine sichere Alternative zum Post-it präsentiert wird.

Wie Auftragsverarbeitung nach dem KDG funktioniert, steht im Datenschutzblog von Reichert und Reichert. Das Fazit: »Die Zusammenarbeit zwischen kirchlichen Rechtsträgern und nicht-kirchlichen Stellen kann im Datenschutz für beide Seiten herausfordernd sein. Die Einbeziehung des für die meisten Auftragsverarbeiter unbekannten KDG stößt auf Unsicherheiten, vielfach auch auf die fehlende Bereitschaft, sich mit dem Datenschutzrecht des Auftraggebers zumindest überblicksartig zu beschäftigten.« Im Artikel geht es nur um die katholische Variante, die dank einer sehr liberalen Beschlusslage der Konferenz der Diözesandatenschutzbeauftragten sehr einfach umzusetzen ist. Evangelisch wird’s etwas schwerer: Im Gegensatz zum KDG fordert das DSG-EKD explizit, dass sich Auftragsverarbeiter*innen der kirchlichen Datenschutzaufsicht unterwerfen (§ 30 Abs. 5 Satz 3 DSG-EKD).

Weiterlesen