Schlagwort-Archive: Privacy Shield

Beschäftigtendatenschutz-Woche! – Wochenrückblick KW 45

Schreiben Sie eine Antwort

Beim Beauftragten für den Datenschutz der EKD ist Beschäftigtendatenschutz-Woche: In zwei frisch erschienenen Flyern mit Kurzinformationen geht es um Personalakten und Informationen für Mitarbeitende. Das Papier zu Personalakten startet vage (»Unterschiedliche Teile der Personalakte unterliegen aufgrund unterschiedlicher Verarbeitungszwecke der personenbezogenen Daten unterschiedlichen Aufbewahrungsfristen.«), wird dann aber doch sehr hilfreich und listet auf, was in die Personalakte gehört, was nicht und wie damit umzugehen ist.

Das Kurzpapier »Was müssen Mitarbeitende über den Datenschutz wissen?« ist gut gemeint – aber für normale Mitarbeitende doch etwas kryptisch, da viele Fragen nur mit einem Verweis auf die Fundstelle im Gesetz beantwortet werden. Als Grundlage für betriebliche Datenschutzbeauftragte kann es aber hilfreich sein für die Planung von Schulungen. Leider zieht sich auch hier durch das Papier die ärgerliche Angewohnheit des DSB-EKD durch, Informationen nach nicht nachvollziehbaren Kriterien nur selektiv zu nennen. Dass bei der Frage nach der Veröffentlichungen von Mitarbeitendenfotos (grundsätzlich nur mit Einwilligung) der Sonderfall von Mitarbeitenden nicht erwähnt wird, bei denen das zum Stellenprofil gehört (z. B. bei Pressesprecher*innen), ist verschmerzbar. Wie in einem Papier zum Beschäftigtendatenschutz aber nur die Rechtsgrundlagen Einwilligung und Gesetz für die Verarbeitung personenbezogener Daten erwähnt werden können, wo doch hier in der Regel die einschlägigen Rechtsgrundlagen Arbeitsvertrag und insbesondere die speziellen Regelungen zum Beschäftigtendatenschutz (§ 49 DSG-EKD) sind, ist unverständlich. Eine grobe Unterlassung ist es zudem, dass die Problematik von Einwilligungen im Arbeitsverhältnis und die besonderen Anforderungen an sie (auf die § 49 Abs. 3 DSG-EKD explizit eingeht) gar nicht erst erwähnt wird.

Auch im Bereich der katholischen Kirche scheint die Sommerpause jetzt vorbei zu sein. Der bayerische Diözesandatenschutzbeauftragte hat eine Handreichung zu Schrems II veröffentlicht und das Erzbistum Köln reiht sich ein in die Bistümer, die ein eigenes §-29-KDG-Gesetz zur Auftragsdatenverarbeitung erlassen haben. Außerdem haben die Datenschutz-Notizen über den bayerischen Tätigkeitsbericht berichtet: »kurz und brisant« ist das Urteil, ähnlich wie meines.

Weiterlesen

Wenn die Corona-App rote Welle hat – Wochenrückblick KW 44

Schreiben Sie eine Antwort

Taugt Fiebermessen für den Infektionsschutz am Arbeitsplatz? Mit der rollenden zweiten Welle wird die Frage wieder wichtiger – und auch für Dienstgeber*innen und Mitarbeitervertreter*innen relevant: Unter welchen Bedingungen darf überhaupt bei Beschäftigen gemessen werden? Im Datenschutzblog der Kanzlei Reichert und Reichert schaut sich Matthias Herkert die Empfehlungen verschiedener Datenschutzaufsichten an und prüft, ob und wie im Rahmen des DSG-EKD Fieber gemessen werden kann. Sein Fazit: »Während das Thema in den vergangenen Monaten von Datenschützern und den meisten Aufsichtsbehörden eher kritisch gesehen wurde, kann das aktuelle Infektionsgeschehen und der im Bereich der Pflege und Betreuung völlig regelmäßige Umgang mit Risikogruppen den Einsatz entsprechender Geräte derzeit wohl rechtfertigen.«

Rückverfolgbarkeit bei Gottesdiensten bleibt ein Thema – im kommenden Wellenbrecher-Lockdown sind Gottesdienste weiterhin möglich. Die Erzdiözese Freiburg hat in ihrem aktuellen Amtsblatt eine neue Fassung der »Instruktion zur Feier der Liturgie in Zeiten der Corona-Krise« veröffentlicht, in denen noch einmal betont wird, dass das Auslegen von Listen nicht zulässig ist. Das Referat Datenschutz des Bistums stellt ein Musterformular und Informationen zur Rechtslage in Baden-Württemberg bereit.

Gibt es eigentlich noch dienstliche Besucher*innen? Auch dafür gibt es ein Formular, das neben Rückverfolgbarkeit auch einen Covid-19-Symptom-Check beinhaltet. Außerdem stellt die Datenschutzaufsicht der Evangelischen Landeskirchen und Diakonien Sachsen und Anhalts Beschäftigteninformationen für Besuchsregelungen bereit.

Weiterlesen

Land unter in Bayern – Tätigkeitsbericht 2019 des bayerischen Diözesandatenschutzbeauftragten

Schreiben Sie eine Antwort

Bayern tickt anders, auch beim Datenschutz – das zeigt der heute erschienene Bericht des bayerischen Diözesandatenschutzbeauftragten, der bisher kompakteste: Mit zehn Seiten kommt Jupp Joachimski aus. Diese zehn Seiten haben es aber in sich. Die Neuerungen beim KDG sind schon aus meinen Interviews mit Joachimski (hier und auf katholisch.de) bekannt.

Die Situation der Datenschutzaufsicht in Bayern ist im Bericht erstmals in aller Deutlichkeit beschrieben: Der Diöezsandatenschutzbeauftragte in Teilzeit, ohne Vertreter*in und immer im Dienst (»Einen förmlichen Vertreter habe ich seit Juli 2018 nicht mehr. Dies hatte zur Folge, dass ich während sämtlicher Urlaubsabwesenheiten meine Dienstgeschäfte weiterführen musste.«), nur ein Mitarbeiter (zum Vergleich: das NRW-Datenschutzzentrum hat elf Planstellen), die Errichtung des 2018 beschlossenen Datenschutzzentrums kommt nicht von der Stelle.

Weiterlesen

Jubiläum im Amtsblatt, Beichte in der App – Wochenrückblick KW 40

2 Antworten

Personalia und Jubiläen in kirchlichen Amtsblättern und Gemeindebriefen – das ist ein datenschutzrechtlicher Dauerbrenner, erst recht, wenn die Publikationen auch ins Netz sollen. (Denn das Medienprivileg steht dafür ziemlich sicher nicht zur Verfügung.) Die sauberste Lösung ist ein Gesetz, hatte der Nordwest-Diözesandatenschutzbeauftragte in seinem Tätigkeitsbericht für 2019 angemahnt. Seit Mai 2019 gibt es das schon im Erzbistum Hamburg (»Ausführungsdekret zur Veröffentlichung von Sakramentsspendungen sowie Geburtstags-, Ehe-, Weihe-, Ordens- und Dienstjubiläen im Erzbistum Hamburg«) für fast alle Publikationen, nun hat Essen im aktuellen Amtsblatt (Nr. 81, S. 108) nachgezogen mit einer deutlich engeren Regelung nur fürs Amtsblatt (»Verordnung betreffend die Veröffentlichung personenbezogener Daten kirchlicher Amtsträger«).

Noch so ein Dauerbrenner: Die Beichte digitalisieren. Bei katholisch.de wird über die neue Schweizer App »Confessora« berichtet, und keine zwei Tweets später wird die Frage nach der datenschutzrechtlichen Zulässigkeit gestellt. Nun ist diese App aus der Schweiz und nicht von einer kirchlichen Stelle – kirchliches Datenschutzrecht also nicht einschlägig. Bevor jedoch jemand auf falsche Gedanken kommt – die rechtliche Lage nach kirchlichem Datenschutzrecht wäre so: Katholischerseits kümmert sich die KDG-Durchführungsverordnung darum. Personenbezogene Daten, die dem Beichtgeheimnis unterliegen, dürfen nicht verarbeitet werden. Im Fall der App dürften die Daten aber nicht dem Beicht-, sondern dem Seelsorgegeheimnis unterliegen (da es sich von vornherein nicht um eine sakramentale Beichte handelt). Damit sind besondere Schutzvorkehrungen bei der Verarbeitung zu treffen (§ 14 Abs. 3–5 KDG-DVO). Evangelischerseits regelt § 3 DSG-EKD das Seelsorgegeheimnis, das auf ein eigenes Seelsorgegeheimnisgesetz verweist. Hier ist § 11 einschlägig: »Soweit Seelsorge mit technischen Kommunikationsmitteln ausgeübt wird, haben die jeweilige kirchliche Dienststelle oder Einrichtung und die in der Seelsorge tätige Person dafür Sorge zu tragen, dass die Vertraulichkeit in höchstmöglichem Maß gewahrt bleibt.« Hohe Hürden für den (ohnehin nicht wahrscheinlichen) Einsatz der App in kirchlicher Verantwortung.

Weiterlesen

Wo ist eigentlich das Nürnberger Datenschutzzentrum? – Wochenrückblick KW 36

Schreiben Sie eine Antwort

Nach dem kurzen Aufflackern von Aktivismus um Schrems II herum ist es ziemlich still geworden von offizieller Seite – seit Wochen keine öffentliche Äußerung der kirchlichen Datenschutzaufsichten mehr. Grund genug, um einer weiteren Stille nachzuspüren: In der vergangenen Woche ging es schon mal um den bayerischen Diözesandatenschutzbeauftragten, dessen reguläres Ende der Dienstzeit – 30. September – immer näher rückt.

Immer noch gibt es weder eine Ausschreibung noch eine Nachricht – und war da nicht noch etwas? Richtig: 2018 hatte die Freisinger Bischofskonferenz auf ihrer Frühjahrsvollversammlung folgendes beschlossen:

Die Freisinger Bischofskonferenz errichtet in Nürnberg ein kirchliches Datenschutzzentrum, das als unabhängige kirchliche Behörde die Aufgaben der Datenschutzaufsicht wahrnehmen wird.

Erklärung der Freisinger Bischofskonferenz: Frühjahrsvollversammlung der bayerischen Bischöfe in Augsburg vom 14. bis 15. März 2018

Bisher ist noch nichts darüber bekannt, wann es so weit sein wird – Anfragen laufen.

Weiterlesen

Epochenwechsel in Bayern – Wochenrückblick KW 35

Schreiben Sie eine Antwort

Seit dieser Woche sind alle veröffentlichten Tätigkeitsberichte der kirchlichen Datenschutzaufsichten für 2019 hier im Blog besprochen: die Orden, der Nordwesten und der Osten. Es fehlen Bayern, Südwest und NRW. (Der EKD-Bericht erschien bisher im zweijährigen Turnus, den § 41 DSG-EKD mindestens vorschreibt. Der nächste turnusgemäße wäre dann für 2021 für 19/20 zu erwarten.) Bei meinen Recherchen wurde für das ungewöhnlich späte Erscheinen in der Regel die Corona-Krise angeführt: Wenn sonst im Büro geschrieben wird, war dieses Jahr (hoffentlich rechtskonformes) Homeoffice zu organisieren.

NRW und Südwest haben mir jeweils »nach der Sommerpause« und »im Herbst« fürs Erscheinen angekündigt. In Bayern gibt es noch einen besonderen Grund für die Verspätung: Zum 30. September endet das Mandat des Diözesandatenschutzbeauftragten Jupp Joachimski, zu diesem Datum will er auch seinen Bericht für 2019 und die ersten drei Quartale von 2020 vorlegen. Ein Nachfolger steht noch nicht fest – jedenfalls ist keiner bekannt. Mit Joachimski verlässt der einzige unter den fünf Diözesandatenschutzbeauftragten das Amt, der nicht aus dem Bereich Verwaltung und Compliance kommt, sondern früher Richter war. Seine Äußerungen – etwa zur Anwendbarkeit der Kriterien des Kunsturhebergesetzes, um Fotoveröffentlichungen ohne Rechtsgrundlage Einwilligung zu ermöglichen – zeugten von einer Sensibilität für die Abwägung von Grundrechten, die nicht alle seine Kolleg*innen an den Tag legen.

Weiterlesen

Adressen für die Caritas – Wochenrückblick KW 34

Schreiben Sie eine Antwort

Das Interdiözesane Datenschutzgericht (IDSG) hat einen neuen Beschluss veröffentlicht – mitten aus dem Pfarreileben: Zweimal im Jahr kommt der Spendenbrief für die Caritas-Sammlung, und ein Gemeindemitglied setzt alle Hebel in Bewegung, um von dem Spendenbrief verschont zu werden. Im Ergebnis kein Erfolg für den Antragsteller: Daten zur Caritas sind nicht geflossen, die Pfarrei hat die Briefe selbst adressiert, für Werbesperrvermerke sind weltliche Gerichte zuständig, und die Adressierung ist zulässig.

Interessant sind mehrere Punkte: Allgemein zeigt sich wieder, dass – trotz der Ablehnung – die kirchlichen Gerichte sehr benutzer*innenfreundlich sind: Mit viel Wohlwollen wurde aus einer umgangssprachlich formulierte Beschwerde das rechtlich Relevante herausdestilliert und trotz der Ablehnung auf ganzer Linie sorgfältig und ausführlich argumentiert. Über die Sache hinaus ist die Frage der Rechtsgrundlage der Verarbeitung lesenswert: Die Pfarreien werden über eine Aufforderung im Amtsblatt zur Durchführung der Caritas-Sammlung aufgefordert. Das Gericht sieht dadurch – ohne ein formales Gesetz – die Verarbeitung als Erfüllung einer rechtlichen Verpflichtung (§ 6 Abs. 1 lit. d) KDG) als rechtmäßig an, in Frage komme außerdem die Wahrnehmung einer Aufgabe im kirchlichen Interesse (§ 6 Abs. 1 lit. f) KDG) in Frage.

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW33

Schreiben Sie eine Antwort

Schrems II und das Aus für Privacy Shield beherrscht die Diskussion, langsam trudeln immer mehr Stellungnahmen, Einschätzungen und Strategien ein, fast alle großen kirchlichen Aufsichtsbehörden haben sich schon geäußert – hier im Blog wurden sie schon erwähnt.

Ein Aspekt wurde bisher nicht beleuchtet: Das katholische Gesetz über den kirchlichen Datenschutz ist in einem Punkt deutlich laxer formuliert als seine Pendants. In § 40 Abs. 2 lit. b KDG wird geregelt, dass Datenübertragungen in eine Drittland auch dann zulässig sind, wenn »der Verantwortliche oder der Auftragsverarbeiter nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, davon ausgehen kann, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.«

2018 kommentierte Alexander Golland das so (RDV 1/2018, S. 11): »Die Vorschrift unterläuft damit die Bewertungskompetenz, die der Europäischen Kommission bei Angemessenheitsentscheidungen sowie Standarddatenschutzklauseln und den Datenschutzaufsichtsbehörden hinsichtlich der genehmigungspflichtigen Garantien zusteht. Im Gegenzug erhält der Verantwortliche einen Beurteilungsspielraum, mit der Folge, dass er im Ergebnis selbst Angemessenheitsentscheidungen treffen kann.« Golland kommt zum Schluss, dass diese Regelung nicht mit der DSGVO in Einklang steht und damit unanwendbar ist – vielleicht taucht deshalb diese Norm bisher nicht explizit in den Stellungnahmen der katholischen Datenschutzaufsichten auf.

Aus der Rubrik dumm gelaufen: Ausgerechnet eine Online-Datenschutzschulung wird vom Kirchlichen Arbeitsgerichtshof als »technisches Überwachungssystem« bewertet. Im Urteil vom 25. Mai 2020 (KAGH M 20/19) geht es darum, ob die Schulung als Überwachungssystem eingestuft wird, obwohl nicht das Bistum bzw. die Pfarrei die erhobenen personenbezogenen Daten erhält, sondern nur die Betreiberfirma. Aus den Leitsätzen: es komme nicht darauf an, »ob der Dienstgeber selbst Zugriff auf die
erfassten Daten nehmen kann. Für das Eingreifen der Mitbestimmung reicht es
aus, dass der Dienstgeber die Entscheidung trifft, Informationen über das
Verhalten der Mitarbeiter durch eine zur Überwachung bestimmte technische
Einrichtung erfassen zu lassen«. Daher ist bei der Einführung dieser Online-Schulung die Mitarbeitervertretung zu beteiligen; die Maßnahme ist zustimmungspflichtig. (Beisitzerin auf der Dienstgeberseite war Ursula Becker-Rathmair, die Frankfurter Diözesandatenschutzbeauftragte.)

Weiterlesen

Es bleibt schwierig mit den USA: Weitere kirchliche Aufsichten zu Schrems II

Schreiben Sie eine Antwort

Zwei weitere kirchliche Aufsichtsbehörden haben sich zum Aus für das Privacy Shield geäußert: Der Beauftragte für den Datenschutz der EKD hat eine FAQ veröffentlicht, die Diözesandatenschutzbeauftragte für die Südwest-Bistümer eine Orientierungshilfe.

Logo des Privacy Shield Frameworks

Im Ergebnis kommen die beiden Aufsichtsbehörden nicht zu anderen Ergebnissen als bereits direkt nach dem Urteil die Diözesandatenschutzbeauftragten von NRW und der Nordwest-Bistümer: Es gibt keine Übergangszeit, Standardvertragsklausen sind aufgrund der Überwachungsgesetze in den USA schwierig. Im Detail gibt es aber jeweils interessante Informationen – die evangelische FAQ ist auch praxisnäher anwendbar als das von NRW und Nordwest vorgestellte Prüfschema. Wie die »Ausnahmen für bestimmte Fälle« in der Praxis angewandt werden können, wird im kirchlichen Bereich aber bisher nicht geklärt.

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW31

Schreiben Sie eine Antwort

Die Woche endet mit einer Entscheidung des Beauftragten für den Datenschutz der EKD, die vieles erschweren dürfte: Das Medienprivileg (§ 51 DSG-EKD) gilt seiner Auffassung nach nicht für den Gemeindebrief. Es mangle am Zweck, »Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten« und dem unbestimmten Empfängerkreis. Das sieht die Deutsche Bischofskonferenz nur zum Teil so, die in ihrer schon lange veröffentlichten FAQ-Liste festhält, dass grundsätzlich auch Pfarrbriefe dem Medienprivileg (§ 55 KDG) unterfallen können: »Hier dürfte es entscheidend darauf ankommen, ob diese sich im Einzelfall lediglich an die Gemeindemitglieder oder an einen öffentlichen, unbestimmbaren Personenkreis richten.«

Kommende Woche Freitag findet das digitale Barcamp Bonn statt. Ich biete eine Session an: So funktioniert Datenschutz: Einführung in die DSGVO für Anfänger*innen (so grundsätzlich gehalten, dass es auch für Anwender*innen der kirchlichen Datenschutzgesetze nützlich ist). Anmeldungen für das digitale Barcamp sind noch möglich.

Eine Datenschutzschulung speziell für das Gesetz über den kirchlichen Datenschutz (KDG) bietet das Erzbistum München und Freising auf seiner Lernplattform an. Es richtet sich zwar an Mitarbeiter*innen und Ehrenamtliche der Diözese, die Anmeldung ist aber allen möglich. Durchaus nützlich, ein Zertifikat gibt’s auch, im Detail aber problematisch, wenn es zu Passworten nur die Tipps gibt, sie nicht im Browser (warum eigentlich?) und auf Post-its zu speichern und sie regelmäßig zu wechseln (spätestens mit der letzten Fassung des BSI-Grundschutz-Kompendiums ist dieser Tipp veraltet und schon länger als Sicherheitsrisiko bekannt), aber keine sichere Alternative zum Post-it präsentiert wird.

Wie Auftragsverarbeitung nach dem KDG funktioniert, steht im Datenschutzblog von Reichert und Reichert. Das Fazit: »Die Zusammenarbeit zwischen kirchlichen Rechtsträgern und nicht-kirchlichen Stellen kann im Datenschutz für beide Seiten herausfordernd sein. Die Einbeziehung des für die meisten Auftragsverarbeiter unbekannten KDG stößt auf Unsicherheiten, vielfach auch auf die fehlende Bereitschaft, sich mit dem Datenschutzrecht des Auftraggebers zumindest überblicksartig zu beschäftigten.« Im Artikel geht es nur um die katholische Variante, die dank einer sehr liberalen Beschlusslage der Konferenz der Diözesandatenschutzbeauftragten sehr einfach umzusetzen ist. Evangelisch wird’s etwas schwerer: Im Gegensatz zum KDG fordert das DSG-EKD explizit, dass sich Auftragsverarbeiter*innen der kirchlichen Datenschutzaufsicht unterwerfen (§ 30 Abs. 5 Satz 3 DSG-EKD).

Weiterlesen