Schlagwort-Archive: Rückverfolgbarkeit

Ticketsysteme für Gottesdienste – und der Datenschutz?

Rückverfolgbarkeit von Gottesdienst-Teilnehmenden ist für die Infektionskettenverfolgung immer noch ein wichtiges Thema – die Lösungen dafür sind vielfältig und realisieren ganz unterschiedliche Datenschutzniveaus: Von der Eintragung in eine fortlaufende, offen einsehbare Liste (ganz schlecht) bis zum Einwurf von individuellen Karten mit Kontaktdaten in geschlossene Behältnisse (sehr gut) ist alles dabei – und auch elektronische Varianten mit Ticketsystemen und Voranmeldungen sind im Einsatz.

Die Silhouette einer Kirche auf einer Collage von Eintrittskarten
Montage: Manfred Heyde (Wikimedia Commons), CC BY-SA 3.0; Frankie Luis Garcia (Unsplash)

So praktisch das ist: Datenschutzrechtlich ist die Umsetzung anspruchsvoll – erst recht, wenn eine Gemeinde ein besonderes Serviceniveau durch die Reservierung von Dauerplätzen oder eine vereinfachte Anmeldung mit hinterlegten Daten anbieten will. Um solche Systeme einigermaßen datenschutzkonform zu betreiben, braucht es einige Überlegungen.

Weiterlesen

So datensparsam kann Rückverfolgbarkeit sein – Wochenrückblick KW 37

Datensparsam und hilfreich gegen Schlangestehen vor dem Gottesdienst: Das Rückverfolgbarkeitsformular, das seit 1. September in St. Petrus Bonn im Einsatz ist.

Man freut sich doch gelegentlich auch über die kleinen Dinge: Unsinnige Rechtsgrundlagen und zweifelhafte, weil allzu öffentliche Listen-Lösungen bei der Rückverfolgbarkeit von Veranstaltungen und Restaurantbesuchen gibt es immer noch viel zu viele. Umso schöner, wenn eine Pfarrei wie St. Petrus in Bonn nach Wochen, in denen beim Anstehen einsehbare Listen durch Freiwillige geführt wurden, jetzt auf eine einfache, clevere datensparsame und schlangenvermeidende Lösung umgestellt wurde: Formulare, die schon zu Hause ausgefüllt werden können und in eine verschlossene Box geworfen werden. Noch eine schöne Lowtech-Variante hat Winfrid Veil gesehen. (Wie’s auch mit den korrekten Informationen geht, stand hier schon im Blog.)

Aus Bayern gibt es Neues – und zwar nichts Neues: Mittlerweile verdichten sich die Zeichen, dass der Diözesandatenschutzbeauftragte auch nach seinem offiziellen Dienstende in Verlängerung geht, bis ein Nachfolger gefunden ist. Man erzählt sich, dass es daran liegen könnte, dass man wieder keinen Kirchen-Insider berufen soll, was in Bayern Tradition hat – vor Jupp Joachimski waren bereits ein ehemaliger Polizeipräsident und ein anderer ehemaliger Richter in vergleichbaren Positionen in Bayern tätig.

Weiterlesen

Epochenwechsel in Bayern – Wochenrückblick KW 35

Seit dieser Woche sind alle veröffentlichten Tätigkeitsberichte der kirchlichen Datenschutzaufsichten für 2019 hier im Blog besprochen: die Orden, der Nordwesten und der Osten. Es fehlen Bayern, Südwest und NRW. (Der EKD-Bericht erschien bisher im zweijährigen Turnus, den § 41 DSG-EKD mindestens vorschreibt. Der nächste turnusgemäße wäre dann für 2021 für 19/20 zu erwarten.) Bei meinen Recherchen wurde für das ungewöhnlich späte Erscheinen in der Regel die Corona-Krise angeführt: Wenn sonst im Büro geschrieben wird, war dieses Jahr (hoffentlich rechtskonformes) Homeoffice zu organisieren.

NRW und Südwest haben mir jeweils »nach der Sommerpause« und »im Herbst« fürs Erscheinen angekündigt. In Bayern gibt es noch einen besonderen Grund für die Verspätung: Zum 30. September endet das Mandat des Diözesandatenschutzbeauftragten Jupp Joachimski, zu diesem Datum will er auch seinen Bericht für 2019 und die ersten drei Quartale von 2020 vorlegen. Ein Nachfolger steht noch nicht fest – jedenfalls ist keiner bekannt. Mit Joachimski verlässt der einzige unter den fünf Diözesandatenschutzbeauftragten das Amt, der nicht aus dem Bereich Verwaltung und Compliance kommt, sondern früher Richter war. Seine Äußerungen – etwa zur Anwendbarkeit der Kriterien des Kunsturhebergesetzes, um Fotoveröffentlichungen ohne Rechtsgrundlage Einwilligung zu ermöglichen – zeugten von einer Sensibilität für die Abwägung von Grundrechten, die nicht alle seine Kolleg*innen an den Tag legen.

Weiterlesen

Adressen für die Caritas – Wochenrückblick KW 34

Das Interdiözesane Datenschutzgericht (IDSG) hat einen neuen Beschluss veröffentlicht – mitten aus dem Pfarreileben: Zweimal im Jahr kommt der Spendenbrief für die Caritas-Sammlung, und ein Gemeindemitglied setzt alle Hebel in Bewegung, um von dem Spendenbrief verschont zu werden. Im Ergebnis kein Erfolg für den Antragsteller: Daten zur Caritas sind nicht geflossen, die Pfarrei hat die Briefe selbst adressiert, für Werbesperrvermerke sind weltliche Gerichte zuständig, und die Adressierung ist zulässig.

Interessant sind mehrere Punkte: Allgemein zeigt sich wieder, dass – trotz der Ablehnung – die kirchlichen Gerichte sehr benutzer*innenfreundlich sind: Mit viel Wohlwollen wurde aus einer umgangssprachlich formulierte Beschwerde das rechtlich Relevante herausdestilliert und trotz der Ablehnung auf ganzer Linie sorgfältig und ausführlich argumentiert. Über die Sache hinaus ist die Frage der Rechtsgrundlage der Verarbeitung lesenswert: Die Pfarreien werden über eine Aufforderung im Amtsblatt zur Durchführung der Caritas-Sammlung aufgefordert. Das Gericht sieht dadurch – ohne ein formales Gesetz – die Verarbeitung als Erfüllung einer rechtlichen Verpflichtung (§ 6 Abs. 1 lit. d) KDG) als rechtmäßig an, in Frage komme außerdem die Wahrnehmung einer Aufgabe im kirchlichen Interesse (§ 6 Abs. 1 lit. f) KDG) in Frage.

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW33

Schrems II und das Aus für Privacy Shield beherrscht die Diskussion, langsam trudeln immer mehr Stellungnahmen, Einschätzungen und Strategien ein, fast alle großen kirchlichen Aufsichtsbehörden haben sich schon geäußert – hier im Blog wurden sie schon erwähnt.

Ein Aspekt wurde bisher nicht beleuchtet: Das katholische Gesetz über den kirchlichen Datenschutz ist in einem Punkt deutlich laxer formuliert als seine Pendants. In § 40 Abs. 2 lit. b KDG wird geregelt, dass Datenübertragungen in eine Drittland auch dann zulässig sind, wenn »der Verantwortliche oder der Auftragsverarbeiter nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, davon ausgehen kann, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.«

2018 kommentierte Alexander Golland das so (RDV 1/2018, S. 11): »Die Vorschrift unterläuft damit die Bewertungskompetenz, die der Europäischen Kommission bei Angemessenheitsentscheidungen sowie Standarddatenschutzklauseln und den Datenschutzaufsichtsbehörden hinsichtlich der genehmigungspflichtigen Garantien zusteht. Im Gegenzug erhält der Verantwortliche einen Beurteilungsspielraum, mit der Folge, dass er im Ergebnis selbst Angemessenheitsentscheidungen treffen kann.« Golland kommt zum Schluss, dass diese Regelung nicht mit der DSGVO in Einklang steht und damit unanwendbar ist – vielleicht taucht deshalb diese Norm bisher nicht explizit in den Stellungnahmen der katholischen Datenschutzaufsichten auf.

Aus der Rubrik dumm gelaufen: Ausgerechnet eine Online-Datenschutzschulung wird vom Kirchlichen Arbeitsgerichtshof als »technisches Überwachungssystem« bewertet. Im Urteil vom 25. Mai 2020 (KAGH M 20/19) geht es darum, ob die Schulung als Überwachungssystem eingestuft wird, obwohl nicht das Bistum bzw. die Pfarrei die erhobenen personenbezogenen Daten erhält, sondern nur die Betreiberfirma. Aus den Leitsätzen: es komme nicht darauf an, »ob der Dienstgeber selbst Zugriff auf die
erfassten Daten nehmen kann. Für das Eingreifen der Mitbestimmung reicht es
aus, dass der Dienstgeber die Entscheidung trifft, Informationen über das
Verhalten der Mitarbeiter durch eine zur Überwachung bestimmte technische
Einrichtung erfassen zu lassen«. Daher ist bei der Einführung dieser Online-Schulung die Mitarbeitervertretung zu beteiligen; die Maßnahme ist zustimmungspflichtig. (Beisitzerin auf der Dienstgeberseite war Ursula Becker-Rathmair, die Frankfurter Diözesandatenschutzbeauftragte.)

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW32

Die Rückverfolgbarkeit von Gastronomie-Gästen prägte diese Woche die Diskussion. Die Debatte konzentriert sich auf das Gastgewerbe; Rückverfolgbarkeit ist aber auch bei Gottesdiensten sicherzustellen – ein Aspekt, der bisher nicht vorkommt. Dabei geht es dort sogar um besondere Kategorien personenbezogener Daten: die Tatsache eines Gottesdienstbesuchs gehört auch nach kirchlichem Datenschutzrecht dazu. (Anders als im weltlichen wird zwar die bloße Information über die Zugehörigkeit zu einer Religionsgemeinschaft aus den besonderen Kategorien herausgenommen – Informationen über Gottesdienstbesuche gehen über die bloße Mitgliedschaft hinaus.)

Bei den Datenschutz-Notizen gibt es einen kurzen Überblick über erste kirchliche Reaktionen auf das Schrems-II-Urteil des EuGH. (Das von der Datenschutz-Nord-Gruppe betriebene Blog ist eines der wenigen, die regelmäßig auch den kirchlichen Datenschutz im Blick haben – ein Blick in den aktuellen Tätigkeitsbericht des Nordwest-Diözesandatenschutzbeauftragten verrät warum: Mehrere Bistümer haben einen betrieblichen Datenschutzbeauftragten des Unternehmens beauftragt.)

Weiterlesen

Rechtskonforme Rückverfolgbarkeit von Gottesdiensten – gar nicht so einfach

Zur Eindämmung der Corona-Pandemie ist die Rückverfolgbarkeit der Mitfeiernden bei Gottesdiensten ein wichtiges Element – das allerdings auch datenschutzkonform umgesetzt werden muss. In Nordrhein-Westfalen wurde die entsprechende Anforderung erst sehr spät (und für die katholische Kirche überraschend) in die ab 30. Mai geltende Corona-Schutzverordnung aufgenommen, Wochen, nachdem die öffentlichen Gottesdienste wieder aufgenommen wurden.

Weiterlesen