Schlagwort-Archive: Schrems II

Evaluieren und impfen – Wochenrückblick KW 5/2021

Noch ist nicht viel bekannt über die Evaluierung des Gesetzes über den kirchlichen Datenschutz (KDG) – zwar hat der bayerische Diözesandatenschutzbeauftragte in seinem Bericht und im Interview schon einige Punkte verraten. Ob und wie eine größere Beteiligung geplant ist, wurde dagegen noch nicht bekannt gegeben. Deshalb nimmt die Gesellschaft katholischer Publizisten (GKP) das jetzt selbst in die Hand. (Ich bin dort im Vorstand und koordiniere das Projekt.) Bis zum 28. Februar sind Mitglieder und weitere interessierte eingeladen, sich an einer Stellungnahme zu beteiligen. Schwerpunkte dabei sind der Medienbereich (Bildrechte, Medienprivileg, Streaming) und die Anwendung in Vereinen und Verbänden. Die Stellungnahme kann für liberalere Freund*innen des Drittstaatentransfers direkt auf Google Docs kommentiert werden, ansonsten per Mail.

Auch die katholische Datenschutzkonferenz hat gearbeitet: Sie hat sich in einem noch nicht im Volltext verfügbaren Beschluss mit der Frage auseinandergesetzt, ob Dienstgeber*innen von Beschäftigen Corona-Impfnachweise verlangen dürfen. Das Ergebnis: Vorerst nicht, da noch nicht bekannt ist, ob eine Impfung auch Übertragungen verhindert. Ein Interesse am Impfstatus bestehe für Dienstgeber*innen aber nur mit Blick auf die Gefährdung von Dritten. »Wenn wissenschaftlich erwiesen ist, dass eine Impfung nicht nur Geimpfte schützt, sondern darüber hinaus auch eine Weitergabe des Virus ausschließt, ist über diese Frage ggf. neu zu entscheiden«, so die KDSA Ost.

Außerhalb der katholischen Kirche war der Brexit Thema: Während der evangelische Beauftragte für den Datenschutz noch einmal die aktuellen Entwicklungen rekapitulierte, wurde mir nun auch die Position des alt-katholischen Bistumsdatenschutzbeauftragten bekannt: Anders als seine römisch-katholischen Kolleg*innen lässt er keine UK-Auftragsverarbeitung während der Übergangsphase zu. (Möglicherweise ist die Mitteilung schon länger online – mir ist sie zuerst am Donnerstag aufgefallen.)

Weiterlesen

God is in the Clubhouse – Wochenrückblick KW 3/2021

2021 hat seine erste große Hype-App: Clubhouse. Muss man dazu viel sagen? Datenschutzrechtlich ist für einen Einsatz nicht nur in kirchlichen Kontexten einiges im Argen – die üblichen Kriterien für die zulässige dienstliche Nutzung werden jedenfalls kaum erfüllt: Sehr großer Druck, das Adressbuch zu teilen, Aufzeichnung und unklare Speicherfristen der Gespräche (das sollte bei seelsorglichen Gesprächen besonders im Blick sein!), dienstliche Nutzung in den AGB ausgeschlossen, kaum Transparenz über Betroffenenrechte. Klingt nicht gut, aber das gilt auch für mit mehr oder weniger schlechtem Gewissen selbstverständlich genutzte Kanäle wie Facebook oder WhatsApp. (Thomas Schwenke hat sich ausführlich damit beschäftigt – und kommt zum Schluss, dass unter gewissen Vorkehrungen ein nicht-privater Einsatz gerechtfertigt werden kann.) Dazu kommt die Frage nach Barrierefreiheit: Eine Audio-only-App erreicht naturgemäß nur Hörende, und iPhone-only mit Invite schließt auch viele aus (sorgt aber für Exklusivität).

Montage (Photo by Fabian Albert on Unsplash, Screenshot)

Die #digitalekirche springt jedenfalls mit Begeisterung auf die neue App und kann auch schon einige Erfolge vorweisen: Theotabea, Anna-Nicole Heinrich, Lisa Quarch und Gottdigital berichten von ersten Erfahrungen und Einschätzungen, ein Außenblick auf LinkedIn von Matthias Maier spricht dafür, mutig reinzugehen. Lesenswert ist auch die kritische Diskussion angesichts einiger problematischer Eigenschaften von Clubhouse, die Philipp Greifenstein angestoßen hat: Ist es naiv, einfach so begeistert reinzugehen, auch wenn die Plattform schon jetzt große Probleme mit unmoderierter gruppenbezogener Menschenfeindlichkeit hat? (Dazu ausführlich im Twitter-Thread von Taylor Lorenz, komprimiert auf Instagram von Maggie Tyson.) Lutz Neumeier meint: »Ich bin gerne naiv u nutze jede Möglichkeit Kirche zu Menschen zu bringen. Hat heute Abend ziemlich gut geklappt… u ich glaub Jesus, Paulus u viele andere waren auch naiv, sonst hätten sie nicht angefangen u erreicht, was sie haben. Paulus wär ohne nicht auf Reisen gegangen…« Wenn die Entscheidung dann für Clubhouse ausfällt: Das Landesjugendpfarramt Oldenburg hat für Einsteiger schon mal die ersten sich entwickelnden Hausregeln zusammengefasst.

Nicht ganz so hip wie Clubhouse: Das katholische Patient*innendatenschutzgesetz ist da: Das Bistum Würzburg hat als erstes das neue »Gesetz zum Schutz von Patientendaten bei der Seelsorge in katholischen Einrichtungen des Gesundheitswesens (Seelsorge-PatDSG)« veröffentlicht. Das Gesetz wird wieder in Form der Simultangesetzgebung der einzelnen Diözesen in Kraft gesetzt und sollte daher demnächst in noch mehr Amtsblättern auftauchen. Mehr dazu hier im Blog in der kommenden Woche.

Gute Nachrichten auch aus Hannover: Der Datenschutzbeauftragte der EKD nimmt seine Schulungen für den Fachkunde-Nachweis für kirchliche Datenschutzbeauftragte wieder auf, zunächst digital.

Weiterlesen

Corona und Schrems II: Das war 2020

War eigentlich noch was anderes 2020? Auch im kirchlichen Datenschutz lag der Schwerpunkt auf Corona, vom Homeoffice über Videokonferenzen bis zum Fiebermessen. Und als wäre eine Pandemie nicht anstrengend genug, hat der Europäische Gerichtshof auch noch das Privacy Shield kassiert.

Das Privacy-Shield-Logo und der Corona-Virus – Symbole für das Jahr 2020.

»Artikel 91« verabschiedet sich mit diesem Jahresrückblick in eine kurze Weihnachtspause. Falls nicht noch etwas Spektakuläres passiert (und wir haben immer noch 2020), geht es im Januar weiter mit einem Jahresausblick 2021.

Weiterlesen

Tut Buße! Nur wie? – Wochenrückblick KW 51

Die Angst vor Bußgeldern hat sich als weitgehend unbegründet erwiesen – auch wenn (so etwa in NRW) es langsam losgeht. Grundsätzliche Bedenken hat der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski schon zuvor geäußert. Jetzt legt er noch einmal nach mit einem kurzen Papier mit dem Titel »Bußgelderkenntnisse im Geltungsbereich von KDG/KDR-OG«, in dem er aufschlüsselt, wann, gegen wen und unter welchen Umständen überhaupt ein Bußgeld verhängt werden kann. Sein Ergebnis: In den meisten Fällen nicht – weil das KDG so formuliert ist, dass Bußgelder dann verhängt werden können, wenn der Verantwortliche vorsätzlich oder fahrlässig für die Datenschutzverletzung verantwortlich ist, während gegen Mitarbeitende nur in sehr speziellen Ausnahmen vorgegangen werden kann.

In der Diözese Rottenburg-Stuttgart beschäftigt sich das aktuelle Amtsblatt mit Schrems II und der praktischen Umsetzung des Urteils – ohne dabei wesentlich Neues zu bisherigen Veröffentlichungen beizutragen: »Zusammenfassend ist zu konstatieren, dass es ohne ein tragfähiges Abkommen zwischen der EU und den USA oder eine grundsätzliche Regelung auf EU-Ebene nach dem derzeitigen Stand keine völlig zufriedenstellenden Lösungen für die durch das EuGH-Urteil aufgeworfenen datenschutzrechtlichen Probleme gibt.« Hilfreich ist immerhin die Anweisung, wenigstens das Privacy Shield aus den Datenschutzerklärungen zu entfernen. Der elephant in the room wird auch hier wieder einmal nicht angesprochen: Dass § 29 Abs. 11 KDG Auftragsverarbeitung ausschließlich in Ländern der EU, des EWR oder solchen mit Angemessenheitsbeschluss zulässt – und damit Auftragsverarbeitung in den USA nach KDG generell nicht mehr möglich ist.

Im evangelischen Bereich gab es dagegen nur kleinere Änderungen in der Durchführungsverordnung der Evangelisch-Reformierten Kirche.

Nicht direkt Datenschutz, aber in jedem Fall lohnend: am Montag ist der Online-Kurs Kirchenrecht von Hendrik Munsonius vom Kirchenrechtlichen Institut der EKD gestartet: »Diese Einführung ist aus Vorlesungen an der Georg-August-Universität Göttingen hervorgegangen und richtet sich an Menschen, die an einer gedeihlichen Ordnung kirchlicher Praxis interessiert sind.« Dem kann man nichts hinzufügen – unbedingte Lockdown-Fortbildungs-Empfehlung!

Weiterlesen

Hart, härter, kirchlicher Datenschutz?

Der kirchliche Datenschutz gilt als besonders streng – jedenfalls hört man das oft von Anwender*innen. Aber stimmt das eigentlich? Schließlich müssen die eigenen Datenschutzregeln von Religionsgemeinschaften, so sieht es Art. 91 DSGVO vor, »in Einklang« mit den Wertungen der DSGVO stehen. Und während die Deutsche Bischofskonferenz schreibt, dass sie mit einem Unterschied in der Formulierung der Einwilligung nicht strenger, sondern »lediglich konkreter und damit anwenderfreundlicher« sein wollte, sagte der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski, der auch an der Ausarbeitung des KDG mitwirkte, dass die Kirche aufgrund ihres Demokratiedefizits handeln musste: »und deshalb waren wir an manchen Stellen bei der Entwicklung des KDG strenger, um zu zeigen, dass wir bereit sind, solche Defizite auszugleichen«, so Joachimski. Von evangelischer Seite sind keine solche Äußerungen bekannt – aber auch dort hört man selten den Vorwurf, das DSG-EKD sei zu lax.

Stimmt es aber überhaupt, dass die kirchlichen Gesetze im Zweifel strenger sind? Ein genauer Blick fördert Interessantes zu Tage – und einige Regelungen, über die man überraschend wenig in der Praxis hört. An einigen Punkten gibt es deutliche Abweichungen von den Regelungen der DSGVO, die auch das Schutzniveau für betroffene Personen verändern.

Weiterlesen

ÖKT, KDM, ohjeohje: Wochenrückblick KW 46

Der Ökumenische Kirchentag steht auf der Kippe, die Veranstaltenden wollen es noch nicht ganz wahrhaben, in der FAZ wurden Fakten geschaffen und später wieder hinter der Einschätzung des Kirchendezernenten der Stadt aufgeräumt. Was das mit kirchlichem Datenschutz zu tun hat? Eigentlich war der ÖKT als Veröffentlichungstermin für das Kirchliche Datenschutzmodell (KDM) vorgesehen, war im Bericht des NRW-Diözesandatenschutzbeauftragten zu lesen. Und außerdem biete ich dort einen Workshop mit dem Arbeitstitel »Datenschutz mit Augenmaß. Impulse für die Praxis« an.

Ansonsten im kirchlichen Datenschutz eine ruhige Woche ganz ohne offizielle Veröffentlichungen.

Weiterlesen

Beschäftigtendatenschutz-Woche! – Wochenrückblick KW 45

Beim Beauftragten für den Datenschutz der EKD ist Beschäftigtendatenschutz-Woche: In zwei frisch erschienenen Flyern mit Kurzinformationen geht es um Personalakten und Informationen für Mitarbeitende. Das Papier zu Personalakten startet vage (»Unterschiedliche Teile der Personalakte unterliegen aufgrund unterschiedlicher Verarbeitungszwecke der personenbezogenen Daten unterschiedlichen Aufbewahrungsfristen.«), wird dann aber doch sehr hilfreich und listet auf, was in die Personalakte gehört, was nicht und wie damit umzugehen ist.

Das Kurzpapier »Was müssen Mitarbeitende über den Datenschutz wissen?« ist gut gemeint – aber für normale Mitarbeitende doch etwas kryptisch, da viele Fragen nur mit einem Verweis auf die Fundstelle im Gesetz beantwortet werden. Als Grundlage für betriebliche Datenschutzbeauftragte kann es aber hilfreich sein für die Planung von Schulungen. Leider zieht sich auch hier durch das Papier die ärgerliche Angewohnheit des DSB-EKD durch, Informationen nach nicht nachvollziehbaren Kriterien nur selektiv zu nennen. Dass bei der Frage nach der Veröffentlichungen von Mitarbeitendenfotos (grundsätzlich nur mit Einwilligung) der Sonderfall von Mitarbeitenden nicht erwähnt wird, bei denen das zum Stellenprofil gehört (z. B. bei Pressesprecher*innen), ist verschmerzbar. Wie in einem Papier zum Beschäftigtendatenschutz aber nur die Rechtsgrundlagen Einwilligung und Gesetz für die Verarbeitung personenbezogener Daten erwähnt werden können, wo doch hier in der Regel die einschlägigen Rechtsgrundlagen Arbeitsvertrag und insbesondere die speziellen Regelungen zum Beschäftigtendatenschutz (§ 49 DSG-EKD) sind, ist unverständlich. Eine grobe Unterlassung ist es zudem, dass die Problematik von Einwilligungen im Arbeitsverhältnis und die besonderen Anforderungen an sie (auf die § 49 Abs. 3 DSG-EKD explizit eingeht) gar nicht erst erwähnt wird.

Auch im Bereich der katholischen Kirche scheint die Sommerpause jetzt vorbei zu sein. Der bayerische Diözesandatenschutzbeauftragte hat eine Handreichung zu Schrems II veröffentlicht und das Erzbistum Köln reiht sich ein in die Bistümer, die ein eigenes §-29-KDG-Gesetz zur Auftragsdatenverarbeitung erlassen haben. Außerdem haben die Datenschutz-Notizen über den bayerischen Tätigkeitsbericht berichtet: »kurz und brisant« ist das Urteil, ähnlich wie meines.

Weiterlesen

Facebook-Verbot mit Schonfrist: Bayerns DDSB zu Schrems II

Der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski hat sich Zeit genommen: Mehr als ein Vierteljahr nach dem Schrems-II-Urteil äußert er sich zu seinem Umgang mit dem Aus fürs Privacy Shield. Das Warten hat sich gelohnt: Das schon in der Woche nach dem Urteil veröffentlichte Prüfschema aus NRW und dem Nordosten half in der Praxis nicht viel weiter, hier gibt es etwas mehr Konkretes.

Joachimski legt nun eine Aufstellung von Einschätzungen vor, aufgeschlüsselt nach unterschiedlichen Datenarten – und er gibt (nach ersten Äußerungen im Tätigkeitsbericht) auch einen Ausblick, wie er selbst vorgehen wird. Grundsätzlich und der herrschenden Meinung entsprechend weist Joachimski darauf hin, dass explizit zwar nur Privacy Shield gekippt wurde, dass aber auch die Standardvertragsklauseln nach dem Urteil auf tönernen Füßen stehen, vor allem wegen des CLOUD Acts. Entgegen der herrschenden Meinung (aber mit der herrschenden Praxis) will er aber Übergangsfristen gewähren – mit einem Corona-Bonus. Weil es eh nicht anders geht: »Ein fahrender Zug hat auch einen gehörigen Bremsweg.«

Weiterlesen

Wenn die Corona-App rote Welle hat – Wochenrückblick KW 44

Taugt Fiebermessen für den Infektionsschutz am Arbeitsplatz? Mit der rollenden zweiten Welle wird die Frage wieder wichtiger – und auch für Dienstgeber*innen und Mitarbeitervertreter*innen relevant: Unter welchen Bedingungen darf überhaupt bei Beschäftigen gemessen werden? Im Datenschutzblog der Kanzlei Reichert und Reichert schaut sich Matthias Herkert die Empfehlungen verschiedener Datenschutzaufsichten an und prüft, ob und wie im Rahmen des DSG-EKD Fieber gemessen werden kann. Sein Fazit: »Während das Thema in den vergangenen Monaten von Datenschützern und den meisten Aufsichtsbehörden eher kritisch gesehen wurde, kann das aktuelle Infektionsgeschehen und der im Bereich der Pflege und Betreuung völlig regelmäßige Umgang mit Risikogruppen den Einsatz entsprechender Geräte derzeit wohl rechtfertigen.«

Rückverfolgbarkeit bei Gottesdiensten bleibt ein Thema – im kommenden Wellenbrecher-Lockdown sind Gottesdienste weiterhin möglich. Die Erzdiözese Freiburg hat in ihrem aktuellen Amtsblatt eine neue Fassung der »Instruktion zur Feier der Liturgie in Zeiten der Corona-Krise« veröffentlicht, in denen noch einmal betont wird, dass das Auslegen von Listen nicht zulässig ist. Das Referat Datenschutz des Bistums stellt ein Musterformular und Informationen zur Rechtslage in Baden-Württemberg bereit.

Gibt es eigentlich noch dienstliche Besucher*innen? Auch dafür gibt es ein Formular, das neben Rückverfolgbarkeit auch einen Covid-19-Symptom-Check beinhaltet. Außerdem stellt die Datenschutzaufsicht der Evangelischen Landeskirchen und Diakonien Sachsen und Anhalts Beschäftigteninformationen für Besuchsregelungen bereit.

Weiterlesen

Land unter in Bayern – Tätigkeitsbericht 2019 des bayerischen Diözesandatenschutzbeauftragten

Bayern tickt anders, auch beim Datenschutz – das zeigt der heute erschienene Bericht des bayerischen Diözesandatenschutzbeauftragten, der bisher kompakteste: Mit zehn Seiten kommt Jupp Joachimski aus. Diese zehn Seiten haben es aber in sich. Die Neuerungen beim KDG sind schon aus meinen Interviews mit Joachimski (hier und auf katholisch.de) bekannt.

Die Situation der Datenschutzaufsicht in Bayern ist im Bericht erstmals in aller Deutlichkeit beschrieben: Der Diöezsandatenschutzbeauftragte in Teilzeit, ohne Vertreter*in und immer im Dienst (»Einen förmlichen Vertreter habe ich seit Juli 2018 nicht mehr. Dies hatte zur Folge, dass ich während sämtlicher Urlaubsabwesenheiten meine Dienstgeschäfte weiterführen musste.«), nur ein Mitarbeiter (zum Vergleich: das NRW-Datenschutzzentrum hat elf Planstellen), die Errichtung des 2018 beschlossenen Datenschutzzentrums kommt nicht von der Stelle.

Weiterlesen