Schlagwort-Archive: Schrems II

EKD-Aufsichten zu Schrems II – Weniger ausnahmsweise als Art. 49 DSGVO

2 Antworten

Die Konferenz der Beauftragten für den Datenschutz in der EKD  hat eine Gemeinsame Stellungnahme zur Datenübermittlung in die USA veröffentlicht. Dass eine gemeinsame Stellungnahme in Arbeit ist, wurde bereits vor zwei Wochen durch die verspätete Veröffentlichung einer Position des Datenschutzbeauftragten für Kirche und Diakonie bekannt und löst den selbst gegebenen Abstimmungsauftrag aus der Stellungnahme aus dem Juli des vergangenen Jahres ein..

Ein Verriegelungsknopf an einem Oldtimer, im Hintergrund eine US-Flagge.
Symbolbilder für Drittlanddatenübertragungen sind ohnehin alle Unsinn, warum also nicht das, das immerhin einen Knopf an einem Auto zeigt? (Photo by Nick Fewings on Unsplash)

Inhaltlich ist die nun für den gesamten landeskirchlichen Bereich abgestimmte Stellungnahme fast keine Überraschung: Im wesentlichen wird das in § 10 Abs. 2 DSG-EKD festgelegte Verfahren zur Drittlandsdatenübermittlung ohne Angemessenheitsbeschluss und Standarddatenschutzklauseln vorgestellt, dazu kommt eine detaillierte Geschichte der Datenübermittlung in die USA, eine Erörterung des Marktortprinzips der DSGVO und ein Überblick über die durch den CLOUD-Act erzeugten Probleme – die eine kleine Überraschung: Die Antwort auf die Frage, ob das DSG-EKD wie Art. 49 DSGVO nur ausnahmsweise Datenübertragungen in Drittländer ohne Angemessenheitsbeschluss normiert.

Weiterlesen

Wanderaufsicht ohne Buße – Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten 2020/2021

Schreiben Sie eine Antwort

Der bayerische Diözesandatenschutzbeauftragte hat die aktuelle Tätigkeitsberichtsrunde abgeschlossen – mit seinem auf den 1. Oktober datierten und spät am Montag veröffentlichten Bericht für den Zeitraum vom 1. Oktober 2020 bis zum 30. September 2021 liegen nun alle katholischen Berichte vor.

Titelseite des Tätigkeitsberichts des bayerischen Diözesandatenschutzbeauftragten.
Schlicht wie immer: Der Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten für 2020/2021

Wie immer schmucklos, ist er mit 14 Seiten dieses Mal so lang wie noch nie in Bayern. Drama wie im letzten Jahr der Hilferuf wegen der mangelnden Ausstattung der Aufsicht gibt es höchstens zwischen den Zeilen – und der DDSB Jupp Joachimski zeigt wieder einmal, dass er unter seinen Kolleg*innen der mit der stärksten juristischen Durchdringung der komplizierten Verwaltungsmaterien ist.

Weiterlesen

Impfstatus abfragen und kaum Schrems-II-Ausnahmen – Wochenrückblick KW 40/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Beauftragte für den Datenschutz der EKD hat eine Stellungnahme zur Verarbeitung des Impf- und Genesenenstatus veröffentlicht. Recht klar legt er dar, dass die Verarbeitung des Status für die Durchführung des Beschäftigungsverhältnisses grundsätzlich nicht erforderlich ist und nur in den im Infektionsschutzgesetz aufgezählten Einrichtungen eine gesetzliche Grundlage vorliegt. Tarifverträge und Dienstvereinbarungen kämen auch nicht in Frage, so dass in der Regel nur die Einwilligung bleibt, die allerdings wie immer im Arbeitsverhältnis besonders gut abgesichert sein muss in Hinblick auf die Freiwilligkeit. Gegen die Freiwilligkeit spricht laut BfD EKD »Ausüben von sozialem Druck oder eine behauptete Pflicht«. Interessant dagegen: Anreize nicht, sogar im Gegenteil. »Ein Indiz für die Freiwilligkeit besteht dann, wenn Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erhalten. Beschäftigte können beispielsweise ihren Impf- und Serostatus zweckgebunden freiwillig an den Betriebsarzt offenlegen, um die vorgeschriebenen regelmäßige Testung abzuwenden.« In jedem Fall verpflichtend ist nach Ansicht des BfD EKD eine Datenschutzfolgenabschätzung.

In der vergangenen Woche ging es um weitere Kommentare zum kirchlichen Datenschutzrecht. Auf Anfrage teilte mir der Nomos-Verlag mit, dass der dort geplante DSG-EKD-Kommentar von dem Dresdener Professor Ralph Wagner herausgegeben wird, der Erscheinungstermin wird mit voraussichtlich 2. Halbjahr 2022 angegeben – allerdings ist das der erwähnte Kommentar, der laut dem Mitautor Alexander Golland schon dieses Jahr erscheinen soll. Hoffen wir auf den früheren Termin. Außerdem ist ein weiteres Werk in Sicht: Neben Mitarbeitervertretungsordnung und Kirchlicher Arbeitsgerichtsordnung wird der ebenfalls für 2022 von Hermann Reichold, Thomas Ritter und Christian Gohm herausgegebene angekündigte Kommentar(Affiliate Link) auch die Kirchliche Datenschutzgerichtsordnung abdecken. Besondere Desiderate dafür: außerordentliche Rechtsbehelfe und § 2 Abs. 1 S. 2 KDSGO i.V.m. Art. 267 AEUV. (Also: Wie kommt der Fall vor die obersten Kirchengerichte in Rom, und wie kommt man zu Antworten vom EuGH, ob eine kirchliche Norm in Einklang mit der DSGVO steht?)

Der Datenschutzbeauftragte für Kirche und Diakonie hat eine etwas erratische Veröffentlichungspraxis. Diese Woche ist auf der Seite neben einem Text über die Prüfung von Software-Lösungen anhand der Vertragsbedingungen eine auf 10. Juni datierte Position zur »Datenübermittlung in Drittstaaten nach geltendem Recht und der Rechtsprechung des EuGH« erschienen. Ziel dabei ist eine möglichst große Kohärenz mit den Positionen anderer Aufsichten, insofern gibt es keine Überraschungen in der ausführlichen Übersicht und dem vorgestellten Prüfschema. Im wesentlichen wurde die Position des BfDI auf das kirchliche Recht übertragen. Wichtig ist vor allem die klare Ansage, dass die Ausnahmeregeln für die Übertragung auch wirklich Ausnahmen darstellen müssen: »Die Anwendung der Zulässigkeitsvoraussetzungen nach § 10 Abs. 2 Nrn. 1-6 DSG-EKD für Datenübermittlungen in sogenannte unsichere Drittstaaten, zu denen nach dem EuGH Urteil derzeit auch die USA gehören, dürfen nicht dazu führen die in § 10 Abs. 1 DSG-EKD als Grundregel geltende Voraussetzung „ad absurdum“ zu führen, wonach jede Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen nur zulässig ist, wenn ein angemessenes Datenschutzniveau besteht.«

Um das DSG-EKD ging es in dieser Woche auch bei Dr. Datenschutz – dort gibt es einen kompakten Überblick über die Besonderheiten des evangelischen Datenschutzgesetzes.

Weiterlesen

Keine E-Mails bei der EKD, kein Adressbuch bei den Alt-Katholischen – Wochenrückblick KW 38/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der EKD-Ratsvorsitzende Heinrich Bedford-Strohm hat bei einer Tagung der Evangelischen Akademie der Pfalz fünf Visionen für eine digitale Kirche formuliert – der ganze Vortrag lohnt sich. Zum Thema Datenschutz wünscht sich der bayerische Landesbischof, »dass wir als Kirche viel mutiger Daten dazu nutzen, nicht um den Menschen irgendetwas zu verkaufen, sondern um ihnen gegenüber durch eine freundliche Kontaktaufnahme die Liebe Gottes nahezubringen und eine klare Botschaft zu vermitteln«. Während Babynahrungskonzerne ohne Skrupel und ohne Probleme an die Adressen von neuen Eltern kommen, tue sich die Kirche schwer damit: »Wir haben noch nicht einmal die E-Mail-Adressen unserer Mitglieder.« Der Wunsch ist verständlich und pastoral verantwortet – die Hürden, in einer Mitgliederkirche, deren Mitglieder föderal-dezentral verteilt und (auch) über staatliche Meldedaten erfasst werden, dafür eine Regelung zu finden, die nicht als übergriffig empfunden wird, dürfte eine große Herausforderung sein.

Das Antragsbuch zur 62. Synode des Alt-Katholischen Bistums wurde veröffentlicht. Darin gibt es auch einen Antrag zur Änderung der Kirchlichen Datenschutzordnung (KDO) (Antrag 18): Die Pastoralkonferenz Bayern beantragt eine eigene Rechtsgrundlage für die Veröffentlichung von Kontaktdaten von Ansprechpersonen. Die Formulierung ist dabei sehr weitreichend, weil ohne weitere Bestimmung von »Kontaktdaten« die Rede ist, also nicht eingeschränkt auf dienstliche (oder für Ehrenamtliche funktionsbezogene) Kontaktdaten. Die vorgeschlagene Rechtsgrundlage ist auch nicht eingebettet in die Betroffenenrechte; bei den Rechtsgrundlagen kirchliches und berechtigtes Interesse regelt § 23 Abs. 1 KDO ein Widerspruchsrecht. Hier auch für nach der beantragten neuen Rechtsgrundlage veröffentlichte Daten ein Widerspruchsrecht vorzusehen, wäre eine sinnvolle Ergänzung, dazu sollte von Anfang an die betroffene Person mehr Einfluss darauf haben, welche ihrer Kontaktdaten derart veröffentlicht werden können – die Formulierung hebt zwar beispielhaft auf wohl gedruckte Publikationen ab, würde aber auch eine Online-Veröffentlichung ermöglichen.

Das Erzbistum Hamburg hat sich nun in die Reihe der Bistümer eingereiht, die ein eigenes Gesetz zur Auftragsverarbeitung kirchlicher öffentlich-rechtlicher Stellen erlassen haben. Im aktuellen Amtsblatt ist das »Gesetz über die Auftragsdatenverarbeitung zwischen juristischen Personen im Erzbistum Hamburg« nebst der dazugehörigen Durchführungsverordnung erschienen. Inhaltlich ähnelt es trotz des anderen Namens den anderen bereits in Kraft gesetzten §-29-KDG-Gesetzen (vgl. dazu etwa das Münsteraner Gesetz) auf der Grundlage der Vorlage des VDD: Es schafft das in § 29 Abs. 3 KDG vorgesehene »andere Rechtsinstrument« zur Regelung von Auftragsverarbeitung. Inhaltlich regelt die Durchführungsverordnung ziemlich exakt die Punkte, die auch in einem AV-Vertrag stehen würden, die Verantwortlichen und ihre Auftragsverarbeiter können sich einfach darauf berufen, statt einen eigenen AV-Vertrag aufzusetzen. Praktisch und ein Beitrag zu mehr Rechtsklarheit durch Standardisierung. Innerdiözesan jedenfalls: Bei den §-29-Gesetzen herrscht ziemlicher Wildwuchs; die VDD-Vorlage ist sehr kompakt, und warum sich die diözesanen Gesetzgeber ausgerechnet hier ohne große Konsequenzen so verkünsteln (Hamburg weicht von der Vorlage immer wieder ab, ohne unmittelbar ersichtliche Regelungsabweichungen vorzunehmen), ist unklar.

Bei der Vollversammlung der Deutschen Bischofskonferenz wurde ein möglichst einheitliches Gesetz angekündigt: Eine neue Personalaktenordnung soll zum 1. Januar 2022 in allen Bistümern Kraft treten. »Mit der Verabschiedung der PAO ist es möglich, dass Missbrauchsbeschuldigungen künftig in allen Diözesen verbindlich, einheitlich und transparent dokumentiert werden. Zudem ist eine Übermittlung aller personalaktenrelevanter Dokumente und Vorgänge bei Tätigkeiten von Klerikern außerhalb der Inkardinationsdiözese geregelt«, so Bischof Bätzing im Abschlussbericht. Auch hier gab es keinen offenen Anhörungsprozess – aber immerhin wurde der Betroffenenbeirat der DBK beteiligt. Außerdem aus den Personalia: Uta Losem ist neue stellvertretende Leiterin des Katholischen Büros Berlin – zu ihrem Aufgabengebiet gehörte bisher auch der Datenschutz.

Explizit nicht um Datenschutz wird es in einem neuen Pop-Up-Newsletter vom Kollegen von der Eule gehen: unter dem Slogan »#digitaleKirche verstehen mit DIGITAL TUTORIAL« erscheinen bis Weihnachten sieben thematische Newsletter zum Thema, die ich jetzt schon ungelesen empfehlen kann, ist Eule-Herausgeber Philipp Greifenstein doch einer der besten Kenner und Kritiker der digitalen Kirche.

Weiterlesen

Draußen ist Wetter. Drin auch. Wochenrückblick KW 24/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Auch die kirchliche Datenschutzaufsicht überprüft, wie Schrems II und der Wegfall des Privacy Shields als Rechtsgrundlage für Datenübertragung in die USA umgesetzt werden: Die KDSA Ost hat nun angekündigt, in ihrem Bereich einen im Vergleich zu den staatlichen Behörden abgespeckten Fragebogen mit dem Schwerpunkt »Mailhoster« zu verschicken.

Auf Twitter läuft derweil eine Suche nach DSG-EKD-konformen Newsletterdiensten – der Thread mit seinen praktischen Tipps ist sehr hilfreich, wenn man vor demselben Problem steht. Interessant auch dieser Hinweis, den die Aufsicht allerdings bisher noch nicht öffentlich kommuniziert hat (und für den ich noch versuche, eine zweite Quelle zu bekommen): »Der BfD EKD akzeptiert auch allgemeine Erklärungen, die sich auf „die zuständige Aufsichtsbehörde des Auftraggebers“ o.ä. beziehen. Die gibt’s bei großen Hostern in Standardverträgen«, schreibt Christian Brecheis.

Es ist zu heiß für Datenschutz – dafür spricht die recht ruhige Woche. Wer Windows 10 benutzt und aktuelle Updates installiert, spürt das nicht nur, sondern kann es auch neuerdings an der Taskleiste ablesen: Dort ist plötzlich eine Wetteranzeige aufgetaucht, und wiederum die Katholische Datenschutzaufsicht Ost ist nicht amüsiert: »Windows 10 als Werbedisplay nach Update«, titelt die Aufsicht und erklärt detailliert, warum das problematisch ist und wie man das wieder abstellen kann.

Die Entscheidungssammlung für die katholischen Datenschutzgerichte diese Woche kam gut an – und hat noch ein Feld eröffnet mit katholischem Übergewicht: Eine evangelische Sammlung zu Entscheidungen zum DSG-EKD gibt es nämlich nach wie vor nicht mangels Veröffentlichungen der Gerichte – und die Pressestelle der EKD hat die vor Monaten gestellte Frage danach immer noch nicht beantwortet. Vielleicht ist aber evangelisches Datenschutzrecht einfach unstrittiger als katholisches …

Weiterlesen

Sie soll, sie kann, sie will – Wochenrückblick KW 22/2021

Schreiben Sie eine Antwort

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Monatsanfang ist immer wie ein kleines Weihnachten: Dann veröffentlicht der Würzburger Kirchenrechtslehrstuhl seinen »Kanon des Monats«. Der 1. Juni war wie Weihnachten und Ostern: Der Kanon des Monats Juni ist can. 220 CIC – also der Datenschutzkanon. Martina Tollkühn gibt einen Überblick über die universalkirchliche Datenschutzgesetzgebung und wie und warum sie in Deutschland so konkret ausgestaltet wird: »Aber warum haben die deutschen Bistümer eigene Regelungen zum Datenschutz? Und was hat das mit dem c. 220 CIC/1983 zu tun? Die Kurzformel auf diese Fragen könnte sein: Weil sie sollen, weil sie können und weil sie wollen.« Nicht beantwortet wird allerdings, warum sie wollen sollten, was sie können, und warum dazu die allgemeinen staatlichen Gesetze nicht genügen. Etwas zirkulär positivistisch lautet die Begründung: Kirchen dürfen ihre eigenen Angelegenheiten selbst regeln, und weil sie ein Datenschutzrecht haben, ist das eine eigene Angelegenheit.

Die KDSA Ost hat sich mit Corona-Tests an Schulen befasst – vor drei Wochen war eine Entscheidung aus Hamburg dazu schon Thema hier. Im Ergebnis kommt die Aufsicht zu einem ähnlichen Ergebnis wie das Verwaltungsgericht, aber mit einem deutlichen Fokus auf die Zulässigkeit von Testungen in Schulen: »Schüler*innen und Erziehungsberechtigte, die mit dieser Art der Durchführung und Erhebung von personenbezogenen Daten nicht einverstanden sind, sollte die Möglichkeit eingeräumt werden, ein negatives Testergebnis durch ein anerkanntes Testzentrum (auch Schnelltestzentrum) oder einem Arzt vorzulegen.« Das Verwaltungsgericht hatte festgestellt, dass externe Tests anerkannt werden müssen. Ohne sollte.

Und dann hat die KDSA Ost sich auch noch einmal zur Abdingbarkeit von Technischen und organisatorischen Maßnahmen geäußert, nachdem der Hamburger Datenschutzbeauftragte die als Möglichkeit gesehen hatte (auch hier wurde schon darüber berichtet). Die kirchliche Aufsicht bekräftigt nun noch einmal die bereits zuvor geäußerte Ansicht, dass eine Einwilligung sich nur auf das Ob, nicht auf das Wie der Datenverarbeitung beziehen kann: »Würde man die Einwilligung so weit für zulässig erachten, wie dies im Vermerk der Hamburger Datenschutzbehörde zum Ausdruck kommt, handelte es sich nicht mehr um eine Einwilligung, sondern um einen Verzicht auf Datenschutz«, so die KDSA Ost – mit der paradoxen Folge, dass es zwar problemlos möglich wäre, in die Veröffentlichung der eigenen Daten auf einer Webseite zuzustimmen, nicht aber in eine ungesicherte E-Mail-Übermittlung derselben Daten.

Der Beschluss des IDSG zu einer Datenpanne durch fehlgelaufene Briefe in einem katholischen Krankenhaus wurde hier schon besprochen. Einige kritische Anfragen daran haben die Datenschutz-Notizen aufgeworfen: Es scheint unterschiedliche Ansichten dazu zu geben, wie ausführlich das Verfahrensverzeichnis sein muss – die beteiligte Aufsicht scheint dort auch eine konkrete Verfahrensbeschreibung zu erwarten, die den Beschäftigten bekannt sein muss. Das Gericht folgte der Ansicht, dass Verfahren im Detail dokumentiert sein müssen. »Die dabei geforderte Detailtiefe ist auf den ersten Blick überraschend«, so die Autorin, der nötige Aufwand bei der Erstellung von Verarbeitungsverzeichnissen wäre enorm: »Die hierdurch gebundenen personellen Kapazitäten könnte man sicher an anderen Stellen sinnvoller nutzen.« Mit Blick auf das KDG und das Verarbeitungsverzeichnis-Muster der Aufsichten wirken die Anforderungen des Gerichts aber durchaus plausibel. Im Musterformular gibt es mit Feld B.3 Verarbeitungsablauf ein passendes Feld: »Eine (kurze) Beschreibung des operativen Ablaufs der Verarbeitung mit ihren wichtigsten Schritten«, und das Gesetz selbst sieht vor, »wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen« aufzunehmen (§ 31 Abs. 1 lit. h)).

Weiterlesen

Schrems-II-Workaround auch mit kirchlichem Datenschutzrecht?

Schreiben Sie eine Antwort

Nach wie vor machen Datenübertragungen in die USA nach dem Kippen des Privacy Shields Probleme. Eine wirkliche Lösung gibt es dafür noch nicht, und wenn überhaupt, schärfen die Datenschutzaufsichten ihren Umgang damit gerade an – zuletzt hatte der rheinland-pfälzische Datenschutzbeauftragte unter dem Label »Informationsoffensive« mit dem Zaunpfahl gewunken.

Der Europäische Datenschutzausschuss interpretiert die in Art. 49 DSGVO festgelegten »Ausnahmen für bestimmte Fälle« recht eng (allerdings nicht klar sauber belegt). Nun wird nach dem »Europäischen Datenschutztag« am 28. Januar diskutiert, ob es vielleicht doch weniger eng geht: Dort hatte der EuGH-Richter Thomas von Danwitz, der außerdem Berichterstatter bei Schrems II war, geäußert, dass die Ausnahmen aus Art. 49 noch nicht genug »ausgelotet« seien und auch weniger restriktiv ausgelegt werden könnten.

Ein Mann mit einer US-Flagge als Umhang wird von einer laufenden Frau mit US-Flagge verfolgt. Am Horizont erkennt man keinen Nachfolger für Privacy Shield.
So oder so ähnlich funktioniert Datenübertragung in die USA. (Bildquelle: Photo by frank mckenna on Unsplash)

Diese Äußerung hat eine juristische Debatte ausgelöst. Stephan Hansen-Oest schlüsselt Schritt für Schritt in seinem Blog auf, worum es geht und wie sich eine weniger restriktive Auslegung und damit eine vereinfachte Datenübertragung in die USA rechtfertigen lässt. Für Anwender*innen der kirchlichen Datenschutzgesetze stellt sich damit natürlich die Frage: Können wir das auch?

Weiterlesen

Pragmatismusschub dank Corona bei der KDSA Ost – Tätigkeitsbericht 2020

Schreiben Sie eine Antwort

Von der Katholischen Datenschutzaufsicht Ost kommt traditionell der schnellste und der politischste der Tätigkeitsberichte der Diözesandatenschutzbeauftragten – so auch dieses Jahr. Programmatisch stellt Matthias Ullrich seinem diesjährigen Bericht ein Zitat der Schriftstellerin und brandenburgischen Verfassungsrichterin Juli Zehn voran: »Ein observierter Mensch ist nicht frei.«

Cover des Tätigkeitsberichts der KDSA Ost 2019
Symbolbild Tätigkeitsbericht der KDSA Ost

Im letzten Jahr habe ich den politischen Teil deutlich kritisiert, als Öffentlichkeitsarbeit mit Fotos in den Kontext sexualisierter Gewalt gestellt wurden. Dieses Jahr kommt so etwas nicht vor – der Bericht spart trotzdem nicht mit klaren politischen Ansagen. Und viele praxisrelevante Tipps und Checklisten sind auch dabei.

Weiterlesen

Evaluieren und impfen – Wochenrückblick KW 5/2021

Schreiben Sie eine Antwort

Noch ist nicht viel bekannt über die Evaluierung des Gesetzes über den kirchlichen Datenschutz (KDG) – zwar hat der bayerische Diözesandatenschutzbeauftragte in seinem Bericht und im Interview schon einige Punkte verraten. Ob und wie eine größere Beteiligung geplant ist, wurde dagegen noch nicht bekannt gegeben. Deshalb nimmt die Gesellschaft katholischer Publizisten (GKP) das jetzt selbst in die Hand. (Ich bin dort im Vorstand und koordiniere das Projekt.) Bis zum 28. Februar sind Mitglieder und weitere interessierte eingeladen, sich an einer Stellungnahme zu beteiligen. Schwerpunkte dabei sind der Medienbereich (Bildrechte, Medienprivileg, Streaming) und die Anwendung in Vereinen und Verbänden. Die Stellungnahme kann für liberalere Freund*innen des Drittstaatentransfers direkt auf Google Docs kommentiert werden, ansonsten per Mail.

Auch die katholische Datenschutzkonferenz hat gearbeitet: Sie hat sich in einem noch nicht im Volltext verfügbaren Beschluss mit der Frage auseinandergesetzt, ob Dienstgeber*innen von Beschäftigen Corona-Impfnachweise verlangen dürfen. Das Ergebnis: Vorerst nicht, da noch nicht bekannt ist, ob eine Impfung auch Übertragungen verhindert. Ein Interesse am Impfstatus bestehe für Dienstgeber*innen aber nur mit Blick auf die Gefährdung von Dritten. »Wenn wissenschaftlich erwiesen ist, dass eine Impfung nicht nur Geimpfte schützt, sondern darüber hinaus auch eine Weitergabe des Virus ausschließt, ist über diese Frage ggf. neu zu entscheiden«, so die KDSA Ost.

Außerhalb der katholischen Kirche war der Brexit Thema: Während der evangelische Beauftragte für den Datenschutz noch einmal die aktuellen Entwicklungen rekapitulierte, wurde mir nun auch die Position des alt-katholischen Bistumsdatenschutzbeauftragten bekannt: Anders als seine römisch-katholischen Kolleg*innen lässt er keine UK-Auftragsverarbeitung während der Übergangsphase zu. (Möglicherweise ist die Mitteilung schon länger online – mir ist sie zuerst am Donnerstag aufgefallen.)

Weiterlesen

God is in the Clubhouse – Wochenrückblick KW 3/2021

Schreiben Sie eine Antwort

2021 hat seine erste große Hype-App: Clubhouse. Muss man dazu viel sagen? Datenschutzrechtlich ist für einen Einsatz nicht nur in kirchlichen Kontexten einiges im Argen – die üblichen Kriterien für die zulässige dienstliche Nutzung werden jedenfalls kaum erfüllt: Sehr großer Druck, das Adressbuch zu teilen, Aufzeichnung und unklare Speicherfristen der Gespräche (das sollte bei seelsorglichen Gesprächen besonders im Blick sein!), dienstliche Nutzung in den AGB ausgeschlossen, kaum Transparenz über Betroffenenrechte. Klingt nicht gut, aber das gilt auch für mit mehr oder weniger schlechtem Gewissen selbstverständlich genutzte Kanäle wie Facebook oder WhatsApp. (Thomas Schwenke hat sich ausführlich damit beschäftigt – und kommt zum Schluss, dass unter gewissen Vorkehrungen ein nicht-privater Einsatz gerechtfertigt werden kann.) Dazu kommt die Frage nach Barrierefreiheit: Eine Audio-only-App erreicht naturgemäß nur Hörende, und iPhone-only mit Invite schließt auch viele aus (sorgt aber für Exklusivität).

Montage (Photo by Fabian Albert on Unsplash, Screenshot)

Die #digitalekirche springt jedenfalls mit Begeisterung auf die neue App und kann auch schon einige Erfolge vorweisen: Theotabea, Anna-Nicole Heinrich, Lisa Quarch und Gottdigital berichten von ersten Erfahrungen und Einschätzungen, ein Außenblick auf LinkedIn von Matthias Maier spricht dafür, mutig reinzugehen. Lesenswert ist auch die kritische Diskussion angesichts einiger problematischer Eigenschaften von Clubhouse, die Philipp Greifenstein angestoßen hat: Ist es naiv, einfach so begeistert reinzugehen, auch wenn die Plattform schon jetzt große Probleme mit unmoderierter gruppenbezogener Menschenfeindlichkeit hat? (Dazu ausführlich im Twitter-Thread von Taylor Lorenz, komprimiert auf Instagram von Maggie Tyson.) Lutz Neumeier meint: »Ich bin gerne naiv u nutze jede Möglichkeit Kirche zu Menschen zu bringen. Hat heute Abend ziemlich gut geklappt… u ich glaub Jesus, Paulus u viele andere waren auch naiv, sonst hätten sie nicht angefangen u erreicht, was sie haben. Paulus wär ohne nicht auf Reisen gegangen…« Wenn die Entscheidung dann für Clubhouse ausfällt: Das Landesjugendpfarramt Oldenburg hat für Einsteiger schon mal die ersten sich entwickelnden Hausregeln zusammengefasst.

Nicht ganz so hip wie Clubhouse: Das katholische Patient*innendatenschutzgesetz ist da: Das Bistum Würzburg hat als erstes das neue »Gesetz zum Schutz von Patientendaten bei der Seelsorge in katholischen Einrichtungen des Gesundheitswesens (Seelsorge-PatDSG)« veröffentlicht. Das Gesetz wird wieder in Form der Simultangesetzgebung der einzelnen Diözesen in Kraft gesetzt und sollte daher demnächst in noch mehr Amtsblättern auftauchen. Mehr dazu hier im Blog in der kommenden Woche.

Gute Nachrichten auch aus Hannover: Der Datenschutzbeauftragte der EKD nimmt seine Schulungen für den Fachkunde-Nachweis für kirchliche Datenschutzbeauftragte wieder auf, zunächst digital.

Weiterlesen