Schlagwort-Archive: Standardvertragsklauseln

Stand der Technik im Pfarrbüro – Wochenrückblick KW 33/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Mal wieder zum Ende der Woche kam ein Tätigkeitsbericht – der Diözesandatenschutzbeauftragten für die Südwest-Bistümer. Die ausführliche Besprechung folgt in der kommenden Woche. Ein erstes Highlight gibt’s gleich auf der Titelseite: Der Heilige Ivo hat Konkurrenz bekommen – das Frankfurter Datenschutzzentrum stellt sich unter das Patronat des heiligen Johannes Nepomuks.

Und noch eine Prüfung – die KDSA Ost kündigt eine Prüfung von Pfarreien im Zuständigkeitsgebiet an und gibt schon mal Hinweise, was man lieber parat haben sollte: »Datenschutzkonzept, Verfahrensverzeichnisse, technisch- organisatorische Maßnahmen, Pflichtinformationen« werden genannt. Nach Angaben der Aufsicht laufen außerdem gerade noch Prüfungen internationaler Datentransfers, von Mailhostern, Tracking-Tools und der Nutzung privater Endgeräte zu dienstlichen Zwecken. Viel zu tun.

Der für mehrere ostdeutsche Landeskirchen und Diakonischen Werke zuständige Datenschutzbeauftragte für Kirche und Diakonie veröffentlicht immer spät, stoßweise und rückdatiert (und in dieser Woche gleich drei) Hinweise: Zur Änderung des DSG-EKD zur Missbrauchsaufarbeitung (man erfährt, dass die Behörde informell bei der Novellierung beteiligt war), zu den neuen Standardvertragsklauseln (die im Einklang mit dem kirchlichen Datenschutzrecht anzuwenden sind, auch wenn sie natürlich nur die DSGVO referenzieren) und eine Erläuterung zum Begriff »Stand der Technik«: Insbesondere wird betont, dass eine »Berücksichtigung der Implementierungskosten im Sinne einer Wirtschaftlichkeitsbetrachtung« nicht das Datenschutzniveau absenken dürfe. Empfohlen wird die Handreichung zum Thema des Arbeitskreises »Stand der Technik« des Bundesverbands IT-Sicherheit.

Weiterlesen

Staatstrojaner in der Kita – Wochenrückblick KW 23/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Beauftragte für den Datenschutz der EKD kündigte am Dienstag eine eigene Prüfoffensive an: 100 zufällig ausgewählte evangelische Kindertageseinrichtungen werden in den nächsten Monaten geprüft. Der BfD EKD hat dazu Online-Fragebögen verschickt, der neben allgemeinen Fragen zum rechtlichen und organisatorischen Umfeld auch Fragen zum technischen Umfeld enthalten soll. Ein Fokus soll dabei »Sicherheit von mobilen Endgeräten« sein – das überrascht auf den ersten Blick: Gibt’s davon so viele in Kitas? Auf Nachfrage erläuterte eine Sprecherin des BfD, dass es dabei insbesondere um den Einsatz dienstlicher Endgeräte und Speichermedien sowie im speziellen um Fragen bezüglich der Verwendung privater Endgeräte und Speichermedien zu dienstlichen Zwecken und deren Sicherheit gehen werde. Der Fragebogen des BfD EKD wird auch auf Nachfrage vorerst nicht veröffentlicht, es soll aber ein öffentliches Resümee gezogen werden, eine Veröffentlichung dann wird geprüft.

Ein weiteres Mal zeigt sich, dass Kitas als besonders kritisch erkannt wurden und daher im Fokus der Aufsicht sind. Nach Angaben der Sprecherin wurde dieser Prüfschwerpunkt aufgrund der »besonderen Schutzwürdigkeit von Kindern und der Erkenntnis aus den gemeldeten Datenpannen, dass es einen signifikant hohen Anteil verlorener oder gestohlener mobiler Endgeräte im Bereich von Kindertageseinrichtungen gibt«, gewählt. Dazu hatte sich der BfD EKD schon im vergangenen Jahr geäußert. Im Kirchlichen Datenschutzmodell soll das Beispiel einer Kita als erstes veröffentlicht werden, und auch in den verschiedenen Tätigkeitsberichten tauchen sie regelmäßig auf, meist aufgrund von Datenpannen durch Einbrüche, und sie sind auch bei der KDSA Nord und dem Datenschutzzentrum Dortmund Ziel einer Schwerpunktprüfung.

Die KDSA Ost weist derweil auf den offenen Brief verschiedener Unternehmen und Organisationen der Zivilgesellschaft, darunter der CCC, Google und Facebook, zur Überwachungsoffensive der Großen Koalition zum Ende der Sitzungsperiode hin. Leider ist die KDSA Ost wieder einmal die einzige kirchliche Stimme auf weiter Flur, die ein Sensorium für die Gemeinwohlrelevanz von staatlichen Überwachungsphantasien hat.

Weiterlesen

So datensparsam kann Rückverfolgbarkeit sein – Wochenrückblick KW 37

Datensparsam und hilfreich gegen Schlangestehen vor dem Gottesdienst: Das Rückverfolgbarkeitsformular, das seit 1. September in St. Petrus Bonn im Einsatz ist.

Man freut sich doch gelegentlich auch über die kleinen Dinge: Unsinnige Rechtsgrundlagen und zweifelhafte, weil allzu öffentliche Listen-Lösungen bei der Rückverfolgbarkeit von Veranstaltungen und Restaurantbesuchen gibt es immer noch viel zu viele. Umso schöner, wenn eine Pfarrei wie St. Petrus in Bonn nach Wochen, in denen beim Anstehen einsehbare Listen durch Freiwillige geführt wurden, jetzt auf eine einfache, clevere datensparsame und schlangenvermeidende Lösung umgestellt wurde: Formulare, die schon zu Hause ausgefüllt werden können und in eine verschlossene Box geworfen werden. Noch eine schöne Lowtech-Variante hat Winfrid Veil gesehen. (Wie’s auch mit den korrekten Informationen geht, stand hier schon im Blog.)

Aus Bayern gibt es Neues – und zwar nichts Neues: Mittlerweile verdichten sich die Zeichen, dass der Diözesandatenschutzbeauftragte auch nach seinem offiziellen Dienstende in Verlängerung geht, bis ein Nachfolger gefunden ist. Man erzählt sich, dass es daran liegen könnte, dass man wieder keinen Kirchen-Insider berufen soll, was in Bayern Tradition hat – vor Jupp Joachimski waren bereits ein ehemaliger Polizeipräsident und ein anderer ehemaliger Richter in vergleichbaren Positionen in Bayern tätig.

Weiterlesen

Die Woche im kirchlichen Datenschutz – KW33

Schrems II und das Aus für Privacy Shield beherrscht die Diskussion, langsam trudeln immer mehr Stellungnahmen, Einschätzungen und Strategien ein, fast alle großen kirchlichen Aufsichtsbehörden haben sich schon geäußert – hier im Blog wurden sie schon erwähnt.

Ein Aspekt wurde bisher nicht beleuchtet: Das katholische Gesetz über den kirchlichen Datenschutz ist in einem Punkt deutlich laxer formuliert als seine Pendants. In § 40 Abs. 2 lit. b KDG wird geregelt, dass Datenübertragungen in eine Drittland auch dann zulässig sind, wenn »der Verantwortliche oder der Auftragsverarbeiter nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, davon ausgehen kann, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.«

2018 kommentierte Alexander Golland das so (RDV 1/2018, S. 11): »Die Vorschrift unterläuft damit die Bewertungskompetenz, die der Europäischen Kommission bei Angemessenheitsentscheidungen sowie Standarddatenschutzklauseln und den Datenschutzaufsichtsbehörden hinsichtlich der genehmigungspflichtigen Garantien zusteht. Im Gegenzug erhält der Verantwortliche einen Beurteilungsspielraum, mit der Folge, dass er im Ergebnis selbst Angemessenheitsentscheidungen treffen kann.« Golland kommt zum Schluss, dass diese Regelung nicht mit der DSGVO in Einklang steht und damit unanwendbar ist – vielleicht taucht deshalb diese Norm bisher nicht explizit in den Stellungnahmen der katholischen Datenschutzaufsichten auf.

Aus der Rubrik dumm gelaufen: Ausgerechnet eine Online-Datenschutzschulung wird vom Kirchlichen Arbeitsgerichtshof als »technisches Überwachungssystem« bewertet. Im Urteil vom 25. Mai 2020 (KAGH M 20/19) geht es darum, ob die Schulung als Überwachungssystem eingestuft wird, obwohl nicht das Bistum bzw. die Pfarrei die erhobenen personenbezogenen Daten erhält, sondern nur die Betreiberfirma. Aus den Leitsätzen: es komme nicht darauf an, »ob der Dienstgeber selbst Zugriff auf die
erfassten Daten nehmen kann. Für das Eingreifen der Mitbestimmung reicht es
aus, dass der Dienstgeber die Entscheidung trifft, Informationen über das
Verhalten der Mitarbeiter durch eine zur Überwachung bestimmte technische
Einrichtung erfassen zu lassen«. Daher ist bei der Einführung dieser Online-Schulung die Mitarbeitervertretung zu beteiligen; die Maßnahme ist zustimmungspflichtig. (Beisitzerin auf der Dienstgeberseite war Ursula Becker-Rathmair, die Frankfurter Diözesandatenschutzbeauftragte.)

Weiterlesen

Es bleibt schwierig mit den USA: Weitere kirchliche Aufsichten zu Schrems II

Zwei weitere kirchliche Aufsichtsbehörden haben sich zum Aus für das Privacy Shield geäußert: Der Beauftragte für den Datenschutz der EKD hat eine FAQ veröffentlicht, die Diözesandatenschutzbeauftragte für die Südwest-Bistümer eine Orientierungshilfe.

Logo des Privacy Shield Frameworks

Im Ergebnis kommen die beiden Aufsichtsbehörden nicht zu anderen Ergebnissen als bereits direkt nach dem Urteil die Diözesandatenschutzbeauftragten von NRW und der Nordwest-Bistümer: Es gibt keine Übergangszeit, Standardvertragsklausen sind aufgrund der Überwachungsgesetze in den USA schwierig. Im Detail gibt es aber jeweils interessante Informationen – die evangelische FAQ ist auch praxisnäher anwendbar als das von NRW und Nordwest vorgestellte Prüfschema. Wie die »Ausnahmen für bestimmte Fälle« in der Praxis angewandt werden können, wird im kirchlichen Bereich aber bisher nicht geklärt.

Weiterlesen