Schlagwort-Archive: Technische und organisatorische Maßnahmen

Austreten und ausmisten – Wochenrückblick KW 9/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Bei der Recherche zur Frage nach der Kommunikation nach Kirchenaustritt habe ich die Südwest-Diözesandatenschutzbeauftragte Ursula Becker-Rathmair auch gefragt, ob in der Praxis eigentlich datenschutzrechtliche Konflikte im Zusammenhang mit Austritten auftreten. Ihre Antwort: »Auch in der aktuellen Welle der Kirchenaustritte hatten wir bisher noch keine Beschwerden von Betroffenen in Bezug auf einen Kirchenaustritt. Vor einiger Zeit gab es einmal den Fall eines Pfarrers, der am Jahresende nicht nur die Zahl der Taufen im Gottesdienst mitteilte, sondern auch namentlich die aus der Kirche Ausgetretenen. So etwas geht natürlich nicht, da hätten wir erhebliche Bedenken.«

Nach der aktuellen Empfehlung der katholischen Datenschutzkonferenz zu Social Media und Messengerdiensten und der deutlichen Aussage der KDSA Ost zu Telegram war es klar, dass die verbliebenen Telegram-Erlaubnisse auch nicht mehr lange Bestand haben werden. Wie angekündigt hat das Bistum Regensburg nun seine Empfehlungen überarbeitet, wie aus dem aktuellen Amtsblatt hervorgeht: »Aus Sicht des Datenschutzes können für die dienstliche Kommunikation derzeit, nicht abschließend folgende Messenger-Dienste eingesetzt werden: Threema, Ginlo.
Die Messenger-Dienste Whatsapp und Telegram erfüllen die oben genannten Kriterien nicht. Die Verwendung dieser Dienste ist daher für eine dienstliche Kommunikation datenschutzrechtlich unzulässig.«

Die KDSA Ost erinnert ans Ausmisten: »Mittlerweile dürfte den meisten bekannt sein, dass personenbezogene Daten nach den Datenschutzgesetzen nicht auf ewig aufbewahrt werden dürfen.« Der Diözesandatenschutzbeauftragte gibt praktische Tipps zur Umsetzung von Löschfristen inklusive Rechenbeispielen. Bevor man in einer kirchlichen Einrichtung jetzt aber fröhlich ans Schreddern geht, sollte lieber noch einmal überprüft werden, ob nicht vielleicht stattdessen eine Archivierungspflicht besteht – die sieht beispielsweise die katholische Archivordnung vor.

Weiterlesen

Rechtskultur im Presbyterium – Wochenrückblick KW 8/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Entscheidungen evangelischer Gerichte mit Datenschutzbezug sind nach wie vor rar. Immerhin eine mit Bezug zum Persönlichkeitsrecht ist jetzt in der Evangelischen Kirche der Pfalz ergangen. Das Verfassungs- und Verwaltungsgericht der Landeskirche hatte darüber zu entscheiden, ob Mitglieder des Presbyteriums Führungszeugnisse vorliegen müssen, wie es das 2019 von der Landessynode im Gesetz zum Schutz vor sexualisierter Gewalt vorgesehen ist. Leider wurde die Entscheidung bislang nicht veröffentlicht. Laut der Pressemitteilung der Landeskirche begründete das Gericht die Ablehnung der Klage von vier Presbytern aus Schifferstadt damit, dass der Eingriff in die persönlichen Rechte aufgrund des »übergeordneten Ziels« verhältnismäßig sei. Das gesamte Presbyterium als Kirchenleitung vor Ort sei gefragt, mit dem Thema Missbrauch vorbildlich umzugehen.

Die Tübinger Kirchenrechtlerin Sarah Röser, die in Freiburg zum kirchlichen Arbeitsrecht promoviert, hat sich in Feinschwarz mit kirchlicher Rechtskultur im Kontext der Debatte um die katholische Grundordnung des kirchlichen Dienstes befasst. Ihre Beobachtungen zu einer mangelnden Rechtskultur treffen nicht nur im kirchlichen Arbeitsrecht: »Da verkündet der Papst seine neuesten Gesetze in der Tageszeitung des Vatikanstaats anstatt im dafür vorgesehenen amtlichen Publikationsorgan, da publizieren Diözesanbischöfe ihre Gesetze gar nicht oder fehlerhaft in ihren kirchlichen Amtsblättern, da werden Gesetze nur angewendet, wenn es den kirchlichen Autoritäten gefällt, und unterlaufen, wenn sich unerwünschte Konsequenzen ergeben. Die Liste ließe sich beliebig verlängern.« Röser fordert klare, korrekt promulgierte Normen, um Rechtssicherheit zu schaffen. Zu dem Thema habe ich für katholisch.de mit dem Tübinger (weltlichen) Arbeitsrechtler Hermann Reichold gesprochen – der kommt überraschenderweise zu dem Schluss, dass bischöfliche Selbstverpflichtungen durchaus eine gewisse Sicherheit bieten könnten: »Wenn ein Bischof so etwas kommuniziert, dann ist das zwar nur eine freiwillige Selbstbeschränkung, die nicht in legislativer Form erfolgt. Aber es spricht exekutiv eine eindeutige Sprache.« Das ist dann aber Machtkultur, keine Rechtskultur.

Weiterlesen

Kein Brief von Bischof Gebhard – Wochenrückblick KW 7/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Aus der Rubrik »was der Datenschutz alles verhindert« dieses Mal der Rottenburger Bischof Gebhard Fürst im Interview mit der Südwest-Presse: »Wir hatten im Januar erheblich mehr Kirchenaustritte als in den Jahren zuvor. Das ist außerordentlich schmerzlich. In früheren Wellen habe ich mit den Ausgetretenen Kontakt aufgenommen und sie zu Gesprächen eingeladen. Ob ich das noch einmal machen kann, weiß ich nicht. Dem steht heute der Datenschutz entgegen.« Warum ein einmaliges Anschreiben nicht datenschutzrechtlich abzubilden sein soll, wird nicht ausgeführt – selbst wenn man vertritt, dass die Daten gar nicht im Ordinariat landen dürfen, wäre doch zumindest eine Beilage zum Schreiben vom Pfarrer möglich.

Nun hat sich auch die KDSA Nord zu Impf- und Genesenennachweisen geäußert – allerdings nicht so umfassend wie der BfD EKD, sondern nur mit Blick auf die Gesundheits- und Pflegeeinrichtungen, und auch nicht so konkret. Immerhin wird festgehalten, dass aus der Pflicht zur Vorlage der Serostatusdokumentation nicht auch folgt, dass von den vorgelegten Dokumenten Kopien gefertigt werden dürfen. Eine so klare Äußerung wie beim evangelischen Kollegen, dass bei den anzufertigenden Dokumentationen nicht der Serostatus selbst erfasst werden darf, sondern nur die Information darüber, fehlt allerdings.

In den USA haben sich mehrere Dutzend Vertreter*innen verschiedenster Religionen und Konfessionen in einem Offenen Brief an Mark Zuckerberg gewandt und ein endgültiges Aus für die Pläne gefordert, ein Instagram für Kinder zu entwickeln. Für katholisch.de habe ich mit dem Mainzer Medienpädagogen Andreas Büsch und der Frankfurter Religionspädagogin Viera Pirker darüber gesprochen – die finden kleine Kinder auf Social Media zwar auch nicht nur erstrebenswert, legen aber einen deutlich differenzierteren Ansatz als der Offene Brief an den Tag.

Buzzfeed News hat mehrere Gebets-Apps untersucht – und die Ergebnisse sind ernüchternd, aber kaum überraschend: »Nothing Sacred: These Apps Reserve The Right To Sell Your Prayers« Neben den erwartbaren intransparenten Datenweitergaben an Dritte zur Monetarisierung wird auch dieses Detail erwähnt: »At least one government has taken an interest in prayer app data, too — the US military bought extensive location data mined from Muslim prayer apps back in 2020 for use in special forces operations.«

Weiterlesen

Drei Tipps für datensparsame Formulare

»Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein«, steht so oder ähnlich in der DSGVO und den kirchlichen Datenschutzgesetzen – Datenminimierung ist ein Grundsatz für die Verarbeitung personenbezogener Daten, der theoretisch sehr einleuchtend ist. In der Praxis erhebt man aber gerne viel mehr Daten, als man eigentlich braucht – sei’s, weil man sie irgendwann brauchen könnte, sei’s weil man’s schon immer so gemacht hat und das Formular zur Datenerhebung nunmal die Felder hat, die es hat.

Ein Steuerformular, das noch nicht ausgefüllt ist – und das wird dauern, weil lang und schmerzhaft. Der Stift liegt schon bereit.
Sicher kein Best-practice-Beispiel für ein gutes Formular. Aber immerhin wahrscheinlich mit ordentlicher Rechtsgrundlage für jedes auszufüllende Feld. (Symbolbild, Photo by Leon Dewiwje on Unsplash)

Zu einem guten Datenschutzmanagement gehört daher, einen Blick darauf zu werfen, welche Daten man erhebt – und ob es die wirklich braucht. Mit einer klugen Gestaltung von Formularen lässt sich viel erreichen – das gilt sowohl für Web-Formulare wie für Formulare, die am Bildschirm oder auf Papier ausgefüllt und ausgedruckt oder digital verschickt werden.

Weiterlesen

DSG-EKD-Kommentar in Sicht! Wochenrückblick KW 39/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

DSGVO-Kommentare – und damit Kommentierungen des Kirchenartikels – gibt es ca. beliebig viele. Die kirchlichen Datenschutzgesetze sind da weit schlechter abgedeckt. Lediglich der KDG-Kommentar von Sydow ist bisher auf dem Markt. Doch es kommt Bewegung auf den Markt: Auf Twitter verriet Alexander Golland, der bereits eine Rechtssammlung zum kirchlichen Datenschutz veröffentlicht hat, dass noch in diesem Jahr ein Kommentar zum DSG-EKD erscheinen soll. Gollands Foto ist zu entnehmen, dass er die Rechtsgrundlagen kommentiert. Ansonsten gibt es (noch nicht zitierfähige) Indizien, dass auch im katholischen Bereich noch weitere Kommentare zu erwarten sind – die Recherche bei den Verlagen dazu läuft.

Von Faxen geht eine seltsame Faszination für Datenschutz-Aufsichten aus. Jetzt hat sich auch noch der hessische Landesdatenschutzbeauftragte gemeldet, ähnlich wie diverse Kolleg*innen zuvor. Und auch im kirchlichen Datenschutz ging’s diese Woche ums Faxen: Die KDSA Nord freut sich über die absehbare Ablösung des Faxes in Krankenhäusern durch »Kommunikation im Medizinwesen (KIM)«, den Kommunikationsstandard der mehrheitlich vom Bundesgesundheitsministerium getragenen Dienstleistungsgesellschaft gematik.

Weiterlesen

Datenverarbeitung auf der Webseite – Ein Spiegel des Datenschutzmanagements

Die Webseite einer Organisation, insbesondere im Gesundheits- und Sozialwesen, wo häufig die besonderen Vorschriften der kirchlichen Datenschutzgesetze gelten, ist oftmals die erste Anlaufstelle für Personen, die Informationen zu den durch die Organisation erbrachten Leistungen suchen. Häufig handelt es sich hier um besonders sensible Leistungsbereiche wie Schwangeren-, Sucht- und Erziehungsberatung oder sogar Online-Beratungsangebote. In der Praxis zeigt sich zudem, dass viele Verantwortliche gar nicht vollständig wissen, welche Dienste auf der Webseite integriert wurden, da jeder Bereich hier seine eigenen Präferenzen hat und am Ende ein wildes Durcheinander der Datenverarbeitung herrscht.

Ein Laptop spiegelt sich in einem runden Spiegel.
Photo by Shashi Chaturvedula on Unsplash

Ein Beitrag von David Große Dütting, Senior-Berater Datenschutz bei der Curacon GmbH Wirtschaftsprüfungsgesellschaft. Sein Beitrag zur datenschutzkonformen Gestaltung von Webseiten basiert auf seinem Vortrag bei der Tagung »Drei Jahre Gesetz über den kirchlichen Datenschutz« der nordrhein-westfälischen Caritasverbände und der Curacon.

Weiterlesen

Sie soll, sie kann, sie will – Wochenrückblick KW 22/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Monatsanfang ist immer wie ein kleines Weihnachten: Dann veröffentlicht der Würzburger Kirchenrechtslehrstuhl seinen »Kanon des Monats«. Der 1. Juni war wie Weihnachten und Ostern: Der Kanon des Monats Juni ist can. 220 CIC – also der Datenschutzkanon. Martina Tollkühn gibt einen Überblick über die universalkirchliche Datenschutzgesetzgebung und wie und warum sie in Deutschland so konkret ausgestaltet wird: »Aber warum haben die deutschen Bistümer eigene Regelungen zum Datenschutz? Und was hat das mit dem c. 220 CIC/1983 zu tun? Die Kurzformel auf diese Fragen könnte sein: Weil sie sollen, weil sie können und weil sie wollen.« Nicht beantwortet wird allerdings, warum sie wollen sollten, was sie können, und warum dazu die allgemeinen staatlichen Gesetze nicht genügen. Etwas zirkulär positivistisch lautet die Begründung: Kirchen dürfen ihre eigenen Angelegenheiten selbst regeln, und weil sie ein Datenschutzrecht haben, ist das eine eigene Angelegenheit.

Die KDSA Ost hat sich mit Corona-Tests an Schulen befasst – vor drei Wochen war eine Entscheidung aus Hamburg dazu schon Thema hier. Im Ergebnis kommt die Aufsicht zu einem ähnlichen Ergebnis wie das Verwaltungsgericht, aber mit einem deutlichen Fokus auf die Zulässigkeit von Testungen in Schulen: »Schüler*innen und Erziehungsberechtigte, die mit dieser Art der Durchführung und Erhebung von personenbezogenen Daten nicht einverstanden sind, sollte die Möglichkeit eingeräumt werden, ein negatives Testergebnis durch ein anerkanntes Testzentrum (auch Schnelltestzentrum) oder einem Arzt vorzulegen.« Das Verwaltungsgericht hatte festgestellt, dass externe Tests anerkannt werden müssen. Ohne sollte.

Und dann hat die KDSA Ost sich auch noch einmal zur Abdingbarkeit von Technischen und organisatorischen Maßnahmen geäußert, nachdem der Hamburger Datenschutzbeauftragte die als Möglichkeit gesehen hatte (auch hier wurde schon darüber berichtet). Die kirchliche Aufsicht bekräftigt nun noch einmal die bereits zuvor geäußerte Ansicht, dass eine Einwilligung sich nur auf das Ob, nicht auf das Wie der Datenverarbeitung beziehen kann: »Würde man die Einwilligung so weit für zulässig erachten, wie dies im Vermerk der Hamburger Datenschutzbehörde zum Ausdruck kommt, handelte es sich nicht mehr um eine Einwilligung, sondern um einen Verzicht auf Datenschutz«, so die KDSA Ost – mit der paradoxen Folge, dass es zwar problemlos möglich wäre, in die Veröffentlichung der eigenen Daten auf einer Webseite zuzustimmen, nicht aber in eine ungesicherte E-Mail-Übermittlung derselben Daten.

Der Beschluss des IDSG zu einer Datenpanne durch fehlgelaufene Briefe in einem katholischen Krankenhaus wurde hier schon besprochen. Einige kritische Anfragen daran haben die Datenschutz-Notizen aufgeworfen: Es scheint unterschiedliche Ansichten dazu zu geben, wie ausführlich das Verfahrensverzeichnis sein muss – die beteiligte Aufsicht scheint dort auch eine konkrete Verfahrensbeschreibung zu erwarten, die den Beschäftigten bekannt sein muss. Das Gericht folgte der Ansicht, dass Verfahren im Detail dokumentiert sein müssen. »Die dabei geforderte Detailtiefe ist auf den ersten Blick überraschend«, so die Autorin, der nötige Aufwand bei der Erstellung von Verarbeitungsverzeichnissen wäre enorm: »Die hierdurch gebundenen personellen Kapazitäten könnte man sicher an anderen Stellen sinnvoller nutzen.« Mit Blick auf das KDG und das Verarbeitungsverzeichnis-Muster der Aufsichten wirken die Anforderungen des Gerichts aber durchaus plausibel. Im Musterformular gibt es mit Feld B.3 Verarbeitungsablauf ein passendes Feld: »Eine (kurze) Beschreibung des operativen Ablaufs der Verarbeitung mit ihren wichtigsten Schritten«, und das Gesetz selbst sieht vor, »wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen« aufzunehmen (§ 31 Abs. 1 lit. h)).

Weiterlesen

Der Datenschutz hat das Faxen dicke

Für viel Spott hat diese Woche eine Orientierungshilfe der bremischen Datenschutzaufsicht gesorgt: »Telefax ist nicht Datenschutz konform« heißt es dort. Die Behörde kommt zu dem Schluss, dass Faxe deshalb unsicher sind, weil sie nicht mehr über exklusive Telefonleitungen von Gerät zu Gerät geschickt werden und oft in E-Mails umgewandelt werden – damit seien sie mit E-Mails gleichgestellt.

Zeichnung eines Amstutz Electro-Artograph.
So ähnlich sieht der Arbeitsalltag in vielen Praxen und Kanzleien heute noch aus. (Amstutz Electro-Artograph, Scientific American vom 6. April 1895)

Insbesondere sei die Übertragung besonderer Kategorien personenbezogener Daten unzulässig – eine Rechtsauffassung, die in Medizin und Justiz viele in die Verzweiflung treiben dürfte. Die Ansicht der Aufsicht ist aber keineswegs herrschende Meinung – und insbesondere im kirchlichen Datenschutzrecht gibt es explizite Regelungen für Menschen, die das Faxen nicht lassen können.

Weiterlesen

Wir sehen uns in der 2. Instanz – Wochenrückblick KW 14/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Letzte Woche nach Redaktionsschluss des Wochenrückblicks gab es noch eine kleine Änderung auf der Entscheidungs-Seite des Interdiözesanen Datenschutzgerichts: »Rechtsmittel anhängig«, steht dort jetzt bei der bei Veröffentlichung hier schon sehr kritisch diskutierten Entscheidung zum Recht des leitenden Pfarrers auf Einsicht in die Corona-Schutzlisten von Gottesdiensten – damals schon hatte ich prognostiziert, dass das Katholische Datenschutzzentrum Dortmund wohl Rechtsmittel einlegen wird.

Da es sich bei dem Fall um eine Anwendung der nordrhein-westfälischen Corona-Schutzverordnung handelt, hatte ich parallel auch die Staatskanzlei angefragt, ob die Verordnung ein derartiges Einsichtsrecht des Pfarrers rechtfertige. Wie schon zuvor bei der verunglückten Formulierung der Rechtsgrundlage für die Rückverfolgungslisten (und allgemein beim NRW-Corona-Management) zeigte sich dabei eine gewisse Wurstigkeit und Überforderung: Die Anfrage wurde nicht beantwortet, nur das Gesundheitsministerium hat einige nichts mit der Anfrage zu tun habende Textbausteine geschickt. Eine erneute Nachfrage blieb unbeantwortet.

Die KDSA Ost publiziert mittlerweile so häufig, dass man schon von Blog sprechen kann – sehr gut! Diese Woche ging es um die geplanten Änderungen im Mitbestimmungsrecht zur Ausgestaltung von mobiler Arbeit. Auch wenn das nicht unmittelbar für die Kirchen mit ihrem eigenen Mitarbeitervertretungsrecht relevant ist, ist doch zu hoffen, dass der Impuls auch bei der nächsten MAVO-Novellierung aufgegriffen wird. Bei der »Ausgestaltung von mobiler Arbeit, die mittels Informations- und Kommunikationstechnik erbracht wird«, gibt es momentan vor allem über den (allerdings mächtigen) Umweg der Mitbestimmung bei »technischen Überwachungssystemen« einen Hebel für die Mitarbeitervertretung. Dem Fazit der KDSA Ost kann man sich daher anschließen: »Die geplante Erweiterung der Mitbestimmung könnte so auch aus datenschutzrechtlicher Sicht eine Bereicherung darstellen.«

Weiterlesen

E-Mails und Berufsgeheimnisträger*innen

Sind unverschlüsselte E-Mails überhaupt noch datenschutzrechtlich zulässig? Das war eines der großen Aufregerthemen bei der Einführung der neuen Datenschutzgesetze. Im kirchlichen Bereich sorgte vor allem ein etwas zu scharf geschaltetes Kommunikationsportal im Bistum Rottenburg-Stuttgart, der »Secure Mail Gateway« für Spott und Ärger, über das alle Mails mit personenbezogenen Daten mit extern (also eigentlich alle) abgewickelt werden sollten.

Photo by Bundo Kim on Unsplash

Tatsächlich ist E-Mail nicht unproblematisch: Transportverschlüsselung ist zwar Standard, aber keine echte Ende-zu-Ende-Verschlüsselung; mindestens die jeweiligen Provider und Mailserver könnten gegebenenfalls in Inhalte Einblick nehmen. Ein nun veröffentlichtes Urteil des Verwaltungsgerichts Mainz (1 K 778/19.MZ) befasst sich mit Blick auf Berufsgeheimnisträger*innen mit der Zulässigkeit von E-Mails; im Fall geht es um einen Rechtsanwalt, der einem Mandanten Daten per unverschlüsselter E-Mail geschickt hat. War das zulässig? Das Urteil kommt zum Schluss: Ja, Transportverschlüsselung stellt ein angemessenes Schutznivau dar, wenn kein erhöhter Schutzbedarf besteht. Auch im kirchlichen Bereich ist dieses Urteil interessant: Schließlich sind auch Seelsorger*innen Berufsgeheimnisträger*innen, und was für die recht ist, sollte auch für normale Menschen billig sein.

[…] Ein angemessenes Schutzniveau im Sinne des Art. 32 Abs. 1 DS-GVO ist auch bei Berufsgeheimnisträgern (hier: Rechtsanwälte) grundsätzlich durch Nutzung einer (obligatorischen) Transportverschlüsselung anzunehmen, soweit nicht im Einzelfall besondere Anhaltspunkte für einen erhöhten Schutzbedarf bestehen.

Leitsatz des Urteils des Verwaltungsgerichts Mainz (1 K 778/19.MZ)
Weiterlesen