Schlagwort-Archive: Tracking

Kita-Check in der EKD, 3G-Check in Freiburg – Wochenrückblick KW 48/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der BfD EKD hat erste Ergebnisse seiner Schwerpunktprüfung in 100 zufällig ausgewählten Kindertagesstätten veröffentlicht. Eine praktische Erkenntnis: Wer den Fragebogen auch auf Nachfrage nicht ausfüllt, gewinnt eine Vor-Ort-Prüfung und bekommt Besuch. Gut etabliert seien mittlerweile die Verpflichtung aufs Datengeheimnis und die Bestellung von örtlichen Datenschutzbeauftragten. Verbesserungsbedarf gebe es bei der Meldung von Datenpannen. Überraschend ist, dass lediglich in einem Viertel der Einrichtungen »private mobile Endgeräte« dienstlich eingesetzt werden, »wobei diese häufig nur zur telefonischen Erreichbarkeit bei Ausflügen oder zur kurzfristigen Kommunikation zu Corona-Zeiten genutzt werden«. Interessant wäre, wie im restlichen Dreiviertel der Einrichtungen solche Kommunikation läuft – gibt es da eine angemessene Ausstattung an Dienstgeräten? Für den Sommer ist eine detaillierte Auswertung angekündigt, dann soll auch der Fragebogen veröffentlicht werden.

Das Referat Datenschutz des Erzbistums Freiburg hat für die Überprüfung des 3G-Status eine Vorlage für Verarbeitungsverzeichnisse zur Verfügung gestellt. Überraschend ist, wie ausführlich darin Informationen dokumentiert werden: Nicht nur wird nach geimpft und genesen differenziert, sondern auch genaue Daten zum Erreichen des vollständigen Impfschutzes und zum Auslaufen des Genesenenstatus erhoben. Hier wäre eine datensparsamere Lösung möglich, insbesondere, da die Rechtsgrundlage für die Erfassung bis zum 19. März befristet ist; eigentlich sollte ein Eintrag »Nachweis geprüft« und nur bei Genesenen ein Datum genügen, schließlich sind die Mitarbeitenden ohnehin verpflichtet, ihren Nachweis mit sich zu führen. Verantwortlich für diesen Umfang ist der Generalvikar: In einem Anwendungserlass wurde diese Detailtiefe verlangt, zudem wird nicht darauf hingewiesen, dass die Vorlage eines Nachweises freiwillig ist (dann greift allerdings die Testpflicht). Die gerade erschienene Handreichung des baden-württembergischen Landesdatenschutzbeauftragten weist darauf hin, dass die Speicherung des Status eine Einwilligung erfordert, zudem sieht er die Differenzierung nach Art des Status in der Regel als nicht erforderlich an. Befremdlich ist auch die Handreichung zur Überprüfung des Impfschutzes des Generalvikars, die eine reine Sichtprüfung (inkl. Herumtippen auf Geräten der Mitarbeitenden) vorsieht und als Papiervariante nur den gelben Impfass und nicht die maschinenlesbare Papierform des EU-Covid-Zertifikats kennt. Die baden-württembergische Corona-Verordnung sieht in § 6a vor, dass Nachweise digital lesbar vorzulegen und grundsätzlich elektronische Anwendungen zur Überprüfung einzusetzen sind – die Landesverordnung ist zwar wohl nicht für die Umsetzung des IFSG (eines Bundesgesetzes) einschlägig, könnte aber dennoch zur Ausfüllung der Gestaltungsfreiräume der Kontrolle genutzt werden.

In eigener Sache: In der aktuellen Ausgabe der BvD-News ist ein Artikel von mir mit einer Einführung in die Besonderheiten des kirchlichen Datenschutzes.

Weiterlesen

Recht unübersichtlich – Wochenrückblick KW 32/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Auf den ersten Blick wirkt die Veröffentlichung des Gesetzes über das Verwaltungsverfahren im kirchlichen Datenschutz im Amtsblatt des Bistums Limburg wie ein reiner Routine-Vorgang – schließlich tröpfeln die Inkraftsetzungen Diözese für Diözese seit Monaten langsam ein, beginnend mit Speyer Ende 2020. Dass dieses vom Verband der Diözesen Deutschlands abgestimmte Gesetz in allen Bistümern einzeln in Kraft gesetzt wird (und zwar formal ein jeweils eigenes, das sich mindestens in der Inkraftsetzungsformel unterscheidet), hat kirchenrechtliche Gründe: Der Diözesanbischof ist Gesetzgeber, die Bischofskonferenz und ihr Rechtsträger, der VDD, hat kaum Gesetzgebungskompetenzen – insbesondere nicht im Datenschutzrecht. Ein einheitliches DBK-Gesetz bräuchte ein besonderes Mandat des Heiligen Stuhls (wie die KDSGO). Das macht Arbeit und kostet Flexibilität, wenn alles erst über Rom muss (und aus dem wenigen, was man über die Entstehung der KDSGO weiß, ist das keineswegs eine reine Formalie, was im Vatikan passiert).

Einen großen Vorteil hätte ein einziges statt 27+ parallelen Gesetzen (»+«, weil das Militärbischofsamt und gegebenenfalls jeder einzelne Orden päpstlichen Rechts noch weitere erlassen können) dadurch, dass Rechtsklarheit herrscht. Bisher sind die Verwaltungsverfahrensgesetze zwar vom relevanten Wortlaut her gleich – was sich aber unterscheidet, sind die Geltungsdaten. Das im Juni 2020 vom VDD beschlossene Gesetz trat in manchen Bistümern schon zum 1. Januar 2021 in Kraft, aktuell in Limburg zum 1. Juli 2021 mit Veröffentlichung im August 2021 im Amtsblatt – für jede einzelne Diözese muss also geprüft werden, ob das Gesetz zu einem bestimmten Zeitpunkt schon in Kraft war (und für nach Inkrafttreten erst veröffentlichte Gesetze wäre eigens zu klären, ob sie wirklich schon zum im Gesetz genannten Zeitpunkt oder erst zum Erscheinungstag des Amtsblattes gelten). Die Österreichische Bischofskonferenz hat eine kreative Lösung ohne Rom-Umweg für einheitliche Gesetze gefunden, etwa bei ihrem Decretum Generale über den Datenschutz: »Die Diözesanbischöfe haben dem vorliegenden Decretum Generale über den Datenschutz in der Katholischen Kirche in Österreich und ihren Einrichtungen (Kirchliche Datenschutzverordnung) einzeln ihre Zustimmung im Sinne can. 455 § 4 CIC 1983 gegeben.« (Ob dieser Kanon als Mittel der Gesetzgebung wirklich so tragbar ist, kann man aber auch hinterfragen.)

Über die Schwerpunktprüfungen in Kindergärten war hier schon öfter zu lesen (katholisch in NRW und im Norden, außerdem beim BfD EKD). Kitas sind also gut beraten, den Datenschutz nicht schleifen zu lassen – die Datenschutz-Nord-Gruppe hat jetzt ein eigenes Serviceangebot zu Datenschutz in katholischen Kindertageseinrichtungen online gestellt.

Und dann gibt’s noch einen Job für #TeamKirchlicherDatenschutz: in Frankfurt sucht die katholische Aufsicht eine*n Sachbearbeiter*in für den Bereich Informationstechnologie.

Weiterlesen

Dran ist erstmal die verantwortliche Stelle – Wochenrückblick KW 4/2021

Das Blog des Landesjugendpfarramts der Oldenburgischen Landeskirche setzt kein Tracking ein – bewusst nicht. Warum, wird diese Woche im Blog erklärt. Damit werden Forderungen des Jugend- und Netzpolitischen Forums #FreiraumNetz umgesetzt: »Datenschutz und informationelle Selbstbestimmung müssen zu einem festen Bestandteil von politischer Jugendbildung und Jugendpolitik werden. Denn Jugendliche sind als aktive Nutzer*innen in besonderem Maße von staatlicher und kommerzieller Überwachung betroffen.«

Das Interdiözesane Datenschutzgericht hat eine weitere Entscheidung veröffentlicht. Nicht ganz so spektakulär wie die Frage nach dem Teilkirchenaustritt, dafür aber wichtige Rechtsfortbildung. »Werden personenbezogene Daten im Bereich einer juristischen Person verarbeitet, ist grundsätzlich die juristische Person als Rechtsträger der betroffenen Einrichtung oder des betroffenen Unternehmens Verantwortlicher und nicht die jeweils handelnde natürliche Person«, lautet der veröffentlichte Tenor der Entscheidung IDSG 01/2020. Grundsätzlich eine gute Nachricht für Beschäftigte: Dran ist erstmal die verantwortliche Stelle. Interessant ist dabei, wann es nach Ansicht des Gerichts anders sein könnte: »Auf Mitarbeiter des Rechtsträgers könnte ausnahmsweise abzustellen sein, wenn ein Mitarbeiter entgegen der Weisung des Rechtsträgers mit der Datenverarbeitung eigene Zwecke verfolgt (Mitarbeiterexzess) oder wenn ein Mitarbeiter auf Grund seiner besonderen rechtlichen Stellung unabhängig von Weisungen des Rechtsträgers – etwa als Betriebsrat, Mitarbeitervertretung oder Personalrat – ist« – die Frage nach der datenschutzrechtlichen Verantwortlichkeit der Mitarbeitervertretung ist im kirchlichen wie im säkularen Recht noch offen; hier scheint das Gericht eine gewisse Tendenz vorzuzeichnen.

Nach dem Interview hier im Blog mit eher speziellen Fragen zum Europarecht erschien ein allgemeinverständlicheres Interview mit Gernot Sydow, dem Münsteraner Europarechtler und Vorsitzenden des DBK-Datenschutzgerichts auch bei katholisch.de. Darin erläutert er noch einmal seine These von der Unzuständigkeit der EU für kirchlichen Datenschutz, die er bereits in seinem Kommentar vertreten hatte. Außerdem widerspricht er dem bayerischen Diözesandatenschutzbeauftragten, der die Meinung vertritt, kirchliches Datenschutzrecht müsse strenger sein als weltliches, stellt Anforderungen an kirchliche Gesetzgebung und plaudert auch ein wenig aus dem Nähkästchen, wie die kirchlichen Datenschutzgerichte arbeiten.

Gratulieren darf man Andreas Mündelein: Der Leiter der KDSA Nord wurde für weitere vier Jahre als Diözesandatenschutzbeauftragter bestellt.

Weiterlesen

Epochenwechsel in Bayern – Wochenrückblick KW 35

Seit dieser Woche sind alle veröffentlichten Tätigkeitsberichte der kirchlichen Datenschutzaufsichten für 2019 hier im Blog besprochen: die Orden, der Nordwesten und der Osten. Es fehlen Bayern, Südwest und NRW. (Der EKD-Bericht erschien bisher im zweijährigen Turnus, den § 41 DSG-EKD mindestens vorschreibt. Der nächste turnusgemäße wäre dann für 2021 für 19/20 zu erwarten.) Bei meinen Recherchen wurde für das ungewöhnlich späte Erscheinen in der Regel die Corona-Krise angeführt: Wenn sonst im Büro geschrieben wird, war dieses Jahr (hoffentlich rechtskonformes) Homeoffice zu organisieren.

NRW und Südwest haben mir jeweils »nach der Sommerpause« und »im Herbst« fürs Erscheinen angekündigt. In Bayern gibt es noch einen besonderen Grund für die Verspätung: Zum 30. September endet das Mandat des Diözesandatenschutzbeauftragten Jupp Joachimski, zu diesem Datum will er auch seinen Bericht für 2019 und die ersten drei Quartale von 2020 vorlegen. Ein Nachfolger steht noch nicht fest – jedenfalls ist keiner bekannt. Mit Joachimski verlässt der einzige unter den fünf Diözesandatenschutzbeauftragten das Amt, der nicht aus dem Bereich Verwaltung und Compliance kommt, sondern früher Richter war. Seine Äußerungen – etwa zur Anwendbarkeit der Kriterien des Kunsturhebergesetzes, um Fotoveröffentlichungen ohne Rechtsgrundlage Einwilligung zu ermöglichen – zeugten von einer Sensibilität für die Abwägung von Grundrechten, die nicht alle seine Kolleg*innen an den Tag legen.

Weiterlesen