Schlagwort-Archive: TTDSG

TTDSG, Teilkirchenaustritt und Landeskirchenrecht – Wochenrückblick KW 3/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Nach dem BfD EKD hat nun mit dem Katholischen Datenschutzzentrum Dortmund auch die erste katholische Aufsicht eine FAQ-Liste zum TTDSG veröffentlicht, und wie bei der evangelischen Liste ist auch diese weitgehend überraschungsfrei bei großen Überschneidungen beider Listen. Bei der Frage nach der zuständigen Aufsichtsbehörde spricht sich das KDSZ Dortmund klar dafür aus, dass die kirchliche Aufsicht zuständig ist, sich um die datenschutzrechtlichen Aspekte bei Telemedien kirchlicher Stellen zu kümmern. Was genau das in der Praxis heißt, wird sicher noch interessant, auch im Zusammenspiel mit den Landesmedienanstalten als Telemedien-Aufsichtsbehörden. Die Aufgabenzuweisung an den BfDI im Bereich der Telekommunikation soll laut FAQ-Liste auch im kirchlichen Bereich gelten. Kirchliche Stellen als Telekommunikationsanbieter dürfte es entweder fast keine geben oder sehr viele – dann nämlich, wenn Arbeitgeber Pflichten als Telekommunikationsdienstleister treffen sollten, wenn sie Angestellten betriebliche Kommunikation auch zur privaten Nutzung zur Verfügung stellen. Das ist aber noch keineswegs klar, wie auch die FAQ-Liste betont.

Während die Bremische Evangelische Kirche umfangreiche neue Ausführungsverordnungen in ihr Datenschutzrecht aufgenommen hat, gibt es bei der Evangelischen Kirche im Rheinland nur kosmetische Änderungen in der Durchführungsverordnung: Betroffenenrechte bezüglich privaten Kontaktdaten in Anschriftenverzeichnissen wurden präzisiert, beim Patient*innendatenschutz ist das Widerspruchsrecht deutlicher formuliert worden.

Bei den katholischen Datenschutzgerichten gibt es Neues: Die Entscheidung der zweiten Instanz zum »Teilkirchenaustritt« (16.09.2021 – DSG-DBK 05/2020) ist veröffentlicht worden und bestätigt die hier schon besprochene Entscheidung der ersten Instanz in vollem Umfang. Noch ohne Volltext wurde eine interessante Entscheidung der ersten Instanz angekündigt (09.12.2021 – IDSG 03/2020), der zufolge die Angabe, Vorsitzender eines »öffentlichen katholischen Vereins« zu sein, zu den besonderen Kategorien personenbezogener Daten gehört. Hier darf man auf die Begründung gespannt sein – die Tatsache der Vorstandschaft enthält kaum mehr als die bloße Kirchenzugehörigkeit, die gerade von den besonderen Kategorien ausgenommen ist. Je nach Begründung könnte diese Entscheidung für alle kirchlichen Vereine interessante Probleme aufwerfen.

In Sachen Prüfung des alt-katholischen Bistums durch die LDI NRW gibt es leider endgültig nichts Neues: Der Zugang zu den Entscheidungsgründen wurde abgelehnt, da die Prüfung lediglich ruhe. Derweil hat der bayerische Diözesandatenschutzbeauftragte eine Informationsoffensive gestartet – seine Webseite hat jetzt einen Bereich »Aktuelles«, und der BfD EKD hat Jobs im Angebot, das KDSZ Dortmund auch.

Weiterlesen

TTDSG, Jubiläen und Böhmermann – Wochenrückblick KW 50/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der BfD EKD hat eine FAQ-Liste zum TTDSG veröffentlicht, die einen allgemeinen Blick auf die neuen Verpflichtungen richtet. Ob das TTDSG überhaupt für alle kirchlichen Einrichtungen gilt, ist aufgrund des § 1 Abs. 3 TTDSG geregelten Anwendungsbereichs nicht ganz offensichtlich; dort ist die Rede von »alle[n] Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen«; die Formulierung sollte nach Auskunft des federführenden Wirtschaftsministeriums jedoch lediglich das Marktortprinzip festlegen, nicht den Anwendungsbereich auf Körperschaften einschränken, die »Unternehmen« im engeren Sinn sind. Der BfD EKD bejaht daher auch die Anwendung für kirchliche Stellen: »Ja, das TTDSG gilt auch für kirchliche und diakonische Stellen, soweit sie als Anbieter von Telekommunikationsdiensten oder als Anbieter von Telemediendiensten wie z.B. Websitebetreiber auftreten.«

Bei den Informationspflichten scheint einiges im Argen zu liegen – kein Wunder: Viel mehr als Datenschutzhinweise mit Textbausteinen auf Webseiten bekommt man oft nicht zu sehen. Dazu hat sich die KDSA Ost geäußert. »Merke!«, heißt es dort: »Immer wenn personenbezogene Daten erhoben werden, muss die Informationspflicht erfüllt werden.« Von den wenigen Ausnahmen solle nur zurückhaltend Gebrauch gemacht werden – sicherheitshalber werden die Ausnahmen auch gar nicht genannt. Die werden grundsätzlich aus den Ausnahmen der §§ 32f. BDSG geschöpft, allerdings wie üblich mit einer kirchlichen Anpassung: Die Informationspflicht besteht nicht, »wenn durch die Auskunft die Wahrnehmung des Auftrags der Kirche gefährdet wird« (§ 15 Abs. 5 lit. c KDG – ohne die Interessensabwägung aus § 32 Abs. 1 Nr. 3 BDSG) – in diesen Fällen besteht auch kein Auskunftsrecht (§ 17 Abs. 6 lit. a) KDG).

Am Fachbereich Theologie der Universität Frankfurt fand eine Tagung zu Primärquellen in der Missbrauchsforschung statt. Ein Schwerpunkt war dabei auch der Umgang mit kirchlichen Archiven. Einen kurzen Tagungsbericht gibt es dazu von der KNA bei katholisch.de mit Blick auf Bistumsarchive, die oft nicht vollständig sind. Über den Vortrag der Kirchenhistorikerin Alexandra von Teuffenbach zu ihren Erfahrungen bei der Aufarbeitung der Missbrauchsvorwürfe gegen den Schönstatt-Gründer Josef Kentenich und zur Zugänglichkeit der Vatikan-Archive habe ich eine Meldung veröffentlicht.

Das Bistum Rottenburg-Stuttgart hat seine Jubiläumsordnung aktualisiert, die neben der Veröffentlichung von Jubiläen auch die von Sakramentenspendungen und anderen Ereignissen regelt. Das gibt es in einigen Bistümern – aber so umfassend wie hier wohl selten: Grundsätzlich veröffentlicht werden dürfen neben Dienst- und Weihejubiläen in kircheneigenen Medien Geburt, Taufe, Erstkommunion, Firmung, Trauung sowie Alters- und Ehejubiläen von Mitgliedern der Kirchengemeinden.

Die Log4Shell-Sicherheitslücke hat auch einige kirchliche Aufsichten zu Warnungen und Hinweise auf die Informationen des BSI bewogen. Das Pro-Magazin hat dazu noch einige Anbieter von Standardsoftware für Gemeinden angefragt, die für ihre Dienste Entwarnung geben können.

Für katholisch.de habe ich über die neuen Kriterien der katholischen Datenschutzkonferenz für Messenger berichtet. Das Bistum Würzburg teilte mir dazu mit, dass für den Bistumskanal ein Umstieg von Telegram auf Signal geplant sei: „Der Abschied von Telegram geschieht vor allem aufgrund der Kultur Telegrams, die nicht nur seitens des Herstellers undurchsichtig ist, sondern auch von Nutzern für radikale, gesetzeswidrige und gefährliche Inhalte genutzt wird“, so der Sprecher.

»Comminuite, perdite, publicate, moderate Facebook!«, forderte Jan Böhmermann in seiner letzten Sendung und lässt auf der umfangreichen Seite zur Sendung (unter anderem mit Interviews mit Frances Haugen und Max Schrems) eigentlich nur die Frage offen, ob es nicht eigentlich »Facebookem« heißen müsste. Das Video zum Facebook-Requiem wurde in der Kölner Kirche St. Engelbert gedreht – der Pfarrer fand’s nach Lesen des Drehbuchs unterstützenswert, hat er mir erzählt.

Weiterlesen

Kita-Check in der EKD, 3G-Check in Freiburg – Wochenrückblick KW 48/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der BfD EKD hat erste Ergebnisse seiner Schwerpunktprüfung in 100 zufällig ausgewählten Kindertagesstätten veröffentlicht. Eine praktische Erkenntnis: Wer den Fragebogen auch auf Nachfrage nicht ausfüllt, gewinnt eine Vor-Ort-Prüfung und bekommt Besuch. Gut etabliert seien mittlerweile die Verpflichtung aufs Datengeheimnis und die Bestellung von örtlichen Datenschutzbeauftragten. Verbesserungsbedarf gebe es bei der Meldung von Datenpannen. Überraschend ist, dass lediglich in einem Viertel der Einrichtungen »private mobile Endgeräte« dienstlich eingesetzt werden, »wobei diese häufig nur zur telefonischen Erreichbarkeit bei Ausflügen oder zur kurzfristigen Kommunikation zu Corona-Zeiten genutzt werden«. Interessant wäre, wie im restlichen Dreiviertel der Einrichtungen solche Kommunikation läuft – gibt es da eine angemessene Ausstattung an Dienstgeräten? Für den Sommer ist eine detaillierte Auswertung angekündigt, dann soll auch der Fragebogen veröffentlicht werden.

Das Referat Datenschutz des Erzbistums Freiburg hat für die Überprüfung des 3G-Status eine Vorlage für Verarbeitungsverzeichnisse zur Verfügung gestellt. Überraschend ist, wie ausführlich darin Informationen dokumentiert werden: Nicht nur wird nach geimpft und genesen differenziert, sondern auch genaue Daten zum Erreichen des vollständigen Impfschutzes und zum Auslaufen des Genesenenstatus erhoben. Hier wäre eine datensparsamere Lösung möglich, insbesondere, da die Rechtsgrundlage für die Erfassung bis zum 19. März befristet ist; eigentlich sollte ein Eintrag »Nachweis geprüft« und nur bei Genesenen ein Datum genügen, schließlich sind die Mitarbeitenden ohnehin verpflichtet, ihren Nachweis mit sich zu führen. Verantwortlich für diesen Umfang ist der Generalvikar: In einem Anwendungserlass wurde diese Detailtiefe verlangt, zudem wird nicht darauf hingewiesen, dass die Vorlage eines Nachweises freiwillig ist (dann greift allerdings die Testpflicht). Die gerade erschienene Handreichung des baden-württembergischen Landesdatenschutzbeauftragten weist darauf hin, dass die Speicherung des Status eine Einwilligung erfordert, zudem sieht er die Differenzierung nach Art des Status in der Regel als nicht erforderlich an. Befremdlich ist auch die Handreichung zur Überprüfung des Impfschutzes des Generalvikars, die eine reine Sichtprüfung (inkl. Herumtippen auf Geräten der Mitarbeitenden) vorsieht und als Papiervariante nur den gelben Impfass und nicht die maschinenlesbare Papierform des EU-Covid-Zertifikats kennt. Die baden-württembergische Corona-Verordnung sieht in § 6a vor, dass Nachweise digital lesbar vorzulegen und grundsätzlich elektronische Anwendungen zur Überprüfung einzusetzen sind – die Landesverordnung ist zwar wohl nicht für die Umsetzung des IFSG (eines Bundesgesetzes) einschlägig, könnte aber dennoch zur Ausfüllung der Gestaltungsfreiräume der Kontrolle genutzt werden.

In eigener Sache: In der aktuellen Ausgabe der BvD-News ist ein Artikel von mir mit einer Einführung in die Besonderheiten des kirchlichen Datenschutzes.

Weiterlesen

Alle Völker und Rassen – Wochenrückblick KW 41/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Bei der Eule beschäftigt sich Philipp Greifenstein mit der Kategorie des »Rassischen« in evangelischen Kirchengesetzen – ein lesenswerter Beitrag zu kirchlicher Rechtskultur. Er fragt: »Wenn sich schon der Deutsche Bundestag mit einer Reform Zeit lässt, könnten dann nicht die Kirchen mit guten Beispiel voran gehen, und den Rassebegriff und seine verschwurbelten Geschwister wie „Abstammung“ und „Ethnie“ aus ihren Gesetzen entfernen?« Betroffen sind dabei auch die kirchlichen Datenschutzgesetze. Sowohl das DSG-EKD (§ 4 Nr. 2 lit. b)) wie das KDG (§ 4 Nr. 2) haben aus Art. 9 Abs. 1 DSGVO die Wendung »rassische und ethnische Herkunft« bei der Definition der besonderen Kategorien personenbezogener Daten übernommen. In der Fachöffentlichkeit wurde das bisher nur von Matthias Ullrich in seiner Kommentierung von § 11 KDG in Sydows KDG-Kommentar problematisiert: »Auch der kirchliche Gesetzgeber hat es an dieser Stelle versäumt, die Formulierung „rassische“ Herkunft aus dem Gesetz zu entfernen, bzw. nicht aufzunehmen. Wissenschaftlich ist längst erwiesen, dass es menschliche Rassen nicht gibt.« Ullrich sieht den Begriff als nicht erforderlich an, um die gewünschte Regelung zu treffen: »Das Begriffspaar „rassische und ethnische Herkunft“ wird stets zusammen verwendet und zielt auf die Zugehörigkeit einer bestimmten Bevölkerungsgruppe ab, die durch gemeinsame Herkunft, Kultur oder ein besonderes Zusammengehörigkeitsgefühl geprägt wird.« Ullrich plädiert dafür, lediglich »ethnische Herkunft« zu schreiben. Mit Blick darauf, dass »rassisch« eben nicht auf biologische Tatsachen, sondern auf biologistische Zuschreibung abhebt, wäre das vielleicht doch etwas zu wenig. (Ausführlich dazu Matthias Hong im Verfassungsblog.)

Auf Twitter habe ich mich mit Michael Hilpüsch darüber unterhalten, ob das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) eigentlich im kirchlichen Bereich gilt. Tut’s das? Laut Anwendungsbereich unterliegen ihm »alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen« (§ 1 Abs. 3 TTDSG). Kirchlicher Datenschutz wird einerseits in Ausübung des Selbstorganisationsrecht der Kirchen gesetzt – verdrängt es dann alle Gesetze dieser Materie? Oder gilt das TTDSG, weil die kirchlichen Datenschutzgesetze beide Regelungen haben, denen zufolge ihnen Spezialgesetze vorgehen (§ 2 Abs. 2 KDG und § 2 Abs. 6 DSG-EKD)? Und welche kirchlichen Einrichtungen sind eigentlich »Unternehmen« im Sinne des TTDSG? Das Zusammenwirken der kirchlichen Gesetze mit weltlichen und die deutlich unterschiedliche Systematik, was den Vorrang des jeweiligen Datenschutzgesetzes im Vergleich zu anderen Gesetzen angeht, bleibt eine der kompliziertesten Fragen des kirchlichen Datenschutzes – und eine der ungeklärtesten.

Ein Terminhinweis in eigener Sache: In der kommenden Woche, 21. Oktober, 17–18.30 Uhr sitze ich beim iRights.Lab auf einem digitalen Podium zum Thema »Ist das Kirche oder kann das weg? Über die Moral in einer digitalen Gesellschaft« – die Teilnahme ist kostenlos, Anmeldung beim iRights.Lab.

Weiterlesen

Seelsorge, Beschaffung und Exchange-Apokalypse – Wochenrückblick KW 10/2021

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

»Digitale Seelsorge: Sicher und nah? Geht das überhaupt?«, fragt Ralf Peter Reimann auf Theonet. Mit vielen Beispielen aus der teilweise schon jahrzehntelang bestehenden Praxis zeigt er in seinem lesenswerten Grundsatzartikel zu digitaler Seelsorge ein Dilemma der Seelsorge auf, die digital bei den Menschen ist: Da wo die Leute sind, sind in der Regel nicht die für Seelsorge notwendige sichere Rahmenbedingungen vorhanden, und die Leute in kirchliche sichere Plattformen zu bekommen, ist schwer genug, und dann gibt es noch mehr Hürden: »sie erfüllen die vom EKD-Datenschutzgesetz und -Seelsorgegeheimnisgesetz geforderten Voraussetzungen, aber ihnen fehlt die Reichweite, Interessierte müssen sie gezielt suchen. Oft entspricht auch die User Experience und die Benutzeroberfläche nicht den sonst im Web gewohnten Standards, so dass deren Nutzung auf mobilen Endgeräten z.B. bei chatseelsorge.de schwierig ist«, so Reimann.

Das Dilemma aus Nutzungsfreundlichkeit, ethischen Prinzipien und Zugänglichkeit war auch Thema bei der Tagung »Kirche im Web«, wo Markus Beckedahl die Keynote gehalten hat. Sein Plädoyer für Kirchen: Nicht notwendig aus allen großen Netzwerken raushalten – aber eben auch zusätzlich die sicheren und dezentralen Kanäle ausprobieren. Und: Die Kirche hat eine große Marktmacht – die könnte sie in open-source-freundlichen Beschaffungsrichtlinien zur Gestaltung der freien Infrastruktur nutzen. Mehr dazu schreibt Benedikt Heider auf katholisch.de. Im Barcamp gab es auch eine sehr interessante Session zu Open-Source-Projekten in der Kirche wie das von mehreren Bistümern gemeinsam betriebene Communicare – das ist dort durchaus Thema. Die großen Probleme: mangelnde Akzeptanz, ungewohnte Oberflächen, Bequemlichkeit in der Beschaffung – und schwierige Kooperationen in den Bistümern.

Die Deutsche Bischofskonferenz hat eine Rechtssammlung zum kirchlichen Datenschutzrecht veröffentlicht (digital und als Broschüre). Kompakt stellt es die bundeseinheitlichen Gesetze zusammen (aber nur die katholischen, die ökumenische Rechtssammlung von Golland lohnt sich immer noch). Aus dem Vorwort und der Einleitung erfährt man auch, dass die Evaluierung des KDG nicht sofort Früchte tragen wird, wenn die dreijährige Frist ab Inkrafttreten im Mai erreicht wird: »Vor diesem Hintergrund ist mit einer Gesetzesänderung innerhalb der nächsten drei Jahre zu rechnen.«

Ansonsten war die große Exchange-Apokalypse Thema – auch bei den kirchlichen Aufsichten. Sowohl die Dortmunder wie die EKD-Aufsicht weisen auf’s BSI dazu hin, beide bitten, nicht voreilig Pannen zu melden: »Von einer – vorsorglichen – Meldung einer Datenschutzverletzung nach § 32 DSG-EKD/§ 33 KDG bitten wir solange abzusehen, bis eine tatsächliche Verletzung festgestellt wurde.«

Weiterlesen

Mehr Recht für Bayern und Schwaben – Wochenrückblick KW 2/2021

Normalerweise sind die evangelischen Rechtssammlungen digital den katholischen deutlich überlegen: Die meisten Landeskirchen haben komfortable Rechtsinformationssysteme. Nur die bayerische Landeskirche ist ein weißer Fleck auf der Landkarte und hat nicht einmal die Amtsblätter online. Zum Glück ist die zuständige Redaktion sehr serviceorientiert und hat unkompliziert die letzten Jahrgänge zur Verfügung gestellt: Damit ist nun die Rechtssammlung für das Datenschutzrecht aller Landeskirchen hier auf der Seite endlich ab 2018, dem Jahr des Inkrafttretens des DSG-EKD, vollständig.

Ergänzt wurde in dieser Woche auch die katholische Ortskirchenrechtsammlung: Nun hat auch Rottenburg-Stuttgart eine Fundraising-Datenschutz-Ordung.

Für kurzentschlossene: Am Montag findet die erste offene Videosprechstunde der KDSA Ost statt – es geht um Videokonferenzsysteme, und es sind noch Plätze frei.

Weiterlesen