Schlagwort-Archive: Unterwerfungserklärung

Hl. Josef von Cupertino, bitte für die Caritas München – Wochenrückblick KW 37/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Münchner Diözesancaritasverband arbeitet erst einmal analog. Er »verzeichnet seit vergangenem Wochenende eine Großstörung zentraler IT-Systeme und ist nach aktuellem Kenntnisstand Opfer eines weitreichenden Cyberangriffs geworden«, heißt es in der Pressemitteilung. Die eigentliche Arbeit sei aber trotzdem gesichert. Viele Details erfährt man nicht – auch wenn der Caritasdirektor beteuert, der Vorfall sei »trotz umfangreicher technischer und organisatorischer Schutzmaßnahmen« eingetreten. Ein Krisenstab wurde eingerichtet, Anzeige ist erstattet. »Wir befinden uns derzeit noch in der Analysephase. Gleichwohl gibt es konkrete Hinweise darauf, dass es den Cyberkriminellen gelungen ist, trotz aller Schutzvorkehrungen Daten aus unseren Systemen abzugreifen. Um welche Daten es sich handelt, können wir zum jetzigen Stand nicht zweifelsfrei und auch aus ermittlungstaktischen Gründen nicht sagen«, so Diözesancaritasdirektor Hermann Sollfrank weiter. Aus Kreisen des Verbands erfährt man, dass die Behebung des Schadens noch länger, möglicherweise Monate dauern werde, und dass es um Erpressung geht. Normalerweise gilt: Kein Backup, kein Mitleid. Bei der Caritas und dem, was sie für Menschen in Notsituationen leistet, darf man aber trotzdem ein Kerzchen mit einer Bitte um Fürsprache des hl. Josef von Cupertino aufstellen. Der Franziskaner darf dank seiner Gabe der Bilokation auch als Schutzpatron der redundanten Datenhaltung gelten.

»Unterwerfungserklärung« ist wohl der ungeschickteste Begriff, den das kirchliche Datenschutzrecht hervorgebracht hat (oder besser: der sich in seiner Anwendung eingebürgert hat). Das wird deutlich in der Erläuterung bei »Althammer & Kill«, die vor naheliegenden Fehldeutungen warnt: »Auch wenn solch eine „Unterwerfung“ vor allem bei größeren Dienstleistern auf einen abwehrenden Reflex stößt, sollte beachtet werden, dass diese Erklärung nicht dazu dient, sich Gott, der Kirche oder einem bestimmten Glauben zu beugen«, heißt es da. Besser sei die Bezeichnung Anerkennungserklärung oder auch nur Zusatzvereinbarung, wird vorgeschlagen. Die Problematik der Vermittlung beim Abschluss von Auftragsverarbeitungsverträgen hat auch der BfD EKD erkannt und sein Muster vor einiger Zeit um gute Erläuterungen ergänzt, was da eigentlich vor sich geht.

Das IDSG kündigt eine Entscheidung (Beschluss vom 25. Mai 2022 – IDSG 01/2021) zu den Anforderungen an eine konkludente Einwilligung zur Datenverarbeitung bei der Übernahme einer Arztpraxis an. Konkludente Einwilligungen kamen bereits in Entscheidungen des kirchlichen Datenschutzgerichts vor, aber so zentral, wie der Leitsatz verspricht, noch nicht. Insbesondere eine klare Darlegung an die Anforderungen, wie sie in der Ankündigung versprochen wird, dürfte sehr hilfreich sein.

In eigener Sache: Am 21. September um 18 Uhr leite ich bei der Stiftung Datenschutz ein Webinar zu Besonderheiten im Bereich des kirchlichen Engagements – die Teilnahme ist kostenlos.

Weiterlesen

Neue Argumente für die Unterwerfungserklärung nach DSG-EKD

Auftragsverarbeitung verbindet oft den Anwendungsbereich verschiedener Datenschutzregime: Wenn eine kirchliche Stelle einen nicht-kirchlichen Dienstleister beauftragt, unterliegt der zwar weiterhin der DSGVO, als verantwortliche Stelle muss die kirchliche Einrichtung aber die Durchsetzung des kirchlichen Datenschutzgesetzes sicherstellen. Auftragsverarbeitung im kirchlichen Kontext braucht daher Zusatzvereinbarungen zu den Standard-Auftragsverarbeitungsverträgen.

Eine Hand steckt ein Netzwerkkabel in einem Serverschrank.
Auftragsverarbeitung ist besonders bei der IT alltäglich. (Symbolbild, Photo by ThisisEngineering RAEng on Unsplash)

Als wäre es nicht schon anspruchsvoll genug, Dienstleister (die oft Massendienstleistungen anbieten) von Zusatzvereinbarungen zu überzeugen, verwendet man im Bereich des DSG-EKD auch noch den sehr unsympathischen Begriff »Unterwerfungserklärung«, der nicht unbedingt die besten Assoziationen weckt. Wohl auch deshalb hat der BfD EKD sein Muster einer Unterwerfungserklärung um hilfreiche Erläuterungen ergänzt.

Weiterlesen

Luca-App für kirchliche Veranstaltungen?

Das ist doch mal erfreulich: Die Hype-App du jour hat sich Datenschutz auf die Fahnen geschrieben. Die Kontaktverfolgungs-App »luca« für private Treffen, öffentliche Veranstaltungen und Gastronomie hat viel Lob bekommen: Endlich weg von der Zettelwirtschaft und hin zu einer einfachen, datenschutzkonformen Rückverfolgbarkeit! Erstaunlich viele Testimonials hat die App, Mecklenburg-Vorpommern hat sie lizenziert – und auch kirchliche Veranstalter*innen – von Bildungshäusern bis zum Kirchenkaffee – könnten davon profitieren.

Check-in per QR-Code
(Bildquelle: Photo by Albert Hu on Unsplash)

Erste Interessent*innen gibt es bereits: Am Montag kündigte die Katholische Akademie des Bistums Dresden-Meißen die Nutzung von neuen Kontaktnachverfolgungsapps, darunter »luca«, an: »Wir sind davon überzeugt, dass wir mit dem System für die verschlüsselte, anonymisierte und datenschutzkonforme Kontaktdatenregistrierung und eine schnelle und lückenlose Nachverfolgung von Infektionsketten einen sinnvollen Beitrag leisten, unsere Besucher und Referent*innen vor Infektionen zu schützen«, so Akademie-Direktor Thomas Arnold.

Aber sind diese und andere Apps überhaupt im kirchlichen Kontext problemlos verwendbar? Während die technischen Anforderungen der kirchlichen Datenschutzgesetze sich nicht von den Anforderungen der DSGVO unterscheiden, gibt es doch Besonderheiten: Nach evangelischem Datenschutzrecht ist Auftragsverarbeitung durch nichtkirchliche Stellen generell anspruchsvoll, nach katholischem bereiten Drittlandsübertragungen Schwierigkeiten.

Weiterlesen

Videokonferenz praktisch datenschutzkonform – nur wie?

Eins gleich vorweg: Die Antwort auf die drängendste Frage, nämlich »Darf ich Zoom verwenden?«, ist ein deutliches »Tja, hmm …«. Zum Thema Videokonferenzen haben die kirchlichen Datenschutzaufsichten viel veröffentlicht – und vieles ist auf der strengeren Seite möglicher Spielräume, bis hin zu ganz klaren Aussagen, dass US-Dienste kategorisch unzulässig sind. Aus diesem Dilemma kommt man nicht heraus.

Eine Videokonferenz mit vielen Teilnehmenden auf einem Laptopbildschirm
Videokonferenz. (Photo by Chris Montgomery on Unsplash)

Auch dieser Artikel kann kein Patentrezept liefern. Das kann momentan niemand – oder wie es der bayerische Diözesandatenschutzbeauftragte sagt: »Wenn Sie nach dem Lesen des Aufsatzes nicht wissen, welches Programm Sie nun wählen sollen, sind Sie damit nicht allein auf der Welt.« Was aber geht: Das Datenschutzniveau pragmatisch zu heben, sich statt völlig immerhin größtmöglich rechtskonform aufzustellen – selbst wenn die Wahl auf einen US-Anbieter fällt – und das eigene Verhalten auf respektvollen Umgang mit den Daten anderer zu optimieren.

Weiterlesen