Schlagwort-Archive: USA

Prüfschema für den Datentransfer – Wochenrückblick KW 31/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wochenrückblick Kirchlicher Datenschutz KW 31/2023
(Bildquelle: ali syaaban on Unsplash)
Weiterlesen

EU-US-Datenschutzrahmen im Blick – Wochenrückblick KW 29/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Wochenrückblick Kirchlicher Datenschutz KW 29/2023
(Bildquelle: ali syaaban on Unsplash)
Weiterlesen

EU-US-Datenschutzrahmen im kirchlichen Datenschutz

Knapp drei Jahre nach Schrems II und dem damit erwirkten Aus für das EU–US Privacy Shield gibt es wieder eine Rechtsgrundlage für die einfache Übertragung von personenbezogenen Daten in die USA: Am Montag teilte die EU-Kommission mit, dass sie einen Angemessenheitsbeschluss für den neuen »Datenschutzrahmen EU-USA« (»EU-US Data Privacy Framework«) getroffen hat, der am Dienstag, 11. Juli, in Kraft tritt.

Ein Mann mit einer US-Flagge als Umhang wird von einer laufenden Frau mit US-Flagge verfolgt.
So ähnlich funktioniert Datenübertragung in die USA. (Bildquelle: Photo by frank mckenna on Unsplash)


Angemessenheitsbeschlüsse können grundsätzlich auch im Geltungsbereich der kirchlichen Datenschutzgesetze angewandt werden. Die ausführliche FAQ-Liste von Thomas Schwenke oder der Angemessenheitsbeschluss selbst können grundsätzlich für Datenübertragungen gemäß KDG und DSG-EKD herangezogen werden. Dennoch gibt es einige Besonderheiten in beiden Gesetzen.

Weiterlesen

Auskunft schlägt Einsicht – Wochenrückblick KW 6/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Am vergangengen Freitag hat die Unabhängige Kommission für Anerkennungsleistungen ihren Tätigkeitsbericht für 2022 vorgestellt. Daraus geht hervor, dass bisher um die 50 Auskunftsersuchen nach § 17 KDG bearbeitet worden sind. »Diese resultierten nach Einschätzung der Geschäftsstelle in der Regel aus einer Unsicherheit der Betroffenen, ob ihre Antragsunterlagen der UKA jeweils vollständig vorlagen«, heißt es darin. Zuvor hatte die Deutsche Bischofskonferenz schon die Einführung eines Akteneinsichtsrechts für Betroffene angekündigt, die auf dieser Grundlage ihren Widerspruch gegen Entscheidungen der Kommission begründen wollen. Die Ordnung sieht aber lediglich ein Auskunftsrecht in die dem »Berichterstatter zur Vorbereitung seines Berichts für die Sitzung, in der die angefochtene Entscheidung gefallen ist, zur Verfügung stehende Akte« vor. In der Pressekonferenz der UKA hieß es auf meine Nachfrage lediglich, dass unter Wahrung der Rechte Dritter alles beauskunftet werde bis zum Zeitpunkt des Auskunftsersuchens – ob das wesentlich mehr als allgemeine Daten und die Akte des Berichterstattenden sind, blieb offen. Im Zweifelsfall dürfte sich für Betroffene auf jeden Fall ein Auskunftsersuchen zusätzlich zur geregelten Akteneinsicht anbieten: Während Akteneinsicht vor Ort gewährt wird, wird das Auskunftsersuchen (inklusive des Anspruchs auf Kopie) per Post beantwortet.

Beim Treffen der Datenschutzkonferenz im November stand die Verbesserung der Kooperation mit den spezifischen Aufsichtsbehörden auf der Tagesordnung – die werden traditionell stark außen vor gelassen. Zuletzt platzte der Rundfunkdatenschutzkonferenz deswegen der Kragen. Aus dem nun veröffentlichten Protokoll geht hervor, wie die Beteiligung der Aufsichten von Religionen und Rundfunk künftig geplant ist. Dazu wurden drei Vorhaben verabschiedet: Mehr Relevanz für die Treffen zwischen DSK und spezifischen Aufsichten, mehr Beteiligung an den Arbeitskreisen der DSK und niederschwelligerer Informationsfluss. Konkret heißt das: Künftig sollen bei den Treffen mit den spezifischen Aufsichten verstärkt auch die noch ausstehenden, aber bereits geplanten Themen der DSK aufgegriffen werden, so dass sich die spezifischen Aufsichten frühzeitig aktiv einbringen können, außerdem soll das Interesse an gemeinsamen Initiativen und Aktivitäten aller Aufsichten abgefragt werden. Vertretungen spezifischer Aufsichten sollen außerdem künftig an allen Arbeitskreisen der DSK als Gast mit thematischem Initiativrecht teilnehmen können, sofern der jeweilige AK-Vorsitz das zulässt. Ein Ausschluss von einzelnen Tagesordnungspunkten ist zulässig. Der Vorsitz entscheidet auch, ob Themenvorschläge aufgegriffen werden. Schließlich wird ein Adressverteiler eingerichtet, über den der jeweilige DSK-Vorsitz relevante Informationen an die spezifischen Aufsichtsbehörden schicken kann. Über eine Anfrage nach dem Informationsfreiheitsgesetz habe ich sowohl den Antwortbrief an den Rundfunkdatenschutzbeauftragten wie das Protokoll des Treffens mit den spezifischen Aufsichten im Dezember befreien können – dort wurden im wesentlichen die genannten Pläne zur Verbesserung der Zusammenarbeit vorgestellt.

Es geht weiter voran mit den bischöflichen Amtsblättern: Laut der Leiterin der Abteilung Kirchenrecht im Mainzer Ordinariat, Anna Ott, sitzt auch das Bistum Mainz dran – eine Veröffentlichung sei bald soweit, twitterte sie. Dass beim Bistum Eichstätt die Pastoralblatt-Seite schon wieder nur eine Fehlermeldung wirft, ist hoffentlich temporär.

Weiterlesen

Transparenzoffensive in Bayern und Aachen – Wochenrückblick KW 5/2023

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Zum Europäischen Datenschutztag gab es nur eine Äußerung aus der Kirche: Als einziger meldete sich der BfD EKD am Tag selbst zu Wort. Michael Jacob kündigte an, dass sein Schwerpunkt in diesem Jahr auf der Diakonie liegen soll: »Die Diakonie ist sich seit jeher dieser großen Verantwortung beim Umgang mit Gesundheitsdaten bewusst und lebt den kirchlichen Datenschutz in all ihren Einrichtungen und Werken! Zukünftig wollen wir als BfD EKD die Diakonie beim Datenschutz noch stärker als bisher unterstützen und uns ihren Anliegen widmen.« Neben Beratung und Weiterbildung gehört auch die schon zuvor angekündigte Schwerpunktprüfung in evangelischen Krankenhäusern zu den geplanten Maßnahmen.

Es geht voran mit den Amtsblättern! Das Bistum Aachen, das Bistum Eichstätt und das Erzbistum München und Freising veröffentlichen ab diesem Jahrgang ihr Amtsblatt auch online – ein wenig aufwendiger, aber wirkungsvoller Schritt, um kirchliches Regieren und Verwalten transparent zu machen. Bislang von mir unbemerkt hat in jüngerer Vergangenheit auch das Erzbistum Bamberg das Amtsblatt online gestellt, und zwar auch rückwirkend. Damit gibt es nur noch vier Diözesen, in denen sich Gesetzgebung nicht einfach online nachvollziehen lässt: Augsburg, Erfurt, Mainz sowie das Katholische Militärbischofsamt. Auf evangelischer Seite sieht es besser aus: Da ist nur die bayerische Landeskirche derart intransparent.

In der aktuellen Herder-Korrespondenz befasst sich der Bonner Arbeitsrechtler Gregor Thüsing mit der neuen Grundordnung des kirchlichen Dienstes. Dabei geht es ihm auch um die Frage, ob Whistleblowing mit dem kirchlichen Verständnis von Dienstgemeinschaft zu vereinbaren ist. Er erläutert die Frage am Beispiel von Hildegard Dahm, die öffentlich Kardinal Rainer Maria Woelki mit Blick auf seine Kenntnis von Missbrauchsfällen belastet hatte. Thüsing kommt zu dem Schluss, dass Whistleblower-Schutz nicht im Gegensatz zur Dienstgemeinschaft steht: »Aber verhält sich die Frau, die seit Längerem in anderer, leitender Funktion für das Erzbistum tätig ist, wirklich illoyal? Ist eine Frau illoyal, die betont, es sei ihr nie in den Sinn gekommen, auszutreten? Eine Frau, die mit ihrem Gang an die Öffentlichkeit in der Tat etwas riskiert hat, eben weil ihr die Kirche am Herzen liegt?« Daher begrüßt Thüsing, dass das Erzbistum am Ende doch noch auf arbeitsrechtliche Schritte verzichtet hat. Das kirchliche Profil einer Einrichtung zeige sich, so der Arbeitsrechtler mit Verweis auf die Erläuterungen zur neuen Grundordnung, auch im Umgang mit den Mitarbeitern durch den Arbeitgeber. Aus anderer Richtung in eine ähnliche Kerbe schlug diese Woche auch der Bonner Moraltheologe Jochen Sautermeister bei Feinschwarz.

Weiterlesen

DSG-EKD amtlich geändert – Wochenrückblick KW 50/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Das DSG-EKD ist nun amtlich geändert: Am Donnerstag veröffentlichte die EKD das Änderungsgesetz im Amtsblatt. (Was sich ändert, stand auch schon mal hier. Spoiler: Nichts Spektakuläres.)

Am Mittwoch fand (wahrscheinlich) das zweite Treffen der Datenschutzkonferenz mit den spezifischen Aufsichten für dieses Jahr statt. Den Termin hatte ich im Sommer mit einer IFG-Anfrage herausgefunden, das Protokoll wird dann wieder per Informationsfreiheitsgesetz zu befreien sein – wie jedes Mal. Auch ohne Transparenzgesetz könnte die DSK die Informationen auch einfach immer von vornherein veröffentlichen.

Zum Ende seiner Amtszeit legt der Gemeinsame Rundfunkdatenschutzbeauftragte von BR, SR, WDR, Deutschlandradio und ZDF einen Abschlussbericht vor. Darin geht er auch noch einmal auf die mangelnde Beteiligung der spezifischen Aufsichten ander Datenschutzkonferenz ein (Rn. 28f.), die er bereits zuvor in einem Positionspapier thematisiert hatte. Konkrete Verabredungen gebe es noch nicht. »Ziel sollte es sein, den nach Auffassung aller Beteiligten bislang unbefriedigenden retrospektiven Austausch durch ein Verfahren zu ersetzen, das eine frühzeitige wechselseitige Information und gegebenenfalls gemeinsame Positionierungen ermöglicht«, so der Rundfunkdatenschutzbeauftragte.

In der aktuellen ZMV befasst sich Matthias Ullrich, der Diözesandatenschutzbeauftragte der Ost-Bistümer und Autor des hier schon besprochenen Buchs »Beschäftigtendatenschutz der katholischen Kirche« mit betrieblichen Datenschutzbeauftragten im staatlichen und kirchlichen Recht. Gewohnt gelungen ist dabei die Verknüpfung von arbeits- und datenschutzrechtlicher Expertise, die auf einige Fragen abhebt, die aus dem Datenschutzrecht allein nicht zu beantworten sind, etwa zur Bestellung (nach Ansicht Ullrichs nicht durch einseitige Übertragung, sondern in der Regel durch eine Arbeitsvertragsänderung vorzunehmen), Probezeit (nicht zulässig, da Anforderungen von Tag 1 an sicher erfüllt sein müssen) sowie Befristung des Amts (in § 36 Abs. 5 KDG und § 36 Abs. 3 DSG-EKD geregelt) und der Stelle (nicht geregelt). Ullricht ist einer Befristung der Stelle zum Unterlaufen der gesetzlichen Mindestbenennungsfristen gegenüber kritisch: »In solchen Fällen ist das befristete Arbeitsverhältnis deshalb aus datenschutzrechtlicher Sicht bei der Benennung zu entfristen oder zumindest auf die Mindestbenennungsdauer für betriebliche Datenschutzbeauftragte zu verlängern.« Im Ergebnis führt das dazu, dass Datenschutzbeauftragte aus Sicht des Datenschutzrechts regelmäßig nicht sachgrundlos befristet beschäftigt werden können – im katholischen Arbeitsrecht ist die maximale sachgrundlose Befristung auf 14 Monate festgelegt, im evangelischen Bereich gilt die gesetzliche Höchstdauer von zwei Jahren.

Die russisch-orthodoxe Kirche hat man nicht als erstes auf dem Zettel, wenn es um grund- und menschenrechtsorientierte Sozialverkündigung geht. Patriarch Kyrill hat sich nun zu biometrischen Datenbanken geäußert: »Die Kirche stimmt den den Experten zu, die darauf hinweisen, dass jede Datenbank mit personenbezogenen Daten, einschließlich biometrischer Daten, nicht vollständig vor Lecks geschützt werden kann. Die Risiken von biometrischer Datenlecks sind aufgrund der Neuartigkeit der Technologie noch nicht vollständig bekannt.« Daher stehe die Kirche für das »grundsätzliche und bedingungslose Recht der Bürger, die biometrische Identifizierung abzulehnen, mit absoluten Garantien der Nicht-Diskriminierung im Falle einer solchen Entscheidung«.

Weiterlesen

Evangelische Weite zu MS 365 – Wochenrückblick KW 49/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die evangelischen Datenschutzaufsichten bewerten die Feststellung der Datenschutzkonferenz des Bundes und der Länder zu Microsoft unterschiedlich: Während sich in der vergangenen Woche der BfD EKD den Bericht zumindest in der Überschrift zueigen gemacht hat (»Der Einsatz von Microsoft 365 ist weiterhin nicht datenschutzkonform möglich«), äußert sich nun der Datenschutzbeauftragte für Kirche und Diakonie anders: Derzeit könne keine Aneignung der Feststellung erfolgen, teilte die ostdeutsche Aufsichtsbehörde mit. Begründet wird das mit der mangelnden Beteiligung der spezifischen Aufsichtsbehörden an der DSK: »Aus diesem Grund haben wir keinen Einblick in die Arbeit der Arbeitsgruppe DSK „Microsoft-Onlinedienste“. Außer den oben genannten Dokumenten liegen uns zum heutigen Tag keine weiteren Dokumente vor, insbesondere nicht der vollständige Bericht der genannten Arbeitsgruppe.« Daher bleibt es für den DSBKD bei den Empfehlungen aus seinem aktuellen Tätigkeitsbericht.

Advent ist eine Zeit des Wartens – und so ist diese Woche geprägt von einigem Warten auf Dinge, die eigentlich noch dieses Jahr raus sollten: Immer noch fehlt eine offizielle Ankündigung des Wechsels des Diözesandatenschutzbeauftragten für die Nord-Bistümer (auch wenn sie hier schon vermeldet wurde), der Tätigkeitsbericht der NRW-Aufsicht fehlt noch (soll aber, wie man hört, in den letzten Zügen sein), und wer im kommenden Jahr die Konferenz der Diözesandatenschutzbeauftragten leiten wird, ist auch noch nicht bekannt.

Weiterlesen

Personalakten im Priesterseminar – Wochenrückblick KW 39/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Eine wichtige Konsequenz aus der MHG-Missbrauchsstudie war eine Vereinheitlichung und Professionalisierung der Personalakten. Die zum Jahresbeginn in Kraft getretene Personalaktenordnung erhält zum 1. Januar 2023 noch eine Ergänzung: Auf ihrer Vollversammlung hat die Deutsche Bischofskonferenz ein Muster für Ausführungsbestimmungen zur Personalaktenordnung für Ausbildungsakten von Alumnen in den Priesterseminaren entgegengenommen und empfohlen, sie in den Bistümern zum Jahreswechsel in Kraft zu setzen. Details sind noch nicht bekannt.

Die Süddeutsche Zeitung berichtet wieder über den Fall der unter dem Pseudonym Karin Weißenfels auftretenden Missbrauchsbetroffenen aus dem Bistum Trier. Im Beitrag erfährt man auch, dass mittlerweile die zuständige kirchliche Datenschutzaufsicht damit befasst ist, dass Bischof Ackermann in einer Videokonferenz das Pseudonym von Weißenfels gebrochen hat.

Im letzten Jahr ist ein Antrag zur Änderung der alt-katholischen KDO zur Veröffentlichung von Kontaktdaten von Ehrenamtlichen gescheitert. In diesem Jahr geht’s wieder um eine datenschutzrechtliche Grundlage für die Veröffentlichung von Kontaktdaten. Dieses Mal bei den Geistlichen im Ehrenamt, aber ohne KDO-Änderung. In einer synodalen Kirche dürfte ein solcher Antrag im Falle des Beschlusses wohl eine hinreichende Rechtsgrundlage sein – ein Beschluss des höchsten beschlussfassenden Gremiums dürfte eine rechtliche Verpflichtung sein, der der Verantwortliche unterliegt (§ 6 Abs. 1 lit. d) KDO i. V. m. § 19 SGO).

Dass Kirchen Datenschutz ernstnehmen, ist keine Selbstverständlichkeit. Besonders krasse Fälle dokumentiert Wired in einer ausführlichen Reportage: »The Ungodly Surveillance of Anti-Porn ‘Shameware’ Apps«Religionsgemeinschaften aus dem evangelikalen Spektrum überwachen ihre Gläubigen mit hochgradig invasiven Apps, um »sündhaftes« Verhalten zu dokumentieren.

In eigener Sache: Am 4. Oktober um 18 Uhr leite ich bei der Stiftung Datenschutz ein Webinar zu Besonderheiten im Bereich des kirchlichen Engagements – die Teilnahme ist kostenlos.

Weiterlesen

Hl. Josef von Cupertino, bitte für die Caritas München – Wochenrückblick KW 37/2022

Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Der Münchner Diözesancaritasverband arbeitet erst einmal analog. Er »verzeichnet seit vergangenem Wochenende eine Großstörung zentraler IT-Systeme und ist nach aktuellem Kenntnisstand Opfer eines weitreichenden Cyberangriffs geworden«, heißt es in der Pressemitteilung. Die eigentliche Arbeit sei aber trotzdem gesichert. Viele Details erfährt man nicht – auch wenn der Caritasdirektor beteuert, der Vorfall sei »trotz umfangreicher technischer und organisatorischer Schutzmaßnahmen« eingetreten. Ein Krisenstab wurde eingerichtet, Anzeige ist erstattet. »Wir befinden uns derzeit noch in der Analysephase. Gleichwohl gibt es konkrete Hinweise darauf, dass es den Cyberkriminellen gelungen ist, trotz aller Schutzvorkehrungen Daten aus unseren Systemen abzugreifen. Um welche Daten es sich handelt, können wir zum jetzigen Stand nicht zweifelsfrei und auch aus ermittlungstaktischen Gründen nicht sagen«, so Diözesancaritasdirektor Hermann Sollfrank weiter. Aus Kreisen des Verbands erfährt man, dass die Behebung des Schadens noch länger, möglicherweise Monate dauern werde, und dass es um Erpressung geht. Normalerweise gilt: Kein Backup, kein Mitleid. Bei der Caritas und dem, was sie für Menschen in Notsituationen leistet, darf man aber trotzdem ein Kerzchen mit einer Bitte um Fürsprache des hl. Josef von Cupertino aufstellen. Der Franziskaner darf dank seiner Gabe der Bilokation auch als Schutzpatron der redundanten Datenhaltung gelten.

»Unterwerfungserklärung« ist wohl der ungeschickteste Begriff, den das kirchliche Datenschutzrecht hervorgebracht hat (oder besser: der sich in seiner Anwendung eingebürgert hat). Das wird deutlich in der Erläuterung bei »Althammer & Kill«, die vor naheliegenden Fehldeutungen warnt: »Auch wenn solch eine „Unterwerfung“ vor allem bei größeren Dienstleistern auf einen abwehrenden Reflex stößt, sollte beachtet werden, dass diese Erklärung nicht dazu dient, sich Gott, der Kirche oder einem bestimmten Glauben zu beugen«, heißt es da. Besser sei die Bezeichnung Anerkennungserklärung oder auch nur Zusatzvereinbarung, wird vorgeschlagen. Die Problematik der Vermittlung beim Abschluss von Auftragsverarbeitungsverträgen hat auch der BfD EKD erkannt und sein Muster vor einiger Zeit um gute Erläuterungen ergänzt, was da eigentlich vor sich geht.

Das IDSG kündigt eine Entscheidung (Beschluss vom 25. Mai 2022 – IDSG 01/2021) zu den Anforderungen an eine konkludente Einwilligung zur Datenverarbeitung bei der Übernahme einer Arztpraxis an. Konkludente Einwilligungen kamen bereits in Entscheidungen des kirchlichen Datenschutzgerichts vor, aber so zentral, wie der Leitsatz verspricht, noch nicht. Insbesondere eine klare Darlegung an die Anforderungen, wie sie in der Ankündigung versprochen wird, dürfte sehr hilfreich sein.

In eigener Sache: Am 21. September um 18 Uhr leite ich bei der Stiftung Datenschutz ein Webinar zu Besonderheiten im Bereich des kirchlichen Engagements – die Teilnahme ist kostenlos.

Weiterlesen