Kategorie: Kirchlicher Datenschutz

BfD der evangelischen Kirche zur Nutzung von Microsoft Cloud-Diensten

18. Februar 2020

Der Beauftragte für den Datenschutz (BfD) der Evangelischen Kirche Deutschland hat ein Rundschreiben an alle Landeskirchen und diakonischen Landesverbände verschickt, das Hinweise und Empfehlungen zur datenschutzkonformen Nutzung von Microsoft Cloud-Diensten gibt.

Die Konferenz der Beauftragten für den Datenschutz in der Evangelischen Kirche hatte bereits 2019 die Rahmenbedingungen für einen datenschutzkonformen Einsatz von Microsoft Cloud-Diensten aufgezeigt.

Danach bedarf es folgender Voraussetzungen:

  • Verschlüsselung der Daten
  • Unterbindung von Telemetriedaten mit Bezug auf personenbezogene Daten
  • Abschluss eines Auftragsverarbeitungsvertrags mit Microsoft
  • Abschluss einer Zusatzvereinbarung, mit der sich Microsoft der kirchlichen Datenschutzaufsicht unterstellt

Die Zusatzvereinbarung stellt sicher, dass im Falle einer unrechtmäßigen Datenverarbeitung die kirchliche Aufsichtsbehörde zu informieren ist. Sie ist von Microsoft bereits in mehreren Fällen unterzeichnet worden und dem Rundschreiben des BfD als Anlage ebenfalls beigefügt.

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 14): Jahresbericht 2018

3. Juni 2019

Das Katholische Datenschutzzentrum als Datenschutzaufsicht erstellt gemäß § 44 Abs. 6 des Gesetzes über den Kirchlichen Datenschutz einen jährlichen Tätigkeitsbericht, der dem (Erz-) Bischof vorzulegen und zu veröffentlichen ist. In dem Tätigkeitsbericht werden die aktuellen Entwicklungen des Datenschutzes für den kirchlichen und nichtkirchlichen Bereich dargestellt. Das Katholische Datenschutzzentrum mit Sitz in Dortmund hat seinen 3. Jahresbericht veröffentlicht. Darin wird die Entwicklung des Datenschutzes im Jahr 2018 betrachtet. Einzelne Themen wie z. B. die möglichen Folgen des Brexit für kirchliche Stellen oder die Verwendung von Cloudspeicher oder Messenger Diensten werden ausführlich betrachtet. Der Bericht enthält auch alle im Berichtszeitraum durch die Konferenz der Diözesandatenschutzbeauftragten gefassten Beschlüsse zum Datenschutz in der Katholischen Kirche Deutschlands wie z.B. den Beschluss über die Nutzung von Facebook-Fanpages als auch den neusten Beschluss über den möglichen Verzicht von Einwilligung bei Fotoaufnahmen. Zudem enthält der Bericht einen kurzen Ausblick über geplante Aktivitäten in der zweiten Jahreshälfte 2019.

Kategorien: Kirchlicher Datenschutz
Schlagwörter: ,

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 13): Konferenz ersetzt Beschluss für Kinderfotos

17. Mai 2019

Die Konferenz der Diözesandatenschutzbeauftragten hat in der Sitzung vom 04. April 2019 einen neuen Beschluss zum Umgang mit Bildern von Kindern und Jugendlichen gefasst. Der Beschluss enthält ebenfalls Erläuterungen, um den kirchlichen Einrichtungen die Umsetzung der Vorgaben zu erleichtern. Durch den neu gefassten Beschluss wird die Vorgabe, dass einzelne Fotos von Minderjährigen regelmäßig den Sorgeberechtigten vor der Veröffentlichung vorzulegen sind, entschärft. Für die Rechtmäßigkeit der Erhebung und Speicherung von Bildern von Kindern und Jugendlichen ist es nicht mehr zwingend erforderlich, dass eine Einwilligung der Sorgeberechtigten vorliegt. Rechtsgrundlage für die Erhebung und Speicherung von Bildern kann auch nach erfolgter Abwägung das berechtigte Interesse sein. Ähnliches gilt auch für den Fall der Übermittelung von Fotos Minderjähriger. Als Rechtsgrundlage der Übermittelung kann auch hier das berechtigte Interesse herangezogen werden. Im Rahmen der durchzuführenden Interessenabwägung sind die Grundsätze des § 23 Gesetz betreffend das Urheberrechts an Werken der bildenden Künste und der Photographie zu berücksichtigen.

Die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschlands sieht es als ausreichend an, wenn die Einwilligung für konkret benannte Veranstaltungen vor bzw. bei Beginn des Schul- oder Kitajahres für das jeweilige Jahr eingeholt wird. Die Einwilligung kann entweder unmittelbar im Anmeldeprozess oder am ersten Schul- oder Kitatag eingeholt werden. Das Erfordernis, dass das konkrete Bild im Zeitpunkt der Unterzeichnung der Einwilligungserklärung vorliegen soll, entfällt.

Kategorien: Allgemein · Kirchlicher Datenschutz
Schlagwörter: , ,

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 12): Auftragsverarbeitung nach dem Kirchlichen Datenschutzgesetz

22. März 2019

Die Durchführungsverordnung zum KDG (KDG-DVO) wurde durch die Vollversammlung des Verbandes der Diözesen Deutschlands beschlossen. Diese ist am 01.03.2019 in Kraft getreten und löst die „alte“ Durchführungsverordnung zur KDO (KDO-DVO) ab. In der neuen KDG-DVO finden sich Inhalte, welche bereits in der KDO-DVO enthalten waren, aber auch solche, die neu sind. Insbesondere enthält die Durchführungsverordnung genaue Vorgaben hinsichtlich der Auftragsvereinbarung. Danach ist mit Auftragsverarbeiter, die nicht den Regelungen des KDG unterfallen, neben der Anwendung der EU-Datenschutzgrundverordnung die Anwendung des KDG zu vereinbaren.

In der Praxis handelt es sich hierbei um eine schwer umsetzbare Vereinbarung, insbesondere vor dem Hintergrund, dass ein privatwirtschaftliches Unternehmen strengere Regelungen schwer befürworten würde.

Das katholische Datenschutzzentrum vertritt diesbezüglich allerdings eine klare Linie: Auftragsverarbeitungsverträge sind grundsätzlich unter Einbeziehung des KDG abzuschließen. Im Vordergrund steht die Einhaltung der technischen und organisatorischen Maßnahmen. Bereits im § 29 Abs. 4 lit. c) KDG wurde die vertragliche Verpflichtung des Auftragnehmers betont, alle nach § 26 KDG erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen. Auch in der Konferenz der Diözesandatenschutzbeauftragen wurden vermehrt Anfragen gestellt, wie u.a. die im § 31 Abs. 2 KDG aufgestellte Anforderung zur vertraglichen Verpflichtung des Auftragsverarbeiters auf das KDG zu verstehen und umzusetzen sei. Die Konferenz hatte sich mit der Fragestellung in der Sitzung vom 17. und 18. April 2018 befasst und folgenden Beschluss verfasst: Bei Abschluss von Verträgen kirchlicher Dienststellen mit externen Unternehmen soll eine Bezugnahme auf das aktuelle KDG in den Vertragstext aufgenommen werden, um § 31 KDG zu erfüllen.

Der inhaltliche Schwerpunkt der Vereinbarung liegt sicherlich bei der Gestaltung der technischen und organisatorischen Maßnahmen sowie bei der Umsetzung der Verzeichnisse von Verarbeitungstätigkeiten. Der Auftragsverarbeitungsvertrag muss demnach den Anforderungen des § 29 KDG genügen. Eine sorgfältige Auswahl des Auftragsverarbeiters wird weiterhin vorausgesetzt.

Kategorien: Kirchlicher Datenschutz
Schlagwörter:

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 11): Pauschaleinwilligungen nicht zulässig

15. März 2019

In einem Beschluss zum rechtswirksamen Verzicht auf Einwilligungen bei Fotoaufnahmen betont die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland, dass die Personensorgeberechtigten eines Minderjährigen stets für eine Veröffentlichung ihre Einwilligung mit Blick auf jedes einzelne Bild erteilen müssen, auch wenn spätestens bei 16-jährigen davon ausgegangen werden kann, dass sie über die nötige Einsichtsfähigkeit verfügen, in die Veröffentlichung von Bildern einzuwilligen. Insbesondere ist eine pauschale Generaleinwilligung für alle gleichartigen Fälle für die Dauer der Zugehörigkeit des Minderjährigen in einer Einrichtung, wie KITA oder Schulegrundsätzlich als unzulässig zu betrachten. § 8 Nr. 13 KDG definieren „Einwilligung“ als eine Willensbekundung in informierter Weise für einen bestimmten Fall. Eine informierte Einwilligung dürfte in der pauschalen Einwilligung für die Veröffentlichung aller Fotos während der gesamten Aufenthaltsdauer kaum anzunehmen sein. Unter einem „bestimmten Fall“ kann somit nicht die  Anfertigung  von  Fotos  gemeint sein, sondern nur die Anfertigung und Veröffentlichung eines konkreten Fotos. Eine Veröffentlichung liegt vor, wenn Daten einer nicht genau feststehenden Mehrzahl von Adressaten, die Dritte sind, zugänglich gemacht werden. Sind die Personen miteinander mit dem Veranstalter bekannt, gehören sie nicht zur Öffentlichkeit. Bei KITA ́s dürfte deshalb keine Veröffentlichung darin zu sehen sein, wenn Bilder von Kindern innerhalb der Einrichtung ausgehängt werden. Für diese Fälle ist von der ausnahmsweisen Zulässigkeit einer Generaleinwilligung auszugehen. Dies betrifft nur den Innenbereich der Einrichtung  im Rahmen der Zweckbindung. Aushänge in Schaukästen oder Veröffentlichung in Flyern sind von dieser Ausnahme nicht umfasst. Für Schulen trifft dies nicht in gleicher Weise zu, da der Kreis der Dritten den Zugang zu der Einrichtung haben nicht wie bei Kindereinrichtungen überschaubar ist.

Kategorien: Kirchlicher Datenschutz
Schlagwörter: