Kategorie: Kirchlicher Datenschutz
18. April 2024
Die Bundesregierung plant die Änderung des Bundesdatenschutzgesetzes (BDSG). Dazu gibt es auch schon einen Gesetzesentwurf. Am 12.04.2024 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eine Stellungnahme veröffentlich, in der sie auf die geplante BDSG-Reform eingeht. Insbesondere geht es dabei um die vorgesehene Institutionalisierung der Datenschutzkonferenz selbst, Zuständigkeitsregelungen, Schufa-Scoring und Auskunftsansprüche. (mehr …)
18. Februar 2020
Der Beauftragte für den Datenschutz (BfD) der Evangelischen Kirche Deutschland hat ein Rundschreiben an alle Landeskirchen und diakonischen Landesverbände verschickt, das Hinweise und Empfehlungen zur datenschutzkonformen Nutzung von Microsoft Cloud-Diensten gibt.
Die Konferenz der Beauftragten für den Datenschutz in der Evangelischen Kirche hatte bereits 2019 die Rahmenbedingungen für einen datenschutzkonformen Einsatz von Microsoft Cloud-Diensten aufgezeigt.
Danach bedarf es folgender Voraussetzungen:
- Verschlüsselung der Daten
- Unterbindung von Telemetriedaten mit Bezug auf personenbezogene Daten
- Abschluss eines Auftragsverarbeitungsvertrags mit Microsoft
- Abschluss einer Zusatzvereinbarung, mit der sich Microsoft der kirchlichen Datenschutzaufsicht unterstellt
Die Zusatzvereinbarung stellt sicher, dass im Falle einer unrechtmäßigen Datenverarbeitung die kirchliche Aufsichtsbehörde zu informieren ist. Sie ist von Microsoft bereits in mehreren Fällen unterzeichnet worden und dem Rundschreiben des BfD als Anlage ebenfalls beigefügt.
3. Juni 2019
Das Katholische Datenschutzzentrum als Datenschutzaufsicht erstellt gemäß § 44 Abs. 6 des Gesetzes über den Kirchlichen Datenschutz einen jährlichen Tätigkeitsbericht, der dem (Erz-) Bischof vorzulegen und zu veröffentlichen ist. In dem Tätigkeitsbericht werden die aktuellen Entwicklungen des Datenschutzes für den kirchlichen und nichtkirchlichen Bereich dargestellt. Das Katholische Datenschutzzentrum mit Sitz in Dortmund hat seinen 3. Jahresbericht veröffentlicht. Darin wird die Entwicklung des Datenschutzes im Jahr 2018 betrachtet. Einzelne Themen wie z. B. die möglichen Folgen des Brexit für kirchliche Stellen oder die Verwendung von Cloudspeicher oder Messenger Diensten werden ausführlich betrachtet. Der Bericht enthält auch alle im Berichtszeitraum durch die Konferenz der Diözesandatenschutzbeauftragten gefassten Beschlüsse zum Datenschutz in der Katholischen Kirche Deutschlands wie z.B. den Beschluss über die Nutzung von Facebook-Fanpages als auch den neusten Beschluss über den möglichen Verzicht von Einwilligung bei Fotoaufnahmen. Zudem enthält der Bericht einen kurzen Ausblick über geplante Aktivitäten in der zweiten Jahreshälfte 2019.
17. Mai 2019
Die Konferenz der Diözesandatenschutzbeauftragten hat in der Sitzung vom 04. April 2019 einen neuen Beschluss zum Umgang mit Bildern von Kindern und Jugendlichen gefasst. Der Beschluss enthält ebenfalls Erläuterungen, um den kirchlichen Einrichtungen die Umsetzung der Vorgaben zu erleichtern. Durch den neu gefassten Beschluss wird die Vorgabe, dass einzelne Fotos von Minderjährigen regelmäßig den Sorgeberechtigten vor der Veröffentlichung vorzulegen sind, entschärft. Für die Rechtmäßigkeit der Erhebung und Speicherung von Bildern von Kindern und Jugendlichen ist es nicht mehr zwingend erforderlich, dass eine Einwilligung der Sorgeberechtigten vorliegt. Rechtsgrundlage für die Erhebung und Speicherung von Bildern kann auch nach erfolgter Abwägung das berechtigte Interesse sein. Ähnliches gilt auch für den Fall der Übermittelung von Fotos Minderjähriger. Als Rechtsgrundlage der Übermittelung kann auch hier das berechtigte Interesse herangezogen werden. Im Rahmen der durchzuführenden Interessenabwägung sind die Grundsätze des § 23 Gesetz betreffend das Urheberrechts an Werken der bildenden Künste und der Photographie zu berücksichtigen.
Die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschlands sieht es als ausreichend an, wenn die Einwilligung für konkret benannte Veranstaltungen vor bzw. bei Beginn des Schul- oder Kitajahres für das jeweilige Jahr eingeholt wird. Die Einwilligung kann entweder unmittelbar im Anmeldeprozess oder am ersten Schul- oder Kitatag eingeholt werden. Das Erfordernis, dass das konkrete Bild im Zeitpunkt der Unterzeichnung der Einwilligungserklärung vorliegen soll, entfällt.
22. März 2019
Die Durchführungsverordnung zum KDG (KDG-DVO) wurde durch die Vollversammlung des Verbandes der Diözesen Deutschlands beschlossen. Diese ist am 01.03.2019 in Kraft getreten und löst die „alte“ Durchführungsverordnung zur KDO (KDO-DVO) ab. In der neuen KDG-DVO finden sich Inhalte, welche bereits in der KDO-DVO enthalten waren, aber auch solche, die neu sind. Insbesondere enthält die Durchführungsverordnung genaue Vorgaben hinsichtlich der Auftragsvereinbarung. Danach ist mit Auftragsverarbeiter, die nicht den Regelungen des KDG unterfallen, neben der Anwendung der EU-Datenschutzgrundverordnung die Anwendung des KDG zu vereinbaren.
In der Praxis handelt es sich hierbei um eine schwer
umsetzbare Vereinbarung, insbesondere vor dem Hintergrund, dass ein
privatwirtschaftliches Unternehmen strengere Regelungen schwer befürworten
würde.
Das katholische Datenschutzzentrum vertritt diesbezüglich allerdings eine klare Linie: Auftragsverarbeitungsverträge sind grundsätzlich unter Einbeziehung des KDG abzuschließen. Im Vordergrund steht die Einhaltung der technischen und organisatorischen Maßnahmen. Bereits im § 29 Abs. 4 lit. c) KDG wurde die vertragliche Verpflichtung des Auftragnehmers betont, alle nach § 26 KDG erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen. Auch in der Konferenz der Diözesandatenschutzbeauftragen wurden vermehrt Anfragen gestellt, wie u.a. die im § 31 Abs. 2 KDG aufgestellte Anforderung zur vertraglichen Verpflichtung des Auftragsverarbeiters auf das KDG zu verstehen und umzusetzen sei. Die Konferenz hatte sich mit der Fragestellung in der Sitzung vom 17. und 18. April 2018 befasst und folgenden Beschluss verfasst: Bei Abschluss von Verträgen kirchlicher Dienststellen mit externen Unternehmen soll eine Bezugnahme auf das aktuelle KDG in den Vertragstext aufgenommen werden, um § 31 KDG zu erfüllen.
Der inhaltliche Schwerpunkt der Vereinbarung liegt sicherlich
bei der Gestaltung der technischen und organisatorischen Maßnahmen sowie bei
der Umsetzung der Verzeichnisse von Verarbeitungstätigkeiten. Der
Auftragsverarbeitungsvertrag muss demnach den Anforderungen des § 29 KDG
genügen. Eine sorgfältige Auswahl des Auftragsverarbeiters wird weiterhin
vorausgesetzt.
15. März 2019
In einem Beschluss zum rechtswirksamen Verzicht auf Einwilligungen bei Fotoaufnahmen betont die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland, dass die Personensorgeberechtigten eines Minderjährigen stets für eine Veröffentlichung ihre Einwilligung mit Blick auf jedes einzelne Bild erteilen müssen, auch wenn spätestens bei 16-jährigen davon ausgegangen werden kann, dass sie über die nötige Einsichtsfähigkeit verfügen, in die Veröffentlichung von Bildern einzuwilligen. Insbesondere ist eine pauschale Generaleinwilligung für alle gleichartigen Fälle für die Dauer der Zugehörigkeit des Minderjährigen in einer Einrichtung, wie KITA oder Schulegrundsätzlich als unzulässig zu betrachten. § 8 Nr. 13 KDG definieren „Einwilligung“ als eine Willensbekundung in informierter Weise für einen bestimmten Fall. Eine informierte Einwilligung dürfte in der pauschalen Einwilligung für die Veröffentlichung aller Fotos während der gesamten Aufenthaltsdauer kaum anzunehmen sein. Unter einem „bestimmten Fall“ kann somit nicht die Anfertigung von Fotos gemeint sein, sondern nur die Anfertigung und Veröffentlichung eines konkreten Fotos. Eine Veröffentlichung liegt vor, wenn Daten einer nicht genau feststehenden Mehrzahl von Adressaten, die Dritte sind, zugänglich gemacht werden. Sind die Personen miteinander mit dem Veranstalter bekannt, gehören sie nicht zur Öffentlichkeit. Bei KITA ́s dürfte deshalb keine Veröffentlichung darin zu sehen sein, wenn Bilder von Kindern innerhalb der Einrichtung ausgehängt werden. Für diese Fälle ist von der ausnahmsweisen Zulässigkeit einer Generaleinwilligung auszugehen. Dies betrifft nur den Innenbereich der Einrichtung im Rahmen der Zweckbindung. Aushänge in Schaukästen oder Veröffentlichung in Flyern sind von dieser Ausnahme nicht umfasst. Für Schulen trifft dies nicht in gleicher Weise zu, da der Kreis der Dritten den Zugang zu der Einrichtung haben nicht wie bei Kindereinrichtungen überschaubar ist.