Pressemitteilung zum Datenschutz Symposium 2019

Mit dem Kirchlichen Datenschutz auf einem guten Weg

Tagung: „Ein Jahr Gesetz über den Kirchlichen Datenschutz – Rückblick und Ausblick“

Dortmund / Siegburg – Mehr als 110 Teilnehmerinnen und Teilnehmer aus den deutschen (Erz-)Diözesen trafen sich auf Einladung des Katholischen Datenschutzzentrums in den Räumen des Katholisch-Sozialen Instituts des Erzbistums Köln in Siegburg zum Symposium „Ein Jahr Gesetz über den Kirchlichen Datenschutz (KDG) – Rückblick und Ausblick“. Die Katholische Kirche hatte 2018 ein eigenes Gesetz zum Datenschutz erlassen, um die Vorgaben des Artikels 91 der Europäischen Datenschutzgrundverordnung (DSGVO) zu erfüllen. Nach einem Jahr seit Inkrafttreten des Kirchlichen Datenschutzgesetzes (KDG) nahm das Katholische Datenschutzzentrum dieses Jubiläum zum Anlass, das Kirchliche Gesetz in einem Rückblick und einem Ausblick zu betrachten.

Zu Beginn der Veranstaltung berichtete Marcus Baumann-Gretza, Justitiar des Erzbistums Paderborn und Vorsitzender der Ständigen Arbeitsgruppe Datenschutz- und Melderecht/IT-Recht der Rechtskommission des Verbandes der Diözesen Deutschlands (VDD), über die gesetzgeberischen Tätigkeiten der Katholischen Kirche zum Datenschutz. Er betonte die Notwendigkeit eines eigenen kirchlichen Datenschutzes und erinnerte an die lange Tradition kirchlicher datenschutzrechtlicher Regelungen, die mit der ersten Anordnung über den kirchlichen Datenschutz bis in die siebziger Jahre zurückreicht.
Einen Blick auf die Situation im staatlichen Bereich warf Herr Professor Dr. Dieter Kugelmann, der diesjährige Vorsitzender der Konferenz der Datenschutzaufsichten des Bundes und der Länder und Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, in seinem Beitrag zu den Erfahrungen mit einem Jahr Datenschutz-Grundverordnung. Dabei stellte er auch die vielfältigen Aufgaben der Datenschutzaufsichten unter der Geltung der DSGVO dar. Er wies darauf hin, dass auch die Datenschutzaufsichten in Bund und Ländern durch viele Beratungsanfragen und zu klärende Detailfragen an ihre Leistungsgrenzen gekommen wären.

Steffen Pau, Leiter des Katholischen Datenschutzzentrums als Datenschutzaufsicht für die katholischen Einrichtungen in den fünf nordrhein-westfälischen (Erz-)Diözesen und des Verbandes der Diözesen Deutschlands (VDD), schloss sich dieser Beschreibung in seinem Rückblick auf ein Jahr kirchliches Datenschutzgesetz für die kirchlichen Aufsichten an. Er erinnerte daran, bei allen heute gebotenen Möglichkeiten der Datenverarbeitung den Grundrechtsschutz der Personen, deren Daten verarbeitet werden, nicht außer Acht zu lassen. Der Schutz der Daten sei möglich, ohne sämtliche Datenverarbeitungen einzustellen. Es gebe praxisgerechte Lösungen.

Im Rahmen der Neuordnung des kirchlichen Datenschutzrechts sei im letzten Jahr ein gerichtlicher Rechtsschutz auf dem Gebiet des Datenschutzes durch die Kirchliche Datenschutzgerichtsordnung (KDSGO) eingerichtet worden. Hierüber sowie über die Kirchlichen Gerichte in Datenschutzangelegenheiten referierte Professor Dr. Gernot Sydow.
Mit dem Standard-Datenschutzmodell präsentierte der stellvertretende Landesbeauftragte für Datenschutz und Informationsfreiheit von Mecklenburg-Vorpommern, Gabriel Schulz, eine Möglichkeit zur Unterstützung der Umsetzung des kirchlichen Datenschutzes. Schulz betonte, ebenso wie Michael Tolk, Referent des Beauftragter für den Datenschutz der Evangelischen Kirche in Deutschland bei seiner Vorstellung der IT-Sicherheitskonzepte in der Evangelischen Kirche, dass Datenschutz als ein dauerhafter Verbesserungsprozess gelebt werden müsse.

Dr. Rene Meis, technischer Referent der Landesbeauftragten für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen, erläuterte in seinem Vortrag den Begriff des Risikos als einen der zentralen Begriffe der neuen Gesetze. Auswahl und Bewertung der Maßnahmen zum Schutz der personenbezogenen Daten bei der Verarbeitung seien an dem Risiko zu orientieren, das dem Betroffenen durch die geplante Verarbeitung der Daten drohe, wobei auch fehlerhafte Verarbeitungen abseits der geplanten Verarbeitungen zu betrachten seien.

Steffen Pau zog ein positives Fazit zur Veranstaltung und begrüßte den regen Austausch zwischen den Teilnehmern und den Referenten. Aufgrund der positiven Erfahrung plant das Katholische Datenschutzzentrum, dieses Format in regelmäßigen Abständen durchzuführen und so den Dialog mit allen Beteiligten fortzusetzen, um gemeinsam auch zukünftig praxisgerechte Lösungen auftretender Fragen zum Datenschutz zu finden.

Jahresbericht 2018

Dortmund, 20. Mai 2019: Zu den vielfältigen Aufgaben der katholischen Datenschutzaufsicht gehört auch die Erstellung eines Jahresberichtes (siehe § 44 Abs. 6 KDG). Dieser ist dem jeweiligen (Erz-) Bischof vorzulegen und für die Öffentlichkeit zugänglich zu machen.

Das Katholische Datenschutzzentrum hat nun seinen 3. Jahresbericht veröffentlicht. Darin wird unter anderem, bezogen auf den staatlichen und kirchlichen Bereich, die Entwicklung des Datenschutzes im Jahr 2018 betrachtet. Einzelne Themen wie z. B. die möglichen Folgen des Brexit für kirchliche Stellen oder die Verwendung von Cloudspeicher oder Messenger Diensten werden ausführlich betrachtet. Der Bericht enthält auch alle im Berichtszeitraum durch die Konferenz der Diözesandatenschutzbeauftragten gefassten Beschlüsse zum Datenschutz in der Katholischen Kirche Deutschlands und gibt einen kurzen Ausblick auf geplante Aktivitäten in der zweiten Jahreshälfte 2019.

Jahresbericht 2018

Kinderfotos: DDSB Konferenz ersetzt Beschluss aus April 2018

Dortmund, 14. Mai 2019: Die Konferenz der Diözesandatenschutzbeauftragten hat in der Sitzung vom 04. April 2019 einen neuen Beschluss zum Umgang mit Bildern von Kindern und Jugendlichen gefasst. Der Beschluss enthält ebenfalls Erläuterungen, um den kirchlichen Einrichtungen die Umsetzung der Vorgaben zu erleichtern. Durch den neu gefassten Beschluss findet die Vorgabe, dass einzelne Fotos von Minderjährigen regelmäßig den Personenfürsorgeberechtigten vor der Veröffentlichung vorzulegen sind, keine Anwendung mehr. Weiterhin ist der Schutz der Minderjährigen als besonders hoch zu bewerten und daher ein sensibler Umgang mit Bildmaterial gefordert.

Den neuen Beschluss und den Text der ersetzten Fassung finden Sie in unserer Infothek.

Bewertung von Messengerdiensten aus Datenschutzsicht

Dortmund, 18. März 2019: Die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland hat in ihrer Sitzung am 28. Juli 2018 in Frankfurt einen Kriterienkatalog zur Beurteilung von Messengern und anderen Social Media-Diensten verabschiedet. Jeder Dienst ist demnach unter den Gesichtspunkten Serverstandort, Sicherheit des Datentransports, Überprüfbarkeit durch Offenlegung der Algorithmen, Datenminimierung sowie der Wahrung der Rechte Dritter zu beurteilen.

Nach Ansicht der Konferenz der Diözesandatenschutzbeauftragten (DDSB) lassen sich die datenschutz-relevanten Anforderungen an Messenger-Dienste auf die folgenden fünf Kriterien verdichten:

  • Serverstandort: Wo verarbeitet der Dienst-Anbieter die Nutzerdaten? Hält der Provider die Drittlandbestimmungen ein, d. h. keine Datenspeicherung außerhalb der EU bzw. nur in Ländern, deren Datenschutzniveau durch die EU anerkannt ist?
  • Sicherer Datentransport: Werden die Inhalte der Kommunikation Ende-zu-Ende verschlüsselt, also z.B. auch bei der Zwischenpufferung auf dem Server des Providers?
  • Überprüfbarkeit: Verwendet der Anbieter ein Open-Source-Modell für die Implementierung seines Produktes, einschließlich des Einsatzes anerkannter und standardisierter Kryptographie-Verfahren?
  • Datenminimierung: Werden die Metadaten der Verbindung so bald wie möglich gelöscht?
  • Respektierung der Rechte Dritter: Werden nur die Kontaktdaten der an der Kommunikation Beteiligten verwendet und behält der Anwender die Kontrolle über sein Telefonbuch, oder wird z.B. das komplette Telefonbuch an den Provider übermittelt und die Verantwortung für die Information der Betroffenen auf den Anwender abgewälzt?

Eine ausführliche Herleitung aus dem Kirchlichen Datenschutzgesetz (KDG) ist im Beschluss enthalten.

Weitere Kriterien, die allerdings nicht mit Überlegungen zum Datenschutz begründet werden können, sind die Kosten und das jeweilige Lizenzmodell, welches evtl. einen Einsatz des Produktes im nicht-privaten Umfeld gar nicht zulässt.

Der Beauftragte für den Datenschutz der Evangelischen Kirche Deutschlands (EKD) hat am 30. Oktober 2018 eine frühere Stellungnahme aus Mai 2017 zum gleichen Thema ergänzt und trifft dabei vergleichbare Aussagen wie die Konferenz der DDSB. Auch andere Datenschutzaufsichten haben sich mit dem Thema mit immer wieder ähnlichen Ergebnissen beschäftigt.

Da die katholischen Datenschutzaufsichtsbehörden keine direkten Produktempfehlungen geben können, bleibt es die Aufgabe jedes Entscheiders, die genannten Kriterien verantwortungsvoll anzuwenden.

Spende als letzter Wille – was dürfen Angehörige erfahren?

Dortmund, 04. März 2019: Erbitten Angehörige eine Spende an eine caritative Einrichtung anstelle von Blumen oder Kränzen, ist die Einrichtung für den Schutz der in diesem Zusammenhang anfallenden Spendendaten verantwortlich. Nicht immer sind sich Angehörige und Einrichtung über die Konsequenzen im Klaren.

Zunehmend werden Empfänger und Leser von Trauernachrichten und –anzeigen gebeten, dem Wunsch der verstorbenen Person entsprechend auf Blumen- oder Kranzspenden zu verzichten und stattdessen an eine soziale oder kirchliche Einrichtung zu spenden. Meistens haben sich die Angehörigen zuvor mit dieser Einrichtung besprochen und veröffentlichen die Kontoverbindung des Empfängers in der Traueranzeige.

Wo ist das Problem?
Oft treten dann die Angehörigen nach einiger Zeit an die bedachte Einrichtung heran und wünschen die Offenlegung der Spenderliste mit Namen und den jeweiligen Beträgen. Begründet wird der Wunsch mit dem Vorhaben, sich bei den einzelnen Spendern bedanken zu wollen. Aus Sicht der Spendenempfänger stellt sich die Frage der Zulässigkeit dieser Informations­bereitstellung.

Dürfen die Angehörigen über die Spender und die Beträge Kenntnis erlangen?
Name und Spendenbetrag sind unzweifelhaft personenbezogene Daten. Was ist aber dann die Rechtsgrundlage für die gewünschte Übermittlung durch die empfangende Organisation an die Angehörigen?

Eine Vertragsbeziehung als Erlaubnisgrundlage (§ 6 Abs. 1 lit. c  KDG) scheidet hier aus, da eine solche durch die Durchführung der Überweisung nur zwischen dem Spender und dem Empfänger besteht und der Spender seine Daten i.d.R. nur zum Zweck der Erstellung einer Spenden­bescheinigung für das Finanzamt angibt. Selbst der Spendenempfänger darf die Daten nur zur ordnungsgemäßen Verbuchung der Spende verwenden. Eine Grundlage für die Weitergabe an die Angehörigen ist hierdurch nicht gegeben.

Als zweite Möglichkeit käme die Wahrung der berechtigten Interessen der Angehörigen infrage, wenn nicht der Schutz der Interessen oder Grundrechte des Spenders überwiegt (§ 6 Abs. 1 lit. g KDG). Das Interesse der Angehörigen an Namen und Spendenbetrag ist möglicherweise gegeben, da sie sich bei den Spendern bedanken möchten. Der Spender hingegen hat den Weg der direkten Spende an die empfohlene Einrichtung vielleicht auch deshalb gewählt, um gegenüber den Angehörigen unbekannt zu bleiben und auch die Höhe der Spende nicht zu offenbaren. Gerade durch die Wahl dieses Spendenweges muss er nicht damit rechnen, dass seine Daten an die Angehörigen weitergeleitet werden. Es sind also gute Gründe vorhanden, von einem Interesse des Spenders an der Wahrung seiner Anonymität gegenüber den Angehörigen auszugehen und deshalb hier eine Rechtsgrundlage auf Grundlage der Interessenabwägung zu verneinen.

Zuletzt bleibt die Frage, ob durch den Vollzug der Spende eine Einwilligung nach § 6 Abs. 1 lit. b KDG vorliegt. Diese müsste aber zumindest informiert gegeben worden sein. Selbst ein kurzer Hinweis in der Traueranzeige, dass die Daten der Spende an die Angehörigen weitergegeben werden, dürfte i.d.R. zu unspezifisch und nicht mit allen erforderlichen Informationen versehen sein. Auch muss eine Einwilligung aktiv und möglichst dokumentiert erfolgen. Auch die Einwilligung scheidet deshalb als Rechtsgrundlage aus.

Welche Möglichkeiten bleiben dann für die Einrichtung und die Angehörigen?
Unproblematisch ist auf jeden Fall, dass der Spendenempfänger nach einiger Zeit den Angehörigen die Gesamtsumme der eingegangenen Spenden mitteilt. Die Angehörigen können die Information z.B. in einer allgemein formulierten Danksagung verwenden.

Falls die Angehörigen auf der Kenntnis der einzelnen Spender und der Beträge bestehen, bleibt nur der Weg, dass sie die Spenden selbst einsammeln (z.B. über ein auf den Namen eines Angehörigen lautendes Sonderkonto) und den Gesamtbetrag dann an die Einrichtung weiterleiten. In diesem Fall sind die Angehörigen und nicht die spendenempfangende Einrichtung für den Schutz der Spenderdaten zuständig.

Inwieweit sich durch dieses Vorgehen ein steuerrechtliches Problem ergibt, wenn eine gestückelte Ausstellung von Spendenbescheinigungen durch die Einrichtung an die Einzelspender gewünscht wird, obwohl der Gesamtbetrag vom Konto des Angehörigen eingegangen ist, sollte ggf. mit einem Steuerberater besprochen werden.

 

Einbruch-Computerdiebstahl-Datenschutzverletzung

Dortmund, 18. Februar 2019: Durchschnittlich zweimal pro Monat werden bundesweit den Katholischen Datenschutzaufsichten Diebstähle von PC oder Laptop aus kirchlichen Einrichtungen in Form einer „Meldung einer Datenschutzverletzung“ angezeigt. Durch die meldende Einrichtung wurde somit bereits festgestellt, dass nicht nur wertvolles Inventargut gestohlen wurde, sondern dass auch personenbezogene Daten von Betroffenen in falsche Hände geraten sind.

Wie die Kombination von Einbruch- und Diebstahlschutz mit Maßnahmen des technischen Datenschutzes einem Verlust von Inventargut und personenbezogenen Daten entgegenwirken kann, beschreibt ein Fachartikel des Katholischen Datenschutzzentrums in der Zeitschrift KOMPAKT, Ausgabe 2/2018.

Link zum Fachartikel „Einbruch-Computerdiebstahl-Datenschutzverletzung“ aus KOMPAKT 02-2018

Datenschutztag 2019

Dortmund, 04. Februar 2019: Am diesjährigen europäischen Datenschutztag nahmen auch Vertreter der kirchlichen Datenschutzaufsichten teil. Steffen Pau als Leiter des Katholischen Datenschutzzentrums und Sprecher der Konferenz der Diözesandatenschutzbeauftragten äußerte sich am Rande des Treffens gegenüber DOMRADIO.DE zu Fragen des kirchlichen Datenschutzes.

Auf dem Internetportal "katholisch.de" wurde anlässlich des Datenschutztages ein Diskussionsbeitrag veröffentlicht, in dem Steffen Pau aus Sicht der Datenschutzaufsicht Stellung nimmt zu der Frage: "Wie praktisch ist der Datenschutz in der Kirche?"

Linkangabe mit freundlicher Genehmigung von DOMRADIO.DE und katholisch.de:
Link zum Interview auf DOMRADIO.DE (Audio)
Link zum Diskussionsbeitrag auf katholisch.de

Verzeichnis von Verarbeitungstätigkeiten überarbeitet

Dortmund, 21. Januar 2019: Nach § 31 KDG hat der Verantwortliche ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen und aktuell zu halten. Die Konferenz der Diözesandatenschutzbeauftragten (DDSB) hatte im Sommer 2018 ein Muster für ein solches Verzeichnis erarbeitet und dieses den kirchlichen Einrichtungen auf verschiedenen Plattformen zur Verfügung gestellt. Aus praktischen Gründen sieht das Muster auch Angaben vor, die im KDG nicht explizit gefordert werden: z.B. zur eingesetzten Hard- und Software oder die Nennung eines fachlich Zuständigen. Die Konferenz der DDSB ist der Auffassung, dass solche zusätzlichen Angaben im Verzeichnis sinnvoll sind, um alle relevanten Informationen an einem Ort verfügbar zu halten.

Die aktuell in den Bistümern zu erlassende Durchführungsverordnung zum KDG formuliert, dass ein von der zuständigen Datenschutzaufsicht zur Verfügung gestelltes Muster grundsätzlich den Mindeststandard bildet. Zur Verdeutlichung haben wir deshalb das Muster insoweit angepasst, als dass die über den vom KDG geforderten Mindeststandard hinausgehenden Angaben deutlich gekennzeichnet wurden. Nach wie vor empfehlen wir, das Verzeichnis nicht als bürokratische Pflicht, sondern als hilfreiches Nachschlagewerk auch für eine innerbetriebliche Verwendung zu verstehen.

Sie finden das überarbeitete Muster in der Rubrik „Muster und Checklisten“ in unserer Infothek.

Neue KDG-DVO durch die Vollversammlung des Verbandes der Diözesen Deutschlands beschlossen

Dortmund, 07. Januar 2019: Nach Inkrafttreten des Gesetzes über den Kirchlichen Datenschutz (KDG) blieb die auf der bisherigen Anordnung über den kirchlichen Datenschutz der Katholischen Kirche (KDO) basierende Durchführungsverordnung auf Basis einer Übergangsregelung in Kraft. Diese Übergangsfrist läuft am 30. Juni 2019 aus. Durch eine Expertenkommission, bei deren Teilnehmern es sich um Fachleute aus den Bereichen IT und Datenschutz handelte, wurde für die November-Vollversammlung 2018 des Verbandes der Diözesen Deutschlands (VDD) eine Neufassung der KDO-DVO ausgearbeitet. Diese wurde von der Versammlung beschlossen und den (Erz-)Diözesen der Katholischen Kirche in Deutschland als Empfehlung zur Inkraftsetzung vorgelegt. Geplanter Termin für das Inkrafttreten der KDG-DVO als neuer Regelung ist der 01. März 2019.

Nachfolgend stellen wir Ihnen die KDG-DVO in der Fassung des Beschlusses der Vollversammlung des VDD zur Verfügung. Bitte beachten Sie, dass die im Amtsblatt Ihrer (Erz-)Diözese veröffentlichte Fassung der KDG-DVO die allein verbindliche Textausgabe ist.

KDG-DVO Lesefassung Beschlussfassung Vollversammlung November 2018

In den folgenden Amtsblättern ist die neue KDG-DVO veröffentlicht worden (Stand 22.02.2019):

Kirchliches Amtsblatt 12/2018 der Erzdiözese Paderborn
Kirchliches Amtsblatt 1/2019 der Diözese Münster
Kirchliches Amtsblatt 1/2019 der Diözese Essen
Kirchlicher Anzeiger 2/2019 der Diözese Aachen (Auszug)
Kirchliches Amtsblatt 3/2019 der Erzdiözese Köln

Information aus aktuellem Anlass: Auskunftsersuchen per Fax

Dortmund, 02. Oktober 2018:

Das Katholische Datenschutzzentrum fordert derzeit von keiner kirchlichen Einrichtung allgemeine Informationen zur Umsetzung der datenschutzrechtlichen Bestimmung (KDG) per Fax ein.

Die kirchlichen verantwortlichen Stellen sind dazu verpflichtet, die gesetzlichen Vorgaben des KDG zu erfüllen. Zur Umsetzung dieser Anforderungen sind betriebliche Datenschutzbeauftragte eingerichtet. Falls kein gesetzlicher Fall der verpflichtenden Benennung eines solchen bestehen sollte, sind die datenschutzrechtlichen Maßnahmen auf anderem Wege sicherzustellen.

In beiden Fällen besteht die Möglichkeit sich durch externe Beratungsunternehmen helfen zu lassen. Zu Qualität und Qualifikation einzelner Beratungsunternehmen kann das Katholische Datenschutzzentrum keine Angaben machen. Die verantwortlichen Stellen sollten aber für sich die Seriosität der Angebote und der dahinterstehenden Unternehmen prüfen.

Für weitergehende Informationen zum Datenschutz und zum KDG nutzen Sie bitte unsere Infothek und die FAQ-Liste.

Link zur Infothek

FAQ