Bewertung von Messengerdiensten aus Datenschutzsicht

Dortmund, 18. März 2019: Die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland hat in ihrer Sitzung am 28. Juli 2018 in Frankfurt einen Kriterienkatalog zur Beurteilung von Messengern und anderen Social Media-Diensten verabschiedet. Jeder Dienst ist demnach unter den Gesichtspunkten Serverstandort, Sicherheit des Datentransports, Überprüfbarkeit durch Offenlegung der Algorithmen, Datenminimierung sowie der Wahrung der Rechte Dritter zu beurteilen.

Nach Ansicht der Konferenz der Diözesandatenschutzbeauftragten (DDSB) lassen sich die datenschutz-relevanten Anforderungen an Messenger-Dienste auf die folgenden fünf Kriterien verdichten:

  • Serverstandort: Wo verarbeitet der Dienst-Anbieter die Nutzerdaten? Hält der Provider die Drittlandbestimmungen ein, d. h. keine Datenspeicherung außerhalb der EU bzw. nur in Ländern, deren Datenschutzniveau durch die EU anerkannt ist?
  • Sicherer Datentransport: Werden die Inhalte der Kommunikation Ende-zu-Ende verschlüsselt, also z.B. auch bei der Zwischenpufferung auf dem Server des Providers?
  • Überprüfbarkeit: Verwendet der Anbieter ein Open-Source-Modell für die Implementierung seines Produktes, einschließlich des Einsatzes anerkannter und standardisierter Kryptographie-Verfahren?
  • Datenminimierung: Werden die Metadaten der Verbindung so bald wie möglich gelöscht?
  • Respektierung der Rechte Dritter: Werden nur die Kontaktdaten der an der Kommunikation Beteiligten verwendet und behält der Anwender die Kontrolle über sein Telefonbuch, oder wird z.B. das komplette Telefonbuch an den Provider übermittelt und die Verantwortung für die Information der Betroffenen auf den Anwender abgewälzt?

Eine ausführliche Herleitung aus dem Kirchlichen Datenschutzgesetz (KDG) ist im Beschluss enthalten.

Weitere Kriterien, die allerdings nicht mit Überlegungen zum Datenschutz begründet werden können, sind die Kosten und das jeweilige Lizenzmodell, welches evtl. einen Einsatz des Produktes im nicht-privaten Umfeld gar nicht zulässt.

Der Beauftragte für den Datenschutz der Evangelischen Kirche Deutschlands (EKD) hat am 30. Oktober 2018 eine frühere Stellungnahme aus Mai 2017 zum gleichen Thema ergänzt und trifft dabei vergleichbare Aussagen wie die Konferenz der DDSB. Auch andere Datenschutzaufsichten haben sich mit dem Thema mit immer wieder ähnlichen Ergebnissen beschäftigt.

Da die katholischen Datenschutzaufsichtsbehörden keine direkten Produktempfehlungen geben können, bleibt es die Aufgabe jedes Entscheiders, die genannten Kriterien verantwortungsvoll anzuwenden.

Spende als letzter Wille – was dürfen Angehörige erfahren?

Dortmund, 04. März 2019: Erbitten Angehörige eine Spende an eine caritative Einrichtung anstelle von Blumen oder Kränzen, ist die Einrichtung für den Schutz der in diesem Zusammenhang anfallenden Spendendaten verantwortlich. Nicht immer sind sich Angehörige und Einrichtung über die Konsequenzen im Klaren.

Zunehmend werden Empfänger und Leser von Trauernachrichten und –anzeigen gebeten, dem Wunsch der verstorbenen Person entsprechend auf Blumen- oder Kranzspenden zu verzichten und stattdessen an eine soziale oder kirchliche Einrichtung zu spenden. Meistens haben sich die Angehörigen zuvor mit dieser Einrichtung besprochen und veröffentlichen die Kontoverbindung des Empfängers in der Traueranzeige.

Wo ist das Problem?
Oft treten dann die Angehörigen nach einiger Zeit an die bedachte Einrichtung heran und wünschen die Offenlegung der Spenderliste mit Namen und den jeweiligen Beträgen. Begründet wird der Wunsch mit dem Vorhaben, sich bei den einzelnen Spendern bedanken zu wollen. Aus Sicht der Spendenempfänger stellt sich die Frage der Zulässigkeit dieser Informations­bereitstellung.

Dürfen die Angehörigen über die Spender und die Beträge Kenntnis erlangen?
Name und Spendenbetrag sind unzweifelhaft personenbezogene Daten. Was ist aber dann die Rechtsgrundlage für die gewünschte Übermittlung durch die empfangende Organisation an die Angehörigen?

Eine Vertragsbeziehung als Erlaubnisgrundlage (§ 6 Abs. 1 lit. c  KDG) scheidet hier aus, da eine solche durch die Durchführung der Überweisung nur zwischen dem Spender und dem Empfänger besteht und der Spender seine Daten i.d.R. nur zum Zweck der Erstellung einer Spenden­bescheinigung für das Finanzamt angibt. Selbst der Spendenempfänger darf die Daten nur zur ordnungsgemäßen Verbuchung der Spende verwenden. Eine Grundlage für die Weitergabe an die Angehörigen ist hierdurch nicht gegeben.

Als zweite Möglichkeit käme die Wahrung der berechtigten Interessen der Angehörigen infrage, wenn nicht der Schutz der Interessen oder Grundrechte des Spenders überwiegt (§ 6 Abs. 1 lit. g KDG). Das Interesse der Angehörigen an Namen und Spendenbetrag ist möglicherweise gegeben, da sie sich bei den Spendern bedanken möchten. Der Spender hingegen hat den Weg der direkten Spende an die empfohlene Einrichtung vielleicht auch deshalb gewählt, um gegenüber den Angehörigen unbekannt zu bleiben und auch die Höhe der Spende nicht zu offenbaren. Gerade durch die Wahl dieses Spendenweges muss er nicht damit rechnen, dass seine Daten an die Angehörigen weitergeleitet werden. Es sind also gute Gründe vorhanden, von einem Interesse des Spenders an der Wahrung seiner Anonymität gegenüber den Angehörigen auszugehen und deshalb hier eine Rechtsgrundlage auf Grundlage der Interessenabwägung zu verneinen.

Zuletzt bleibt die Frage, ob durch den Vollzug der Spende eine Einwilligung nach § 6 Abs. 1 lit. b KDG vorliegt. Diese müsste aber zumindest informiert gegeben worden sein. Selbst ein kurzer Hinweis in der Traueranzeige, dass die Daten der Spende an die Angehörigen weitergegeben werden, dürfte i.d.R. zu unspezifisch und nicht mit allen erforderlichen Informationen versehen sein. Auch muss eine Einwilligung aktiv und möglichst dokumentiert erfolgen. Auch die Einwilligung scheidet deshalb als Rechtsgrundlage aus.

Welche Möglichkeiten bleiben dann für die Einrichtung und die Angehörigen?
Unproblematisch ist auf jeden Fall, dass der Spendenempfänger nach einiger Zeit den Angehörigen die Gesamtsumme der eingegangenen Spenden mitteilt. Die Angehörigen können die Information z.B. in einer allgemein formulierten Danksagung verwenden.

Falls die Angehörigen auf der Kenntnis der einzelnen Spender und der Beträge bestehen, bleibt nur der Weg, dass sie die Spenden selbst einsammeln (z.B. über ein auf den Namen eines Angehörigen lautendes Sonderkonto) und den Gesamtbetrag dann an die Einrichtung weiterleiten. In diesem Fall sind die Angehörigen und nicht die spendenempfangende Einrichtung für den Schutz der Spenderdaten zuständig.

Inwieweit sich durch dieses Vorgehen ein steuerrechtliches Problem ergibt, wenn eine gestückelte Ausstellung von Spendenbescheinigungen durch die Einrichtung an die Einzelspender gewünscht wird, obwohl der Gesamtbetrag vom Konto des Angehörigen eingegangen ist, sollte ggf. mit einem Steuerberater besprochen werden.

 

Einbruch-Computerdiebstahl-Datenschutzverletzung

Dortmund, 18. Februar 2019: Durchschnittlich zweimal pro Monat werden bundesweit den Katholischen Datenschutzaufsichten Diebstähle von PC oder Laptop aus kirchlichen Einrichtungen in Form einer „Meldung einer Datenschutzverletzung“ angezeigt. Durch die meldende Einrichtung wurde somit bereits festgestellt, dass nicht nur wertvolles Inventargut gestohlen wurde, sondern dass auch personenbezogene Daten von Betroffenen in falsche Hände geraten sind.

Wie die Kombination von Einbruch- und Diebstahlschutz mit Maßnahmen des technischen Datenschutzes einem Verlust von Inventargut und personenbezogenen Daten entgegenwirken kann, beschreibt ein Fachartikel des Katholischen Datenschutzzentrums in der Zeitschrift KOMPAKT, Ausgabe 2/2018.

Link zum Fachartikel „Einbruch-Computerdiebstahl-Datenschutzverletzung“ aus KOMPAKT 02-2018

Datenschutztag 2019

Dortmund, 04. Februar 2019: Am diesjährigen europäischen Datenschutztag nahmen auch Vertreter der kirchlichen Datenschutzaufsichten teil. Steffen Pau als Leiter des Katholischen Datenschutzzentrums und Sprecher der Konferenz der Diözesandatenschutzbeauftragten äußerte sich am Rande des Treffens gegenüber DOMRADIO.DE zu Fragen des kirchlichen Datenschutzes.

Auf dem Internetportal "katholisch.de" wurde anlässlich des Datenschutztages ein Diskussionsbeitrag veröffentlicht, in dem Steffen Pau aus Sicht der Datenschutzaufsicht Stellung nimmt zu der Frage: "Wie praktisch ist der Datenschutz in der Kirche?"

Linkangabe mit freundlicher Genehmigung von DOMRADIO.DE und katholisch.de:
Link zum Interview auf DOMRADIO.DE (Audio)
Link zum Diskussionsbeitrag auf katholisch.de

Verzeichnis von Verarbeitungstätigkeiten überarbeitet

Dortmund, 21. Januar 2019: Nach § 31 KDG hat der Verantwortliche ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen und aktuell zu halten. Die Konferenz der Diözesandatenschutzbeauftragten (DDSB) hatte im Sommer 2018 ein Muster für ein solches Verzeichnis erarbeitet und dieses den kirchlichen Einrichtungen auf verschiedenen Plattformen zur Verfügung gestellt. Aus praktischen Gründen sieht das Muster auch Angaben vor, die im KDG nicht explizit gefordert werden: z.B. zur eingesetzten Hard- und Software oder die Nennung eines fachlich Zuständigen. Die Konferenz der DDSB ist der Auffassung, dass solche zusätzlichen Angaben im Verzeichnis sinnvoll sind, um alle relevanten Informationen an einem Ort verfügbar zu halten.

Die aktuell in den Bistümern zu erlassende Durchführungsverordnung zum KDG formuliert, dass ein von der zuständigen Datenschutzaufsicht zur Verfügung gestelltes Muster grundsätzlich den Mindeststandard bildet. Zur Verdeutlichung haben wir deshalb das Muster insoweit angepasst, als dass die über den vom KDG geforderten Mindeststandard hinausgehenden Angaben deutlich gekennzeichnet wurden. Nach wie vor empfehlen wir, das Verzeichnis nicht als bürokratische Pflicht, sondern als hilfreiches Nachschlagewerk auch für eine innerbetriebliche Verwendung zu verstehen.

Sie finden das überarbeitete Muster in der Rubrik „Muster und Checklisten“ in unserer Infothek.

Neue KDG-DVO durch die Vollversammlung des Verbandes der Diözesen Deutschlands beschlossen

Dortmund, 07. Januar 2019: Nach Inkrafttreten des Gesetzes über den Kirchlichen Datenschutz (KDG) blieb die auf der bisherigen Anordnung über den kirchlichen Datenschutz der Katholischen Kirche (KDO) basierende Durchführungsverordnung auf Basis einer Übergangsregelung in Kraft. Diese Übergangsfrist läuft am 30. Juni 2019 aus. Durch eine Expertenkommission, bei deren Teilnehmern es sich um Fachleute aus den Bereichen IT und Datenschutz handelte, wurde für die November-Vollversammlung 2018 des Verbandes der Diözesen Deutschlands (VDD) eine Neufassung der KDO-DVO ausgearbeitet. Diese wurde von der Versammlung beschlossen und den (Erz-)Diözesen der Katholischen Kirche in Deutschland als Empfehlung zur Inkraftsetzung vorgelegt. Geplanter Termin für das Inkrafttreten der KDG-DVO als neuer Regelung ist der 01. März 2019.

Nachfolgend stellen wir Ihnen die KDG-DVO in der Fassung des Beschlusses der Vollversammlung des VDD zur Verfügung. Bitte beachten Sie, dass die im Amtsblatt Ihrer (Erz-)Diözese veröffentlichte Fassung der KDG-DVO die allein verbindliche Textausgabe ist.

KDG-DVO Lesefassung Beschlussfassung Vollversammlung November 2018

In den folgenden Amtsblättern ist die neue KDG-DVO veröffentlicht worden (Stand 22.02.2019):

Kirchliches Amtsblatt 12/2018 der Erzdiözese Paderborn
Kirchliches Amtsblatt 1/2019 der Diözese Münster
Kirchliches Amtsblatt 1/2019 der Diözese Essen
Kirchlicher Anzeiger 2/2019 der Diözese Aachen (Auszug)
Kirchliches Amtsblatt 3/2019 der Erzdiözese Köln

Information aus aktuellem Anlass: Auskunftsersuchen per Fax

Dortmund, 02. Oktober 2018:

Das Katholische Datenschutzzentrum fordert derzeit von keiner kirchlichen Einrichtung allgemeine Informationen zur Umsetzung der datenschutzrechtlichen Bestimmung (KDG) per Fax ein.

Die kirchlichen verantwortlichen Stellen sind dazu verpflichtet, die gesetzlichen Vorgaben des KDG zu erfüllen. Zur Umsetzung dieser Anforderungen sind betriebliche Datenschutzbeauftragte eingerichtet. Falls kein gesetzlicher Fall der verpflichtenden Benennung eines solchen bestehen sollte, sind die datenschutzrechtlichen Maßnahmen auf anderem Wege sicherzustellen.

In beiden Fällen besteht die Möglichkeit sich durch externe Beratungsunternehmen helfen zu lassen. Zu Qualität und Qualifikation einzelner Beratungsunternehmen kann das Katholische Datenschutzzentrum keine Angaben machen. Die verantwortlichen Stellen sollten aber für sich die Seriosität der Angebote und der dahinterstehenden Unternehmen prüfen.

Für weitergehende Informationen zum Datenschutz und zum KDG nutzen Sie bitte unsere Infothek und die FAQ-Liste.

Link zur Infothek

FAQ

Einsegnung der neuen Büroräume des Katholischen Datenschutzzentrums

Dortmund, 11. Juli 2018: Die neuen Räume des Katholischen Datenschutzzentrums im Gebäude der Kommende Dortmund wurden im Juni von Generalvikar Alfons Hardt gesegnet. Mit der Einrichtung eines zentralen Datenschutzzentrums haben die nordrhein-westfälischen (Erz-)Bistümer Aachen, Essen, Köln, Münster und Paderborn ihr Engagement im Bereich des Datenschutzes mit Wirkung zum 1. September 2016 gebündelt.

Der Leiter des Katholischen Datenschutzzentrums (KDSZ) in Dortmund, Steffen Pau, und acht weitere Mitarbeiterinnen und Mitarbeiter haben ihre neuen Büros unter dem Dach des Hauptraktes der Kommende, dem Sozialinstitut des Erzbistums Paderborn, bezogen. Bis dahin war das Katholische Datenschutzzentrum provisorisch im historischen Stiftsgebäude auf dem Gelände untergebracht. Das Katholische Datenschutzzentrum ist eine selbstständige Körperschaft des öffentlichen Rechts, welche die gesetzliche und vom Europäischen Gerichtshof geforderte Unabhängigkeit garantiert.

Als Aufgabe des Katholischen Datenschutzzentrums beschreibt dessen Leiter Steffen Pau: „Hier war und ist vor allem die Erläuterung und Hilfestellung zum neuen Gesetz über den Kirchlichen Datenschutz wichtig. Aber neben aller Beratung und Hilfestellung bleibt die gesetzlich geforderte Funktion der Aufsicht das prägende Merkmal.“

Nach der im Grundgesetz der Bundesrepublik Deutschland vereinbarten Selbstverwaltungsgarantie ist die katholische Kirche berechtigt, den Bereich des Datenschutzes eigenverantwortlich zu regeln. „Beim Kirchlichen Datenschutz geht es darum, das Recht des Einzelnen auf den Schutz seiner Daten gegenüber dem Recht des Stärkeren zu schützen“, erklärte der Paderborner Generalvikar Alfons Hardt. Nach einem Wortgottesdienst in der Kapelle der Kommende segnete er die neuen Büros. Generalvikar Hardt betonte, dass es sich bei der neuen Einrichtung der NRW-Bistümer nicht allein um eine Aufsichtsbehörde handele, sondern es vielmehr auch eine pastorale Dimension gebe, eben den Ausgleich zwischen dem Starken und dem Schwachen. Dafür stehe auch der heilige Ivo Hélory (1253-1303), dessen Darstellung im Dienstsiegel des Katholischen Datenschutzzentrums zu erkennen ist. Der Heilige Ivo ist unter anderem Schutzheiliger der Richter und Rechtsanwälte. Prälat Dr. Peter Klasvogt, Direktor des Sozialinstituts, betonte das gute Miteinander aller in der Kommende tätigen Mitarbeiterinnen und Mitarbeiter der einzelnen Einrichtungen, und verband dies mit der Zuversicht auf ein sich weiter entwickelndes, gemeinsames Wirken am Brackeler Hellweg.

Steffen Pau als Diözesandatenschutzbeauftragter der NRW Bistümer und Leiter des Katholischen Datenschutzzentrums freute sich über die modernen und freundlichen Büroräume, die in einer elfmonatigen Bauphase unter dem Dach der Kommende entstanden sind und sehr gute Arbeitsbedingungen bieten würden. „Das von uns gewählte Modell der unabhängigen Körperschaft ist sowohl für die NRW-Bistümer, als auch darüber hinaus ein Erfolgsmodell“, erklärte Steffen Pau. Inzwischen sind weitere Datenschutzzentren der katholischen Kirche in Deutschland gegründet worden.

(Bild: Michael Bodin, Text auszugsweise entnommen mit freundlicher Genehmigung der Pressestelle des EGV Paderborn)

Das Katholische Datenschutzzentrum auf dem 101. Katholikentag

Dortmund, 06. Juli 2018: Am 9. Mai begann der 101. Katholikentag mit einem großen Eröffnungsgottesdienst auf dem Schlossplatz. Das anfangs noch durchwachsene Wetter wurde schnell von warmen Temperaturen abgelöst, sodass die Kirchenmeile, welche ab Donnerstag, 10. Mai geöffnet war, gut besucht war. Es kamen viele verschiedene Interessierte, um sich an den unterschiedlichsten Ständen zu informieren oder einfach ins Gespräch zu kommen. Auch das Katholische Datenschutzzentrum war mit einem Stand auf der Kirchenmeile vertreten. Von Donnerstag bis Samstag waren stets Mitarbeiter aus Dortmund und auch der anderen Datenschutzaufsichten der katholischen Kirche als Ansprechpartner vor Ort. Da das Inkrafttreten des Gesetzes über den Kirchlichen Datenschutz am 24. Mai zu diesem Zeitpunkt kurz bevorstand, gab es einen hohen Beratungsbedarf in datenschutzrechtlichen Fragestellungen.

Am Samstagmorgen gab es eine Podiumsdiskussion zum Thema „Bleiben Sie Herr Ihrer Daten!“. Als Teilnehmer der Diskussion nahmen Herr Prof. Dr. Hoeren von der Westfälischen Wilhelms-Universität, Frau Dr. Kurz vom Chaoscomputerclub, Herr Dr. Kleffner aus dem Bistum Essen und Herr Steffen Pau als Diözesandatenschutzbeauftragter und Leiter des Katholischen Datenschutzzentrums teil. Das Interesse an der Podiumsdiskussion als Besucher teilzunehmen war so groß, dass die Raumgröße und damit die vorhandenen Sitzplätze nicht ausreichten. Es kam zu einer anregenden Diskussion, welche unter anderem technische Themen aus datenschutzrechtlicher Sitz kritisch beleuchtete, aber auch Probleme der Praxis in Pfarrgemeinden und Vereinen wurden thematisiert.

   

Verpflichtungserklärung zum Datengeheimnis nach § 5 KDG

Dortmund, 06. Juli 2018: Um die mit der Verarbeitung personenbezogener Daten tätigen Mitarbeiter für das Datenschutzrecht zu sensibilisieren und auf ihre Pflicht zur Einhaltung der einschlägigen Datenschutzregelungen hinzuweisen, dient die von der Konferenz der Diözesandatenschutzbeauftragten kürzlich veröffentlichte Formulierungshilfe. Die enthaltenen Erläuterungen geben einen guten Überblick über die Zweckmäßigkeit dieser gesetzlichen Verpflichtung. Sie finden die Formulierungshilfe zur Verpflichtungserklärung zum Datengeheimnis in unser Infothek.

Link zur KDSZ Infothek

Direktaufruf Formulierungshilfe Verpflichtungserklärung zum Datengeheimnis