Stand der Meldung: 27.03.2024, 12:30 Uhr – Update: 03.04.2024, 17:00 Uhr
Wie zumeist durch verschiedene Presseveröffentlichungen bekannt, wurde in der vergangenen Woche eine Sicherheitslücke bei der KiTa-App Stay Informed (vormals: KiTa-Info- und Schul-Info-App) aufgedeckt.
Diese App findet auch in kirchlich-katholischen Kindertageseinrichtungen weite Verbreitung. Die betroffenen Einrichtungen sollen über den Vorfall in zwei Schreiben von der Stay Informed GmbH informiert worden sein, insbesondere auch über die möglicherweise notwendige Meldepflicht gegenüber der zuständigen Datenschutzaufsicht gemäß § 33 Kirchliches Datenschutzgesetz (KDG) und die gegebenenfalls erforderliche Benachrichtigung der betroffenen Personen gemäß § 34 KDG.
Aktuelle Hinweise hierzu stellt der App-Anbieter Stay Informed auf einer eigenen Internetseite bereit.
Um eine Fülle von Einzelmeldungen aus den KiTa-Einrichtungen zu vermeiden, wenden Sie sich bitte zunächst an die betrieblichen Datenschutzbeauftragten, mit denen die Aufsicht zum Teil diesbezüglich bereits in einem engen Austausch steht, oder an die übergeordnete Verwaltungseinheit (KiTa-Geschäftsträger, Verrechnungsstelle, Verwaltungszentrum u.a.).
Es laufen derzeit intensive Bemühungen, um zu einer Klärung der mit der Datenschutzverletzung verbundenen Fragen zu gelangen.
Weitere Informationen zu der Datenpanne bei Stay Informed finden sich beispielsweise auf folgenden Webseiten:
Die Europäische Kommission hat mit Datum vom 10.07.2023 den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework angenommen. Mit diesem Angemessenheitsbeschluss, der die Nachfolgeregelung zum sog. Privacy Shield bestätigt, können nunmehr wieder Datenübermittlungen an zertifizierte Organisationen in den Vereinigten Staaten von Amerika erfolgen, ohne dass weitere Übermittlungsinstrumente oder zusätzliche Maßnahmen erforderlich sind. Es bleibt jedoch den Einrichtungen und kirchlichen Stellen überlassen zu prüfen, ob die betreffende Organisation über eine entsprechende vom U.S. Department of Commerce veröffentlichte Liste zertifiziert ist (diese Liste ist ab dem 17.07.2023 verfügbar).
Weitere Informationen finden sich auch auf der Website des Bundesdatenschutzbeauftragten.
Es bleibt nun abzuwarten, ob diese Regelungen und der Angemessenheitsbeschluss einer möglichen neuerlichen gerichtlichen Überprüfung standhalten.
Unsere neuen Kontaktdaten lauten ab sofort:
Kath. Datenschutzzentrum Frankfurt/M. KdöR, Roßmarkt 23, 60311 Frankfurt/M.
Tel.: 069 / 58 99 755 -10, Fax: 069 / 58 99 755 -11
Das Gesetz über den Kirchlichen Datenschutz (KDG) ist am 24. Mai 2018, also vor genau fünf Jahren, in Kraft getreten.
Nötig wurde die Anpassung des bislang geltenden kirchlichen Datenschutzes durch europäische Vorgaben. Die Katholische Kirche hat die EU-Datenschutzgrundverordnung (DSGVO) aber nicht einfach übernommen, sondern durchaus eigene Akzente gesetzt und auch bekannte Elemente aus der Anordnung über den Kirchlichen Datenschutz (KDO) übernommen.
Anfangs musste sich das eine oder andere im kirchlichen Datenschutz noch etwas zurechtrücken, aber die meisten Befürchtungen haben sich nicht bewahrheitet.
Das KDG hat sich als Grundlage für katholische Einrichtungen zur Verarbeitung personenbezogener Daten bewährt und eröffnet kirchlichen Stellen neue Möglichkeiten, personenbezogene Daten rechtssicher zu nutzen. Das Gesetz gibt den Verantwortlichen vor Ort praktikable, aber auch den Datenschutzinstitutionen geeignete Instrumente und Lösungen an die Hand.
Grundrechte und Grundfreiheiten natürlicher Personen zu schützen – das ist die Aufgabe des Datenschutzes, dem in der Katholischen Kirche seit nunmehr fünf Jahren durch das Inkrafttreten des KDG am 24. Mai 2018 ein noch höherer Stellenwert zukommt.
Frankfurt/M., 05.01.2023: Auf Empfehlung des Verwaltungsrates des Katholischen Datenschutzzentrums Frankfurt/M. (KdöR) wurde Ursula Becker-Rathmair durch die (Erz-)Bischöfe der sieben zum Katholischen Datenschutzzentrum Frankfurt/M. gehörenden (Erz-)Bistümer mit Wirkung zum 01.01.2023 für weitere fünf Jahre zur Diözesandatenschutzbeauftragten bestellt. Sie nimmt damit weiterhin die datenschutzrechtliche Aufsicht über die katholischen Einrichtungen im Zuständigkeitsgebiet wahr.
Das Kath. Datenschutzzentrum Frankfurt/M. hat die zwei Arbeitshilfen „Online-Meeting-Tools“ und „Microsoft 365“ überarbeitet und in der Infothek neu verlinkt. Die Aktualisierung berücksichtigt u. a. die seit dem Schrems II-Urteil geänderten Bedingungen für Datentransfers in Drittländer sowie Ergebnisse von Untersuchungen staatlicher Stellen.
Online-Meeting-Tools-04-2022-KDSZ-FFM.pdf
Microsoft-365-04-2022-KDSZ-FFM.pdf
Die aktualisierten Arbeitshilfen stehen außerdem als Flyer in Kurzform zum Download bereit.
Besuchen Sie den Stand der Konferenz der Diözesandatenschutzbeauftragten
auf der Kirchenmeile
Standnummer: 2-SG-10
Vom 25. bis 29. Mai 2022 findet in Stuttgart unter dem Motto „Leben teilen“ der 102. Deutsche Katholikentag statt – und die Konferenz der Diözesandatenschutzbeauftragten ist wieder mit einem Stand vertreten.
Unser Stand ist auf der Kirchenmeile leicht zu finden – und zwar im Bereich „Bistümer und Räte“. Von Donnerstagmorgen nach dem zentralen Himmelfahrtsgottesdienst bis zum Abschlussfest am Samstagabend können Sie sich über den kirchlichen Datenschutz informieren und Einblicke in die vielfältigen Tätigkeiten von Datenschutzbehörden gewinnen. Natürlich stehen die Mitarbeiterinnen und Mitarbeiter des Katholischen Datenschutzzentrums Frankfurt/M. und weiterer katholischer Datenschutzaufsichten am Stand gerne für Fragen und Auskünfte zur Verfügung.
Wir freuen uns auf Ihren Besuch und den Austausch mit Ihnen!
Alle Informationen zum Katholikentag in Stuttgart gibt es unter:
www.katholikentag.de
Frankfurt/M., 15.03.2022: Mit einer am 15.03.22 veröffentlichten Pressemeldung, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor dem Einsatz von Virenschutzprogrammen des Herstellers Kaspersky.
Das Kath. Datenschutzzentrum Frankfurt/M. empfiehlt allen Einrichtungen, die in der Warnung des BSI aufgeführten Anwendungen nicht mehr zu verwenden und auf alternative Produkte zu setzen.
Die vollständige Pressemeldung des BSI finden Sie hier (öffnet in neuem Tab)
Frankfurt/M., 15.12.2021: Nach Bekanntwerden einer kritischen Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j hat das BSI eine Cyber-Sicherheitswarnung der Warnstufe Rot veröffentlicht.
Das Kath. Datenschutzzentrum Frankfurt/M. empfiehlt allen Einrichtungen, die in der Cyber-Sicherheitswarnung des BSI skizzierten Abwehrmaßnahmen umzusetzen. Sobald Updates für einzelne Produkte zur Verfügung stehen, sollten diese eingespielt werden. Darüber hinaus sollten alle verwundbaren Systeme auf eine Kompromittierung untersucht werden.
Link zur Informationsseite des BSI
Die ökumenische Projektgruppe „Kirchliches Datenschutzmodell (KDM)“ hat den Baustein 41 „Planen und Spezifizieren“, den Baustein 43 „Protokollieren“ , den Baustein 61 „Berichtigen“ sowie den Baustein 62 „Einschränken der Verarbeitung“ für den Referenzmaßnahmenkatalog des Kirchlichen Datenschutzmodells freigegeben.
Die Bausteine unterstützen den Verantwortlichen bei der Ermittlung passender Maßnahmen zur Behandlung von erkannten Risiken bei neuen oder geänderten Verarbeitungstätigkeiten. Weitere Bausteine werden in unregelmäßiger Folge erstellt und freigegeben. Alle Dokumente zum KDM finden Sie auf der Website des Projektes.
Das KDM und weiteres Informationsmaterial sind auf der Internetseite https://kirchliches-datenschutzmodell.de zu finden.
Frankfurt/M., 11.03.2021: Nach Bekanntwerden einer schweren Sicherheitslücke in Microsoft Exchange-Servern hat das BSI eine umfangreiche Handlungsempfehlung für Unternehmen und Einrichtungen jeder Größe herausgegeben. Das Kath. Datenschutzzentrum Frankfurt/M. empfiehlt allen Einrichtungen, die einen Exchange-Server selbst oder bei einem Dienstleister gehostet betreiben, sich über die empfohlenen Abwehr- und Abhilfemaßnahmen zu informieren und die notwendigen Maßnahmen einzuleiten. Im Fall von gehosteten Exchange-Servern sollte zunächst der Dienstleister kontaktiert werden.
Von der – vorsorglichen – Meldung einer Datenschutzverletzung nach § 33 KDG bitten wir solange abzusehen, bis eine konkrete Verletzung diagnostiziert wurde. Link zur Informationsseite des BSI
