Der kirchliche Datenschutz ist langsam im Regelbetrieb – 2018 war der große Umbruch, 2019 wurde noch aufgebaut, 2020 schon konsolidiert. In diesem Jahr sind die Institutionen des kirchlichen Datenschutzes etabliert. Die großen Aufsichten haben mittlerweile alle einen Bericht nach neuem Datenschutzrecht abgeliefert, die (katholischen) Gerichte entscheiden in beiden Instanzen, das Datenschutzrecht wächst und reift, und die operativen Datenschützer*innen können statt der Aufbau- und Umbruchskrise die Anforderungen der Corona-Krise managen.

Es wächst auch das Interesse sowohl in der Datenschutz-Szene wie der Kirchenrechtsszene an den kirchlichen Sonderwegen; sowohl in den weltlichen wie den kanonistischen Fachzeitschriften finden sich immer wieder Datenschutzthemen. Ganz allein ist dieses bescheidene Projekt hier also nicht mehr wie beim Start im vergangenen Jahr – die Zugriffszahlen, die Resonanz und die Zahl der Newsletterabonnenten entwickeln sich jedenfalls langsam, aber stetig nach oben. Dafür vielen Dank!

Zum Vergleich: Der Jahresrückblick 2020 – und der Jahresausblick 2021 aus dem Januar: Der hatte eine ziemlich hohe Trefferquote. Einen Jahresrückblick zum weltlichen Datenschutz gibt’s bei Dr. Datenschutz (Teil 1, Teil 2, Teil 3).

Corona 

Das zweite Jahr in Folge ist von der Pandemie geprägt. Das schlug sich auch wieder im kirchlichen Datenschutz nieder. Waren es 2020 vor allem die Fragen, wie Homeoffice, Videokonferenzen und Kontaktverfolgung organisiert werden, ging es in diesem Jahr vor allem um Beschäftigtendatenschutz und Zugangskontrollen: Welche Daten darf der Arbeitgeber verarbeiten? Wie werden 2G- und 3G-Nachweise geprüft?

Diese Fragen wurden durch das Infektionsschutzgesetz und die Landesverordnungen geregelt – hier gab es daher nur immer wieder im Wochenrückblick Nachrichten, wie es Bistümer sowie die katholischen und evangelischen Aufsichten handhaben.

Eine große Frage war die nach der Kontaktverfolgungs-App Luca. Hier war weniger die berechtigte heftige Kritik Thema als die Frage, wie man Luca nach kirchlichen Datenschutzgesetzen einsetzen kann – inklusive der Exklusivmeldung, dass die Betreiberfirma die nötigen kirchlichen Besonderheiten im Auftragsverarbeitungsvertrag einhalten will.

Neues kirchliches Datenschutzrecht

• 2021 war auf katholischer Seite von reger Gesetzgebungstätigkeit geprägt: Alle Bistümer wollen zum 1. Januar 2022 die einheitliche Personalaktenordnung in Kraft setzen, die meisten von ihnen auch die Musternormen zur Datenweitergabe zur Missbrauchsaufarbeitung. In Osnabrück und Hamburg gibt es neue Gesetze zum Schuldatenschutz, einige Bistümer haben das Seelsorge-Patienten-Datenschutzgesetz in Kraft gesetzt. Eine Tendenz wurde bei diesen Spezialgesetzen deutlich: Betroffenenrechte werden dadurch eher nicht gestärkt.
• Die Landeskirchen haben sich sehr zurückgehalten – dafür gab es eine erste Änderung des DSG-EKD, um Datenweitergabe zur Missbrauchsaufarbeitung zu ermöglichen.
• Im Dezember trat das neue kirchliche Strafrecht in Form des novellierten Buch VI des Codex Iuris Canonici für die ganze Kirche in Kraft – dort werden auch einige Aspekte des Persönlichkeitsschutzes geregelt.

Aus den Aufsichten

Alle Aufsichten haben sich zurückgehalten – Beschlüsse der evangelischen und katholischen Datenschutzkonferenz blieben rar. Zusätzlich zu Brexit gab es an bedeutenderen Beschlüssen ein Update für die Kriterien zu Social-Media- und Messenger-Diensten der katholischen Konferenz, die evangelische Konferenz hat sich zu Schrems II geäußert.

Bei der evangelischen Aufsichtsstruktur steht eine Konsolidierung an: die Evangelische Kirche der Pfalz will die Aufsicht an die EKD abtreten, die Nordkirche hat das auf ihrer Landessynode inklusive Zeitplan beschlossen. Bei den katholischen ist eher Verstetigung angesagt; im Nordwesten ist die Umwandlung in eine KdÖR auf bestem Weg – und das Sorgenkind bleibt Bayern, wo es konsequent immer noch keine angemessene personelle Ausstattung gibt und das Datenschutzzentrum Nürnberg immer noch nicht errichtet ist.

Ungerade Jahre sind evangelische Berichtsjahre – hier sieht das DSG-EKD einen zweijährlichen Rhythmus vor. In der Reihenfolge der Veröffentlichung gab es dieses Jahr folgende Berichte:

• Gemeinsame Ordensdatenschutzbeauftragte der DOK
• KDSA Ost
• Datenschutzbeauftragter für Kirche und Diakonie
• Datenschutzbeauftragte der Landeskirche der Pfalz
• Beauftragter für den Datenschutz der EKD
• KDSA Nord
• KDSZ Dortmund
• KDSZ Frankfurt
• Gemeinsame Datenschutzaufsicht der bayerischen (Erz-) Diözesen
• Beauftragter für den Datenschutz der Nordkirche

Was fehlt, sind Berichte der kleinen Gemeinschaften – die hatten entweder kein Berichtsjahr oder veröffentlichen gar nicht. Besonders unverständlich ist das bei der eigentlich mit Werner Hülsmann als Bistumsdatenschutzbeauftragten hervorragend aufgestellten alt-katholischen Aufsicht: Anfragen nach dem Tätigkeitsbericht bleiben seit mittlerweile über einem Jahr unbeantwortet.

Rechtsprechung der kirchlichen Datenschutzgerichte

Die Gerichte haben ordentlich Fahrt aufgenommen – jedenfalls die beiden katholischen. Von den evangelischen Gerichten ist bisher noch kein einziger Fall bekannt, der einen DSG-EKD-Bezug hätte. Durch einen Vortrag des Vorsitzenden Richters am IDSG (der später auch gedruckt erschien) gab es auch über die Entscheidungen hinaus gute Einblicke.

Hier besprochen wurden die zum Versuch eines Teilkirchenaustritts per Datenschutzrecht, zu Gottesdienst-Teilnahmelisten in erster und zweiter Instanz, zu einem fehlgelaufenen Arztbrief und absichtlich weitergeleiteter Korrespondenz im Ordinariat, und was man aus den ersten beiden veröffentlichten Entscheidungen des DSG-DBK für Tendenzen ablesen konnte.

Exklusive Recherchen und Interviews

Auf Artikel 91 gab es einige exklusive Recherchen und Interviews mit interessanten Menschen aus dem kirchlichen Datenschutz. Mein Lieblingsinterview war das mit Berni Escamillo von der KjG Rheinbach, der vom Datenschutzkonzept des Jugendverbands erzählt hat. Der Europarechtler und Vorsitzender Richter des DSG-DBK Gernot Sydow gab Einschätzungen zur EuGH-Festigkeit des kirchlichen Datenschutzes ab, die Würzburger Bistumsdatenschutzbeauftragte Eva Gregor stellte das dialogische Datenschutzkonzept ihrer Diözese vor, und mit der Juristin und Beraterin Beate Brucker habe ich über gemeinsame Verantwortlichkeit unter verschiedenen Datenschutzgesetzen gesprochen.

Das wohl heikelste Recherchethema ist der Zwist zwischen den staatlichen Aufsichten und einigen kleinen Aufsichten; für die Alt-Katholiken scheint das erstmal gut ausgegangen zu sein – aber in Niedersachsen will die Selbständige Evangelisch-Lutherische Kirche Klärungen vom EuGH, mit unabsehbaren Konsequenzen. Über diesen Fall berichtete erstmals auch die Landesdatenschutzaufsicht selbst. Auch bei den Zeugen Jehovas in Hessen und Berlin scheint sich etwas zu bewegen. Generell gibt es große Skepsis bei den staatlichen Aufsichten gegenüber den spezifischen – das haben zwei Runden (eins, zwei) an per Informationsfreiheitsanfrage befreiten Protokollen der Datenschutzkonferenz gezeigt.

Einblicke gab es auch in die Lobbyarbeit von Kirchen und kirchlichen Verbänden zur DSGVO und zum Stand des Vorgehens der staatlichen Aufsichten im Zusammenhang mit Microsoft-Cloud-Produkten.

Weitere Themen

• Das Jahr begann mit dem Brexit – da war es recht schnell klar, dass die katholischen Aufsichten UK-Datentransfers nicht anders als nach weltlichem Datenschutzrecht behandeln wollen – jedenfalls die römischen. Die alt-katholische sah’s anders. Mit dem Angemessenheitsbeschluss im Sommer hat sich das aber eh erledigt.
• Der Ökumenische Kirchentag wurde coronabedingt digital – die große Gala zur Vorstellung des Kirchlichen Datenschutzmodells fiel daher aus, die Veröffentlichung ging ohne Party über die Bühne.
• Ebenfalls im Mai feierten die kirchlichen Datenschutzgesetze Geburtstag. Eine Party gab’s nur für das KDG in Form einer Tagung.
• Mit dem Geburtstag stand eigentlich auch die Evaluierung des KDG an – die verzögert sich aber noch mindestens ein Jahr, eher zwei.