2022 endet, wie es begonnen hat: Die hier prophezeiten großen Themen können alle auf Wiedervorlage gelegt werden. Die große Facebook-Dämmerung kam nicht – alle warten immer noch auf das Musterverfahren zwischen dem Bundesdatenschutzbeauftragten und dem Bundespresseamt. Bei der Evaluierung der kirchlichen Datenschutzgesetze gibt es auch nichts Neues – das KDG ist nach wie vor überfällig, beim DSG-EKD ist öffentlich keine Bewegung sichtbar. Die KDSA Nord ist immer noch keine KdÖR, und in Bayern ist Jupp Joachimski im 81. Lebensjahr Diözesandatenschutzbeauftragter ohne Aussicht auf Ablöse. Der DSG-EKD-Kommentar ist immer noch nicht da, die KDSGO-Kommentierung auch nicht.

Vormals große Themen wie der Umgang mit Corona haben an Bedeutung verloren – im Frühjahr wurde noch über den richtigen Umgang mit Impfnachweisen diskutiert, seither ist die Pandemie zumindest datenschutzrechtlich vorbei. Die Tendenz der vergangenen Jahre zeichnet sich also fort: Der kirchliche Datenschutz läuft im Regelbetrieb. Große Aufregerthemen blieben aus, nach Ausnahmejahren der Pandemie können sich Aufsichten und Verantwortliche wieder auf ihre Regelaufgaben konzentrieren.

Kirchliche Gesetzgebung

• Datenschutzrecht im engeren Sinn gab es vor allem im evangelischen Bereich: Die bremische Landeskirche hat im Januar umfangreiche Regelungen für typische kirchliche Arbeitsfelder erlassen, und Ende des Jahres hat die EKD-Synode das DSG-EKD geändert, wenn auch nicht im Bereich des materiellen Datenschutzrechts.
• Auf katholischer Seite gab es vor allem Gesetze mit Auswirkungen auf Persönlichkeitsrechte: Die 2021 beschlossene neue Personalaktenordnung für Kleriker und Kirchenbeamte trat bundesweit in Kraft, einzelne Bistümer haben 2022 ähnliche Gesetze auch für Angestellte verabschiedet. Fast überall gibt es zusätzlich zur Personalaktenordnung auch eine Einsichtsnorm für Aufarbeitung. Zum Ende des Jahres dann die große Veränderung: Eine neue Grundordnung des kirchlichen Dienstes will die arbeitsrechtliche Schlafzimmerpolizei abschaffen.

Aus den Aufsichten

• Mit offiziellen eigenen Verlautbarungen hielten sich die Aufsichten 2022 weitgehend zurück. Neues Recht wie das TTDSG wird kommentiert und für den kirchlichen Bereich erläutert, aber die großen Fragen, zu denen es Beschlüsse der konfessionellen Datenschutzkonferenzen braucht, scheinen erledigt zu sein – oder, wie bei den Kontroversen um die Zulässigkeit von Bußgeldern, über Tätigkeitsberichte und wissenschaftliche Veröffentlichungen diskutiert zu werden. Einen Beschluss gab es: Die katholische Datenschutzkonferenz sieht nun doch eine Einwilligung in schlechtere TOMs unter bestimmten Bedingungen als zulässig an. Von der NRW-Aufsicht kamen in diesem Jahr gleich zwei Bände der Reihe zum kirchlichen Datenschutz, die beide wertvolle Einblicke in die Praxis und wissenschaftliche Reflexionen bieten konnten: ein Band zum Fünfjährigen der Aufsicht, und die schon angeführt Festschrift zu Joachimskis 80.
• Auch die evangelische Datenschutzkonferenz hat einen Beschluss veröffentlicht: Sie hat das Facebook-Kurzachten der DSK zunächst gutgeheißen, im Winter wurden dann aber unterschiedliche Auffassungen der evangelischen Aufsichten dazu publik. Die Prüftätigkeiten konzentrierten sich wie schon in den vergangenen Jahren angekündigt auf Kindertagesstätten.
• In Sachen Aufsichtsmaßnahmen blies es unspektakulär bis unwägbar: Bußgelder bleiben die Ausnahme, absolute Zahlen zu Maßnahmen gab es wieder nicht.
• Personell endet das Jahr unverändert: Noch bis Ende des Jahres ist Andreas Mündelein Diözesandatenschutzbeauftragter der Nord-Bistümer, und auch Jupp Joachimskis Vertrag läuft auf jeden Fall noch bis Silvester. Doch während im Norden mit Andreas Bloms ein Nachfolger feststeht, ist die Zukunft der bayerischen Aufsicht nach wie vor unklar. Auch 2022 ging es nicht voran mit der wohl unter »Katholisches Datenschutzzentrum Bayern« firmierenden neu zu schaffenden Aufsicht. Immerhin: Die Domains sind wohl schon registriert.
• Ärgerlich ist weiterhin die fehlende Transparenz bei kleinen Aufsichten: Seit Jahren gibt es trotz regelmäßiger Anfragen kein Lebenszeichen der alt-katholischen Aufsicht, die mit Werner Hülsmann eigentlich einen renommierten Bistumsdatenschutzbeauftragten vorzuweisen hat. Mit den Aufsichten von BFP und Jehovas Zeugen haben nur zwei kleinere Gemeinschaften in diesem Jahr Tätigkeitsberichte vorgelegt.
• Diese Nachlässigkeit überrascht anlässlich des Drucks von außen: Wenn die Entscheidung des VG Hannover zur fehlenden Rechtsgrundlage für eigenen Datenschutz bei der SELK rechtskräftig wird, dürften noch einige weitere kleine Gemeinschaften scharf überlegen müssen, ob ihr Datenschutz wirklich gemäß Art. 91 DSGVO geregelt ist. (Im Fall der SELK ist die Entscheidung insofern bedauerlich, als dass dort immerhin transparent über die Tätigkeit der Aufsicht Rechenschaft abgelegt wurde.) Konkret ist aber nichts bekannt: Die Prüfungen der Aufsichten in Hessen, Berlin und NRW von verschiedenen kleinen Gemeinschaften mit eigenem Datenschutzrecht sind immer noch nicht vorangekommen.

Tätigkeitsberichte

• KDSA Nord
• Ordensdatenschutzbeauftragte
• KDSA Ost
• Jehovas Zeugen
• DSBKD
• BFP
• Diözesandatenschutzbeauftragter Bayern
• KDSZ Frankfurt
• KDSZ Dortmund

Rechtsprechung

• Gute Einblicke gab es in diesem Jahr in die Arbeit der zweiten katholischen Instanz: Das DSG-EKD hat nicht nur einige Entscheidungen veröffentlicht, sondern als erstes für kirchlichen Datenschutz zuständiges Gericht überhaupt eine öffentliche Verhandlung angesetzt. Von der ersten Instanz sind mittlerweile so viele Entscheidungen bekannt, dass eine erste Auswertung der Arbeitsweise möglich war. Alle bekannten Entscheidungen mit Links zu Besprechungen finden sich in der Entscheidungssammlung hier.
• Weiterhin intransparent ist die Rechtsprechung im evangelischen Bereich. Keine einzige Entscheidung zum DSG-EKD ist bekannt, auch auf Nachfrage gibt es offiziell bisher keine Informationen zur Tätigkeit der EKD-Gerichte. Man hört allerdings, dass es wohl schon einige einschlägige Entscheidungen gibt.
• Im staatlichen Bereich war vor allem das Urteil des VG Hannover im Streit zwischen SELK und der Landesdatenschutzbeauftragten Niedersachsen relevant. Entscheidungen mit Bezug zum kirchlichen Datenschutz gab es aber auch beim OLG Hamm und beim VG Berlin – beide Entscheidungen gehen selbstverständlich davon aus, dass die Datenschutzgesetze der großen Kirchen anwendbar sind.

Recherchen, Interviews und Service

• Bei Artikel 91 erschienen einige Grundsatz- und Serviceartikel, die hoffentlich über das Jahr hinaus hilfreich sind: Rechtswege im Ordensdatenschutz, eine Synopse der Berliner Auftragsverarbeitungs-Checkliste, um sie auch im kirchlichen Datenschutz nutzen zu können und ein Überblick über die Anwendung der KDR-OG bei den Maltesern (leider der einzige Gastbeitrag des Jahres, das soll 2022 mehr werden!).
• Mit Interviews gab es wieder Einblicke in Arbeitsfelder aus erster Hand. Immer noch freue ich mich über den Sieg des Johannesstifts vor dem IDSG, wo die informationelle Selbstbestimmung einer Jugendlichen verteidigt werden konnte – mit der verantwortlichen Geschäftsführerin Kerstin Fuchs habe ich ein Interview darüber geführt. Weitere Interviews befassten sich mit dem Kirchlichen Datenschutzmodell, der christlichen Mastodon-Instanz kirche.social und der Jugendarbeitscloud des BDKJ Rottenburg-Stuttgart.
• Kleinere und größere Recherchen befassten sich mit Sicherheitslücken bei Software für Begabtenförderungswerke, dem Verhältnis von spezifischen Aufsichten und DSK sowie der datenschutzrechtlichen Seite des Umgangs des Trierer Bischofs Stephan Ackermann mit der Betroffenen mit dem Pseudonym Karin Weißenfels.

Fazit

Der Blick zurück auf 2022 zeichnet schon zuvor bestehende konfessionelle Trends weiter – Trends, die überraschen: Ausgerechnet die notorisch geheimniskrämerische katholische Kirche führt den lebendigsten Diskurs über kirchlichen Datenschutz und hat die transparentesten Gerichte (trotz keinerlei Transparenzanforderungen in der Gerichtsordnung). Die Einschätzung von Ansgar Hense in der neuen Auflage des Sydow/Marsch kann man nur unterschreiben: »»Die dem kircheneigenen Datenschutz früher nicht selten unterstellte Intransparenz, die zudem eine gewisse Verdachtshermeneutik auslöste, dass kircheneigenes Datenschutzrecht und dessen praktische Anwendung eher insuffizient seien, ist mit der DS-GVO einer Publizitätsoffensive ausgesetzt worden, die eine ziemliche hohe Transparenz zur Konsequenz hat.« Ein Wermutstropfen ist lediglich die fehlende Transparenz zu Aufsichtsmaßnahmen in den katholischen Tätigkeitsberichten.

Auf evangelischer Seite wäre ähnliche Transparenz wünschenswert – an den Aufsichten liegt es wohlgemerkt nicht. Der Kontakt ist hervorragend, Presseanfragen werden umfassend beantwortet. (Und im zwar nur zweijährlich, dieses Jahr nicht, erscheinenden Tätigkeitsbericht werden auch die Zahlen zur Tätigkeit veröffentlicht.) Aber das kann nicht wettmachen, dass die Rechtsprechung zum DSG-EKD völlig unbekannt ist und die wissenschaftlichen Veröffentlichung zu diesem Datenschutzregime deutlich übersichtlicher sind.

Für alle Religionsgemeinschaften wurden wohl in Hannover wichtige Weichen gestellt: Bleiben die Gerichte in der Spur des Verwaltungsgerichts, dann wird die SELK nur die erste der kleinen Gemeinschaften sein, die künftig auf Selbstverwaltung im Bereich Datenschutz verzichten muss.