An einige Prognosen des Jahresausblicks für 2023 kann man Haken setzen: In Sachen Facebook-Fanpages ging es ein bisschen weiter, der EU-US-Datentransfer ist wieder einfach möglich, das KDSZ Bayern errichtet und der DSG-EKD-Kommentar ist endlich erschienen. Anderes bleibt offen: In die DSG-EKD-Evaluierung kam etwas Bewegung, aber akut wird sie erst 2024, von der KDG-Evaluierung gab es gar nichts Neues.

Geprägt war das Jahr 2023 im kirchlichen Datenschutz neben dem Umgang mit Facebook-Fanpages besonders stark von Fragen der Missbrauchsaufarbeitung: Betroffenenrechte von Betroffenen und Beschuldigten wurden kontrovers diskutiert, es gab Täternamen-Veröffentlichungen, neue Gesetze, Entscheidungen von staatlichen Gerichten und kirchlichen Datenschutzaufsichten.

Aus den Aufsichten

• Der erste Gastbeitrag des Jahres kam von Matthias Ullrich, Leiter der KDSA Ost und Sprecher der katholischen Datenschutzkonferenz: Er äußerte Bedenken hinsichtlich der Unabhängigkeit von Aufsichten mit Verwaltungsräten, in denen Bischöfe sitzen. Die betroffenen kirchlichen Aufsichten haben eine andere Ansicht.
• Die evangelischen Aufsichten wurden weiter konsolidiert: Anfang des Jahres ging die Aufsicht über die Landeskirche der Pfalz an den BfD EKD über, im Oktober die der Nordkirche. Damit gibt es noch zwei evangelische Aufsichten, den BfD EKD und den DSBKD, wo es keine Auflösungserscheinungen gibt.
• Fünf Jahre nach dem Beschluss der Freisinger Bischofskonferenz wurde das KDSZ Bayern Wirklichkeit: Erst die Ausschreibung für die Leitung, dann wurde der 1. April als Startdatum angekündigt, im März wurde der Name des Neuen bekannt und die Satzung veröffentlicht, und am 1. April trat Dominikus Zettl sein Amt an, zunächst noch in München, ab Juni in Nürnberg.
• Die Haushalte von Aufsichten sind offenzulegen. Dennoch war die Recherche etwas umfangreicher. Das Ergebnis: Mindestens 3,6 Millionen Euro lässt sich die katholische Kirche in Deutschland ihre Datenschutzaufsichten im Jahr kosten.

Personalia

• Die Diözesandatenschutzbeauftragte für die Südwest-Bistümer Ursula Becker-Rathmair wurde für eine weitere Amtszeit vom 1. Januar 2023 bis zum 31. Dezember 2027 bestellt.
• Im Januar trat der neue Diözesandatenschutzbeauftragte für die Nord-Bistümer, Andreas Bloms, seinen Dienst an. Im Interview äußerte er sich zu seinen Plänen.
• Im April nahm der neue Diözesandatenschutzbeauftragte für Bayern die Arbeit auf. Mit Dominikus Zettl habe ich im Juni gesprochen.
• Im Mai wurden die katholischen Datenschutzgerichte für die zweite Amtszeit teilweise neu besetzt.
• Am 31. Dezember 2023 läuft die erste Amtszeit des Bistumsdatenschutzbeauftragten des alt-katholischen Bistums aus.

Tätigkeitsberichte

• Auf zum letzten Bericht – Tätigkeitsbericht 2022 der KDSA Nord
• Ordentlich gephisht – Bericht der Ordensdatenschutzaufsicht 2022
• Ein Bistum ohne Datenschutz – Tätigkeitsbericht 2022 der KDSA Ost
• Rechtsgrundlagenarbeit – Tätigkeitsbericht des KDSZ Dortmund 2022
• Auskunft und Ausnahmen – Tätigkeitsbericht des BfD EKD 2021/2022
• Empfindliche Buße – Tätigkeitsbericht 2022 des KDSZ Frankfurt
• Tätigkeitsbericht 2021 der Datenschutzaufsicht von Jehovas Zeugen

Aus den Gerichten

• Anfang Januar lagen die Entscheidungsgründe zum Urteil im Streit zwischen der SELK und der niedersächsischen Landesdatenschutzbeauftragten vor: Keine Vorlage beim EuGH, das eigene Datenschutzrecht der SELK kassiert, und eine Entscheidung, die erstmals die Zuständigkeit von staatlichen Aufsichten für religiöse Körperschaften ohne eigenes Datenschutzrecht feststellte. Der Streit geht in die zweite Instanz.
• Scheibchenweise gab es mehr Öffentlichkeit bei den evangelischen Kirchengerichten: Ende Januar gab es nach jahrelangem Bohren immerhin allgemeine Angaben zu Fallzahlen, im Laufe des Jahres tauchten immerhin Aktenzeichen und Hinweise auf konkrete Urteile auf. Ende März konnte ich dann aber über ein Urteil des EKD-Kirchengerichtshofs zum im DSG-EKD fehlenden Recht auf Kopie berichten, das das DSG-EKD gleich ganz für unanwendbar hielt – dafür gab es nicht nur von mir deutliche Kritik. Im Mai erschienen dann weitere (unspektakuläre) Entscheidungen in zwei Tranchen. Dabei blieb es dann aber auch, nur in Württemberg wurde noch ein Urteil zum Recht auf Kopie veröffentlicht.
• Beim DSG-DBK unterlag der Münchener Erzbischof gegen die Katholische Integrierte Gemeinde im Streit um die Weitergabe eines Visitationsberichts.

Themen

• Nachdem der BfDI sein Musterverfahren gegen die Facebook-Seite der Bundesregierung gestartet hatte, legte der bayerische Diözesandatenschutzbeauftragte noch einen drauf: Er erließ gleich (ohne Rechtsgrundlage) ein Verbot für Facebook-Fanseiten. Der Erfolg war übersichtlich, die anderen Aufsichten gingen nicht mit und erneuerten nur ihre Empfehlungen, auf Facebook zu verzichten.
• Im April wurde das Kirchliche Datenschutzmodell für abgeschlossen erklärt, kurz darauf erschien das Praxismodell. Das wurde auch von einem der wichtigsten Entwickler des SDM gewürdigt.
• Der im Juli in Kraft getretene Angemessenheitsbeschluss für den EU-US-Datenschutzrahmen hat vieles leichter gemacht – auch im kirchlichen Datenschutz. Mehrere kirchliche Aufsichten äußerten sich dazu.
• Ein Aufsatz von Christian Peter Wilde zur Zuständigkeit von staatlichen Aufsichten für als KdÖR organisierte Religions- und Weltanschauungsgemeinschaften war der Anstoß für eine Recherche: In Bayern will keine der beiden Aufsichten zuständig sein, im Rest der Republik sieht man das sehr anders.
• Die irische Datenschutzaufsicht hat ihre Entscheidung zu Löschrechten in Kirchenbüchern veröffentlicht – ausgesprochen ausführlich und mit intensiver Befassung mit der kirchlichen Position. In Belgien regten sich dagegen Proteste gegen verweigerte Löschbegehren, nachdem eine TV-Dokumentation über Missbrauch zu einem Anstieg der Austrittszahlen geführt hat. Kurz vor Weihnachten erschien noch eine überraschende Position der belgischen Datenschutzaufsicht, die ein Löschrecht erkennt.

Missbrauch und Aufarbeitung

• Die katholischen Unabhängige Kommission für Anerkennungsleistungen erhielt eine neue Ordnung mit Akteneinsichtsrechten, die allerdings hinter datenschutzrechtlichen Auskunftsrechten zurückblieben.
• Persönlichkeitsrechte von Betroffenen und Beschuldigten waren ein wichtiges Thema: Die UBSKM Kerstin Claus äußerte sich, der Münsteraner Bischof Genn auch, und in Aachen wurden Namen von Tätern und mutmaßlichen Tätern wie angekündigt veröffentlicht.
• Katholische Bistümer haben Einsichtsnormen für Sachakten erlassen. Die Rechtsgrundlage für die Einsicht ohne Einwilligung sorgte bei Betroffenenorganisationen für Protest, dem sich der Arbeitskreis der Betroffenenbeiräte ausführlich anschloss. Die Bischofskonferenz will erst einmal nichts an der kirchlichen Rechtslage ändern, in Fulda wurden aber Betroffenenrechte gestärkt.
• Die Aktenweitergabe für die Münsteraner Missbrauchsstudie führten zu einer Beanstandung durch das KDSZ Münster, die mittlerweile vor Gericht geprüft wird. Mit Akten und Archiven befasste sich auch eine Tagung im Vorjahr, deren Dokumentation erschien, auch mit einem Beitrag zu kirchlichen Archiven. Ganz handfest ging es an verschiedenen Stellen um die ToMs in der Aufarbeitung, und in Trier übt die Aufarbeitungskommission Kritik am Umgang mit Akten.
• Im Fall Weißenfels stellte das KDSZ Frankfurt eine Datenschutzverletzung durch Bischof Stephan Ackermann fest, das Arbeitsgericht Trier verurteilte ihn (unabhängig vom kirchlichen Datenschutzverfahren) zu einem Schmerzensgeld in dieser Sache.

Gesetzgebung

• 2023 war ein Jubiläumsjahr: fünf Jahre DSGVO, fünf Jahre DSG-EKD, fünf Jahre KDG. Zu den ersten fünf Jahren habe ich mit dem BfD EKD Michael Jacob und mit dem Sprecher der katholischen Datenschutzkonferenz Matthias Ullrich gesprochen.
• Für die Evaluierung des DSG-EKD ist nun der Zeitplan bestätigt. Die EKD-Synod im Herbst 2024 soll eine Novelle beschließen.
• Die Nordkirche hat als eine der wenigen evangelischen Landeskirchen umfangreich ihr landeskirchliches Datenschutzrecht reformiert.
• Der Referentenentwurf des BDSG ging in die Verbändeanhörung. Für den kirchlichen Datenschutz ist die Institutionalisierung der DSK interessant: Werden die spezifischen Aufsichten beteiligt? Nach aktuellem Stand nicht. Insgesamt waren die Rückmeldungen zur DSK-Institutionalisierung sehr verhalten.

Gastbeiträge

• Matthias Ullrich: Verwaltung der Aufsicht durch die Beaufsichtigten?
• Ines Bock: Die neue Grundordnung – Paradigmenwechsel im kirchlichen Beschäftigtendatenschutz
• Johannes Mönter: Kirchlicher Datenschutz oder nicht? Einblicke aus der Beratungspraxis
• Laura Mosen: Das »kleine Konzernprivileg« bei Kooperationen und Konzentrationen
• Ralph Wagner: Lücken bei der Datenschutz-Aufsicht: Analogie ist keine Lösung

Neue Literatur zum kirchlichen Datenschutz

• Datenschutz der katholischen Kirche im Spannungsfeld zwischen kirchlicher Selbstbestimmung und europäischem Datenschutzrecht, die Dissertation von Michaela Hermes (die später neue betriebliche Datenschutzbeauftragte der Erzdiözese München und Freising wurde)
• Erstmals erschien ein ausführlicher Kommentar der Kirchlichen Datenschutzgerichtsordnung im Rahmen der MAVO-Kommentierung von Reichold/Ritter/Gohm.
• Nach Jahren der Ankündigung erschien endlich der von Ralph Wagner herausgegebene DSG-EKD-Kommentar – und er lohnt sich.

Aus der Welt

Jahresrückblicke zum Datenschutz allgemein gibt es beim Blog des Dresdner Instituts für Datenschutz (Januar bis Juni und Juli bis Dezember) und bei Dr. Datenschutz (Januar bis März, April bis Juni, Juli bis September, Oktober bis Dezember)