Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung.

Die Woche im kirchlichen Datenschutz

EKD-Anerkennungsrichtlinie und Akteneinsicht Betroffener

Die Evangelische Kirche hat eine neue Richtlinie für die Anerkennung des Leides von Betroffenen sexualisierter Gewalt beschlossen. Eine umfassende sachkundige Analyse gibt es wie immer in der Eule. Hier von Interesse sind die Regelungen zum Umgang mit Daten. Ein eigener § 9 mit fünf Absätzen regelt Dokumentation und Datenschutz und schafft zunächst (Abs. 1) eine explizite Rechtsgrundlage für die Datenverarbeitung durch die Anerkennungskommission und legt dann (Abs. 2) eine Aufbewahrungsfrist von zehn Jahren, in Ausnahmefällen 30 Jahren fest. Klare Rechtsgrundlagen und definierte Fristen sind sehr zu begrüßen – viel zu selten wird das so explizit gemacht.

Bei den Betroffenenrechten zeigt sich dann leider die übliche Tendenz, wie sie schon aus der katholischen UKA-Ordnung bekannt ist: Es gibt Einsichtsrechte, die aber hinter datenschutzrechtlichen Auskunftsrechten zurückbleiben. Etwas unklar ist dem Wortlaut nach, ob auch »betroffene Personen« zu den »akteneinsichtsberechtigten Dritten« gehören, die vor Akteneinsicht eine Verschwiegenheitserklärung unterzeichnen müssen. Auf Anfrage konnte hier aber ein Sprecher der EKD am Mittwoch Entwarnung geben: »Die in § 9 Absatz 3 Satz 2 vorgesehene Einholung von Verschwiegenheitserklärungen von akteneinsichtsberechtigten Dritten bezieht sich auf Personen, die im Rahmen der institutionellen Aufarbeitung auf Akten der Anerkennungskommissionen zugreifen müssen. Das DSG-EKD einschließlich des Kapitels 3 (Rechte der betroffenen Person) gilt für die Arbeit der Kommissionen.« Heißt: Betroffene haben das Einsichtsrecht gemäß Ordnung auch ohne Verschwiegenheitserklärung, außerdem stehen ihnen daneben die vollen Auskunftsrechte des DSG-EKD zu.

Geregelt wird weiter (Abs. 4 und 5) eine anonymisierte Gesamtdokumentation und ihre Veröffentlichung sowie eine anonymisierte Dokumentation der Spruchpraxis.

UAK Nord klagt gegen Erzbistum Hamburg

Die Unabhängige Aufarbeitungskommission Nord beklagt sich schon länger darüber, dass sie vom Erzbistum Hamburg unter Verweis auf datenschutzrechtliche Probleme nicht die für ihre Arbeit notwendigen Daten bekommt. Anders als in Hildesheim und Osnabrück hat Hamburg keine Norm zur Akteneinsicht in der Aufarbeitung. Nun haben Mitglieder der Kommission deswegen eine Klage vor dem Interdiözesanen Datenschutzgericht angekündigt.

Wie genau hier eine Klage helfen kann, wurde leider nicht ausgeführt. (Eine Anfrage dazu bei der UAK Nord blieb bis zum Redaktionsschluss unbeantwortet.) Die kirchlichen Datenschutzgerichte sind gemäß § 2 KDSGO nur für die Überprüfung von Entscheidungen der katholischen Datenschutzaufsichten und für gerichtliche Rechtsbehelfe der betroffenen Person gegen den Verantwortlichen oder den kirchlichen Auftragsverarbeiter zuständig. Feststellungs- und Leistungsklagen, mit denen etwa ein Herausgabeanspruch festgestellt oder durchgesetzt werden könnte, sieht die KDSGO nicht vor – aber vielleicht sieht das das Gericht anders, das schon mal gerne im kirchlichen Recht Fehlendes aus der weltlichen VwGO ergänzt.

Sind Online-Devotionalienhandlungen wie Online-Apotheken?

Der EuGH ist für seine expansive Auslegung des Datenschutzrechts bekannt. Die Entscheidung aus dem vergangenen Jahr (Urteil C-21/23 vom 4. Oktober 2024), nach der die Daten über eine Bestellung bei einer Online-Apotheke als Gesundheitsdaten zu den besonderen Kategorien gerechnet werden müssen, ist ein Beispiel dafür. In ihrem aktuellen Tätigkeitsbericht weist die sächsische Landesdatenschutzbeauftragte darauf hin, dass die Argumentation auch für andere Arten sensibler Daten einschlägig sein könnte:

»Offen bleibt nach dem Urteil, inwieweit die Entscheidung auch auf andere mögliche nach Art. 9 Abs. 1 DSGVO zu schützende Bezüge bei Internet-Geschäftsprozessen zu übertragen ist, etwa bei dem Verkauf von religiösen Artikeln, politischen Büchern oder Erotikartikeln über das Internet.«

Bejaht man das, bräuchten die Online-Shops von Devotionaliengeschäften und religiösen Buchhandlungen auch unter kirchlichem Datenschutzrecht eine ausdrückliche Einwilligung – und möglicherweise noch viele weitere kirchliche Verarbeitungen, zumindest (wegen den Ausnahmen in § 11 Abs. 2 lit. d) KDG/§ 13 Abs. 2 Nr. 4 DSG-EKD) wenn nicht sicher ist, dass es sich um Mitgliederdaten handelt.

Katholische Verwaltungsgerichtsbarkeit durch die Hintertür

Das Bistum Würzburg hat eine kompakte Personalaktenordnung erlassen – das ist noch nichts Besonderes. Bemerkenswert ist Art. 12: »Individualrechte im Sinne dieser Ordnung können bis zur Errichtung einer kirchlichen Verwaltungsgerichtsbarkeit beim kirchlichen Gericht in Datenschutzangelegenheiten geltend gemacht werden.« Ob so eine Kompetenzzuteilung von unten möglich ist (die Einrichtung der kirchlichen Datenschutzgerichte hat die Zustimmung des Heiligen Stuhls erfordert, und die KDSGO regelt eigentlich abschließend die Zuständigkeit), ist eine interessante kirchenrechtliche Frage. Sehr wahrscheinlich ist aber, dass hier Rechtspraxis Rechtstheorie schlägt – und das Papstamt wurde im Hochmittelalter auch dadurch gestärkt, dass dem Bischof von Rom die Entscheidung von immer mehr Rechtsfragen angetragen wurden. Und warum sollte beim kirchlichen Datenschutzgericht nicht gehen, was schon beim Papstamt funktioniert hat?

Biblisch fundierte KI-Nutzung

Die Schweizerische Evangelische Allianz hat ein Arbeitspapier »Gemeinde & Digitalisierung: Künstliche Intelligenz (KI) in der Kirche« herausgegeben. Zunächst geht es um technische und theologische Grundlagen (mit einem der evangelikalen Ausrichtung geschuldeten stark biblischen Zugang, ohne allerdings andere christliche Zugänge auszublenden), anschließend um die Nutzung von KI aus der Perspektive von Leitungspersonen und Mitarbeitenden (hier sind vor allem Einschätzungen zur Praktikabilität und Ethik der Nutzung von KI-Systemen in konkreten Arbeitsbereichen nützlich).

Datenschutz wird immer wieder angesprochen, im wesentlichen aber mit dem (hilfreichen) Tipp erledigt, sich ans geltende Recht zu halten. Aus den Leitlinien zur Nutzung von Künstlicher Intelligenz der Diakonie wird eine sehr gut nutzbare Faustregel übernommen: »Gib nur Dinge in ein KI-System ein, die jeder problemlos per E-Mail an unbeteiligte externe Dritte (die ganze Welt) weiterleiten könnte, ohne zuvor die Quelle der Information um Erlaubnis zu bitten.«

In eigener Sache

• Beim Evangelischen Kirchentag gibt es Gesprächsrunden am Stand der evangelischen Datenschutzaufsicht. Ich bin am Samstag, 3. Mai 2025, 12.15–13 Uhr im Gespräch mit dem BfD EKD zum Thema Social Media.
• Bei den Praxistagen Datenschutz & Informationssicherheit in Gesundheits- und Sozialwesen, Kirche & Non-Profits von Althammer & Kill bin ich wieder mit einem Workshop zu den Novellen der kirchlichen Datenschutzgesetze dabei. (10. bis 12. September 2025 in Hannover, ab 890 Euro)
• Für JHD|Bildung biete ich wieder Online-Seminare an. Am 9. Juli 2025, 9.30–11.30 Uhr, geht es um KI-Kompetenz (15 Euro, Anmeldeschluss 25. Juni 2025), am 8. Oktober 2025, 16.30–19 Uhr gibt es das Seminar zu Bildrechten (20 Euro, Anmeldeschluss 24. September 2025).

Auf Artikel 91

• –

Aus der Welt

• Im aktuellen Tätigkeitsbericht des LDA Bayern für 2024 geht es um die Mitwirkung des Betriebsrats bei Auskunftsersuchen: Da der Betriebsrat Teil der verantwortlichen Stelle ist, ist die notwendig. Weil aber die Arbeitgeberseite keinen Durchgriff und keinen Einblick hat, ist das schwierig. Im Bericht wird skizziert, wie dieses Problem gelöst werden kann: »Eine praktikable Möglichkeit, einem Auskunftsersuchen vollumfänglich nachzukommen ist es aus hiesiger Sicht, wenn entweder der Betriebsrat selbst der betroffenen Person die entsprechende (Teil-) Auskunft zur Verfügung stellt oder wenn die oder der Datenschutzbeauftragte eingebunden wird. […] Die oder der Datenschutzbeauftragte ist […] nicht für ein „Lager“ beratend und unterstützend tätig, sondern kann ggf. auch als quasi neutrale vertrauensvolle Stelle innerhalb des Verantwortlichen agieren, ggf. die (Teil-)Auskünfte zusammenführen und diese an die betroffene Person versenden.« Im kirchlichen Arbeitsrecht kann das genauso gehandhabt werden; im evangelischen Arbeitsrecht entspricht § 79a BetrVG zum Datenschutz im Betriebsrat § 22 Abs. 3 MVG-EKD, in der katholischen MAVO fehlt das Äquivalent zwar (noch), aber auch hier ist es herrschende Meinung, dass die MAV keine eigene verantwortliche Stelle ist und die Problematik analog dem BetrVG gelöst werden kann und muss.
• Ob man’s will oder nicht: KI-Anwendungen werden in jeder Organisation verwendet, entweder mit Plan oder als Schatten-IT. Daher sollte man besser rechtzeitig eine KI-Richtlinie aufstellen. Bei den Datenschutz-Notizen zeigt Sven Venzke-Caprarese, wie das geht. Für eine KI-Richtlinie im Unternehmen wurde ein Konzernbetriebsrat im vergangenen Jahr für den deutschen Betriebsrätepreis nominiert.

Kirchenamtliches

• Bistum Würzburg – mehrere relevante Einträge im aktuellen Amtsblatt
  • Ordnung über die Führung von Personalakten und den Einsatz automatisierter Verfahren bei der Verarbeitung personenbezogener Daten der Beschäftigten der Diözese Würzburg KdöR und der Beschäf- tigten der kirchlichen Rechtsträger im verfasst-kirchli chen Bereich, die der bischöflichen Gesetzgebungsgewalt unterliegen (BeschPersAO)
  • Ordnung zum Umgang mit Aufzeichnungen der Verschlusssachenregistratur im Bischöflichen Ordinariat Würzburg
  • Dienstanweisung zur Benutzung dienstlicher E-Mail-Adressen