Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung. Über den Newsletter gibt es außerdem Zugang zur Artikel-91-Signal-Gruppe und zu den digitalen Datenschutz-Stammtischen.
Die Woche im kirchlichen Datenschutz
KDG-Reform auf Kurs
Für katholisch.de habe ich bei der Deutschen Bischofskonferenz nachgefragt, wie es um aktuelle kirchliche Gesetzgebungsverfahren steht. Im Sommer sollen die Rückmeldungen zum Anhörungsentwurf des KDG zusammengeführt werden, sagte mir ein Sprecher: »Es sind zahlreiche, teilweise auch durchaus gegenläufige Rückmeldungen aus den Diözesen, aus den Bereichen Deutscher Caritasverband, Deutsche Ordensobernkonferenz sowie weiterer angefragter Stellen und Einrichtungen eingegangen.« Mit dem Sommertermin könnte damit der Plan gehalten werden, 2026 ein neues katholisches Datenschutzgesetz zu haben.
Interessant ist, dass sich die DBK auch schon auf ein mögliches Beschäftigtendatenschutzgesetz vorbereitet: Eine Arbeitsgruppe zum Beschäftigtendatenschutz nach dem Verfahren der Ordnung über das Zustandekommen von arbeitsrechtlichen Regelungen auf der Ebene der DBK wurde eingesetzt, wird aber erst die Arbeit aufnehmen, wenn klar ist, wie es bei dem Thema mit der neuen Regierung weitergeht. Die Einrichtung stand damit wohl im Kontext des Entwurfs des Beschäftigtendatengesetzes, das für die Kirchen nicht gelten sollte.
Weitere Gesetzgebungsvorhaben sind die Novelle der Kirchlichen Archivordnung (verzögert sich), der Mitarbeitervertretungsordnung (Ende Juni soll der Entwurf kommen) und eine „kritische Durchsicht“ der deutschen Übersetzung des Codex Iuris Canonici.
Aufarbeitung ohne Einwilligung – Münster unterliegt beim IDSG
Das Bistum Münster ist eine der wenigen Diözesen ohne eine Rechtsgrundlage, die die Aufarbeitung auf eine rechtliche Grundlage stellt. Das scheint ihm nun endgültig auf die Füße gefallen zu sein: Auf die Beschwerde eines Betroffenen hin, der durch die Schilderung des eigenen Falls in der Münsteraner Aufarbeitungsstudie retraumatisiert wurde, hatte das KDSZ Dortmund einen Datenschutzverstoß festgestellt: Die Anonymisierung müsse auch die individuelle Fallschilderung umfassen, nicht nur Namen und Adresse. Gegen den Bescheid der Aufsicht legte das Bistum Rechtsmittel ein. Nun hat das IDSG entschieden, teilt die Diözese mit. Die Entscheidung ist rechtskräftig, aber noch nicht veröffentlicht.
Für künftige Forschungsvorhaben im Kontext der Aufarbeitung sexuellen Missbrauchs und auch für die Zusammenarbeit mit der Unabhängigen Aufarbeitungskommission bedeute dies nach Einschätzung des Bistums, »dass die Perspektive der Betroffenen in der Abwägung zum Aufarbeitungsinteresse künftig noch stärker handlungsleitend sein muss«. Mit Blick auf die anderswo bestehenden Aufarbeitungsnormen hatten Betroffene bisher immer für eine Einwilligung statt einer die Einwilligung ersetzende Rechtsgrundlage für die Verwendung ihrer Daten zur Aufarbeitung plädiert.
Bei der Landesdatenschutzaufsicht wurde der Fall auf Seiten der Universität Münster nicht weiter bearbeitet, nachdem die betroffene Person ihre Beschwerde zurückgezogen hat, teilte man mir mit.
FAQ zu Unabhängigen Regionalen Aufarbeitungskommissionen
Der BfD EKD hat eine FAQ-Liste zu den evangelischen Aufarbeitungskommissionen veröffentlicht, die nun ihre Arbeit aufnehmen. (Hintergründe zum aktuellen Stand der URAKs gibt es in der Eule) Wie die katholischen Aufsichten für die katholischen Aufarbeitungskommissionen geht die evangelische Aufsicht davon aus, dass die URAKs eigenständige datenschutzrechtliche Verantwortliche sind.
Die katholische Stellungnahme hat nur knapp und allgemein die Bestellung von betrieblichen Datenschutzbeauftragten angesprochen, ohne sich explizit zur Bestellpflicht zu äußern. Hier ist der BfD EKD konkreter. URAKs müssen örtlich Beauftragte bestellen: »Diese Verpflichtung ergibt sich für die URAKs daraus, dass die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht.«
Aufsichts-Pingpong bei Mitarbeiterexess
Im Tätigkeitsbericht des Bremischen Landesdatenschutzbeauftragten für 2024 findet sich ein Fall aus dem Zuständigkeitsbereich der evangelischen Aufsicht, an dem sich die Zuständigkeit bei Mitarbeiterexessen in kirchlichen Einrichtungen zeigen lässt: Es geht um einen TikTok-Livestream aus einer evangelischen Pflegeeinrichtung. Die Landesdatenschutzaufsicht hatte zunächst initiativ geprüft, ob es Streams aus bremischen Einrichtungen gibt.
Tatsächlich fand sie einen: »Die konkrete Pflegeeinrichtung, aus der diese Streams erfolgten, fiel unter die Zuständigkeit der Aufsichtsbehörde der Evangelischen Kirche in Deutschland. Der Vorgang wurde an die zuständige Aufsichtsbehörde abgegeben und es bleibt abzuwarten, ob bei der Bearbeitung ein sogenannter Mitarbeiterexess festgestellt wird, also eine Verarbeitung personenbezogener Daten in einer Art und Weise, die nicht in dem Arbeitsvertrag vorgegeben ist.« Sollte es sich um einen Mitarbeiterexess handeln, sei die staatliche Aufsichtsbehörde zuständig, in deren Einzugsgebiet der Mitarbeiter wohnt.
Im aktuellen Hamburger Tätigkeitsbericht taucht ebenfalls ein Fall auf, bei dem die staatliche Aufsicht auf eine Person bei einem kirchlichen Verantwortlichen durchgegriffen hat: »Ein Betreuer einer Kirchengemeinde nahm heimlich Fotos weiblicher Mitglieder der Gemeinde auf und wandelte diese mittels Bildbearbeitung in pornographische Bilder um, indem er Köpfe der Personen in pornographische Aufnahmen eingefügte. Geschädigte waren sowohl volljährige Betreuerinnen als auch betreute Jugendliche.« Hier wurde eine Geldbuße verhängt.
Rundfunkdatenschutzbeauftragter drängt weiter auf bessere Beteiligung an der Datenschutzkonferenz
Der Rundfunkdatenschutzbeauftragte versucht schon länger, eine bessere Beteiligung der spezifischen Aufsichten – also der Aufsichten von Medien und Kirchen nach Art. 85 und 91 DSGVO – an der Datenschutzkonferenz durchzusetzen. Im nun erschienenen Tätigkeitsbericht für 2024 geht es wieder darum. Ein wenig Bewegung scheint es zu geben: »Der Hessische Landesdatenschutzbeauftragte als Vorsitzender der DSK im Berichtsjahr bestätigte, dass auch die „spezifischen“ Aufsichtsbehörden solche im Sinne der DSGVO seien und die Arbeitskreise seitens der DSK aufgerufen seien, ihre Arbeitsweisen zu überprüfen.« Im Bericht wird bemängelt, dass die Mitarbeit in den Ausschüssen dadurch behindert wird, dass nur die Präsenzsitzungen für die spezifischen Aufsichten zugänglich sind – von der Arbeit dazwischen und schon vom E-Mail-Verteiler sind sie ausgeschlossen.
Auf Mastodon hat das KDSZ Bayern unterdessen darüber informiert, dass am Mittwoch das Treffen der DSK mit den spezifischen Aufsichten stattfand. Auf der Tagesordnung: »neben Erfahrungen aus den jeweiligen Arbeitsbereichen auch heiße Themen wie MS365 und Werbung von öffentlichen Stellen in den sozialen Netzwerken«
In eigener Sache
- Beim Evangelischen Kirchentag gibt es Gesprächsrunden am Stand der evangelischen Datenschutzaufsicht. Ich bin am Samstag, 3. Mai 2025, 12.15–13 Uhr im Gespräch mit dem BfD EKD zum Thema Social Media.
- Bei den Praxistagen Datenschutz & Informationssicherheit in Gesundheits- und Sozialwesen, Kirche & Non-Profits von Althammer & Kill bin ich wieder mit einem Workshop zu den Novellen der kirchlichen Datenschutzgesetze dabei. (10. bis 12. September 2025 in Hannover, ab 890 Euro)
- Für JHD|Bildung biete ich wieder Online-Seminare an. Am 9. Juli 2025, 9.30–11.30 Uhr, geht es um KI-Kompetenz (15 Euro, Anmeldeschluss 25. Juni 2025), am 8. Oktober 2025, 16.30–19 Uhr gibt es das Seminar zu Bildrechten (20 Euro, Anmeldeschluss 24. September 2025).
Auf Artikel 91
Aus der Welt
- Ebenfalls aus dem Bremischen Tätigkeitsbericht ist ein Fall aus einem Verein, der von hoher praktischer Relevanz ist: Ist eine Anwesenheitsliste einer Mitgliederversammlung eines Vereins als an alle Mitglieder versandter Protokollanhang zulässig? Die Ausführungen schlüsseln Rechtsgrundlagen und Fallkonstellationen sehr hilfreich für die Praxis auf. Im vorliegenden Fall gab es keine besondere Schutzbedürftigkeit und die Liste umfasste nur Namen, keine Kontaktdaten – darin sah die Aufsicht kein Problem.
- Im aktuellen Nomos-Newsletter »Daten und Informationsrecht« wird die Entscheidung des EuGH zur Zulässigkeit der Verarbeitung personenbezogener Daten in Betriebsvereinbarungen ausführlich besprochen – das ist auch für MAVen hilfreich, die Dienstvereinbarungen zur Datenverarbeitung abschließen.
Kirchenamtliches
- Evangelische Landeskirche in Württemberg: Verordnung des Oberkirchenrats zur Änderung der Kirchenregisterverordnung
- Erzbistum Freibrg: Gesetz zur Änderung des Gesetzes zur Regelung des Rechtsinstruments nach § 29 Gesetz über den Kirchlichen Datenschutz (KDG) im Bereich der Erzdiözese Freiburg (§ 29-KDG-Gesetz)
- BfD EKD: FAQs zu den URAKs veröffentlicht