Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung. Über den Newsletter gibt es außerdem Zugang zur Artikel-91-Signal-Gruppe und zu den digitalen Datenschutz-Stammtischen.
Die Woche im kirchlichen Datenschutz
Datenschutz und MAV
In der aktuellen Ausgabe der ZMV sind zwei Aufsätze enthalten, die Pflichtlektüre für jede Mitarbeitervertretung sein sollten.
Norbert Gescher und Adrian Kalb befassen sich mit Regelungsabreden zur IT-Ausstattung und zum Datenschutz. Besonders nützlich ist, dass ein Muster für eine Regelungsabrede zur Sicherstellung und Einhaltung datenschutzrechtlicher Vorschriften zur Verfügung gestellt wird.
Matthias Ullrich äußert sich zur Zustimmung der Mitarbeitervertretung bei der Bestellung des Datenschutzbeauftragten. Er kommt – wie es schon der Wortlaut von MAVO, KDG, MVG-EKD und DSG-EKD nahelegen, da es dort nicht geregelt ist – zum Schluss, dass derzeit kein Mitbestimmungsrecht besteht. Lediglich bei der Einstellung besteht ein eingeschränktes Mitbestimmungsrecht. Hier könne die Einstellung verweigert werden, wenn die nötige Fachkenntnis fehle. Ullrich hält es aber für sinnvoll, ein generelles Mitbestimmungsrecht einzuführen, da das das Vertrauen in bDSB erhöhen würde und die Gefahr einer einseitigen Tätigkeit zulasten der MAV reduziert werde.
Anonymisierung in der Aufarbeitung im Würzburger Gutachten
In dieser Woche ist das Würzburger Missbrauchsgutachten erschienen. Auf katholisch.de habe ich es mir genauer angeschaut: »Zeitgeist formt Missbrauch – zu jeder Zeit«. Was den Datenschutz angeht, sind vor allem zwei Aspekte interessant.
Zum einen geht es um die Frage, auf welcher Rechtsgrundlage das Bistum Akten an die beauftragte Kanzlei weitergeben kann und ob das ohne Anonymisierung möglich ist. Nach einigen Diskussionen habe man sich darauf geeinigt, § 54 KDG zur Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken dahingehend auszulegen, dass das Missbrauchsgutachten unter den Wissenschaftsbegriff fällt. Eine weitere Rechtsgrundlage stellt die Ordnung zur Sachakteneinsicht dar. Streit gab es vor allem darum, ob eine Anonymisierung einen unverhältnismäßigen Aufwand darstellt. Am Ende konnten die Akten ungeschwärzt eingesehen werden mit der Argumentation, die auch in einer (auszugsweise zitierten und ansonsten unveröffentlichten) FAQ zur Ordnung zur Sachakteneinsicht vertreten wird, dass bei großen Datenbeständen ein unverhältnismäßiger Aufwand angenommen werden kann.
Zum zweiten erfährt man, dass der Bescheid des KDSZ Münster zur mangelnden Anonymisierung von Fallschilderungen in der Münsteraner Missbrauchsstudie ausdrücklich aufgegriffen wurde und Konsequenzen für die Arbeit der Würzburger Gutachter*innen hatte. Nach Bekanntwerden des Bescheids hielt das Bistum zunächst noch nicht herausgegebene Akten zur Prüfung der Sachlage zurück, um später doch noch die Akten in 8 von 16 Fällen herauszugeben. Leider erfährt man zur rechtlichen Bewertung recht wenig; zurückgehalten wurden Akten, die nicht in den Berichtszeitraum fallen, Akten, die nur Beschuldigungen umfassen, und Akten, bei denen Betroffene nicht in die Weitergabe eingewilligt haben.
Besondere Kategorien und Fotos
Ob mit der DSGVO das Ende der Straßenfotografie kommt, wurde nach ihrem Inkrafttreten kontrovers diskutiert, Konsequenzen für Straßenfotograf*innen scheint es aber kaum zu geben. In Österreich hat die Datenschutzbehörde nun aber einen Fall entschieden, bei dem sich ein Fotograf auf künstlerische Zwecke berufen hat, um Fotos anzufertigen und zu veröffentlichen – erfolglos. Die Aufsicht räumt ein, dass eine Einwilligung vorab »die Kunstform der Straßenfotographie weitgehend verunmöglichen würde, weil diese in erster Linie auf Spontaneität und beruht und darauf, dass die abgebildeten Personen unbemerkt fotografiert werden«. Es wäre dem Fotografen aber zumutbar gewesen, wenigstens nach Anfertigung des Fotos die Einwilligung einzuholen.
Besonders interessant ist, dass eines der Bilder, um die es geht, als religionsbezogene Daten eingeordnet wurde. Das fragliche Bild wird so beschrieben: »Auf diesem Foto geht unzweifelhaft auch die (jüdische) Religionszugehörigkeit der beiden dargestellten Personen und insbesondere des dargestellten Kindes, z.B. aufgrund der Frisur und der Kippa (jüdische Kopfbedeckung), hervor.« Einen Erlaubnistatbestand nach Art. 9 DSGVO verlangte die Behörde nicht, weil sie den Anwendungsbereich der Bereichsausnahme für künstlerische Zwecke eröffnet sah (§ 9 Abs. 2 DSG), dennoch legte sie für die Abwägung die weite Auslegung des EuGH zu besonderen Kategorien zugrunde, nach dem schon eine mittelbare Ableitbarkeit genügt, um Daten als sensibel verarbeiten zu müssen: »Somit unterliegen auch diese Fotos einer höheren Schutzwürdigkeit und daher einem erhöhten Interesse der Betroffenen, dass ihr Bild nicht verarbeitet und insbesondere nicht ohne ihre Einwilligung veröffentlicht wird, zumal gerade Angehörige des jüdischen Glaubens erhöhten Bedrohungen ausgesetzt sein können.«
Grundsätzlich wirkt die Entscheidung konsequent und mit Augenmaß gefasst; Straßenfotografie ist weiter möglich, aber nicht schrankenlos. Es zeigt sich aber, zu welchen ausufernden Wirkungen die EuGH-Rechtsprechung führt. Streng genommen ist damit jedes Foto von Menschen unter die besonderen Kategorien zu fassen, weil jeder Mensch eine »rassische oder ethnische Herkunft« hat. Selbst wenn man das ausblendet und besondere Kategorien nur annimmt, wo Menschen vom statistischen Mittel der Gesellschaft abweichen, droht das, die Vielfalt der Gesellschaft unsichtbar zu machen, wenn jedes Kopftuch, jede Kippa, jeder Römerkragen, jede Prothese, jeder Rollstuhl und jede nicht-weiße Hautfarbe schon als ableitbares sensibles personenbezogenes Datum aufgefasst wird.
Tagung der betrieblichen Datenschutzbeauftragten der Diözesen
Ende März haben sich in Siegburg die betrieblichen Datenschutzbeauftragten der Diözesen zu einer zweitägigen Tagung getroffen. Das Sachverständigenbüro Mülot, das die Tagung mit organisiert hat, berichtet ausführlich über die Inhalte, ohne allzu sehr ins Detail zu gehen. Unter anderem gab es einen Überblick über die Reform des KDG.
Datenschutz in der Spur des Evangeliums
Bei y-nachten verknüpft Alexandra Palkowitsch die Arbeiten von Shoshana Zuboff zum Überwachungskapitalismus mit der christlichen Sozialethik. Es gebe zwar keinen biblischen Vers zum Thema Datenschutz: »Wenn wir jedoch davon ausgehen, dass der Einsatz für Gerechtigkeit ein dem Evangelium entspringender Grundauftrag christlichen Handelns ist, die rechtsstaatliche Demokratie aus christlich-sozialethischer Perspektive gegenwärtig die einzige politische Ordnung ist, die diesem Gerechtigkeitsanspruch entspricht, und mit Zuboff der Widerstand gegen großflächiges Datensammeln der Schlüssel für den Erhalt der Demokratie ist, dann wird Datenschutz als kritisch-konstruktives Engagement für die Demokratie Teil christlicher Praxis.«
Vorlagefragen zum Recht auf Löschung aus Taufbüchern
Der EuGH befasst sich mit den Vorlagefragen aus Belgien zum Streit um die Löschung aus dem Taufregister. In der Gerichtsdatenbank wurden nun die Vorlagefragen veröffentlicht, so dass nun neben meiner inoffiziellen auch die amtliche Übersetzung vorliegt und das EuGH-Aktenzeichen C-12/25 bekannt ist. Termine sind auf der Übersichtsseite zu dem Fall noch nicht vermerkt.
In eigener Sache
- Beim Evangelischen Kirchentag gibt es Gesprächsrunden am Stand der evangelischen Datenschutzaufsicht. Ich bin am Samstag, 3. Mai 2025, 12.15–13 Uhr im Gespräch mit dem BfD EKD zum Thema Social Media.
- Bei den Praxistagen Datenschutz & Informationssicherheit in Gesundheits- und Sozialwesen, Kirche & Non-Profits von Althammer & Kill bin ich wieder mit einem Workshop zu den Novellen der kirchlichen Datenschutzgesetze dabei. (10. bis 12. September 2025 in Hannover, ab 890 Euro)
- Für JHD|Bildung biete ich wieder Online-Seminare an. Am 9. Juli 2025, 9.30–11.30 Uhr, geht es um KI-Kompetenz (15 Euro, Anmeldeschluss 25. Juni 2025), am 8. Oktober 2025, 16.30–19 Uhr gibt es das Seminar zu Bildrechten (20 Euro, Anmeldeschluss 24. September 2025).
Auf Artikel 91
Aus der Welt
- Der Guardian hat herausgefunden, wie es passieren konnte, dass der nationale Sicherheitsberater Mike Waltz den Journalisten Jeffrey Goldberg in eine Signal-Gruppe zum US-amerikanischen Luftschlag auf Stellungen der Huthi-Miliz im Jemen eingeladen hat: »According to the White House, the number was erroneously saved during a “contact suggestion update” by Waltz’s iPhone, which one person described as the function where an iPhone algorithm adds a previously unknown number to an existing contact that it detects may be related.« Der Fall und seine ausführliche Beschreibung zeigen, warum es nicht genügt, ein sicheres Werkzeug wie Signal einzusetzen, wenn nicht der gesamte Kontext der Verarbeitung berücksichtigt wird.
- Eine Änderungsschneiderei hat eine Datenschutztonne. Warum? Die Geschichte dahinter gibt es bei Thomas Werning im Blog nachzulesen. Sein Fazit: »Wenn wir Datenschutz auf diese Weise betrachten, wird deutlich, dass Datenschutz und verantwortungsvoller Umgang mit Daten Hand in Hand mit der Würde und dem Respekt für Menschen gehen, deren persönliche Daten uns anvertraut werden.«