Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung. Über den Newsletter gibt es außerdem Zugang zur Artikel-91-Signal-Gruppe und zu den digitalen Datenschutz-Stammtischen.

Die Woche im kirchlichen Datenschutz

Oberste Direktive Aufarbeitung

Bei der Pressekonferenz des Bistums zur Würzburger Missbrauchsstudie habe ich nachgefragt, ob man dort eine besonders strikte Datenschutz-Compliance betreibe, nachdem in der Studie von Problemen durch geschwärzte Akten berichtet wurde. Die betriebliche Datenschutzbeauftragte der Diözese sagte in der Pressekonferenz, dass es die oberste Direktive vom Bischof persönlich gewesen sei, alles, was datenschutzrechtlich vertretbar sei, für die Aufarbeitung zur Verfügung zu stellen. Trotz der erlassenenen Aufarbeitungsordnung sei man aber an datenschutzrechtliche Grenzen gestoßen, bei denen es nicht ohne Schwärzung gegangen sei.

Eine besondere Herausforderung ist die Konstruktion, dass die Studie von der Unabhängigen Aufarbeitungskommission und der von ihr ausgewählten Kanzlei verantwortet wird. Dadurch ist seitens des Bistums schwer möglich, die Erforderlichkeit zu prüfen, nach der sich bemisst, ob und wie Daten weitergegeben werden. Die Probleme mit der Münsteraner Aufarbeitungsstudie hatten für die Würzburger Studie keine Auswirkungen: Anders als in Münster gibt es mit der Sachakteneinsichtsordnung eine Rechtsgrundlage für die Verwendung von Unterlagen für die Aufarbeitung.

Evangelikale Verarbeitungen und Verantwortlichkeiten

Die evangelikale englische Rechtsanwaltskanzlei Edward Connor Solicitors hat auf Grundlage der UK GDPR Verarbeitungssituationen im Kontext von Gottesdienst und Gebet zusammengestellt. Gut gelungen ist dabei die Abgrenzung der Verantwortlichkeiten zwischen Gemeinde und Gemeindemitgliedern etwa bei Messenger-Gruppen. (Wobei man angesichts der engen Auslegung durch den EuGH zumindest unter der DSGVO durchaus bezweifeln kann, dass private Gebetsgruppen unter die Haushaltsausnahme fallen – in die Verantwortlichkeit der Gemeinde fallen sie aber in der Regel tatsächlich nicht.)

Schön ist, dass Verarbeitungssituationen im Blick sind, die spezifisch für die Spiritualität der Mandant*innen der Kanzlei sind, nämlich Gebetsanliegen (das Thema habe ich neulich auch behandelt), auch für nicht-digitale Gebetsanliegen):

»If an individual is texting or sending a message via WhatsApp to a group, then it’s their decision to share their data within that group. Also, if they have emailed you to ask you to share a prayer request (relating to them or a child they have parental responsibility for) with the church, they are thereby giving consent for that information to be shared.«

(Die Kanzlei bietet auch eine GDPR-Arbeitshilfe für Gemeinden an. Die konnte ich mir allerdings nicht herunterladen, weil man dazu das Glaubensbekenntnis (!) der Kanzlei bestätigen muss. Aufgrund von Differenzen unter anderem beim Eucharistieverständnis war mir das nicht möglich.)

Chinesische Spyware tarnt sich als religiöse Apps

Das britische National Cyber Security Centre hat zusammen mit internationalen Diensten, darunter dem deutschen Verfassungsschutz und dem BND, eine Studie über chinesische Spyware angefertigt, mit der zivilgesellschaftliche Akteure der Uiguren, aus Taiwan und Tibet überwacht werden. Im Fokus der Spyware-Programme Badbazaar und Moonshine stehen demnach unter anderem uigurische Muslime und die Falun-Gong-Bewegung. Moonshine wurde laut dem Bericht unter anderem als vermeintliche Koran-App und tibetanische Gebets-App verbreitet.

In eigener Sache

• Beim Evangelischen Kirchentag gibt es Gesprächsrunden am Stand der evangelischen Datenschutzaufsicht. Ich bin am Samstag, 3. Mai 2025, 12.15–13 Uhr im Gespräch mit dem BfD EKD zum Thema Social Media.
• Bei den Praxistagen Datenschutz & Informationssicherheit in Gesundheits- und Sozialwesen, Kirche & Non-Profits von Althammer & Kill bin ich wieder mit einem Workshop zu den Novellen der kirchlichen Datenschutzgesetze dabei. (10. bis 12. September 2025 in Hannover, ab 890 Euro)
• Für JHD|Bildung biete ich wieder Online-Seminare an. Am 9. Juli 2025, 9.30–11.30 Uhr, geht es um KI-Kompetenz (15 Euro, Anmeldeschluss 25. Juni 2025), am 8. Oktober 2025, 16.30–19 Uhr gibt es das Seminar zu Bildrechten (20 Euro, Anmeldeschluss 24. September 2025).

Auf Artikel 91

• Das Kunsturheberrechtsgesetz im kirchlichen Datenschutz

Aus der Welt

• Diese Woche ging’s in der Sendung mit der Maus unter anderem um Cloud-Computing. Neben Einblicken in die Zutrittskontrolle zum Rechenzentrum gibt es auch ein schönes Beispiel für einen respektvollen und souveränen Umgang mit unterschiedlichen Privatsphärebedürfnissen: Wenn ungefähr bei Minute 8.29 André seine Besichtigung des Rechenzentrums beginnt, stellen sich seine Begleiter*innen als »die Mareike, Holger und der Sicherheitsmann« vor. Dass der Sicherheitsmann seinen Namen nicht nennen will, ist völlig in Ordnung und bleibt unhinterfragt. So einfach kann’s gehen.
• Überraschung: Apps zur Überwachung von Kindern legen nicht sonderlich viel Wert auf Datenschutz, hat die St. Pöltener Studie »Surveillance Disguised as Protection« ergeben. Insbesondere Apps, die nicht über den Appstore installiert werden, sind hochproblematisch: »[M]ost analysed apps fail to meet basic safety-by-design principles despite handling sensitive and personally identifiable children’s data. As such, the studied apps cannot be considered “ethical” parental control, as the level of surveillance significantly surpasses that of conventional, in-store options. The erosion of children’s independence, agency and trust facilitated by sideloaded apps is a grave concern.« (Stiftung Warentest fasst die Studie zusammen.)

Kirchenamtliches

• EKD: Rechtsverordnung zur Änderung kirchenmitgliedschaftsrechtlicher Rechtsverordnungen