Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung. Über den Newsletter gibt es außerdem Zugang zur Artikel-91-Signal-Gruppe und zu den digitalen Datenschutz-Stammtischen.

Die Woche im kirchlichen Datenschutz

Neues DSG-EKD in Kraft

Das neue DSG-EKD gilt ab 1. Mai. Hier gab’s schon eine Last-Minute-Todo-Liste für die Umstellung. Einen kompakten Überblick gibt es auch bei den Datenschutz-Notizen.

Der BfD EKD kündigt an, dass die Materialien in seiner Infothek Schritt für Schritt auf die neue Rechtslage angepasst werden. Zuerst sollen die Handreichung zur Umsetzung von Informationspflichten und der Mustervertrag zur Auftragsverarbeitung aktualisiert werden. Bereits jetzt ist in der Infothek gekennzeichnet, wo schon die neue Rechtslage berücksichtigt wird.

Zentrale Verantwortlichkeit bei Essener katholischen Schulen

Das Bistum Essen hat ein Schuldatenschutzgesetz in Kraft gesetzt, das soweit ersichtlich gleichlautend mit dem in der vergangenen Woche erwähnten KDG-Schulen des Erzbistums Paderborn ist (möglicherweise ist also mit einem NRW-weiten Ausrollen des Gesetzes zu rechnen). Konsequenz ist, dass Schüler*innen auch in Essen nicht um ihre datenschutzrechtlichen Betroffenenrechte gebracht werden. (Wesentlicher Unterschied: Das Essener Gesetz kürzt sich ohne Bindestrich als »KDG Schulen« ab)

Anders als in Paderborn wurde in Essen aber gleich § 2 Abs. 1 KDG Schulen ausgefüllt. Dort wird geregelt, dass die Verantwortlichkeit für Datenverarbeitung in Schulen »durch gesonderte diözesane Bestimmung festgelegt« wird. In Essen kommt die dem Bischöflichen Generalvikar zu. Der große Vorteil ist, dass damit die Frage nach der Verantwortlichkeit für verwendete digitale Dienste und Geräte geklärt ist und nicht bei den einzelnen Schulen liegt, die dafür personell nicht qualifiziert aufgestellt sind – welche Schule hat schon Justiziar*innen und Datenschutzbeauftragte, die in der Lage sind, Kollaborationssoftware zu prüfen und datenschutzkonform einzusetzen, die noch dazu in der Regel zentral vorgegeben wird? Leider scheinen die staatlichen Aufsichtsbehörden auch bei vom Ministerium zentral beschafften IT-Lösungen regelmäßig von einer Verantwortlichkeit der einzelnen Schule und nicht von einer gemeinsamen Verantwortlichkeit auszugehen, mit der man das Ministerium besser in die Pflicht nehmen könnte.

Ökumenischer Datenschutztag berät über KDM

In Frankfurt haben sich die konfessionellen Datenschutzaufsichten zu ihrem Ökumenischen Datenschutztag getroffen. Über die Inhalte berichtet knapp auf Mastodon das KDSZ Bayern und etwas ausführlicher der BfD EKD auf seiner Webseite. Laut der evangelischen Aufsicht ging es um datenschutzrechtliche Fragen im Bereich von Aufarbeitung sexualisierter Gewalt, die evaluierten Datenschutzgesetze und die Weiterentwicklung des Standard-Datenschutzmodells (SDM) und den daraus resultierenden Anpassungen des Kirchlichen Datenschutzmodells (KDM). Letzteres ist insofern erfreulich, als das bei Vorstellung des KDM 2021 die veröffentlichte Version als »vorerst einmalige Ausgabe« bezeichnet wurde und eine kontinuierliche Überarbeitung nicht vorgesehen war.

Archivwürdig durch die Gnade des Alphabets

Die sächsische Landeskirche hat ihre Schriftgut- und Kassationsordnung geändert. Künftig sollen auch bestimmte Personalakten von vornherein als archivwürdig gelten. In der Norm heißt es etwas verhüllend, dass derartige Akten für die »Dokumentation des Lebens und Wirkens der Körperschaft« von Bedeutung sein können. Die sehr breite Festlegung, welche Personalakten zu archivieren sind, deutet aber eher darauf hin, dass man hier gegebenenfalls für die Aufarbeitung notwendiges Material bewahren will: In den Kirchgemeinden und Kirchenbezirken sollen etwa nicht nur die Akten leitender Beschäftigter, sondern gleich aller Kirchenmusiker*innen und Gemeindepädagog*innen ins Archiv, von den landeskirchlichen Bediensteten unter anderem aller ab Besoldungs- und Entgeltgruppe 13 sowie aller »Mitarbeitenden, deren Nachname mit den Anfangsbuchstaben A, M oder W beginnt«.

Tätigkeitsbericht der Datenschutzaufsicht Jehovas Zeugen 2021

Die Datenschutzaufsicht von Jehovas Zeugen veröffentlicht ihren Tätigkeitsbericht immer sehr spät; zwischenzeitlich habe ich sie daher etwas aus den Augen verloren. Irgendwann (laut archive.org) zwischen dem 5. Oktober 2024 und dem 25. Januar 2025 wurde aber der Tätigkeitsbericht für 2021 (!) veröffentlicht. Den Vorgängerbericht für 2020 hatte ich noch ausführlich besprochen.

Der aktuelle Bericht betrifft noch die Corona-Zeit, dementsprechend großen Stellenwert nehmen Beschwerden über »Zeugnisbriefe« als Mittel der Mission ein. Hier sieht die Aufsicht keine Verantwortlichkeit der Religionsgemeinschaft, sondern der einzelnen Gläubigen. Positiv aufgenommen wird die Entscheidung der österreichischen Datenschutzbehörde zu Betroffenenrechten bei Mitgliederdaten in einem verschlossenen Umschlag, der hier bereits vertieft analysiert wurde.

Elf Beschwerden konnten durch Einigung beigelegt werden, in vier Fällen kam es zu einer teilweisen Abhilfe, alle Verfahren konnten durch Bescheide oder gütliche Einigung beigelegt werden. Zwei Datenpannen wegen Einbrüchen wurden gemeldet.

In eigener Sache

• Beim Evangelischen Kirchentag gibt es Gesprächsrunden am Stand der evangelischen Datenschutzaufsicht. Ich bin am Samstag, 3. Mai 2025, 12.15–13 Uhr im Gespräch mit dem BfD EKD zum Thema Social Media.
• Bei den Praxistagen Datenschutz & Informationssicherheit in Gesundheits- und Sozialwesen, Kirche & Non-Profits von Althammer & Kill bin ich wieder mit einem Workshop zu den Novellen der kirchlichen Datenschutzgesetze dabei. (10. bis 12. September 2025 in Hannover, ab 890 Euro)
• Für JHD|Bildung biete ich wieder Online-Seminare an. Am 9. Juli 2025, 9.30–11.30 Uhr, geht es um KI-Kompetenz (15 Euro, Anmeldeschluss 25. Juni 2025), am 8. Oktober 2025, 16.30–19 Uhr gibt es das Seminar zu Bildrechten (20 Euro, Anmeldeschluss 24. September 2025).

Auf Artikel 91

• Das neue DSG-EKD tritt am 1. Mai in Kraft – das ist zu tun

Aus der Welt

• Die taz wurde am Tag der Bundestagswahl Opfer eines Cyberangriffs – die Spur führt nach Ungarn. Einige Details veröffentlicht die Zeitung nun, die technische wie politische Hintergründe erhellen.
• Creative-Commons-Lizenzen sind grundsätzlich sehr nutzungsfreundlich zu verwenden – aber im Detail gibt es doch einige Herausforderungen. Der erste Praxiskommentar zu dem freien Lizenzwerk ist jetzt open access erschienen. Einen Überblick gibt es bei irights.info. Ausführlich werden auch Fragen von Persönlichkeits- und Datenschutzrecht gewürdigt.

Kirchenamtliches

• Bistum Essen: Gesetz über den kirchlichen Datenschutz für die Verarbeitung personenbezogener Daten in den katholischen Schulen in freier Trägerschaft im Bistum Essen (KDG Schulen), Festlegung der datenschutzrechtlichen Verantwortlichkeit gemäß § 2 Abs. 1 des Gesetzes über den kirchlichen Datenschutz für die Verarbeitung personenbezogener Daten in den katholischen Schulen in freier Trägerschaft im Bistum Essen (KDG Schulen)
• Evangelisch-Lutherische Landeskirche Sachsens: Rechtsverordnung zur Änderung der Ordnung über die Verwaltung, Aufbewahrung, Aussonderung und Kassation von Schriftgut (Schriftgut- und Kassationsordnung)
• BfD EKD
  • Ökumenischer Datenschutztag in Frankfurt am Main
  • Evaluiertes EKD-Datenschutzgesetz tritt in Kraft