Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung. Über den Newsletter gibt es außerdem Zugang zur Artikel-91-Signal-Gruppe und zu den digitalen Datenschutz-Stammtischen.

Die Woche im kirchlichen Datenschutz

Krankenhäuser schwerpunktgeprüft, Verwaltung kommt

Der BfD EKD hat den Abschlussbericht und den Fragebogen zu seiner Prüfung von evangelischen Krankenhäusern veröffentlicht. Grundsätzlich fällt das Fazit der Prüfung der 20 zufällig ausgewählten Häuser positiv aus; in der ersten Erhebung (zu der es auch einen Zwischenbericht gab) wurden nach einem Ampelsystem etwa die Hälfte der Einrichtungen als grün eingeordnet, etwa ein Sechstel rot und der Rest gelb. Gelbe und rote Einrichtungen wurden vertieft geprüft, stichprobenhaft auch vor Ort.

Ein Schwerpunkt des Abschlussberichts liegt auf Hinweisen zu Krankenhausinformationssystemen. Ansonsten gibt es viele Klassiker (Löschkonzepte sind weiterhin der Endgegner im Datenschutzmanagement, wo es keine gesetzlich geregelte Datenweitergabe an die Krankenhausseelsorge gibt, wird man auf Einwilligungen zurückgreifen müssen), aber auch überraschende Nebensätze: So erfährt man etwa, dass der BfD EKD anscheinend die Auffassung vertritt, dass juristische Personen als örtlich Beauftragte bestellt werden können. Jedenfalls wird kommentarlos bei der Pflicht zur Bestellung einer Vertretung für den örtlich Beauftragten ergänzt: »Diese Verpflichtung besteht auch, wenn eine Firma als externer Datenschutzbeauftragter bestellt ist.«

Am Schluss gibt es einen Ausblick: Die nächste Schwerpunktprüfung findet in diesem und dem kommenden Jahr im Bereich der kirchlichen Verwaltung mit einem Schwerpunkt auf dem Umgang mit Meldedaten statt.

KI in der EKKW

Die Evangelische Kirche von Kurhessen-Waldeck hat eine Leitlinie zum Einsatz Künstlicher Intelligenz vorgestellt. Der Einsatz von KI-Systemen in der Kirche soll von sieben Leitsätzen geprägt sein:

1. Wir wahren die Würde des Menschen.
2. Wir ermöglichen allen haupt-, neben- und ehrenamtlichen Mitarbeitenden in der EKKW die Nutzung von KI.
3. Wir ermöglichen es den Bereichen zu prüfen, ob ihre Prozesse durch KI effizienter werden.
4. Wir integrieren KI in Bildungsprozesse und schulen dafür.
5. Wir nutzen interne KI-Lösungen oder für uns angepasste KI-Plattformen.
6. Wir tragen Verantwortung für die Veröffentlichung von KI-generierten Beiträgen und dafür, wie wir mit unseren Eingaben und Beiträgen in KI-Anwendungen das Bild der Kirche beeinflussen.
7. Es ist unser Auftrag, schädliche Auswirkungen von KI wahrzunehmen und zu benennen. Wo nötig, intervenieren wir aus christlicher Perspektive.

Die Leitsätze werden für die Bereiche Recht und Datenschutz, Kommunikation, Bildung und Verkündigung konkretisiert. Mit sieben Seiten ist die Leitlinie kompakt, sehr praxisorientiert und eignet sich als gute Grundlage, um eigene KI-Leitlinien zu erarbeiten.

Makeln im Herrgottswinkel

Noch ein Beispiel (und wie neulich in Berlin aus der Wohnungswirtschaft), wie besondere Kategorien ungewollt verarbeitet werden können, dieses Mal aus dem Tätigkeitsbericht der Datenschutzstelle Liechtenstein: die Veröffentlichung von Fotos von bewohnten Wohnungen durch Makler*innen. Neben der richtigen Rechtsgrundlage (in der Regel eine Einwilligung) ist auch auf das zu achten, was sich aus den Fotos ableiten lässt:

»Wichtig ist zudem, dass bei der Erstellung der Fotos darauf geachtet wird, dass aus den Fotos keine Rückschlüsse auf besondere Kategorien personenbezogener Daten gezogen werden können, sprich beispielsweise keine religiösen Gegenstände abgebildet sind. Dies wäre nur mit einer zusätzlichen und speziell dafür erteilten ausdrücklichen Einwilligung gemäss Art. 9 Abs. 2 Bst. a DSGVO zulässig.«

Orthodoxe Kirche klagt gegen Zwang zur Verletzung des Beichtgeheimnisses

Nach der katholischen Kirche wendet sich auch die orthodoxe Kirche in den USA gegen die Verpflichtung im Bundesstaat Washington, Missbrauch auch dann staatlichen Behörden zu melden, wenn das Wissen in der Beichte erlangt wurde. Die Kirche klagt gegen den Bundesstaat. »By piercing the sacramental confidentiality, the law deters believers from confessing certain sins—or even from going to confession at all—and so prevents them from mending their relationship with God«, heißt es in der Pressemitteilung.

IT-Sicherheit im Vatikanstaat

Die aktuelle Ausgabe der Zeitschrift des Vatikanstaats hat den Themenschwerpunkt IT-Sicherheit. Die habe höchste Priorität im Vatikanstaat, schreibt Regierungschefin Raffaella Petrini im Editorial: »The resources allocated to cybersecurity are signifcant because they aim to primarily protect and safeguard the image of the Pope and the daily use of devices by the State for his service.«

Ansonsten erfährt man nicht viel Kirchenspezifisches; stattdessen liegt der Fokus auf praktischen Tipps, wie Systeme gesichert werden und man sich vor Social Engineering schützt, wie man Ransomware vorbeugt und wie Smart-Home-Geräte gesichert werden.

In eigener Sache

• Bei den Praxistagen Datenschutz & Informationssicherheit in Gesundheits- und Sozialwesen, Kirche & Non-Profits von Althammer & Kill bin ich wieder mit einem Workshop zu den Novellen der kirchlichen Datenschutzgesetze dabei. (10. bis 12. September 2025 in Hannover, ab 890 Euro)
• Für JHD|Bildung biete ich wieder Online-Seminare an. Am 9. Juli 2025, 9.30–11.30 Uhr, geht es um KI-Kompetenz (15 Euro, Anmeldeschluss 25. Juni 2025), am 8. Oktober 2025, 16.30–19 Uhr gibt es das Seminar zu Bildrechten (20 Euro, Anmeldeschluss 24. September 2025).

Auf Artikel 91

• –

Aus der Welt

• Das berechtigte Interesse ist das Allzweckwerkzeug unter den Rechtsgrundlagen. Die Anwendung ist aber anspruchsvoll. Carlo Piltz fasst die Rechtsprechung und Aufsichtspositionen zusammen. Zentral ist, dass eine Interessenabwägung so konkret wie möglich in Datenschutzhinweisen benannt werden muss. Und zwar rechtzeitig: »Ein Nachschieben dieser Information scheint aufgrund des Wortlauts von Art. 13 Abs. 1 DSGVO („zum Zeitpunkt der Erhebung dieser Daten“) wohl nicht möglich«, so Piltz – Gleiches gilt fürs KDG und seit der Reform auch fürs DSG-EKD.
• Was alles besondere Kategorien darstellt, wird immer weiter gefasst. Die norwegische Datenschutzaufsicht zieht die Definition so weit, dass bereits Daten über den Besuch einer Webseite, die sich mit spezifischen medizinischen Problemen befasst, dazu gehören: »if a user visited pages about a specific health condition, it was likely that they suffered from it«, fasst der GDPR-Hub die Argumentation zusammen. Vergleichbare Argumente ließe sich bei allen besonderen Kategorien formulieren, also auch Informationen über religiöse Überzeugungen.

Kirchenamtliches

• KDSA Ost: Datenschutzverletzung im Bewerbungsverfahren – abgelehnter Jurist fordert Schadenersatz
• EKKW: Leitlinie zum Umgang mit Künstlicher Intelligenz (KI) in der Evangelischen Kirche von Kurhessen-Waldeck
• Evangelisch-reformierte Kirche
  • Kirchengesetz über die Bereitstellung digitaler Dienste und die digitale Kommunikation (Digitalgesetz)
  • Verordnung zur Ergänzung und Durchführung datenschutzrechtlicher Vorschriften 2025
• BfD EKD: Abschlussbericht zur Schwerpunktprüfung in evangelischen Krankenhäusern