Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten – hier geht’s zur Newsletter-Anmeldung. Über den Newsletter gibt es außerdem Zugang zur Artikel-91-Signal-Gruppe und zu den digitalen Datenschutz-Stammtischen.
Die Woche im kirchlichen Datenschutz
Berechtigtes Interesse und Taufbücher
Bei der Kommission der EU-Bischofskonferenzen COMECE lag laut dem aktuellen Tätigkeitsbericht für 2024 wie im Vorjahr der Schwerpunkt auf dem berechtigten Interesse und der Frage der Löschung aus dem Taufbuch.
Erwähnt wird die Beteiligung beim mittlerweile abgeschlossenen EDSA-Konsultationsprozess zum berechtigten Interesse. Die Rückmeldung der COMECE ist online. Der Beitrag verbindet die beiden Themen und führt den dreistufigen Test (Prüfung des Interesses, Erforderlichkeit der Verarbeitung für das verfolgte Interesse, Abwägung) am Beispiel der Kirchenbücher durch.
Das berechtigte Interesse der Kirche an Taufbüchern sei klar: »In particular with regard to data processing related to its sacramental records, the Catholic Church and its structures are in a position to refer to their legitimate interest to know who has received sacraments, and therefore, also to know who belongs to the community/does not belong to it«. Das berechtigte Interesse der Kirche, dauerhafte Kirchenbücher zu führen, finde seine Legitimation in Grundrechten: Religions- und Gewissensfreiheit sowie Vereinigungsfreiheit: »When a fundamental right or freedom is expressed, a legitimate interest can be considered present.« Die Erforderlichkeit ergebe sich daraus, dass Taufbücher das einzige geeignete Werkzeug seien, um die Ziele zu erreichen: »In the absence of complete and accurate records of all persons who have been baptised, it would be impossible to operate the central Church principle that baptism – as well as other sacraments – may only be administered once; and to establish the status of a person vis-à-vis the Church community itself.« Die Abwägung hebt auf die gesicherte Aufbewahrung der Taufbücher ab, die Möglichkeit einer Ergänzung statt Löschung bei Kirchenaustritt sowie den Umstand, dass der Umgang der Kirche mit Taufbüchern den vernünftigen Erwartungen der betroffenen Personen entspricht.
Bei den Anmerkungen zum Entwurf der Richtlinien kritisiert die COMECE vor allem, dass der EDSA sehr niedrige Anforderungen an einen Widerruf stellt – in den endgültigen Richtlinien fand diese Kritik kein Gehör. Weiterhin verlangt der EDSA bei einem Widerruf bei berechtigten Interessen keine ausführliche Begründung.
Standards für Betroffenenbeteiligung und Datenschutz
Die neu veröffentlichten »Standards der Betroffenenbeteiligung im Kontext institutioneller Aufarbeitung sexualisierter Gewalt« befassen sich auch mit Fragen des Datenschutzes. (Offenlegung: Am Dialogprozess zur Entstehung der Standards war ich mit einem Vortrag und einem Workshop zum Spannungsfeld Datenschutz und kirchliche Aufarbeitungsnormen beteiligt.) Der Umgang mit personenbezogenen Daten in Aufarbeitungsprozessen muss demnach so ausgestaltet sein, dass die Rechte der Betroffenen geschützt und die Integrität des Prozesses gewährleistet wird: »Dazu zählen insbesondere das Recht auf Information, Beteiligung, Ak teneinsicht, Datenschutz, Beschwerde und gegebenenfalls rechtliche Unterstützung. Diese Rechte sollten schriftlich festgehalten und allen Beteiligten kommuniziert werden, um Verbindlichkeit zu schaffen und Machtasymmetrien abzubauen.«
Die Standards forden einen Zugang zu institutionellen Archiven: »Betroffene haben ein berechtigtes Interesse daran, Einsicht in sie betreffende Akten und Dokumente zu erhalten, um ihr eigenes Erleben nachvoll ziehen und aufarbeiten zu können. Institutionen müssen daher transparente und barrierearme Wege schaffen, wie Betroffene oder ihre Vertreter:innen Zugang zu relevanten Unterlagen erhalten können.« Schließlich sollen rechtliche Grundlagen eines Aufarbeitungsprozesses, insbesondere auch des Datenschutzes, in die Fortbildungen für Institutionsmiarbeitende aufgenommen werden:
»Diese müssen beispielsweise wissen, wie sie personenbezogene Daten von Betroffenen sicher und vertraulich behandeln, beziehungsweise wer sie entsprechend berät. Das umfasst sowohl die technische Absicherung als auch organisatori sche Abläufe: Informationen und Dokumentationen müssen so verwaltet werden, dass sie bei Personalwechsel nicht verlorengehen, aber auch nicht unbefugt einsehbar sind. Für Betroffene ist es essenziell, dass sie ihre Aussagen und Mitteilungen nicht mehrfach wiederholen müssen und ihre Daten jederzeit geschützt bleiben. Auch regelmäßige Datenschutzfortbildungen stärken das Bewusstsein für diese Verantwortung und helfen, Fehler zu vermeiden.«
Clearingstelle Medienkompetenz schließt
Vor einem Jahr wurde bekannt, dass die Deutsche Bischofskonferenz die Clearingstelle Medienkompetenz schließt. Die DBK teilt das nun auch offiziell mit und spricht von einer »Neuausrichtung des katholischen Engagements für Medienkompetenz«. Die Pressemitteilung ist voll des Lobes, angesichts dessen die Schließung umso unverständlicher wirkt. »Wirtschaftliche sowie standortgebundene Faktoren« hätten den Ausschlag gegeben, die Aufgaben »mit veränderten Schwerpunkten in der Katholischen Filmwerk GmbH« weiterzuführen.
Die Nachfolge tritt jedenfalls in große Schuhe: Professor Andreas Büsch, der die Clearingstelle aufgebaut und bis jetzt geleitet hat, hat mit sehr begrenzten Ressourcen weit über die Kirche hinaus gewirkt und so innovativ wie fundiert die medienpädagogischen und netzpolitischen Diskurse christlich fundiert und mitgestaltet.
KI in der Caritas
Beim Caritas Panel wurde in der aktuellen Runde erstmal die KI-Nutzung abgefragt. 44 Prozent der befragten Rechtsträger haben sich laut der Erhebung mit Anwendungsmöglichkeiten von KI befasst, die Hälfte davon berichtet von KI-Nutzung im Betriebsalltag. Die Nutzung wird nach Kategorien sortiert: »Textverarbeitung und -erstellung (Berichte, Infobriefe, Dokumentation), Optimierung organisatorischer Prozesse (Dienstplanung, Terminvergabe, Buchhaltung), Kreativ- und Öffentlichkeitsarbeit (Präsentationen, Social-Media-Posts, Pressemitteilungen), Pflegerobotik und -technologie (Interaktion, Medikationserinnerung, Sturzsensoren) sowie Kommunikation (Spracherkennung und -assistenz, Übersetzung, Formulierungshilfen).«
Die Zahlen dürften belastbar sein, aber mit großer Wahrscheinlichkeit decken sie nur einen Bruchteil der KI-Nutzung ab: Wenn Rechtsträger befragt werden, bleibt naturgemäß die Schatten-IT außer Acht. Es ist nicht unwahrscheinlich, dass mittlerweile in jedem Rechtsträger KI im Betriebsalltag eingesetzt wird, sei’s die Formulierungshilfe durch den Privat-Account von ChatGPT oder die Übersetzung mit den kostenlosen Versionen von Google Translate oder DeepL. Zu einem Datenschutzkonzept gehört es daher, die Nutzung von Schatten-IT zu ermitteln und durch gute (!), rechtskonforme offizielle Infrastruktur zu ersetzen.
Verantwortliche haben Verantwortung für die Würde
Wieder einmal gibt es in »Modern Ghana« einen Impuls von Emmanuel Kwasi Gadasu zu Datenschutz aus christlicher Perspektive:
»As data controllers and processors, organizations are entrusted with more than just digital information—they are entrusted with the dignity of real people. Just as priests are called to maintain confidentiality in confession, data professionals must hold data with reverence and restraint. Every policy written, every server secured, every consent form designed—these are not just technical tasks. They are acts of service, expressions of respect for human worth.«
In eigener Sache
- Bei den Praxistagen Datenschutz & Informationssicherheit in Gesundheits- und Sozialwesen, Kirche & Non-Profits von Althammer & Kill bin ich wieder mit einem Workshop zu den Novellen der kirchlichen Datenschutzgesetze dabei. (10. bis 12. September 2025 in Hannover, ab 890 Euro)
- Für JHD|Bildung biete ich wieder Online-Seminare an. Am 8. Oktober 2025, 16.30–19 Uhr gibt es das Seminar zu Bildrechten (20 Euro, Anmeldeschluss 24. September 2025).
Auf Artikel 91
- Grundrechtsbasierte Datennutzung – Tätigkeitsbericht des BfD EKD 2023/2024
- Löschen kann doch eine Datenschutzverletzung sein, sagt das IDSG
Aus der Welt
- Die Gesellschaft für Medienpädagogik und Kommunikationskultur spricht sich für regulieren statt verbieten aus: »Smartphonenutzung an Schulen pädagogisch gestalten« lautet die Forderung. Die Clearingstelle Medienkompetenz der DBK stellt das Positionspapier vor.
- Die Bundesnetzagentur hat einen KI-Service Desk online gestellt. Kompakte, durch Stichworte erschlossene Erklärungen mit Praxistipps helfen Organisationen dabei, die KI-Verordnung umzusetzen.
- Wie weit reicht das Mitbestimmungsrecht des Betriebsrats zum Datenschutz? Klar ist: Wenn es um Systeme oder Maßnahmen geht, die zur Leistungskontrolle geeignet sind, gibt es ein Mitbestimmungsrecht. Das LAG Hessen hatte nun zu entscheiden, ob es auch ein allgemeines Recht gibt, auf eine Einhaltung des Datenschutzes hinzuwirken, hier konkret: Ob entsprechende Regelungen in einer Betriebsvereinbarung erzwingbar sind. Nein, entschied das Gericht. (Beschluss vom 5. Dezember 2024 – 5 TaBV 4/24, besprochen bei Beck online.) Der gemeinsame Auftrag der Sorge darum, dass Beschäftigte nach Recht und Billigkeit behandelt werden, erzeugt also kein allgemeines erzwingbares Mitbestimmungsrecht: Die Verantwortung für die Einhaltung des Datenschutzrechts liege allein beim Arbeitgeber verantwortlicher Stelle. Der Weg der Beschwerde bei der Aufsicht steht aber betroffenen Personen offen (für MAVen allerdings ausdrücklich nur in § 48 MVG-EKD; eine parallele Regelung in der MAVO fehlt – zum Beschwerderecht der MAV habe ich früher schon geschrieben).
Kirchenamtliches
- Erzbistum Paderborn: Verwaltungsverordnung über die Auftragsverarbeitung personenbezogener Daten durch das Erzbistum Paderborn im Zusammenhang mit den Wahlen der Kirchenvorstände und der pastoralen Gremien im Erzbistum Paderborn (AV-VO)
- Bistum Fulda: Datenschutzhinweise für Katholische Kindertageseinrichtungen im Bistum Fulda
- Interdiözesanes Datenschutzgericht: IDSG 26/2022 vom 26. Mai 2025