Die Woche im kirchlichen Datenschutz

Mehrere Stufen der Einsicht in Beschäftigten-Accounts

Das IDSG hat seinen Beschluss zur Frage der Verletzung von Datenschutzrechten bei Einsichtnahme in einen Mitarbeiter-Account veröffentlicht (IDSG 19/2023 vom 15. Juni 2025). In der Sache ging es um die Frage, ob eine Suche nach einer Datei über den ganzen Server, also auch in auf dem Server liegenden Dateiablagen von Beschäftigten, zulässig ist. Die klagende Mitarbeiterin hatte eine wichtige Datei in einem Verzeichnis ihres Accounts liegen, während ihres Urlaubs hat der Dienstgeber den Server nach der Datei durchsucht und sie auch gefunden hat.

Das IDSG sieht wie die Datenschutzaufsicht keine Datenschutzverletzung. Das Gericht differenziert zwischen der Suche über den ganzen Server und der Einsicht »in den passwortgeschützten Account eines Anwenders«. Die bloße Suche, die Dateien im Account findet, stellt nach Ansicht des Gerichts keine solche Einsicht dar. Diese Trennung wirkt etwas künstlich. Es ist nicht klar, wo die Grenze verläuft – wenn Daten unverschlüsselt im Account liegen, dürfte mit Adminrechten alles einsehbar sein, wie auch bei der bloßen Dateisuche. Auch ohne diese Differenzierung hätte die Entscheidung genauso ausfallen können: Zwar hat der Speicherort des Ordners einen Personenbezug, die Verarbeitung sei aber zulässig, da sie für Zwecke des Beschäftigungsverhältnisses erfolgt sei.

Eine Randnummer (19) prüft die kirchenrechtlichen Aspekte, namentlich c. 220 CIC (Richterin Martina Tollkühn hat zu diesem Thema promoviert). Es wird zwischen den beiden Schutzgütern guter Ruf und Intimsphäre differenziert; für ersteres sei das Gericht nicht zuständig (die Formulierung ist nicht ganz eindeutig, ob der gute Ruf grundsätzlich nicht in den Zuständigkeitsbereich der Datenschutzgerichte fallen soll oder nur in diesem Fall, weil die Rufschädigung nicht vorgebracht wurde), die Intimsphäre werde durch die streitgegenständlichen Sachverhalte nicht unzulässig tangiert. (Schon einmal hat das IDSG mit c. 220 CIC agiert und festgestellt, dass c. 220 CIC nicht isoliert durch das Gericht geprüft werde.)

Katholikentag auf Mastodon

Der Katholikentag hat jetzt eine Präsenz auf Mastodon, und zwar auf dem Server katholisch.social, den das KDSZ Bayern betreibt: @katholikentag@katholisch.social. In der Pressemitteilung betonen die Veranstaltenden, dass es dabei nicht nur um einen zusätzlichen Kanal geht, sondern um eine medienethische Zielsetzung. Der Katholikentag wolle damit nicht-kommerzielle digitale Kommunikationsräume stärken: »Wir möchten den Besucher:innen des Katholikentags sowie den christlichen Einrichtungen in Deutschland zeigen, dass es neben den bekannten sozialen Netzwerken auch andere Wege der digitalen Kommunikation gibt: datenschutzfreundlich und ohne kommerzielle Interessen«, sagt Roland Vilsmaier, der Geschäftsführer des Katholikentags. Das Fediverse sei eine »Einladung zu einem neuen digitalen Miteinander«.

Das KDSZ Bayern ist als Kooperationspartner dabei und sieht ein starkes Signal für digitale Verantwortung: »Das Fediverse zeigt, dass Datenschutz und moderne Kommunikation kein Widerspruch sind, sondern sich hervorragend ergänzen können«, betont der Diözesandatenschutzbeauftragte Dominikus Zettl.

Cybersicherheits-Freiwillige für den Vatikan

90 Expert*innen für Cybersicherheit schützen ehrenamtlich den Vatikan, berichtet das Katholiek Nieuwsblad. Das Netzwerk wurde 2022 durch den niederländischen Unternehmer Joseph Shenouda gegründet, nachdem er ein unterirdisches IT-Sicherheitsniveau festgestellt habe. Dabei ist der Vatikan regelmäßig Ziel von Angreifern – auch staatlich gelenkten Kampagnen aus Russland und China. Shenouda hofft, dass das Thema künftig nicht mehr nur ehrenamtlich angegangen werde. Er fordert einen Chief Information Security Officer für den Vatikan.

In eigener Sache

• Für JHD|Bildung biete ich wieder Online-Seminare an. Am 8. Oktober 2025, 16.30–19 Uhr gibt es das Seminar zu Bildrechten (20 Euro, Anmeldeschluss 24. September 2025).

Auf Artikel 91

• –

Aus der Welt

• Die DSGVO wirkt weltweit. Den »Brüssel-Effekt« der Datenschutz-Gesetzgebung hat das Center for European Policy Analysis mit einer Weltkarte aller Datenschutzgesetze nachgezeichnet.

Kirchenamtliches

• Bistum Speyer
  • Gesetz über den Einsatz elektronischer Informationstechnik im Bistum Speyer (IT-Gesetz)
  • Gesetz zur Umsetzung des Bundesgesetzes für einen besseren Schutz hinweisgebender Personen (Hinweisgeberschutzgesetz – HinSchG) im Bistum Speyer (HinSchGUmsetzungG)
• Interdiözesanes Datenschutzgericht: Beschluss IDSG 19/2023 vom 15. Juni 2025
• KDSA Ost: Klimaschutz durch Datenschutz: Datensparsamkeit als Beitrag zur Energiewende