Die Woche im kirchlichen Datenschutz

Marx (Kardinal) zu Konzernmacht

In Deutschland begeht die katholische Kirche den Welttag der sozialen Kommunikationsmittel am zweiten Sonntag im September – deshalb geht es jetzt noch um die letzte Botschaft von Papst Franziskus, die im Januar zum Gedenktag des heiligen Franz von Sales veröffentlicht wurde.

Der deutsche Medienbischof, Kardinal Reinhard Marx, legt zum Mediensonntag den Schwerpunkt auf die »Konzentration von Daten, Technologien und Kommunikationskanälen in den Händen weniger globaler Konzerne«:

»Wir brauchen eine gesellschaftliche Debatte darüber, wie wir diese Machtkonzentration begrenzen und sicherstellen, dass Kommunikation dem Gemeinwohl dient.«

VCP gehackt

Der Verband Christlicher Pfadfinder*innen (VCP) wurde Opfer eines Angriffs auf seine IT-Systeme. Betroffen sind M365-Vorgänge. Den Angreifern ist es dadurch gelungen, über die Systeme Phishing-Mails zu verschicken. Eine Konsequenz ist die Aktivierung von Zwei-Faktor-Authentifizierung für alle Microsoftkonten und ein Aufruf zur Wachsamkeit: »Seid bitte besonders vorsichtig mit E-Mails, die angeblich von VCPer*innen stammen und Dateien teilen. Überprüft den Absender und klickt nicht auf Links, die euch verdächtig erscheinen. Die geteilten Dateien kommen direkt von den offiziellen Konten.«

Religionsgemeinschaften in Nigeria

Nigeria gehört mit dem Nigeria Data Protection Act (NDPA) 2023 und weiteren einschlägigen Gesetzen zu den afrikanischen Ländern mit umfangreicher Datenschutzgesetzgebung. Bei der nigerianischen Kanzlei Syntegral gibt es einen Überblick darüber, wie Religionsgemeinschaften damit umgehen. Für sie gibt es eine Besonderheit: Sie müssen sich nicht als »Data Controllers of Major Importance« registrieren, obwohl sie durch Größe und Menge an sensiblen Daten dafür qualifiziert wären. Diese Privilegierung nimmt sie aber nicht vom Datenschutzrecht aus.

Neben der Darstellung der Rechtslage sind vor allem die gesellschaftlichen Hintergründe interessant, die zu einer Sonderstellung von Religionsgemeinschaften in der Praxis führen:

»The challenge, however, seems to lie less in the text of the law than in the mindset of society. Nigerians are deeply religious, and the high moral status of clerical institutions has fostered a subconscious impression that churches, mosques, and other religious entities are self-regulating moral communities beyond or separate from the reach of „secular“ regulation. This perception is reinforced by cultural deference to religious leaders and the historical lack of regulatory scrutiny in this sector. Yet no matter how revered their social standing, religious organisations are not immune from the risks that poor data practices pose to individuals or the liabilities that breaches impose under law.«

Datenpanne bei Führungszeugnis-Dienstleister

Die anglikanische Kirche hat in einem weiteren Fall Pech mit einem Dienstleister. (Die Offenlegung von Betroffenen-Mailadressen durch eine Kanzlei war in den vergangenen beiden Wochen bereits Thema hier.) Im Rahmen der Prävention sexualisierter Gewalt müssen Haupt- und Ehrenamtliche Führungszeugnisse über den »Disclosure and Barring Service« des Innenministeriums vorlegen. Das Verfahren sieht einen Dienstleister vor, der zwischen den abfragendenen Organisationen – wie der Kirche – und der Behörde vermittelt. Der von vielen anglikanischen Gemeinden und Diözesen genutzte Dienstleister APCS wurde Opfer eines Angriffs, der zu Datenabfluss führte.

Der Angriff sorgt bei potentiell Betroffenen für Unsicherheit und birgt die Gefahr, dass die Akzeptanz für die Präventionsmaßnahmen sinkt. »Let’s not let the hackers win!«, appelliert daher der Bischof von Guildford, Andrew Watson: »I pray that no significant harm will come from this malicious attack, either for individuals or for our vision of a growing church at the heart of each community; and hugely appreciate the hard work of so many clergy and lay volunteers, and their willingness to go through DBS checking in our quest to become a safer Church.«

In eigener Sache

• Für JHD|Bildung biete ich wieder Online-Seminare an. Am 8. Oktober 2025, 16.30–19 Uhr gibt es das Seminar zu Bildrechten (20 Euro, Anmeldeschluss 24. September 2025).

Auf Artikel 91

• –

Aus der Welt

• Das Training von KI-Systemen mit offenen Daten ist eine Herausforderung. Creative Commons arbeitet mit »CC Signals« daran, ein System der Kennzeichnung von offenen Inhalten zu entwickeln, die Regeln für die Nutzung aufstellen. Hintergründe erläutert Fabian Rack bei irights.info.
• WhatsApp-Strategien in der Kommunikation sind datenschutzrechtlich anspruchsvoll. Eine Handreichung dafür gibt Thomas Werning: »WhatsApp im Unternehmenseinsatz«

Kirchenamtliches

• Evangelische Kirche in Mitteldeutschland: Verordnung über die Teilnahme am elektronischen Rechtsverkehr in der Evangelischen Kirche in Mitteldeutschland
• Erzbistum Salzburg: Bestimmungen der Betriebsvereinbarung betreffend Nutzung von E-Mail, Internet und IT-Betriebsmittel, Richtlinie zur Nutzung von E-Mail und Internet für private Zwecke