Die Woche im kirchlichen Datenschutz

Aufarbeitung in der Metropolie Hamburg

Die Unabhängige Aufarbeitungskommission Nord hat ihren Zwischenbericht 2024/2025 veröffentlicht. Sie ist zuständig für das Erzbistum Hamburg, das Bistum Hildesheim und das Bistum Osnabrück. Probleme gibt es vor allem in Hamburg. Die Kommission klagt über Probleme bei der Übermittlung von Daten:

»Ausgangspunkt ist die Annahme, die UAK sei datenschutzrechtlich eigenständiger Verantwortlicher. Diese Sichtweise hat zur Folge, dass ihr wesentliche Akteneinsichten und Auskünfte verwehrt bleiben – teils sogar bei anonymisierten Daten.Betroffen sind auch Fälle mit schwerwiegenden Vorwürfen.«

Das 2024 in Kraft gesetzte Gesetz zur Regelung von Einsichts- und Auskunftsrechten für die Aufarbeitungskommission im Rahmen der unabhängigen Aufarbeitung von sexuellem Missbrauch im Erzbistum Hamburg sowie für Forschungszwecke konnte diese Probleme nicht beheben. Das Gesetz legt fest, dass Daten »von sexuellem Missbrauch unmittelbar betroffener Personen« ohne Einwilligung nicht für die Aufarbeitung verwendet werden dürfen, selbst bei vollständig anonymisierten Daten. Das blockiert die Aufarbeitung nach Auffassung der Kommission völlig.

Erwähnt wird eine Klage vor dem Interdiözesanen Datenschutzgericht aufgrund der Weigerung, Namen zu nennen – die Klage wurde bereits im März bei einer Pressekonferenz angekündigt. Nach wie vor ist in der Öffentlichkeit nicht bekannt, auf welchem Weg das IDSG hier helfen soll. Es ist gemäß § 2 KDSGO nur für die Überprüfung von Entscheidungen der katholischen Datenschutzaufsichten und für gerichtliche Rechtsbehelfe der betroffenen Person gegen den Verantwortlichen oder den kirchlichen Auftragsverarbeiter zuständig. Auf Anfrage bestätigte mir der Betroffenenrat Nord, dass es sich um Rechtsmittel gegen einen Bescheid der KDSA Nord handelt im Zusammenhang mit der Frage nach der datenschutzrechtlichen Verantwortlichkeit.

Die Stellungnahme des Hamburger Generalvikars gibt weitere Hinweise: Auch er bestätigt, dass die Streitfrage ist, ob die UAK eine separate verantwortliche Stelle ist (wie es auch die katholischen Datenschutzaufsichten sehen). Wenn das nicht der Fall sein sollte, stellt sich die Frage, in welchem der drei Bistümer sie Teil welcher verantwortlicher Stelle sein soll – eine Metropolie hat keine Rechtspersönlichkeit, und die drei Bistümer sind drei getrennte Rechtspersonen. Liegt hier vielleicht eine gemeinsame Verantwortlichkeit der beteiligten Bistümer vor? Der Generalvikar P. Sascha-Philipp Geißler SAC schreibt:

»Das Erzbistum Hamburg vertritt bis auf weiteres – entsprechend unserer Auffassung des kirchlichen Datenschutzrechtes, wie sie von der für uns zuständigen Datenschutzaufsicht auch bestätigt wurde – den Standpunkt, dass die UAK Nord selbst für die Verarbeitung etwa offengelegter Daten verantwortlich ist und dass die Einwilligung Betroffener in die Offenlegung und Verarbeitung ihrer Daten und somit ihrer Geschichten unverzichtbar ist, selbst, wenn das Aufarbeitungsinteresse der Institution Kirche dem nachzuordnen wäre und sich einschränkend auf die Qualität der Aufarbeitung auswirken würde. Wir sehen darin keine Behinderung der Aufarbeitung, sondern priorisieren das Recht Betroffener, selbst über eine Offenlegung ihrer Daten zu entscheiden.«

Der Fall zeigt ein Dilemma: Das absolute Einwilligungserfordernis von Missbrauchsbetroffenen war eine Forderung von Betroffenenvertretungen. Die Ausweitung selbst auf anonymisierte Daten führt zu Folgeproblemen (wobei eine tatsächliche Anonymisierung schwierig ist, wie der Münsteraner Fall zeigt). Die Klärung der Frage nach der datenschutzrechtlichen Verantwortlichkeit scheint auf den ersten Blick – und ohne Kenntnis der Klageschrift – kein naheliegender Weg zu sein, um diese Probleme vom Tisch zu wischen. Auch innerhalb von Verantwortlichen gelten für den Umgang mit personenbezogenen Daten die Grundsätze der Zweckbindung und der Rechtmäßigkeit.

IDSG wirkt

In dieser Woche sind zwei diözesane Missbrauchsstudien erschienen: in Trier und in Augsburg. Die in Trier habe ich für katholisch.de ausführlicher angeschaut. Datenschutzaspekte spielen im Trierer Bericht nur am Rande eine Rolle.

In Augsburg haben die Autor*innen der Studie auf eine Auswertung von Akten aus dem Verfahren zur Anerkennung des Leids verzichtet. In einer Fußnote (Fn. 15 auf S. 3) wird das als Konsequenz aus der oben schon erwähnten IDSG-Rechtsprechung zur Münsteraner Studie begründet: Maßgeblich sei gewesen, »dass die fallbezogene Auswertung der Anträge auf Anerkennungsleistungen in jedem Einzelfall der Zustimmung durch die Betroffenen bedurft hätte. Der daraus zu erwartende überschaubare zusätzliche Erkenntnisgewinn war gegen die Risiken aus neuerlichen Belastungen für die Betroffenen durch die datenschutzrechtlich unerlässlichen Anfragen abzuwägen.«

Das zeigt, dass die Arbeit der katholischen Datenschutzgerichte tatsächlich die Position von Betroffenen (datenschutzrechtlich wie hinsichtlich Missbrauchs) stärkt.

Geschichte des katholischen Datenschutzrechts

Im aktuellen Archiv für katholisches Kirchenrecht schreibt der bayerische Diözesandatenschutzbeauftragte Dominikus Zettl über »Das Katholische Datenschutzzentrum Bayern KdÖR«. Vieles über die Gegenwart kann man auch offen zugänglich in seinem frisch erschienenen Tätigkeitsbericht nachlesen. Der Mehrwert des Beitrags ist eine knappe Geschichte des katholischen Datenschutzrechts, beginnend mit der ersten Anordnung über den kirchlichen Datenschutz (KDO) von 1978. Erst 1994 wurden die Diözesandatenschutzbeauftragten in die strukturelle Unabhängigkeit entlassen; zuvor unterstanden sie der Dienst- und Fachaufsicht der Diözesanbischöfe. Interessant auch, dass laut dem Beitrag der bayerische Diözesandatenschutzbeauftragte auch für die Deutsche Bischofskonferenz zuständig war. (Heute ist das das KDSZ Dortmund in seiner Eigenschafts als Verbandsdatenschutzbeauftragter des VDD.) Eine Pflicht zur Bestellung von bDSB kam 2011, die Möglichkeit, Maßnahmen anzuordnen, folgte 2014 – und 2018 dann das KDG.

Landeskirchliche KI-Plattform

Die Landeskirchen Bayerns und des Rheinlandes entwickeln zusammen mit der EKD einen nach eigener Aussage datenschutzkonformen kircheneigenen KI-Dienst mit dem Namen »ELOKI – Evangelisch. Lernend. Offen. KI«. Mitarbeitenden in Kirche und Diakonie die verantwortungsvolle Nutzung von Künstlicher Intelligenz ermöglichen:

»Der neue Dienst erfüllt die strengen Datenschutzvorgaben des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD), nutzt offene Standards und wird vollständig unter kirchlicher Kontrolle betrieben. Persönliche Nutzerdaten verlassen die kirchliche Infrastruktur nicht – sie bleiben geschützt und in der Hoheit der Kirchen. So setzen die evangelischen Kirchen ein deutliches Zeichen für Datensicherheit, Transparenz und digitale Unabhängigkeit.«

Derzeit läuft eine Pilotphase mit ersten Anwendergruppen in Bayern und im Rheinland.

Spanische Datenschutzaufsicht stellt Verfahren gegen Bischofskonferenz ein

Die spanische Datenschutzaufsicht AEPD hat nach Informationen der Zeitung El País das Verfahren gegen die spanische Bischofskonferenz eingestellt. Die Bischofskonferenz hatte durch eine nicht anonymisierte Fassung eines Missbrauchsgutachtens versehentlich personenbezogene Daten von 45 Betroffenen sexualisierter Gewalt auf ihrer Webseite veröffentlicht. Die Zeitung weist auf Ungereimtheiten des Bescheids hin, der ihr vorliegt: Demnach soll darin auf eine angebliche Meldung der Datenpanne durch die Bischofskonferenz verwiesen worden sein; nach Darstellung der Betroffenen sei aber trotz Kenntnis keine Meldung erfolgt.

In eigener Sache

• Für JHD|Bildung biete ich wieder Online-Seminare an. Am 3. Februar 2026 findet das Seminar zu Datenschutz in der kirchlichen Jugendarbeit statt (25 Euro, Anmeldeschluss 20. Januar 2026).

Auf Artikel 91

• Alles neu in Nürnberg – Tätigkeitsbericht 2023/2024 des KDSZ Bayern

Aus der Welt

• Das BSI hat seine Bibliothek zum Stand der Technik auf Github unter einer CC-Lizenz veröffentlicht. Mehr Details dazu gibt’s im Datenzirkus.
• Software-as-a-service-Dienste aus den USA sind zunehmend ein Sicherheitsrisiko. Der Internationale Strafgerichtshof steigt daher von der Microsoft-Officesuit auf die Lösung OpenDesk des Zentrums für Digitale Souveränität der Öffentlichen Verwaltung um.

Kirchenamtliches

• KDSZ Bayern: 5. Tätigkeitsbericht für die Jahre 2023 und 2024 (noch nicht online veröffentlicht)