Die Woche im kirchlichen Datenschutz

Katholische Datenschutzkonferenz will Beschluss zu Messenger-Diensten überprüfen

Die Beschlusslage der Diözesandatenschutzbeauftragten zu Social Media und Messenger-Diensten ist etwas in die Jahre gekommen. Der Beschluss aus dem Herbst 2021 bezieht bei der Bewertung von Messenger-Diensten naturgemäß das erst danach novellierte Telekommunikationsgesetz noch nicht ein – damit ist vieles einfacher geworden, weil Messenger in der Regel als interpersonelle Telekommunikationsdienste einzustufen sind. Damit sind sie eigenständige Verantwortliche, es liegt weder Auftragsverarbeitung noch gemeinsame Verantwortlichkeit vor. (Zu Messengern als Telekommunikationsdiensten habe ich neulich schon etwas geschrieben.)

Demnächst ist daher mit einer neuen Beschlusslage zu rechnen: Auf Anfrage teilte mir die Konferenz der Diözesandatenschutzbeauftragten mit, dass sie den Beschluss überprüfen werde.

Leitung des KDSZ Dortmund ausgeschrieben

Anfang Oktober teilten die NRW-Bistümer mit, dass der Diözesandatenschutzbeauftragte Steffen Pau nicht in eine dritte Runde geht. Die Amtszeit läuft noch bis zum 31. August 2026. Schon jetzt wird die Leitung ausgeschrieben, und es soll schnell gehen: Bewerbungsfrist ist der 23. November. Die Anforderungen aus § 42 Abs. 2 KDG (zweites juristisches Staatsexamen soll, katholisch muss) werden eins zu eins übernommen, wenn auch die Formulierung sehr deutlich macht, dass ernsthaft wohl nur Volljurist*innen im Blick sind (»abgeschlossenes Hochschul­studium, vorzugsweise in Rechtswissenschaften, […] exzellente juristische Qualifikation […], die sich besonders im Datenschutzrecht, Auf­sichts­recht und Verwaltungsrecht zeigt«).

Schön auch die Anforderung der »sozialen Geländegängigkeit«. Das soll »das sichere Agieren zwischen kirchlichen Amtsträgern, Verwaltungsstrukturen, Mitarbei­tenden und externen Partnern« sein, dazu brauche es die Fähigkeit, »Unabhängigkeit mit Loyalität zu verbinden«. Ob das wohl auf Hintergründe des Wechsels hindeutet?

Unverständnis über Hamburger Aufarbeitung

Die Querelen um die Verwendung von Daten des Erzbistums Hamburg für die Aufarbeitung (die in der vergangenen Woche schon Thema waren) ziehen Kreise: In der aktuellen Folge des Podcasts »Follow the Rechtsstaat« diskutieren Niko Häring und Stefan Brink den Fall. Dabei zeigt sich in Seitenbemerkungen das Unverständnis darüber, dass es überhaupt eigene kirchliche Datenschutzregelungen gibt, vor allem aber die Komplexität des Falls: Es geht nämlich nicht nur um den Standardfall, dass irrtümlich angenommen wird, dass eine Einwilligung erforderlich ist, sondern um ein explizites Einwilligungserfordernis, das durch Kirchenrecht für diesen Fall festgeschrieben ist.

BfD EKD beginnt mit Verwaltungsprüfung

Die lange angekündigte Prüfung kirchlicher Verwaltungen durch den BfD EKD beginnt, wie die Aufsicht nun mitteilt. Neben allen Landeskirchen werden pro Landeskirche ein bis zwei Gemeinden (insgesamt 30) Kirchengemeinden geprüft. Geprüft werden insbesondere das Datenmanagement vor Ort und der Umgang mit Meldedaten. Der Online-Fragebogen umfasst 70 Fragen, ein Abschlussbericht soll veröffentlicht werden.

Nach den Prüfaktionen bei Kitas und Krankenhäusern ist die Prüfung der Verwaltungen die dritte Schwerpunktprüfung des BfD EKD.

In eigener Sache

• Für JHD|Bildung biete ich wieder Online-Seminare an. Am 3. Februar 2026 findet das Seminar zu Datenschutz in der kirchlichen Jugendarbeit statt (25 Euro, Anmeldeschluss 20. Januar 2026).

Auf Artikel 91

• WTF bedeutet § 79a S. 5 BetrVG?

Aus der Welt

• Ingo Dachwitz berichtet bei netzpolitik.org über die geplanten Änderungen an der DSGVO und veröffentlicht ein Dokument mit der Position der deutschen Bundesregierung. Es zeichnet sich ab, dass einige Regelungen deutlich abgeschwächt werden sollen. Anscheinend soll auch die weite Auslegung des EuGH zu besonderen Kategorien eingedämmt werden: »Die Kommission will nun offenbar erreichen, dass sensible Daten enger definiert werden. Besonders geschützt wären dann nur noch jene Daten, aus denen oben genannte Informationen explizit hervorgehen.« Hier darf man auf die Formulierung gespannt sein. Ein Problem ist mit dem Vorschlag jedenfalls benannt: Wenn schon – wie vom EuGH so gesehen – die bloße Ableitbarkeit sensibler Daten dazu führt, dass man in Art. 9 DSGVO ist, fällt quasi jedes Foto von Menschen darunter.

Kirchenamtliches

• Betriebliche Datenschutzstelle Bistum Mainz: Tipp des Monats: :Was ist eine Datenschutzverletzung?
• Landeskirche Württemberg: Verordnung des Oberkirchenrats zur Ablösung der Archivordnung für die Evangelische Landeskirche in Württemberg und zur Änderung weiterer Ordnungen
• Erzbistum Köln: Diözesangesetz zur Regelung von Einsichts- und Auskunftsrechten für die Kommission zur Aufarbeitung sexuellen Missbrauchs Minderjähriger und schutz- oder hilfebedürftiger Erwachsener, für Forschungszwecke und für Rechtsanwaltskanzleien in Bezug auf Personalakten von Klerikern, Sachakten, Verfahrensakten, Registraturakten und vergleichbare Aktenbestände der laufenden Schriftgutverwaltung im Erzbistum Köln (AktAuskG)
• Bistum Dresden-Meißen: Ordnung zur Regelung von Einsichts- und Auskunftsrechten bei der Aufarbeitung von Fällen sexuellen Missbrauchs Minderjähriger und schutz- oder hilfebedürftiger Erwachsener, für Forschungszwecke und für Rechtsanwaltskanzleien in Bezug auf Sachakten, Verfahrensakten, Registraturakten und vergleichbare Aktenbestände der laufenden Schriftgutverwaltung
• Erzbistum Hamburg: Hinweis auf Widerspruchsrecht nach dem Ausführungsdekret zur Veröffentlichung von Sakramentsspendungen sowie Geburtstags-, Ehe-, Weihe-, Ordens- und Dienstjubiläen im Erzbistum Hamburg
• BfD EKD: Schwerpunktprüfung kirchliche Verwaltung mit Schwerpunkt im Umgang mit Meldedaten gestartet
• KDSA Ost: LG München I: Kein Schadensersatz aus DS-GVO bei widersprüchlichem Verhalten des Nutzers