Die Woche im kirchlichen Datenschutz

MS 365 hessisch-konform betreiben

Der Hessische Datenschutzbeauftragte hat einen Bericht zum Einsatz von MS 365 veröffentlicht. Darin kommt er zu dem Schluss, dass MS 365 datenschutzkonform genutzt werden kann und die Kritikpunkte der DSK von 2022 ausgeräumt seien; ausführliche Handlungsempfehlungen sollen dabei helfen, einen datenschutzkonformen Einsatz zu ermöglichen. Das klingt vielversprechend, wird aber schon dadurch eingeschränkt, dass ausweislich des Papiers zwar viele Verhandlungsrunden mit Microsoft stattgefunden hätten, eine technische Prüfung mangels der dafür nötigen Ressourcen aber nicht stattgefunden habe. (Weniger diplomatisch ordnet das Mike Kuketz ein.)

Die erste (und bislang einzige) Reaktion aus dem kirchlichen Bereich auf das überraschend am Samstag veröffentlichte Papier kam schon am Sonntag vom KDSZ Bayern auf Mastodon: »Der Jubel ist verfrüht.« Die katholische Aufsichtverweist auf die umfangreichen Bedingungen, die gemäß der hessischen Aufsicht zu erfüllen sind: »Von einer pauschalen Freigabe keine Spur. Stattdessen mahnt der Bericht: Alternativen prüfen. Europäisch denken. Nachhaltig handeln.«

Löschen als bester Datenschutz

Das widerrechtliche Löschen als möglicher Datenschutzverstoß ist ein Thema, das die kirchlichen Datenschutzgerichte anscheinend besonders häufig beschäftigt und bei dem sich über die Instanzen eine differenzierte Rechtsprechung ausbildet: Erst hatte das IDSG in einem Fall in einer Datenschutzverletzung eine Datenschutzverletzung erkannt (IDSG 10/2021, hier kurz besprochen), das DSG-DBK sah es anders (DSG-DBK 04/2022, hier kurz besprochen), dann hatte das IDSG noch einmal in einem anderen Fall in einer Datenschutzverletzung eine Verletzung erkannt (IDSG 26/2022, hier zustimmend und ablehnend kommentiert).

Jetzt wurde noch eine Entscheidung veröffentlich (IDSG 10/2022), und wieder geht es um vernichtete Beistandsakten. Der Antragsteller wollte feststellen lassen, dass die Vernichtung rechtswidrig gewesen sei. Hier folgt das IDSG der Rechtsprechung des DSG-DBK. Das IDSG greift auch wieder eine Formulierung auf, die in dieser Allgemeinheit einige Risiken birgt:

»Das Recht der Eltern auf informationelle Selbstbestimmung, dessen Schutz das Datenschutzrecht nach § 1 KDG dient, kann durch eine Löschung von über sie gespeicherten Daten nicht verletzt sein, weil durch eine Löschung der datenschutzrechtlich rechtfertigungsbedürftige Persönlichkeitseingriff ja gerade beendet wird.«

IDSG kündigt Entscheidung über KDG-Geltungsbereich an

In der Entscheidungssammlung des IDSG sind in dieser Woche zum schon in der vergangenen Woche veröffentlichten Aktenzeichen noch Informationen veröffentlicht worden. Der Volltext fehlt zwar immer noch, aber ein Leitsatz ist da:

»Einordnung eines katholischen Sozialverbandes als sonstiger kirchlicher Rechtsträger, Anwendbarkeit des KDG und Befugnis des Datenschutzgerichts zur Aufhebung eines Feststellungsbescheids der Datenschutzaufsichten.« (IDSG 10/2023 vom 17. September 2025)

Dieser Frage habe ich mich in meiner Masterarbeit ausführlich gewidmet, daher bin ich sehr gespannt, wie das IDSG entscheiden wird. Meine Position: Ein katholischer Verband ohne kanonische Rechtsform ist dann ein sonstiger Rechtsträger im Sinne von § 3 Abs. 1 lit. c) KDG, für den das KDG gilt, wenn er das KDG wirksam mittels seiner Satzung anwendet. Das kann entweder mit einer speziellen Klausel zur Anwendung des KDG geschehen oder durch eine allgemeine Unterwerfung unter kirchliches Recht – aber nie ohne aktive, rechtsverbindliche Entscheidung des Verbands dazu.

Strittige Entscheidung des KDSZ Bayern

Auf anwalt.de hat Roland Zimmel als »Rechtstipp« eine Abrechnung mit einer Entscheidung des KDSZ Bayern veröffentlicht. Unter dem Titel »Datenschutz-Eklat im katholischen Bayern« berichtet er von einem Fall aus dem Beschäftigtendatenschutz, in dem das KDSZ Bayern die Position vertrete, »dass bei Daten von ›strittigen‹ Vorfällen kein Personenbezug bestehe«. Weder der Sachverhalt noch die Entscheidung der Datenschutzaufsicht werden ausführlich geschildert, so dass eine Bewertung anhand der Darstellung kaum möglich ist.

Auf Anfrage erläuterte der bayerische Diözesandatenschutzbeauftragte Dominikus Zettl mir seine Sicht der Dinge. Tatsächlich hatte die Aufsicht demnach einen Berichtigungsanspruch nicht in dem Maß bejaht, wie es die beschwerdeführende Person begehrt habe. Das hänge aber nicht an der Frage, ob etwas strittig sei:

»Zwar kann ein Dokument, das neben nicht personenbezogenen Daten auch personenbezogene Daten aufweist, dem Auskunftsanspruch unterliegen, da es insgesamt einen Personenbezug aufweist. Damit unterfallen allerdings keineswegs die nicht personenbezogenen Daten einem Berichtigungsanspruch.«

Die Aufsicht habe auf das (arbeitsrechtliche) Recht auf Gegendarstellung hingewiesen. »Die beabsichtigte Korrektur des Inhalts der Personalakte kann nicht mit Datenschutzrecht, sondern wenn überhaupt mit arbeitsrechtlichen Mitteln gelingen«, erläutert der Diözesandatenschutzbeauftragte. Zettl äußerte sein Unverständnis, dass der Bescheid der Datenschutzaufsicht nicht gerichtlich angegangen wurde: »Sollte das KDSZ Bayern eine falsche Entscheidung getroffen haben, was ich nicht per se ausschließen kann, kann dies auf einfache Art und Weise durch das Datenschutzgericht geprüft und ggf. korrigiert werden.«

In eigener Sache

• Für JHD|Bildung biete ich wieder Online-Seminare an. Am 3. Februar 2026 findet das Seminar zu Datenschutz in der kirchlichen Jugendarbeit statt (25 Euro, Anmeldeschluss 20. Januar 2026).

Auf Artikel 91

• Datenschutz und Mitbestimmung – welche Rechte hat die MAV?

Aus der Welt

• Der »Digitale Omnibus« ist jetzt auch offiziell veröffentlicht. Die EU-Kommission hat die Dokumente veröffentlicht, aus denen geplante Änderungen an der Digitalgesetzgebung hervorgehen. Weitgehend bleibt es so schlimm wie bei den Leaks befürchtet, die Kritik von noyb fällt entsprechend aus. Einen kleinen Lichtblick gibt es: Die Definition besonderer Kategorien soll nicht aufgeweicht werden (in der vergangenen Woche hatte ich diesen Vorschlag kritisiert). Die weitgehende Freigabe für KI bleibt aber in den Reformvorschlägen für Art. 9 DSGVO.
• Die DSK hat zum Tag der Kinderrechte eine Entschließung zur Verbesserung des Datenschutzes von Kindern in der DSGVO veröffentlicht. Der Fokus liegt darauf, die besondere Schutzbedürftigkeit von Kindern (das sind in der EU-Diktion alle Minderjährigen) an einigen Stellen zusätzlich aufzunehmen.

Kirchenamtliches

• Bistum Rottenburg-Stuttgart: Veröffentlichung Widerspruchsrecht gem. Fundraisingordnung § 4 Abs. 3 in den örtlichen Gemeindemitteilungen/ Pfarrnachrichten
• Interdiözesanes Datenschutzgericht: 30.01.2024 – IDSG 10/2022
• Bistum Würzburg: Beschaffungsrichtlinie IT