Wie in den vergangenen Jahren schließt das KDSZ Dortmund den Reigen der Tätigkeitsberichte kirchlicher Aufsichten ab – am Freitag vor Weihnachten ist der Tätigkeitsbericht für 2024 erschienen.

Trends und Entwicklungen lassen sich kaum ablesen – das meiste darin sind Varianten des Altbekannten, auch die KI als großes Compliance-Thema wirft nur gelegentlich ihre Schatten voraus.

Rechtsprechung und Gesetzgebung

Kirchlicher Bereich

Die Prämisse des Tätigkeitsberichts für 2024 ist, dass er tatsächlich aus der Sicht von 2024 geschrieben ist, obwohl er erst Ende 2025 erscheint. Das führt zu bestenfalls noch historisch interessanten Berichtsgegenständen, vor allem der Evaluation des KDG.

An kirchlichen Rechtsakten werden folgende erwähnt:

• Ordnung zum Betrieb einer Meldestelle nach Hinweisgeberschutzgesetz
• Einsicht in Missbrauchs-Akten in der Diözese Essen
• Ordnung für die Aufbewahrung und Kassation von pfarramtlichen Unterlagen in der Erzdiözese Köln
• Rahmenschulordnung für Schulen in der Trägerschaft des Bistums Essen
• KI-Nutzungs-Ordnung der Erzdiözese Köln
• Datenschutz-Gesetz des Vatikanstaats

Die spezifischeren wurden hier bereits verhandelt und offensichtlich auch von der Aufsicht wahrgenommen – insbesondere beim Datenschutzgesetz des Vatikans gibt es nicht gekennzeichnete Textübernahmen aus der Berichterstattung hier. (Ergänzung, 8. Januar 2026: In einer Version 1.1 des Berichts wurde mittlerweile die Fußnote 42 mit einer Quellenangabe ergänzt.)

Staatlicher Bereich

• Die KI-Verordnung lässt das Datenschutzrecht unberührt: »Damit ist im kirchlichen Bereich auch die Anwendung der Normen des KDG für datenschutzrechtliche Sachverhalte aus dem Anwendungsbereich der KI-VO zu prüfen.«
• Zu einigen Entscheidungen staatlicher Gerichte gibt es praxisrelevante Anmerkungen, so etwa zum berechtigten Interesse, zu Grenzen von Betriebsvereinbarungen, zur namentlichen Nennung von betrieblichen Datenschutzbeauftragten oder zu Negativauskünften – die Praxistipps sind aber jeweils identisch: Es wird keine Entscheidung angeführt, bei der im kirchlichen Datenschutzrecht anders vorzugehen wäre als unter Geltung der DSGVO.
• Später heißt es auch noch einmal explizit zu Positionen weltlicher Aufsichten: »Unter Beachtung der kirchlichen Spezifika des KDG sind die Aussagen der Veröffentlichungen des EDSA beziehungsweise der DSK auf die Rechtslage nach dem KDG übertragbar.«

Aufsichtstätigkeit

Statistik

Absolute Zahlen zur Aufsichtstätigkeit fehlen erneut. Aus einem Kuchendiagramm geht hervor, dass die Meldungen von Datenpannen bei weitem vorne lagen mit mehr als drei Viertel der Vorgänge, gefolgt von Anfragen, Beschwerden und Hinweisen.

• Die Meldungen von Datenpannen sind im Vergleich zum Vorjahr gestiegen. Wieder machen Fehlversände (die getrennt von offenen Verteilern ausgewiesen werden) und Einbrüche einen großen Teil der Pannen aus. Die Probleme mit der Kita-App »StayInformed«, die zu einem meldepflichtigen Vorfall der jeweiligen Einrichtung führte, trugen zur Steigerung bei. Kurios: »Das Katholische Datenschutzzentrum weist daraufhin, dass es auch immer wieder zu einem meldepflichtigen Tatbestand kommt, weil versehentlich Unterlagen/Dokumente mit personenbezogenen Daten an das Katholische Datenschutzzentrum gesendet werden, die eigentlich für eine Einrichtung in dessen Zuständigkeitsbereich bestimmt sind.«
• Bei den Beschwerden machten Fälle zum Auskunftsersuchen etwa ein Drittel der Fälle aus, gefolgt von Beschwerden über Datenweitergaben, der Rest wird unter »Sonstiges« gefasst. Nicht in jedem Fall waren die Beschwerden begründet: Ausdrücklich nennt die Aufsicht Beschwerden über zurecht geschwärzte Daten Dritter in Auskünften. Daher empfiehlt die Aufsicht, den Grund für Schwärzungen transparent und nachvollziehbar anzugeben.
• Zu den Prüfungen erfährt man wenig; anlassunabhängige Prüfungen wurden im Berichtszeitraum nicht abgeschlossen.
• Erfreulich ist, dass die Bußgelder eine eigene Rubrik erhalten. Die Aufsicht berichtet von zwei Geldbußen in dreistelliger Höhe im Rahmen einer Prüfung. Beide Bußgelder waren eindeutig aus der Kategorie »selber schuld, kein Mitleid verdient«: »Die beiden Einrichtungen hatten sich auf mehrfache Schreiben des Datenschutzzentrums nicht gemeldet.«
• Im Berichtszeitraum waren zwei Verfahren beim IDSG, eins beim DSG-DBK anhängig. Eines der Verfahren beim IDSG wurde abgeschlossen, weil der Antrag als erledigt erklärt wurde. Entscheidungen zu Verfahren aus 2022 und 2023 stehen noch aus.

Struktur der Aufsicht

• Weiterhin sind elf Planstellen vorgesehen, die nicht alle besetzt waren.
• Für 2024 sah der Haushaltsplan 1.264.000 Euro vor, für 2025 sinkt das genehmigte Budget auf 1.239.000 Euro.
• Die neue Satzung des KDSZ Dortmund wird erwähnt, aber nicht ausführlich dargestellt.

Beratungen

Hilfreich ist, dass typische Beratungsanfragen dargestellt werden: die Frage nach Ehrenamtlichen als Beschäftigte im Sinne des § 53 KDG (nein), die Übermittlung von Arbeitsverträgen zu Prüfzwecken an den Medizinischen Dienst (Erforderlichkeit prüfen), der Austausch über Patientendaten per Microsoft Teams (schwierig), zur Cloud-Speicher-Nutzung (Verweis auf eine Veröffentlichung der Aufsicht zu MS365) und zur Nutzung von Gemeindemitgliederdaten zur Information von Angehörigen von Verstorbenen.

Der letzte Fall hat aufgrund seiner spezifisch kirchlichen Gestaltung eine hohe Relevanz: Es wurde gefragt, ob die Meldedaten genutzt werden dürfen, um lebende Angehörige von Verstorbenen für Einladungen zu Gedenkmessen einzuladen. Die Aufsicht sieht hier nur eine Einwilligung als taugliche Rechtsgrundlage an. Ob eine Aufgabenwahrnehmung im kirchlichen Interesse denkbar wäre, wird jedenfalls nicht explizit geprüft. Als Hinweis an den kirchlichen Gesetzgeber wäre noch hilfreich gewesen, auf die Möglichkeit einer kirchengesetzlichen Erlaubnisnorm hinzuweisen.

Fälle

Viele der geschilderten Fälle aus der Praxis sind Standardsituationen: Falsche Berechtigungen und Zugriffskonzepte sowie versehentliche Veröffentlichung oder Offenlegung von Daten in verschiedenen Konstellationen.

Fotofragen

Die Bildaufnahme von Patient*innen mit privaten Handys wird erneut thematisiert. Hier handelt es sich zwar meist um einen Mitarbeiterexzess, mithin keinen Vorgang, der in der Regel der verantwortlichen Stelle zuzurechnen ist. Dennoch lässt die Aufsicht Verantwortliche nicht ganz so einfach vom Haken: »die Aufsicht schaut in diesen Fällen, ob die Einrichtung als die für die Verarbeitung der personenbezogenen Daten der behandelten oder betreuten Personen verantwortliche Stelle, alle notwendigen technischen oder organisatorischen Schutzmaßnehmen ergriffen hat, um solche Vorfälle bestmöglich zu verhindern.« Vorgeschlagen werden organisatorische Maßnahmen wie explizite Anweisungen zum Fotografierverbot.

Hilfreich sind die Hinweise zu Fotos in Kitas und anderen Einrichtungen. Neben der richtigen Rechtsgrundlage (in der Regel der Einwilligung) und dem Löschkonzept nennt die Aufsicht drei Anforderungen ans Fotografieren:

1. nur durch Kita-Personal und nicht durch Eltern oder sonstige Personen
2. nur mit Dienstgeräten zu dienstlichen Zwecken
3. nicht von sensiblen Situationen

Damit ist also nur der Standardfall abgedeckt; etwas detaillierter auch zur Frage von Fotos durch Eltern hatte sich die KDSA Nord in ihrem Tätigkeitsbericht geäußert.

Betriebliche Datenschutzbeauftragte

• Betriebliche Datenschutzbeauftragte und ihre Bestellungen scheinen mehr Probleme zu machen, als der Gesetzeswortlaut es nahelegt – es kam wohl häufiger vor, dass die Aufsicht auf Interessenkonflikte hinweisen musste.
• Wo es keine bDSB braucht, muss man sich trotzdem um Datenschutz kümmern. Schon jetzt baut die Aufsicht der Erhöhung des Schwellwerts für die Bestellung (ab 20 statt ab 10 mit der Verarbeitung befassten Personen) vor und weist darauf hin.

Fazit

Obwohl das KDSZ Dortmund sich viel Zeit genommen hat, gehört der Bericht zu den kompakteren unter den Aufsichten. Vieles bleibt vage, was die Aufsichtstätigkeit angeht. Alles in allem wirkt dieser Bericht wie eine Pflichtübung, die auf den letzten Drücker abgegeben wurde – dafür sprechen auch die ohne Nachweis übernommenen Textteile aus hier erschienenen Artikeln.

Positiv ist, dass den Fällen und Sachverhalten weiterhin viele praktische Hinweise in grauen Texten beigegeben werden, auch wenn die nicht immer besonders neu, überraschend oder tiefgreifend sind. Zur KI-Nutzung heißt es etwa: »Die beim Einsatz der Tools oftmals entstehenden Gefahren für personenbezogene Daten oder Betriebs- und Geschäftsgeheimnisse der Einrichtung sind von der Einrichtung zu regeln. Mit diesen Regelungen sollte eine gesetzeskonforme Nutzung der KI-Tools durch die Mitarbeitenden erreicht werden.« No shit, Sherlock.

Interessant dürfte es sein, wie es im nächsten Jahr weitergeht: Schließlich scheidet der Diözesandatenschutzbeauftragte Mitte 2026 aus dem Amt – liefert er vorher noch einen Tätigkeitsbericht ab, oder bleibt es bei dem Bericht auf den letzten Drücker, dann unter Ägide der Nachfolge?