Die Woche im kirchlichen Datenschutz

Handschriftliche Dateien und Auskunftsverarbeitungen

Das Interdiözesane Datenschutzgericht hat eine Entscheidung veröffentlicht, bei der vor allem interessant ist, dass es die Aufsicht (in Teilen) anders sehen konnte (IDSG 07/2025 vom 14. Dezember 2025). Es geht um handschriftlich geführte Spendenlisten einer kirchlichen Kleiderkammer. Der Vermieter der Räumlichkeiten der Kleiderkammer, der zugleich zeitweise dort ehrenamtlich mitarbeitete, stellte ein Auskunftsersuchen zu den Spenderlisten, auf denen er sich auch wähnte. Er ging davon aus, dass in den Spendenlisten seine Besuche dokumentiert und teils mit abfälligen Bemerkungen kommentiert wurden. Die verantwortliche Stelle verweigerte die Auskunft. Die Datenschutzaufsicht wies eine Beschwerde zurück: Mit der Negativauskunft sei der Auskunftsanspruch erfüllt, ein Einsichtsrecht gibt § 17 KDG nicht her, bei handschriftlichen Notizen, die nicht in einem Dateisystem gespeichert seien, sei der sachliche Anwendungsbereich des Datenschutzrechts nicht eröffnet, und bei Aufzeichnungen der Beschäftigten der Kleiderkammer sei der organisatorische Anwendungsbereich nicht eröffnet.

Das IDSG entscheidet den Fall wenig spektakulär, weil entlang der herrschenden Meinung. Anders als die Aufsicht stellt es einen Verstoß gegen § 17 KDG fest. Schon die chronologische Sortierung des Spendenverzeichnisses erfülle den Dateicharakter, damit ist Datenschutzrecht anzuwenden (Rn. 22 führt das schön aus). Der Auskunftsanspruch wurde nicht erfüllt, weil die Liste tatsächlich Daten der betroffenen Person enthielt. Die Listen müssen auch der Gemeinde als Verantwortliche zugerechnet werden, nicht den einzelnen Mitarbeitern (Rn. 24). Ein Einsichtsrecht sehe das KDG aber tatsächlich nicht vor. Interessanter ist die Konsequenz einer falschen Auskunft:

»Die Erteilung der inhaltlich fehlerhaften Auskunft stellt nicht nur eine Nichterfüllung des Auskunftsanspruchs aus § 17 KDG dar, sondern auch eine rechtswidrige Datenverarbeitung, die insbesondere gegen die Grundsätze der sachlichen Richtigkeit und Zweckbindung gemäß § 7 Abs. 1 lit. b) und d) KDG (Art. 5 Abs. 1 lit. b) und d) DSGVO) verstößt.« (Rn. 25)

Die Entscheidung gibt damit Verantwortlichen gute Argumente dafür, beim Erfüllen von Auskunftsersuchen sehr sorgfältig zu sein. Hilfreich ist auch, sich zu vergewissern, dass das Auskunftsrecht kein Einsichtsrecht bedeutet, insbesondere dann, wenn dadurch Daten Dritter offengelegt würden.

Aufarbeitungsstudie der DPSG

Die Deutsche Pfadfinder*innenschaft St. Georg hat am Donnerstag den Abschlussbericht des Forschungsprojekts zur Aufarbeitung sexualisierter und spiritueller Gewalt in der DPSG vorgestellt und die Studie veröffentlicht. Eine ausführliche Analyse der Studie von mir ist am Freitag Aufmacher bei katholisch.de. Hier interessant sind die Datenschutzaspekte.

Ein Aufarbeitungsprojekt eines kirchlichen Jugendverbands ist ganz anders gelagert als das eines Bistums oder einer Landeskirche: In ehrenamtlichen Strukturen gibt es keine Personalakten, die Institution, in der aufgearbeitet wird, ist verschieden von den kirchlichen Strukturen, die selbst Recht setzt und damit auch einen Rahmen für Auskunfts- und Einsichtsrechte in kirchenamtliche Akten und Archive schaffen kann. Vor diesem Hintergrund erwartungsgemäß schwierig (von den Forschenden doch aber mit gewissem Befremden dargestellt) ist der Zugriff auf Dokumente der Bistumsarchive und der diözesanen Interventionsstellen. Diese Problematik ist ab S. 434 geschildert.

Weniger zu erwarten sind die innerverbandlichen Probleme (ab S. 428): Der Bundesverband hatte den Diözesanverbänden ein Datenschutzvertragsmuster zur Verfügung gestellt, dass mitten im laufenden Projekt ausgetauscht werden musste:

»Nachdem man [im DPSG-Bundesamt] Ende 2023 davon ausging, dass der Datenschutzvertrag, der zwischen dem Forschungsprojekt und dem Bundesamt hinsichtlich des Bundesarchivs getroffen worden war, auch für den Datenaustausch mit den Diözesanverbänden bzw. -archiven anwendbar wäre, führte eine nachträglich (das heißt nach der eigenen Unterzeichnung des Datenschutzvertrages mit dem Forschungsprojekt bzw. den beteiligten Universitäten Mitte Dezember 2023) durchgeführte nochmalige Überprüfung des Vertrags seitens des Bundesamtes zu der für uns überraschenden Aussage, dass für die Diözesanverbände jeweils eigene neu zu aktualisierende Datenschutzvereinbarungen notwendig sein könnten, die vor allem kirchenarchiv- bzw. datenschutzrechtliche Ergänzungen enthalten müssten (Quellen: M Dok 13; M Dok 14a).« (S. 432)

Welche Probleme es dabei genau gab, ist nicht bekannt. Ein Anhaltspunkt zu Unsicherheiten in Bezug auf das Datenschutzrecht scheint es in der Datenschutzerklärung auf der Webseite der DPSG zu geben: Dort werden jeweils parallel Verweise auf die DSGVO und das KDG angegeben, ohne dass ersichtlich wird, welches Recht nun tatsächlich anzuwenden ist.

Neuer Tätigkeitsbericht des LfDI MV 2024

Ökumenische Zukunft für »Tage ethischer Orientierung«

Im vergangenen Jahr musste die Landesdatenschutzaufsicht Mecklenburg-Vorpommerns in ihrem Bericht noch vom drohenden Aus des Schulprojekts »Tage ethischer Orientierung – protect privacy« berichten. In der Zwischenzeit ist das Projekt erst einmal gerettet, wie im nun erschienenen Tätigkeitsbericht zu finden ist. Statt EU-Mitteln gibt es eine neue Trägerschaft, bei der seit 1. Juli 2024 zunächst für drei Jahre der mecklenburgische und der pommersche Kirchenkreis, das Diakonische Werk MV und das Erzbistum Hamburg kooperieren. »Das Ziel ist, die Schüler:innen zu bewegen, neue Medien und soziale Netzwerke zu verstehen, mit ihnen umgehen zu können und sie zu hinterfragen. Neben technischen Fragestellungen zielt das Projekt auf das Recht auf informationelle Selbstbestimmung und das Bewusstsein über Pflichten und Rechte im digitalen Raum ab.«

Herausforderungen bei kirchlich-weltlicher Zusammenarbeit

Außerdem ging es im Tätigkeitsbericht um einen Fall mit kirchlicher Beteiligung. (Weder die KDSA Ost noch der BfD EKD berichten über diesen Fall in ihren Tätigkeitsberichten, die 2024 umfassen.) Es geht um Kommunen, die mit privaten Leistungserbringern für Teilhabemaßnahmen zusammenarbeiten und die Frage, »ob die Leistungserbringer bereits vor dem Vertragsschluss während der noch laufenden Verhandlungen anhand von Personalnummern nachweisen müssen, dass sie tatsächlich die ausgeschriebene Leistung mit dem erforderlichen Personal erbringen können«. Bei einem kirchlichen Leistungserbringer hatte die zuständige kirchliche Aufsicht die Übermittlung solcher Nummern untersagt. Die kirchliche Einrichtung kam auf einen klugen Gedanken: Wenn sie die Daten nicht übermitteln darf, darf die Behörde sie wahrscheinlich auch nicht empfangen – und auch die staatliche Aufsicht hatte Bedenken. Ziel der Übermittlung der Personalnummern sei die Überprüfung, ob Personal doppelt eingesetzt wird. Die Landesdatenschutzaufsicht hält diese Methode dafür für weniger geeignet: »Der LfDI MV empfiehlt daher den Kommunen, statt der Personalnummer die Stellenbeschreibungen und Bewertungen zu den vereinbarten Stellen anzufordern – natürlich ohne den Namen oder die Personalnummern der Beschäftigten, sollten die Stellen schon besetzt sein.«

Auch wenn der Fall sehr speziell ist: Die Strategie, bei solchen Konstellationen mit weltlicher Beteiligung für die staatliche Seite auch mal als kirchlicher Träger die staatliche Aufsicht anzufragen, ist ein guter Tipp.

KI-Arbeitsgruppe der österreichischen Bischofskonferenz

Der Innsbrucker Bischof Hermann Glettler leitet eine Arbeitsgruppe der österreichischen Bischofskonferenz zu KI. Ziel ist es, »Synergien zu nutzen und juristische wie ethische Fragestellungen sowie praktische Anwendungsperspektiven für die Kirche zu bearbeiten«. Im Herbst wird die interdisziplinäre Arbeitsgruppe der Bischofskonferenz erste Ergebnisse und Handlungsempfehlungen vorlegen.

Auf Artikel 91

• –

Aus der Welt

• Die zentrale Dateiablage im Firmennetz ist einer der Orte, wo Daten wachsen und wuchern und wandern. Die Tipps des BayLfD zu »Dateiablagen als Quelle von Datenpannen« ist nicht nur für bayerische Behörden sinnvoll, um die eigenen Datenhalden in den Griff zu bekommen.

Kirchenamtliches

• Bistum Aachen: Änderungsgesetz zur Ordnung zur Regelung von Einsichts- und Auskunftsrechten für die Kommission zur Aufarbeitung sexuellen Missbrauchs Minderjähriger und schutz- oder hilfebedürftiger Erwachsener, für Forschungszwecke und für Rechtsanwaltskanzleien in Bezug auf Personalakten von Klerikern sowie Sachakten, Verfahrensakten, Registraturakten und vergleichbare Aktenbestände der laufenden Schriftgutverwaltung im Bistum Aachen (AktAuskG)
• Interdiözesanes Datenschutzgericht: IDSG 07/2025 vom 14. Dezember 2025
• Betriebliche Datenschutzsstelle des Bistums Mainz: Tipp des Monats: Datenschutz bei Klingelkameras und Türspionen

KDG-Promulgationen

• Bistum Speyer: Gesetz zur Änderung des Gesetzes über den Kirchlichen Datenschutz (KDG) (KDG-Änderungsgesetz), Gesetz über den Kirchlichen Datenschutz (KDG) – Lesefassung, Verordnung zur Änderung der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO-Änderungsverordnung), Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) – Lesefassung
• Bistum Trier: Gesetz zur Änderung des Gesetzes über den Kirchlichen Datenschutz (KDG) (KDG-Änderungsgesetz), Änderung der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz
• Erzbistum Hamburg: Gesetz zur Änderung des Gesetzes über den Kirchlichen Datenschutz (KDG), Dekret zur Änderung der Durchführungs verordnung zum Gesetz über den Kirchlichen Datenschutz (KDGDVO)
• Bistum Magdeburg: Gesetz zur Änderung des Gesetzes über den Kirchlichen Datenschutz (KDG) – (KDG- Änderungsgesetz), Verordnung zur Änderung der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO- Änderungsverordnung
• Erzbistum Freiburg: Gesetz zur Änderung des Gesetzes über den Kirchlichen Datenschutz (KDG) (KDG-Änderungsgesetz), Verordnung zur Änderung der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO-Änderungsverordnung)
• Bistum Limburg: Gesetz über den Kirchlichen Datenschutz (KDG) – Gesetz zur Änderung des Gesetzes über den Kirchlichen Datenschutz (KDG) – (KDG-Änderungsgesetz) und Lesefassung, Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) – Verordnung zur Änderung der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG- DVO-Änderungsverordnung) und Lesefassung (unkorrigierte Fassung)

Das KDG wurde in Details im Vergleich zum VDD-Beschluss korrigiert. Sofern nicht gesondert gekennzeichnet, enthalten alle aufgeführten KDG-Promulgationen bereits die Korrekturen.