Dieses Jahr hat die KDSA Ost das traditionelle Kopf-an-Kopf-Rennen mit der Ordensdatenschutzaufsicht um den schnellsten Tätigkeitsbericht einer kirchlichen Aufsicht für sich entschieden. Im Jubiläumsjahr ihres zehnjährigen Bestehen zeichnet der Diözesandatenschutzbeauftragte Matthias Ullrich nicht das rosigste, aber wohl ein realistisches Bild der grundrechtlichen Großwetterlage, die längst nicht mehr nur für die von ihm beaufsichtigten ostdeutschen Bistümer herrscht.
Zugleich ist der 10. Tätigkeitsbericht für 2025 aber wieder voll mit sehr praktischen Fällen und Tipps – allen voran die Einblicke in die Prüfung von Mitarbeitervertretungen helfen im Arbeitsalltag sehr, ein gutes Datenschutzmanagement aufzubauen.
Grundsätzliche Einschätzungen
Die Vorworte des Diözesandatenschutzbeauftragten Matthias Ullrich sind jedes Jahr herauszuheben: Kein anderer unter den Diözesandatenschutzbeauftragten äußert so klare und deutliche Einschätzungen der politischen Lage und so wenig floskelhafte Bekenntnisse zu Datenschutz als Grundrechtsschutz.
Erosion des Datenschutzes
Ullrich bleibt sich auch im 10. Tätigkeitsbericht der KDSA Ost treu. Er beklagt eine Erosion des Datenschutzes nicht nur unter dem Banner des angeblichen Bürokratieabbaus. Der Diözesandatenschutzbeauftragte benennt einige Gesetzgebungsvorhaben, die immer neue Überwachungsmaßnahmen vorsehen, insbesondere Register für psychisch Kranke und zur Erfassung der Änderung von Geschlechtseinträgen. »Weil aus einzelnen Gruppen einzelne Straftäter hervorgegangen sind, sollen diese Gruppen insgesamt unter Generalverdacht gestellt werden«, stellt er fest. Zur Chatkontrolle zitiert Ullrich Wolfgang Kubicki: »Sollte jemals eine autokratische Partei wie die AfD die Macht übernehmen oder die parlamentarische Mehrheit, brauchte sie keine Gesetze mehr zu ändern, um derartige Kontrollinstrumente dann konsequent gegen die andere Seite zu verwenden.«
Zum Berichtsgebiet gehören alle ostdeutschen Bundesländer (nur der mecklenburgische Teil des Erzbistums Hamburgs wird von der KDSA Nord abgedeckt), und damit die, in denen in diesem Jahr gewählt wird. In diesen Kontext stellt Ullrich seine Aufforderung zur kirchlichen Datensparsamkeit: »Da die AfD die Kirchen zu ihren Gegnern erklärt hat und diejenigen richten will, die über die AfD richten, besteht eine konkrete Gefahr der Benachteiligung von Kirchenmitgliedern im Falle einer Regierungsübernahme.« Die genannten Konsequenzen, nämlich vor dem Veröffentlichen von Bildern nachzudenken und E-Mail-Verteiler zu schützen, sind einerseits Standards des Datenschutzmanagements. In der politischen Situation, in der wir uns heute befinden, zeigt sich ihre grundsätzliche Bedeutung.
Geschichte der KDSA Ost
Am 1. Januar 2026 hat die KDSA Ost ihren zehnten Geburtstag gefeiert. Das Vorwort zeichnet die Entwicklungen seither nach. Grundlage war das EuGH-Urteil zur Unabhängigkeit von Datenschutzaufsichten. Plastisch beschreibt Ullrich, wie der erste Diözesandatenschutzbeauftragte allein für alle nord- und ostdeutschen Diözesen zuständig war. »Die Zuteilung eines solchen Gebietes an einen einzelnen Mitarbeiter ließ erkennen, wie man sich seinerzeit eine Datenschutzaufsicht vorstellte. Der Kollege tat, was er tun konnte.«
Heute ist es besser, die beiden Nachfolgebehörden, die KDSAs Ost und Nord, haben je vier Mitarbeitende. Ullrich hebt die Besonderheit von unabhängigen Behörden hervor, die selbst den Bischof rügen und ihm Weisungen erteilen können. »Tatsächlich ist es in den zehn Jahren des Bestehens dieser Behörde noch nicht einmal passiert, dass von Seiten eines Bischofs, Generalvikars oder anderen Verantwortlichen versucht worden ist, die Unabhängigkeit der Aufsichten infrage zu stellen oder Einfluss auf unsere Tätigkeit auszuüben.«
Aus der Praxis berichtet Ullrich, dass die niedrigere Obergrenze für Bußgelder im KDG nicht dazu führt, dass geringere Bußgelder verhängt werden. Dazu kommt die Beobachtung, dass kirchliche anders als staatliche Aufsichten fast alle Verantwortlichen in ihrem Zuständigkeitsbereich kennen – das ermöglicht eine deutlich bessere Beaufsichtigung, der kaum jemand durch die Lappen gehen kann.
Aufsichtstätigkeit
Der Tätigkeitsbericht fokussiert sich auf sehr praxisrelevante Fälle. Was etwas kurz kommt, sind die quantitativen Entwicklungen von Beschwerden, Datenpannen und der Belastung der Aufsicht allgemein – also alles wie immer.
Prüfungen
Im Berichtszeitraum werden mehrere Prüfungen aufgezählt. Die Prüfung einer katholischen Schule und dreier Mitarbeitervertretungen werden etwas ausführlicher beschrieben. Ein eigenes Kapitel widmet sich technischen Prüfungen.
Aus den Prüfungen lassen sich allgemein mehrere Punkte ziehen:
- Die grundlegende Datenschutzdokumentation sollte stehen: Verarbeitungsverzeichnis und Verpflichtungserklärungen auf das Datengeheimnis werden geprüft.
- Darüber hinaus sind dokumentierte Abläufe wichtig: Wie wird mit Auskunftsersuchen und mit Datenpannen umgegangen? Gibt es ein Löschkonzept?
- Schließlich sind die Pflichten des Datenschutzmanagements im Fokus: Sind betriebliche Datenschutzbeauftragte bestellt, werden Schulungs- und Sensibilisierungsmaßnahmen durchgeführt?
- Technische und organisatorische Maßnahmen sollten nicht von der Stange kommen, sondern auf die jeweiligen Risiken und Gegebenheiten abgestimmt sein.
Datenpannen, Fälle und Vorfälle
- Videoüberwachung ist immer wieder ein Problem. Dass es zu so krassen Fällen kommt wie einer Kamera im Behandlungsraum eines Krankenhauses, wundert dann aber doch. Anhand verschiedener Fälle werden Kriterien für die Zulässigkeit dargelegt. Lesenswert ist etwa der Fall »Videoüberwachung im Jugendraum«, wo die Überschrift Böses verheißt, die Umsetzung der Videoüberwachung aber durch ein gutes und anlassbezogenes Konzept vorbildlich umgesetzt wurde – wäre das Video, das den Täter überführt hat, nicht hinterher triumphierend in einer Chatgruppe herumgereicht worden.
- In der eigenen Einrichtung behandelte Beschäftigte brauchen besonderen Schutz vor neugierigen Kolleg*innen. Wie das geht, wird ausführlich geschildert.
- Die klassischen Datenpannenursachen nehmen nicht ab: Fehlversände per Post und E-Mail, Einbrüche in Kitas mit gestohlenen Kameras und damit SD-Karten, verlorene Unterlagen und Druckaufträge, die unbeaufsichtigt irgendwo landen.
Bußgelder
Der Bericht erwähnt zwei Bußgelder: Beim ersten geht es um einen nur extrem zögerlich erfüllte Auskunftsantrag. Erst nach mehrfachem Intervenieren und nach mehr als 15 Monaten sei der Antrag erfüllt worden. Beim zweiten geht es ebenfalls um ein Auskunftsersuchen, in diesem Fall im Kontext einer Patientenakte. Das Krankenhaus wollte die Akte nur persönlich übergeben, die Übergabe ist dann mehrfach gescheitert aus Gründen, die das Krankenhaus zu verantworten hatte. Der Grund für die persönliche Übergabe sollte das Qualitätsmanagement sein. Davon steht nichts im KDG, das Bußgeld war vierstellig.
Bei beiden Bußgeldern zeigt sich, dass sie eigentlich vermeidbar gewesen wären. Für ein Bußgeld braucht es vor allem Bockigkeit des Verantwortlichen.
Beschäftigtendatenschutz
Unter den Diözesandatenschutzbeauftragten ist Matthias Ullrich der ausgewiesene Experte für Beschäftigtendatenschutz. Im Tätigkeitsbericht schlägt sich das mit einem eigenen Schwerpunkt nieder. Einige Fälle aus diesem Bereich werden referiert. Besonders interessant sind die Ausführungen zum Datenschutz der MAV und angrenzenden Themen.
Einzelne Fälle
So weist Ullrich etwa auf das EuGH-Urteil zu Betriebsvereinbarungen als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten hin (Urteil vom 19.12.2024 – C-65/23) und ordnet seine Anwendung im kirchlichen Datenschutz ein. Dienstvereinbarungen können eine Rechtsgrundlage sein, »müssen jedoch mit dem KDG / der DS-GVO vereinbar sein, deren Anforderungen vollständig erfüllen, ohne diese zu unterschreiten oder zu umgehen«. Im Ergebnis heißt das, dass Dienstvereinbarungen nur das Datenschutzniveau erhöhen können. (Unausgesprochen bleibt, dass Dienstvereinbarungen das Datenschutzniveau auch gleich lassen können; dann regeln sie aber wohl in dieser Hinsicht ohnehin nichts.)
Interessant und praxisrelevant, aber selten im Blick ist der Umgang mit freigegebenen dienstlichen Kalendern. Der Bericht weist zunächst darauf hin, dass Vorgaben zur Freigabe der Mitbestimmung unterliegen, da sie zur Überwachung und Leistungskontrolle geeignet sind. Wichtig ist, dass private Termine auch systemseitig als privat gekennzeichnet werden, wie es im Outlook-Kalender möglich ist, die anderen Termine sollen auf das Erforderliche reduziert werden.
Datenschutz der MAV
Der Fall der verlorenen MAV-Unterlagen, den Ullrich in seinem Beitrag für die ZMV schon referiert hat, wird nun auch öffentlich zugänglich ausgeführt. Er vertritt weiterhin die Position, dass es genügt, die für Zustimmungsanträge erhaltenen Personalunterlagen lediglich in der MAV-Sitzung zur Kenntnis zu nehmen: »Das Anfertigen von Kopien für die einzelnen MAV-Mitglieder kann nicht auf § 53 KDG gestützt werden, da sie nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.« Das ist vertretbar, man kann es aber auch weniger eng sehen – etwa indem man die Kopie nicht auf § 53 KDG stützt, sondern auf eine aus der MAVO abgeleitete gesetzliche Erlaubnis. Da nun aber die Aufsichtsposition bekannt ist, sollte eine MAV, die Unterlagen zur Vorbereitung und nicht nur in der Sitzung nutzen will, sich möglichst absichern, etwa durch eine Regelung in der GO, dass das so gehandhabt wird, und vor allem mit geeigneten technischen und organisatorischen Maßnahmen, die von allen MAV-Mitgliedern gekannt und gelebt werden.
Sehr hilfreich sind die Berichte über drei Prüfungen von MAVen. Von den MAVen wurde verlangt, Kenntnis von den einschlägigen Verarbeitungen im Verarbeitungsverzeichnis zu haben, die Verpflichtungserklärungen müssen vorliegen, Unterlagen müssen sicher und mit angemessenem Löschkonzept aufbewahrt werden. MAV-Mitglieder müssen für ihre Tätigkeit angemessen im Datenschutz geschult werden.
Aus dem Bericht selbst wird nicht ganz klar, ob die bei den Prüfungen verlangten Verzeichnisse von Verarbeitungstätigkeiten von der MAV verlangt werden – die Pflicht trifft ja eigentlich den Verantwortlichen. Auf Anfrage erläuterte mir Matthias Ullrich, wie er das verstanden haben will: Er betont, dass der Dienstgeber für den Bereich der MAV ohne Mitwirkung der MAV kein Verarbeitungsverzeichnis erstellen kann, ein solches aber benötigt wird. »Die MAV muss dem Dienstgeber alle Informationen zur Verfügung stellen, die dieser für die Erstellung eines solchen Verzeichnisses benötigt«, erläutert Ullrich. »Es ist mir an dieser Stelle nur wichtig zu betonen, dass der Dienstgeber nicht ohne Beteiligung der MAV dieser ein VVT ›aufdrückt‹.«
Bei der Kommunikation der MAV legt die Aufsicht hohe Standards an: Die Verteilung von Unterlagen zur Mitbestimmung in Personalangelegenheiten über die Hauspost in verschlossenen Umschlägen genügt nicht, stattdessen sollte direkt in einen verschlossenen MAV-Briefkasten zugestellt werden. Kritisch wird über einen E-Mail-Verteiler der MAV gesprochen statt einem eigenen MAV-E-Mail-Postfach – ein Verteiler sorgt für große Probleme, das Löschkonzept durchzusetzen. Gelobt wird eine MAV, die ihre Beratungsunterlagen digital mit einem abgestuften und zeitlich begrenzten Zugangskonzept organisiert. Insbesondere nutzt diese MAV für jede Sitzung freigegebene Ordner mit allen nötigen Unterlagen – das ist deutlich einfacher zu managen als auf Vertrauensbasis ein Löschkonzept bei den Postfächern der einzelnen MAV-Mitgliedern durchzusetzen. Dieses Verfahren kann auch dazu dienen, die problematisierte Situation ausgedruckter und dann verlorener Unterlagen aus dem ersten Fall zu umgehen.
Für einen Selbst-Check der eigenen MAV kann der Fragebogen einer schriftlichen Prüfung einer Krankenhaus-MAV herangezogen werden.
Praxistipps
Durch den ganzen Bericht ziehen sich Praxistipps zu den vorgestellten Themen – das ist sehr hilfreich. Herauszuheben sind etwa die Ausführungen im Kapitel »Datenschutz allgemein« zu Auskunftsersuchen, zur Videoüberwachung und zum Datengeheimnis. Im Anhang findet sich ein ausführlicher Handlungsleitfaden zum Umgang mit Auskunftsersuchen und eine Prozessregelung für das Erstellen und Verarbeiten von Fotos. Im technischen Teil am Ende gibt es auch lesenswerte Ausführungen dazu, wann und wie BCC, wann Serien-E-Mails und wann Newslettersysteme für den Versand an mehrere Empfänger*innen sinnvoll sind.
Datengeheimnis
Das Datengeheimnis aus § 5 KDG ist eine kirchliche Besonderheit, nachdem das BDSG die Verpflichtung darauf nur noch für Behörden vorsieht. Die genaue Ausgestaltung war bisher wenig ausgefaltet. Zugleich ist die Verpflichtung aufs Datengeheimnis das, was Aufsichten gerne als erstes prüfen: Wenn das schon nicht klappt, wird der Rest des Datenschutzmanagements auch nicht super sein.
Der Diözesandatenschutzbeauftragte äußert sich neben den Rahmenbedingungen ausführlich zum Inhalt. Wichtig sei, nicht nur aufs KDG zu verpflichten, sondern auf alle einschlägigen Datenschutznormen. Einige zählt er dabei beispielhaft auf, etwa die einschlägigen Sozialgesetzbücher, das Seelsorge-PatDSG, das Fernmeldegeheimnis, Schweigepflichten und Schulgesetze. Das dürften bisher wenige Verantwortliche so detailliert machen – dass es zu tun ist, ist aber schlüssig: Sonst bleibt der Zettel mit der Verpflichungserklärung nur sinnlos Compliance, wenn man gar nicht transparent macht, auf was man eigentlich alles verpflichtet wird.
Mit dieser Auffassung kann man § 5 KDG einer genaueren Lektüre unterziehen. Meist wird diese Regelung wohl so verstanden, dass Beschäftigte zu Beginn ihres Beschäftigungsverhältnisses auf das Datengeheimnis zu verpflichten sind. Tatsächlich steht dort aber »bei der Aufnahme ihrer Tätigkeit« – das kann jederzeit auch in einem laufenden Beschäftigungsverhältnis sein, wenn neue Aufgaben dazukommen, etwa die Wahl in die MAV.
Soziale Medien
Eine ausführliche Checkliste klärt, was bei der Nutzung von sozialen Medien zu beachten ist. Darin tauchen Standards wie eine Datenschutzerklärung, datensparsame und datenschutzfreundliche Nutzung und technische und organisatorische Maßnahmen auf – das sagt sich leicht, in der Praxis wird das aber in der Regel dazu führen, dass sich Verantwortliche eingestehen müssen, dass die meisten Dienste nicht rechtskonform betrieben werden können. Lediglich als »ggf.« werden Alternativen wie Mastodon empfohlen.
Für die Veröffentlichungen von personenbezogenen Daten kommt für die Aufsicht – nachvollziehbar – nur die Einwilligung in Frage. Die muss informiert sein – eine Herausforderung: Wer weiß schon, was Meta alles macht? Immerhin gibt es hier einen Fingerzeig: Es brauche einen »Hinweis was mit den Daten im Internet passieren kann«. Ausdrücklich schließt sich die KDSA den Empfehlungen und der Checkliste der Landesdatenschutzbeauftragten von Sachsen-Anhalt zu Instagram an Schulen und Kitas an.
Fazit
Die Schnelligkeit der Veröffentlichung bringt keine Abstriche bei der Qualität des Berichts mit sich – im Gegenteil: Die vielen Praxisbeispiele und -tipps sind eine hervorragende Unterstützung, um das eigene Datenschutzmanagement stark zu machen.
Matthias Ullrich hat das Jubiläumsjahr für einen kurzen historischen Abriss genutzt. Eine Geschichte des kirchlichen Datenschutzes steht immer noch aus – solche Einblicke werden dafür wichtige Quellen sein.
Tätigkeitsberichte von Aufsichten werden wohl nicht von allzu vielen Menschen gelesen. Gerade die immer sehr klaren Vorworte von Ullrich verdienen aber eine größere Verbreitung: Hier wird jedes Jahr deutlich, was es bedeutet, dass Datenschutz Grundrechtsschutz ist.