Die Woche im kirchlichen Datenschutz

Prozesskostenhilfe vor dem kirchlichen Datenschutzgericht

Das IDSG hat die Veröffentlichung zweier Fälle angekündigt, die am 16. Februar entschieden wurden. Zu einem davon wurde bereits der Leitsatz veröffentlicht:

»Die Vorschriften des staatlichen Rechts zur Prozesskostenhilfe (§ 166 VwGO, § 114 ZPO) sind im Verfahren vor dem Interdiözesanen Datenschutzgericht entsprechend anwendbar.«

Damit bleibt sich das IDSG treu, fehlende Regelungen aus dem staatlichen, nicht aus dem kirchlichen Prozessrecht zu ergänzen. Hier deutet sich eine besonders weitreichende Entscheidung an. Spannend dürfte vor allem sein, gegen wen sich der Anspruch auf Prozesskostenhilfe richtet: Gegen das Bistum, dessen KDG angewendet wird, (oder den Orden, da das IDSG auch für die KDR-OG zuständig ist)? Oder kommt das Geld aus dem Haushalt des Gerichts, mithin von allen Diözesen? (Und hat dann das Gericht selbst entschieden, dass sein Haushalt entsprechend ausgeweitet wird?)

In jedem Fall ist die Entscheidung eine gute Nachricht für mittellose Betroffene, die das Gericht angehen. Eine Prognose zur Begründung: Da die DSGVO einen wirksamen gerichtlichen Rechtsbehelf fordert, wird das IDSG mit Blick auf das Einklanggebot argumentieren, dass ohne Prozesskostenhilfe Klagende vor den kirchlichen Gerichten schlechter gestellt wären als vor staatlichen.

Streit um Aufarbeitung in Erfurt

Die Unabhängige Aufarbeitungskommission des Bistums Erfurt erhebt in ihrem Jahresbericht 2025 schwere Vorwürfe gegen den Leiter der KDSA Ost, Matthias Ullrich. Der Diözesandatenschutzbeauftragte sieht es laut dem Bericht nicht vom Untersuchungsauftrag der Kommission gedeckt an, dass sich die Kommission mit einem Brief an Betroffene wendet, um mehrere Antworten zum Umgang des Bistums mit ihnen abzufragen. Dazu hatte die Kommission die Postadressen bekannter Betroffener verwenden wollen, nachdem – laut Bericht – weder der Diözesanbischof noch die Unabhängigen Ansprechpersonen diesen Brief versenden wollten. Die Kommission zitiert aus einer Einschätzung der KDSA Ost, dass sich ihre Untersuchung auf die Aktenlage zu beschränken habe. In der Aufarbeitungsordnung des Bistums erhält die Kommission zwar den Auftrag, den »administrativen Umgangs mit Beschuldigten und Betroffenen« zu untersuchen (Nr. 3.1 lit. b)); den Fragebogen sah die Aufsicht aber nicht davon gedeckt, »da diese Fragen ausschließlich Eindrücke und Gefühle sowie Bewertungen der Betroffenen abfragen«.

Der Tätigkeitsbericht schildert die Rechtsauffassung der Kommission ausführlich. Unter anderem wird argumentiert, dass die Aufarbeitungsordnung die Beschränkung auf Akten nicht vorsehe. Die Befragung sei vielmehr nicht nur »für die Wahrnehmung einer im kirchlichen Interesse liegenden Aufgabe, sondern auch für die Glaubwürdigkeit des
Dienstes der Kirche erforderlich und daher nach § 6 Abs. 1 Buchst. f und § 6 Abs. 2 Buchst. j KDG zulässig«. Auch der Arbeitsstab der UBSKM sah die Befragung vom Auftrag als gedeckt an. Diese Auffassung machte sich die KDSA Ost nicht zu eigen und stellte in einem Bescheid fest, dass bereits die Weitergabe der Adressen der Betroffenen rechtswidrig sei; dieser Bescheid wurde kurz darauf zurückgenommen, ohne dass die KDSA Ost von der Position abrückte, dass die Befragung nicht zulässig sei. Wie hoch die Emotionen gekocht sein müssen, zeigt der auf S. 16 unter dem Buchstaben (i) stark emotionalisiert formulierte Bericht über ein schon nach 15 Minuten abgebrochenes Gespräch zwischen Ullrich und Vertreter*innen der Kommission.

Die Kommission bezeichnet die Rechtsauffassung der KDSA Ost zwar als »grob rechtswidrig« und wirft ihr vor, zusammen mit dem Diözesanbischof die Aufarbeitung zu untergraben. Rechtsmittel beim IDSG wurden aber nicht ergriffen, obwohl sie möglich wären. Als Grund dafür wird angeführt, dass die Entscheidung wohl erst nach Ende der Amtszeit der Kommission ergehen würde.

Auf Grundlage des Berichts einer Seite ist die Lage schwer einzuschätzen. (Im Tätigkeitsbericht der KDSA Ost taucht dieser Vorgang nicht auf.) Ullrich ist aus seinen Veröffentlichungen bekannt dafür, die Grundsätze der Zweckbindung und der Erforderlichkeit eng auszulegen. Das kann man anders vertreten, notwendig falsch ist es nicht – zumal die Aufsicht institutionell schon im Zweifel engen Auslegungen zuneigt. Mit Blick auf die Aufarbeitungsordnung wäre durchaus denkbar, dass sich die Rechtsauffassung der Aufarbeitungskommission durchsetzt; zwingend scheint auch das nicht. Unverständlich ist, dass zugunsten von öffentlichen Vorwürfen (zumal in dieser Form!) auf die rechtliche Klärung verzichtet wird – aus Corona-Verfahren ist bekannt, dass das IDSG trotz fehlender Regelung von Eilverfahren in der KDSGO informelle Mittel für einstweiligen Rechtsschutz hat und durchaus schnell entscheidet, wenn Parteien deutlich machen, dass Druck herrscht.

Ergänzung (nicht im Newsletter versandt): Matthias Ullrich teilte mir mit, dass derzeit gar kein Bescheid erlassen ist, mithin auch keine Rechtsmittel möglich wären – damit zugleich aber auch keine Maßnahme der KDSA Ost die Aufarbeitungskommission daran hindert, so vorzugehen, wie von ihr beabsichtigt.

KI in der Sozialberatung

Im Caritas-Digital-Blog geht es um den KI-Chatbot der Caritas zum Thema Bürgergeld: »KI in der Sozialberatung: Warum der Caritas-Chatbot mehr ist als ein nettes Extra« Dabei wird Datenschutz als Qualitätsmerkmal des Caritas-Chatbots im Vergleich zu allgemeinen kommerziellen Plattformen herausgehoben, die nach Einschätzung der Autorin mittlerweile auch recht brauchbare Antworten geben können:

»Wer ChatGPT mit sensiblen persönlichen Daten füttert – Einkommen, Gesundheitszustand, Schulden – überträgt diese Daten an einen US-amerikanischen Konzern. Für viele Ratsuchende ist das keine theoretische Frage, sondern eine mit echten Konsequenzen.
Der Caritas-Chatbot läuft auf datenschutzkonformer Infrastruktur nach deutschem und europäischem Recht. Keine Weitergabe an Dritte, kein Training mit Gesprächsdaten, kein Graubereich. Die meisten Ratsuchenden werden das nicht explizit einfordern – und genau deshalb ist es die Pflicht einer Beratungsorganisation, es strukturell sicherzustellen. Nicht als Feature, sondern als Haltung.«

Der Artikel lohnt die Lektüre, weil er sehr deutlich macht, wie viele verschiedene Aspekte ethisches und fachlich grundiertes Design hat – bis hin zur Frage, ob der Chatbot Du oder Sie sagt.

Prävention schlägt Datenschutz in der Schweiz

Aus gutem Grund legt man mittlerweile großen Wert auf Maßnahmen zur Prävention sexualisierter Gewalt in der Kirche. Die Regelungen dafür drohen aber, die Rechte der (im datenschutzrechtlichen Sinn) Betroffenen zu beeinträchtigen. In der Schweiz müssen angehende katholische Seelsorger*innen ein psychologisches Assessment durchlaufen, für das die Schweizer Bischofskonferenz jetzt Ausführungsbestimmungen in Kraft gesetzt hat. Die summarischen Ergebnisse werden dauerhaft in der jeweiligen Diözese im Ausbildungsdossier aufbewahrt, die drei Berichte über »Testing, kompetenzorientiertes Gespräch, forensisch-klinisches Gespräch« werden »streng vertraulich an einem sicheren Ort« durch die Ausbildungsleitung dauerhaft aufbewahrt. Nur bei der summarischen Zusammenfassung heißt es knapp in den Ausführungsbestimmungen: »Dazu gibt der Kandidat/die Kandidatin sein/ihr Einverständnis.« Bei der Aufbewahrung der drei Berichte gibt es keinen Hinweis auf ein Einverständniserfordernis für die Speicherung. Erstaunlich offen und unter der beschönigenden Überschrift »Datenschutz und Transparenz vereint« heißt es dazu bei kath.ch:

»Die Kandidatinnen und Kandidaten müssen zu diesem Vorgehen ihr Einverständnis geben. Sie dürften allerdings Mühe haben, eine Stelle zu finden, wenn in ihrem Ausbildungsdossier der diözesane Abklärungsnachweis fehlt.«

Zumindest nach europäischem Recht wäre das Schweizer Vorgehen offensichtlich rechtswidrig, auch nach kirchlichem Datenschutzrecht (jedenfalls dann, wenn kein anderes kirchliches Gesetz das Datenschutzrecht aushebelt): Mit einer datenschutzrechtlichen Einwilligung hat ein im Geltungsbereich des Beschäftigtendatenschutzes (der beginnt bereits bei der Entscheidung für die Begründung des Beschäftigungsverhältnisses) derart offensichtlich nicht freiwilliges Einverständnis nichts zu tun, die Vorratsdatenspeicherung von sensiblen Assessments ist ebenso zweifelhaft.

Anlasslose Fingerabdrucksammlung in Detroit

Prävention, hinter der die Rechte von Beschäftigten zurücktreten, ist keine Schweizer Spezialität. In der Erzdiözese Detroit hat Erzbischof Edward J. Weisenburger Mitte März in einem Hirtenbrief über neue Präventionsmaßnahmen informiert, zu denen die Erhebung von Fingerabdrücken des gesamten Klerus, aller Lehrkräfte sowie aller Beschäftigten und Ehrenamtlichen, die mit Kindern und schutzbedürftigen Erwachsenen arbeiten, gehört. Fingerabdrücke nehmen sei der »Goldstandard«:

»Fingerprinting serves not only as a thorough prescreening measure but also as an ongoing safeguard. Through participation in state and federal databases, we will receive notification of subsequent arrests of anyone in our system who has been fingerprinted, enabling timely and appropriate action when necessary.«

Angesichts der politischen Großwetterlage in den USA kann man so ein Vorgehen bestenfalls naiv nennen. Auch diese Maßnahme wäre nach europäischem und kirchlichem Datenschutzrecht klar illegal. Zu den zahlreichen rechtsstaatlichen Defiziten der USA gehört auch das Fehlen eines bundesweiten Datenschutzgesetzes. Illinois, der Bundesstaat, in dem Detroit liegt, hat zwar ein Datenschutzgesetz, das bleibt aber rudimentär und regelt nur das Vorgehen bei Datenschutzvorfällen.

Auf Artikel 91

• Erosionen – Tätigkeitsbericht der KDSA Ost 2025

Aus der Welt

• Cloud ist meist nur ein anderes Wort für »der Computer von jemand anderem« – deshalb sieht unter anderem die KDG-DVO vor, dass jedes Cloud-Konzept auch eine Ausstiegsstrategie braucht. Die Unternehmensberatung Lünendonk & Hossenfelder hat in ihrer Studie zur digitalen Souveränität »Vom Risiko zur Resilienz« festgestellt, dass die befragten Unternehmen es für realistisch halten, dass ihre Cloud-Systeme in einem »Kill-Switch-Szenario« wegfallen, weil sie abgeschaltet werden: 83 Prozent halten das für wahrscheinlich, 47 Prozent halten ein politisch motiviertes Kill-switch-Szenario in den kommenden zwei Jahren für realistisch – aber nur 14 Prozent haben Exit-Strategien definiert.

Kirchenamtliches

• Katholische Kirche der Niederlande: AVG-nieuws: parochies let op de termijnen bij verzoeken tot uitschrijving of inzage[Pfarrgemeinden beachten bitte die Fristen bei Anträgen auf Löschung oder Auskunft]
• Interdiözesanes Datenschutzgericht:
  • 16.02.2026 – IDSG 23/2023 [Nur Aktenzeichen, Entscheidungsdatum und Leitsatz, keine weiteren Informationen]
  • 16.02.2026 – IDSG 05/2024 [Nur Aktenzeichen und Entscheidungsdatum, keine weiteren Informationen]
• Evangelisch Kirche A. u. H.B. in Österreich: Verordnung des Oberkirchenrates A.u.H.B. zu dienstlichen E-Mail-Adressen gemäß § 4 Abs. 4 DatSchG
• Bistum Augsburg: Verordnung zur Änderung der Verordnung zur Durchführung des Gesetzes zur Regelung des Rechtsinstruments nach § 29 Gesetz über den kirchlichen Datenschutz (KDG) im Bereich der Diözese Augsburg vom 01.12.2019 – (§ 29-KDG-DVO)
• KDSA Ost: KDSA veröffentlicht ihren 10. Tätigkeitsbericht von 2025