Die Woche im kirchlichen Datenschutz

Streit um Aufarbeitungskommission in Erfurt

Im hier in der vergangenen Woche thematisierten Tätigkeitsbericht der Aufarbeitungskommission im Bistum Erfurt hat die Kommission schwere Vorwürfe gegen den Diözesandatenschutzbeauftragten Matthias Ullrich erhoben: Er behindere mit seiner Rechtsauffassung zur Weitergabe von Betroffenendaten an die Kommission zum Versenden eines Fragebogens die Aufarbeitung.

Die Darstellung der Kommission wird von Ullrich nicht geteilt. Mir gegenüber betonte er, dass mit der von der Kommission erwähnten Rücknahme des Bescheids nur noch eine rechtliche Einschätzung seinerseits in der Welt ist. Rechtsmittel können also nicht ergriffen werden, wie es die Kommission schreibt, mithin konnte sie auch nicht darauf verzichten. »Der Kommission hätte es also freigestanden, trotz der Einschätzung der KDSA-Ost die Befragung durchzuführen, wenn sie unsere Rechtsauffassung nicht teilt«, so Ullrich. Nach seiner Einschätzung wollte die Kommission von der Datenschutzaufsicht die Freigabe des von ihr gewählten Verfahrens, so dass sie bei Beschwerden auf ein durch die Aufsicht genehmigtes Verfahren hätte verweisen können. »Die Befragung ist also nicht daran gescheitert, dass Bischof oder Datenschutzaufsicht das Verfahren vereiteln wollten, sondern an der mangelnden Bereitschaft der Kommission zu ihrer Rechtsauffassung zu stehen und die Verantwortung dafür zu übernehmen. Die Weigerung dem Druck der Kommission nachzugeben ist damit ein Beleg für die Unabhängigkeit und Weisungsfreiheit unserer Aufsicht«, so Ullrich weiter.

Der Darstellung der Kommission im Tätigkeitsbericht über ein Treffen mit Ullrich stellt er seinen Eindruck entgegen, dass die Kommission massiven Druck auf die KDSA Ost ausgeübt habe: »In dem benannten Gespräch wurde mehrfach damit gedroht die Presse einzuschalten, außerdem sollte ich auch bedenken, dass die Kommission einen Bericht schreiben muss und mich darin entsprechend erwähnen würde.« Die Vorsitzende der Aufarbeitungskommission, Ulrike Brune, weist diesen Vorwurf zurück.

Auf Anfrage Brune, zur Position Ullrichs. Sie geht davon aus, dass der Aufhebungsbescheid den ursprünglichen Bescheid nicht vollständig aufgehoben hat: »Denn aus seinem Begleitschreiben zu dem Aufhebungsbescheid vom 19. Juni 2025 geht deutlich hervor, dass die „Rechtliche Würdigung“ und insbesondere die in dem Bescheid vom 2. Juni 2025 enthaltene ausdrückliche Feststellung eines Verstoßes (!) keineswegs von der „Aufhebung“ erfasst sind.« Schon deshalb sei eine Feststellungsklage beim Interdiözesanen Datenschutzgericht trotz Aufhebungsbescheid noch möglich. Brune vermutet eine Strategie, um in die Position zu kommen, ein Bußgeld verhängen zu können: »Die Aufarbeitungskommission verfügt nicht über einen eigenen Etat. Ich war und bin nicht bereit, mich dem enormen finanziellen – und auch persönlichen – Risiko auszusetzen, das ich eingegangen wäre, wenn ich die Fragebögen an die Betroffenen entgegen der von Herrn Ullrich eingenommenen Position versandt hätte, obwohl sie juristisch unhaltbar ist.«

Ergänzung nach Versand des Newsletters: Die vollständigen Stellungnahmen von Matthias Ulrich und Dr. Ulrike Brune habe ich auf Wunsch gesondert veröffentlicht, die Stellungnahme Brunes im vorletzten Absatz wurde ergänzt.

Regelungen zur IT-Nutzung in Würzburg

Das Bistum Würzburg fällt immer wieder durch gut gestaltete Regelungen für die Internet- und IT-Nutzung auf. Im aktuellen Amtsblatt sind gleich mehrere. Eine gute Vorlage für die eigene Einrichtung ist eine Dienstvereinbarung zur Nutzung von Internetdiensten, die alle wesentlichen Aspekte abdeckt und fair gegenüber Beschäftigten ausgestaltet ist, insbesondere hinsichtlich der privaten Nutzung.

Eine Dienstanweisung zur Nutzung von IT-Systemen und die darauf aufbauende Dienstvereinbarung haben praktikable Formulierungen für die Datensicherheit, insbesondere für eine eingeschränkte Erlaubnis zur Speicherung dienstlicher Daten auf privaten Endgeräten. Hilfreich für eigene Dienstvereinbarungen ist § 4 der Dienstvereinbarung, in dem weitere Rechte der MAV festgehalten werden.

Erneuert wurde die Dienstanweisung zur Nutzung von Messengern. Schon die erste Fassung habe ich hier sehr positiv besprochen, weil sie das undankbare Thema grundsätzlich handhabbar geregelt hat. Vor allem klare Regeln für Broadcast-Listen stechen hervor. In der neuen Dienstanweisung werden im Anhang Messenger empfohlen, die dann genutzt werden können, wenn keine Kommunikation über das Intranet möglich ist. Genannt werden über die internen Systeme hinaus Signal, Threema und Messenger auf Matrix-Basis – die Auswahl überzeugt und ermöglicht so, die am weitesten verbreiteten sicheren Dienste zu verwenden.

Bundesrat zur Reform besonderer Kategorien

Der Bundesrat hat seine Stellungnahme zum Digital-Omnibus verabschiedet. Die Vorschläge wirken größtenteils sinnvoll, durchdacht und – angesichts der Tatsache, dass in allen Länderregierungen CDU oder SPD vertreten sind – erstaunlich grundrechtsorientiert. (Speziell: Am Ende stehen mehrere Seiten zu den Auswirkungen des Digital-Omnibus auf die Automobilindustrie.)

Hier interessant sind vor allem die Vorschläge zu einer Reform der Regelungen zu besonderen Kategorien personenbezogener Daten. Im geleakten Omnibus-Entwurf gab es dafür missglückte Vorschläge, die keine Probleme lösten und neue aufwarfen. Unter den Nummern 32 und 33 sind genau die Vorschläge, die ich auch auf meinen Wunschzettel geschrieben hatte:

• Daten sollen nur noch dann unter die besonderen Kategorien fallen, »wenn mit der Verarbeitung solche Datenkategorien abgeleitet werden sollen«. Damit wäre beispielsweise sicher, dass das Foto einer Muslima oder Ordensfrau mit Schleier nicht unter die besonderen Kategorien fällt, und das Problem aufgedrängter besonderer Kategorien hätte sich auch erledigt.
• Besondere Kategorien sollen auf Grundlage eines Vertrags oder vorvertraglicher Maßnahmen verarbeitet werden – dann könnte man endlich in der Sommerlageranmeldung vertraglich vereinbaren, dass Allergieinformationen angegeben werden müssen.

KI-Ordnung in Westfalen

Zu den interessanten Nebensachen der Befassung mit Kirchenrecht gehören die theologischen Sprachspiele, die sich in trockene Regelungsmaterien mischen. Die KI-Regelungen der Diözese Rottenburg-Stuttgart wurden aus dem Bistumspatron, dem heiligen Martin, heraus entwickelt. In der evangelischen Kirche von Westfalen beginnt die Kurzleitlinie
zum Einsatz von KI mit einer subtilen Anspielung auf lutherische Ekklesiologie: »[KI] wird in der [Kirche] bereits eingesetzt, sichtbar und unsichtbar«.

Ansonsten findet sich unter Nr. 8 der Kurzleitlinie ein theologischer Rahmen:

• „Mensch vor Maschine“ gilt uneingeschränkt.
• KI besitzt weder Verantwortung, Gewissen noch geistliche Autorität.
• Verkündigung, Seelsorge und geistliche Begleitung bleiben menschliche Aufgaben.
• KI darf unterstützen, aber nicht führen.

Praxisnah ist die Formulierung von Nr. 3, Erlaubte Nutzung von KI, die die verschiedenen Risikoklassen sehr kompakt unterscheidet.

Limburger Cloud-Strategie

Das Bistum Limburg hat im aktuellen Amtsblatt eine umfangreiche Cloud-Strategie und Cloud Policy veröffentlicht. Vor allem werden darin Anforderungen festgelegt, die Organisation des Einsatzes definiert und Risiken und Schutzbedarfe festgelegt. Für kleinere Organisationen dürfte das eine etwas überkomplexe Vorlage sein, dass ein Bistum so eine umfangreiche Regelung braucht, ist aber nachvollziehbar. Hilfreich für eigene Strategien (auch weniger umfangreiche) sind vor allem die Ausführungen zu Schutzbedarfen und Klassifizierung von Daten im Anhang.

Das Papier kommt ohne einen Verweis auf § 18 KDG-DVO aus, mit dem seit der Reform der Einsatz von Cloud-Diensten geregelt wird. Soweit ersichtlich, erfüllt die Limburger Strategie aber alle darin aufgestellten Anforderungen.

Auf Artikel 91

• IDSG: Prozesskostenhilfe ja, DSGVO-Bußgeldkonzept nein
• KDR-OG neu kommt – Bericht der Ordensdatenschutzaufsicht 2025

Aus der Welt

• Bei seinem Spaziergang durch die DSGVO ist Ralph Wagner bei Art. 26 DSGVO angekommen, der gemeinsamen Verantwortlichkeit. Wie immer seziert er den Normtext kritisch und legt gesetzgeberische Schwafeleien frei. (Punkt für die kirchlichen Gesetzgeber: Bei allen Problemen wurde der von Wagner gefundene Rechtschreibfehler in der DSGVO weder ins KDG noch ins DSG-EKD getragen.) Am Ende zeigt sich, dass die Regelung selbst dann unbefriedigend ist, wenn man die Problematik der gemeinsamen Verantwortlichkeit unter Beteiligung verschiedener Datenschutzregelungen außen vor lässt.

Kirchenamtliches

• Interdiözesanes Datenschutzgericht:
  • IDSG 23/2023 vom 16. Februar 2026
  • IDSG 05/2024 vom 16. Februar 2026
• Bistum Würzburg: Dienstanweisung zur Nutzung von Internetdiensten, Dienstvereinbarung zur Nutzung von Internetdiensten, Dienstanweisung zur Nutzung von IT-Systemen, Dienstanweisung zur Umsetzung der Dienstanweisung zur Nutzung von IT-Systemen, Dienstvereinbarung zur Umsetzung der Dienstanweisung zur Beschaffung von IT-Systemen und zur Dienstanweisung zur Nutzung von IT-Systemen, Dienstanweisung zur Nutzung von Messengern
• KDSA Ost: Kein Schadensersatz bei missbräuchlichen DS-GVO-Auskunftsanträgen
• Landeskiche von Westfalen: Kurzleitlinie zum Einsatz von Künstlicher Intelligenz für die Evangelische Kirche von Westfalen (EKvW) und ihre Körperschaften sowie Ämter und Einrichtungen
• Betriebliche Datenschutzstelle Bistum Mainz: Tipp des Monats: Kommentare in Word
• KDSZ Bayern:
  • Jahresabschluss 2025 fertig gestellt
  • Vorgestellt: Communicare-Formulare
  • FediKirche am Montag: Wie werben wir für das Fediverse?
  • Datenschutzfreundlich Termine finden – mit unserem Terminplaner
  • Neu beim KDSZ Bayern: Beichtdaten-Minimierungs-Siegel (BDMS)
• Gemeinsamer Ordensdatenschutzbeauftragter DOK: Jahresbericht für 2025/2026
• Bistum Limburg: Cloud-Strategie und Cloud Policy