Die Woche im kirchlichen Datenschutz

Kirchliches Interesse im neuen KDG

Einen Blick auf die katholische Datenschutzreform wirft der NRW-Diözesandatenschutzbeauftragte Steffen Pau in der aktuellen Ausgabe der BvD-News. Der Überblick ist generell lesenswert und fasst konzis die Änderungen zusammen. Sehr interessant ist, dass sich Pau zur nach wie vor schwierigen Rechtsgrundlage des »kirchlichen Interesses« äußert:

»Vor dem Hintergrund der Auslegung des „öffentlichen Interesses“ in der DSGVO wird man auch vom „kirchlichen Interesse“ eine gewisse Ausgestaltung erwarten dürfen, um hier berücksichtigt werden zu können. Jede Datenverarbeitung im Zusammenhang mit einer kirchlichen Betätigung als im kirchlichen Interesse im Sinne des KDG zu interpretieren, würde die Regelung des § 6 Abs. 1 lit. f KDG zu einer generellen Ermächtigung zur Verarbeitung von personenbezogenen Daten erweitern, da wohl jede (rechtlich erlaubte) Betätigung kirchlicher Stellen auch im Interesse der Kirche und ihres Auftrages erfolgen dürfte.«

Löschfristen für die MAV

In der aktuellen ZMV hat Jacob Joussen einen lesenswerten Artikel zur Löschung personenbezogener Daten durch die MAV veröffentlicht. Das meiste dürfte bekannt sein, hier wird es noch einmal gut belegt und argumentiert zusammengefasst. Über die üblichen Darstellungen hinaus gehen Aussagen zu Löschfristen für unterschiedliche Arten von in der MAV vorliegenden Daten in Fällen, bei denen keine Löschfrist etwa durch Gesetz vorgegeben ist.

Joussen nennt drei Grundsätze:

• die Aufbewahrung maximal für die Dauer einer Amtsperiode,
• die Löschung bei Beendigung durch Kündigung oder bei Ablauf der Befristung des Arbeitsverhältnisses sowie
• allgemein »sobald die Mitwirkungs- bzw. Überwachungsaufgabe der MAV beendet ist und die Daten für die Tätigkeit der MAV nicht mehr nötig sind« (Hervorhebung ergänzt).

Als Ausnahme von Punkt zwei nennt er streitig beendete Arbeitsverhältnisse; in diesem Fall darf die MAV die Daten so lange aufbewahren, bis der Konflikt (rechtlich) beendet ist.

Für Protokolle ergibt sich daraus, dass sie so lange aufzubewahren sind, »wie ihr konkreter Inhalt von rechtlicher Bedeutung ist«. Insbesondere Protokolle, die für Dienstvereinbarungen und ihre Entstehung relevant sind, müssen damit auch über die laufende Amtsperiode hinaus aufbewahrt werden.

Joussen argumentiert für die allgemeine Frist von einer Amtsperiode damit, dass eine MAV jeweils für eine Wahlperiode gewählt ist und die neue MAV zwar Funktionsnachfolgerin ist, ansonsten aber ein neues, nicht mit der vorigen MAV identisches Gremium.

In der Praxis ist die daraus schlüssig folgende grundsätzliche Frist von einer Amtsperiode schwierig zu handhaben. Ich plädiere daher in meinen – ansonsten zum selben Ergebnis kommenden – Empfehlungen zu Aufbewahrungsfristen und Löschkonzept für die MAV dafür, als MAV im Datenschutzkonzept die Aufbewahrung für mindestens eine weitere Amtsperiode festzulegen. Im MVG-EKD spricht für die Zulässigkeit, dass Einer-MAVen ihre Unterlagen der Nachfolger-MAV übergeben müssen (§ 18 Abs. 5 MVG-EKD) und nicht etwa vernichten müssen – wenn also für eine Einer-MAV gilt, dass das Nachfolgegremium die Unterlagen erhalten darf, warum sollte das nicht auch für größere gelten? Allgemein lässt sich anführen, dass zwar keine Kontinuität des Gremiums besteht, wohl aber eine geordnete Übergabe für die wirkungsvolle Vertretung der Mitarbeitenden erforderlich ist und dabei hilft, die Waffengleichheit gegenüber dem Dienstgeber herzustellen, der schließlich auch nicht regelmäßig Unterlagen zu seiner Meinungsbildung vernichten muss.

Tätigkeitsbericht Referat Datenschutz der Erzdiözese Freiburg

Das Referat Datenschutz der Erzdiözese Freiburg stellt die betrieblichen Datenschutzbeauftragten für die Erzdiözese, alle ihre Pfarreien und viele ihrer Einrichtungen. Solche Einrichtungen gibt es in vielen Diözesen und Landeskirchen, bemerkenswert ist die Transparenz in Freiburg: Jährlich wird ein Tätigkeitsbericht öffentlich zur Verfügung gestellt. Der Tätigkeitsbericht 2025 ist nun erschienen.

Der 16seitige Bericht zeigt eindrücklich, wie es aussieht, wenn bDSB ihre Arbeit ernst nehmen. Wer diese Aufgabe neu übernimmt, findet im Bericht wertvolle Hinweise, wie man sie gut ausüben kann. (Wenn man die Ressourcen und die tatsächliche Freiheit dafür hat.)

Neben den Einblicken ins Datenschutzmanagement ist auch ein Hinweis auf eine Anordnung des KDSZ Frankfurt, der zuständigen Aufsicht, interessant, die bisher noch nicht bekannt war. Es geht um Elternbeiräte:

»Teilweise besteht auch auf Seiten der Elternbeiräte Schulungsbedarf zum Umgang mit personenbezogenen Daten. So wurde im Berichtszeitraum erstmalig und anlassbezogen eine Schulung zum Datenschutz für Elternbeiräte vom KDSZ in Frankfurt angeordnet und dem- entsprechend durch den zuständigen bDSB durchgeführt.«

Elternbeiräte sind keine eigenen verantwortlichen Stellen (zumindest gemäß der unter kirchlichen Aufsichten herrschenden Meinung), mithin unter der Verantwortung der jeweiligen Kita oder Schule. Hier wäre es sehr interessant zu wissen, was die Hintergründe sind und wie eine Schulung für Elternbeiräte aussieht – und wie man diese Ehrenamtlichen ins Datenschutzmanagement der Einrichtung wirksam eingliedert. Hoffentlich wird dieser Fall im noch ausstehenden Tätigkeitsbericht des KDSZ Frankfurt besprochen.

Religionsbezogene Daten als Beifang bei LinkedIn

Wer das Business-Netzwerk LinkedIn mit einem Chromium-basierten Browser benutzt, muss damit rechnen, anhand installierter Browser-Erweiterungen kategorisiert zu werden. Insgesamt werden nach einer Recherche der NGO Fairlinked e. V. (über die man erstaunlich wenig herausfindet) 6.200 Erweiterungen herangezogen. LinkedIn hat verschiedenen Medien gegenüber bestätigt, das Fingerprinting-Skript einzusetzen, dementiert aber eine nicht rechtskonforme Nutzung der erhobenen Daten.

Besonders heikel ist das, weil unter den überprüften Erweiterungen auch solche sind, aus denen besondere Kategorien personenbezogener Daten abgeleitet werden können, unter anderem die religiöse Einstellung:

»LinkedIn scans for PordaAI (5,000 users), described as “Blur Haram objects in Images and Videos, Real-time AI for Islamic values.” A user who has this extension installed is a practicing Muslim. LinkedIn also scans for Deen Shield (12 users), described as “Blocks haram & distracting sites, Quran Home Tab.”
If LinkedIn detects either extension, it has collected data revealing that person’s religion. Article 9 prohibits this.«

Ausführlich schildert Golem, um was es geht.

Dresden-Meißen jetzt mit KDV-DVO

Bei der Promulgation in Dresden-Meißen hat man wohl zunächst die KDG-DVO vergessen. Im aktuellen Amtsblatt wird das nun nachgeholt, jetzt gilt die KDG-DVO flächendeckend, wie schon zuvor das KDG.

Auf Artikel 91

• Bußgeldkonzept gekippt, aber nicht ganz?

Aus der Welt

• Nochmal LinkedIn: Mit einem Reisepass verifizieren führt zu einem blauen Haken. Das geht ziemlich schnell – dann sind die Daten aber bei fast allen dubiosen Unternehmen, die man sich denken kann: Amazon, Google, OpenAI, Groqcloud und noch einige mehr. Wie schlimm es ist, steht bei The Local Stack, auf Deutsch bei Golem.

Kirchenamtliches

• KDSZ Bayern:
  • Neuauflage der BSI „Hall of Fame“ für E-Mail-Sicherheit – Jetzt beteiligen!
  • Open-Source-Wettbewerb 2026: Katholische Einrichtungen zur Teilnahme aufgerufen
• Bistum Rottenburg-Stuttgart: Formular zur Software-Beschaffung
• Bistum Hildesheim: Gesetz zum Schutz von Patientendaten bei der Seelsorge in katholischen Einrichtungen des Gesundheitswesensin der Diözese Hildesheim (Seelsorge-PatDSG)
• Erzbistum Freiburg, Referat Datenschutz: Tätigkeitsbericht 2025
• Bistum Dresden-Meißen: Verordnung zur Änderung der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO-Änderungsverordnung)
• KDSZ Dortmund: Artikel zum kirchlichen Datenschutz in den BvD-News 1/2026