2026 können katholische Verantwortliche da einsteigen, wo evangelische hoffentlich schon fertig sind: Die Anpassung des eigenen Datenschutzkonzept an das reformierte KDG steht an. Im Kern des Datenschutzrechts dürfte damit erst einmal Konstanz anstehen – wenn nicht Reformen an der DSGVO und dem BDSG doch noch Wirklichkeit werden. Und manche Neujahrswünsche sind mittlerweile schon traditionell: dass diverse (Verwaltungs-)Gerichte tätig werden, dass Alt-Katholik*innen ihre Aufsicht in den Griff bekommen und dass die KDSA Nord KdÖR wird.
Wie in den vergangenen Jahren schließt das KDSZ Dortmund den Reigen der Tätigkeitsberichte kirchlicher Aufsichten ab – am Freitag vor Weihnachten ist der Tätigkeitsbericht für 2024 erschienen.
Trends und Entwicklungen lassen sich kaum ablesen – das meiste darin sind Varianten des Altbekannten, auch die KI als großes Compliance-Thema wirft nur gelegentlich ihre Schatten voraus.
Der bayerische Diözesandatenschutzbeauftragte hatte in den vergangenen fast zwei Jahren viel zu tun: Aus einer ambulanten Zwei-Personen-Aufsicht wurde das KDSZ Bayern mit eigener Geschäftsstelle und nennenswertem Personal – dazu kamen selbstgestellte Aufgaben wie der Betrieb verschiedener Instanzen für Fediverse-Dienste.
Auch wenn’s der erste Tätigkeitsbericht des KDSZ Bayern ist, stellt die Numerierung Kontinuität mit den vier vorangegangenen der Gemeinsamen Datenschutzaufsicht der bayerischen Diözesen her.
Jetzt liegt der erste Tätigkeitsbericht in der neuen Struktur vor. Der Diözesandatenschutzbeauftragte Dominikus Zettl legt einen Bericht vor, aus dem man viel über die von Anfang an datenschutzrechtlich reflektierte Gestaltung von Strukturen lernen kann.
Die Landesdatenschutzaufsicht Sachsen-Anhalts hat den Aufschlag gemacht und als erste mitgeteilt, dass sie sich für Gliederungen und Einrichtungen von Jehovas Zeugen in ihrem Bundesland für zuständig erachtet. Ein Alleingang? Eine Abfrage unter allen Landesdatenschutzaufsichten zeigt: Nein.
Gliederungen von Jehovas Zeugen berufen sich auf die Anwendung von eigenem Datenschutzrecht (Bildquelle: „Königreich“ von conceptphoto.info, CC BY 2.0, zugeschnitten)
Das Datenschutzrecht von Jehovas Zeugen und damit zwangsläufig ihre eigene Datenschutzaufsicht wird auf weiter Flur von den Landesdatenschutzaufsichten nicht anerkannt. Wie schon in anderen Fällen gibt das Stichtags-Kriterium aus Art. 91 Abs. 1 DSGVO den Ausschlag – und auch im ewigen Zuständigkeitsstreit zwischen Hessen und Berlin gibt es ein Ergebnis.
Langsam kommt KI auch mit tatsächlichen Fällen in die Tätigkeitsberichte von Aufsichten – so wie jetzt im 11. Jahresbericht der KDSA Nord für 2024. Damit können über allgemeine Hinweise konkrete Erfahrungen aus der Praxis in Handreichungen umgemünzt werden.
Ansonsten ist der Datenschutz im Norden 2024 wenig überraschend – aber wieder liegt ein sehr praxisnaher und für das eigene Datenschutzmanagement nützliche Bericht vor mit hilfreichen Handreichungen nicht nur zu KI, sondern auch zu Videoüberwachung und Kinderfotos.
Jehovas Zeugen wenden in Deutschland ein eigenes Datenschutzrecht an und haben eine eigene Aufsicht eingerichtet: Das volle Programm nach Art. 91 DSGVO. Trotz einiger Kritik von Aussteiger*innen und Skepsis bei den Landesdatenschutzaufsichten in Hessen und Berlin schien das bisher recht problemlos vonstatten gegangen zu sein.
Nun ist aber Bewegung in die Sache gekommen: Im für 2023 jüngst nachgereichten Tätigkeitsbericht der Landesdatenschutzaufsicht Sachsen-Anhalts ging es um die Zuständigkeit für die Religionsgemeinschaft. Recht knapp wurde festgestellt: »Der Landesbeauftragte ist für Beschwerden gegen die Verarbeitung personenbezogener Daten durch örtliche Vertreter oder Vereinigungen der Religionsgemeinschaft Jehovas Zeugen zuständig.« Warum und wie weit diese Zuständigkeit besteht, ging aus dem Bericht nicht vollständig hervor. Nun teilt die Aufsicht auf Anfrage mit, wie es zu der Position kommt.
Beim Datenschutz geht es um das pralle Leben – das macht der frisch erschienene Tätigkeitsbericht des KDSZ Frankfurt für 2024 deutlich: Von Teufelsaustreibungen bis zum datenschutzkonformen Einfrieren und Vergraben der Plazenta ist einiges dabei. (Die üblichen Standardsituationen gibt’s natürlich auch.)
Mittlerweile liegt der siebte Tätigkeitsbericht des KDSZ Frankfurt vor – für die Diözesandatenschutzbeauftragte Ursula Becker-Rathmair ein gutes Zeichen: »Das „verflixte 7. Jahr“ ist damit abgeschlossen, die diesem oftmals zugeschriebene Gefahr größerer Veränderungen hat sich nicht bewahrheitet: Leitung, Team, Standort und Aufgabenbereich der Datenschutz- aufsicht sind unverändert. Die Zahl 7 sollte daher im biblischen Sinne als etwas Positives verstanden werden.«
Alle zwei Jahre kommt der Tätigkeitsbericht des BfD EKD – seit es nur noch diese eine evangelische Datenschutzaufsicht gibt, ist es der einzige Bericht nach DSG-EKD. Mit dem Tätigkeitsbericht für die Jahre 2023/24 hat es der BfD EKD so erst jetzt endlich aus der Corona-Zeit herausgeschafft.
BfD EKD Michael Jacob (l.) übergibt den Tätigkeitsbericht 2023/24 an die EKD-Ratsvorsitzende Kirsten Fehrs (Bildquelle: BfD EKD, Montage fxn)
Politisch sieht BfD EKD Michael Jacob den Datenschutz unter Druck: Dass Datenschutz oft nur unter dem Vorzeichen angeblichen »Bürokratieabbaus« verhandelt wird, dass Datennutzung als Gegenspieler zum Datenschutz aufgebaut wird und dass Datenschutz im Umgang mit Zukunftstechnologien als Bremser dargestellt wird, bereiten ihm Sorge. Hier will Jacob mitgestalten:
»Mit Blick nach vorne haben wir als kirchliche Datenschützer mit unserem Thema etwas beizutragen … für eine schlankere und bürokratieärmere Gestaltung des Datenschutzes … für eine offenere und aufgeschlossenere, aber weiterhin grundrechtsbasierte Datennutzung und … für einen verantwortungsbewussten, auf einer christlichen Datenethik basierenden Einsatz von Zukunftstechnologien. Lassen Sie uns diese Chancen gemeinsam nutzen!«
Der erste diözesane Bericht einer katholischen Aufsicht kommt wieder einmal von der KDSA Ost. Der Tätigkeitsbericht für 2024 ist geprägt von der aktuellen politischen Lage: So deutlich wie keine andere kirchliche Datenschutzaufsicht macht der Diözesandatenschutzbeauftragte Matthias Ullrich Grundrechte, Demokratie und den Beitrag des Datenschutzes dazu stark.
Nach zwei Jahre, in denen massive Defizite vor allem in der verfassten Kirche benannt wurden, scheint 2024 etwas ruhiger gewesen zu sein: Kein neues Rekordbußgeld wie 2023, die geschilderten Fälle sind weitgehend Standardsituationen. Das heißt aber auch: Wer den Bericht liest, hat hinterher einen gut gefüllten Werkzeugkasten, um diesen Standardsituationen zu begegnen.
Das katholische Südwest-Datenschutzaufsicht hat 240 Webseiten von katholischen Schulen automatisiert geprüft. Das KDSZ Frankfurt hat dabei festgestellt, dass auf vielen Webseiten die gleichen Probleme bestehen – und angesichts der geschilderten Probleme bei Schul-Webseiten liegt es nahe, dass auch andere Webseiten ähnliche Probleme haben.
Der Blick in den vierseitigen Ergebnisbericht der Prüfung lohnt daher für alle, die eine Webseite betreiben – die festgestellten Probleme und die Abhilfe sind nicht nur im Geltungsbereich des KDG relevant.
