2025 war das **Jahr des neuen Datenschutzrechts** : Das novellierte DSG-EKD trat in Kraft, das novellierte KDG wurde beschlossen. 2025 war außerdem das Jahr, in dem KI-Themen endgültig nicht mehr aus dem kirchlichen Datenschutz wegzudenken sind – nicht zuletzt, weil Papst Leo XIV. den **Umgang mit künstlicher Intelligenz als soziale Frage unserer Zeit** identifiziert hat. (Bildquellen: Nazym Jumadilova auf Unsplash und Ingmar auf Unsplash, Montage fxn) Der Artikel-91-Jahresrückblick zeigt, welche Themen den kirchlichen Datenschutz 2025 geprägt haben. Wieder einmal sind viele Dauerbrenner dabei – manche Themen kommen aber langsam zu einem Abschluss. **Inhalte** Verbergen 1 Aus den Aufsichten 1.1 Tätigkeitsberichte 2 Aus den Gerichten 2.1 Kirchliche Gerichte 2.2 Staatliche Gerichte 3 Themen 3.1 Aufarbeitung 3.2 Jehovas Zeugen 3.3 Aus dem Vatikan 3.4 Beichtgeheimnis 3.5 Künstliche Intelligenz 4 Gesetzgebung 4.1 Kirchliche Gesetzgebung 4.2 Staatliche Gesetzgebung 5 Gastbeiträge und Interviews 6 Praktisches 7 In eigener Sache 8 Aus der Welt 9 Bisherige Jahresrückblicke ## Aus den Aufsichten * Seit dem 1. Januar 2025 gibt es nur noch **eine evangelische Aufsicht** – mit dem Ende des DSBKD hat der BfD EKD die Aufsicht über alle EKD-Gliedkirchen übernommen. * In die Frage nach der Aufsichtszuständigkeit für Jehovas Zeugen kam endlich Bewegung. Nachdem sich Hessen und Berlin über die Zuständigkeit für die Körperschaft über Jahre nicht einig werden konnten, ist das jetzt klar (Berlin übernimmt). Außerdem hat erst die Landesdatenschutzaufsicht Sachsen-Anhalts ihre Zuständigkeit für lokale Gliederungen erklärt, anschließend haben die meisten Landesdatenschutzaufsichten nachgezogen. * Der NRW-Diözesandatenschutzbeauftragte geht nicht in eine dritte Amtszeit. * Beim Bund Freier evangelischer Gemeinden in Deutschland gibt es einen neuen Bundesbeauftragten für den Datenschutz. * Die KDSA Nord ist **immer noch keine KdÖR.** * Bei der Datenschutzkonferenz dürfen die kirchlichen Aufsichten weiterhin nur am Spielfeldrand dabei sein. * Die **alt-katholische** Datenschutzaufsicht war mit dem Auslaufen der Amtszeit des bisherigen Bistumsdatenschutzbeauftragten (der nicht viel getan hat) seit Anfang des Jahres vakant. Eine neue Besetzung steht noch aus. ### Tätigkeitsberichte Bei den Tätigkeitsberichten treten die Corona-Nachwehen langsam in den Hintergrund. Das nächste große Thema ist **KI in der Kirche**. Die Reihenfolge der Berichte hat sich mittlerweile recht verlässlich eingependelt: Die Ordensdatenschutzbeauftragten sind am schnellsten, Dortmund kommt auf den letzten Drücker. Erstmals gab es auch einen Bericht aus Bayern, seit das KDSZ Bayern errichtet wurde. Ungerade Jahre sind evangelische Berichtsjahre – mit nur noch einer Aufsicht bleibt das so. * **Ordensdatenschutzbeauftrage:** Ein einziger Ort für viele Beschwerden (2024) * **Datenschutzbeauftragter des Bundes freikirchlicher Pfingstgemeinden:** Aufsichtsbekannt archiviert (2022/23) * **KIOD (Polen):** Tätigkeitsbericht 2024 * **KDSA Ost:** Klare Kante für Grundrechte (2024) * **Datenschutzaufsicht Jehovas Zeugen:** Tätigkeitsbericht 2021 * **BfD EKD:** Grundrechtsbasierte Datennutzung (2023/2024) * **KDSZ Frankfurt:** ToMs für die Plazenta (2024) * **KDSA Nord:** KI ist da (2023) * **KDSZ Bayern:** Alles neu in Nürnberg (2023/2024) * **KDSZ Dortmund:** Pflichtbericht (2024) ## Aus den Gerichten ### Kirchliche Gerichte 2025 wurden eine Fülle von Entscheidungen zum kirchlichen Datenschutz veröffentlicht – aber wieder ausschließlich katholische. Nach wie vor ist unklar, warum Fälle mit Datenschutzbezug in der evangelischen Verwaltungsgerichtsbarkeit eine viel geringere Rolle spielen. * Die Aufarbeitungskommission Nord hat eine Klage beim IDSG eingereicht. Es geht um die Frage, ob sie zurecht von der Datenschutzaufsicht als **eigene verantwortliche Stelle** betrachtet wird, wie es die katholische Datenschutzkonferenz in einem ihrer seltenen Beschlüsse festgehalten hat. Auch der BfD EKD sieht in den URAKs eigene Verantwortliche. * Das IDSG hat zur **Anonymisierung von Betroffenendaten** und insbesondere Tathergangsschilderungen im Kontext der Münsteraner Studie entschieden – eine Entscheidung, die wichtige Weichen für weitere Aufarbeitungsbemühungen stellt. * Ebenfalls vom IDSG kam die Klärung einer zentralen Frage des kirchlichen Datenschutzes: Wie funktioniert eigentlich **gemeinsame Verantwortlichkeit** , wenn mehrere Datenschutzgesetze beteiligt sind? Das Ergebnis ist sehr praxisrelevant und gut umzusetzen. * Inwiefern **Löschen eine Datenschutzverletzung** ist, beschäftigte den IDSG in mindestens zwei Fällen. Ich habe die erste Entscheidung eher positiv, Matthias Ullrich eher negativ besprochen – hier ging es darum, dass zuviel gelöscht wurde. Im zweiten Fall hat das IDSG seine Rede vom Löschen als bestem Datenschutz wieder aufgegriffen. * Das KDG hat einen notorisch schlecht bestimmten Geltungsbereich – was »**sonstige kirchliche Rechtsträger** « sind, braucht zur sachgerechten Auslegung kirchenrechtliche Kompetenz. Die hat beim IDSG leider völlig gefehlt, als es darüber entschied, ob Kolping das KDG anwenden muss. * Das **DSG- DBK** hatte weniger zu tun; im Fall der Haustürwerbung einer Kirchenzeitung hat es das IDSG bestätigt. ### Staatliche Gerichte * Das BAG hatte zugunsten einer Kirchenmusikerin entschieden, die **Einsicht in ein Kirchengemeinderatsprotokoll** eingeklagt hatte, in der es um ihre Personalsache ging. Dagegen hat die Gemeinde Verfassungsbeschwerde eingelegt, die immer noch nicht bearbeitet wurde – aber eben auch nicht abgewiesen wurde. Pikant: Verfassungsbeschwerden haben keine aufschiebende Wirkung, dennoch hat die Gemeinde erst spät eine einstweilige Anordnung beantragt, um auch legal das eingeklagte Protokoll bis zu einer Entscheidung zurückhalten zu dürfen. * Im März gingen beim EuGH die Vorlagefragen aus Belgien zum **Löschen aus Taufbüchern** ein. Noch ist in dem Verfahren nichts terminiert. Der Vatikan hat sich aber durch das Gesetzesdikasterium geäußert und erläutert, warum Taufbücher nicht gelöscht werden dürfen, und Papst Leo XIV. ist persönlich an dem Thema interessiert. * Das LAG Düsseldorf hat entschieden, dass das **staatliche Arbeitsgericht für eine arbeitsrechtliche Frage mit Datenschutzbezug zuständig** ist und hat damit die herrschende Meinung bestätigt. In der eigentlichen Sache steht das Urteil noch aus. ## Themen ### Aufarbeitung * Das Dikasterium für die Gesetzestexte hat sich noch einmal deutlich dagegen gestellt, die **Namen verstorbener Beschuldigter** zu nennen. Unter anderem (aber nicht vorrangig) auf Grundlage dieser Äußerung hat das Bistum **Aachen** seine Liste mutmaßlicher und verurteilter Täter offline genommen. * Der Streit um die **Anonymisierung** in der Münsteraner Studie führt dazu, dass Anonymisierung in Studien einen größeren Stellenwert einnimmt. In **Würzburg** gab es Kritik aufgrund von Schwärzungen in Akten, die für die Studie herangezogen wurde. Kurz darauf veröffentlichte das IDSG seine Entscheidung zu Münster. In **Augsburg** und insbesondere in **Passau** hat die IDSG-Entscheidung deutlichen Niederschlag gefunden. * Ein Dauerbrenner ist die Frage, wie kirchliche Akten zur Missbrauchsaufarbeitung verwendet werden können. Die Aufarbeitungskommission für die Diözesen **Berlin, Dresden-Meißen und Görlitz** hat in ihrem Tätigkeitsbericht Grundsatzkritik an der Musterordnung zur Akteneinsicht geübt. In **Trier** gab es eine neue Akteneinsichtsordnung für die Einsicht durch Betroffene und Angehörige, eine Premiere. * Die EKD hat in ihrer **Anerkennungsrichtlinie** auch Regelungen für den Datenschutz und die Akteneinsicht durch Betroffene. * Die NRW-Bistümer haben ihre Rechtsgrundlagen für die **Verwendung von Personal- und Sachakten zur Aufarbeitung** weitgehend vereinheitlicht. * Der **IT-Vorfall** , der die Deutsche Bischofskonferenz zeitweise lahmgelegt hat, hat auch Betroffenenreaktionen ausgelöst. Der »Eckige Tisch« fordert eine unabhängige IT für unabhängige Aufarbeitungsinstitutionen. ### Jehovas Zeugen Am Umgang der staatlichen Aufsichten mit Jehovas Zeugen bin ich schon länger dran – lange konnten sie Berlin und Hessen nicht einigen, wer für die zentrale Körperschaft zuständig ist. In diesem Jahr kam Bewegung in die Sache. * Der Aufschlag kam aus Sachsen-Anhalt: Die dortige Landesdatenschutzbeauftragte erkennt das Datenschutzrecht und damit die eigene Aufsicht der Zeugen nicht an. * Eine Abfrage unter allen Landesdatenschutzaufsichten hat gezeigt: Die sachsen-anhaltinische Meinung wird von fast allen geteilt. Damit ist es nur noch eine Frage der Zeit, bis die Zulässigkeit des eigenen Datenschutzrechts gerichtlich überprüft wird. * Jehovas Zeugen selbst bleiben wenig überraschend bei ihrer Rechtsauffassung. ### Aus dem Vatikan * Im Vatikan-Dokument »Antiqua et nova« wurde **Datenschutz erstmals lehramtlich gewürdigt** und begründet. Das Verständnis von personenbezogenen Daten als Beziehungsdaten, deren Schutz Freiheitsräume bewahrt, ist erstaunlich nah am Verständnis des Bundesverfassungsgerichts im Volkszählungsurteil. * Die KI-Kommission des Vatikanstaats wurde eingerichtet. Seither hat man nichts mehr von ihr gehört. * **Papst Franziskus** war der erste Papst, dessen Pontifikat von Fragen der Digitalität mitgeprägt war. Deshalb habe ich nach seinem Tod zurückgeblickt: Franziskus und die Daten – ein netzpolitischer Blick auf sein Pontifikat. ### Beichtgeheimnis * Weltweit ist das Beichtgeheimnis unter Druck: Im US-Bundesstaat Washington, in Großbritannien und in Ungarn gab es Gesetzesinitiativen, die unterschiedlich weit gediehen sind. * Das Beichtgeheimnis ist nicht nur eine katholische Angelegenheit: In Washington haben auch die Orthodoxen geklagt. ### Künstliche Intelligenz * Gleich zu Beginn seines Pontifikats hat **Leo XIV.** den Umgang mit KI zu einem wichtigen Thema erklärt. Im Laufe des Jahres äußerte er sich immer wieder dazu und wurde sogar als »TOP-KI-Denker« ausgezeichnet. * Auch die lateinamerikanischen Bischöfe haben sich umfassend mit KI befasst, der Wiener Altkardinal Schönborn knapper und pointierter. * In der Evangelischen Kirche von Kurhessen und Waldeck wurde es praktisch: Sieben Leitsätze sollen den KI-Einsatz prägen. Noch kompakter sind die vier knappen Anweisungen der niederländischen katholischen Kirche zum Einsatz von KI. * Die Caritas hat untersucht, wie KI im Verband genutzt wird: 44 Prozent der beim Caritas-Panel befragten Rechtsträger haben sich schon mit KI befasst, davon gibt die Hälfte eine Nutzung im Einrichtungsalltag an. * Ausführlich hat sich das Katholische Büro Berlin zur KI-Regulierung geäußert. ## Gesetzgebung ### Kirchliche Gesetzgebung * Am 1. Mai trat das novellierte **DSG- EKD** in Kraft. Im Spätjahr erschien dann auch eine (leider nur online verfügbare) zweite Auflage des DSG-EKD-Kommentars, der die Änderungen berücksichtigt. * Die **Novelle des KDG** wurde durch den VDD beschlossen. Kurz vor Weihnachten wurde sie auch veröffentlicht, so dass ich das neue KDG und die neue KDG-DVO noch in diesem Jahr analysieren konnte. Jetzt liegt es an den Diözesanbischöfen, es so rechtzeitig in Kraft zu setzen, dass der 1. März 2026 als Startdatum bleibt. * Die anderen katholischen Reformprojekte laufen weiter, ohne dass ein Abschluss in Sicht wäre: **keine neue MAVO, keine neue KAO**. Immerhin wurde der Anhörungsentwurf der neuen MAVO bekannt – die geplante Regelung zum Datenschutz der MAV habe ich mir angeschaut. ### Staatliche Gesetzgebung * Das **Beschäftigtendatenschutzgesetz** hat es zwar ins Sofortprogramm der neuen Bundesregierung geschafft, passiert ist aber noch nichts. * Anders sieht’s beim **BDSG **aus. Hier gibt es einige konkrete Pläne zur »Entbürokratisierung«, die betreffen aber nicht den kirchlichen Datenschutz. Relevant wäre vor allem, die Frage nach der Zuständigkeit der Aufsichten für körperschaftlich verfasste Religionsgemeinschaften ohne eigene Aufsicht zu klären. ## Gastbeiträge und Interviews Das meiste hier schreibe ich. Das muss nicht sein: Über Angebote von Gastbeiträgen freue ich mich immer. Leider ist es gar nicht so einfach, Menschen zum Schreiben zu bewegen – umso mehr freut es mich, wenn die wenigen Gastbeiträge von so hoher Qualität sind wie in diesem Jahr sind. * Matthias Ullrich hat eine **Entscheidung des IDSG zum Löschen** kritisch kommentiert. * Sven Braun und Sascha Kremer haben für mich den neuen § 50b DSG-EKD zur **Mitgliederkommunikation** analysiert. * Emmanuel S. Caliwan ist Rechtsanwalt und Datenschützer auf den Philippinen. Seinen Beitrag zum **Löschrecht für Taufbücher** durfte ich in deutscher Übersetzung veröffentlichen. * Mit dem Leiter der Essener Bahnhofsmission habe ich über die Kampagne zum **Schutz von Menschen auf der Straße vor »Charity«-Influencer*innen** gesprochen. * Mit dem Projektkoordinator von **ELOKI** habe ich darüber gesprochen, warum die evangelische Kirche eine eigene KI braucht und wie sie das angeht. ## Praktisches Die (datensparsam erhobenen) Zugriffszahlen zeigen: Praxisrelevantes läuft besonders gut. Hier wäre auch ein guter Ansatzpunkt für Gastbeiträge aus dem Datenschutz-Alltag von Leser*innen. * In diesem Jahr hatte ich einen MAV-Schwerpunkt – sowohl bei Schulungen und Workshop als auch hier. Eine kleine Serie befasst sich mittlerweile mit dem **Datenschutz der MAV**: * Datenschutzkonzept der MAV – so geht’s * Datenschutz und Mitbestimmung – welche Rechte hat die MAV? * Haben MAVen ein datenschutzrechtliches Beschwerderecht? * Betriebliche Datenschutzbeauftragte und MAV-Mitglied – geht das? * Beschäftigtendatenschutz in KDG und DSG-EKD * Nach der Niederlage der BfDI in Sachen Bundesregierungs-Facebook-Seite in erster Instanz hat sie eine Handreichung für **Behörden-Social-Media** veröffentlicht. Wie man die im kirchlichen Bereich fruchtbar machen kann, habe ich aufgeschrieben. * Eine hilfreiche technische **Checkliste für Webseiten** gab es vom KDSZ Frankfurt * **Messenger-Dienste** sind Telekommunikationsdienste – das ist nicht allen bekannt, macht aber den Einsatz datenschutzrechtlich etwas einfacher. * Gilt das **Kunsturhebergesetz** noch und wie spielt es mit dem kirchlichen Datenschutzrecht zusammen? * Datenschutz bei **Gebetsanliegen** und Fürbittbüchern ## In eigener Sache * Am 14. Juli wurde **Artikel91.eufünf Jahre alt** (den offiziellen Geburtstag markiert ein Tweet). * 2025 ist nach langem Vorlauf der **Taeger/Gabel in fünfter Auflage** erschienen – ab dieser Auflage kommentiere ich zusammen mit Karsten Kienast den Art. 91 DSGVO. * Dreimal war ich in Podcasts zu Themen des kirchlichen Datenschutzes: Einmal beim Eule-Podcast, zweimal im MAV-Podcast (davon ist aber bislang nur die erste Folge erschienen). ## Aus der Welt * Die Jahresrückblicke des **Dresdner Instituts für Datenschutz** – Teil 1 (Januar bis Juni) und Teil 2 (Juli bis Dezember) – und von **Dr. Datenschutz** – Teil 1 (Januar bis März), Teil 2 (April bis Juni), Teil 3 (Juli bis September) und Teil 4 (Oktober bis Dezember) – haben im Blick, was allgemein in der Welt des Datenschutzes passiert ist. * Wer lieber hört als liest: Im **c’t-Datenschutz-Podcast** Ausgelegt gibt’s einen launigen und kontroverse Jahresrückblick zum weltlichen Datenschutz. ## Bisherige Jahresrückblicke * Corona und Schrems II: Das war **2020** * Corona, Kirchengesetze und Konsolidierung: Das war **2021** * Dauerbrenner und kontraintutive konfessionelle Transparenz – das war **2022** * Fake-Facebook-Verbot und kontroverse Aufarbeitung – Jahresrückblick **2023** * Das Jahr der Novellen – **Jahresrückblick 2024** * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Nicht nur ein Ehrentitel für Bischof Anba Damian

Wie in den vergangenen Jahren schließt das KDSZ Dortmund den Reigen der Tätigkeitsberichte kirchlicher Aufsichten ab – am Freitag vor Weihnachten ist der Tätigkeitsbericht für 2024 erschienen. Trends und Entwicklungen lassen sich kaum ablesen – das meiste darin sind Varianten des Altbekannten, auch die KI als großes Compliance-Thema wirft nur gelegentlich ihre Schatten voraus. **Inhalte** Verbergen 1 Rechtsprechung und Gesetzgebung 1.1 Kirchlicher Bereich 1.2 Staatlicher Bereich 2 Aufsichtstätigkeit 2.1 Statistik 2.2 Struktur der Aufsicht 2.3 Beratungen 2.4 Fälle 2.5 Fotofragen 2.6 Betriebliche Datenschutzbeauftragte 3 Fazit 4 Bisher besprochene Tätigkeitsberichte des KDSZ Dortmund ## Rechtsprechung und Gesetzgebung ### Kirchlicher Bereich Die Prämisse des Tätigkeitsberichts für 2024 ist, dass er tatsächlich aus der Sicht von 2024 geschrieben ist, obwohl er erst Ende 2025 erscheint. Das führt zu bestenfalls noch historisch interessanten Berichtsgegenständen, vor allem der Evaluation des KDG. An kirchlichen Rechtsakten werden folgende erwähnt: * Ordnung zum Betrieb einer Meldestelle nach Hinweisgeberschutzgesetz * Einsicht in Missbrauchs-Akten in der Diözese Essen * Ordnung für die Aufbewahrung und Kassation von pfarramtlichen Unterlagen in der Erzdiözese Köln * Rahmenschulordnung für Schulen in der Trägerschaft des Bistums Essen * KI-Nutzungs-Ordnung der Erzdiözese Köln * Datenschutz-Gesetz des Vatikanstaats Die spezifischeren wurden hier bereits verhandelt und offensichtlich auch von der Aufsicht wahrgenommen – insbesondere beim Datenschutzgesetz des Vatikans gibt es nicht gekennzeichnete Textübernahmen aus der Berichterstattung hier. ### Staatlicher Bereich * Die **KI -Verordnung** lässt das Datenschutzrecht unberührt: »Damit ist im kirchlichen Bereich auch die Anwendung der Normen des KDG für datenschutzrechtliche Sachverhalte aus dem Anwendungsbereich der KI-VO zu prüfen.« * Zu einigen **Entscheidungen staatlicher Gerichte** gibt es praxisrelevante Anmerkungen, so etwa zum berechtigten Interesse, zu Grenzen von Betriebsvereinbarungen, zur namentlichen Nennung von betrieblichen Datenschutzbeauftragten oder zu Negativauskünften – die Praxistipps sind aber jeweils identisch: Es wird keine Entscheidung angeführt, bei der im kirchlichen Datenschutzrecht anders vorzugehen wäre als unter Geltung der DSGVO. * Später heißt es auch noch einmal explizit zu **Positionen weltlicher Aufsichten** : »Unter Beachtung der kirchlichen Spezifika des KDG sind die Aussagen der Veröffentlichungen des EDSA beziehungsweise der DSK auf die Rechtslage nach dem KDG übertragbar.« ## Aufsichtstätigkeit ### Statistik Absolute Zahlen zur Aufsichtstätigkeit fehlen erneut. Aus einem Kuchendiagramm geht hervor, dass die Meldungen von Datenpannen bei weitem vorne lagen mit mehr als drei Viertel der Vorgänge, gefolgt von Anfragen, Beschwerden und Hinweisen. * Die Meldungen von **Datenpannen** sind im Vergleich zum Vorjahr gestiegen. Wieder machen Fehlversände (die getrennt von offenen Verteilern ausgewiesen werden) und Einbrüche einen großen Teil der Pannen aus. Die Probleme mit der Kita-App »StayInformed«, die zu einem meldepflichtigen Vorfall der jeweiligen Einrichtung führte, trugen zur Steigerung bei. Kurios: »Das Katholische Datenschutzzentrum weist daraufhin, dass es auch immer wieder zu einem meldepflichtigen Tatbestand kommt, weil versehentlich Unterlagen/Dokumente mit personenbezogenen Daten an das Katholische Datenschutzzentrum gesendet werden, die eigentlich für eine Einrichtung in dessen Zuständigkeitsbereich bestimmt sind.« * Bei den **Beschwerden** machten Fälle zum Auskunftsersuchen etwa ein Drittel der Fälle aus, gefolgt von Beschwerden über Datenweitergaben, der Rest wird unter »Sonstiges« gefasst. Nicht in jedem Fall waren die Beschwerden begründet: Ausdrücklich nennt die Aufsicht Beschwerden über zurecht geschwärzte Daten Dritter in Auskünften. Daher empfiehlt die Aufsicht, den Grund für Schwärzungen transparent und nachvollziehbar anzugeben. * Zu den **Prüfungen** erfährt man wenig; anlassunabhängige Prüfungen wurden im Berichtszeitraum nicht abgeschlossen. * Erfreulich ist, dass die **Bußgelder** eine eigene Rubrik erhalten. Die Aufsicht berichtet von zwei Geldbußen in dreistelliger Höhe im Rahmen einer Prüfung. Beide Bußgelder waren eindeutig aus der Kategorie »selber schuld, kein Mitleid verdient«: »Die beiden Einrichtungen hatten sich auf mehrfache Schreiben des Datenschutzzentrums nicht gemeldet.« * Im Berichtszeitraum waren zwei Verfahren beim **IDSG** , eins beim **DSG- DBK** anhängig. Eines der Verfahren beim IDSG wurde abgeschlossen, weil der Antrag als erledigt erklärt wurde. Entscheidungen zu Verfahren aus 2022 und 2023 stehen noch aus. ### Struktur der Aufsicht * Weiterhin sind **elf Planstellen** vorgesehen, die nicht alle besetzt waren. * Für 2024 sah der **Haushaltsplan** 1.264.000 Euro vor, für 2025 sinkt das genehmigte Budget auf 1.239.000 Euro. * Die neue Satzung des **KDSZ Dortmund** wird erwähnt, aber nicht ausführlich dargestellt. ### Beratungen Hilfreich ist, dass typische Beratungsanfragen dargestellt werden: die Frage nach Ehrenamtlichen als Beschäftigte im Sinne des § 53 KDG (nein), die Übermittlung von Arbeitsverträgen zu Prüfzwecken an den Medizinischen Dienst (Erforderlichkeit prüfen), der Austausch über Patientendaten per Microsoft Teams (schwierig), zur Cloud-Speicher-Nutzung (Verweis auf eine Veröffentlichung der Aufsicht zu MS365) und zur **Nutzung von Gemeindemitgliederdaten zur Information von Angehörigen von Verstorbenen**. Der letzte Fall hat aufgrund seiner spezifisch kirchlichen Gestaltung eine hohe Relevanz: Es wurde gefragt, ob die Meldedaten genutzt werden dürfen, um lebende Angehörige von Verstorbenen für Einladungen zu Gedenkmessen einzuladen. Die Aufsicht sieht hier nur eine Einwilligung als taugliche Rechtsgrundlage an. Ob eine Aufgabenwahrnehmung im kirchlichen Interesse denkbar wäre, wird jedenfalls nicht explizit geprüft. Als Hinweis an den kirchlichen Gesetzgeber wäre noch hilfreich gewesen, auf die Möglichkeit einer kirchengesetzlichen Erlaubnisnorm hinzuweisen. ### Fälle Viele der geschilderten Fälle aus der Praxis sind Standardsituationen: Falsche Berechtigungen und Zugriffskonzepte sowie versehentliche Veröffentlichung oder Offenlegung von Daten in verschiedenen Konstellationen. ### Fotofragen Die **Bildaufnahme von Patient*innen mit privaten Handys** wird erneut thematisiert. Hier handelt es sich zwar meist um einen Mitarbeiterexzess, mithin keinen Vorgang, der in der Regel der verantwortlichen Stelle zuzurechnen ist. Dennoch lässt die Aufsicht Verantwortliche nicht ganz so einfach vom Haken: »die Aufsicht schaut in diesen Fällen, ob die Einrichtung als die für die Verarbeitung der personenbezogenen Daten der behandelten oder betreuten Personen verantwortliche Stelle, alle notwendigen technischen oder organisatorischen Schutzmaßnehmen ergriffen hat, um solche Vorfälle bestmöglich zu verhindern.« Vorgeschlagen werden organisatorische Maßnahmen wie explizite Anweisungen zum Fotografierverbot. Hilfreich sind die Hinweise zu **Fotos in Kitas und anderen Einrichtungen**. Neben der richtigen Rechtsgrundlage (in der Regel der Einwilligung) und dem Löschkonzept nennt die Aufsicht drei Anforderungen ans Fotografieren: 1. nur durch Kita-Personal und nicht durch Eltern oder sonstige Personen 2. nur mit Dienstgeräten zu dienstlichen Zwecken 3. nicht von sensiblen Situationen Damit ist also nur der Standardfall abgedeckt; etwas detaillierter auch zur Frage von Fotos durch Eltern hatte sich die KDSA Nord in ihrem Tätigkeitsbericht geäußert. ### Betriebliche Datenschutzbeauftragte * **Betriebliche Datenschutzbeauftragte** und ihre Bestellungen scheinen mehr Probleme zu machen, als der Gesetzeswortlaut es nahelegt – es kam wohl häufiger vor, dass die Aufsicht auf Interessenkonflikte hinweisen musste. * Wo es **keine bDSB** braucht, muss man sich trotzdem um Datenschutz kümmern. Schon jetzt baut die Aufsicht der Erhöhung des Schwellwerts für die Bestellung (ab 20 statt ab 10 mit der Verarbeitung befassten Personen) vor und weist darauf hin. ## Fazit Obwohl das KDSZ Dortmund sich viel Zeit genommen hat, gehört der Bericht zu den kompakteren unter den Aufsichten. Vieles bleibt vage, was die Aufsichtstätigkeit angeht. Alles in allem wirkt dieser Bericht wie eine Pflichtübung, die auf den letzten Drücker abgegeben wurde – dafür sprechen auch die ohne Nachweis übernommenen Textteile aus hier erschienenen Artikeln. Positiv ist, dass den Fällen und Sachverhalten weiterhin viele praktische Hinweise in grauen Texten beigegeben werden, auch wenn die nicht immer besonders neu, überraschend oder tiefgreifend sind. Zur KI-Nutzung heißt es etwa: »Die beim Einsatz der Tools oftmals entstehenden Gefahren für personenbezogene Daten oder Betriebs- und Geschäftsgeheimnisse der Einrichtung sind von der Einrichtung zu regeln. Mit diesen Regelungen sollte eine gesetzeskonforme Nutzung der KI-Tools durch die Mitarbeitenden erreicht werden.« No shit, Sherlock. Interessant dürfte es sein, wie es im nächsten Jahr weitergeht: Schließlich scheidet der Diözesandatenschutzbeauftragte Mitte 2026 aus dem Amt – liefert er vorher noch einen Tätigkeitsbericht ab, oder bleibt es bei dem Bericht auf den letzten Drücker, dann unter Ägide der Nachfolge? ## Bisher besprochene Tätigkeitsberichte des KDSZ Dortmund * Die Schonzeit ist vorbei: Der Tätigkeitsbericht des Datenschutzzentrums NRW **2019** * Betroffenenrechte mangelhaft – Tätigkeitsbericht **2020** des Katholischen Datenschutzzentrums NRW * Flut, Kita und Videoüberwachung – Tätigkeitsbericht des KDSZ Dortmund **2021** * Rechtsgrundlagenarbeit – Tätigkeitsbericht des KDSZ Dortmund **2022** * Sehr externe Datenschutzbeauftragte – Tätigkeitsbericht des KDSZ Dortmund **2023** * Pflichtbericht – Tätigkeitsbericht des KDSZ Dortmund **2024** * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Die Durchführungsverordnung zum KDG ist so etwas wie die unscheinbare kleine Schwester des KDG: Sie steht im Schatten des KDG und ist wohl viel weniger präsent als das eigentliche kirchliche Datenschutzgesetz. Dennoch hat sie eine hohe Praxisrelevanz für alle Verantwortliche, die das KDG anwenden. (Foto von Philippe Krief auf Unsplash) Mit der Novelle des KDG wurde dieses Mal gleich auch die KDG-DVO novelliert – 2018 erfolgte der Beschluss der neuen Durchführungsverordnung erst im November, im März 2019 trat sie in Kraft. Damit ist jetzt das katholische Datenschutzrecht in einem Guss erneuert. **Inhalte** Verbergen 1 Grundprinzipien der Novelle 2 Wesentliche Neuerungen 2.1 § 2 Schulungspflicht 2.2 § 3: Verpflichtungserklärungen 2.3 § 4: IT-Systeme 2.4 § 6: Technische und organisatorische Maßnahmen 2.5 § 7: Überprüfung der ToMs 2.6 Datenschutzklassen und Datenschutzniveau 2.7 Kapitel 5: Besondere Gefahrenlagen 2.7.1 § 18: Cloud-Systeme 2.7.2 § 21: Nutzung privater Systeme 2.7.3 § 25: Faxen 3 Fazit ## Grundprinzipien der Novelle Der Normtext der neuen KDG-DVO ist als Lesefassung beim VDD abrufbar. Vieles in der neuen KDG-DVO ist Hausmeisterei. Übergangsvorschriften braucht es nun nicht mehr, sie sind durchweg weggefallen. Generell wird technikoffener und häufiger mit Bezug auf den »Stand der Technik« und damit zukunftssicherer formuliert. Während 2018 Arbeiten außerhalb der Arbeitsstätte noch Ausnahmen waren, ist Remote-Arbeiten jetzt eine Selbstverständlichkeit. Das vollzieht die Novelle an einigen Stellen nach. Ein deutliches Beispiel ist die Seelsorge (§ 14 KDG-DVO). War dort bisher die Seelsorge »im Rahmen einer Online-Beratung« eher als Ausnahme formuliert, wird die medial vermittelte Seelsorge mit der neuen Formulierung nun als Normalfall gesehen, bei dem nur noch zu regeln ist, was außerhalb geschlossener Netze zu beachten ist. ## Wesentliche Neuerungen ### § 2 Schulungspflicht § 2 KDG-DVO, mit dem bisher die Belehrung und Verpflichtung auf das Datengeheimnis geregelt wurde, erhält einen neuen Absatz 7, der zu einer regelmäßigen Schulung von Mitarbeitenden (dazu gehören in diesem Kontext auch Ehrenamtliche) verpflichtet – implizit galt das bisher schon. Weitere Ausführungen gibt es zur Schulungspflicht nicht. »Regelmäßig« sollte daher risikoangemessen ausgelegt werden. Der Unterschied zwischen der bisher schon geregelten »Belehrung« und der »Schulung« liegt laut der Begründung darin, dass eine Belehrung sich auf das konkrete Aufgabengebiet bezieht, die Schulung allgemeiner ist. ### § 3: Verpflichtungserklärungen Bei den Inhalten der Verpflichtungserklärungen auf das **Datengeheimnis** ändert sich nichts. Gestrichen wird aber die Bestimmung, dass auf Grundlage der KDO abgegebene Erklärungen wirksam bleiben. Unklar ist, ob der Gesetzgeber damit beabsichtigt, nun nur noch Verpflichtungserklärungen nach KDG zu aktzeptieren, oder ob man davon ausgeht, dass es keine KDO-Verpflichtungserklärugen gibt – das dürfte unwahrscheinlich sein, weil das KDG erst seit sieben Jahren gilt. Da in § 2 Abs. 6 »Verpflichtung auf das Datengeheimnis _gemäß § 5 KDG_« (eigene Hervorhebung) ergänzt wurde, dürfte wohl der ersten Interpretation der Vorzug zu geben sein. Die Abweichungen zwischen § 4 KDO und § 5 Abs. 1 KDG sind minimal: Eine Anpassung auf DSGVO-Terminologie (»verarbeiten« statt »erheben, verarbeiten, nutzen«) und eine Pflicht, nicht nur auf das Datengeheimnis, sondern auch auf die »Einhaltung der einschlägigen Datenschutzregelungen« zu verpflichten. Da das Datengeheimnis nach KDO schon die unbefugte Verarbeitung umfasst, ist diese Ergänzung lediglich klarstellend und regelt nichts Neues. ### § 4: IT-Systeme Was als IT-System gilt, wurde nun technikoffen und umfassend definiert: »sämtliche technischen Einrichtungen, mittels derer personenbezogene Daten automatisiert verarbeitet werden« (Abs. 1). Auch der zweite Absatz formuliert nun allgemeiner und zählt beispielhaft aktuellere Systeme auf. Genannt werden die drei Kategorien hardwarebasierte IT-Komponenten, Softwarelösungen sowie cloudbasierte Systeme und Dienste. ### § 6: Technische und organisatorische Maßnahmen * Bei der **Verschlüsselung** (§ 6 Abs. 1 lit. b)) wird nun »geeignet« näher ausgeführt: auf dem Stand der Technik und dem jeweiligen Sicherheitsbedarf angemessen. * Bei der **Zugangskontrolle** (§ 6 Abs. 2 lit. b)) wird nun neben IT-Systemen auch auf Benutzerzugänge abgehoben. ToMs sollen ausdrücklich Datenpannen Identitätsdiebstahl verhindern, insbesondere auch außerhalb geschlossener und gesicherter Netzwerke. * Das **Trennungsgebot** (§ 6 Abs. 2 lit. i)) bezieht sich nun ausdrücklich nur auf personenbezogene Daten; zuvor waren es allgemein Daten. * Ein neuer Punkt ergänzt die Pflicht, **Datenminimierung** bei der Auswahl von IT-Systemen zu berücksichtigen (§ 6 Abs. 2 lit. k)). ### § 7: Überprüfung der ToMs Es wird nicht mehr nur auf geeignete Zertifikate gemäß § 26 Abs. 4 KDG verwiesen, sondern spezifiziert, dass sich solche Zertifikate an den Veröffentlichungen des BSI orientieren sollen. Alternativ ist auch eine Orientierung an anderen Regelungen zulässig, die einen vergleichbaren Schutzstandard gewährleisten (insbesondere ISO/IEC 27001). ### Datenschutzklassen und Datenschutzniveau Die beiden Paragraphen zu Datenschutzklassen und Datenschutzniveau (§§ 8 und 9 KDG-DVO) wurden neu organisiert. Das soll eine größere Klarheit ohne inhaltliche Änderungen bewirken. Bei den Bestimmungen zu den einzelnen Klassen und Niveaus gibt es einige Veränderungen: * Ausdrücklich geregelt wird nun bereits in Klasse I eine **Mehr-Faktor-Authentifizierung** für sicherheitskritische Bereiche und für Zugriffe außerhalb gesicherter Netze – faktisch dürfte damit eine allgemeine Zwei-Faktor-Pflicht bestehen (§ 11 Abs. 2 lit. b)). * In Klasse II werden die **Anforderungen an Passwörter** genauer und zeitgemäßer bestimmt (§ 12 Abs. 2 lit. a)). Erfreulich ist, dass eine regelmäßige Erneuerung in Übereinstimmung mit den Empfehlungen des BSI nun nicht mehr zwingend vorgesehen ist. Stattdessen müssen Passwörter »ausreichend komplex« sein, die Erneuerung muss »nach dem jeweiligen Sicherheitsbedarf« erfolgen. Praktisch ist eine regelmäßige anlasslose Erneuerung persönlicher Passwörter damit unnötig. ### Kapitel 5: Besondere Gefahrenlagen Im Kapitel 5 über »besondere Gefahrenlagen« werden Cloud-Systeme in einem neuen § 18 KDG-DVO geregelt. Das ist strukturell sehr ungeschickt: § 18 eröffnet das Kapitel, damit verschieben sich alle bisherigen Paragraphen ab da um eins. Das hätte man schöner regeln können, ohne dass aus rein formalen Gründen unzählige Datenschutzkonzepte fehleranfällig mit neuen Nummern versehen werden müssen. #### § 18: Cloud-Systeme Inhatlich wirkt § 18 sinnvoll. Es sollen primär geprüfte und freigegebene Cloud-Systeme eingesetzt werden (Abs. 1). Für die Prüfung wird ein Kriterienkatalog genannt, der Aspekte wie den Speicherort, Portabilität und Abhängigkeit vom Anbieter berücksichtigt (Abs. 2). Sehr sinnvoll ist die ausdrückliche Vorgabe, beim Einsatz zugleich eine Exit-Strategie zu definieren (Abs. 3). #### § 21: Nutzung privater Systeme Die Regeln zur **Weiterleitung von Mails an private Accounts** wurden deutlich verschärft: Zuvor war lediglich die automatische Weiterleitung dienstlicher E-Mails untersagt, nun ist allgemein die Weiterleitung personenbezogener Daten an private Accounts unzulässig. Dennoch sind Ausnahmeregelungen möglich, »soweit das datenschutzrechtliche Schutzniveau, insbesondere nach dem KDG oder dieser Durchführungsverordnung, nicht unterschritten wird« (§ 21 Abs. 4 KDG-DVO). Ein neuer Absatz 5 legt fest, dass Mitarbeitende sicherstellen müssen, dass unberechtigte Dritte keinen Zugriff auf dienstliche personenbezogene Daten haben. #### § 25: Faxen Der Paukenschlag kommt ganz zum Schluss. Statt detaillierter Regelungen zum Faxen heißt es nun ganz kompakt: »Die Übermittlung personenbezogener Daten per Fax ist grundsätzlich unzulässig.« Es können aber »Ausnahmen, insbesondere Übergangsbestimmungen« vorgesehen werden, dazu braucht es »spezifische Bestimmungen«. Angesichts der apodiktischen Formulierung dürften solche Ausnahmen langfristig eigentlich nur zu rechtfertigen sein, wo Behörden auf die Übermittlung per Fax bestehen. Die komplette Streichung kam im Laufe des Anhörungsverfahrens dazu – der Anhörungsentwurf hatte den Fax-Paragraphen noch unverändert gelassen. ## Fazit Die Änderungen an der KDG-DVO sind durchweg **schlüssig** und tragen zu einem **zeitgemäßen Datenschutzniveau** bei. Hilfreich ist vor allem, dass der jeweilige Stand der Technik stark gemacht wird und auf Entwicklungen wie die Normalisierung von Remote-Arbeit reagiert wurde. Sehr gelungen sind die (erst im Anhörungsverfahren) neu hinzugekommenen Regelungen zu Cloud-Systemen und der Mut, sich vom Faxgerät zu verabschieden. Weiterhin ist mit der KDG-DVO der hauptberuflich-dienstliche Kontext im Blick, wo Ehrenamtliche nur zusätzlich vorkommen. Und das, obwohl sie unterschiedslos auch für rein ehrenamtliche Strukturen wie viele kirchliche Vereine und Verbände gilt. Mit einer vereinseigenen IT-Infrastruktur ist § 21 KDG-DVO wahrscheinlich irgendwie umzusetzen; hier gibt es aber nach wie vor viel zu tun, um übliche Arbeitsweisen in ehrenamtlichen Kontexten abzusichern. Das wäre eine Aufgabe für die Dachorganisationen und oberen Ebenen der Verbände und Handreichungen der Datenschutzaufsichten – und perspektivisch auch für den kirchlichen Gesetzgeber: Wenn er schon so detaillierte und spezifische Regelungen aufstellt, sollte er auch die Fülle der verschiedenen kirchlichen Verantwortlichen im Blick haben. * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

_**Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten –hier geht’s zur Newsletter-Anmeldung.**_**_Über den Newsletter gibt es außerdem Zugang zur Artikel-91-Signal-Gruppe und zu den digitalen Datenschutz-Stammtischen._** (Bildquelle: ali syaaban on Unsplash) **Inhalte** Verbergen 1 Die Woche im kirchlichen Datenschutz 1.1 Restriktive Datenverarbeitung in der MAV 1.2 KDR-OG noch ohne Zeitplan 1.3 Hilfe für (Ex-)Zeug*innen 2 Auf Artikel 91 3 Aus der Welt 4 Kirchenamtliches ## Die Woche im kirchlichen Datenschutz ### Restriktive Datenverarbeitung in der MAV In der aktuellen Ausgabe der ZMV befasst sich der Leiter der KDSA Ost Matthias Ullrich mit der Verarbeitung personenbezogener Daten im Bereich der Mitarbeitervertretungen. Ullrich vertritt hier eine sehr restriktive Position: Er geht davon aus, dass es »erforderlich und ausreichend« ist, wenn Unterlagen mit personenbezogenen Daten zur Beteiligung in Personalangelegenheiten lediglich in der Sitzung selbst zur Verfügung stehen. (Die dazu angeführte BAG-Entscheidung 1 ABR 72/83 vom 3. Dezember 1985 würde ich nicht so lesen, dass damit das »lediglich _in_ der Sitzung« begründet wäre; die Vorbereitung auf Sitzungen mit Notizen wird dort als unpraktikabel, nicht aber als unzulässig bezeichnet.) Aus Ullrichs Position folgt schlüssig, dass eine Verteilung vorab an MAV-Mitglieder ebenso wie ein Ausdruck von Unterlagen zur Sitzungsvorbereitung durch einzelne MAV-Mitglieder in jedem Fall nicht zulässig sei. Ullrich zieht dabei einen sehr engen Rahmen, der selbst MAV-Funktionspostfächer, die allen MAV-Mitgliedern zugänglich sind, als ungeeignet für den Empfang von solchen Daten scheinen lässt. (Auch in seinem Werk zum Beschäftigtendatenschutz hatte er schon ähnlich strikte Positionen zur digitalen Ablage von MAV-Protokollen vertreten.) Welche Auswirkungen solche restriktiven Auslegungen für Umlaufbeschlüsse haben, wird nicht thematisiert. (Hier würde wohl die Frage nach der Erforderlichkeit anders beantwortet.) Eine weniger restriktive Argumentation sollte darauf aufbauen, dass Erklärungen des Dienstgebers zwar von der empfangsberechtigten Person entgegengenommen werden (in der Regel der*die Vorsitzende). Diese Regelung hebt aber lediglich auf einen rechtssicheren Empfang ab, im Anschluss ist eine Beratung und Beschlussfassung in Kenntnis der empfangenen Informationen im Gremium erforderlich. Diese Beratung und ihre Vorbereitung ist von der Rechtsgrundlage des jeweiligen Mitarbeitendenvertretungsgesetzes gedeckt, das jeweils umfassende Aufgaben beschreibt, nicht nur jeweils eine Verarbeitung. MAV-Mitglieder sind stets an die Vertraulichkeit gebunden; dies soll sowohl Informationen und Daten schützen als auch eine unbeeinflusste Beratung ermöglichen. Im Zuge der Waffengleichheit muss das jeweilige Gesetz so ausgelegt werden, dass die MAV-Mitglieder sich so organisieren können, wie es auch für Dienstgeber-Gremien zulässig ist. Zugleich muss die MAV technische und organisatorische Maßnahmen festlegen, um diese Vorgänge abzusichern. Dazu gehören klare Regelungen in der Geschäftsordnung zu verwendeten Kommunikationskanälen und dem Umgang mit empfangenen Informationen sowie eine angemessene Schulung und Sensibilisierung. Das sollte auch klare Vorgaben im Sinne der Argumentation Ullrichs enthalten, die persönliche Postfächer als ungeeignet für solche der MAV vorliegenden Unterlagen ansieht und sogar das Verbot von (manchen) Ausdrucken umfassen – nicht aber so weit gehen, dass eine Vorbereitung auf Grundlage der erforderlichen personenbezogenen Daten nicht mehr möglich ist. ### KDR-OG noch ohne Zeitplan Mit dem Beschluss der KDG-Novelle gäbe es auch eine Vorlage für die **Orden päpstlichen Rechts** : Die KDR-OG ist bislang bis auf einzelne Begriffe identisch mit dem KDG. Auf Anfrage teilte mir die Deutsche Ordensobernkonferenz mit, dass es noch keine konkreten Pläne gibt. »Der DOK-Vorstand wird sich aber zeitnah mit der Frage der Adaption der von der VDD-Vollversammlung beschlossenen KDG-Novelle für den Ordensbereich (Gemeinschaften päpstlichen Rechts) befassen und über einen Zeitplan beraten«, so der Sprecher. ### Hilfe für (Ex-)Zeug*innen Die Recherche zur Haltung der Landesdatenschutzaufsichten zum Datenschutzrecht von Jehovas Zeugen findet auch bei JZ-Aussteiger*innen Resonanz. Der Verein JZ Help stellt nicht nur den von mir recherchierten Sachstand dar, sondern ergänzt wertvolle Tipps für Betroffene Zeug*innen und Aussteiger*innen. Hilfreich ist vor allem die Liste an typischen Daten, die die Religionsgemeinschaft zu ihren (Ex-)Mitgliedern vorliegen haben kann und die stark durch das religiöse Proprium geprägt sind: »Dazu zählen z.B. auch alle Angaben der Berichtszettel, Verkündigerberichtskarte, Weitergabe der Daten an andere Stellen (inkl. der Daten, welche weitergegeben wurden), Daten aus einem (Rechts-)Komitee (verschlossener Umschlag), …« Der Verein bietet auch Hilfe dabei an, die eigenen Rechte geltend zu machen. ## Auf Artikel 91 * Warum braucht die evangelische Kirche eine eigene KI? * Art. 91 DSGVO neu kommentiert – Neumann/Kinast im Taeger/Gabel * ## Aus der Welt * Deutschlandfunk Kultur hat eine Sendung aus dem Jahr 1971 aus den Archiven gezogen: »Mit dem Computer an die Macht – Die programmierte Wunderwaffe« – ein sehr instruktives Zeitdokument aus den Urzeiten des Datenschutzdiskurses. (Das Wort »Datenschutz« kommt erst spät vor. Es geht um die Pläne für ein Datenschutzgesetz und damals schon vorhergesehene Herausforderungen.) * Halleluja! Das Open-Document-Format bekommt in Version 1.4 eine Funktion EASTERSUNDAY()! (Allerdings leider nur gregorianisch, Ostkirchen müssen weiter selber Makros basteln.) ## Kirchenamtliches * **Landeskirche Sachsen:** Erste Verordnung zur Änderung der IT-Verordnung * **Erzbistum Freiburg:** Gesetz für die pfarrlichen Kirchenbücher in der Erzdiözese Freiburg (Kirchenbuchgesetz – KbG) * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Die Landeskirchen Bayerns und des Rheinlands entwickeln zusammen mit der EKD eine eigene KI-Plattform: »ELOKI« steht für »Evangelisch. Lernend. Offen. KI.« Ziel ist ein sicherer, datenschutzkonformer und kircheneigener KI-Dienst. Im Interview erläutert Projektkoordinator Jens Palkowitsch-Kühl die technischen Hintergründe und die Herausforderungen bei der Entwicklung. (Foto: Montage fxn, Bildquellen De an Sun auf Unsplash und Vladimir Soares auf Unsplash) **Frage: Herr Palkowitsch-Kühl, warum braucht die Kirche ein eigenes KI-System?** **Palkowitsch-Kühl:** Wir haben uns die vielen Angebote auf dem Markt angeschaut und haben nicht die Funktionen und Möglichkeiten gefunden, die wir gerne hätten. Wir wollen kein fertiges Produkt von der Stange, sondern mitgestalten nach unseren Wünschen. Zum einen wollen wir eine gewisse Kontrolle über unser System: über die Modelle, über die Daten, die wir verarbeiten, und darüber, auf welchen Servern sie verarbeitet werden. Dann ist uns der Aspekt der Offenheit wichtig: Wenn wir jetzt Geld investieren, sollen nicht nur wir etwas davon haben, sondern auch andere – also der Open-Source-Gedanke. Und es war uns wichtig, an der Entwicklung mitarbeiten zu können. Zur Person: Dr. Jens Palkowitsch-Kühl vereint wissenschaftliche Expertise aus der Lehrkräfteausbildung mit praktischer Erfahrung in der kirchlichen Jugend- und Bildungsarbeit. Er ist derzeit Referent für digitale Bildung am RPZ Heilsbronn und E-Learning-Koordinator der Evangelisch-Lutherischen Kirche in Bayern, wo er die konzeptionelle Entwicklung der KI-Strategie der ELKB sowie die digitale Transformation in der Kirche vorantreibt. **Frage: Wie soll ELOKI eingesetzt werden? Nur für interne Zwecke, oder kommt man damit auch öffentlich in Kontakt, etwa in der Seelsorge oder Beratung?** **Palkowitsch-Kühl:** Zunächst als internes System für alle, die in der Kirche mitarbeiten, hauptamtlich und ehrenamtlich. Später kann man schon an Anwendungen in der Beratung denken, aber eher nicht in der Seelsorge. Das System soll beispielsweise Mitarbeitende unterstützen bei Verwaltungsvorgängen. Und es soll beim Wissensmanagement helfen. Es ist ja ein großes Problem, dass wir in der Kirche viele Wissensträgerinnen und -träger haben, aber nicht immer gute Konzepte, wie wir dieses Wissen systematisieren, bewahren und nutzbar machen. Was genau das System leisten soll, entwickeln wir gemeinsam mit den Nutzenden. Jetzt in der Pilotphase können die Menschen, die es ausprobieren, in einem Freitextfeld eingeben, wofür sie das System nutzen wollen. Das werten wir aus und klären mit dem Datenschutz die Risikoklassen, die damit verbunden sind. **Frage: Welche Anwendungsszenarien wurden genannt?** **Palkowitsch-Kühl:** Sehr häufig geht es um Ideengenerierung. Etwa Unterstützung bei der Workshopplanung im Bildungsbereich. Ein großes Feld ist auch Textgenerierung und Textgestaltung, also etwa einen Fließtext in Stichpunkte gliedern oder einen Text in einfache Sprache übersetzen. **Frage: Gibt es auch theologische Szenarien? Etwa die Pfarrerin, die die KI fragt, was sie am kommenden Sonntag predigen könnte?** **Palkowitsch-Kühl:** Das wurde ganz wenig genannt. Der Schwerpunkt lag tatsächlich in der Unterstützung bei Verwaltungstätigkeiten. Da zeigt sich dann, wo der Schuh im Pfarrberuf wirklich drückt, während Kerntätigkeiten wie Predigt und Seelsorge zu den Dingen gehören, die Pfarrpersonen auch gerne machen – und dann Chancen sehen, durch eine Entlastung durch KI dafür mehr Zeit zu haben. Für das Szenario »Predigtvorbereitung« gibt es auch jetzt schon durch Vorlagen, Literatur und Themenbörsen gute Unterstützung, das trägt wohl auch dazu bei, dass da eher selten nach der KI gefragt wird. **Frage: Die EKD hat auf ihrer Synode gerade beschlossen, die Erprobung und Entwicklung eines KI-Liturgie-Tools anzugehen. Ist das dann nach Ihren Erhebungen völlig vorbei an den Bedürfnissen der Leute?** **Palkowitsch-Kühl:** Das kann ich nicht sicher sagen. Es kann sein, dass wir mit unseren Erhebungen im aktuellen Stadium vor allem Leute erreicht haben, die im Verwaltungsbereich tätig sind oder Bedarf haben. Sicherlich ist die Unterstützung der KI bei Liturgien aber auch eher technisch zu sehen, als theologisch. Daher passen die Erhebungen ganz gut zueinander. Wir stehen mit der EKD auch gut in Kontakt. **Frage: ELOKI soll »kirchliche Werte« beachten. Was heißt das konkret? Was macht ELOKI anders als andere KIs?** **Palkowitsch-Kühl:** Wir geben in den System-Prompts spezifischere Anweisungen. Da stehen wir aber noch in der Diskussion, wie das genau austariert werden muss. Was sind überhaupt »kirchliche Werte« genau? In bestehenden Systemen gibt es schon einen Bestand an allgemeinen normativen Vorstellungen, etwa was Menschenrechte sind. Anthropic spricht beispielsweise von »Constitutional AI« und meint damit die Vorgabe, alle Ausgaben an ihrem Modell von Menschenrechten zu messen. **Frage: Haben Sie schon erste Ideen, wie man einer KI ein christliches Wertegerüst nahebringt? Es wird ja wohl kaum reichen zu sagen **»**Hier ist Luthers _Kleiner Katechismus_ , halt dich dran**«**.** **Palkowitsch-Kühl:** Da wir zunächst bestehende KI-Modelle nutzen, können wir auf Ebene der Trainingsdaten nichts steuern. Wir werden wahrscheinlich ähnlich vorgehen wie Anthropic und das System seine Ausgaben am christlichen Menschenbild messen lassen. Dafür gibt es aber noch keine fertige Lösung, das müssen wir Schritt für Schritt evaluieren und weiterentwickeln, bis dann am Ende Filter und Pipelines stehen, die die Ausgaben in unserem Sinn filtern. Wir stehen dafür in einem ständigen interdisziplinären Dialog. **Frage: Wie funktioniert ELOKI technisch?** **Palkowitsch-Kühl:** Wir nutzen OpenWebUI als Interface und Backend. Damit kann man über Schnittstellen verschiedene KI-Modelle einbauen und darauf aufbauen ein Custom GPT gewissermaßen aus den verschiedenen Zutaten zusammenstellen. Momentan haben wir als Modelle Google Gemma 3, Modelle von Mistral und demnächst auch gpt-oss-120b von OpenAI eingebunden. Je nach Tätigkeit wählt man dann das richtige Modell: Braucht es zum Beispiel ein Reasoning-Modell, das komplexe Fragen schrittweise löst, oder braucht es ein multimodales Modell, das auch mit Bildern arbeiten kann. Die Grundmodelle versehen wir mit Parametern: Welche Tonalität soll die Ausgabe haben, welche Varianz ist in den Antworten, wie kreativ oder unkreativ soll die KI vorgehen. Vieles wird über den schon erwähnten System-Prompt gesteuert. Dann schließen wir noch Wissensdatenbanken und Wissensquellen an und definieren, auf was mit welcher Priorität davon zurückgegriffen werden soll. Am Ende gibt es die Möglichkeiten, Tools und Actions einzubinden, etwa um abzustecken, welche aktuellen Daten und Quellen verwendet werden können. **Frage: Mit Google, OpenAI und Mistral haben Sie eine große Bandbreite, aber mehrheitlich US-amerikanische Modelle. Konnten Sie bei der Auswahl der verwendeten Modelle überhaupt ethische Anforderungen stellen? Selbst bei der Minimalanforderung »im europäischen Rechtsrahmen entwickelt« bleibt ja eigentlich nur Mistral über.** **Palkowitsch-Kühl:** Der Markt ist tatsächlich begrenzt. Es wäre uns schon am liebsten gewesen, dass wir ausschließlich europäische Modelle verwenden. Aber unser System muss auch wettbewerbsfähig sein. Wir können kein System anbieten, das zwar unsere ethischen Ansprüche perfekt erfüllt, aber dann viel schlechter ist als das, was auf dem Markt ist. Damit würden wir nur Leute wieder in die Schatten-IT treiben. Wir müssen also abwägen und aus dem tatsächlich Verfügbaren das auswählen, was vertretbar ist. Wir denken derzeit über Prüfkriterien nach, die von einem Gremium an die Modelle angelegt werden, aber aber hier stehen wir noch am Anfang. **Frage: Welche rechtlichen Rahmenbedingungen sind für Sie wichtig?** **Palkowitsch-Kühl:** Generell wollen wir die Daten in Europa verarbeiten, damit wir uns im Rahmen bewegen können, der von der DSGVO und dem kirchlichen Datenschutz sowie von der KI-Verordnung vorgegeben wird. Das können wir sehr gut mit unserem technischen Partner abbilden, dem Kirchlichen Rechenzentrum Südwestdeutschland. Eine anspruchsvolle Frage ist die Abgrenzung von Rollen und Verantwortlichkeit: Wer ist im Sinne der KI-Verordnung bei unserem System Anbieter, wer Betreiber? Wie ist die datenschutzrechtliche Verantwortlichkeit auf die einzelnen Beteiligten verteilt? Wie gehen wir damit um, wenn sensible Daten in die KI eingegeben werden? Die größte rechtliche Herausforderung momentan ist aber die Websuche, die wir an unser KI-System anbinden wollen. **Frage: Weil der Markt da von nichteuropäischen Anbietern dominiert ist?** **Palkowitsch-Kühl:** Es gibt europäische Anbieter von Schnittstellen, mit denen wir auch im Gespräch sind. Der Suchindex Staan etwa. Dahinter steckt ein französischer Anbieter, und in diesem Jahr läuft das auch noch nur auf Französisch. Da müsste also momentan das KI-Modell erst ins Französische übersetzen und später wieder zurück. Bei der Suche sind wir noch ganz am Anfang der Testphase. Was da praktikabel ist und inwiefern es möglich ist, ohne Google und Bing auszukommen, muss sich noch zeigen. **Frage: Entstehen durch das eigene kirchliche Datenschutzrecht zusätzliche Herausforderungen?** **Palkowitsch-Kühl:** Das ist mit der Novelle sehr viel einfacher geworden. Der Verzicht auf die Unterwerfungsklausel bei Auftragsverarbeitungsverträgen erspart uns sehr viel Arbeit. Ansonsten sind wir noch nicht auf Punkte gestoßen, wo das DSG-EKD andere Anforderungen an KI-Systeme stellt als die DSGVO. **Frage: Dasnovellierte DSG-EKD hat nun auch die Regelungen zur automatisierten Entscheidungsfindung aus der DSGVO übernommen. Spielt das für Sie eine Rolle?** **Palkowitsch-Kühl:** Nein – weil wir ohnehin von Anfang an automatisierte Entscheidungsfindung ausgeschlossen haben. Wir setzen auf den Human-in-the-loop-Ansatz, der auch in den verschiedenen Verträgen und Nutzungsbedingungen auf den einzelnen beteiligten Ebenen festgehalten wird. Im nächsten Jahr soll noch eine Dienstvereinbarung in der bayerischen Landeskirche dazu kommen. Da geht es dann auch um die von der KI-Verordnung vorgesehene Kompetenzvermittlung. **Frage: Welche Kompetenzen halten Sie für besonders wichtig?** **Palkowitsch-Kühl:** Es besteht immer die Gefahr, dass der KI zu stark vertraut wird. Bei unserer Kompetenzvermittlung muss daher im Mittelpunkt stehen, dass KIs keine Wahrheitsmaschinen sind, sondern Wahrscheinlichkeitsmaschinen. Das muss man vermitteln, damit keine überzogenen Erwartungen an eine KI gestellt werden, und damit die Ergebnisse kritisch reflektiert werden. * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Der DSGVO-Kommentar von Taeger/Gabel ist in der **fünften Auflage** erschienen. Für mich eine Premiere: Kommentierungen von Art. 91 DSGVO besprochen habe ich schon viele, das ist die erste, an der ich mitgewirkt habe. (Foto: fxn) Für die Kommentierung in der fünften Auflage konnten wir auf die von mir schon positiv besprochene Fassung von Anne Reiher und Karsten Kinast in der vierten Auflage zurückgreifen. (Zum Zeitpunkt meiner Rezension wusste ich noch nicht, dass ich Reiher als Mitkommentator ablösen würde.) Die Änderungen sind weitgehend **Fortschreibungen der bisherigen Linie**. Seit der vierten Auflage ist relevante Rechtsprechung (hinsichtlich der Frage der Stichtagsregelung durch das VG Hannover und das oberste polnische Verwaltungsgericht) ebenso wie Literatur (allen voran die Dissertation von Marten Gerjets) hinzugekommen. Mir war in der Aktualisierung vor allem eine Schwerpunktverschiebung wichtig: Die vierte Auflage hatte noch ausschließlich eine enge Auslegung des von Art. 91 Abs. 1 DSGVO vom kirchlichen Datenschutzrecht verlangten **»Einklangs«** vertreten. In der fünften haben wir jetzt stattdessen drei vertretbare Auslegungen benannt: 1. Kirchliches Datenschutzrecht darf die DSGVO lediglich konkretisieren, nicht aber von ihr abweichen. 2. Es kann vom Datenschutzniveau der DSGVO abgewichen werden, nämlich 1. in Form von Verschärfungen, nicht durch eine Absenkung des Datenschutzniveaus oder 2. dort, wo es durch das religiöse Proprium erforderlich ist (etwa bei Löschrechten in Kirchenbüchern) 3. Es müssen die Kriterien für Angemessenheitsbeschlüsse angelegt werden (eine Position, die Ralph Wagner hier ausgeführt hat). Im Kommentar sprechen wir uns für die Variante 2.2 aus: > »Das Regelungsziel, zugleich das Grundrecht auf Datenschutz und das Grundrecht auf Religionsfreiheit zum Tragen kommen zu lassen, spricht für die zweite Variante dahingehend, dass zwar grundsätzlich ein einheitliches Datenschutzniveau angestrebt ist, Abweichungen aber dann zulässig sind, wenn sie im religiösen Proprium liegen und mit einer praktischen Konkordanz zwischen Datenschutzgrundrecht und Religionsfreiheit zu vereinbaren sind.« Die Kommentierung endet mit **Perspektiven**. Berücksichtigt ist dabei das immer noch nicht abgeschlossene Verfahren zum Datenschutzrecht der Selbständigen Evangelisch-Lutherischen Kirche, das das Potential hat, vieles zu klären und vieles umzuwerfen. Nicht mehr berücksichtig werden konnten die Geschehnisse um das Datenschutzrecht von Jehovas Zeugen, wo es wohl auch auf einen gerichtlich zu klärenden Konflikt hinauslaufen wird. _Jürgen Taeger, Detlev Gabel (Hrsg.): DSGVO – BDSG – TDDDG, 5. Auflage 2026, 2600 S., 309 Euro._ * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

📃 Termin fürs neue KDG steht fest 🌅 Mit Staunen vor der Schöpfung stehen 🛋️ Stramme Katholiken gegen die DSGVO 🗃️ Archive und Datenschutz in der Aufarbeitung

Papst Leo XIV. reist an den Ort des Konzils von Nizäa

Entscheidung ohne kirchenrechtlichen Problemhorizont

⊞ MS 365 hessisch-konform betreiben 🗑️ Löschen als bester Datenschutz ⚖️ IDSG kündigt Entscheidung über KDG-Geltungsbereich an 📃 Strittige Entscheidung des KDSZ Bayern

Werkzeuge für die betriebliche Mitbestimmung

Ein Kommentar von Felix Neumann

📊 Daten- und KI-Strategie der EKD ⚖️ Rota urteilt zu Listen von Beschuldigten 🇱🇮 Keine Aktenweitergabe in Liechtenstein ♗ Papst fordert Reformen im Datenschutz 🏴󠁤󠁥󠁢󠁹󠁿 Tätigkeitsbericht KDSZ Bayern ver...

Außer der Datenwirtschaft hilft das niemandem