_**Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten –hier geht’s zur Newsletter-Anmeldung.**_ **_Über den Newsletter gibt es außerdem Zugang zur Artikel-91-Signal-Gruppe und zu den digitalen Datenschutz-Stammtischen._** (Bildquelle: ali syaaban on Unsplash) **Inhalte** Verbergen 1 Die Woche im kirchlichen Datenschutz 1.1 Weniger spezifische Aufsichten 1.2 Medienbuddies 1.3 Nicht alle Rechtswege führen nach Rom 1.4 In eigener Sache 2 Auf Artikel 91 3 Aus der Welt 4 Kirchenamtliches ## Die Woche im kirchlichen Datenschutz ### Weniger spezifische Aufsichten Der erste Tätigkeitsbericht für 2025, der des NDR-Rundfunkdatenschutzbeauftragten, ist zugleich der letzte seiner Art: Einen Rundfunkdatenschutzbeauftragten des NDR wie anderer einzelner Anstalten wird es künftig nicht mehr geben, der »Reformstaatsvertrag« sieht stattdessen einen »Gemeinsamen Rundfunkbeauftragten für den Datenschutz« vor, der für die ARD, das ZDF und das Deutschlandradio zuständig ist. Damit gibt es dann nur noch zwei spezifische Aufsichten von Medien nach Art. 85 DSGVO; die Deutsche Welle hat weiterhin eine eigene Aufsicht. Die Zukunft der Rundfunkdatenschutzkonferenz steht daher in Frage, die dann nur noch aus zwei Mitgliedern bestünde, wie der NDR-Rundfunkdatenschutzbeauftragte in seinem Bericht schreibt. Die RDSK gehörte immer zu den deutlichsten Stimmen, die eine stärkere Beteiligung der spezifischen Aufsichten an der Datenschutzkonferenz forderten – auch im letzten NDR-Tätigkeitsbericht ist das kurz Thema: > »Die Mitglieder der RDSK und der Kirchen betonen in diesem Zusammenhang regelmäßig, dass der Gaststatus zwecks Informationstransfers zwar begrüßenswert ist, jedoch eine Zusammenarbeit auf „Augenhöhe“ noch nicht erreicht sei, weil es an einer engeren Anbindung fehle.« ### Medienbuddies »Medienbuddies – Spielerisch stark in Netz und Gesellschaft« heißt ein medienpädagogisches Projekt, das vom katholischen Ludwig-Windthorst-Haus Lingen und dem Bundesjugendministerium getragen wird. Ziel ist, mit den Jugendlichen auf einen verantwortungsvollen Umgang mit Medien hinzuarbeiten: »Spielerische Methoden, unterhaltsame Infobits und thematisch passende Energizer befähigen junge Menschen, Onlineinhalte kritisch zu hinterfragen, Risiken zu erkennen und sich für ein faires und respektvolles Online-Umfeld einzusetzen.« Dazu werden Siebt- und Achtklässler*innen zu Multiplikator*innen ausgebildet. Ein Thema dabei ist Datenschutz – die Unterlagen dazu (Hintergründe, Methoden und detaillierte Ablaufpläne) sind online unter einer CC-Lizenz veröffentlicht. ### Nicht alle Rechtswege führen nach Rom »Dr. Datenschutz« hat sich das für Datenschutzverfahren relevante Prozessrecht der großen Kirchen angeschaut. Mich hat das zu motiviert, den Stand bei den kleineren Gemeinschaften herauszufinden. Zum katholischen Datenschutzrecht wird im ursprünglichen Artikel folgende Feststellung getroffen: »Teilweise wird noch der Apostolische Stuhl als dritte Instanz betrachtet, denn in der katholischen Kirche führen alle Wege nach Rom.« Das ist grundsätzlich korrekt: Die Position, dass Entscheidungen des Datenschutzgerichts der Deutschen Bischofskonferenz, der zweiten Instanz, vor die Kirchengerichte im Vatikan weiter getragen weden, wird vertreten. Es gibt aber auch Indizien, die dagegen sprechen: Genau dieser Fall war nämlich für den Kirchlichen Arbeitsgerichtshof, also die letzte Instanz der katholischen Arbeitsgerichtsbarkeit in Deutschland, zu klären. Hier stellte die Apostolische Signatur, das höchste Kirchengericht, fest, dass im Fall von mit päpstlichem Mandat beschlossenen Gerichtsordnungen – wie es die KAGO fürs Arbeitsrecht und die KDSGO fürs Datenschutzrecht sind – der dort festgehaltene Rechtsweg abschließend ist. Eine reguläre höhere Instanz in Rom gibt es also nicht. Was jedoch immer offensteht, ist der Appell direkt an den Papst, der an keine Verfahrensordnungen gebunden ist. Da führen dann tatsächlich alle Wege nach Rom. ### In eigener Sache * Beim Könzgenhaus im Bistum Münster biete ich einen **Kurs für die Mitglieder (katholischer) MAVen** an: Datenschutz für die MAV, 4.–6. März 2026, 695 Euro. ## Auf Artikel 91 * Rechtsbehelfe im Datenschutz der kleineren Religionsgemeinschaften ## Aus der Welt * Vom DSG-DBK kommt die unselige Formulierung, dass das **Löschen von Daten** kein **Datenschutzverstoß** sein kann, »weil durch Löschung der datenschutzrechtlich rechtfertigungsbedürftige Persönlichkeitseingriff ja gerade beendet wird«. Den gegenteilige Fall eines Datenschutzverstoß durch unrechtmäßige Löschung sieht man relativ selten. In Spanien wurde in so einem Fall nun ein Bußgeld gegen ein Krankenhaus in Höhe von 1,2 Millionen Euro verhängt: Das Krankenhaus hatte MRT-Bilder gelöscht, die eigentlich in die Krankenakte gehören, und außerdem vom Patienten auf CD übergebene alte Bilder verloren. (Auf das Bußgeld wurde ich durch den aktuellen c’t-Auslegungssache-Podcast aufmerksam, wo es um Datenschutz als Wirtschaftsvorteil geht.) ## Kirchenamtliches **Diözese Linz:** Videoüberwachungsordnung der Diözese Linz * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Alle Institutionen müssen ihren Umgang mit KI-Systemen klären und reflektieren – wer darauf verzichtet, setzt nicht keine KI-Systeme ein, sondern lebt mit schlecht zu regulierender Schatten-IT. Deshalb ist der Umgang mit »Künstlicher Intelligenz« am Arbeitsplatz auch zunehmend ein Thema für Betriebs- und Personalräte und Mitarbeitervertretungen. (Bildquelle: Sigmund auf Unsplash) Die baden-württembergische Stadt Schorndorf geht dieses Thema aktiv an. Im vergangenen Jahr hat sie für eine Dienstanweisung zum Umgang mit KI einen Anerkennungspreis der »Deutschen Gesellschaft für Gesetzgebung« beim »Preis für gute Gesetzgebung« erhalten. Die Dienstanweisung und die später geschlossene Dienstvereinbarung, die die Anweisung abgelöst hat, sind mittlerweile dank einer Anfrage nach dem baden-württembergischen Landesinformationsfreiheitsgesetz öffentlich. Damit steht eine gute Grundlage für eigene Regelungen zur Verfügung. **Inhalte** Verbergen 1 Inhalt der Dienstvereinbarung 1.1 Ziel 1.2 Verständliche KI-Definition 1.3 Grundsätze 1.4 Prüfung und Freigabe von KI-Systemen 1.5 Zuständigkeiten 1.6 Durchsetzung 2 Adaption für kirchliche Einrichtungen 3 Fazit ## Inhalt der Dienstvereinbarung Beide Dokumente sind online verfügbar: * Dienstanweisung für den dienstlichen Umgang mit Künstlicher Intelligenz in der Stadtverwaltung Schorndorf * Dienstvereinbarung für den dienstlichen Umgang mit Künstlicher Intelligenz in der Stadtverwaltung Schorndorf ### Ziel Ziel der Dienstvereinbarung ist es, KI-Systeme für die Stadtverwaltung nutzbar zu machen. Die Nutzung soll »mit den rechtlichen, ethischen und sozialen Anforderungen in Einklang stehen« und die Rechte und Interessen aller Mitarbeitenden wahren. ### Verständliche KI-Definition KI-Systeme werden dabei eigens definiert. Anders als die umfangreiche und so unverständliche wie weite Definition in Art. 3 Nr. 1 KI-VO hebt die Dienstvereinbarung auf eine verständliche Definition ab. »Künstliche Intelligenz« im Sinne der Dienstvereinbarung wird so gefasst: > »Hard- oder Software-Systeme, die basierend auf Algorithmen und maschinellem Lernen Entscheidungen treffen, Inhalte generieren, Daten analysieren oder Prozesse automatisieren können« ### Grundsätze Der Dreiklang aus Recht, Ethik und Sozialem wird in **Allgemeinen Grundsätzen** (§ 2) aufgegriffen. Die Einhaltung des geltenden Rechts ist (zumal für eine Behörde) selbstverständlich. Spannender sind die drei Punkte, die unter der Überschrift »Ethik und Schutz der Persönlichkeitsrechte« aufgezählt werden: 1. »Alle KI-Anwendungen sind so einzusetzen, dass Menschenwürde, Persönlichkeitsrechte und der Grundsatz der Nichtdiskriminierung gewahrt bleiben.« 2. »Die Entscheidungshoheit des Menschen bleibt gewahrt«. 3. »KI-Systeme dürfen die menschliche Fach- und Ermessensentscheidung nicht ersetzen, sondern lediglich unterstützen.« Schon unter die allgemeinen Grundsätze wird das Verbot der Preisgabe vertraulicher oder personenbezogener Daten gefasst. Sie gilt grundsätzlich für die Verarbeitung in öffentlichen und externen KI-Systemen, kann aber nach ausdrücklicher Freigabe doch erfolgen. Mit diesen Grundsätzen ist bereits eine klare Systematik vorgegeben, die einfach nachvollziehbar und damit gut vermittelbar einen Rahmen absteckt. ### Prüfung und Freigabe von KI-Systemen Die Dienstvereinbarung definiert ein Prüfverfahren (§ 4), das auf Grundlage der Risikoklassen der KI-Verordnung eine systematische Einordnung konkreter KI-Systeme ermöglicht. Dazu wird ein **vereinfachtes KI-Audit** definiert (§ 4 Abs. 4), in dessen Rahmen fünf Punkte abgearbeitet werden: 1. Anforderungsprofil und Informationssammlung 2. Datenschutz und IT-Sicherheit 3. Ethische Bewertung (insbesondere mit Blick auf Diskriminierungspotential) 4. Auswirkungen auf Beschäftigte 5. Dokumentation und Freigabe Freigegebe Anwendungen sollen in eine kommentierte **Whitelist** (§ 3) aufgenommen werden. Die individuelle Erlaubnis zur Nutzung von KI-Systemen wird erst nach erfolgreicher Basisschulung erteilt, dazu kommen freiwillige regelmäßige Fortbildungsangebote. ### Zuständigkeiten Fünf Rollen werden aufgezählt: die Stabsstelle Digitalisierung, der*die KI-Beauftragte (ggf. in Personalunion mit der Leitung der Stabsstelle), Personalrat, Führungskräfte und Beschäftigte. Beim **Personalrat** wird betont, dass alle Beteiligungsrechte unberührt bleiben und die Vertretung insbesondere dann zustimmen muss, wenn es um hochriskante Verfahren geht. ### Durchsetzung Zu den Aufgaben des*der KI-Beauftragten gehört, als zusätzliche vertrauliche Meldeinstanz bei Fragen, Unsicherheiten oder dem Verdacht auf Verstöße gegen die Dienstvereinbarung zu fungieren. Die Nutzung von KI-Systemen durch Beschäftigte wird nicht fortlaufend und systematisch überwacht. Lediglich beim konkreten Verdacht auf schwerwiegende Verstöße gegen Vorgaben dürfen »stichprobenhafte Prüfungen oder eine Einsicht in einzelne KI-Anfragen erfolgen, um den Sachverhalt zu klären«, immer unter der Einbeziehung des Personalrats. ## Adaption für kirchliche Einrichtungen Auch in kirchlichen Einrichtungen besteht die Notwendigkeit, den Einsatz von KI-Systemen rechtssicher und ethisch vertretbar zu regulieren. Im Umgang mit KI-Systemen gibt es grundsätzlich keine kirchlichen Besonderheiten. (Es ist allerdings damit zu rechnen, dass Regelungen kommen. Im Erzbistum Köln gibt es für den verfasst-kirchlichen Bereich bereits eine verbindliche KI-Nutzungs-Ordnung.) Die spezifische KI-Gesetzgebung, insbesondere die KI-Verordnung, gelten auch im kirchlichen Bereich, und die beiden großen kirchlichen Datenschutzgesetze haben keine relevanten Abweichungen von der DSGVO, die ein anderes Vorgehen nötig machen würde. Im Bereich des kollektiven Arbeitsrechts kommt es stark auf die Konfession an. (Hier kann der Artikel zu Mitbestimmungsrechten der MAV in Datenschutzfragen zusätzlich herangezogen werden.) Das **evangelische Recht** kennt eine dem staatlichen Recht vergleichbare Regelung zu Dienstvereinbarungen (§ 36 MVG-EKD) und einige explizite Mitbestimmungstatbestände, die geeignet sind, die Einführung und Anwendung von KI-Systemen in den Bereich der Mitbestimmung zu bringen. (Konkret die Einführung grundlegend neuer Arbeitsmethoden, Maßnahmen zur Hebung der Arbeitsleistung und zur Erleichterung des Arbeitsablaufs, die Einführung und Anwendung zur Überwachung geeigneter Systeme und die Regelung der Ordnung in der Dienststelle.) Damit dürfte eine Dienstvereinbarung nach Schorndorfer Vorbild möglich sein. Das **katholische Recht** dagegen beschränkt Dienstvereinbarungen auf den Rahmen des § 38 MAVO, der einen abgeschlossenen Katalog an dienstvereinbarungsfähigen Tatbeständen aufzählt. Für die Regulierung der Anwendung von KI-Systemen in der Einrichtung greift hier nur für Teilaspekte die »Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Mitarbeiterinnen und Mitarbeiter zu überwachen« (§ 38 Abs. 1 Nr. 11 MAVO). Ansonsten dürften Regelungen wie in der Schorndorfer Dienstvereinbarung höchstens der Anhörung und Mitberatung unterliegen, namentlich in Gestalt der Tatbestände der grundlegenden Änderungen von Arbeitsmethoden und der Maßnahmen zur Hebung der Arbeitsleistung und zur Erleichterung des Arbeitsablaufes (§ 29 Abs. 1 Nr. 14 und 15 MAVO). Im Ergebnis dürfte es daher in der Regel auf eine Dienstanweisung herauslaufen, vor deren Erlass die MAV angehört wird. ## Fazit Das Schorndorfer Vorgehen wirkt **durchdacht und pragmatisch** : Insbesondere der vereinfachte KI-Audit gibt ein praktisches Werkzeug an die Hand, um Entscheidungen über Freigaben systematisch zu ermöglichen. Das Instrument einer kommentierten Whitelist schafft Übersicht und Sicherheit für Beschäftigte und vermeidet doppelte Arbeit. Mit dem Fokus auf verständliche Definitionen, nachvollziehbare Prinzipien und kontinuierliche Schulung arbeitet die Dienstvereinbarung auf die von Art. 4 KI-VO geforderte KI-Kompetenz hin. Nicht explizit erwähnt wird Schatten-IT wie frei verfügbare Online-Tools und die Verwendung privater Endgeräte (etwa für Übersetzungen); implizit ist klar, dass das nicht zulässig ist. Zumindest in der Schulung sollte dieser Aspekt betont werden. Auch wenn die Dienstvereinbarung nach Angaben der Stadt die vorherige Dienstanweisung ersetzt hat, lohnt sich ein Blick in das ältere Dokument: Dort werden wichtige Aspekte einer KI-Richtlinie wie der Grundsatz der Letztentscheidungsbefugnis des Menschen, konkrete Datenschutzfragen, der Umgang mit Amtsgeheimnissen und Urheberrecht sowie Ethik, Integrität, Verantwortung und Diskriminierungsverbot noch etwas detaillierter ausformuliert. Für den kirchlichen Bereich ist die Schorndorfer Vorlage ein guter Start, um – mit den nötigen Anpassungen hinsichtlich des geltenden Datenschutzrechts und der jeweiligen Mitarbeitendenvertretungsgesetze – KI-Nutzung klug zu regulieren. * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Wie steht es um die digitale Resilienz der Kirchen und welche Probleme verursacht der Einsatz von „Künstlicher Intelligenz“? Felix Neumann erklärt, welche Entwicklungen beim Datenschutz in diesem Jahr...

Wie steht es um die digitale Resilienz der Kirchen und welche Probleme verursacht der Einsatz von „Künstlicher Intelligenz“? Felix Neumann erklärt, welche Entwicklungen beim (kirchlichen) Datenschutz in diesem Jahr wichtig werden:

Ein Kommentar von Felix Neumann

2026 können katholische Verantwortliche da einsteigen, wo evangelische hoffentlich schon fertig sind: Die Anpassung des eigenen Datenschutzkonzept an das reformierte KDG steht an. Im Kern des Datenschutzrechts dürfte damit erst einmal Konstanz anstehen – wenn nicht Reformen an der DSGVO und dem BDSG doch noch Wirklichkeit werden. Und manche Neujahrswünsche sind mittlerweile schon traditionell: dass diverse (Verwaltungs-)Gerichte tätig werden, dass Alt-Katholik*innen ihre Aufsicht in den Griff bekommen und dass die KDSA Nord KdÖR wird. Blick in die Glaskugel. (Bildquelle: Michael Dziedzic/Unsplash) **Inhalte** Verbergen 1 Was uns von den Aufsichten erwartet 2 Was uns von den Gerichten erwartet 2.1 Kirchliche Gerichte 2.2 Staatliche Gerichte 3 Was uns in der Gesetzgebung erwartet 3.1 Kirchliche Gesetzgebung 3.2 Staatliche Gesetzgebung 4 Was sonst noch ansteht 5 Bisherige Jahresausblicke ## Was uns von den Aufsichten erwartet * Die **Konferenz der Diözesandatenschutzbeauftragten** wird von Andreas Bloms, Diözesandatenschutzbeauftragter der Nord-Bistümer, geleitet. * Das KDSZ Bayern hat einen Stand beim **Katholikentag in Würzburg**. * Die zweite und letzte Amtszeit des **NRW-Diözesandatenschutzbeauftragten** Steffen Pau läuft am 31. August aus, die Suche nach einer Nachfolge wurde schon früh gestartet. * Weiterhin unklar ist, wie es mit der **alt-katholischen Datenschutzaufsicht** weiter geht. Vom Bistumsdatenschutzbeauftragten hat man während seiner bis Ende 2024 laufenden Amtszeit nichts gehört, seither ist der Posten vakant. 2026 stehen aber sowohl die Synode als auch eine Bischofswahl an – vielleicht wird das genutzt, um den unhaltbaren Zustand zu verändern. * Die **KDSA Nord** könnte eine KdÖR werden – aber das Thema ist im kirchlichen Datenschutz, was im weltlichen ein Beschäftigtendatenschutzgesetz ist. (Schon mindestens seit dem Tätigkeitsbericht für 2019 wurde das angekündigt.) * Nachdem die Landesdatenschutzaufsicht Sachsen-Anhalt 2025 ein laufendes Verfahren gegen eine Gliederung von **Jehovas Zeugen** hat, könnte ein eventuell ergehender Bescheid vor Gericht angegriffen werden. Dann müsste die Justiz klären, ob das Datenschutzrecht der Religionsgemeinschaft den Anforderungen von Art. 91 DSGVO entspricht. * 2026 ist ein gerades Jahr – damit gibt’s **keinen Tätigkeitsbericht des BfD EKD**. Möglicherweise gibt es aber schon erste Ergebnisse der Prüfung kirchlicher Verwaltungen. ## Was uns von den Gerichten erwartet ### Kirchliche Gerichte * Die Klage der Aufarbeitungskommission Nord liegt beim IDSG. Es geht um die Frage, ob sie zurecht von der Datenschutzaufsicht als eigene verantwortliche Stelle betrachtet wird. * … und irgendwann wird sicherlich auch mal ein evangelisches Gericht Fälle mit DSG-EKD-Bezug zu bearbeiten haben. ### Staatliche Gerichte * Beim Niedersächsischen Oberverwaltungsgericht Lüneburg liegt noch die Berufung zum Urteil, mit dem im November 2022 das **Datenschutzrecht der SELK** kassiert wurde. Ende November gab es dazu noch keinen Termin für das Verfahren mit dem Aktenzeichen 2 LC 95/24. * Ebenfalls eine Wiedervorlage: Beim EuGH liegen Fragen zum **Löschrecht im Taufbuch**, die der belgische Marktgerichtshof im März 2025 vorgelegt hat. Mit etwas Glück kommen 2026 zumindest die Schlussanwälte des Generalanwalts. * Wiedervorlage die Dritte: Beim Streit zwischen der BfDI und dem Bundespresseamt um die **Facebook-Seite der Bundesregierung** gab es 2025 eine erstinstanzliche Entscheidung zugunsten des Bundespresseamts, die BfDI hat aber Berufung eingelegt. Hoffentlich ist das OVG Münster schneller als das OVG Lüneburg. * Das Bundesverfassungsgericht dürfte die Verfassungsbeschwerde im **Streit um die Einsicht in ein Kirchengemeinderatsprotokoll** entscheiden und hat damit Gelegenheit, wieder einmal zu Religionsverfassungsrecht zu entscheiden. ## Was uns in der Gesetzgebung erwartet ### Kirchliche Gesetzgebung * Schon Ende 2024 wurde der Entwurf der **Novelle des KDG** veröffentlicht. Im November 2025 wurden das neue KDG und die neue KDG-DVO dann als Muster beschlossen, am 1. März sollen sie in Kraft treten. * Das bedeutet, dass auch die Orden päpstlichen Rechts anfangen, die Übernahme der KDG-Reform in die KDR-OG zu beraten. * Für die **Reform der katholischen Mitarbeitervertretungsordnung** sieht es trotz noch fehlendem Termin wahrscheinlich auch gut aus, schon weil der Druck höher ist, das Gesetz auf die Höhe der Zeit zu bringen. Dringend nötig ist etwa die geplante Regelung zum Datenschutz der MAV. * Schon lange fällig ist auch die **Novelle der katholischen Archivordnung**. Status: unbekannt. ### Staatliche Gesetzgebung * Das **Beschäftigtendatenschutzgesetz** steht im Sofortprogramm der Bundesregierung. Auf Anfrage teilte das Bundesarbeitsministerium mit, dass derzeit regierungsinterne Vorarbeiten laufen. Zusammen mit dem Arbeitsministerium ist das Innenministerium federführend. Ganz bei null startet man nicht: „Die in der letzten Legislaturperiode gewonnenen Erkenntnisse fließen in das aktuelle Vorhaben ein“, heißt es vom BMAS. Der viel kritisierte, reichlich kleinteilige Referentenentwurf aus der Vorgängerregierung hat aber wahrscheinlich wenig Zukunft. * Eine Reform des **Bundesdatenschutzgesetzes** steht immer noch aus – aus Sicht des kirchlichen Datenschutzes wird vor allem eine Klarstellung des Geltungsbereichs für öffentlich-rechtlich verfasste Religions- und Weltanschauungsgemeinschaften erwartet. * Der **Digital-Omnibus der EU-Kommission** dürfte die netzpolitische Diskussion des Jahres prägen – und hat das Potential, die erste wirkliche DSGVO-Reform nach sich zu ziehen. Die hier diskutierten ursprünglichen Vorschläge zur Reform von Art. 9 DSGVO wurden zum Glück schon abgeschwächt. ## Was sonst noch ansteht * Die EKD-Synode hat dem Rat einige Aufträge im Bereich KI mitgegeben: eine Datenkompetenzstrategie, eine KI-Strategie und ein digitales Liturgie-Tool. ## Bisherige Jahresausblicke * Das passiert **2021** im kirchlichen Datenschutz * Kommt der Facebook-Crackdown? Jahresausblick **2022** zum kirchlichen Datenschutz * Endlich Evaluierung? Jahresausblick **2023** zum kirchlichen Datenschutz * Vor Gericht und bei der Evaluierung – Jahresausblick **2024** * Jahr der Reform, Jahr des Gerichts – Jahresausblick **2025** * Umsetzen und Hoffen – Jahresausblick **2026** * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

2025 war das **Jahr des neuen Datenschutzrechts** : Das novellierte DSG-EKD trat in Kraft, das novellierte KDG wurde beschlossen. 2025 war außerdem das Jahr, in dem KI-Themen endgültig nicht mehr aus dem kirchlichen Datenschutz wegzudenken sind – nicht zuletzt, weil Papst Leo XIV. den **Umgang mit künstlicher Intelligenz als soziale Frage unserer Zeit** identifiziert hat. (Bildquellen: Nazym Jumadilova auf Unsplash und Ingmar auf Unsplash, Montage fxn) Der Artikel-91-Jahresrückblick zeigt, welche Themen den kirchlichen Datenschutz 2025 geprägt haben. Wieder einmal sind viele Dauerbrenner dabei – manche Themen kommen aber langsam zu einem Abschluss. **Inhalte** Verbergen 1 Aus den Aufsichten 1.1 Tätigkeitsberichte 2 Aus den Gerichten 2.1 Kirchliche Gerichte 2.2 Staatliche Gerichte 3 Themen 3.1 Aufarbeitung 3.2 Jehovas Zeugen 3.3 Aus dem Vatikan 3.4 Beichtgeheimnis 3.5 Künstliche Intelligenz 4 Gesetzgebung 4.1 Kirchliche Gesetzgebung 4.2 Staatliche Gesetzgebung 5 Gastbeiträge und Interviews 6 Praktisches 7 In eigener Sache 8 Aus der Welt 9 Bisherige Jahresrückblicke ## Aus den Aufsichten * Seit dem 1. Januar 2025 gibt es nur noch **eine evangelische Aufsicht** – mit dem Ende des DSBKD hat der BfD EKD die Aufsicht über alle EKD-Gliedkirchen übernommen. * In die Frage nach der Aufsichtszuständigkeit für Jehovas Zeugen kam endlich Bewegung. Nachdem sich Hessen und Berlin über die Zuständigkeit für die Körperschaft über Jahre nicht einig werden konnten, ist das jetzt klar (Berlin übernimmt). Außerdem hat erst die Landesdatenschutzaufsicht Sachsen-Anhalts ihre Zuständigkeit für lokale Gliederungen erklärt, anschließend haben die meisten Landesdatenschutzaufsichten nachgezogen. * Der NRW-Diözesandatenschutzbeauftragte geht nicht in eine dritte Amtszeit. * Beim Bund Freier evangelischer Gemeinden in Deutschland gibt es einen neuen Bundesbeauftragten für den Datenschutz. * Die KDSA Nord ist **immer noch keine KdÖR.** * Bei der Datenschutzkonferenz dürfen die kirchlichen Aufsichten weiterhin nur am Spielfeldrand dabei sein. * Die **alt-katholische** Datenschutzaufsicht war mit dem Auslaufen der Amtszeit des bisherigen Bistumsdatenschutzbeauftragten (der nicht viel getan hat) seit Anfang des Jahres vakant. Eine neue Besetzung steht noch aus. ### Tätigkeitsberichte Bei den Tätigkeitsberichten treten die Corona-Nachwehen langsam in den Hintergrund. Das nächste große Thema ist **KI in der Kirche**. Die Reihenfolge der Berichte hat sich mittlerweile recht verlässlich eingependelt: Die Ordensdatenschutzbeauftragten sind am schnellsten, Dortmund kommt auf den letzten Drücker. Erstmals gab es auch einen Bericht aus Bayern, seit das KDSZ Bayern errichtet wurde. Ungerade Jahre sind evangelische Berichtsjahre – mit nur noch einer Aufsicht bleibt das so. * **Ordensdatenschutzbeauftrage:** Ein einziger Ort für viele Beschwerden (2024) * **Datenschutzbeauftragter des Bundes freikirchlicher Pfingstgemeinden:** Aufsichtsbekannt archiviert (2022/23) * **KIOD (Polen):** Tätigkeitsbericht 2024 * **KDSA Ost:** Klare Kante für Grundrechte (2024) * **Datenschutzaufsicht Jehovas Zeugen:** Tätigkeitsbericht 2021 * **BfD EKD:** Grundrechtsbasierte Datennutzung (2023/2024) * **KDSZ Frankfurt:** ToMs für die Plazenta (2024) * **KDSA Nord:** KI ist da (2023) * **KDSZ Bayern:** Alles neu in Nürnberg (2023/2024) * **KDSZ Dortmund:** Pflichtbericht (2024) ## Aus den Gerichten ### Kirchliche Gerichte 2025 wurden eine Fülle von Entscheidungen zum kirchlichen Datenschutz veröffentlicht – aber wieder ausschließlich katholische. Nach wie vor ist unklar, warum Fälle mit Datenschutzbezug in der evangelischen Verwaltungsgerichtsbarkeit eine viel geringere Rolle spielen. * Die Aufarbeitungskommission Nord hat eine Klage beim IDSG eingereicht. Es geht um die Frage, ob sie zurecht von der Datenschutzaufsicht als **eigene verantwortliche Stelle** betrachtet wird, wie es die katholische Datenschutzkonferenz in einem ihrer seltenen Beschlüsse festgehalten hat. Auch der BfD EKD sieht in den URAKs eigene Verantwortliche. * Das IDSG hat zur **Anonymisierung von Betroffenendaten** und insbesondere Tathergangsschilderungen im Kontext der Münsteraner Studie entschieden – eine Entscheidung, die wichtige Weichen für weitere Aufarbeitungsbemühungen stellt. * Ebenfalls vom IDSG kam die Klärung einer zentralen Frage des kirchlichen Datenschutzes: Wie funktioniert eigentlich **gemeinsame Verantwortlichkeit** , wenn mehrere Datenschutzgesetze beteiligt sind? Das Ergebnis ist sehr praxisrelevant und gut umzusetzen. * Inwiefern **Löschen eine Datenschutzverletzung** ist, beschäftigte den IDSG in mindestens zwei Fällen. Ich habe die erste Entscheidung eher positiv, Matthias Ullrich eher negativ besprochen – hier ging es darum, dass zuviel gelöscht wurde. Im zweiten Fall hat das IDSG seine Rede vom Löschen als bestem Datenschutz wieder aufgegriffen. * Das KDG hat einen notorisch schlecht bestimmten Geltungsbereich – was »**sonstige kirchliche Rechtsträger** « sind, braucht zur sachgerechten Auslegung kirchenrechtliche Kompetenz. Die hat beim IDSG leider völlig gefehlt, als es darüber entschied, ob Kolping das KDG anwenden muss. * Das **DSG- DBK** hatte weniger zu tun; im Fall der Haustürwerbung einer Kirchenzeitung hat es das IDSG bestätigt. ### Staatliche Gerichte * Das BAG hatte zugunsten einer Kirchenmusikerin entschieden, die **Einsicht in ein Kirchengemeinderatsprotokoll** eingeklagt hatte, in der es um ihre Personalsache ging. Dagegen hat die Gemeinde Verfassungsbeschwerde eingelegt, die immer noch nicht bearbeitet wurde – aber eben auch nicht abgewiesen wurde. Pikant: Verfassungsbeschwerden haben keine aufschiebende Wirkung, dennoch hat die Gemeinde erst spät eine einstweilige Anordnung beantragt, um auch legal das eingeklagte Protokoll bis zu einer Entscheidung zurückhalten zu dürfen. * Im März gingen beim EuGH die Vorlagefragen aus Belgien zum **Löschen aus Taufbüchern** ein. Noch ist in dem Verfahren nichts terminiert. Der Vatikan hat sich aber durch das Gesetzesdikasterium geäußert und erläutert, warum Taufbücher nicht gelöscht werden dürfen, und Papst Leo XIV. ist persönlich an dem Thema interessiert. * Das LAG Düsseldorf hat entschieden, dass das **staatliche Arbeitsgericht für eine arbeitsrechtliche Frage mit Datenschutzbezug zuständig** ist und hat damit die herrschende Meinung bestätigt. In der eigentlichen Sache steht das Urteil noch aus. ## Themen ### Aufarbeitung * Das Dikasterium für die Gesetzestexte hat sich noch einmal deutlich dagegen gestellt, die **Namen verstorbener Beschuldigter** zu nennen. Unter anderem (aber nicht vorrangig) auf Grundlage dieser Äußerung hat das Bistum **Aachen** seine Liste mutmaßlicher und verurteilter Täter offline genommen. * Der Streit um die **Anonymisierung** in der Münsteraner Studie führt dazu, dass Anonymisierung in Studien einen größeren Stellenwert einnimmt. In **Würzburg** gab es Kritik aufgrund von Schwärzungen in Akten, die für die Studie herangezogen wurde. Kurz darauf veröffentlichte das IDSG seine Entscheidung zu Münster. In **Augsburg** und insbesondere in **Passau** hat die IDSG-Entscheidung deutlichen Niederschlag gefunden. * Ein Dauerbrenner ist die Frage, wie kirchliche Akten zur Missbrauchsaufarbeitung verwendet werden können. Die Aufarbeitungskommission für die Diözesen **Berlin, Dresden-Meißen und Görlitz** hat in ihrem Tätigkeitsbericht Grundsatzkritik an der Musterordnung zur Akteneinsicht geübt. In **Trier** gab es eine neue Akteneinsichtsordnung für die Einsicht durch Betroffene und Angehörige, eine Premiere. * Die EKD hat in ihrer **Anerkennungsrichtlinie** auch Regelungen für den Datenschutz und die Akteneinsicht durch Betroffene. * Die NRW-Bistümer haben ihre Rechtsgrundlagen für die **Verwendung von Personal- und Sachakten zur Aufarbeitung** weitgehend vereinheitlicht. * Der **IT-Vorfall** , der die Deutsche Bischofskonferenz zeitweise lahmgelegt hat, hat auch Betroffenenreaktionen ausgelöst. Der »Eckige Tisch« fordert eine unabhängige IT für unabhängige Aufarbeitungsinstitutionen. ### Jehovas Zeugen Am Umgang der staatlichen Aufsichten mit Jehovas Zeugen bin ich schon länger dran – lange konnten sie Berlin und Hessen nicht einigen, wer für die zentrale Körperschaft zuständig ist. In diesem Jahr kam Bewegung in die Sache. * Der Aufschlag kam aus Sachsen-Anhalt: Die dortige Landesdatenschutzbeauftragte erkennt das Datenschutzrecht und damit die eigene Aufsicht der Zeugen nicht an. * Eine Abfrage unter allen Landesdatenschutzaufsichten hat gezeigt: Die sachsen-anhaltinische Meinung wird von fast allen geteilt. Damit ist es nur noch eine Frage der Zeit, bis die Zulässigkeit des eigenen Datenschutzrechts gerichtlich überprüft wird. * Jehovas Zeugen selbst bleiben wenig überraschend bei ihrer Rechtsauffassung. ### Aus dem Vatikan * Im Vatikan-Dokument »Antiqua et nova« wurde **Datenschutz erstmals lehramtlich gewürdigt** und begründet. Das Verständnis von personenbezogenen Daten als Beziehungsdaten, deren Schutz Freiheitsräume bewahrt, ist erstaunlich nah am Verständnis des Bundesverfassungsgerichts im Volkszählungsurteil. * Die KI-Kommission des Vatikanstaats wurde eingerichtet. Seither hat man nichts mehr von ihr gehört. * **Papst Franziskus** war der erste Papst, dessen Pontifikat von Fragen der Digitalität mitgeprägt war. Deshalb habe ich nach seinem Tod zurückgeblickt: Franziskus und die Daten – ein netzpolitischer Blick auf sein Pontifikat. ### Beichtgeheimnis * Weltweit ist das Beichtgeheimnis unter Druck: Im US-Bundesstaat Washington, in Großbritannien und in Ungarn gab es Gesetzesinitiativen, die unterschiedlich weit gediehen sind. * Das Beichtgeheimnis ist nicht nur eine katholische Angelegenheit: In Washington haben auch die Orthodoxen geklagt. ### Künstliche Intelligenz * Gleich zu Beginn seines Pontifikats hat **Leo XIV.** den Umgang mit KI zu einem wichtigen Thema erklärt. Im Laufe des Jahres äußerte er sich immer wieder dazu und wurde sogar als »TOP-KI-Denker« ausgezeichnet. * Auch die lateinamerikanischen Bischöfe haben sich umfassend mit KI befasst, der Wiener Altkardinal Schönborn knapper und pointierter. * In der Evangelischen Kirche von Kurhessen und Waldeck wurde es praktisch: Sieben Leitsätze sollen den KI-Einsatz prägen. Noch kompakter sind die vier knappen Anweisungen der niederländischen katholischen Kirche zum Einsatz von KI. * Die Caritas hat untersucht, wie KI im Verband genutzt wird: 44 Prozent der beim Caritas-Panel befragten Rechtsträger haben sich schon mit KI befasst, davon gibt die Hälfte eine Nutzung im Einrichtungsalltag an. * Ausführlich hat sich das Katholische Büro Berlin zur KI-Regulierung geäußert. ## Gesetzgebung ### Kirchliche Gesetzgebung * Am 1. Mai trat das novellierte **DSG- EKD** in Kraft. Im Spätjahr erschien dann auch eine (leider nur online verfügbare) zweite Auflage des DSG-EKD-Kommentars, der die Änderungen berücksichtigt. * Die **Novelle des KDG** wurde durch den VDD beschlossen. Kurz vor Weihnachten wurde sie auch veröffentlicht, so dass ich das neue KDG und die neue KDG-DVO noch in diesem Jahr analysieren konnte. Jetzt liegt es an den Diözesanbischöfen, es so rechtzeitig in Kraft zu setzen, dass der 1. März 2026 als Startdatum bleibt. * Die anderen katholischen Reformprojekte laufen weiter, ohne dass ein Abschluss in Sicht wäre: **keine neue MAVO, keine neue KAO**. Immerhin wurde der Anhörungsentwurf der neuen MAVO bekannt – die geplante Regelung zum Datenschutz der MAV habe ich mir angeschaut. ### Staatliche Gesetzgebung * Das **Beschäftigtendatenschutzgesetz** hat es zwar ins Sofortprogramm der neuen Bundesregierung geschafft, passiert ist aber noch nichts. * Anders sieht’s beim **BDSG **aus. Hier gibt es einige konkrete Pläne zur »Entbürokratisierung«, die betreffen aber nicht den kirchlichen Datenschutz. Relevant wäre vor allem, die Frage nach der Zuständigkeit der Aufsichten für körperschaftlich verfasste Religionsgemeinschaften ohne eigene Aufsicht zu klären. ## Gastbeiträge und Interviews Das meiste hier schreibe ich. Das muss nicht sein: Über Angebote von Gastbeiträgen freue ich mich immer. Leider ist es gar nicht so einfach, Menschen zum Schreiben zu bewegen – umso mehr freut es mich, wenn die wenigen Gastbeiträge von so hoher Qualität sind wie in diesem Jahr sind. * Matthias Ullrich hat eine **Entscheidung des IDSG zum Löschen** kritisch kommentiert. * Sven Braun und Sascha Kremer haben für mich den neuen § 50b DSG-EKD zur **Mitgliederkommunikation** analysiert. * Emmanuel S. Caliwan ist Rechtsanwalt und Datenschützer auf den Philippinen. Seinen Beitrag zum **Löschrecht für Taufbücher** durfte ich in deutscher Übersetzung veröffentlichen. * Mit dem Leiter der Essener Bahnhofsmission habe ich über die Kampagne zum **Schutz von Menschen auf der Straße vor »Charity«-Influencer*innen** gesprochen. * Mit dem Projektkoordinator von **ELOKI** habe ich darüber gesprochen, warum die evangelische Kirche eine eigene KI braucht und wie sie das angeht. ## Praktisches Die (datensparsam erhobenen) Zugriffszahlen zeigen: Praxisrelevantes läuft besonders gut. Hier wäre auch ein guter Ansatzpunkt für Gastbeiträge aus dem Datenschutz-Alltag von Leser*innen. * In diesem Jahr hatte ich einen MAV-Schwerpunkt – sowohl bei Schulungen und Workshop als auch hier. Eine kleine Serie befasst sich mittlerweile mit dem **Datenschutz der MAV**: * Datenschutzkonzept der MAV – so geht’s * Datenschutz und Mitbestimmung – welche Rechte hat die MAV? * Haben MAVen ein datenschutzrechtliches Beschwerderecht? * Betriebliche Datenschutzbeauftragte und MAV-Mitglied – geht das? * Beschäftigtendatenschutz in KDG und DSG-EKD * Nach der Niederlage der BfDI in Sachen Bundesregierungs-Facebook-Seite in erster Instanz hat sie eine Handreichung für **Behörden-Social-Media** veröffentlicht. Wie man die im kirchlichen Bereich fruchtbar machen kann, habe ich aufgeschrieben. * Eine hilfreiche technische **Checkliste für Webseiten** gab es vom KDSZ Frankfurt * **Messenger-Dienste** sind Telekommunikationsdienste – das ist nicht allen bekannt, macht aber den Einsatz datenschutzrechtlich etwas einfacher. * Gilt das **Kunsturhebergesetz** noch und wie spielt es mit dem kirchlichen Datenschutzrecht zusammen? * Datenschutz bei **Gebetsanliegen** und Fürbittbüchern ## In eigener Sache * Am 14. Juli wurde **Artikel91.eufünf Jahre alt** (den offiziellen Geburtstag markiert ein Tweet). * 2025 ist nach langem Vorlauf der **Taeger/Gabel in fünfter Auflage** erschienen – ab dieser Auflage kommentiere ich zusammen mit Karsten Kienast den Art. 91 DSGVO. * Dreimal war ich in Podcasts zu Themen des kirchlichen Datenschutzes: Einmal beim Eule-Podcast, zweimal im MAV-Podcast (davon ist aber bislang nur die erste Folge erschienen). ## Aus der Welt * Die Jahresrückblicke des **Dresdner Instituts für Datenschutz** – Teil 1 (Januar bis Juni) und Teil 2 (Juli bis Dezember) – und von **Dr. Datenschutz** – Teil 1 (Januar bis März), Teil 2 (April bis Juni), Teil 3 (Juli bis September) und Teil 4 (Oktober bis Dezember) – haben im Blick, was allgemein in der Welt des Datenschutzes passiert ist. * Wer lieber hört als liest: Im **c’t-Datenschutz-Podcast** Ausgelegt gibt’s einen launigen und kontroverse Jahresrückblick zum weltlichen Datenschutz. ## Bisherige Jahresrückblicke * Corona und Schrems II: Das war **2020** * Corona, Kirchengesetze und Konsolidierung: Das war **2021** * Dauerbrenner und kontraintutive konfessionelle Transparenz – das war **2022** * Fake-Facebook-Verbot und kontroverse Aufarbeitung – Jahresrückblick **2023** * Das Jahr der Novellen – **Jahresrückblick 2024** * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Nicht nur ein Ehrentitel für Bischof Anba Damian

Wie in den vergangenen Jahren schließt das KDSZ Dortmund den Reigen der Tätigkeitsberichte kirchlicher Aufsichten ab – am Freitag vor Weihnachten ist der Tätigkeitsbericht für 2024 erschienen. Trends und Entwicklungen lassen sich kaum ablesen – das meiste darin sind Varianten des Altbekannten, auch die KI als großes Compliance-Thema wirft nur gelegentlich ihre Schatten voraus. **Inhalte** Verbergen 1 Rechtsprechung und Gesetzgebung 1.1 Kirchlicher Bereich 1.2 Staatlicher Bereich 2 Aufsichtstätigkeit 2.1 Statistik 2.2 Struktur der Aufsicht 2.3 Beratungen 2.4 Fälle 2.5 Fotofragen 2.6 Betriebliche Datenschutzbeauftragte 3 Fazit 4 Bisher besprochene Tätigkeitsberichte des KDSZ Dortmund ## Rechtsprechung und Gesetzgebung ### Kirchlicher Bereich Die Prämisse des Tätigkeitsberichts für 2024 ist, dass er tatsächlich aus der Sicht von 2024 geschrieben ist, obwohl er erst Ende 2025 erscheint. Das führt zu bestenfalls noch historisch interessanten Berichtsgegenständen, vor allem der Evaluation des KDG. An kirchlichen Rechtsakten werden folgende erwähnt: * Ordnung zum Betrieb einer Meldestelle nach Hinweisgeberschutzgesetz * Einsicht in Missbrauchs-Akten in der Diözese Essen * Ordnung für die Aufbewahrung und Kassation von pfarramtlichen Unterlagen in der Erzdiözese Köln * Rahmenschulordnung für Schulen in der Trägerschaft des Bistums Essen * KI-Nutzungs-Ordnung der Erzdiözese Köln * Datenschutz-Gesetz des Vatikanstaats Die spezifischeren wurden hier bereits verhandelt und offensichtlich auch von der Aufsicht wahrgenommen – insbesondere beim Datenschutzgesetz des Vatikans gibt es nicht gekennzeichnete Textübernahmen aus der Berichterstattung hier. ### Staatlicher Bereich * Die **KI -Verordnung** lässt das Datenschutzrecht unberührt: »Damit ist im kirchlichen Bereich auch die Anwendung der Normen des KDG für datenschutzrechtliche Sachverhalte aus dem Anwendungsbereich der KI-VO zu prüfen.« * Zu einigen **Entscheidungen staatlicher Gerichte** gibt es praxisrelevante Anmerkungen, so etwa zum berechtigten Interesse, zu Grenzen von Betriebsvereinbarungen, zur namentlichen Nennung von betrieblichen Datenschutzbeauftragten oder zu Negativauskünften – die Praxistipps sind aber jeweils identisch: Es wird keine Entscheidung angeführt, bei der im kirchlichen Datenschutzrecht anders vorzugehen wäre als unter Geltung der DSGVO. * Später heißt es auch noch einmal explizit zu **Positionen weltlicher Aufsichten** : »Unter Beachtung der kirchlichen Spezifika des KDG sind die Aussagen der Veröffentlichungen des EDSA beziehungsweise der DSK auf die Rechtslage nach dem KDG übertragbar.« ## Aufsichtstätigkeit ### Statistik Absolute Zahlen zur Aufsichtstätigkeit fehlen erneut. Aus einem Kuchendiagramm geht hervor, dass die Meldungen von Datenpannen bei weitem vorne lagen mit mehr als drei Viertel der Vorgänge, gefolgt von Anfragen, Beschwerden und Hinweisen. * Die Meldungen von **Datenpannen** sind im Vergleich zum Vorjahr gestiegen. Wieder machen Fehlversände (die getrennt von offenen Verteilern ausgewiesen werden) und Einbrüche einen großen Teil der Pannen aus. Die Probleme mit der Kita-App »StayInformed«, die zu einem meldepflichtigen Vorfall der jeweiligen Einrichtung führte, trugen zur Steigerung bei. Kurios: »Das Katholische Datenschutzzentrum weist daraufhin, dass es auch immer wieder zu einem meldepflichtigen Tatbestand kommt, weil versehentlich Unterlagen/Dokumente mit personenbezogenen Daten an das Katholische Datenschutzzentrum gesendet werden, die eigentlich für eine Einrichtung in dessen Zuständigkeitsbereich bestimmt sind.« * Bei den **Beschwerden** machten Fälle zum Auskunftsersuchen etwa ein Drittel der Fälle aus, gefolgt von Beschwerden über Datenweitergaben, der Rest wird unter »Sonstiges« gefasst. Nicht in jedem Fall waren die Beschwerden begründet: Ausdrücklich nennt die Aufsicht Beschwerden über zurecht geschwärzte Daten Dritter in Auskünften. Daher empfiehlt die Aufsicht, den Grund für Schwärzungen transparent und nachvollziehbar anzugeben. * Zu den **Prüfungen** erfährt man wenig; anlassunabhängige Prüfungen wurden im Berichtszeitraum nicht abgeschlossen. * Erfreulich ist, dass die **Bußgelder** eine eigene Rubrik erhalten. Die Aufsicht berichtet von zwei Geldbußen in dreistelliger Höhe im Rahmen einer Prüfung. Beide Bußgelder waren eindeutig aus der Kategorie »selber schuld, kein Mitleid verdient«: »Die beiden Einrichtungen hatten sich auf mehrfache Schreiben des Datenschutzzentrums nicht gemeldet.« * Im Berichtszeitraum waren zwei Verfahren beim **IDSG** , eins beim **DSG- DBK** anhängig. Eines der Verfahren beim IDSG wurde abgeschlossen, weil der Antrag als erledigt erklärt wurde. Entscheidungen zu Verfahren aus 2022 und 2023 stehen noch aus. ### Struktur der Aufsicht * Weiterhin sind **elf Planstellen** vorgesehen, die nicht alle besetzt waren. * Für 2024 sah der **Haushaltsplan** 1.264.000 Euro vor, für 2025 sinkt das genehmigte Budget auf 1.239.000 Euro. * Die neue Satzung des **KDSZ Dortmund** wird erwähnt, aber nicht ausführlich dargestellt. ### Beratungen Hilfreich ist, dass typische Beratungsanfragen dargestellt werden: die Frage nach Ehrenamtlichen als Beschäftigte im Sinne des § 53 KDG (nein), die Übermittlung von Arbeitsverträgen zu Prüfzwecken an den Medizinischen Dienst (Erforderlichkeit prüfen), der Austausch über Patientendaten per Microsoft Teams (schwierig), zur Cloud-Speicher-Nutzung (Verweis auf eine Veröffentlichung der Aufsicht zu MS365) und zur **Nutzung von Gemeindemitgliederdaten zur Information von Angehörigen von Verstorbenen**. Der letzte Fall hat aufgrund seiner spezifisch kirchlichen Gestaltung eine hohe Relevanz: Es wurde gefragt, ob die Meldedaten genutzt werden dürfen, um lebende Angehörige von Verstorbenen für Einladungen zu Gedenkmessen einzuladen. Die Aufsicht sieht hier nur eine Einwilligung als taugliche Rechtsgrundlage an. Ob eine Aufgabenwahrnehmung im kirchlichen Interesse denkbar wäre, wird jedenfalls nicht explizit geprüft. Als Hinweis an den kirchlichen Gesetzgeber wäre noch hilfreich gewesen, auf die Möglichkeit einer kirchengesetzlichen Erlaubnisnorm hinzuweisen. ### Fälle Viele der geschilderten Fälle aus der Praxis sind Standardsituationen: Falsche Berechtigungen und Zugriffskonzepte sowie versehentliche Veröffentlichung oder Offenlegung von Daten in verschiedenen Konstellationen. ### Fotofragen Die **Bildaufnahme von Patient*innen mit privaten Handys** wird erneut thematisiert. Hier handelt es sich zwar meist um einen Mitarbeiterexzess, mithin keinen Vorgang, der in der Regel der verantwortlichen Stelle zuzurechnen ist. Dennoch lässt die Aufsicht Verantwortliche nicht ganz so einfach vom Haken: »die Aufsicht schaut in diesen Fällen, ob die Einrichtung als die für die Verarbeitung der personenbezogenen Daten der behandelten oder betreuten Personen verantwortliche Stelle, alle notwendigen technischen oder organisatorischen Schutzmaßnehmen ergriffen hat, um solche Vorfälle bestmöglich zu verhindern.« Vorgeschlagen werden organisatorische Maßnahmen wie explizite Anweisungen zum Fotografierverbot. Hilfreich sind die Hinweise zu **Fotos in Kitas und anderen Einrichtungen**. Neben der richtigen Rechtsgrundlage (in der Regel der Einwilligung) und dem Löschkonzept nennt die Aufsicht drei Anforderungen ans Fotografieren: 1. nur durch Kita-Personal und nicht durch Eltern oder sonstige Personen 2. nur mit Dienstgeräten zu dienstlichen Zwecken 3. nicht von sensiblen Situationen Damit ist also nur der Standardfall abgedeckt; etwas detaillierter auch zur Frage von Fotos durch Eltern hatte sich die KDSA Nord in ihrem Tätigkeitsbericht geäußert. ### Betriebliche Datenschutzbeauftragte * **Betriebliche Datenschutzbeauftragte** und ihre Bestellungen scheinen mehr Probleme zu machen, als der Gesetzeswortlaut es nahelegt – es kam wohl häufiger vor, dass die Aufsicht auf Interessenkonflikte hinweisen musste. * Wo es **keine bDSB** braucht, muss man sich trotzdem um Datenschutz kümmern. Schon jetzt baut die Aufsicht der Erhöhung des Schwellwerts für die Bestellung (ab 20 statt ab 10 mit der Verarbeitung befassten Personen) vor und weist darauf hin. ## Fazit Obwohl das KDSZ Dortmund sich viel Zeit genommen hat, gehört der Bericht zu den kompakteren unter den Aufsichten. Vieles bleibt vage, was die Aufsichtstätigkeit angeht. Alles in allem wirkt dieser Bericht wie eine Pflichtübung, die auf den letzten Drücker abgegeben wurde – dafür sprechen auch die ohne Nachweis übernommenen Textteile aus hier erschienenen Artikeln. Positiv ist, dass den Fällen und Sachverhalten weiterhin viele praktische Hinweise in grauen Texten beigegeben werden, auch wenn die nicht immer besonders neu, überraschend oder tiefgreifend sind. Zur KI-Nutzung heißt es etwa: »Die beim Einsatz der Tools oftmals entstehenden Gefahren für personenbezogene Daten oder Betriebs- und Geschäftsgeheimnisse der Einrichtung sind von der Einrichtung zu regeln. Mit diesen Regelungen sollte eine gesetzeskonforme Nutzung der KI-Tools durch die Mitarbeitenden erreicht werden.« No shit, Sherlock. Interessant dürfte es sein, wie es im nächsten Jahr weitergeht: Schließlich scheidet der Diözesandatenschutzbeauftragte Mitte 2026 aus dem Amt – liefert er vorher noch einen Tätigkeitsbericht ab, oder bleibt es bei dem Bericht auf den letzten Drücker, dann unter Ägide der Nachfolge? ## Bisher besprochene Tätigkeitsberichte des KDSZ Dortmund * Die Schonzeit ist vorbei: Der Tätigkeitsbericht des Datenschutzzentrums NRW **2019** * Betroffenenrechte mangelhaft – Tätigkeitsbericht **2020** des Katholischen Datenschutzzentrums NRW * Flut, Kita und Videoüberwachung – Tätigkeitsbericht des KDSZ Dortmund **2021** * Rechtsgrundlagenarbeit – Tätigkeitsbericht des KDSZ Dortmund **2022** * Sehr externe Datenschutzbeauftragte – Tätigkeitsbericht des KDSZ Dortmund **2023** * Pflichtbericht – Tätigkeitsbericht des KDSZ Dortmund **2024** * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Die Durchführungsverordnung zum KDG ist so etwas wie die unscheinbare kleine Schwester des KDG: Sie steht im Schatten des KDG und ist wohl viel weniger präsent als das eigentliche kirchliche Datenschutzgesetz. Dennoch hat sie eine hohe Praxisrelevanz für alle Verantwortliche, die das KDG anwenden. (Foto von Philippe Krief auf Unsplash) Mit der Novelle des KDG wurde dieses Mal gleich auch die KDG-DVO novelliert – 2018 erfolgte der Beschluss der neuen Durchführungsverordnung erst im November, im März 2019 trat sie in Kraft. Damit ist jetzt das katholische Datenschutzrecht in einem Guss erneuert. **Inhalte** Verbergen 1 Grundprinzipien der Novelle 2 Wesentliche Neuerungen 2.1 § 2 Schulungspflicht 2.2 § 3: Verpflichtungserklärungen 2.3 § 4: IT-Systeme 2.4 § 6: Technische und organisatorische Maßnahmen 2.5 § 7: Überprüfung der ToMs 2.6 Datenschutzklassen und Datenschutzniveau 2.7 Kapitel 5: Besondere Gefahrenlagen 2.7.1 § 18: Cloud-Systeme 2.7.2 § 21: Nutzung privater Systeme 2.7.3 § 25: Faxen 3 Fazit ## Grundprinzipien der Novelle Der Normtext der neuen KDG-DVO ist als Lesefassung beim VDD abrufbar. Vieles in der neuen KDG-DVO ist Hausmeisterei. Übergangsvorschriften braucht es nun nicht mehr, sie sind durchweg weggefallen. Generell wird technikoffener und häufiger mit Bezug auf den »Stand der Technik« und damit zukunftssicherer formuliert. Während 2018 Arbeiten außerhalb der Arbeitsstätte noch Ausnahmen waren, ist Remote-Arbeiten jetzt eine Selbstverständlichkeit. Das vollzieht die Novelle an einigen Stellen nach. Ein deutliches Beispiel ist die Seelsorge (§ 14 KDG-DVO). War dort bisher die Seelsorge »im Rahmen einer Online-Beratung« eher als Ausnahme formuliert, wird die medial vermittelte Seelsorge mit der neuen Formulierung nun als Normalfall gesehen, bei dem nur noch zu regeln ist, was außerhalb geschlossener Netze zu beachten ist. ## Wesentliche Neuerungen ### § 2 Schulungspflicht § 2 KDG-DVO, mit dem bisher die Belehrung und Verpflichtung auf das Datengeheimnis geregelt wurde, erhält einen neuen Absatz 7, der zu einer regelmäßigen Schulung von Mitarbeitenden (dazu gehören in diesem Kontext auch Ehrenamtliche) verpflichtet – implizit galt das bisher schon. Weitere Ausführungen gibt es zur Schulungspflicht nicht. »Regelmäßig« sollte daher risikoangemessen ausgelegt werden. Der Unterschied zwischen der bisher schon geregelten »Belehrung« und der »Schulung« liegt laut der Begründung darin, dass eine Belehrung sich auf das konkrete Aufgabengebiet bezieht, die Schulung allgemeiner ist. ### § 3: Verpflichtungserklärungen Bei den Inhalten der Verpflichtungserklärungen auf das **Datengeheimnis** ändert sich nichts. Gestrichen wird aber die Bestimmung, dass auf Grundlage der KDO abgegebene Erklärungen wirksam bleiben. Unklar ist, ob der Gesetzgeber damit beabsichtigt, nun nur noch Verpflichtungserklärungen nach KDG zu aktzeptieren, oder ob man davon ausgeht, dass es keine KDO-Verpflichtungserklärugen gibt – das dürfte unwahrscheinlich sein, weil das KDG erst seit sieben Jahren gilt. Da in § 2 Abs. 6 »Verpflichtung auf das Datengeheimnis _gemäß § 5 KDG_« (eigene Hervorhebung) ergänzt wurde, dürfte wohl der ersten Interpretation der Vorzug zu geben sein. Die Abweichungen zwischen § 4 KDO und § 5 Abs. 1 KDG sind minimal: Eine Anpassung auf DSGVO-Terminologie (»verarbeiten« statt »erheben, verarbeiten, nutzen«) und eine Pflicht, nicht nur auf das Datengeheimnis, sondern auch auf die »Einhaltung der einschlägigen Datenschutzregelungen« zu verpflichten. Da das Datengeheimnis nach KDO schon die unbefugte Verarbeitung umfasst, ist diese Ergänzung lediglich klarstellend und regelt nichts Neues. ### § 4: IT-Systeme Was als IT-System gilt, wurde nun technikoffen und umfassend definiert: »sämtliche technischen Einrichtungen, mittels derer personenbezogene Daten automatisiert verarbeitet werden« (Abs. 1). Auch der zweite Absatz formuliert nun allgemeiner und zählt beispielhaft aktuellere Systeme auf. Genannt werden die drei Kategorien hardwarebasierte IT-Komponenten, Softwarelösungen sowie cloudbasierte Systeme und Dienste. ### § 6: Technische und organisatorische Maßnahmen * Bei der **Verschlüsselung** (§ 6 Abs. 1 lit. b)) wird nun »geeignet« näher ausgeführt: auf dem Stand der Technik und dem jeweiligen Sicherheitsbedarf angemessen. * Bei der **Zugangskontrolle** (§ 6 Abs. 2 lit. b)) wird nun neben IT-Systemen auch auf Benutzerzugänge abgehoben. ToMs sollen ausdrücklich Datenpannen Identitätsdiebstahl verhindern, insbesondere auch außerhalb geschlossener und gesicherter Netzwerke. * Das **Trennungsgebot** (§ 6 Abs. 2 lit. i)) bezieht sich nun ausdrücklich nur auf personenbezogene Daten; zuvor waren es allgemein Daten. * Ein neuer Punkt ergänzt die Pflicht, **Datenminimierung** bei der Auswahl von IT-Systemen zu berücksichtigen (§ 6 Abs. 2 lit. k)). ### § 7: Überprüfung der ToMs Es wird nicht mehr nur auf geeignete Zertifikate gemäß § 26 Abs. 4 KDG verwiesen, sondern spezifiziert, dass sich solche Zertifikate an den Veröffentlichungen des BSI orientieren sollen. Alternativ ist auch eine Orientierung an anderen Regelungen zulässig, die einen vergleichbaren Schutzstandard gewährleisten (insbesondere ISO/IEC 27001). ### Datenschutzklassen und Datenschutzniveau Die beiden Paragraphen zu Datenschutzklassen und Datenschutzniveau (§§ 8 und 9 KDG-DVO) wurden neu organisiert. Das soll eine größere Klarheit ohne inhaltliche Änderungen bewirken. Bei den Bestimmungen zu den einzelnen Klassen und Niveaus gibt es einige Veränderungen: * Ausdrücklich geregelt wird nun bereits in Klasse I eine **Mehr-Faktor-Authentifizierung** für sicherheitskritische Bereiche und für Zugriffe außerhalb gesicherter Netze – faktisch dürfte damit eine allgemeine Zwei-Faktor-Pflicht bestehen (§ 11 Abs. 2 lit. b)). * In Klasse II werden die **Anforderungen an Passwörter** genauer und zeitgemäßer bestimmt (§ 12 Abs. 2 lit. a)). Erfreulich ist, dass eine regelmäßige Erneuerung in Übereinstimmung mit den Empfehlungen des BSI nun nicht mehr zwingend vorgesehen ist. Stattdessen müssen Passwörter »ausreichend komplex« sein, die Erneuerung muss »nach dem jeweiligen Sicherheitsbedarf« erfolgen. Praktisch ist eine regelmäßige anlasslose Erneuerung persönlicher Passwörter damit unnötig. ### Kapitel 5: Besondere Gefahrenlagen Im Kapitel 5 über »besondere Gefahrenlagen« werden Cloud-Systeme in einem neuen § 18 KDG-DVO geregelt. Das ist strukturell sehr ungeschickt: § 18 eröffnet das Kapitel, damit verschieben sich alle bisherigen Paragraphen ab da um eins. Das hätte man schöner regeln können, ohne dass aus rein formalen Gründen unzählige Datenschutzkonzepte fehleranfällig mit neuen Nummern versehen werden müssen. #### § 18: Cloud-Systeme Inhatlich wirkt § 18 sinnvoll. Es sollen primär geprüfte und freigegebene Cloud-Systeme eingesetzt werden (Abs. 1). Für die Prüfung wird ein Kriterienkatalog genannt, der Aspekte wie den Speicherort, Portabilität und Abhängigkeit vom Anbieter berücksichtigt (Abs. 2). Sehr sinnvoll ist die ausdrückliche Vorgabe, beim Einsatz zugleich eine Exit-Strategie zu definieren (Abs. 3). #### § 21: Nutzung privater Systeme Die Regeln zur **Weiterleitung von Mails an private Accounts** wurden deutlich verschärft: Zuvor war lediglich die automatische Weiterleitung dienstlicher E-Mails untersagt, nun ist allgemein die Weiterleitung personenbezogener Daten an private Accounts unzulässig. Dennoch sind Ausnahmeregelungen möglich, »soweit das datenschutzrechtliche Schutzniveau, insbesondere nach dem KDG oder dieser Durchführungsverordnung, nicht unterschritten wird« (§ 21 Abs. 4 KDG-DVO). Ein neuer Absatz 5 legt fest, dass Mitarbeitende sicherstellen müssen, dass unberechtigte Dritte keinen Zugriff auf dienstliche personenbezogene Daten haben. #### § 25: Faxen Der Paukenschlag kommt ganz zum Schluss. Statt detaillierter Regelungen zum Faxen heißt es nun ganz kompakt: »Die Übermittlung personenbezogener Daten per Fax ist grundsätzlich unzulässig.« Es können aber »Ausnahmen, insbesondere Übergangsbestimmungen« vorgesehen werden, dazu braucht es »spezifische Bestimmungen«. Angesichts der apodiktischen Formulierung dürften solche Ausnahmen langfristig eigentlich nur zu rechtfertigen sein, wo Behörden auf die Übermittlung per Fax bestehen. Die komplette Streichung kam im Laufe des Anhörungsverfahrens dazu – der Anhörungsentwurf hatte den Fax-Paragraphen noch unverändert gelassen. ## Fazit Die Änderungen an der KDG-DVO sind durchweg **schlüssig** und tragen zu einem **zeitgemäßen Datenschutzniveau** bei. Hilfreich ist vor allem, dass der jeweilige Stand der Technik stark gemacht wird und auf Entwicklungen wie die Normalisierung von Remote-Arbeit reagiert wurde. Sehr gelungen sind die (erst im Anhörungsverfahren) neu hinzugekommenen Regelungen zu Cloud-Systemen und der Mut, sich vom Faxgerät zu verabschieden. Weiterhin ist mit der KDG-DVO der hauptberuflich-dienstliche Kontext im Blick, wo Ehrenamtliche nur zusätzlich vorkommen. Und das, obwohl sie unterschiedslos auch für rein ehrenamtliche Strukturen wie viele kirchliche Vereine und Verbände gilt. Mit einer vereinseigenen IT-Infrastruktur ist § 21 KDG-DVO wahrscheinlich irgendwie umzusetzen; hier gibt es aber nach wie vor viel zu tun, um übliche Arbeitsweisen in ehrenamtlichen Kontexten abzusichern. Das wäre eine Aufgabe für die Dachorganisationen und oberen Ebenen der Verbände und Handreichungen der Datenschutzaufsichten – und perspektivisch auch für den kirchlichen Gesetzgeber: Wenn er schon so detaillierte und spezifische Regelungen aufstellt, sollte er auch die Fülle der verschiedenen kirchlichen Verantwortlichen im Blick haben. * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *