2025 war das **Jahr des neuen Datenschutzrechts** : Das novellierte DSG-EKD trat in Kraft, das novellierte KDG wurde beschlossen. 2025 war außerdem das Jahr, in dem KI-Themen endgültig nicht mehr aus dem kirchlichen Datenschutz wegzudenken sind – nicht zuletzt, weil Papst Leo XIV. den **Umgang mit künstlicher Intelligenz als soziale Frage unserer Zeit** identifiziert hat. (Bildquellen: Nazym Jumadilova auf Unsplash und Ingmar auf Unsplash, Montage fxn) Der Artikel-91-Jahresrückblick zeigt, welche Themen den kirchlichen Datenschutz 2025 geprägt haben. Wieder einmal sind viele Dauerbrenner dabei – manche Themen kommen aber langsam zu einem Abschluss. **Inhalte** Verbergen 1 Aus den Aufsichten 1.1 Tätigkeitsberichte 2 Aus den Gerichten 2.1 Kirchliche Gerichte 2.2 Staatliche Gerichte 3 Themen 3.1 Aufarbeitung 3.2 Jehovas Zeugen 3.3 Aus dem Vatikan 3.4 Beichtgeheimnis 3.5 Künstliche Intelligenz 4 Gesetzgebung 4.1 Kirchliche Gesetzgebung 4.2 Staatliche Gesetzgebung 5 Gastbeiträge und Interviews 6 Praktisches 7 In eigener Sache 8 Aus der Welt 9 Bisherige Jahresrückblicke ## Aus den Aufsichten * Seit dem 1. Januar 2025 gibt es nur noch **eine evangelische Aufsicht** – mit dem Ende des DSBKD hat der BfD EKD die Aufsicht über alle EKD-Gliedkirchen übernommen. * In die Frage nach der Aufsichtszuständigkeit für Jehovas Zeugen kam endlich Bewegung. Nachdem sich Hessen und Berlin über die Zuständigkeit für die Körperschaft über Jahre nicht einig werden konnten, ist das jetzt klar (Berlin übernimmt). Außerdem hat erst die Landesdatenschutzaufsicht Sachsen-Anhalts ihre Zuständigkeit für lokale Gliederungen erklärt, anschließend haben die meisten Landesdatenschutzaufsichten nachgezogen. * Der NRW-Diözesandatenschutzbeauftragte geht nicht in eine dritte Amtszeit. * Beim Bund Freier evangelischer Gemeinden in Deutschland gibt es einen neuen Bundesbeauftragten für den Datenschutz. * Die KDSA Nord ist **immer noch keine KdÖR.** * Bei der Datenschutzkonferenz dürfen die kirchlichen Aufsichten weiterhin nur am Spielfeldrand dabei sein. * Die **alt-katholische** Datenschutzaufsicht war mit dem Auslaufen der Amtszeit des bisherigen Bistumsdatenschutzbeauftragten (der nicht viel getan hat) seit Anfang des Jahres vakant. Eine neue Besetzung steht noch aus. ### Tätigkeitsberichte Bei den Tätigkeitsberichten treten die Corona-Nachwehen langsam in den Hintergrund. Das nächste große Thema ist **KI in der Kirche**. Die Reihenfolge der Berichte hat sich mittlerweile recht verlässlich eingependelt: Die Ordensdatenschutzbeauftragten sind am schnellsten, Dortmund kommt auf den letzten Drücker. Erstmals gab es auch einen Bericht aus Bayern, seit das KDSZ Bayern errichtet wurde. Ungerade Jahre sind evangelische Berichtsjahre – mit nur noch einer Aufsicht bleibt das so. * **Ordensdatenschutzbeauftrage:** Ein einziger Ort für viele Beschwerden (2024) * **Datenschutzbeauftragter des Bundes freikirchlicher Pfingstgemeinden:** Aufsichtsbekannt archiviert (2022/23) * **KIOD (Polen):** Tätigkeitsbericht 2024 * **KDSA Ost:** Klare Kante für Grundrechte (2024) * **Datenschutzaufsicht Jehovas Zeugen:** Tätigkeitsbericht 2021 * **BfD EKD:** Grundrechtsbasierte Datennutzung (2023/2024) * **KDSZ Frankfurt:** ToMs für die Plazenta (2024) * **KDSA Nord:** KI ist da (2023) * **KDSZ Bayern:** Alles neu in Nürnberg (2023/2024) * **KDSZ Dortmund:** Pflichtbericht (2024) ## Aus den Gerichten ### Kirchliche Gerichte 2025 wurden eine Fülle von Entscheidungen zum kirchlichen Datenschutz veröffentlicht – aber wieder ausschließlich katholische. Nach wie vor ist unklar, warum Fälle mit Datenschutzbezug in der evangelischen Verwaltungsgerichtsbarkeit eine viel geringere Rolle spielen. * Die Aufarbeitungskommission Nord hat eine Klage beim IDSG eingereicht. Es geht um die Frage, ob sie zurecht von der Datenschutzaufsicht als **eigene verantwortliche Stelle** betrachtet wird, wie es die katholische Datenschutzkonferenz in einem ihrer seltenen Beschlüsse festgehalten hat. Auch der BfD EKD sieht in den URAKs eigene Verantwortliche. * Das IDSG hat zur **Anonymisierung von Betroffenendaten** und insbesondere Tathergangsschilderungen im Kontext der Münsteraner Studie entschieden – eine Entscheidung, die wichtige Weichen für weitere Aufarbeitungsbemühungen stellt. * Ebenfalls vom IDSG kam die Klärung einer zentralen Frage des kirchlichen Datenschutzes: Wie funktioniert eigentlich **gemeinsame Verantwortlichkeit** , wenn mehrere Datenschutzgesetze beteiligt sind? Das Ergebnis ist sehr praxisrelevant und gut umzusetzen. * Inwiefern **Löschen eine Datenschutzverletzung** ist, beschäftigte den IDSG in mindestens zwei Fällen. Ich habe die erste Entscheidung eher positiv, Matthias Ullrich eher negativ besprochen – hier ging es darum, dass zuviel gelöscht wurde. Im zweiten Fall hat das IDSG seine Rede vom Löschen als bestem Datenschutz wieder aufgegriffen. * Das KDG hat einen notorisch schlecht bestimmten Geltungsbereich – was »**sonstige kirchliche Rechtsträger** « sind, braucht zur sachgerechten Auslegung kirchenrechtliche Kompetenz. Die hat beim IDSG leider völlig gefehlt, als es darüber entschied, ob Kolping das KDG anwenden muss. * Das **DSG- DBK** hatte weniger zu tun; im Fall der Haustürwerbung einer Kirchenzeitung hat es das IDSG bestätigt. ### Staatliche Gerichte * Das BAG hatte zugunsten einer Kirchenmusikerin entschieden, die **Einsicht in ein Kirchengemeinderatsprotokoll** eingeklagt hatte, in der es um ihre Personalsache ging. Dagegen hat die Gemeinde Verfassungsbeschwerde eingelegt, die immer noch nicht bearbeitet wurde – aber eben auch nicht abgewiesen wurde. Pikant: Verfassungsbeschwerden haben keine aufschiebende Wirkung, dennoch hat die Gemeinde erst spät eine einstweilige Anordnung beantragt, um auch legal das eingeklagte Protokoll bis zu einer Entscheidung zurückhalten zu dürfen. * Im März gingen beim EuGH die Vorlagefragen aus Belgien zum **Löschen aus Taufbüchern** ein. Noch ist in dem Verfahren nichts terminiert. Der Vatikan hat sich aber durch das Gesetzesdikasterium geäußert und erläutert, warum Taufbücher nicht gelöscht werden dürfen, und Papst Leo XIV. ist persönlich an dem Thema interessiert. * Das LAG Düsseldorf hat entschieden, dass das **staatliche Arbeitsgericht für eine arbeitsrechtliche Frage mit Datenschutzbezug zuständig** ist und hat damit die herrschende Meinung bestätigt. In der eigentlichen Sache steht das Urteil noch aus. ## Themen ### Aufarbeitung * Das Dikasterium für die Gesetzestexte hat sich noch einmal deutlich dagegen gestellt, die **Namen verstorbener Beschuldigter** zu nennen. Unter anderem (aber nicht vorrangig) auf Grundlage dieser Äußerung hat das Bistum **Aachen** seine Liste mutmaßlicher und verurteilter Täter offline genommen. * Der Streit um die **Anonymisierung** in der Münsteraner Studie führt dazu, dass Anonymisierung in Studien einen größeren Stellenwert einnimmt. In **Würzburg** gab es Kritik aufgrund von Schwärzungen in Akten, die für die Studie herangezogen wurde. Kurz darauf veröffentlichte das IDSG seine Entscheidung zu Münster. In **Augsburg** und insbesondere in **Passau** hat die IDSG-Entscheidung deutlichen Niederschlag gefunden. * Ein Dauerbrenner ist die Frage, wie kirchliche Akten zur Missbrauchsaufarbeitung verwendet werden können. Die Aufarbeitungskommission für die Diözesen **Berlin, Dresden-Meißen und Görlitz** hat in ihrem Tätigkeitsbericht Grundsatzkritik an der Musterordnung zur Akteneinsicht geübt. In **Trier** gab es eine neue Akteneinsichtsordnung für die Einsicht durch Betroffene und Angehörige, eine Premiere. * Die EKD hat in ihrer **Anerkennungsrichtlinie** auch Regelungen für den Datenschutz und die Akteneinsicht durch Betroffene. * Die NRW-Bistümer haben ihre Rechtsgrundlagen für die **Verwendung von Personal- und Sachakten zur Aufarbeitung** weitgehend vereinheitlicht. * Der **IT-Vorfall** , der die Deutsche Bischofskonferenz zeitweise lahmgelegt hat, hat auch Betroffenenreaktionen ausgelöst. Der »Eckige Tisch« fordert eine unabhängige IT für unabhängige Aufarbeitungsinstitutionen. ### Jehovas Zeugen Am Umgang der staatlichen Aufsichten mit Jehovas Zeugen bin ich schon länger dran – lange konnten sie Berlin und Hessen nicht einigen, wer für die zentrale Körperschaft zuständig ist. In diesem Jahr kam Bewegung in die Sache. * Der Aufschlag kam aus Sachsen-Anhalt: Die dortige Landesdatenschutzbeauftragte erkennt das Datenschutzrecht und damit die eigene Aufsicht der Zeugen nicht an. * Eine Abfrage unter allen Landesdatenschutzaufsichten hat gezeigt: Die sachsen-anhaltinische Meinung wird von fast allen geteilt. Damit ist es nur noch eine Frage der Zeit, bis die Zulässigkeit des eigenen Datenschutzrechts gerichtlich überprüft wird. * Jehovas Zeugen selbst bleiben wenig überraschend bei ihrer Rechtsauffassung. ### Aus dem Vatikan * Im Vatikan-Dokument »Antiqua et nova« wurde **Datenschutz erstmals lehramtlich gewürdigt** und begründet. Das Verständnis von personenbezogenen Daten als Beziehungsdaten, deren Schutz Freiheitsräume bewahrt, ist erstaunlich nah am Verständnis des Bundesverfassungsgerichts im Volkszählungsurteil. * Die KI-Kommission des Vatikanstaats wurde eingerichtet. Seither hat man nichts mehr von ihr gehört. * **Papst Franziskus** war der erste Papst, dessen Pontifikat von Fragen der Digitalität mitgeprägt war. Deshalb habe ich nach seinem Tod zurückgeblickt: Franziskus und die Daten – ein netzpolitischer Blick auf sein Pontifikat. ### Beichtgeheimnis * Weltweit ist das Beichtgeheimnis unter Druck: Im US-Bundesstaat Washington, in Großbritannien und in Ungarn gab es Gesetzesinitiativen, die unterschiedlich weit gediehen sind. * Das Beichtgeheimnis ist nicht nur eine katholische Angelegenheit: In Washington haben auch die Orthodoxen geklagt. ### Künstliche Intelligenz * Gleich zu Beginn seines Pontifikats hat **Leo XIV.** den Umgang mit KI zu einem wichtigen Thema erklärt. Im Laufe des Jahres äußerte er sich immer wieder dazu und wurde sogar als »TOP-KI-Denker« ausgezeichnet. * Auch die lateinamerikanischen Bischöfe haben sich umfassend mit KI befasst, der Wiener Altkardinal Schönborn knapper und pointierter. * In der Evangelischen Kirche von Kurhessen und Waldeck wurde es praktisch: Sieben Leitsätze sollen den KI-Einsatz prägen. Noch kompakter sind die vier knappen Anweisungen der niederländischen katholischen Kirche zum Einsatz von KI. * Die Caritas hat untersucht, wie KI im Verband genutzt wird: 44 Prozent der beim Caritas-Panel befragten Rechtsträger haben sich schon mit KI befasst, davon gibt die Hälfte eine Nutzung im Einrichtungsalltag an. * Ausführlich hat sich das Katholische Büro Berlin zur KI-Regulierung geäußert. ## Gesetzgebung ### Kirchliche Gesetzgebung * Am 1. Mai trat das novellierte **DSG- EKD** in Kraft. Im Spätjahr erschien dann auch eine (leider nur online verfügbare) zweite Auflage des DSG-EKD-Kommentars, der die Änderungen berücksichtigt. * Die **Novelle des KDG** wurde durch den VDD beschlossen. Kurz vor Weihnachten wurde sie auch veröffentlicht, so dass ich das neue KDG und die neue KDG-DVO noch in diesem Jahr analysieren konnte. Jetzt liegt es an den Diözesanbischöfen, es so rechtzeitig in Kraft zu setzen, dass der 1. März 2026 als Startdatum bleibt. * Die anderen katholischen Reformprojekte laufen weiter, ohne dass ein Abschluss in Sicht wäre: **keine neue MAVO, keine neue KAO**. Immerhin wurde der Anhörungsentwurf der neuen MAVO bekannt – die geplante Regelung zum Datenschutz der MAV habe ich mir angeschaut. ### Staatliche Gesetzgebung * Das **Beschäftigtendatenschutzgesetz** hat es zwar ins Sofortprogramm der neuen Bundesregierung geschafft, passiert ist aber noch nichts. * Anders sieht’s beim **BDSG **aus. Hier gibt es einige konkrete Pläne zur »Entbürokratisierung«, die betreffen aber nicht den kirchlichen Datenschutz. Relevant wäre vor allem, die Frage nach der Zuständigkeit der Aufsichten für körperschaftlich verfasste Religionsgemeinschaften ohne eigene Aufsicht zu klären. ## Gastbeiträge und Interviews Das meiste hier schreibe ich. Das muss nicht sein: Über Angebote von Gastbeiträgen freue ich mich immer. Leider ist es gar nicht so einfach, Menschen zum Schreiben zu bewegen – umso mehr freut es mich, wenn die wenigen Gastbeiträge von so hoher Qualität sind wie in diesem Jahr sind. * Matthias Ullrich hat eine **Entscheidung des IDSG zum Löschen** kritisch kommentiert. * Sven Braun und Sascha Kremer haben für mich den neuen § 50b DSG-EKD zur **Mitgliederkommunikation** analysiert. * Emmanuel S. Caliwan ist Rechtsanwalt und Datenschützer auf den Philippinen. Seinen Beitrag zum **Löschrecht für Taufbücher** durfte ich in deutscher Übersetzung veröffentlichen. * Mit dem Leiter der Essener Bahnhofsmission habe ich über die Kampagne zum **Schutz von Menschen auf der Straße vor »Charity«-Influencer*innen** gesprochen. * Mit dem Projektkoordinator von **ELOKI** habe ich darüber gesprochen, warum die evangelische Kirche eine eigene KI braucht und wie sie das angeht. ## Praktisches Die (datensparsam erhobenen) Zugriffszahlen zeigen: Praxisrelevantes läuft besonders gut. Hier wäre auch ein guter Ansatzpunkt für Gastbeiträge aus dem Datenschutz-Alltag von Leser*innen. * In diesem Jahr hatte ich einen MAV-Schwerpunkt – sowohl bei Schulungen und Workshop als auch hier. Eine kleine Serie befasst sich mittlerweile mit dem **Datenschutz der MAV**: * Datenschutzkonzept der MAV – so geht’s * Datenschutz und Mitbestimmung – welche Rechte hat die MAV? * Haben MAVen ein datenschutzrechtliches Beschwerderecht? * Betriebliche Datenschutzbeauftragte und MAV-Mitglied – geht das? * Beschäftigtendatenschutz in KDG und DSG-EKD * Nach der Niederlage der BfDI in Sachen Bundesregierungs-Facebook-Seite in erster Instanz hat sie eine Handreichung für **Behörden-Social-Media** veröffentlicht. Wie man die im kirchlichen Bereich fruchtbar machen kann, habe ich aufgeschrieben. * Eine hilfreiche technische **Checkliste für Webseiten** gab es vom KDSZ Frankfurt * **Messenger-Dienste** sind Telekommunikationsdienste – das ist nicht allen bekannt, macht aber den Einsatz datenschutzrechtlich etwas einfacher. * Gilt das **Kunsturhebergesetz** noch und wie spielt es mit dem kirchlichen Datenschutzrecht zusammen? * Datenschutz bei **Gebetsanliegen** und Fürbittbüchern ## In eigener Sache * Am 14. Juli wurde **Artikel91.eufünf Jahre alt** (den offiziellen Geburtstag markiert ein Tweet). * 2025 ist nach langem Vorlauf der **Taeger/Gabel in fünfter Auflage** erschienen – ab dieser Auflage kommentiere ich zusammen mit Karsten Kienast den Art. 91 DSGVO. * Dreimal war ich in Podcasts zu Themen des kirchlichen Datenschutzes: Einmal beim Eule-Podcast, zweimal im MAV-Podcast (davon ist aber bislang nur die erste Folge erschienen). ## Aus der Welt * Die Jahresrückblicke des **Dresdner Instituts für Datenschutz** – Teil 1 (Januar bis Juni) und Teil 2 (Juli bis Dezember) – und von **Dr. Datenschutz** – Teil 1 (Januar bis März), Teil 2 (April bis Juni), Teil 3 (Juli bis September) und Teil 4 (Oktober bis Dezember) – haben im Blick, was allgemein in der Welt des Datenschutzes passiert ist. * Wer lieber hört als liest: Im **c’t-Datenschutz-Podcast** Ausgelegt gibt’s einen launigen und kontroverse Jahresrückblick zum weltlichen Datenschutz. ## Bisherige Jahresrückblicke * Corona und Schrems II: Das war **2020** * Corona, Kirchengesetze und Konsolidierung: Das war **2021** * Dauerbrenner und kontraintutive konfessionelle Transparenz – das war **2022** * Fake-Facebook-Verbot und kontroverse Aufarbeitung – Jahresrückblick **2023** * Das Jahr der Novellen – **Jahresrückblick 2024** * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Wie in den vergangenen Jahren schließt das KDSZ Dortmund den Reigen der Tätigkeitsberichte kirchlicher Aufsichten ab – am Freitag vor Weihnachten ist der Tätigkeitsbericht für 2024 erschienen. Trends und Entwicklungen lassen sich kaum ablesen – das meiste darin sind Varianten des Altbekannten, auch die KI als großes Compliance-Thema wirft nur gelegentlich ihre Schatten voraus. **Inhalte** Verbergen 1 Rechtsprechung und Gesetzgebung 1.1 Kirchlicher Bereich 1.2 Staatlicher Bereich 2 Aufsichtstätigkeit 2.1 Statistik 2.2 Struktur der Aufsicht 2.3 Beratungen 2.4 Fälle 2.5 Fotofragen 2.6 Betriebliche Datenschutzbeauftragte 3 Fazit 4 Bisher besprochene Tätigkeitsberichte des KDSZ Dortmund ## Rechtsprechung und Gesetzgebung ### Kirchlicher Bereich Die Prämisse des Tätigkeitsberichts für 2024 ist, dass er tatsächlich aus der Sicht von 2024 geschrieben ist, obwohl er erst Ende 2025 erscheint. Das führt zu bestenfalls noch historisch interessanten Berichtsgegenständen, vor allem der Evaluation des KDG. An kirchlichen Rechtsakten werden folgende erwähnt: * Ordnung zum Betrieb einer Meldestelle nach Hinweisgeberschutzgesetz * Einsicht in Missbrauchs-Akten in der Diözese Essen * Ordnung für die Aufbewahrung und Kassation von pfarramtlichen Unterlagen in der Erzdiözese Köln * Rahmenschulordnung für Schulen in der Trägerschaft des Bistums Essen * KI-Nutzungs-Ordnung der Erzdiözese Köln * Datenschutz-Gesetz des Vatikanstaats Die spezifischeren wurden hier bereits verhandelt und offensichtlich auch von der Aufsicht wahrgenommen – insbesondere beim Datenschutzgesetz des Vatikans gibt es nicht gekennzeichnete Textübernahmen aus der Berichterstattung hier. ### Staatlicher Bereich * Die **KI -Verordnung** lässt das Datenschutzrecht unberührt: »Damit ist im kirchlichen Bereich auch die Anwendung der Normen des KDG für datenschutzrechtliche Sachverhalte aus dem Anwendungsbereich der KI-VO zu prüfen.« * Zu einigen **Entscheidungen staatlicher Gerichte** gibt es praxisrelevante Anmerkungen, so etwa zum berechtigten Interesse, zu Grenzen von Betriebsvereinbarungen, zur namentlichen Nennung von betrieblichen Datenschutzbeauftragten oder zu Negativauskünften – die Praxistipps sind aber jeweils identisch: Es wird keine Entscheidung angeführt, bei der im kirchlichen Datenschutzrecht anders vorzugehen wäre als unter Geltung der DSGVO. * Später heißt es auch noch einmal explizit zu **Positionen weltlicher Aufsichten** : »Unter Beachtung der kirchlichen Spezifika des KDG sind die Aussagen der Veröffentlichungen des EDSA beziehungsweise der DSK auf die Rechtslage nach dem KDG übertragbar.« ## Aufsichtstätigkeit ### Statistik Absolute Zahlen zur Aufsichtstätigkeit fehlen erneut. Aus einem Kuchendiagramm geht hervor, dass die Meldungen von Datenpannen bei weitem vorne lagen mit mehr als drei Viertel der Vorgänge, gefolgt von Anfragen, Beschwerden und Hinweisen. * Die Meldungen von **Datenpannen** sind im Vergleich zum Vorjahr gestiegen. Wieder machen Fehlversände (die getrennt von offenen Verteilern ausgewiesen werden) und Einbrüche einen großen Teil der Pannen aus. Die Probleme mit der Kita-App »StayInformed«, die zu einem meldepflichtigen Vorfall der jeweiligen Einrichtung führte, trugen zur Steigerung bei. Kurios: »Das Katholische Datenschutzzentrum weist daraufhin, dass es auch immer wieder zu einem meldepflichtigen Tatbestand kommt, weil versehentlich Unterlagen/Dokumente mit personenbezogenen Daten an das Katholische Datenschutzzentrum gesendet werden, die eigentlich für eine Einrichtung in dessen Zuständigkeitsbereich bestimmt sind.« * Bei den **Beschwerden** machten Fälle zum Auskunftsersuchen etwa ein Drittel der Fälle aus, gefolgt von Beschwerden über Datenweitergaben, der Rest wird unter »Sonstiges« gefasst. Nicht in jedem Fall waren die Beschwerden begründet: Ausdrücklich nennt die Aufsicht Beschwerden über zurecht geschwärzte Daten Dritter in Auskünften. Daher empfiehlt die Aufsicht, den Grund für Schwärzungen transparent und nachvollziehbar anzugeben. * Zu den **Prüfungen** erfährt man wenig; anlassunabhängige Prüfungen wurden im Berichtszeitraum nicht abgeschlossen. * Erfreulich ist, dass die **Bußgelder** eine eigene Rubrik erhalten. Die Aufsicht berichtet von zwei Geldbußen in dreistelliger Höhe im Rahmen einer Prüfung. Beide Bußgelder waren eindeutig aus der Kategorie »selber schuld, kein Mitleid verdient«: »Die beiden Einrichtungen hatten sich auf mehrfache Schreiben des Datenschutzzentrums nicht gemeldet.« * Im Berichtszeitraum waren zwei Verfahren beim **IDSG** , eins beim **DSG- DBK** anhängig. Eines der Verfahren beim IDSG wurde abgeschlossen, weil der Antrag als erledigt erklärt wurde. Entscheidungen zu Verfahren aus 2022 und 2023 stehen noch aus. ### Struktur der Aufsicht * Weiterhin sind **elf Planstellen** vorgesehen, die nicht alle besetzt waren. * Für 2024 sah der **Haushaltsplan** 1.264.000 Euro vor, für 2025 sinkt das genehmigte Budget auf 1.239.000 Euro. * Die neue Satzung des **KDSZ Dortmund** wird erwähnt, aber nicht ausführlich dargestellt. ### Beratungen Hilfreich ist, dass typische Beratungsanfragen dargestellt werden: die Frage nach Ehrenamtlichen als Beschäftigte im Sinne des § 53 KDG (nein), die Übermittlung von Arbeitsverträgen zu Prüfzwecken an den Medizinischen Dienst (Erforderlichkeit prüfen), der Austausch über Patientendaten per Microsoft Teams (schwierig), zur Cloud-Speicher-Nutzung (Verweis auf eine Veröffentlichung der Aufsicht zu MS365) und zur **Nutzung von Gemeindemitgliederdaten zur Information von Angehörigen von Verstorbenen**. Der letzte Fall hat aufgrund seiner spezifisch kirchlichen Gestaltung eine hohe Relevanz: Es wurde gefragt, ob die Meldedaten genutzt werden dürfen, um lebende Angehörige von Verstorbenen für Einladungen zu Gedenkmessen einzuladen. Die Aufsicht sieht hier nur eine Einwilligung als taugliche Rechtsgrundlage an. Ob eine Aufgabenwahrnehmung im kirchlichen Interesse denkbar wäre, wird jedenfalls nicht explizit geprüft. Als Hinweis an den kirchlichen Gesetzgeber wäre noch hilfreich gewesen, auf die Möglichkeit einer kirchengesetzlichen Erlaubnisnorm hinzuweisen. ### Fälle Viele der geschilderten Fälle aus der Praxis sind Standardsituationen: Falsche Berechtigungen und Zugriffskonzepte sowie versehentliche Veröffentlichung oder Offenlegung von Daten in verschiedenen Konstellationen. ### Fotofragen Die **Bildaufnahme von Patient*innen mit privaten Handys** wird erneut thematisiert. Hier handelt es sich zwar meist um einen Mitarbeiterexzess, mithin keinen Vorgang, der in der Regel der verantwortlichen Stelle zuzurechnen ist. Dennoch lässt die Aufsicht Verantwortliche nicht ganz so einfach vom Haken: »die Aufsicht schaut in diesen Fällen, ob die Einrichtung als die für die Verarbeitung der personenbezogenen Daten der behandelten oder betreuten Personen verantwortliche Stelle, alle notwendigen technischen oder organisatorischen Schutzmaßnehmen ergriffen hat, um solche Vorfälle bestmöglich zu verhindern.« Vorgeschlagen werden organisatorische Maßnahmen wie explizite Anweisungen zum Fotografierverbot. Hilfreich sind die Hinweise zu **Fotos in Kitas und anderen Einrichtungen**. Neben der richtigen Rechtsgrundlage (in der Regel der Einwilligung) und dem Löschkonzept nennt die Aufsicht drei Anforderungen ans Fotografieren: 1. nur durch Kita-Personal und nicht durch Eltern oder sonstige Personen 2. nur mit Dienstgeräten zu dienstlichen Zwecken 3. nicht von sensiblen Situationen Damit ist also nur der Standardfall abgedeckt; etwas detaillierter auch zur Frage von Fotos durch Eltern hatte sich die KDSA Nord in ihrem Tätigkeitsbericht geäußert. ### Betriebliche Datenschutzbeauftragte * **Betriebliche Datenschutzbeauftragte** und ihre Bestellungen scheinen mehr Probleme zu machen, als der Gesetzeswortlaut es nahelegt – es kam wohl häufiger vor, dass die Aufsicht auf Interessenkonflikte hinweisen musste. * Wo es **keine bDSB** braucht, muss man sich trotzdem um Datenschutz kümmern. Schon jetzt baut die Aufsicht der Erhöhung des Schwellwerts für die Bestellung (ab 20 statt ab 10 mit der Verarbeitung befassten Personen) vor und weist darauf hin. ## Fazit Obwohl das KDSZ Dortmund sich viel Zeit genommen hat, gehört der Bericht zu den kompakteren unter den Aufsichten. Vieles bleibt vage, was die Aufsichtstätigkeit angeht. Alles in allem wirkt dieser Bericht wie eine Pflichtübung, die auf den letzten Drücker abgegeben wurde – dafür sprechen auch die ohne Nachweis übernommenen Textteile aus hier erschienenen Artikeln. Positiv ist, dass den Fällen und Sachverhalten weiterhin viele praktische Hinweise in grauen Texten beigegeben werden, auch wenn die nicht immer besonders neu, überraschend oder tiefgreifend sind. Zur KI-Nutzung heißt es etwa: »Die beim Einsatz der Tools oftmals entstehenden Gefahren für personenbezogene Daten oder Betriebs- und Geschäftsgeheimnisse der Einrichtung sind von der Einrichtung zu regeln. Mit diesen Regelungen sollte eine gesetzeskonforme Nutzung der KI-Tools durch die Mitarbeitenden erreicht werden.« No shit, Sherlock. Interessant dürfte es sein, wie es im nächsten Jahr weitergeht: Schließlich scheidet der Diözesandatenschutzbeauftragte Mitte 2026 aus dem Amt – liefert er vorher noch einen Tätigkeitsbericht ab, oder bleibt es bei dem Bericht auf den letzten Drücker, dann unter Ägide der Nachfolge? ## Bisher besprochene Tätigkeitsberichte des KDSZ Dortmund * Die Schonzeit ist vorbei: Der Tätigkeitsbericht des Datenschutzzentrums NRW **2019** * Betroffenenrechte mangelhaft – Tätigkeitsbericht **2020** des Katholischen Datenschutzzentrums NRW * Flut, Kita und Videoüberwachung – Tätigkeitsbericht des KDSZ Dortmund **2021** * Rechtsgrundlagenarbeit – Tätigkeitsbericht des KDSZ Dortmund **2022** * Sehr externe Datenschutzbeauftragte – Tätigkeitsbericht des KDSZ Dortmund **2023** * Pflichtbericht – Tätigkeitsbericht des KDSZ Dortmund **2024** * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

_**Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten –hier geht’s zur Newsletter-Anmeldung.**_**_Über den Newsletter gibt es außerdem Zugang zur Artikel-91-Signal-Gruppe und zu den digitalen Datenschutz-Stammtischen._** (Bildquelle: ali syaaban on Unsplash) **Inhalte** Verbergen 1 Die Woche im kirchlichen Datenschutz 1.1 Restriktive Datenverarbeitung in der MAV 1.2 KDR-OG noch ohne Zeitplan 1.3 Hilfe für (Ex-)Zeug*innen 2 Auf Artikel 91 3 Aus der Welt 4 Kirchenamtliches ## Die Woche im kirchlichen Datenschutz ### Restriktive Datenverarbeitung in der MAV In der aktuellen Ausgabe der ZMV befasst sich der Leiter der KDSA Ost Matthias Ullrich mit der Verarbeitung personenbezogener Daten im Bereich der Mitarbeitervertretungen. Ullrich vertritt hier eine sehr restriktive Position: Er geht davon aus, dass es »erforderlich und ausreichend« ist, wenn Unterlagen mit personenbezogenen Daten zur Beteiligung in Personalangelegenheiten lediglich in der Sitzung selbst zur Verfügung stehen. (Die dazu angeführte BAG-Entscheidung 1 ABR 72/83 vom 3. Dezember 1985 würde ich nicht so lesen, dass damit das »lediglich _in_ der Sitzung« begründet wäre; die Vorbereitung auf Sitzungen mit Notizen wird dort als unpraktikabel, nicht aber als unzulässig bezeichnet.) Aus Ullrichs Position folgt schlüssig, dass eine Verteilung vorab an MAV-Mitglieder ebenso wie ein Ausdruck von Unterlagen zur Sitzungsvorbereitung durch einzelne MAV-Mitglieder in jedem Fall nicht zulässig sei. Ullrich zieht dabei einen sehr engen Rahmen, der selbst MAV-Funktionspostfächer, die allen MAV-Mitgliedern zugänglich sind, als ungeeignet für den Empfang von solchen Daten scheinen lässt. (Auch in seinem Werk zum Beschäftigtendatenschutz hatte er schon ähnlich strikte Positionen zur digitalen Ablage von MAV-Protokollen vertreten.) Welche Auswirkungen solche restriktiven Auslegungen für Umlaufbeschlüsse haben, wird nicht thematisiert. (Hier würde wohl die Frage nach der Erforderlichkeit anders beantwortet.) Eine weniger restriktive Argumentation sollte darauf aufbauen, dass Erklärungen des Dienstgebers zwar von der empfangsberechtigten Person entgegengenommen werden (in der Regel der*die Vorsitzende). Diese Regelung hebt aber lediglich auf einen rechtssicheren Empfang ab, im Anschluss ist eine Beratung und Beschlussfassung in Kenntnis der empfangenen Informationen im Gremium erforderlich. Diese Beratung und ihre Vorbereitung ist von der Rechtsgrundlage des jeweiligen Mitarbeitendenvertretungsgesetzes gedeckt, das jeweils umfassende Aufgaben beschreibt, nicht nur jeweils eine Verarbeitung. MAV-Mitglieder sind stets an die Vertraulichkeit gebunden; dies soll sowohl Informationen und Daten schützen als auch eine unbeeinflusste Beratung ermöglichen. Im Zuge der Waffengleichheit muss das jeweilige Gesetz so ausgelegt werden, dass die MAV-Mitglieder sich so organisieren können, wie es auch für Dienstgeber-Gremien zulässig ist. Zugleich muss die MAV technische und organisatorische Maßnahmen festlegen, um diese Vorgänge abzusichern. Dazu gehören klare Regelungen in der Geschäftsordnung zu verwendeten Kommunikationskanälen und dem Umgang mit empfangenen Informationen sowie eine angemessene Schulung und Sensibilisierung. Das sollte auch klare Vorgaben im Sinne der Argumentation Ullrichs enthalten, die persönliche Postfächer als ungeeignet für solche der MAV vorliegenden Unterlagen ansieht und sogar das Verbot von (manchen) Ausdrucken umfassen – nicht aber so weit gehen, dass eine Vorbereitung auf Grundlage der erforderlichen personenbezogenen Daten nicht mehr möglich ist. ### KDR-OG noch ohne Zeitplan Mit dem Beschluss der KDG-Novelle gäbe es auch eine Vorlage für die **Orden päpstlichen Rechts** : Die KDR-OG ist bislang bis auf einzelne Begriffe identisch mit dem KDG. Auf Anfrage teilte mir die Deutsche Ordensobernkonferenz mit, dass es noch keine konkreten Pläne gibt. »Der DOK-Vorstand wird sich aber zeitnah mit der Frage der Adaption der von der VDD-Vollversammlung beschlossenen KDG-Novelle für den Ordensbereich (Gemeinschaften päpstlichen Rechts) befassen und über einen Zeitplan beraten«, so der Sprecher. ### Hilfe für (Ex-)Zeug*innen Die Recherche zur Haltung der Landesdatenschutzaufsichten zum Datenschutzrecht von Jehovas Zeugen findet auch bei JZ-Aussteiger*innen Resonanz. Der Verein JZ Help stellt nicht nur den von mir recherchierten Sachstand dar, sondern ergänzt wertvolle Tipps für Betroffene Zeug*innen und Aussteiger*innen. Hilfreich ist vor allem die Liste an typischen Daten, die die Religionsgemeinschaft zu ihren (Ex-)Mitgliedern vorliegen haben kann und die stark durch das religiöse Proprium geprägt sind: »Dazu zählen z.B. auch alle Angaben der Berichtszettel, Verkündigerberichtskarte, Weitergabe der Daten an andere Stellen (inkl. der Daten, welche weitergegeben wurden), Daten aus einem (Rechts-)Komitee (verschlossener Umschlag), …« Der Verein bietet auch Hilfe dabei an, die eigenen Rechte geltend zu machen. ## Auf Artikel 91 * Warum braucht die evangelische Kirche eine eigene KI? * Art. 91 DSGVO neu kommentiert – Neumann/Kinast im Taeger/Gabel * ## Aus der Welt * Deutschlandfunk Kultur hat eine Sendung aus dem Jahr 1971 aus den Archiven gezogen: »Mit dem Computer an die Macht – Die programmierte Wunderwaffe« – ein sehr instruktives Zeitdokument aus den Urzeiten des Datenschutzdiskurses. (Das Wort »Datenschutz« kommt erst spät vor. Es geht um die Pläne für ein Datenschutzgesetz und damals schon vorhergesehene Herausforderungen.) * Halleluja! Das Open-Document-Format bekommt in Version 1.4 eine Funktion EASTERSUNDAY()! (Allerdings leider nur gregorianisch, Ostkirchen müssen weiter selber Makros basteln.) ## Kirchenamtliches * **Landeskirche Sachsen:** Erste Verordnung zur Änderung der IT-Verordnung * **Erzbistum Freiburg:** Gesetz für die pfarrlichen Kirchenbücher in der Erzdiözese Freiburg (Kirchenbuchgesetz – KbG) * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Die Landeskirchen Bayerns und des Rheinlands entwickeln zusammen mit der EKD eine eigene KI-Plattform: »ELOKI« steht für »Evangelisch. Lernend. Offen. KI.« Ziel ist ein sicherer, datenschutzkonformer und kircheneigener KI-Dienst. Im Interview erläutert Projektkoordinator Jens Palkowitsch-Kühl die technischen Hintergründe und die Herausforderungen bei der Entwicklung. (Foto: Montage fxn, Bildquellen De an Sun auf Unsplash und Vladimir Soares auf Unsplash) **Frage: Herr Palkowitsch-Kühl, warum braucht die Kirche ein eigenes KI-System?** **Palkowitsch-Kühl:** Wir haben uns die vielen Angebote auf dem Markt angeschaut und haben nicht die Funktionen und Möglichkeiten gefunden, die wir gerne hätten. Wir wollen kein fertiges Produkt von der Stange, sondern mitgestalten nach unseren Wünschen. Zum einen wollen wir eine gewisse Kontrolle über unser System: über die Modelle, über die Daten, die wir verarbeiten, und darüber, auf welchen Servern sie verarbeitet werden. Dann ist uns der Aspekt der Offenheit wichtig: Wenn wir jetzt Geld investieren, sollen nicht nur wir etwas davon haben, sondern auch andere – also der Open-Source-Gedanke. Und es war uns wichtig, an der Entwicklung mitarbeiten zu können. Zur Person: Dr. Jens Palkowitsch-Kühl vereint wissenschaftliche Expertise aus der Lehrkräfteausbildung mit praktischer Erfahrung in der kirchlichen Jugend- und Bildungsarbeit. Er ist derzeit Referent für digitale Bildung am RPZ Heilsbronn und E-Learning-Koordinator der Evangelisch-Lutherischen Kirche in Bayern, wo er die konzeptionelle Entwicklung der KI-Strategie der ELKB sowie die digitale Transformation in der Kirche vorantreibt. **Frage: Wie soll ELOKI eingesetzt werden? Nur für interne Zwecke, oder kommt man damit auch öffentlich in Kontakt, etwa in der Seelsorge oder Beratung?** **Palkowitsch-Kühl:** Zunächst als internes System für alle, die in der Kirche mitarbeiten, hauptamtlich und ehrenamtlich. Später kann man schon an Anwendungen in der Beratung denken, aber eher nicht in der Seelsorge. Das System soll beispielsweise Mitarbeitende unterstützen bei Verwaltungsvorgängen. Und es soll beim Wissensmanagement helfen. Es ist ja ein großes Problem, dass wir in der Kirche viele Wissensträgerinnen und -träger haben, aber nicht immer gute Konzepte, wie wir dieses Wissen systematisieren, bewahren und nutzbar machen. Was genau das System leisten soll, entwickeln wir gemeinsam mit den Nutzenden. Jetzt in der Pilotphase können die Menschen, die es ausprobieren, in einem Freitextfeld eingeben, wofür sie das System nutzen wollen. Das werten wir aus und klären mit dem Datenschutz die Risikoklassen, die damit verbunden sind. **Frage: Welche Anwendungsszenarien wurden genannt?** **Palkowitsch-Kühl:** Sehr häufig geht es um Ideengenerierung. Etwa Unterstützung bei der Workshopplanung im Bildungsbereich. Ein großes Feld ist auch Textgenerierung und Textgestaltung, also etwa einen Fließtext in Stichpunkte gliedern oder einen Text in einfache Sprache übersetzen. **Frage: Gibt es auch theologische Szenarien? Etwa die Pfarrerin, die die KI fragt, was sie am kommenden Sonntag predigen könnte?** **Palkowitsch-Kühl:** Das wurde ganz wenig genannt. Der Schwerpunkt lag tatsächlich in der Unterstützung bei Verwaltungstätigkeiten. Da zeigt sich dann, wo der Schuh im Pfarrberuf wirklich drückt, während Kerntätigkeiten wie Predigt und Seelsorge zu den Dingen gehören, die Pfarrpersonen auch gerne machen – und dann Chancen sehen, durch eine Entlastung durch KI dafür mehr Zeit zu haben. Für das Szenario »Predigtvorbereitung« gibt es auch jetzt schon durch Vorlagen, Literatur und Themenbörsen gute Unterstützung, das trägt wohl auch dazu bei, dass da eher selten nach der KI gefragt wird. **Frage: Die EKD hat auf ihrer Synode gerade beschlossen, die Erprobung und Entwicklung eines KI-Liturgie-Tools anzugehen. Ist das dann nach Ihren Erhebungen völlig vorbei an den Bedürfnissen der Leute?** **Palkowitsch-Kühl:** Das kann ich nicht sicher sagen. Es kann sein, dass wir mit unseren Erhebungen im aktuellen Stadium vor allem Leute erreicht haben, die im Verwaltungsbereich tätig sind oder Bedarf haben. Sicherlich ist die Unterstützung der KI bei Liturgien aber auch eher technisch zu sehen, als theologisch. Daher passen die Erhebungen ganz gut zueinander. Wir stehen mit der EKD auch gut in Kontakt. **Frage: ELOKI soll »kirchliche Werte« beachten. Was heißt das konkret? Was macht ELOKI anders als andere KIs?** **Palkowitsch-Kühl:** Wir geben in den System-Prompts spezifischere Anweisungen. Da stehen wir aber noch in der Diskussion, wie das genau austariert werden muss. Was sind überhaupt »kirchliche Werte« genau? In bestehenden Systemen gibt es schon einen Bestand an allgemeinen normativen Vorstellungen, etwa was Menschenrechte sind. Anthropic spricht beispielsweise von »Constitutional AI« und meint damit die Vorgabe, alle Ausgaben an ihrem Modell von Menschenrechten zu messen. **Frage: Haben Sie schon erste Ideen, wie man einer KI ein christliches Wertegerüst nahebringt? Es wird ja wohl kaum reichen zu sagen **»**Hier ist Luthers _Kleiner Katechismus_ , halt dich dran**«**.** **Palkowitsch-Kühl:** Da wir zunächst bestehende KI-Modelle nutzen, können wir auf Ebene der Trainingsdaten nichts steuern. Wir werden wahrscheinlich ähnlich vorgehen wie Anthropic und das System seine Ausgaben am christlichen Menschenbild messen lassen. Dafür gibt es aber noch keine fertige Lösung, das müssen wir Schritt für Schritt evaluieren und weiterentwickeln, bis dann am Ende Filter und Pipelines stehen, die die Ausgaben in unserem Sinn filtern. Wir stehen dafür in einem ständigen interdisziplinären Dialog. **Frage: Wie funktioniert ELOKI technisch?** **Palkowitsch-Kühl:** Wir nutzen OpenWebUI als Interface und Backend. Damit kann man über Schnittstellen verschiedene KI-Modelle einbauen und darauf aufbauen ein Custom GPT gewissermaßen aus den verschiedenen Zutaten zusammenstellen. Momentan haben wir als Modelle Google Gemma 3, Modelle von Mistral und demnächst auch gpt-oss-120b von OpenAI eingebunden. Je nach Tätigkeit wählt man dann das richtige Modell: Braucht es zum Beispiel ein Reasoning-Modell, das komplexe Fragen schrittweise löst, oder braucht es ein multimodales Modell, das auch mit Bildern arbeiten kann. Die Grundmodelle versehen wir mit Parametern: Welche Tonalität soll die Ausgabe haben, welche Varianz ist in den Antworten, wie kreativ oder unkreativ soll die KI vorgehen. Vieles wird über den schon erwähnten System-Prompt gesteuert. Dann schließen wir noch Wissensdatenbanken und Wissensquellen an und definieren, auf was mit welcher Priorität davon zurückgegriffen werden soll. Am Ende gibt es die Möglichkeiten, Tools und Actions einzubinden, etwa um abzustecken, welche aktuellen Daten und Quellen verwendet werden können. **Frage: Mit Google, OpenAI und Mistral haben Sie eine große Bandbreite, aber mehrheitlich US-amerikanische Modelle. Konnten Sie bei der Auswahl der verwendeten Modelle überhaupt ethische Anforderungen stellen? Selbst bei der Minimalanforderung »im europäischen Rechtsrahmen entwickelt« bleibt ja eigentlich nur Mistral über.** **Palkowitsch-Kühl:** Der Markt ist tatsächlich begrenzt. Es wäre uns schon am liebsten gewesen, dass wir ausschließlich europäische Modelle verwenden. Aber unser System muss auch wettbewerbsfähig sein. Wir können kein System anbieten, das zwar unsere ethischen Ansprüche perfekt erfüllt, aber dann viel schlechter ist als das, was auf dem Markt ist. Damit würden wir nur Leute wieder in die Schatten-IT treiben. Wir müssen also abwägen und aus dem tatsächlich Verfügbaren das auswählen, was vertretbar ist. Wir denken derzeit über Prüfkriterien nach, die von einem Gremium an die Modelle angelegt werden, aber aber hier stehen wir noch am Anfang. **Frage: Welche rechtlichen Rahmenbedingungen sind für Sie wichtig?** **Palkowitsch-Kühl:** Generell wollen wir die Daten in Europa verarbeiten, damit wir uns im Rahmen bewegen können, der von der DSGVO und dem kirchlichen Datenschutz sowie von der KI-Verordnung vorgegeben wird. Das können wir sehr gut mit unserem technischen Partner abbilden, dem Kirchlichen Rechenzentrum Südwestdeutschland. Eine anspruchsvolle Frage ist die Abgrenzung von Rollen und Verantwortlichkeit: Wer ist im Sinne der KI-Verordnung bei unserem System Anbieter, wer Betreiber? Wie ist die datenschutzrechtliche Verantwortlichkeit auf die einzelnen Beteiligten verteilt? Wie gehen wir damit um, wenn sensible Daten in die KI eingegeben werden? Die größte rechtliche Herausforderung momentan ist aber die Websuche, die wir an unser KI-System anbinden wollen. **Frage: Weil der Markt da von nichteuropäischen Anbietern dominiert ist?** **Palkowitsch-Kühl:** Es gibt europäische Anbieter von Schnittstellen, mit denen wir auch im Gespräch sind. Der Suchindex Staan etwa. Dahinter steckt ein französischer Anbieter, und in diesem Jahr läuft das auch noch nur auf Französisch. Da müsste also momentan das KI-Modell erst ins Französische übersetzen und später wieder zurück. Bei der Suche sind wir noch ganz am Anfang der Testphase. Was da praktikabel ist und inwiefern es möglich ist, ohne Google und Bing auszukommen, muss sich noch zeigen. **Frage: Entstehen durch das eigene kirchliche Datenschutzrecht zusätzliche Herausforderungen?** **Palkowitsch-Kühl:** Das ist mit der Novelle sehr viel einfacher geworden. Der Verzicht auf die Unterwerfungsklausel bei Auftragsverarbeitungsverträgen erspart uns sehr viel Arbeit. Ansonsten sind wir noch nicht auf Punkte gestoßen, wo das DSG-EKD andere Anforderungen an KI-Systeme stellt als die DSGVO. **Frage: Dasnovellierte DSG-EKD hat nun auch die Regelungen zur automatisierten Entscheidungsfindung aus der DSGVO übernommen. Spielt das für Sie eine Rolle?** **Palkowitsch-Kühl:** Nein – weil wir ohnehin von Anfang an automatisierte Entscheidungsfindung ausgeschlossen haben. Wir setzen auf den Human-in-the-loop-Ansatz, der auch in den verschiedenen Verträgen und Nutzungsbedingungen auf den einzelnen beteiligten Ebenen festgehalten wird. Im nächsten Jahr soll noch eine Dienstvereinbarung in der bayerischen Landeskirche dazu kommen. Da geht es dann auch um die von der KI-Verordnung vorgesehene Kompetenzvermittlung. **Frage: Welche Kompetenzen halten Sie für besonders wichtig?** **Palkowitsch-Kühl:** Es besteht immer die Gefahr, dass der KI zu stark vertraut wird. Bei unserer Kompetenzvermittlung muss daher im Mittelpunkt stehen, dass KIs keine Wahrheitsmaschinen sind, sondern Wahrscheinlichkeitsmaschinen. Das muss man vermitteln, damit keine überzogenen Erwartungen an eine KI gestellt werden, und damit die Ergebnisse kritisch reflektiert werden. * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Der DSGVO-Kommentar von Taeger/Gabel ist in der **fünften Auflage** erschienen. Für mich eine Premiere: Kommentierungen von Art. 91 DSGVO besprochen habe ich schon viele, das ist die erste, an der ich mitgewirkt habe. (Foto: fxn) Für die Kommentierung in der fünften Auflage konnten wir auf die von mir schon positiv besprochene Fassung von Anne Reiher und Karsten Kinast in der vierten Auflage zurückgreifen. (Zum Zeitpunkt meiner Rezension wusste ich noch nicht, dass ich Reiher als Mitkommentator ablösen würde.) Die Änderungen sind weitgehend **Fortschreibungen der bisherigen Linie**. Seit der vierten Auflage ist relevante Rechtsprechung (hinsichtlich der Frage der Stichtagsregelung durch das VG Hannover und das oberste polnische Verwaltungsgericht) ebenso wie Literatur (allen voran die Dissertation von Marten Gerjets) hinzugekommen. Mir war in der Aktualisierung vor allem eine Schwerpunktverschiebung wichtig: Die vierte Auflage hatte noch ausschließlich eine enge Auslegung des von Art. 91 Abs. 1 DSGVO vom kirchlichen Datenschutzrecht verlangten **»Einklangs«** vertreten. In der fünften haben wir jetzt stattdessen drei vertretbare Auslegungen benannt: 1. Kirchliches Datenschutzrecht darf die DSGVO lediglich konkretisieren, nicht aber von ihr abweichen. 2. Es kann vom Datenschutzniveau der DSGVO abgewichen werden, nämlich 1. in Form von Verschärfungen, nicht durch eine Absenkung des Datenschutzniveaus oder 2. dort, wo es durch das religiöse Proprium erforderlich ist (etwa bei Löschrechten in Kirchenbüchern) 3. Es müssen die Kriterien für Angemessenheitsbeschlüsse angelegt werden (eine Position, die Ralph Wagner hier ausgeführt hat). Im Kommentar sprechen wir uns für die Variante 2.2 aus: > »Das Regelungsziel, zugleich das Grundrecht auf Datenschutz und das Grundrecht auf Religionsfreiheit zum Tragen kommen zu lassen, spricht für die zweite Variante dahingehend, dass zwar grundsätzlich ein einheitliches Datenschutzniveau angestrebt ist, Abweichungen aber dann zulässig sind, wenn sie im religiösen Proprium liegen und mit einer praktischen Konkordanz zwischen Datenschutzgrundrecht und Religionsfreiheit zu vereinbaren sind.« Die Kommentierung endet mit **Perspektiven**. Berücksichtigt ist dabei das immer noch nicht abgeschlossene Verfahren zum Datenschutzrecht der Selbständigen Evangelisch-Lutherischen Kirche, das das Potential hat, vieles zu klären und vieles umzuwerfen. Nicht mehr berücksichtig werden konnten die Geschehnisse um das Datenschutzrecht von Jehovas Zeugen, wo es wohl auch auf einen gerichtlich zu klärenden Konflikt hinauslaufen wird. _Jürgen Taeger, Detlev Gabel (Hrsg.): DSGVO – BDSG – TDDDG, 5. Auflage 2026, 2600 S., 309 Euro._ * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

_**Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten –hier geht’s zur Newsletter-Anmeldung.**_**_Über den Newsletter gibt es außerdem Zugang zur Artikel-91-Signal-Gruppe und zu den digitalen Datenschutz-Stammtischen._** (Bildquelle: ali syaaban on Unsplash) **Inhalte** Verbergen 1 Die Woche im kirchlichen Datenschutz 1.1 Termin fürs neue KDG steht fest 1.2 Mit Staunen vor der Schöpfung stehen 1.3 Stramme Katholiken gegen die DSGVO 1.4 Archive und Datenschutz in der Aufarbeitung 2 Auf Artikel 91 3 Aus der Welt 4 Kirchenamtliches ## Die Woche im kirchlichen Datenschutz ### Termin fürs neue KDG steht fest Aus mehreren gut unterrichteten Quellen (danke!) wurde mir der Termin für die geplante Inkraftsetzung der Novelle des KDG und der KDG-DVO mitgeteilt und schlussendlich für katholisch.de von der DBK bestätigt: Am **1. März 2026** soll es so weit sein. Die Vollversammlung des Verbands der Diözesen Deutschlands hat die neuen Fassungen in dieser Woche beschlossen. Laut der DBK werden die beschlossenen Texte möglicherweise noch vor Weihnachten veröffentlicht. Der Beschluss des VDD hat keine bindende Wirkung. Damit die neuen Gesetze rechtskräftig gelten, müssen sie durch den jeweiligen Diözesanbischof als diözesanes Gesetz in Kraft gesetzt werden. Damit ist in den nächsten Wochen zu rechnen, realistisch ist eine Promulgation (also die amtliche Veröffentlichung, die für das Wirksamwerden eines kirchlichen Gesetzes erforderlich ist) mit den Januar-Ausgaben der kirchlichen Amtsblätter zu erwarten. ### Mit Staunen vor der Schöpfung stehen Bei seiner Begegnung mit jungen US-amerikanischen Katholik*innen hat Papst Leo XIV. einen guten Satz zu KI gesagt: > »AI will not judge between what is truly right and wrong, and it won’t stand in authentic wonder before the beauty of God’s creation.« Bei der Eule ordnet Philipp Greifenstein die Positionen Leos zu KI kenntnisreich ein – auch mit Blick auf die oft naive Nutzung von KI-generierten Inhalten durch Kirchen in Deutschland. ### Stramme Katholiken gegen die DSGVO Manchmal begegnen Datenschutzthemen, wo man sie nun wirklich gar nicht erwartet – zum Beispiel in der Ansprache des Erfurter Bischofs Ulrich Neymeyr zum Elisabeth-Empfang. An recht prominenter Stelle kommt diese Passage: > »Dazu kommt die Sorge, dass einige wenige amerikanische Tech-Konzerne ihre Marktmacht benutzen, um die Meinung der Menschen zu beeinflussen und dass sie dabei einen Raum der Straffreiheit haben, der auch Lügen und Beleidigungen ermöglicht. Für mich ist beängstigend, dass auch angeblich stramme Katholiken das Ende der Datenschutzgrundverordnung fordern und ein Verständnis von Meinungsfreiheit haben, das auch Sünden nicht unter Strafe stellt, nämlich die Sünde der Lüge und die Sünde der Beleidigung. Es sind düstere Zeiten, in denen es Pilger der Hoffnung umso dringender braucht.« Wer diese strammen Katholiken sind, steht nicht im Redemanuskript. Es geht aber, wie die geschätzte Kollegin der KNA für mich rausgefunden hat, um US-Vizepräsident J.D. Vance. ### Archive und Datenschutz in der Aufarbeitung In der ZD Aktuell befasst sich Michaela Hermes mit »Datenschutz und Wissenschaftsfreiheit: Die Herausforderungen in der Missbrauchsaufarbeitung«. Ein Blick auf ausgewählte Aufarbeitungsnormen verschiedener Bistümer zeigt ein heterogenes Feld. Viele Rechtsfragen, wie kirchliche Archive für die Aufarbeitung genutzt werden können, seien noch offen. Hermes stellt fest, dass momentan ein »allgemein verständlicher Interpretationsrahmen, welche Nutzungsrechte für die Wissenschaft jeweils bestehen«, fehle: »Wenn es zu gerichtlichen Überprüfungen der bestehenden Nutzungspraxis kommen sollte, vergrößert sich das Risiko, dass die bisherige Praxis zum Gegenstand von situativen Richtersprüchen wird, die sich als Präzedenzfälle auf die zeitgeschichtliche Forschung auswirken können.« Hermes schlägt »haftungsbewehrte Datenschutzvereinbarungen von Archivträgern mit Forschungseinrichtungen« vor, um wissenschaftliche Vorhaben zu ermöglichen und abzusichern. ## Auf Artikel 91 * KDG gilt für Kolping – richtiges Ergebnis auf falschem Weg ## Aus der Welt * Die Stiftung Datenschutz hat ein Gutachten zum Schutz personenbezogener Daten Minderjähriger von Diana Ettig veröffentlicht. Das Gutachten wird sehr praxisnah mit Handlungsempfehlungen und Checklisten. * Interessante, wenn auch nicht allzu überraschende Erkenntnis: gängige **Phishing-Präventionsmaßnahmen** wie das Ergänzen von Hinweisen auf externe Absender*innen im E-Mail-Betreff sind nicht sonderlich effektiv, im Gegensatz zu guten technischen Filtern. »Friction-based measures, such as disabling links and active warning pages, showed mixed but promising effects. In contrast, […] the widely used method of generic [EXTERNAL] email tagging had no or inconsistent effects«, heißt es im Abstract der Studie. ## Kirchenamtliches * **BfD EKD:** EU beabsichtigt Reform der DSGVO * **Bistum Regensburg:** Hinweis auf die Möglichkeit des Widerspruchs gegen die Auskunftserteilung zu Weihe- und Altersjubiläen von Klerikern * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Papst Leo XIV. reist an den Ort des Konzils von Nizäa

Es war nur eine Frage der Zeit, bis ein **Streit um die Anwendung des katholischen Datenschutzrechts** vor Gericht geklärt werden muss: Der Geltungsbereich des KDG ist notorisch schlecht in einer Form formuliert, die so ähnlich dem kirchlichen Gesetzgeber beim Arbeitsrecht schon einmal um die Ohren geflogen ist. Kolpingbrüder wallfahren zur Marienkapelle auf dem Karmelenberg. Das ist ohne Frage kirchlich – beim KDG kommt es aber auf die Gesetzgebungskompetenz des Bischofs an, nicht wie fromm man ist. (Foto: Lothar Spurzem (Wikimedia Commons), CC BY-SA 2.0 de, zugeschnitten.) Damals ging der Streit um eine Einrichtung des Kolpingwerks, die die Grundordnung des kirchlichen Dienstes nicht anwenden wollte. Auch dieses Mal geht es um Kolping, und zwar den Bundesverband: Der wendet zwar die Grundordnung an, vertrat aber die Position, DSGVO statt KDG anzuwenden. Das Interdiözesane Datenschutzgericht hat nun festgestellt: Das KDG gilt für Kolping (IDSG 10/2023 vom 17. 9. 2025). Auch wenn das Ergebnis richtig ist: Der Weg dorthin überzeugt nicht. **Inhalte** Verbergen 1 Der Fall 2 Die Positionen 2.1 Datenschutzaufsicht 2.2 Kolpingwerk 3 Die Entscheidung 4 Bewertung ## Der Fall Nach seiner Satzung ist das Kolpingwerk ein katholischer Verband (Präambel) und ein privater Verein von Gläubigen ohne Rechtspersönlichkeit (§ 4 Abs. 1 i.V.m. cc. 321–326 CIC) und unterliegt der kirchlichen Aufsicht (§ 4 Abs. 1 i.V.m. c. 305 CIC). Die Satzung und ihre Änderungen müssen durch die Deutsche Bischofskonferenz gebilligt werden (§ 4 Abs. 4), damit liegt ein nationaler Verein vor (c. 312 § 1 Nr. 1 CIC). Gemäß Satzung werden die Grundordnung des kirchlichen Dienstes (§ 4 Abs. 4) sowie die Interventions- und Präventionsordnung (§ 4 Abs. 5) angewandt. Eine **Regelung zum anzuwendenden Datenschutzrecht fehlt**. Der Verband geht davon aus, dass die DSGVO angewandt wird, was er unter anderem durch seine Datenschutzhinweise auf der Webseite deutlich macht. Die zuständige kirchliche Datenschutzaufsicht (für das Kolpingwerk mit Sitz in Köln also das KDSZ Dortmund) hatte schon 2018 beim Verband nachgefragt, warum es glaube, dass kein KDG zur Anwendung komme, weit später (2023) erging ein Bescheid, dass das Kolpingwerk unters KDG fällt. Der Verband der Diözesen Deutschlands hatte außerdem 2023 mitgeteilt, dass eine Satzungsänderung nur dann genehmigt werde, wenn das KDG ausdrücklich in die Satzung aufgenommen werde. Das Kolpingwerk begehrte vom IDSG einen Feststellungsbeschluss, dass es entgegen der Auffassung der Datenschutzaufsicht nicht unter kirchliches Datenschutzrecht fällt. ## Die Positionen ### Datenschutzaufsicht Das KDSZ Dortmund argumentierte, dass das Kolpingwerk **aufgrund des kirchlichen Vereinsstatus** in den Anwendungsbereich des KDG fällt. _(Das ist die eigentliche richtige Lösung des Falls.)_ Das stehe auch in Einklang mit der Rechtsprechung des Bundesverfassungsgerichts. Der Beschluss 2 BvR 209/76 vom 11. Oktober 1977 zur Reichweite des kirchlichen Selbstbestimmungsrechts ist der Ursprung der später in verschiedenen kirchlichen Rechtstexten, auch dem KDG, aufgenommenen Formulierung von zugeordneten Einrichtungen »ohne Rücksicht auf ihre Rechtsform«. Das Kolpingwerk selbst bezeichne sich in seiner Präambel als katholischer Verband mit kirchlicher Zielsetzung. Einen ausdrücklichen Bezug auf das KDG brauche es in der Kolping-Satzung nicht: »Ob ein Objekt einem Gesetz unterfalle, hänge allein von der Anwendung der darin normierten Vorgaben und nicht von einer Zuordnungsentscheidung der Verantwortlichen oder Gremien ab.« _(Das stimmt nur teilweise.)_ Im Verfahren erweiterte die Aufsicht ihre Argumentation und nannte zwei maßgebliche Kriterien, und zwar ohne Rücksicht auf die jeweilige Rechtsform: 1. Teilhabe an der Erfüllung des kirchlichen Auftrags 2. besondere Verbindung mit den Amtsträgern der katholischen Kirche Beide Kriterien sah die Aufsicht offensichtlich durch Satzungsregelungen als erfüllt an, ohne das noch näher auszuführen. Die Teilhabe am kirchlichen Auftrag dürfte durch die kirchliche Zielsetzung offensichtlich sein, die Verbindung zu Amtsträgern durch die Erfordernis der Satzungsgenehmigung, der Zustimmung zur Kandidatur als Präses oder geistliche*r Leiter*in, die Errichtung als kanonischer Verein und die Unterstellung unter die kirchliche Aufsicht. Das Erfordernis, das KDG in der Satzung aufzuführen, sei nicht konstituierend für die Rechtsanwendung, sondern lediglich deklaratorisch. Dementsprechend stelle der Aufsichtsbescheid auch lediglich die bestehende Rechtslage dar, ohne selbst konstitutiv zu wirken. ### Kolpingwerk Neben der Rüge von Verfahrensmängeln bringt das Kolpingwerk auch materielle Gründe vor: Es sei kein »sonstiger kirchlicher Rechtsträger« im Sinn von § 3 Abs. 1 lit. c) KDG, da das nach systematischer Auslegung »nur ein solcher der verfassten Kirche« sein könne. (Dieses Argument wird nicht ausgeführt.) Außerdem sei die Anwendung des KDG europarechtswidrig, weil Kolping schon die KDO nicht angewandt habe; es soll also wohl vertreten werden, dass die Stichtagsregelung aus Art. 91 Abs. 1 DSGVO die Folge hat, dass kirchliches Datenschutzrecht nur in Einrichtungen angewandt werden darf, in denen schon vor Inkrafttreten der DSGVO kirchliches Datenschutzrecht angewandt wurde._(Diese Argumentation trägt nicht, wie später festgestellt wird, Art. 91 DSGVO hebt nicht auf einzelne Verantwortliche ab.)_ Schließlich sei die Entscheidung des BVerfG nicht hinreichend, um das KDG verbindlich zu machen: Sie bedeute für das Kolpingwerk nur, »dass es aus Sicht des weltlichen Staates kirchliches Recht anwenden dürfe«. _(Diese Position ist korrekt.)_ Diese Position würde auch vom Zuwendungsgeber VDD vertreten, indem dieser nur bestimmte Teile des kirchlichen Rechts in der Satzung übernommen sehen will. Die Aufsicht maße sich mit ihrer Entscheidung Kompetenzen an, die nur der Deutschen Bischofskonferenz zustünden: »Deren Sache sei es zu befinden, welche Voraussetzungen das Kolpingwerk Deutschland aus Sicht der Kirche erfüllen müsse, um ein freier Verein von Gläubigen nach dem CIC zu sein.« (Unklar ist, ob hier nur irrtümlich »freier Verein von Gläubigen nach dem CIC« steht, obwohl es sich klar nicht um einen freien Zusammenschluss von Gläubigen, sondern um einen privaten Verein handelt, oder ob tatsächlich doch behauptet wird, entgegen der Satzung handle es sich um einen freien Zusammenschluss statt eines privaten Vereins.) Der Verband befürchtet, dass staatliche und kirchliche Aufsichten zu unterschiedlichen Ergebnissen kommen und staatliche Aufsichten eine Anwendung der DSGVO, kirchliche des KDG annehmen. _(Hier sieht das Gericht kein Problem, weil Präzedenzfälle, auf die nicht näher eingegangen wird, kooperativ von den beteiligten Aufsichten gelöst werden konnten.)_ ## Die Entscheidung Die Anträge des Kolpingwerks hatten **keinen Erfolg**. Ein großer Teil der Entscheidung konzentriert sich auf die Begründung, warum die Aufsicht per Bescheid feststellen konnte, dass für das Kolpingwerk das KDG gilt. Die Klärung der Frage, ob das Kolpingwerk ein sonstiger kirchlicher Rechtsträger ist, für den das KDG gilt, argumentiert **ausschließlich religionsverfassungsrechtlich**. Auf die eigentlich angesagte kirchenrechtliche Prüfung verzichtet das Gericht trotz kanonistisch qualifiziertem Richter völlig. Das Gericht argumentiert, dass der Gesetzgeber durch § 3 KDG »die in Art. 140 GG in Verbindung mit Art. 137 Abs. 3 Satz 1 WRV verfassungsrechtlich normierte und durch Art. 91 DSGVO in Verbindung mit Erwägungsgrund 165 der DSGVO und Art. 17 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) europarechtlich aufgenommene Abgrenzung des Bereichs kirchlicher Selbstbestimmung von dem Bereich der für alle geltenden Gesetze« aktualisiere. Dieser verfassungs- und europarechtliche Rahmen habe die Auslegung von § 3 KDG zu bestimmen. In der Folge wird dann recht konventionell religionsverfassungsrechtlich in der Linie der Rechtsprechung des Bundesverfassungsgericht darauf abgehoben, dass es nicht auf die Rechtsform ankommt, um in den Bereich des Selbstbestimmungsrecht zu kommen, sondern die Teilhabe am kirchlichen Auftrag. Das Gericht dekliniert die Kriterien durch und kommt zu dem Schluss, dass das Kolpingwerk sie durch die schon erwähnten Satzungsbestimmungen erfüllt. Es sei nicht erforderlich, dass sich die fragliche Organisation selbst dem KDG unterstellt. Das stehe weder ausdrücklich noch konkludent in § 3 KDG. Zutreffend stellt das Gericht fest, dass hier eine andere Regelung als in der Grundordnung des kirchlichen Dienstes in ihren Fassungen von 2011 und 2022 getroffen wird. Hier wird als Beleg das Urteil des delegierten Gerichts der Apostolischen Signatur zu einer Kolping-Einrichtung im Erzbistum Paderborn aus dem Jahr 2010 angeführt, ohne näher darauf einzugehen. (Die Jahreszahlen hätten dem Gericht schon Hinweise geben können, dass es sich gelohnt hätte, das Urteil nicht nur anzuführen, sondern auch zu rezipieren.) Ausdrücklich wendet sich das Gericht gegen die von Hammer in Sydow (§ 3 Rn. 10f.) vertretene Position, dass kirchliche Aufsicht über einen Rechtsträger dazu führt, dass das KDG anwendbar wird. Die Argumentation ist etwas dunkel: Das Gericht vermischt die kirchliche Aufsicht (Vigilanz), insbesondere die Vereinsaufsicht aus cc. 305 und 323 § 1 CIC, mit der Datenschutzaufsicht. Hammer hatte argumentiert, dass das Regelungsziel von Art. 91 DSGVO, keine datenschutzfreien Räume zu erzeugen, dazu führen muss, dass die Einhaltung kirchlichen Rechts im Wege der Aufsicht sichergestellt und gegebenenfalls erzwungen werden können müsse. Hier handelt es sich also gerade nicht um die (kirchliche) Datenschutzaufsicht, sondern um die kirchenobrigkeitliche Aufsicht, also der Unterstellung unter eine kirchliche Autorität. Hammer führt dazu auch zutreffend das Urteil des delegierten Gerichts an, das auf die Gesetzgebungskompetenz des Diözesanbischofs abgehoben hat, die bei Rechtsträgern ohne kirchliche Rechtspersönlichkeit, aber mit kirchlichen Zielen eben nicht von sich aus gegeben ist. ## Bewertung Das _Ergebnis_ der Entscheidung des IDSG ist ohne Zweifel **korrekt** : Das Kolpingwerk muss das KDG anwenden. Zu diesem korrekten Ergebnis kommt das IDSG aber nur zufällig, weil es die eigentliche Problematik in keiner Weise durchdrungen hat. Das Kolpingwerk muss nicht aus europa- und verfassungsrechtlichen Gründen das KDG anwenden. Es ist genau so, wie von Kolping vorgetragen: Der religionsverfassungsrechtlichen Rahmen _ermöglicht_ Kolping, am Selbstbestimmungsrecht zu partizipieren, legt aber nicht fest, dass (und welches) kirchliche Recht gilt. Das ist eine kirchenrechtliche Frage, in der Kolping irrt: **Der Verband muss aus kirchenrechtlichen Gründen das KDG anwenden.** Er ist ein privater Verein von Gläubigen und unterliegt als solcher der **bischöflichen Gesetzgebungskompetenz**. Damit gilt das bischöfliche Gesetz KDG für das Kolpingwerk so wie jedes andere bischöfliche Gesetz auch. Dabei kommt es gar nicht auf die religionsverfassungsrechtlichen Besonderheiten des Datenschutzrechts an; dasselbe gilt auch für kirchliches Recht, das ebenfalls einen Geltungsbereich wie das KDG definiert, aber kein staatliches verdrängt, etwa das kirchliche Archivrecht. (Diskutieren könnte man allenfalls darüber, ob ein privater Verein ohne Rechtspersönlichkeit wegen c. 310 CIC nicht korporativ reguliert werden kann; dieser Kanon wird aber in der Auslegung auf vermögensrechtliche Fragen enggeführt.) **Auf das religionsverfassungsrechtliche Selbstbestimmungsrecht kommt es gar nicht an.** Das ist nur dahingehend relevant, ob Art. 91 DSGVO greift. Hätte es sich bei der in Frage stehenden Organisation nicht um einen privaten Verein von Gläubigen gehandelt, sondern um einen freien Zusammenschluss von Gläubigen oder um eine caritative Einrichtung in rein bürgerlicher Rechtsform, die sich jeweils nicht in ihren Statuten dem kirchlichen Recht oder Teilen davon unterwerfen, wäre das Gericht mit seiner Argumentation zum selben Ergebnis bekommen: Auch hier ist der religionsverfassungsrechtliche Bereich der Selbstbestimmung eröffnet. Allerdings fehlt es hier an der Gesetzgebungskompetenz des Bischofs, und deshalb gilt dort das KDG (und anderes kirchliches Recht) nicht ohne weiteres, obwohl Art. 91 DSGVO greifen könnte. Weitere Fälle, in denen die Argumentation des IDSG fehlgeht, sind kirchliche juristische Personen, die nicht der Gesetzgebungskompetenz des jeweiligen Diözesanbischofs unterliegen, nämlich juristische Personen päpstlichen Rechts und solche, die zum Apostolischen Exarchat Deutschland und Skandinavien gehören. Das Ärgerliche an der IDSG-Entscheidung ist, dass genau diese Problematik schon **durch das delegierte Gericht der Apostolischen Signatur höchstrichterlich geklärt** wurde. In dem Fall damals ging es um die Frage, ob die Paderborner Kolping-Bildungswerke gGmbH einfach so entscheiden konnten, die Grundordnung nicht mehr anzuwenden. Das Gericht sagte überzeugend: Ja – weil dieser Rechtsträger nicht der bischöflichen Gesetzgebungskompetenz unterliegt. Nach dem Urteil wurde die Grundordnung angepasst und klar zwischen Rechtsträgern unterschieden, die der bischöflichen Gesetzgebungskompetenz unterliegen, und solchen, die das nicht tun – die müssen dann die Grundordnung per Statut oder verbindlicher Erklärung übernehmen, wollen sie weiterhin im Bereich des Arbeitsrechts auf dem Ticket der katholischen Diözesen am Selbstbestimmungsrecht teilhaben. Zuvor war diese Pflicht nur sehr vage und im Ergebnis zahnlos formuliert. Warum das KDG nicht die klare und kirchenrechtlich größtenteils überzeugende Lösung der reformierten Grundordnung übernommen hat, ist das Geheimnis des Gesetzgebers. Das alles hätte das IDSG wissen können und müssen. Die Literatur zum Geltungsbereich der Grundordnung ist umfassend, das Urteil des delegierten Gerichts intensiv diskutiert worden. Ich selbst habe in meiner Arbeit zur Geltung des KDG in freien Zusammenschlüssen von Gläubigen diese Literatur ausgewertet, um aus den Erkenntnissen des kirchlichen Arbeitsrechts Schlüsse auf den Anwendungsbereich des KDG zu ziehen. (Und komme auf dieser Grundlage zu dem Schluss, dass es eben doch Fälle kirchlicher, aber nicht kanonischer Vereine gibt, in denen es eine aktive Inbezugnahme des KDG braucht, um es anzuwenden.) Im zu entscheidenden Fall haben die kirchenrechtlichen Lücken des IDSG zu keinen negativen Konsequenzen geführt. Problematisch wird die Linie des Gerichts, wenn künftig Fälle zu entscheiden sind, in denen kirchliche Institutionen nicht der bischöflichen Gesetzgebungsgewalt unterliegen, vor allem also freie Zusammenschlüsse von Gläubigen. Hier droht ein **übergriffiges Überstülpen kirchlichen Rechts auf Vereinigungen von Gläubigen** , die bewusst die weiten Möglichkeiten der als Recht der Gläubigen formulierten Vereinigungsfreiheit aus c. 215 CIC nutzen. * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Mitarbeitervertretungen spielen eine wichtige Rolle dabei, die Arbeitsbedingungen der Beschäftigten gut zu gestalten – auch beim Umgang mit den personenbezogenen Daten von Beschäftigten. Vieles, was MAVen täglich tun und wo sie mitreden, hängt mit Datenverarbeitung zusammen. (Bildquelle: SEO Galaxy auf Unsplash) Und dennoch gibt es weder im katholischen noch im evangelischen Recht, weder im kollektiven Arbeitsrecht noch im Datenschutzrecht, ausdrückliche Regelungen zur Mitbestimmung der MAV beim Datenschutz. In der MAVO wie im MVG-EKD muss man daher für Ansatzpunkte für die Mitbestimmung auf die Suche gehen. **Inhalte** Verbergen 1 Mitbestimmung im Datenschutzrecht 1.1 Grundsatz der Rechtmäßigkeit 1.2 Beschäftigtendatenschutz 1.3 Datenschutzfolgenabschätzungen 2 Mitbestimmung im kollektiven Arbeitsrecht 2.1 Behandlung nach Recht und Billigkeit 2.2 Keine allgemeine Mitbestimmung beim Datenschutz 2.3 Konkrete Beteiligungsrechte 2.3.1 In der MAVO 2.3.2 Im MVG-EKD 3 Umsetzung der Beteiligungsrechte 3.1 Informationsrechte datenschutzkonform ausgestalten 3.2 Vorgehen bei der Einführung von Systemen und Maßnahmen 4 Fazit 5 Serie Datenschutz in der MAV ## Mitbestimmung im Datenschutzrecht ### Grundsatz der Rechtmäßigkeit Der erste Grundsatz für die Verarbeitung personenbezogener Daten ist die Rechtmäßigkeit: Daten müssen auf rechtmäßige Weise verarbeitet werden (§ 7 Abs. 1 Nr. 1 KDG und § 5 Abs. 1 Nr. 1 DSG-EKD). Damit kommt mittelbar das Mitarbeitendenvertretungsrecht ins Spiel: Rechtmäßig ist die Verarbeitung nur dann, wenn bei den jeweiligen Sachverhalten auch die Vorgaben des jeweiligen kollektiven Arbeitsrechts eingehalten wurde. Fehlt eine rechtmäßige kollektivarbeitsrechtliche Beteiligung bei einem Verarbeitungsvorgang, ist der datenschutzrechtliche Grundsatz der Rechtmäßigkeit nicht erfüllt und die Verarbeitung verstößt damit gegen Datenschutzrecht. Dienstgeber haben damit ein intrinsisches Interesse an der Einhaltung der Regelungen zur Mitbestimmung im Kontext von Datenverarbeitung: Die Datenschutzaufsichten können ungleich agiler und auch aus eigenem Antrieb agieren, anders als die Konfliktlösungsmechanismen im kollektiven Arbeitsrecht, die immer eine aktive Anrufung der Arbeitsgerichte brauchen. ### Beschäftigtendatenschutz Arbeitsrecht und Datenschutz kommen in den jeweiligen Paragraphen zum Beschäftigtendatenschutz zusammen. (Die Regelungen von § 53 KDG und § 49 DSG-EKD habe ich mir hier ausführlicher angesehen, und zwar im Vergleich mit § 26 BDSG, der Regelung des Beschäftigtendatenschutzes im staatlichen Bereich.) Das **katholische Beschäftigtendatenschutzrecht** macht sich einen schlanken Fuß: »Die Beteiligungsrechte nach der jeweils geltenden Mitarbeitervertretungsordnung bleiben unberührt«, heißt es in § 53 Abs. 4 KDG. Damit ist immerhin klargestellt, dass »geht nicht wegen Datenschutz« kein Argument ist, um Beteiligungsrechte zu behindern. Das **evangelische Beschäftigtendatenschutzrecht** ist etwas umfangreicher. Dort tauchen Dienstvereinbarungen neben Tarifverträgen als eine Rechtsgrundlage auf, die die Verarbeitung von Beschäftigtendaten erlauben (§ 49 Abs. 1 DSG-EKD). Europarechtskonform ausgelegt sollte man diese Regelung aber nicht überstrapazieren: Betriebsvereinbarungen können gemäß der Rechtsprechung des EuGH keine wirklich neuen Rechtsgrundlagen schaffen, sondern müssen den allgemeinen Bestimmungen der DSGVO entsprechen, mithin kein schlechteres Datenschutzniveau schaffen. (Mehr dazu in der Stellungnahme der GDD.) Eine ausdrückliche Regelung, dass Mitbestimmungsrechte unberührt bleiben, fehlt in § 49 DSG-EKD, der allgemeine Vorrang von speziellem Recht gemäß § 2 Abs. 6 DSG-EKD greift aber und führt zum selben Ergebnis. ### Datenschutzfolgenabschätzungen In der DSGVO gibt es eine Stelle, an der Beteiligungsrechte von Beschäftigtenvertretungen immerhin anklingen: Art. 35 Abs. 9 DSGVO legt fest, dass Verantwortliche bei **Datenschutzfolgenabschätzungen** »gegebenenfalls den Standpunkt der betroffenen Personen _oder ihrer Vertreter_ zu der beabsichtigten Verarbeitung« (Hervorhebung ergänzt) einholen – das kann man durchaus so auslegen, dass diese Vertretungen Beschäftigtenvertretungen sein können. In der Parallelstelle im KDG (§ 35 Abs. 8 KDG) stehen nur die betroffenen Personen, nicht ihre Vertretungen, das DSG-EKD verzichtet in § 34 gleich ganz auf eine entsprechende Regelung. ## Mitbestimmung im kollektiven Arbeitsrecht MAVO und MVG-EKD haben keine expliziten Beteiligungsrechte zu speziellen Datenschutzfragen. Viele Regelungen und insbesondere Mitbestimmungstatbestände betreffen führen dazu, dass Aspekte des Datenschutzes eine Beteiligung von MAVen ermöglichen oder erfordern. ### Behandlung nach Recht und Billigkeit Dienstgeber und MAV haben den Auftrag, gemeinsam darauf zu achten, dass alle Mitarbeitenden »nach Recht und Billigkeit behandelt« werden (§ 26 Abs. 1 MAVO, § 33 Abs. 1 MVG-EKD). Dazu gehört auch, dass die Datenschutzrechte aller Mitarbeitenden gewahrt werden. Daraus erwachsen noch keine unmittelbar durchsetzbaren Rechte, aber eine Rechtfertigung, warum Datenschutzthemen auch MAV-Themen sind. Beide Gesetze sehen vor, dass MAVen auf die Erledigung von gerechtfertigten Beschwerden hinwirken (§ 26 Abs. 2 Nr. 2 und § 27 Abs. 2 MAVO; § 35 Abs. 2 lit. c) MVG-EKD). Etwas stärker sind die Möglichkeiten im MVG-EKD. § 48 regelt das **Beschwerderecht** der Mitarbeitendenvertretung: Bei Pflichtverstößen des Dienstgebers gegenüber Beschäftigten steht der MAV ein Beschwerderecht bei der zuständigen Aufsicht zu – dazu gehört auch die Datenschutzaufsicht. Die angegangene zuständige Aufsicht ist dann verpflichtet, Abhilfe zu schaffen. Eine entsprechende Regelung fehlt in der MAVO. Datenschutzrechtlich steht ein Beschwerderecht nur betroffenen Personen zu, stellvertretende Beschwerden durch die MAV sind nicht möglich. Beschwert sich also eine katholische MAV bei der Datenschutzaufsicht, handelt es sich lediglich um eine Kontrollanregung, aus der keine weiteren Rechte und Pflichten folgen. (Mehr zum Beschwerderecht der MAVen habe ich hier aufgeschrieben.) ### Keine allgemeine Mitbestimmung beim Datenschutz Eine vielbeachtete Entscheidung des LAG Hessen (5 TaBV 4/24, Beschluss vom 5. Dezember 2024) hat für den weltlichen Bereich festgestellt, dass sich die Mitbestimmung des Betriebsrates nicht auf den Datenschutz insgesamt bezieht, sondern lediglich auf die konkret geregelten Mitbestimmungstatbestände. Ein wesentlicher Grund dafür ist, dass der Datenschutz schon durch das Datenschutzrecht geregelt ist. Das Datenschutzrecht einzuhalten ist originäre, gesetzlich geregelte Pflicht des Verantwortlichen. Was schon gesetzlich geregelt ist, unterliegt aber nicht der Mitbestimmung. Ebenfalls keine Mitbestimmung gibt es bei der **Bestellung von betrieblichen Datenschutzbeauftragten**. Wenn aber bDSB neu eingestellt werden oder sich durch die Übertragung der Aufgabe eine andere Eingruppierung ergibt, bestehen die regulären Zustimmungserfordernisse. Diese Zustimmung kann bei einem Gesetzesverstoß verweigert werden (§ 34 Abs. 2 Nr. 1, § 35 Abs. 2 Nr. 1 MAVO; § 41 Abs. 1 lit. a) MVG-EKD) – etwa dann, wenn die gesetzlichen Anforderungen an bDSB nicht erfüllt werden (»erforderliche Fachkunde und Zuverlässigkeit« gemäß § 36 Abs. 6 KDG und § 36 Abs. 3 DSG-EKD). Das ist aber ein relativ schwaches Schwert, lässt sich die Fachkunde doch mit relativ kompakten Kursen erwerben. Im Ergebnis beschränkt sich die Mitbestimmung im Bereich des Datenschutzes daher auf die gesetzlich normierten Mitbestimmungstatbestände, bei denen Datenschutzfragen eine Rolle spielen. ### Konkrete Beteiligungsrechte Da es keine allgemeine Beteiligung der MAV beim Datenschutz gibt, ist Datenschutz nur ein Aspekt von konkreten Beteiligungstatbeständen. In der MAVO und im MVG-EKD sind diese deutlich unterschiedlich ausgestaltet. #### In der MAVO Vier der Fallgruppen, die unter **Anhörung und Mitberatung** (§ 29 Abs. 1 MAVO) fallen, berühren oft auch Datenschutzaspekte. Bei allen dieser Fälle besteht auch ein **Vorschlagsrecht** (§ 32 Abs. 1 Nr. 3, 8, 9, 10 MAVO). Konkret geht es um diese Punkte: * Regelungen der **Ordnung in der Einrichtung** (Haus- und Heimordnungen) (Nr. 3): Hierunter dürften weit verstanden auch Regelungen zur Nutzung der IT-Infrastruktur gelten, inklusive der Privatnutzung. * grundlegende **Änderungen von Arbeitsmethoden** (Nr. 14) und Maßnahmen zur **Hebung der Arbeitsleistung und zur Erleichterung des Arbeitsablaufes** (Nr. 15): das dürften häufig IT-Systeme sein. * Festlegung von **Grundsätzen für die Gestaltung von Arbeitsplätzen** (Nr. 16): hier spielen auch technische und organisatorische Maßnahmen, die dem Datenschutz dienen, eine Rolle. Das wohl schärfste Schwert der Mitbestimmung im Bereich des Datenschutzes ist die **Zustimmung** bei der Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das **Verhalten oder die Leistung der Mitarbeiterinnen und Mitarbeiter zu überwachen** (§ 36 Abs. 1 Nr. 9 MAVO). Wichtig ist dabei, dass der Wortlaut zwar von »bestimmt« spricht, es aber gemäß der ständigen Rechtsprechung des Kirchlichen Arbeitsgerichtshofs als »objektiv geeignet« auszulegen ist (vgl. etwa KAGH, Urteil M 20/2019 vom 15. Mai 2020, Rn. 22; der KAGH folgt damit dem Bundesarbeitsgericht). Dieser Maßstab ist bei IT-Systemen sehr schnell erreicht, weil sehr vieles protokolliert werden kann und dann zur Überwachung oder Leistungskontrolle herangezogen werden kann. Bei solchen Maßnahmen besteht auch ein korrespondierendes **Antragsrecht** (§ 37 Abs. 1 Nr. 9 MAVO), außerdem können darüber **Dienstvereinbarungen** geschlossen werden (§ 38 Abs. 1 Nr. 11 MAVO). Wichtig ist, dass sich die Rolle der MAV dabei jeweils auf den Aspekt der Überwachung und Leistungskontrolle beschränkt. #### Im MVG-EKD Evangelische MAVen haben deutlich mehr Hebel als katholische. Das MVG-EKD nennt in § 40 fünf **Mitbestimmungstatbestände** , die in der Regel datenschutzrechtliche Aspekte berühren: * Einführung **grundlegend neuer Arbeitsmethoden** (lit. h) – sehr oft IT-Infrastruktur. * Einführung und Ausgestaltung **mobiler Arbeit** , die mittels Informations- und Kommunikationstechnik erbracht wird (lit. i) – technische und organisatorische Maßnahmen sind relevant. * Maßnahmen zur **Hebung der Arbeitsleistung** und zur **Erleichterung des Arbeitsablaufs**(lit j) – wieder sehr oft IT-Infrastruktur. * Einführung und Anwendung von Maßnahmen oder technischen Einrichtungen, die dazu geeignet sind, das **Verhalten oder die Leistung der Mitarbeitenden zu überwachen** (lit k) – hier schon dem Wortlaut nach »geeignet«. * Regelung der **Ordnung in der Dienststelle** (Haus- und Betriebsordnungen) und des Verhaltens der Mitarbeitenden im Dienst (lit l) – IT-Nutzung und Privatnutzung. In all diesen Fällen hat die MAV auch ein Initiativrecht (§ 47 MVG-EKD). ## Umsetzung der Beteiligungsrechte ### Informationsrechte datenschutzkonform ausgestalten Die MAV braucht für ihre Arbeit viele Informationen, die oft auch personenbezogene Daten enthalten. Insbesondere die **Mitbestimmung bei der Einstellung und Eingruppierung** ist ohne personenbezogene Daten schlicht unmöglich. Hier gilt immer der Grundsatz: Wenn die MAV laut MAVO oder MVG-EKD (oder anderen Gesetzen) Informationen braucht, dann darf sie sie auch haben. Die Information darf aber nur in dem Umfang erfolgen, wie sie auch erforderlich ist. Das bedeutet, dass etwa ein pauschaler Zugang für die MAV zu Personalakten oder Personalinformationssysteme nicht zulässig ist, weil das nicht erforderlich ist. Wie genau die Information erfolgen muss und darf, muss man jeweils aus dem Gesetz erschließen, in der Regel durch eine **Auslegung der verwendeten Verben** (»unterrichten«, »informieren«, »Einsicht nehmen«, »aushändigen« und ähnliches). Ein Beispiel: In § 34 Abs. 3 MAVO heißt es, dass der MAV auf Verlangen ein Verzeichnis der eingegangenen einrichtungsinternen Bewerbungen sowie der Bewerbungen von Schwerbehinderten zu _überlassen_ ist und _Einsicht_ in die Bewerbungsunterlagen der oder des Einzustellenden _zu gewähren_ ist. Das Verzeichnis dieser Gruppen (und nur dieser) erhält die MAV also, während sie in die genannten Bewerbungsunterlagen nur hineinschauen darf, sie aber nicht ausgehändigt bekommt. Die MAV muss sicherstellen, dass sie mit den personenbezogenen Daten, mit denen sie in Berührung kommt, datenschutzkonform umgeht. Daher braucht sie ein Datenschutzkonzept (wie man das ausarbeitet, habe ich hier beschrieben). Fehlt ein solches Datenschutzkonzept, kann der Dienstgeber sich weigern, die entspechenden Informationen zur Verfügung zu stellen. Das hat aber Grenzen, wie das Kirchliche Arbeitsgericht für die Bayerischen (Erz-)Diözesen festgestellt hat (Urteil 1 MV 21/22 vom 9. Dezember 2022): »Der Dienstgeber kann die gesetzlichen Informations- u. Beteiligungsrechte der Mitarbeitervertretung nicht durch den Hinweis auf mögliche Datenschutzdefizite unterlaufen, wenn diese nicht von der MAV zu verantworten sind«, lautet einer der Leitsätze. Zu datenschutzrechtlichen Aspekten der MAV im Zusammenhang mit dem Verfahren zum **Betrieblichen Eingliederungsmanagements (BEM)** hat sich die KDSA Ost in ihrem Tätigkeitsbericht 2017 (Nr. 7.1.2) ausführlich geäußert. ### Vorgehen bei der Einführung von Systemen und Maßnahmen Bei den oben genannten Beteiligungstatbeständen kann es schwierig sein, die beabsichtigten Maßnahmen zu bewerten. Gerade größere IT-Projekte können sehr komplex werden. (Die gesamten Unterlagen zur Einführung von MS 365 in der Nordkirche, die der Kirchenleitung als Beschlussvorlage dienten, umfassten 200 Seiten.) In solchen Fällen ist die MAV gut beraten, wenn sie externe Beratung durch sachkundige Personen nach dem üblichen Verfahren (§ 17 Abs. 1 MAVO, § 30 Abs. 2 MVG-EKD) hinzuzieht. Sollte die MAV selbst prüfen, empfiehlt es sich, dem Dienstgeber gezielte Fragen zu stellen, die insbesondere auf das Potential zur Überwachungs- und Leistungskontrolle zielen: * Ist Überwachung oder Leistungskontrolle geplant? Wie wird das ausgeschlossen oder kontrolliert, wenn es möglich ist? _(Ziel: unstreitige Fälle von möglicher Überwachung und Leistungskontrolle und den Umgang damit abfragen.)_ * Welche personenbezogenen Daten werden wie und zu welchem Zweck verarbeitet? _(Ziel: herausfinden, inwiefern Daten geeignet sind, Leistung zu kontrollieren oder Beschäftigte zu überwachen, auch wenn der Dienstgeber das nicht so einschätzt.)_ * Einsicht verlangen in eine eventuell durchgeführte Datenschutzfolgenabschätzung und ins (in der Regel verpflichtend anzufertigende) Verarbeitungsverzeichnis. _(Ziel: Überblick über die Verarbeitungsvorgänge, um qualifizierte Entscheidungen zu ermöglichen.)_ Ein **Einsichtsrecht ins Verarbeitungsverzeichnis und in Datenschutzfolgenabschätzungen** ist nicht ausdrücklich in den Gesetzen normiert. Es gibt aber gute Argumente dafür, dass ein solches Recht abgeleitet werden kann. (Das vertritt etwa Ullrich in Beschäftigtendatenschutz der katholischen Kirche, Rn. 610.) Mit diesen Unterlagen kann die MAV Maßnahmen umfassend bewerten. Datenschutzbedenken bestehen gegen die Einsicht nicht: Beide Dokumente enthalten (bis auf Urheberschafts- und Bearbeitungsvermerke) keine personenbezogenen Daten. Auf dieser Grundlage kann dann gut bemessen werden, welche Beteiligungsrechte berührt werden. Offene Fragen sollten in **Dienstvereinbarungen** geregelt werden. Die können zwar keine neuen Rechtsgrundlagen schaffen, sind aber insbesondere dann nützlich, wenn die Rechtsgrundlage des berechtigten Interesses angewendet werden soll: Hier kann die Dienstvereinbarung ein wichtiger Aspekt der Abwägung sein, weil sie Schutzmaßnahmen hinsichtlich Überwachung und Leistungskontrolle definiert. Generell empfiehlt es sich, eine **Rahmen-IT-Dienstvereinbarung** zu schließen. Darin sollte allgemein festgelegt werden, dass kein IT-System zur Überwachung und Leistungskontrolle verwendet wird und eventuell dennoch auf solche Systeme gestützte Maßnahmen nichtig sind. Darin kann man auch regeln, welche Änderungen an IT-Systemen unwesentlich sind und kein neues Beteiligungsverfahren erfordern, etwa einfache Sicherheitsupdates ohne wesentlich neue Funktionen. Sinnvoll ist auch, Grundsätze der Information (etwa Einsichtsrechte in DSFA und Verarbeitungsverzeichnis) zu vereinbaren. Gute Beispiele und Hinweise für Rahmen-Betriebsvereinbarungen finden sich bei »Beratung für Betriebsräte« und Deubner Recht & Praxis sowie mit einer instruktiven Beschreibung des Prozesses hin zu einer Vereinbarnug das Institut für Mitbestimmung und Unternehmensführung. ## Fazit Auch ohne explizite Datenschutz-Beteiligungsrechte kann die MAV den Schutz der personenbezogenen Daten von Kolleg*innen voranbringen. Der übliche Werkzeugkasten von MAV und MVG-EKD bietet einige Ansatzpunkte, um zu guten Ergebnissen zu kommen. # Serie Datenschutz in der MAV * Datenschutzkonzept der MAV – so geht’s * Datenschutz und Mitbestimmung – welche Rechte hat die MAV? * Haben MAVen ein datenschutzrechtliches Beschwerderecht? * Betriebliche Datenschutzbeauftragte und MAV-Mitglied – geht das? * Beschäftigtendatenschutz in KDG und DSG-EKD * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *