Eine Kirchengemeinde hatte keinen Erfolg mit ihrer Verfassungsbeschwerde: Das Protokoll einer Kirchengemeinderatssitzung zu einer Personalmaßnahme gehört zur materiellen Personalakte und muss herausgegeben werden […]

Unvergessen: Jacques Derrida

Im Streit um die Aufarbeitung im Bistum Erfurt habe ich Stimmen vom Diözesandatenschutzbeauftragten Matthias Ullrich und der Kommissionsvorsitzenden Ulrike Brune eingeholt.

🌩️ Streit um Aufarbeitungskommission in Erfurt
💻 Regelungen zur IT-Nutzung in Würzburg
🏥 Bundesrat zur Reform besonderer […]

KDR-OG neu kommt – Bericht der Ordensdatenschutzaufsicht 2025 Knapp und pünktlich – so kennt man die Ordensdatenschutzaufsicht. Auch wenn in diesem Jahr der Windhundpreis für den frühesten kirchlichen Tätigkeitsbericht an die KDSA Ost gegangen ist. Der Tätigkeitsbericht für den Zeitraum vom 1. Februar 2025 bis zum 31. Januar 2026 gibt wieder Einblicke in den Ordensdatenschutz. Wie in den vergangenen Jahren zeigt sich die Aufsicht im großen und ganzen zufrieden mit den Beaufsichtigten. Und es ist erstmals absehbar, wie es mit dem Ordensdatenschutzrecht weitergeht – der Zeitplan ist ambitioniert. **Inhalte** Verbergen 1 Kirchliche Gesetzgebung 2 Tätigkeit der Aufsicht 3 Weitere Hinweise 4 Fazit 5 Bisher besprochene Berichte der Ordensaufsicht ## Kirchliche Gesetzgebung Erstmals gibt es konkretere Informationen zur **Reform der KDR-OG**. Die Datenschutzregelung der Orden päpstlichen Rechts entspricht bis auf einzelne terminologische Änderungen dem KDG in seiner ersten Fassung, dass eine Reform nach Abschluss der KDG-Novelle beraten wird, hat die Deutsche Ordensobernkonferenz schon mitgeteilt. Der Tätigkeitsbericht nennt nun einen Termin: Am 1. Juni 2026 soll die neue KDR-OG in Kraft treten, ein Verzicht auf eine eigene Regelung zugunsten des KDG (den die Aufsicht als »durchaus wünschenswert« bezeichnet), scheint vom Tisch. »Soweit Änderungen des KDG als Ergebnis der Evaluierung erfolgen sollten, werden sie in den KDR-OG-Entwurf übernommen, wenn sie nicht speziell für die verfasste Kirche gelten«, heißt es wie schon im Vorjahr zum Inhalt. ## Tätigkeit der Aufsicht Der Bericht enthält – leider eine Ausnahme – einige absolute Zahlen. Man erfährt, dass die Zahl der **Beschwerden** mit 49 Fällen leicht abgenommen hat. Die Themengebiete sind wenig überraschend: Probleme bei Auskunftsanträgen und im Zusammenhang mit Spendenwerbung sowie zur Datenweitergabe bei Vorbereitung von Entschädigungszahlungen. Die Zahl der **Datenpannen** ist weiter auf 104 gestiegen, wie schon im Vorjahr vor allem aufgrund von Schadsoftware. Ein **Bußgeld** wurde nicht verhängt. **Beratungsanfragen** gingen etwa 180 telefonisch und 117 schriftlich ein. Auch hier keine Überraschungen: »Fragen zur Aufarbeitung von Unrecht, zum Datenverkehr mit den USA, Aufbewahrung von Unterlagen, Weitergabe von Daten an Behörden, Folgen von Cyber-Angriffen, fehlgeleiteten E-Mails, Auskunftserteilung und die Herausgabe von Urkunden.« Der **Außendienst der Aufsicht** konnte im Berichtszeitraum wieder ungehindert arbeiten. »Die Erfahrung mit diesen Besuchen zeigt auch, dass die Mutterhäuser der Ordensgemeinschaften normalerweise nicht unter datenschutzrechtlichen Schwierigkeiten leiden, wohl aber die karitativen Betriebe wie Krankenhäuser, Altenheime, Kindertagesstätten und Schulen.« In diesem Bereich soll 2026 die Aufsichtstätigkeit intensiviert werden. ## Weitere Hinweise * Der **Datentransfer in die USA** bleibt trotz Data Privacy Framework prekär. Selbstkritisch und/oder realistisch merkt die Aufsicht an, dass ihre Empfehlungen zur Verwendung europäischer Clouddienste und von Funktions-E-Mail-Adressen als Maßnahme zum Umgang damit aus vergangenen Jahren wenig angenommen wurden. Die Aufsicht betont, dass freie Software wie Libre Office problemlos einzusetzen wäre – ausweislich der Metadaten wurde der Aufsichtsbericht aber mit Word für Microsoft 365 angefertigt (vgl. dazu Mt. 23,3). * Im vergangenen Jahr teilte der Bericht mit, dass die **Gemeinsame Meldestelle der Ordensgemeinschaften** in Deutschland (GMdO) durch den Ordensdatenschutzbeauftragten Jupp Joachimski betreut wird. Im aktuellen Bericht gibt es dazu Zahlen: 69 Ordenseinrichtungen nutzen die Stelle für die Erfüllung ihrer Pflichten aus dem Hinweisgeberschutzgesetz. * Die Sammlung relevanter **Gerichtsentscheidungen** geht auch auf die zur Verwendung von Meldedaten für die Werbung von Kirchenzeitungen (DSG-DBK 02/2024 vom 19. Mai 2025) ein: Dass diese Verarbeitung vom kirchlichen Interesse gedeckt sei stehe »entgegen der früher geäußerten Mehrheitsauffassung der Datenschutzbeauftragten«. ## Fazit Bei den Ordensgemeinschaften geht es weiterhin ruhig zu. Vieles scheint weiter gut zu funktionieren. Vorbildlich ist die Nennung absoluter Zahlen zur Aufsichtstätigkeit – das könnten sich die Diözesandatenschutzaufsichten zum Vorbild nehmen. Sehr sinnvoll ist der angekündigte Schwerpunkt auf die karitativen Ordenseinrichtungen: Hier herrscht eine Unwucht zwischen der kleinen Aufsicht und den riesigen Sozialkonzernen, die sie (auch) beaufsichtigen. Eine klare Schwerpunktsetzung kann die immerhin etwas ausgleichen. ## Bisher besprochene Berichte der Ordensaufsicht Jahr| Besprechung| Tätigkeitsbericht ---|---|--- 2019/2020| Alles in Ordnung bei den Orden| Tätigkeitsbericht 2019/2020 2020/2021| One more thing| Tätigkeitsbericht 2020/2021 2021/2022| Einer weniger| Tätigkeitsbericht 2021/2022 2022/2023| Ordentlich gephisht| Tätigkeitsbericht 2022/2023 2023/2024| Ordentlich gelobt| Tätigkeitsbericht 2023/2024 2024/2025| Ein einziger Ort für viele Beschwerden| Tätigkeitsbericht 2024/2025 2025/2026| KDR-OG neu kommt| Tätigkeitsbericht 2025/2026 * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Der Bericht der Ordensdatenschutzbeauftragten ist da! Es gibt Neues zur Reform des KDR-OG.

artikel91.eu/2026/04/01/kdr-og-neu-ko...

#TeamDatenschutz

Das katholische Datenschutzgericht hat zwei Entscheidungen zu Geld veröffentlicht:

Prozesskostenhilfe geht klar, obwohl sie nicht geregelt ist – und katholische Bußgelder dürfen sich nicht am EDSA-DSGVO-Bußgeldmodell orientieren […]

Im Bemühen um Prävention sexualisierter Gewalt kommen bisweilen die Grundrechte anderer unter die Räder.

💸 Prozesskostenhilfe vor dem kirchlichen Datenschutzgericht
🥊 Streit um Aufarbeitung in Erfurt
🤖 KI in der Sozialberatung
🇨🇭 Prävention schlägt Datenschutz in der Schweiz
🫆 Anlasslose […]

Der erste kirchliche Tätigkeitsbericht kommt von der KDSA Ost. Neben sehr klaren Ansagen zur politischen Großwetterlage gibt's viel für die Praxis. Besonders die Tipps für Mitarbeitervertretungen sind sehr hilfreich […]

Meme mit der Beschriftung: If I had a nickel for every time I wrote something about Mother Teresa's trademarks I'd have two nickels. Which isn't a lot but it's weird that it happened twice.

Neues aus dem katholischen Immaterialgüterrecht.

katholisch.de/artikel/67832-missbrauch...

Standpunkt: Der Europäische Gerichtshof macht kirchliches Arbeitsrecht ehrlicher Ein Kommentar von Felix Neumann

Der EuGH macht kirchlichen Arbeitgebern das Kündigen nach Kirchenaustritt schwieriger. Ich sehe darin eine Chance für die Kirchen, sich ehrlicher zu machen, kommentiere ich heute.

katholisch.de/artikel/67805-der-europa...

devotional statue of Mary Magdalen in a cubicle completely covered in monitors, keyboards, circuit boards, cables and assorted other computer paraphernalia

Our Lady of Perpetually Online

KI in aller Munde – demnächst vielleicht auch in einer Hochform des katholischen Lehramts.

🤖 KI-Leitlinien in Rottenburg-Stuttgart
🚌 Caritas zum Digital-Omnibus
🎦 Katholische Moraltheolog*innen unterstützen Anthropic gegen Trump
📃 Kommt die KI-Enzyklika? […]

Daten sicher und praktikabel austauschen Wie kommen **Daten sicher von A nach B**? Das ist eine Frage, die im Alltag immer wieder auftaucht. Während es innerhalb und zwischen kirchlichen Einrichtungen in der Regel einfach per Mail geht, braucht es vor allem im karitativen und diakonischen Bereich Strategien, wie man niederschwellig und nutzungsfreundlich Daten sicher mit Klient*innen und Behörden austauscht. (Foto von Felix Hanspach auf Unsplash) Was in der Regel nicht funktioniert, ist weniger gebräuchliche oder komplizierte technische Wege vorzugeben. Lösungen, die in der Praxis auch tatsächlich funktionieren, sollten im Idealfall Bordmittel einsetzen. Zum Glück geht das. **Inhalte** Verbergen 1 Grundsätze 1.1 Probleme bei E-Mail und Fax 1.2 Rechtslage und Stand der Technik 2 Strategien 2.1 Sichere Kommunikationsdienste 2.2 Verschlüsselte Dateien verschicken 2.3 Ausweg Einwilligung? 3 Fazit ## Grundsätze ### Probleme bei E-Mail und Fax Am einfachsten wäre der **Versand von Daten per E-Mail**. Leider ist E-Mail nicht zwangsläufig ausreichend sicher. Es gibt einige technische Risiken: * E-Mails sind **in der Regel transportverschlüsselt**. Das heißt, dass sie auf dem Weg von der Senderin zur Empfängerin verschlüsselt werden – aber das ist nicht notwendig so. Es ist auch möglich, dass Zwischenschritte unverschlüsselt sind. Daraus folgt, dass E-Mails innerhalb geschlossener Netze oder zwischen Netzen, die sich vertrauen, verwendet werden kann (viele kirchliche Einrichtungen vertrauen sich gegenseitig; im katholischen Bereich gibt es den sicheren Mailverkehr des VDD, von dem man außer gelegentlichen Erwähnungen in Datenschutzdokumentationen nichts weiß). Bei externen Kontakte (also üblicherweise beim Versand an Klient*innen) kann man in der Regel nicht voraussetzen, dass der normale Mailversand ausreichend sicher ist. * Im privaten Bereich werden sehr viele **kostenlose oder in Drittstaaten ansässige Maildienstleister** verwendet. Hier besteht (neben dem Drittlandtransfer) immer die Möglichkeit, dass Daten vom Provider analysiert und für eigene Zwecke verarbeitet werden, weil die Mails beim Provider unverschlüsselt liegen. * **Ende-zu-Ende-Verschlüsselung** von Mails, also die Verschlüsselung im Mailclient der Absenderin und die Entschlüsselung im Mailclient des Empfängers, ist technisch möglich, aber kaum verbreitet und für weniger technisch Interessierte zu wenig intuitiv. Dazu kommt, dass im professionellen Umfeld eher S/MIME als Verfahren eingesetzt wird, für das man in der Regel kostenpflichtige Zertifikate benötigt, im privaten dagegen PGP/GPG – selbst wenn beide Seiten Ende-zu-Ende-Verschlüsselung können, ist noch lange nicht gesagt, dass sie die gleiche Sprache sprechen. Es gibt aber nicht nur technische, sondern auch soziale Probleme von E-Mail: Weil man oft nicht weiß, wer alles auf eine E-Mail-Adresse Zugang hat, sei es, weil Geräte geteilt werden, sei es, weil Accounts geteilt werden, sei es, weil Dritte wie Eltern oder Schule und Arbeitgeber die Geräte verwalten, auf denen die Mail empfangen wird. Aus diesen Gründen ist vor allem im Austausch mit Behörden und im Gesundheitsbereich oft das **Fax** eine Alternative. Faxen hat aber ganz eigene Probleme. Im katholischen Bereich ist das Faxen grundsätzlich verboten (und wenn es doch noch nötig ist, braucht es eine gute Strategie für sicheres Faxen.) Für den Kontakt mit Privaten kommt das Fax mangels Relevanz und Verbreitung in der Regel ohnehin nicht in Frage. ### Rechtslage und Stand der Technik Im **katholischen Bereich** gibt es dank der KDG-DVO ausdrückliche und einheitliche Regelungen. Die KDG-DVO unterscheidet je nach Schutzbedarf verschiedene Datenschutzklassen mit wachsenden Anforderungen an technische und organisatorische Maßnahmen. Ab Datenschutzklasse II ist der E-Mail-Versand nur innerhalb gesicherter Netze oder mit Verschlüsselung nach dem Stand der Technik zulässig (§ 26 Abs. 1 KDG-DVO). Unter Datenschutzklasse II (§ 12 KDG-DVO) fallen Daten, »deren missbräuchliche Verarbeitung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann«. Darunter fallen bereits Daten über Mietverhältnisse, Geschäftsbeziehungen sowie Geburts- und Jubiläumsdaten. Gerade im karitativen Bereich in der Kommunikation mit Klient*innen ist man also wohl immer mindestens in dieser Datenschutzklasse und braucht daher eine angemessene Verschlüsselung. Im **evangelischen Bereich** gibt es keine einheitliche Regelung zum Datenschutzmanagement. Einzelne Landeskirchen haben aber unterschiedlich komplexe Durchführungsverordnungen zum DSG-EKD. Allgemein fordert § 27 DSG-EKD angemessene und risikoadäquate technische und organisatorische Maßnahmen, die dem Stand der Technik entsprechen. Damit kann man auf die bewährten Systematiken des BSI-Grundschutzes und des SDM ebenso wie des darauf aufbauenden Kirchlichen Datenschutzmodells zurückgreifen. Im Ergebnis wird man auch im evangelischen Bereich (und im weltlichen unter Geltung der DSGVO) zum Schluss kommen, dass per Mail versandte Daten in der Regel verschlüsselt werden müssen. ## Strategien ### Sichere Kommunikationsdienste Ideal wäre ein System, das einfach so funktioniert und automatisch hinreichend sicher ist. Das geht – wenn auch nicht für jeden Anwendungsfall. Einige Beispiele: * **Ende-zu-Ende-verschlüsselte Mails** sind wie oben ausgeführt zwar eine Nische. Es schadet aber nicht, die üblichen Verfahren (S/MIME und PGP/GPG) anbieten zu können. Erfahrungsgemäß wird nur ein verschwindend geringer Prozentsatz der Kommunikationspartner*innen das in Anspruch nehmen – wenn man es aber einmal eingerichtet hat, sollte es in Zukunft ohne große Probleme funktionieren. * Oft ist der **Versand über sichere Messenger** eine Alternative. Goldstandard sind dabei Signal und Threema, aber selbst WhatsApp ist hinsichtlich der Inhalte nach aktuellem Wissensstand sicherer als unverschlüsselte E-Mail: WhatsApp gibt an, Signal-Technik zu verwenden (was nicht überprüft werden kann), die Inhalte sind also nach allem, was wir wissen, sicher – das große Problem bei WhatsApp ist nicht die Verschlüsselung von Inhalten, sondern Metadaten und Adressbuchupload. Meta sichert zu, dass persönliche Chats nicht von der Meta-KI in WhatsApp verarbeitet werden. Wenn man also ohnehin schon (aus welchen Gründen auch immer) per WhatsApp mit jemandem kommuniziert, kann man darüber auch Daten verschicken. * Der **Zugriff über spezielle Austauschplattformen** kann funktionieren: Das kann eine Speziallösung einer Beratungsplattform sein oder etwas Generisches wie eine Nextcloud-Installation. Daten sind in solchen Lösungen so sicher wie die jeweilige Plattform – das muss im Einzelfall geprüft werden. Durch die standardmäßige Transportverschlüsselung von Webinhalten ist der Up- und Download in solche Plattformen in der Regel technisch sicher. Dafür muss dann aber auch das Zugriffspasswort auf sicherem Weg an den Mann und die Frau gebracht werden. ### Verschlüsselte Dateien verschicken Am Ende landet man mit gewisser Wahrscheinlichkeit dann doch bei der E-Mail. Dann braucht es eine Lösung – und die wird in der Regel der **verschlüsselte Dateianhang** sein. Wenn der Anhang sicher verschlüsselt ist, kann man auch unsichere Transportwege verwenden. (Denkbar wäre auch, verschlüsselte Dateien auf USB-Stick weiterzugeben – USB-Sticks bergen aber weitere Risiken.) Die gute Nachricht: Für die üblichen Dateiformate ist das mit Bordmitteln oder zumindest mit freier Software möglich. Wenn Verschlüsselungsverfahren beim Speichern ausgewählt werden können, sollte man in der Regel AES-256 auswählen. Dieses Verfahren entspricht dem Stand der Technik. * **MS-Office-Dateien** können verschlüsselt gespeichert werden, je nach Version über `Datei > Informationen > Dokument schützen > Mit Kennwort verschlüsseln`. Seit Office 2007 wird ein sicheres Verschlüsselungsverfahren verwendet. * **LibreOffice** hat im Speichern-unter-Dialog die Option »Mit Kennwort speichern« – auch wenn da keine Verschlüsselung erwähnt wird, werden die Dateien tatsächlich verschlüsselt. Seit Version 3.5 aus dem Jahr 2012 wird ein sicheres Verschlüsselungsverfahren verwendet. * **PDF -Dateien** können beim Exportieren in MS-Office und LibreOffice sicher verschlüsselt werden. Nachträglich können PDF-Dateien mit PDF24 (kostenlos; es sollte die lokale Version verwendet werden, nicht der Online-Dienst) verschlüsselt werden. Seit PDF-Version 2.0 (2017) ist ein sicheres Verschlüsselungsverfahren Standard. * **komprimierte Archive wie Zip-Dateien** können verschlüsselt werden, aber leider nicht mit Windows-Bordmitteln. Eine gute Windows-Software, die Verschlüsselung beherrscht, ist 7-Zip (das als freie Software kostenlos ist). Wichtig: In Zip-Dateien können die Dateinamen nicht verschlüsselt werden, man sieht also, was in der Datei ist; außerdem muss man darauf achten, nicht das unsichere Verschlüsselungsverfahren »ZipCrypto« auszuwählen. Von Haus aus kann Windows lediglich mit ZipCrypto verschlüsselte Archive entschlüsseln. Das 7z-Format von 7-Zip kann auch die Dateinamen verschlüsseln und verwendet standardmäßig ein sicheres Verschlüsselungsverfahren. (Ich erwähne nur Windows unter der Annahme, dass Menschen, die Linux nutzen, eh wissen wie’s geht, und dass Windows im beruflichen Einsatz das übliche Betriebssystem ist.) Von diesen Varianten ist wahrscheinlich das verschlüsselte PDF die Variante, die am zugänglichsten ist und auch mobil die wenigsten Probleme machen sollte. Allen diesen Wegen ist gemeinsam, dass es ein Passwort gibt, das für die Ver- wie die Entschlüsselung benötigt wird. Es braucht daher einen **sicheren Weg, das Passwort mitzuteilen**. Zentral ist dabei, das **Passwort über einen anderen Kanal** als die verschlüsselte Datei mitzuteilen: Schickt man das Passwort auf demselben Weg wie die Datei, kann man auch gleich darauf verzichten. Das gilt auch für zwei nacheinander geschickte Mails: Wer auf die Mail mit den Daten zugreifen kann, kann auch auf die Mail mit dem Passwort zugreifen. Geeignete Kanäle sind z. B. das direkte oder telefonische Gespräch, sichere Messenger oder SMS. Für den Umgang mit Klient*innen kann man auch Kärtchen vorbereiten, auf denen zweimal das gleiche Passwort steht: Eine Hälfte bekommt der*die Klient*in, eine Hälfte kommt in die Akte. Die Passwörter dürfen auch leicht merkbar sein. Genügend sichere und verständliche (und damit z. B. telefonisch diktierbare) Passwörter kann man etwa erzeugen, indem man mehrere normale Wörter aus einem Wörterbuch zufällig (!) aneinanderreiht gemäß der Methode »Correct Battery Horse Staple«; dafür gibt es auch deutschsprachige Passwortgeneratoren. ### Ausweg Einwilligung? Kann man in schlechtere Schutzstandards einwilligen? Ist es also möglich, auf diese Varianten zur sicheren Dateiübermittlung einfach zu verzichten, indem die empfangende Person einwilligt, einfach einen normalen, unverschlüsselten E-Mail-Anhang zu bekommen? Das ist eine klassische Frage im Datenschutz, die kontrovers diskutiert wird. Selbst wenn man (wie die katholische Datenschutzkonferenz) die Position vertritt, dass die Einwilligung in schlechtere ToMs grundsätzlich möglich ist, ist diese Möglichkeit nicht grenzenlos und nur unter sehr engen Bedingungen überhaupt möglich: Es ist nicht zulässig, einfach nur die Einwilligung anzubieten und als Alternative nichts. Es muss immer die Möglichkeit einer sicheren Übermittlung angeboten werden. Im Ergebnis sollte man daher auf eine Einwilligung in den unverschlüsselten Versand nur in begründeten Einzelfällen ausweichen und stattdessen dafür sorgen, dass die sichere Variante auch tatsächlich genutzt werden kann. ## Fazit Sichere Dateiübertragung ist möglich – und mit Bordmitteln oder freier Software auch einigermaßen nutzungsfreundlich machbar. Damit das auch tatsächlich gemacht wird, braucht es neben den technischen Voraussetzungen auch eine gute Begleitung durch Schulung und Qualifizierung der Leute, die sicher Daten verschicken müssen. Zudem braucht es eine gute Vermittlung den Empfänger*innen gegenüber (etwa durch geeignete niederschwellige Info-Flyer), damit diese auch ohne Frust die sicher verschickten Daten öffnen können. * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Daten sicher per Mail übermitteln – gar nicht mal so trivial. Es gibt aber doch ein paar Strategien, um es mit Bordmitteln oder einfachen Tools hinzubekommen.

artikel91.eu/2026/03/18/daten-sicher-...

#TeamDatenschutz

Die neue katholische Kirchenstatistik ist keine große Überraschung – und selbst Zahlen, die sich auf den ersten Blick positiv entwickeln, sollte man noch einmal kritisch hinterfragen, analysiere ich.

katholisch.de/artikel/67702-auf-dem-we...

Screenshot einer Pressemitteilung des Bistums Münster: »Wenn am Dienstag, 24. Marz, gegen 14 Uhr alle Glocken des St.-Paulus-Doms Manster lauten, sind Wartungsarbeiten im Glockenstuhl der Grund dafür. Um diese Arbeiten durchzufithren, muss mindestens einmal, gegebenenfalls auch mehrfach, das volle Geläut erklingen. Die Verantwortlichen der Domverwaltung weisen darauf ausdricklich hin, um dem Missverständnis vorzubeugen, dass das Glockengeleut zu dem Zeitpunkt die Wahl eines neuen Bischofs fur das Bistum Münster bekanntgibt.«

Opportunity for the Pope to Do the Funniest Thing

Auf dem Weg zum Land der Konfessionslosen Kirchenstatistik zeigt Traditionsabbruch

Die #Kirchenstatistik kennt kaum Überraschungen: jedes Jahr erschreckend hohe Zahlen beim #Kirchenaustritt, aber immer findet sich der eine oder andere Hoffnungsschimmer. Doch nicht jede positive Zahl ist auch eine positive Entwicklung, zeigt @fxneumann.de in seiner Analyse:

Auch sehr interessant: Der Austritt war unter anderem durch die Erhebung des besonderen Kirchgelds motiviert, das könne nicht als kirchenfeindliche Motivation ausgelegt werden.

Hier die PM des EuGH: curia.europa.eu/site/upload/docs/applica...

Der EuGH hat entschieden: Nicht jeder Kirchenaustritt darf zur Kündigung führen – die Entscheidung blieb aber eng: Wo es nicht-katholische Kolleg*innen gibt, die die gleiche Aufgabe haben, ist eine Kündigung nicht mit der Antidiskriminierungsrichtlinie vereinbar […]

Authentisch ausgelegte bDSB – Wochenrückblick KW 11/2026 _**Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten –hier geht’s zur Newsletter-Anmeldung.**_ **_Über den Newsletter gibt es außerdem Zugang zur Artikel-91-Signal-Gruppe und zu den digitalen Datenschutz-Stammtischen._** (Bildquelle: ali syaaban on Unsplash) **Inhalte** Verbergen 1 Die Woche im kirchlichen Datenschutz 1.1 Bistum Regensburg wird bDSB 1.2 UKA berichtet über VDD-Cyberangriff 1.3 KDSZ Bayern hat eine Webseite 1.4 In eigener Sache 2 Auf Artikel 91 3 Aus der Welt 4 Kirchenamtliches ## Die Woche im kirchlichen Datenschutz ### Bistum Regensburg wird bDSB Das Bistum Regensburg ist eines von drei Bistümern, die noch die unkorrigierte Beschlussfassung des KDG in Kraft gesetzt hatten. Das wurde nun im aktuellen Amtsblatt korrigiert. Außerdem wurde nun eine Regelung für die betrieblichen Datenschutzbeauftragten der Kirchen- und Pfründestiftungen der Diözese in Kraft gesetzt, die von der Klarstellung profitiert, dass nun auch juristische Personen zu bDSB bestellt werden. Für die Kirchen- und Pfründestiftungen ist nun die Diözese Regensburg KdÖR verpflichtend zum bDSB zu bestellen. Systematisch handelt es sich um eine »angeordnete Leistung«, die die betroffenen Rechtsträger verbindlich durch die vorgegebene Person erfüllen lassen müssen. Interessant ist die Präambel des bDSB-Gesetzes. Darin heißt es (ohne weitere Ausführungen): »Auch ohne Bestehen einer dahingehenden gesetzlichen Verpflichtung ist die Benennung eines betrieblichen Datenschutzbeauftragten zulässig.« So glasklar ist das vom Wortlaut des KDG her nicht – möglicherweise hat der Bischof von Regensburg mit dieser Präambel aber die im KDG fehlende eindeutige Rechtsgrundlage geschaffen, sei es, dass die Präambel neues Recht schafft, sei es, dass (was der Textgattung Präambel angemessener wäre) die Präambel als authentische Auslegung des Gesetzgebers gemäß c. 16 CIC zu verstehen ist. ### UKA berichtet über VDD-Cyberangriff Im aktuellen Tätigkeitsbericht der Unabhängigen Kommission für Anerkennungsleistungen (UKA) nimmt der Cyberangriff auf den VDD einen großen Raum ein. Die UKA ist zwar unabhängig, datenschutzrechtlich verantwortlich und Träger der Infrastruktur ist aber der VDD. Der Vorfall hat die Arbeit der Kommission über Monate behindert und auf papiergebundene Verfahren zurückgeworfen. Der Angriff hatte unter Missbrauchsbetroffenen große Sorgen ausgelöst, ob möglicherweise Betroffenendaten abgeflossen sind. DBK-Generalsekretärin Beate Gilles hatte nach dem Angriff lediglich mitteilen können, dass keine entsprechenden Daten online aufgetaucht seien. Auch im Tätigkeitsbericht wird nicht ausdrücklich mitgeteilt, dass sicher keine Daten abgeflossen sind: > »Die Untersuchungen haben im April 2025 ergeben, dass weder im Darknet noch auf sonstigen Kanälen vertrauliche oder personenbezogene Daten aus dem angegriffenen System aufgetaucht sind und so kein Schaden für die Persönlichkeitsrechte der Betroffenen entstanden ist.« Keine Informationen finden sich im Bericht über Auskunfts- und Einsichtsrechte, die Betroffene gegenüber der UKA geltend gemacht haben, anders als in Vorjahren. ### KDSZ Bayern hat eine Webseite Diesseits der Parusie gibt es im kirchlichen Datenschutz mehrere Themen, die die Naherwartung auf harte Proben stellen: Wann geht die Webseite des KDSZ Dortmund online, und wann wird die KDSA Nord KdÖR? Die erste Frage ist nun beantwortet: kdsz.bayern ist online und macht einen technisch wie inhaltlich sehr soliden und durchdachten Eindruck. ### In eigener Sache * Am Montag, 1. Juni 2026, ab 18.30 Uhr, finde die Social Bar Bonn zum Thema **Datenschutzszene in Bonn** statt. Referent*innen kommen von der Deutschen Gesellschaft für Datenschutz und der BfDI, und ich bin auch dabei. Die Teilnahme ist kostenlos und nur vor Ort, weitere Informationen folgen noch. ## Auf Artikel 91 * Faxverbot – Was kirchliche Einrichtungen jetzt wissen müssen ## Aus der Welt * Die Österreichische Akademie der Wissenschaften hat ein Interview mit der Juristin Klaudia Kwiatkowska zu **Datenschutz bei Menstruations-Apps** veröffentlicht, das sehr deutlich macht, was es bedeutet, dass Datenschutz zum Ziel hat, Machtungleichgewichte zu adressieren: »Einige Apps erlauben Partneraccounts mit Zugriff auf sensible Daten. Das kann unproblematisch sein, birgt jedoch bei Konflikten oder Gewaltpotenzial zusätzliche Gefahren, da sehr intime Informationen betroffen sind. Zudem kann erkennbar werden, ob eine Person schwanger war oder eine Schwangerschaft abgebrochen hat. In bestimmten politischen oder gesellschaftlichen Kontexten kann das erhebliche Auswirkungen haben.« ## Kirchenamtliches * **Bistum Regensburg** * Drittes Gesetz zur Änderung des Gesetzes über den Kirchlichen Datenschutz (KDG) — Gesetz über den Kirchlichen Datenschutz (Lesefassung) * Gesetz über den betrieblichen Datenschutzbeauftragen der Kirchen- und Pfründestiftungen im Bistum Regensburg, Ausführungsbestimmung zum Gesetz über den betrieblichen Datenschutzbeauftragen der Kirchen- und Pfründestiftungen im Bistum Regensburg * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Das Bistum Regensburg hat einen neuen Job: betrieblicher Datenschutzbeauftragter.

🕵️ Bistum Regensburg wird bDSB
🦹 UKA berichtet über VDD-Cyberangriff
🎉 KDSZ Bayern hat eine Webseite

artikel91.eu/2026/03/13/authentisch-a...

Das Faxverbot in der neuen KDG-Durchführungsverordnung stellt viele caritative Einrichtungen vor Probleme – wie man damit umgeht, erklärt Stefan Craezer vom Diözesan-Caritasverband für das Erzbistum Köln […]

Freiwillig bestellte betriebliche Datenschutzbeauftragte im kirchlichen Datenschutzrecht? Viele Einrichtungen müssen betriebliche Datenschutzbeauftragte bestellen – bei kleineren ist das aber oft keine Pflicht. Dennoch: Betriebliche Datenschutzbeauftragte sind eine bewährte Institution, die eine große Hilfe beim Datenschutzmanagement sind. Deshalb ist es vielerorts üblich, trotz kleiner Einrichtungen freiwillig betriebliche Datenschutzbeauftragte zu ernennen. (Foto von John auf Unsplash) Dass das möglich ist, ist in der DSGVO eindeutig geregelt. Im kirchlichen Datenschutzrecht wird es oft genauso gehandhabt – nur: Ein genauer Blick in die kirchlichen Datenschutzgesetze zeigt, dass dort eine eindeutige Regelung fehlt. Wie man diese Lücke schließt, hat erhebliche Auswirkungen auf die Rechte und die Stellung von freiwillig bestellten bDSB. **Inhalte** Verbergen 1 Rechtslage 1.1 DSGVO und BDSG 1.2 Kirchliches Recht 2 Argumente zur freiwilligen Bestellung 2.1 Dafür 2.2 Dagegen 2.3 Zwischenfazit 3 Rechtsfolgen 3.1 Folgen einer freiwilligen Bestellung 3.2 Wegfall der Bestellpflicht 4 Fazit ## Rechtslage ### DSGVO und BDSG In der **DSGVO** ist die Bestellung von betrieblichen Datenschutzbeauftragten klar geregelt: Es gibt in Art. 37 Abs. 1 DSGVO einen Rahmen, wann sie verpflichtend zu bestellen sind, dazu kommt die Möglichkeit, sie freiwillig zu ernennen. Das regelt Art. 37 Abs. 4 DSGVO, zusammen mit der Öffnungsklausel für Mitgliedsstaaten, selbst zusätzliche Regelungen zur verpflichtenden Bestellung zu treffen. Genau das hat der deutsche Gesetzgeber im **Bundesdatenschutzgesetz** mit § 38 BDSG getan. Dass es freiwillige bestellte bDSB gibt, setzt § 38 Abs. 2 BDSG voraus. Anders als bei verpflichtend bestellten gilt für sie nicht der Schutz vor Abberufung und Kündigung aus § 6 Abs. 4 BDSG. ### Kirchliches Recht Im kirchlichen Datenschutzrecht findet sich **in beiden großen Gesetzen keine Regelung** zur freiwilligen Bestellung. Geregelt wird lediglich in den fast gleichlautenden Normen § 36 Abs. 6 DSG-EKD und § 36 Abs. 8 KDG, dass Verantwortliche die Erfüllung der Aufgaben von betrieblichen Datenschutzbeauftragten (im evangelischen Sprachgebrauch: örtlich Beauftragten) »in anderer Weise sicherzustellen« haben. Da beide kirchlichen Datenschutzgesetze nicht von freiwilligen Bestellungen handeln, gibt es auch keine zu § 38 Abs. 2 BDSG analogen Sonderregelungen für freiwillig bestellte bDSB. ## Argumente zur freiwilligen Bestellung ### Dafür Für die Möglichkeit, betriebliche Datenschutzbeauftragte freiwillig zu bestellen, spricht vor allem der **Verweis auf die säkulare Rechtslage**. Das kirchliche Datenschutzrecht ist durch Art. 91 Abs. 1 DSGVO zum Einklang mit der DSGVO verpflichtet; eine **europarechtskonforme Auslegung** der kirchlichen Datenschutzgesetze ist daher geboten. Um die Lücke im kirchlichen Recht zu schließen, zieht man nach dieser Auslegung die Regelung der DSGVO analog heran, die freiwillige Bestellungen kennt. Eine Analogie zu den Regelungen des BDSG als mitgliedsstaatlichem Recht ist durch eine europarechtskonforme Auslegung nicht geboten. Wo Regelungen des BDSG nicht übernommen werden, besteht keine Gefahr für den Einklang. Wo mitgliedsstaatliche Gesetzgeber frei sind, Öffnungsklauseln der DSGVO zu füllen, ist es auch der kirchliche Gesetzgeber. Für die freiwillige Bestellung spricht auch die wohl herrschende Praxis – von kirchlichen Aufsichten hört man, dass sie davon ausgehen, dass das zulässig ist, von externen bDSB hört man, dass ihre Bestellungen auch nach den Änderungen im DSG-EKD bei Unterschreiten des neuen Schwellwerts in der Regel aufrecht erhalten wurden, und im DSG-EKD-Kommentar von Wagner ist ebenfalls von der Möglichkeit der fakultativen Bestellung zu lesen. Zu diesem Ergebnis kann man auch kommen, wenn man den Auftrag, bei fehlender Bestellpflicht die Aufgaben von bDSB »in anderer Weise« zu erfüllen, so auslegt, dass die freiwillige Bestellung eine »andere Weise« als die Pflichtbestellung ist, um diese Aufgaben zu erfüllen. ### Dagegen Gegen die Möglichkeit einer freiwilligen Bestellung spricht vor allem der **Wortlaut** der kirchlichen Datenschutzgesetze: Es ist jeweils die Rede davon, dass betriebliche Datenschutzbeauftragte zu bestellen sind, »wenn« die genannten Kriterien zutreffen, eine freiwillige Bestellung wird nicht erwähnt. (Ein Gegenargument: »wenn« heißt nicht notwendig »nur dann wenn«.) Die Anforderung, die Aufgaben von bDSB »in anderer Weise« zu erfüllen, ist wohl viel eher so auszulegen, dass die Aufgaben »in anderer Weise als durch die Benennung von bDSB« zu erfüllen sind. Eine Gefahr für den Einklang besteht nicht, wenn man mit dem Einklang auf das Schutzniveau, nicht auf eine 1:1-Entsprechung aller Instrumente abhebt, die ein Gesetz bietet. Im DSG-EKD Kommentar sprechen sich Große/Wagner zwar für die Möglichkeit einer fakultativen Benennung aus – aber nicht für eine echte freiwillige Benennung, die alle Rechtsfolgen nach sich zieht: »Für die fakultative Bestellung von örtlich Beauftragten sind die Vorgaben aus §§ 36 bis 38 DSG-EKD nicht einschlägig.« (Wagner/Große in Wagner, DSG-EKD, § 39, Rn. 90.) Der KDG-Kommentar erwähnt freiwillige Bestellungen gar nicht und scheint daher davon auszugehen, dass sie nicht möglich sind. Die (nicht veröffentlichten) Begründungen zum KDG und seiner Novelle sowie die (veröffentlichten) Begründungen zum DSG-EKD (2017, 2024) gehen nicht auf die Möglichkeit einer freiwilligen Bestellung ein und erwähnen Art. 37 Abs. 4 DSGVO und § 38 Abs. 2 BDSG nicht. ### Zwischenfazit Im wesentlichen stehen zwei Argumente gegeneinander: Eine europarechtskonforme weite Auslegung oder eine am Wortlaut orientierte enge Auslegung. Im katholischen Kirchenrecht gibt es explizit festgelegte Auslegungsregeln. Legt man das KDG nach den kirchenrechtlichen Auslegungsregeln aus, ist bei klarem Wortlaut diesem Wortlaut der Vorzug zu geben (c. 17 CIC) – der Wortlaut handelt klar nur von einer verpflichtenden Bestellung. Die Regelungen über die Rechtsstellung von bDSB schränken Rechte des Verantwortlichen ein (insbesondere hinsichtlich des Direktionsrechts und durch den erhöhten Kündigungsschutz). Gesetze, die die freie Ausübung von Rechten einschränken, sind gemäß c. 18 CIC eng auszulegen – eine analoge Anwendung der für verpflichtend bestellten bDSB aufgestellten Regelungen ist damit eingeschränkt. Bei einer europarechtskonformen Auslegung stellt sich die Frage, ob eine fehlende Möglichkeit zur freiwilligen Bestellung wirklich den Einklang gefährdet, da die Aufgaben von bDSB ja ausdrücklich in anderer Weise erfüllt werden müssen. Zudem sieht die DSGVO nicht vor, dass die Aufgaben von bDSB in anderer Weise erfüllt werden müssen, wenn keine bestellt sind – demnach gibt es durch das Fehlen der freiwilligen Bestellmöglichkeit kein schlechteres Datenschutzniveau. Im Ergebnis spricht viel dafür, dass es tatsächlich nicht möglich ist, echte freiwillige Bestellungen vorzunehmen, also solche mit allen Rechtsfolgen einer Bestellung zu bDSB. Da aber insbesondere die Aufsichtspraxis und die übliche Vorgehensweise anders ist, dürfte offen sein, wie Gerichte die Frage bewerten würden. ## Rechtsfolgen ### Folgen einer freiwilligen Bestellung Wenn eine **echte freiwillige Bestellung möglich** sein sollte, dann sind auch die Rechtsfolgen dieselben wie bei einer verpflichtenden Bestellung – und zwar anders als nach § 38 Abs. 2 BDSG inklusive des Abberufungs- und Kündigungsschutzes. Wenn eine **echte freiwillige Bestellung nicht möglich** sein sollte, dann kann man zwar (mit Große/Wagner) eine Person mit Aufgaben von bDSB betrauen und diese Person »bDSB« oder »öBfD« nennen. Sie ist es aber nicht im rechtlichen Sinne und hat insbesondere nicht die Rechtsstellung aus § 37 KDG/DSG-EKD, insbesondere auch nicht den Abberufungs- und Kündigungsschutz, aber auch nicht die Weisungsfreiheit, Auskunfts- und Einsichtsrechte, das Recht auf Fortbildung, das Zeugnisverweigerungsrecht und das Beteiligungsrecht, die echte bDSB haben. (Große/Wagner empfehlen eine arbeitsvertragliche Regelung, um das zu kompensieren.) Insbesondere für externe freiwillig bestellte bDSB stellt sich in diesem Fall die Frage, ob sie die gesetzlich festgelegte Aufgabe der Rechtsberatung im Bereich des Datenschutzrechts gemäß Rechtsdienstleistungsgesetz wahrnehmen dürfen. Dass ordentlich bestellte bDSB das dürfen, ist geklärt. Art. 39 DSGVO ist eine gesetzliche Erlaubnisnorm für eine Rechtsdienstleistung, wie sie § 3 Nr. 2 RDG verlangt (dazu ausführlich Regina Mühlich). Wenn aber freiwillig bestellte externe bDSB gar keine bDSB im Sinne des (kirchlichen) Rechts sind, dann fehlt es an dieser Erlaubnisnorm und man muss den stärker auslegungsbedürftigen § 5 Abs. 1 RDG heranziehen, der Rechtsdienstleistungen »im Zusammenhang mit einer anderen Tätigkeit, wenn sie als Nebenleistung zum Berufs- oder Tätigkeitsbild gehören«, erlaubt. Im Ergebnis dürfte man aber wohl bejahen können, dass das auch für externe freiwillig bestellte kirchliche bDSB gilt. ### Wegfall der Bestellpflicht Was passiert, wenn eine Einrichtung die Kriterien für eine Bestellpflicht nicht mehr erfüllt? Der häufigste Fall dürfte sein, dass der Schwellwert an Personen unterschritten wird, ab der eine Bestellung erforderlich ist. Noch häufiger als durch Personalabbau dürfte das zum Inkrafttreten der jeweiligen Novellen der Fall sein: Sowohl im DSG-EKD wie im KDG wurde analog zur Reform im BDSG der Schwellwert von 10 auf 20 Personen angehoben, die mit der Datenverarbeitung beschäftigt sind. Beide kirchlichen Gesetze haben ähnliche **Übergangsregelungen** , die bestehende Bestellungen von betrieblichen Datenschutzbeauftragten regeln. § 55 Abs. 2 DSG-EKD und § 57 KDG legen jeweils fest, dass bestehende Bestellungen fortbestehen, allerdings jeweils unter Verweis auf die neuen Regelungen. Das DSG-EKD regelt, dass »die Regelungen der §§ 36 bis 38« gelten, das KDG, dass die Bestellungen unberührt bleiben, »soweit hierbei die Regelungen der §§ 36 ff. Beachtung finden«. Wie man diese Übergangsregelung auslegt, hängt ebenso wie die Frage nach freiwilligen Bestellung allgemein wesentlich damit zusammen, ob man eine echte freiwillige Bestellung bejaht oder nicht: * Bejaht man sie, dann werden die bisher verpflichtend zu freiwillig bestellten bDSB, deren Rechtsstellung sich im wesentlichen nicht ändert. Insbesondere behalten sie auch, anders als unter der Geltung von § 38 Abs. 2 BDSG, ihren Schutz vor Abberufung und Kündigung. * Verneint man die Möglichkeit der echten freiwilligen Bestellung, dann dürfte die Bestellung wegfallen, weil zu den referenzierten Bestimmungen auch der jeweilige Schwellwert gehört – dann wären die bisherigen verpflichtend bestellten bDSB von Gesetzes wegen abberufen und genössen lediglich noch den nachlaufenden Kündigungsschutz. Dieser Fall tritt allerdings nur ein, wenn die Personenzahl dauerhaft unter zwanzig fällt – beide Gesetze sprechen von »in der Regel« zwanzig Personen, kurzzeitiges Unterschreiten der Grenze durch Vakanzen, die wieder besetzt werden, ist unschädlich. ## Fazit Das Fehlen von Regelungen zu freiwillig bestellten betrieblichen Datenschutzbeauftragten ist eine echte Lücke in den kirchlichen Datenschutzgesetzen, die erstaunlich lange – auch in den Evaluierungen – nicht aufgefallen ist. Die herrschende Praxis ist wohl, dass regelmäßig freiwillig bDSB im kirchlichen Bereich bestellt werden. Prekär kann das werden, wenn es Konflikte über die Rechtsstellung dieser freiwillig Bestellten gibt. Bisher ist noch keine entsprechende Entscheidung (weder von den kirchlichen Datenschutz- und Verwaltungsgerichten noch von Arbeitsgerichten) bekannt. Sinnvoll wäre es, hier die Rechtslage der staatlichen anzupassen und Art. 37 Abs. 4 DSGVO und § 38 Abs. 2 BDSG in geeigneter Form in kirchliches Recht zu überführen. Die Übernahme des Verzichts auf ein Abberufungs- und Kündigungsverbot ist sinnvoll, um durch diese einschneidende Maßnahme nicht die an sich sinnvolle und wünschenswerte freiwillige Bestellung mit zu hohen Hürden zu versehen. Eine mögliche Formulierung für einen neuen § 37 Abs. 2a KDG/§ 36 Abs. 1a DSG-EKD könnte so aussehen: > »In anderen als den in Absatz 1 und 2/Absatz 1 genannten Fällen können kirchliche Stellen/verantwortliche Stellen einen betrieblichen Datenschutzbeauftragten oder eine betriebliche Datenschutzbeauftragte/örtlich Beauftragte ernennen. § 37 Abs. 4/§ 37 Abs. 2 findet in diesem Fall keine Anwendung.« * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Diese Gesetzeslücke ist acht Jahre lang fast niemandem aufgefallen: KDG und DSG-EKD kennen keine freiwillig bestellten bDSB. Was hat das für Konsequenzen?

artikel91.eu/2026/03/04/freiwillig-be...

#TeamDatenschutz

Geht nicht wegen Datenschutz? Warum das oft nur eine Ausrede ist „Geht nicht wegen Datenschutz“ ist der Klassiker der Vermeidungsstrategie. Wir klären auf, warum Agentin Cipher recht hat und wie Sie Projekte sicher umsetzen.

Ja, is klar. Datenschutz ist wieder mal schuld ...

Echt jetzt?

#teamdatenschutz

ask-datenschutz.de/datenschutz-...

Aufbewahrungsfristen und Löschkonzept für die MAV Nichts ist für die Ewigkeit – selbst im kirchlichen Datenschutz. Das Prinzip der Speicherbegrenzung ist so zentral wie schwierig umzusetzen. Das gilt erst recht, wenn es keine expliziten Aufbewahrungsfristen gibt. (Foto von Pawel Czerwinski auf Unsplash) Im Bereich der Mitarbeitervertretungen gilt das für fast alle Daten, die die MAV in ihren Unterlagen hat. Am Ende braucht es daher begründete Entscheidungen, was warum und wie lange aufbewahrt wird. Mit ein paar praktischen Überlegungen und guter Organisation ist das aber zu schaffen. **Inhalte** Verbergen 1 Speicherbegrenzung und ihre Umsetzung 2 Aufbewahrungsfristen in MAVO und MVG-EKD 2.1 Katholische Kirche – MAVO 2.2 Evangelische Kirche – MVG-EKD und Wahlordnung 3 Faustregeln für Aufbewahrungsfristen 4 Praktische Tipps 4.1 Umgang mit MAV-Unterlagen 4.2 Umgang mit elektronischer Kommunikation 4.3 Ausstattung des MAV-Büros 5 Fazit 6 Serie Datenschutz in der MAV ## Speicherbegrenzung und ihre Umsetzung Personenbezogene Daten müssen »in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist« (§ 5 Abs. 1 lit. e) KDG, sinngemäß § 5 Abs. 1 Nr. 5 DSG-EKD) – im Ergebnis bedeutet das eine Speicherbegrenzung und damit **definierte Aufbewahrungsfristen, nach denen eine Löschung** erfolgt. Für die Dauer dieser Fristen gibt es grundsätzlich drei Konstellationen: 1. **Gesetzliche Regelung:** Es ist explizit geregelt, wie lange Daten aufbewahrt werden müssen. 2. **Frist in der Natur der Sache:** Wenn der Zweck der Verarbeitung wegfällt, ist die Aufbewahrung nicht mehr erforderlich und damit nicht mehr zulässig. 3. **Abwägung:** Gibt es weder eine gesetzliche noch in der Natur der Sache liegende Löschfrist, müssen nachvollziehbare Kriterien selbst festgelegt werden. Eine gute Faustregel ist, sich entweder an Amtszeiten oder der allgemeinen gesetzlichen Verjährungsfrist zu orientieren. Ist die Aufbewahrungsfrist erreicht, müssen Daten sicher gelöscht werden – physische Daten durch Vernichtung, digitale Daten durch Löschung, beides mit Verfahren, die dem Stand der Technik und dem jeweiligen Risiko entsprechen. Unter Umständen kann statt einer Löschung auch die Übergabe an ein (offizielles) Archiv erfolgen, bisweilen ist die Anbietung an ein Archiv sogar Pflicht (»Archivierung als Löschsurrogat«). Datenschutzrecht betrifft nur personenbezogene Daten. Für Datenbestände, die keine personenbezogenen Daten enthalten, gibt es daher auch keine Speicherbegrenzung. ## Aufbewahrungsfristen in MAVO und MVG-EKD Die kirchlichen Mitarbeitendenvertretungsgesetze enthalten kaum Regelungen zu Aufbewahrungsfristen. Einige wenige Dinge sind aber doch geregelt. ### Katholische Kirche – MAVO * Eindeutig geregelt ist die Aufbewahrungsfrist für die gesamten **Wahlunterlagen zur MAV-Wahl**: Sie sind »für die Dauer der Amtszeit der gewählten Mitarbeitervertretung aufzubewahren« (§ 11 Abs. 8 MAVO). Sinnvoll ist daher eine Vernichtung der alten Wahlunterlagen, wenn der Wahlausschuss die Unterlagen zur aktuellen Wahl an die MAV übergibt. * **Protokolle der MAV-Sitzungen** sind in § 14 Abs. 6 MAVO geregelt. Die Anfertigung ist eine Pflicht, die die MAV zu erfüllen hat. Daher ist eine Aufbewahrung zumindest über die gesamte laufende Amtszeit erforderlich, damit die MAV ihre Pflichterfüllung nachweisen kann (und auf die Protokolle zurückgreifen kann). Nicht geregelt ist, wie lange darüber hinaus die Protokolle aufbewahrt werden dürfen oder müssen. * **Dienstvereinbarungen** sind gemäß § 38 Abs. 4 MAVO schriftlich niederzulegen und von beiden Seiten zu unterzeichnen. Sie dürfen und müssen so lange aufbewahrt werden, wie sie gelten. ### Evangelische Kirche – MVG-EKD und Wahlordnung * Das MVG-EKD regelt den **Umgang mit MAV-Unterlagen**, die einzelne MAV-Mitglieder in dieser Funktion erhalten und in ihrem Besitz haben. Wenn die Mitgliedschaft in der MAV endet, müssen sie an die MAV übergeben werden, bei einer Einer-MAV an die neue MAV (§ 18 Abs. 5 MVG-EKD). Diese Regelung gilt für alle Unterlagen, nicht nur solche, die personenbezogene Daten enthalten. * Für **Protokolle von MAV-Sitzungen** (§ 27 Abs. 1 MVG-EKD) gilt dasselbe wie nach MAVO hinsichtlihc der Aufbewahrungsfristen: Festgelegt ist keine, mindestens für die laufende Amtszeit sind sie aufzubewahren, darüber hinaus ist nichts festgelegt. * **Dienstvereinbarungen** (§ 36 MVG-EKD) sind (auch wie nach MAVO) so lange aufzubewahren, wie sie gelten. * Für **Wahlunterlagen zur MAV-Wahl** legt § 13 Wahlordnung eine Aufbewahrungsfrist von fünf Jahren fest, also ein Jahr länger als die reguläre Amtszeit der MAV. Am ersten Jahrestag der Wahl muss die MAV daher die Wahlunterlagen zur Wahl ihres Vorgängergremiums vernichten. ## Faustregeln für Aufbewahrungsfristen Der Blick in die Gesetze zeigt, dass für die meisten Unterlagen der MAV keine festen Aufbewahrungsfristen vorliegen – insbesondere der Umgang mit Protokollen ist anspruchsvoll, weil sie eine unterschiedliche Arten personenbezogener Daten enthalten: Jedes Protokoll enthält die Namen der MAV-Mitglieder, dazu kommen Namen von Beschäftigten, deren Fälle (z. B. hinsichtlich der Mitbestimmung in Personalangelegenheiten) behandelt werden. Als Grundsatz für die Aufbewahrung sollte gelten, dass alle Unterlagen **so lange aufbewahrt werden, wie ihr Inhalt rechtlich bedeutend** ist. Da Protokolle zu führen eine gesetzliche Pflicht ist, die die jeweilige MAV erfüllen muss, ist eine Aufbewahrung in der laufenden Amtszeit immer unproblematisch. Darüber hinaus sollten folgende Erwägungen gelten: * Dauerhaft aufbewahrt wird, was **dauerhaft Geltung** hat – das sind insbesondere Dienstvereinbarungen und die Protokolle, die dokumentieren, dass sie gemäß dem vorgeschriebenen Verfahren verabschiedet wurden. Eine Löschung erfolgt erst dann, wenn alle daraus erwachsenden Ansprüche erledigt sind. * Alles, was **finanzielle Relevanz** hat, also etwa zum Nachweis von Kostenansprüchen der MAV-Arbeit dient, sollte gemäß der allgemeinen Verjährungsfrist aus § 195 BGB drei Jahre aufbewahrt werden. * **Unterlagen zu einzelnen Maßnahmen** (z. B. zur Beteiligung an BEM-Verfahren) sind in der Regel nach Erledigung der Maßnahme zu löschen. * Unterlagen, die in einem **laufenden oder abzusehenden Rechtsstreit** relevant sind, werden aufbewahrt, so lange der Rechtsstreit oder -anspruch nicht endgültig erledigt ist. Besonders lange ist die Verjährungsfrist für rechtskräftig festgestellte Ansprüche und Ansprüche aus vollstreckbaren Vergleichen oder vollstreckbaren Urkunden, nämlich 30 Jahre (§ 197 BGB), also auch für arbeitsgerichtliche Beschlüsse und Vergleiche. * Die **Aufbewahrung der Protokolle der jeweils vorigen Amtszeit** dürfte zur Sicherung der Kontinuität der Arbeit unproblematisch sein. ## Praktische Tipps ### Umgang mit MAV-Unterlagen * Es empfiehlt sich, eine **strukturierte Ablage** einzuführen, in der bereits beim Anlegen von Unterlagen danach sortiert wird, wie lange die Daten aufbewahrt werden müssen. Das bedeutet insbesondere, dass ein eigener Ordner für Dienstvereinbarungen angelegt wird, in dem alle Dienstvereinbarungen mit allen nötigen Dokumenten abgelegt werden. * Eine **Wissenssammlung** kann ohne personenbezogene Daten dauerhaft vorgehalten werden; treten Fälle auf, die beispielhaft sind und die dokumentiert werden sollen, können sie in dieser Wissenssammlung anonymisiert festgehalten werden. * **Protokolle** sollten möglichst datensparsam formuliert werden. Namen und andere personenbezogene Daten sollten nur aufgenommen werden, wenn das wirklich erforderlich ist. Regelmäßig nicht erforderlich sind beispielsweise die Namen von Beschäftigten, die Anliegen an die MAV herangetragen haben. Hier genügt es, wenn allgemein formuliert wird. (»Eine Kollegin hat die MAV auf eine willkürliche Genehmigung von Fortbildungsanträgen hingewiesen.«) Ebenfalls nicht erforderlich sind Verlaufsprotokolle mit Benennung der einzelnen Redner*innen. Wenn es für einen Vorgang relevant scheint, den Verlauf in der Sitzung zu dokumentieren, können die Argumente ohne Zuordnung zu Sprecher*innen aufgeschrieben werden. * In Einrichtungen, die dem jeweiligen kirchlichen **Archivrecht** unterliegen, dürfte regelmäßig eine Anbietungspflicht vor der Löschung bestehen. Hier sollte Kontakt zum Archiv aufgenommen werden, bevor Daten erstmals gelöscht werden. Ziel ist, mit dem Archiv eine allgemeine Regelung zu finden, ohne ständig anbieten zu müssen. ### Umgang mit elektronischer Kommunikation * Besonders anspruchsvoll sind **Löschfristen bei Chats und E-Mail-Konversationen**. Hier empfiehlt es sich, in der Geschäftsordnung eine pauschale Löschfrist festzulegen (die teilweise auch automatisiert ausgeführt werden kann), verbunden mit der Bestimmung, dass relevante Inhalte aus Chats und E-Mail-Konversationen im nächsten regulären MAV-Sitzungsprotokoll festgehalten werden (also analog zu Umlaufbeschlüssen). * Problematisch ist auch der Kontrollverlust, der mit **über E-Mail versandten Anhängen** einhergeht. Hier ist es sinnvoll, statt eines Anhangs eine Dateifreigabe zu verschicken, die auf die berechtigten Empfänger*innen beschränkt ist und mit einer festgelegten Frist für den Zugriff versehen ist. ### Ausstattung des MAV-Büros * Jede MAV sollte im Büro einen **Aktenvernichter** oder eine eigene **Datentonne** haben, mindestens aber unproblematische persönlich darauf Zugriff haben. (»Persönlich« heißt: Selbst vernichten statt jemandem zur Vernichtung übergeben.) * Hat die MAV keinen eigenen **Drucker** , muss sichergestellt sein, dass Ausdrucke nicht unbeaufsichtigt im Gemeinschaftsdrucker liegen (in der Regel durch eine PIN oder ein Token, die den Druck erst dann autorisieren und starten, wenn man am Drucker steht). * Neu gewählten MAV-Mitgliedern kann man einen **ansprechend gestalteten (physischen) MAV-Ordner** geben, der Datenschutzhinweise enthält und beim Ausscheiden inklusive der darin abgehefteten Unterlagen wieder abgegeben wird. ## Fazit Löschkonzepte sind der Endgegner – kaum eine verantwortliche Stelle hat ein Löschkonzept, das wirklich gut funktioniert und durchgehalten wird. Dennoch sollte man vor diesem Endgegner nicht kapitulieren – schon aus ganz praktischen Gründen: Daten, die man nicht oder nicht mehr hat, kann man auch nicht verlieren. Die vielen Hinweise in diesem Ratgeber wirken möglicherweise übertrieben und aufwendig – wenn man die Sache aber Schritt für Schritt angeht, etwa beim nächsten Protokoll anfängt, auf Datensparsamkeit zu achten, bei der nächsten Dienstvereinbarung gleich einen Ordner anlegt, dann wächst das Datenschutzmanagement langsam, aber sicher. # Serie Datenschutz in der MAV * Datenschutzkonzept der MAV – so geht’s * Datenschutz und Mitbestimmung – welche Rechte hat die MAV? * Haben MAVen ein datenschutzrechtliches Beschwerderecht? * Betriebliche Datenschutzbeauftragte und MAV-Mitglied – geht das? * Aufbewahrungsfristen und Löschkonzept für die MAV * Beschäftigtendatenschutz in KDG und DSG-EKD * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Löschen ist der Endgegner im Datenschutz – auch bei Mitarbeitendenvertretungen. Ansätze und Ideen für ein Löschkonzept der MAV habe ich hier gesammelt:

artikel91.eu/2026/02/25/aufbewahrungs...

#TeamDatenschutz

In Argentinien haben ein Transmann und eine Transfrau katholisch geheiratet. Die Ehe wurde prompt vom Erzbischof für nichtig erklärt.

Warum das zwar höchstwahrscheinlich kirchenrechtlich nicht sauber ablief und warum die beiden Liebenden trotzdem keine große Hoffnug auf eine kirchliche Ehe […]

In Salzburg gibt's eine gute Vorlage für KI-Richtlinien, und von den Methodisten kann man Datenschutzmanagementmethoden lernen.

🇦🇹 Salzburger KI-Richtlinie
📋 Datenschutz-Check der Methodist*innen
🇱🇮 Doch Aktenweitergabe in Vaduz […]

Neues KDG tritt in Kraft – das ist zu tun Am ersten März treten das neue Gesetz über den kirchlichen Datenschutz und die neue KDG-Durchführungsverordnung in Kraft. Die gute Nachricht: So vieles ändert sich nicht – und das meiste, was sich ändert, erleichtert das Leben eher. (Foto von Anton Savinov auf Unsplash) Dennoch gibt es einige Punkte, die man im eigenen Datenschutzmanagement beachten sollte, damit der Umstieg auf die neue Rechtslage gelingt. Wichtig vor allem: Von den wenigen Änderungen im KDG sollte man sich nicht täuschen lassen – die Arbeit steckt in der Durchführungsverordnung. **Inhalte** Verbergen 1 Rechtsquellen und Analysen 2 Neue Regeln für Ehrenamtliche 3 Sensibilisierung und Schulung 4 Anpassungsbedarf bei Rechtsgrundlagen 5 Betriebliche Datenschutzbeauftragte 6 Technische und organisatorische Maßnahmen 7 Dokumentationspflichten 8 Fazit ## Rechtsquellen und Analysen Einen detaillierten Überblick über das neue KDG habe ich bereits im vergangenen Jahr veröffentlicht. Bei der KDG-DVO kann ich neben meinem Überblick den von Actago empfehlen. Der aktuelle Text des neuen KDG und der Durchführungsverordnung zum KDG ist als Mustertext (nicht amtliche Fassung) hier abrufbar: * Gesetz über den Kirchlichen Datenschutz (KDG) in der Fassung des Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 20. November 2017, geändert durch Beschluss der Vollversammlung des Verbandes der Diözesen Deutschlands vom 24. November 2025 (korrigierte Fassung) * Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) in der Fassung des Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 19. November 2018, geändert durch Beschluss der Vollversammlung des Verbandes der Diözesen Deutschlands vom 24. November 2025 ## Neue Regeln für Ehrenamtliche An einigen Stellen wurde der Umgang mit Ehrenamtlichen neu geregelt, die personenbezogene Daten verarbeiten. Im Idealfall ändert sich im Datenschutzmanagent dadurch nichts, weil es bisher schon sinnvoll war, so vorzugehen, wie es jetzt in den Normen steht. Folgendes ist zu beachten: * Ehrenamtliche sind nun wie Beschäftigte auf das **Datengeheimnis zu verpflichten** (§ 5 Abs. 2 KDG) – das stellt aber nur im Gesetz klar, was auch in der alten Durchführungsverordnung so geregelt war. * Weiterhin keine gute Lösung gibt es dafür, dass viele Ehrenamtlichen keine dienstlichen Geräte gestellt bekommen und daher private Systeme verwenden – die Verwendung der Formulierung »Mitarbeitende« in § 21 KDG-DVO macht aber klar, dass für diese Verarbeitungssituation alles erfüllt werden muss, was bisher schon bei der **Nutzung privater IT** durch Beschäftigte gilt. * § 21 Abs. 4 KDG-DVO verbietet nun grundsätzlich jede **Weiterleitung personenbezogener Daten an private Mail-Konten** , nicht nur die automatisierte. Es können zwar Ausnahmen festgelegt werden – die einzige wirklich tragfähige Lösung ist aber, Ehrenamtlichen dienstliche E-Mail-Konten zur Verfügung zu stellen. ## Sensibilisierung und Schulung * Bei **langjährigen Beschäftigten** kann eine erneute Verpflichtung aufs Datengeheimnis erforderlich sein: Die Übergangsregelung in § 3 Abs. 3 KDG-DVO, dass Verpflichtungen nach der alten KDO weiter gelten, findet sich in der neuen KDG-DVO nicht mehr. * Der neue § 2 Abs. 7 KDG-DVO legt fest, dass Mitarbeitende regelmäßig zu **schulen** sind, zusätzlich zur bereits vorher bestehenden Informations- und Belehrungspflicht über Datenschutzregelungen. Schulungen sind weiter zu verstehen als die auf die Gesetzeslage und das jeweilige Einsatzfeld beschränkte Information und Belehrung. ## Anpassungsbedarf bei Rechtsgrundlagen * **Einwilligungen** werden einfacher: Schriftform ist nicht mehr der Normalfall. Hier können gegebenenfalls Einwilligungsprozesse erleichtert werden. (§ 8 Abs. 1 KDG) – unter der Maßgabe, dass Einwilligungen weiterhin nachweisbar sein müssen. * §§ 9 und 10 zur **Offenlegung** fallen weg. Falls Prozesse bestehen, die sich auf diese Normen stützten, müssen sie jetzt mit dem Instrumentarium der allgemeinen Rechtsgrundlagen und der Zweckänderung abgebildet werden, gegebenenfalls auch mit Spezialgesetzen wie im Bereich der Datenverwendung zur Aufarbeitung. * § 52a KDG stellt nun eine ausdrückliche Rechtsgrundlage für **Streaming von kirchlichen Veranstaltungen** zur Verfügung – ein Segen vor allem für Pfarreien, die Gottesdienste streamen, da sie sich bisher nicht auf das berechtigte Interesse als Rechtsgrundlage berufen konnten. In jedem Fall ist beim Streaming zu überprüfen, ob die in der Norm vorgesehenen Schutzmaßnahmen erfüllt werde (hinreichende Information, Berücksichtigung schutzwürdiger Interessen und Ausweisung übertragungsfreier Bereiche). ## Betriebliche Datenschutzbeauftragte * Wie im BDSG müssen betriebliche Datenschutzbeauftragte jetzt **erst ab 20** , nicht schon ab 10 mit der Datenverarbeitung betrauten Personen bestellt werden (§ 36 Abs. 2 lit. a) KDG). * Gemäß den Übergangsbestimmungen (§ 57 KDG) bleiben **bestehende Bestellungen von betrieblichen Datenschutzbeauftragten** bestehen, »soweit hierbei die Regelungen der §§ 36 ff. Beachtung finden« – zu diesen Regelungen gehört der Schwellwert; eine Bestellung in Einrichtungen mit weniger als 20 relevanten Personen dürfte also wegfallen. Der nachlaufende Kündigungsschutz gemäß § 37 Abs. 4 KDG bleibt aber erhalten, wenn man unter der »Abberufung« auch eine Amtserledigung durch die neue Rechtslage versteht. Das ist plausibel, weil es keine Abberufung im eigentlichen Sinne gibt, sondern lediglich das Ende der Amtszeit oder die Kündigung aus wichtigem Grund. * § 36 Abs. 5 KDG stellt klar, dass auch **juristische Person zu betrieblichen Datenschutzbeauftragten** benannt werden können. Das ist interessant für alle, die bisher natürliche Personen bei externen Dienstleistern bestellt hatten; nun ist es möglich, die Dienstleistungsgesellschaft direkt zu bestellen. ## Technische und organisatorische Maßnahmen In der KDG-DVO gibt es einige Änderungen, die im wesentlichen aber Vorgaben technikoffener formulieren und Standards aus dem weltlichen Datenschutzmanagement und der IT-Sicherheit übernehmen und kompatibler machen. Die Nutzung von cloudbasierten Systemen und die zunehmende Bedeutung mobiler Arbeit spiegelt sich nun auch wieder. * § 4 Abs. 1 KDG-DVO fasst den **Begriff der IT-Systeme** weiter. »sämtliche technischen Einrichtungen, mittels derer personenbezogene Daten automatisiert verarbeitet werden«, erfasst eindeutig auch cloudbasierte Systeme und Dienste, anders als das engere »alle elektronischen Geräte und Softwarelösungen«, das bisher verwendet wurde. * § 6 zu den ToMs verweist nun unter anderem bei **Verschlüsselung** auf den Stand der Technik; vorher sollten aber schon »geeignete« Maßnahmen ergriffen werden, was wohl auch schon eine Berücksichtigung des Stands der Technik beinhaltete. * Neu in § 6 Abs. 2 lit. b) KDG-DVO ist die ausdrückliche Vorgabe, zum Schutz personenbezogener Daten und zur **Vermeidung von Identitätsdiebstahl** geeignete ToMs nach dem jeweiligen Stand der Technik zu ergreifen. Zuvor war dort nur Zugangskontrolle geregelt * Etwas misslich war im alten § 7 Abs. 2 KDG-DVO der Verweis lediglich auf **anerkannte Zertifikate** gemäß § 26 Abs. 4 KDG, also eines nach dem EU-Recht zertifizierten Verfahrens – so viele davon gibt es nicht. Das ist weiterhin möglich, die Verfahren müssen sich aber an BSI-Veröffentlichungen orientieren. (Ob das den Kreis der Zertifizierungen erhöht?) Erleichtert wird der Nachweis nun aber, da auch eine Orientierung an anderen Regelungen zulässig ist, »die einen vergleichbaren Schutzstandard gewährleisten (insbesondere ISO/IEC27001)«. * **Zwei-Faktor-Authentifizierung** (§ 11 Abs. 2 lit. b)) ist jetzt schon in Schutzklasse 1 bei Zugriffen von außerhalb oder in sicherheitskritischen Bereichen erforderlich – wo mobil gearbeitet wird also wohl immer. * Für **Cloud-Systeme** gibt es mit § 18 KDG-DVO sehr klare Vorgaben, die insbesondere die Verfügbarkeit absichern sollen. Ein gutes Datenschutzmanagement berücksichtigt diese Kriterien wohl jetzt schon. Wichtig und neu ist vor allem die klare Vorgabe, eine Exit-Strategie vorzuhalten. * Nicht mehr nur die automatisierte Weiterleitung von Mails an private Accounts, sondern grundsätzlich jede Weiterleitung ist unzulässig (§ 21 Abs. 4 KDG-DVO), Ausnahmeregelungen sind aber möglich. * Bei der **dienstlichen Nutzung von privaten Systemen** muss ein Zugriff von Dritten unterbunden werden (§ 21 Abs. 5 KDG-DVO). Will man das nicht allein mit organisatorischen Ansagen lösen, braucht es wohl Terminal-Lösungen und ähnliches. * Eine große Erleichterung ist der **Wegfall des Verbots der Auftragsverarbeitung in Drittstaaten ohne Angemessenheitsbeschluss** in § 29 Abs. 11 KDG. Das dürfte einige schon bestehende Auftragsverarbeitungen legalisieren. Weggefallen ist auch § 29 Abs. 12 KDG zur analogen Anwendung auf **Fernwartung** ; hier ist individuell zu prüfen, ob tatsächlich eine Auftragsverarbeitung vorliegt. * Das **Verbot der Übermittlung von personenbezogenen Daten per Fax** in § 25 KDG-DVO ist entweder problemlos umzusetzen oder eine große Herausforderung: Vor allem in der Behördenkommunikation gibt es oft keine andere Wahl, als das Fax zu verwenden. Immerhin können Ausnahmen, »insbesondere Übergangsbestimmungen«, für das Fax-Verbot festgelegt werden. Die wohl häufigste Übergangsbestimmung dürfte mit »Solange die Behörde XY noch auf Fax besteht« beginnen. ## Dokumentationspflichten * Beim **Verarbeitungsverzeichnis** sind nun gemäß § 1 Abs. 3 KDG-DVO: Überprüfung _und_ Aktualisierung regelmäßig zu dokumentieren, zuvor war nur die Überprüfung zu dokumentieren. * So nützlich der neue § 18 KDG-DVO zu Cloud-Systemen auch ist: Dummerweise kommen danach noch zehn Paragraphen, so dass sich **alle Nummern ab 18 (alt) um eins erhöhen** – das muss in der Dokumentation stupide nachgetragen werden. ## Fazit Der Umstieg aufs novellierte katholische Datenschutzrecht sollte in der Regel recht reibungslos gelingen – jedenfalls da, wo schon ein gutes Datenschutzmanagement besteht und wo Lücken in der KDG-DVO etwa zu mobiler Arbeit und Clouddiensten mit gesundem Menschenverstand und mit Blick auf den Stand der Technik geschlossen wurden. Was anspruchsvoll bleibt, ist die Umsetzung der KDG-DVO in ehrenamtlichen Kontexten. Hier hat die neue Fassung engere Grenzen gezogen, so dass man sich jetzt nicht mehr so leicht in Lücken und Interpretationsspielräumen verstecken kann. * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

In anderthalb Wochen tritt die katholische Datenschutzreform in Kraft. Jetzt wäre ein guter Zeitpunkt, sich schonmal drauf vorzubereiten. Zum Beispiel so:

artikel91.eu/2026/02/18/neues-kdg-tri...

#TeamDatenschutz

Ironisch, am Ende ausgerechnet von Schulte anzuführen, wenn's um die Frage nach mit Notstandssituationen begründeten Bischofsweihen ohne päpstliches Mandat geht.

Aufsicht am Ende – Wochenrückblick KW 7/2026 _**Abonnent*innen des Artikel-91-Newsletters haben den Wochenrückblick und exklusive Newsletter-Inhalte schon vor Veröffentlichung im Blog erhalten –hier geht’s zur Newsletter-Anmeldung.**_ **_Über den Newsletter gibt es außerdem Zugang zur Artikel-91-Signal-Gruppe und zu den digitalen Datenschutz-Stammtischen._** (Bildquelle: ali syaaban on Unsplash) **Inhalte** Verbergen 1 Die Woche im kirchlichen Datenschutz 1.1 Weniger spezifische Aufsichten 1.2 Medienbuddies 1.3 Nicht alle Rechtswege führen nach Rom 1.4 In eigener Sache 2 Auf Artikel 91 3 Aus der Welt 4 Kirchenamtliches ## Die Woche im kirchlichen Datenschutz ### Weniger spezifische Aufsichten Der erste Tätigkeitsbericht für 2025, der des NDR-Rundfunkdatenschutzbeauftragten, ist zugleich der letzte seiner Art: Einen Rundfunkdatenschutzbeauftragten des NDR wie anderer einzelner Anstalten wird es künftig nicht mehr geben, der »Reformstaatsvertrag« sieht stattdessen einen »Gemeinsamen Rundfunkbeauftragten für den Datenschutz« vor, der für die ARD, das ZDF und das Deutschlandradio zuständig ist. Damit gibt es dann nur noch zwei spezifische Aufsichten von Medien nach Art. 85 DSGVO; die Deutsche Welle hat weiterhin eine eigene Aufsicht. Die Zukunft der Rundfunkdatenschutzkonferenz steht daher in Frage, die dann nur noch aus zwei Mitgliedern bestünde, wie der NDR-Rundfunkdatenschutzbeauftragte in seinem Bericht schreibt. Die RDSK gehörte immer zu den deutlichsten Stimmen, die eine stärkere Beteiligung der spezifischen Aufsichten an der Datenschutzkonferenz forderten – auch im letzten NDR-Tätigkeitsbericht ist das kurz Thema: > »Die Mitglieder der RDSK und der Kirchen betonen in diesem Zusammenhang regelmäßig, dass der Gaststatus zwecks Informationstransfers zwar begrüßenswert ist, jedoch eine Zusammenarbeit auf „Augenhöhe“ noch nicht erreicht sei, weil es an einer engeren Anbindung fehle.« ### Medienbuddies »Medienbuddies – Spielerisch stark in Netz und Gesellschaft« heißt ein medienpädagogisches Projekt, das vom katholischen Ludwig-Windthorst-Haus Lingen und dem Bundesjugendministerium getragen wird. Ziel ist, mit den Jugendlichen auf einen verantwortungsvollen Umgang mit Medien hinzuarbeiten: »Spielerische Methoden, unterhaltsame Infobits und thematisch passende Energizer befähigen junge Menschen, Onlineinhalte kritisch zu hinterfragen, Risiken zu erkennen und sich für ein faires und respektvolles Online-Umfeld einzusetzen.« Dazu werden Siebt- und Achtklässler*innen zu Multiplikator*innen ausgebildet. Ein Thema dabei ist Datenschutz – die Unterlagen dazu (Hintergründe, Methoden und detaillierte Ablaufpläne) sind online unter einer CC-Lizenz veröffentlicht. ### Nicht alle Rechtswege führen nach Rom »Dr. Datenschutz« hat sich das für Datenschutzverfahren relevante Prozessrecht der großen Kirchen angeschaut. Mich hat das zu motiviert, den Stand bei den kleineren Gemeinschaften herauszufinden. Zum katholischen Datenschutzrecht wird im ursprünglichen Artikel folgende Feststellung getroffen: »Teilweise wird noch der Apostolische Stuhl als dritte Instanz betrachtet, denn in der katholischen Kirche führen alle Wege nach Rom.« Das ist grundsätzlich korrekt: Die Position, dass Entscheidungen des Datenschutzgerichts der Deutschen Bischofskonferenz, der zweiten Instanz, vor die Kirchengerichte im Vatikan weiter getragen weden, wird vertreten. Es gibt aber auch Indizien, die dagegen sprechen: Genau dieser Fall war nämlich für den Kirchlichen Arbeitsgerichtshof, also die letzte Instanz der katholischen Arbeitsgerichtsbarkeit in Deutschland, zu klären. Hier stellte die Apostolische Signatur, das höchste Kirchengericht, fest, dass im Fall von mit päpstlichem Mandat beschlossenen Gerichtsordnungen – wie es die KAGO fürs Arbeitsrecht und die KDSGO fürs Datenschutzrecht sind – der dort festgehaltene Rechtsweg abschließend ist. Eine reguläre höhere Instanz in Rom gibt es also nicht. Was jedoch immer offensteht, ist der Appell direkt an den Papst, der an keine Verfahrensordnungen gebunden ist. Da führen dann tatsächlich alle Wege nach Rom. ### In eigener Sache * Beim Könzgenhaus im Bistum Münster biete ich einen **Kurs für die Mitglieder (katholischer) MAVen** an: Datenschutz für die MAV, 4.–6. März 2026, 695 Euro. ## Auf Artikel 91 * Rechtsbehelfe im Datenschutz der kleineren Religionsgemeinschaften ## Aus der Welt * Vom DSG-DBK kommt die unselige Formulierung, dass das **Löschen von Daten** kein **Datenschutzverstoß** sein kann, »weil durch Löschung der datenschutzrechtlich rechtfertigungsbedürftige Persönlichkeitseingriff ja gerade beendet wird«. Den gegenteilige Fall eines Datenschutzverstoß durch unrechtmäßige Löschung sieht man relativ selten. In Spanien wurde in so einem Fall nun ein Bußgeld gegen ein Krankenhaus in Höhe von 1,2 Millionen Euro verhängt: Das Krankenhaus hatte MRT-Bilder gelöscht, die eigentlich in die Krankenakte gehören, und außerdem vom Patienten auf CD übergebene alte Bilder verloren. (Auf das Bußgeld wurde ich durch den aktuellen c’t-Auslegungssache-Podcast aufmerksam, wo es um Datenschutz als Wirtschaftsvorteil geht.) ## Kirchenamtliches **Diözese Linz:** Videoüberwachungsordnung der Diözese Linz * teilen * teilen * teilen * teilen * teilen * teilen * teilen * E-Mail *

Es gibt deutlich weniger spezifische Datenschutzaufsichten – an den Kirchen liegt's nicht.

🔎 Weniger spezifische Aufsichten
👥 Medienbuddies
🏛️ Nicht alle Rechtswege führen nach Rom

artikel91.eu/2026/02/13/aufsicht-am-e...

#TeamDatenschutz

Die großen Kirchen haben Datenschutz- und Verwaltungsgerichte. Wo kommt aber der wirksame gerichtliche Rechtsbehelf bei den kleineren Gemeinschaften mit eigenem Datenschutzrecht her?

Ich hab mich tief in viele Eigenrechte reingekniet, um das rauszufinden […]

Ich habe mit dem DPSG-Bundesvorsitzenden Sebastian Becker über die Missbrauchsstudie geredet. Sieht er es auch so, dass sein Verband von sexualisierter Gewalt "durchsetzt" sei?

katholisch.de/artikel/67191-missbrauch...

Die DPSG hat Missbrauch im Verband aufarbeiten lassen. Die Ergebnisse sind erschreckend. Vieles, was die Pfadfinderei stark macht, ist zugleich ein Risikofaktor.

Meine Analyse der Aufarbeitungsstudie […]