loading . . . Alles neu in Nürnberg – Tätigkeitsbericht 2023/2024 des KDSZ Bayern Der bayerische Diözesandatenschutzbeauftragte hatte in den vergangenen fast zwei Jahren viel zu tun: Aus einer ambulanten Zwei-Personen-Aufsicht wurde das KDSZ Bayern mit eigener Geschäftsstelle und nennenswertem Personal – dazu kamen selbstgestellte Aufgaben wie der Betrieb verschiedener Instanzen für Fediverse-Dienste.
Auch wenn’s der erste Tätigkeitsbericht des KDSZ Bayern ist, stellt die Numerierung Kontinuität mit den vier vorangegangenen der Gemeinsamen Datenschutzaufsicht der bayerischen Diözesen her.
Jetzt liegt der erste Tätigkeitsbericht in der neuen Struktur vor. Der Diözesandatenschutzbeauftragte Dominikus Zettl legt einen Bericht vor, aus dem man viel über die von Anfang an datenschutzrechtlich reflektierte Gestaltung von Strukturen lernen kann.
_(Der Tätigkeitsbericht ist noch nicht online veröffentlicht; die Besprechung erfolgt auf Grundlage der letzten Fassung, die das KDSZ Bayern mir freundlicherweise vorab zur Verfügung gestellt hat.)_
**Inhalte** Verbergen
1 Struktur der Aufsicht
1.1 Errichtung der Aufsicht
1.2 Ausstattung und Infrastruktur
1.3 Außendarstellung und Kommunikation
2 Entwicklungen im Datenschutzrecht
2.1 Kirchliches Recht
2.2 Rechtsprechung
3 Inhaltliche Schwerpunkte
3.1 Künstliche Intelligenz
3.2 Social Media
4 Aufsichtstätigkeit
4.1 Zahlen
4.2 Fälle
4.3 Prüfungen
5 Fazit
6 Bisher besprochene Tätigkeitsberichte des bayerischen DDSB
## Struktur der Aufsicht
### Errichtung der Aufsicht
Das KDSZ Bayern wurde am 1. März 2023 gegründet, am 1. April 2023 trat Dominikus Zettl die Leitung an. Sitz ist Nürnberg (im Bamberger Teil der Stadt). Anders als im Norden scheint die Errichtung als Körperschaft des öffentlichen Rechts reibungslos vonstatten gegangen zu sein. Im März 2024 war die Sollstärke von fünf Personen erreicht (Leitung, Stellvertretung, zwei IT-Referent*innen, Assistenz).
Erstmals wird auch das neue Siegel der Aufsicht vorgestellt: Wie schon in Dortmund wird der hl. Ivo von Kermartin als Schutzpatron herangezogen, hier in einer vom Bamberger Archivdirektor Andreas Hölscher mitgestalteten Fassung.
Zwei Interpretationen des hl. Ivo in den Siegeln des KDSZ Bayern und des KDSZ Dortmund. Das von Christoph Stiegemann gestaltete Dortmunder Siegel greift das berühmte Portrait Ivos des niederländischen Malers Rogier van der Weyden aus dem 15. Jahrhundert auf. Dasselbe Vorbild scheint auch im Nürnberger Siegel auf, aber mit reduzierterer, klarer Linienführung und einer Grotesk statt einer Serifenschrift. (Bildquelle: KDSZ Bayern; Amtsblatt Erzbistum Paderborn)
Ein schöner Zug ist die Würdigung des Vorgängers Jupp Joachimski im Bericht, der von 2007 bis 2023 bayerischer Diözesandatenschutzbeauftragter war.
### Ausstattung und Infrastruktur
Die verwendeten **Haushaltsmittel** werden im Bericht ausgewiesen: 2023 waren es 165.448,15 Euro, 2024 469.356,12 Euro. Der Diözesandatenschutzbeauftragte stellt die Frage, ob sie zur Erfüllung der gesetzlichen Aufgaben ausreichend sind. Ungewöhnlich für eine Behörde sind Überlegungen, ob es die eigene Behörde zwingend so braucht, wie sie ist:
> »Mit Blick auf die Zentralisierung der Datenschutzaufsicht der Evangelischen Kirche und den Bestrebungen der Bundesregierung, die Datenschutzaufsicht für die Wirtschaftsunternehmen zu bündeln, ist auch im katholischen Bereich zu prüfen, ob und welche Konsolidierungen zukünftig erforderlich werden.«
Ausführlich geht der Bericht auf die **IT-Infrastruktur** der Behörde ein. Nach eigener Aussage einmalig unter den katholischen Aufsichten ist der Fokus auf freie Software: »auf den Dienstrechnern ist das freie Betriebssystem Linux installiert, unter dem alle erforderlichen Softwarepakete laufen, von der Bürosoftware bis hin zur Buchhaltung zur Erstellung der Bilanz«. Bei Clouddiensten sei auf deutsche oder europäische Auftragsverarbeiter geachtet worden. Das KDSZ sieht sich damit in einer »Vorreiterrolle bei der digitalen Souveränität in Deutschland« und hofft auf dauerhafte finanzielle Einsparungen und eine höhere IT-Sicherheit.
Ganz oben im Haus der katholischen Stadtkirche Nürnberg sitzt das KDSZ Bayern – in der ehemaligen Hausmeisterwohnung, wie man im Bericht erfährt. (Foto: Felix Neumann)
### Außendarstellung und Kommunikation
Was noch fehlt, ist eine neue Webseite; während die Aufsicht aus dem Münchener Ordinariat ausgezogen ist, ist ihre Webpräsenz noch auf der Seite der Erzdiözese zu Gast. Im 4. Quartal 2025 soll der Umzug vollzogen sein. Über den Prozess hin zur neuen Webseite erfährt man einiges – auch mit Blick auf das Projekt, möglichst wenige Daten zu erheben: »Die Erstellung verfolgte das hehre Ziel, dass eine leere „Datenschutzerklärung“ und ein nicht vorhandenes „Cookie-Banner“ das beste wäre, da beim Aufruf keinerlei Informationen über den Besucher im Hintergrund gesammelt werden.«
Ausführlich geht der Bericht auf die Gestaltung der Formulare ein, mit denen Datenpannen und die Bestellung von bDSB gemeldet und Beschwerden und Kontrollanregungen eingereicht werden können. Gutes Formulardesign, das die nötigen Daten erhebt und nicht mehr, ist eine Kunst. Mit dem Einblick, wie die Aufsicht hier vorgeht, inklusive Erfahrungen mit Möglichkeiten und Grenzen von Automatisierung, kann man für die eigene Gestaltung einiges mitnehmen.
## Entwicklungen im Datenschutzrecht
### Kirchliches Recht
Im kirchlichen Bereich werden die Meldestellen nach dem Hinweisgeberschutzgesetz in den Diözesen erwähnt, die Regelungen zur Veröffentlichung von Jubiläen, die mittlerweile in fünf bayerischen Diözesen erlassenen §-29-Gesetze zur Auftragsverarbeitung (Bamberg und Regensburg planen demnach nach) sowie zwei Regelungen zu betrieblichen Datenschutzbeauftragten:
* **Bistum Regensburg:** Allgemeines Ausführungsdekret zum Vortragsrecht des betrieblichen Datenschutzbeauftragten
* **Bistum Augsburg** : Ausführungsverordnung zur Benennung des betrieblichen Datenschutzbeauftragten (KDG-AbbDSB)
Der Entwurf der **KDG -Novelle** wird als erhebliche Modernisierung des kirchlichen Datenschutzrechts gewürdigt. Als offene Punkte werden – wie hier auch regelmäßig – der organisatorische Anwendungsbereichs, die gemeinsame Verantwortlichkeit und die unklare Definition des kirchlichen Interesses als Rechtsgrundlage benannt. Zettl rechnet mit einem Inkrafttreten frühestens 2026.
Interessant ist, dass auch die **DSG- EKD-Novelle** besprochen wird. Die Erhöhung der Obergrenze für Bußgelder auf 6 Millionen Euro wird skeptisch gesehen angesichts der vielen kirchlichen Stellen, gegen die ohnehin kein Bußgeld verhängt werden kann.
### Rechtsprechung
Erwähnt wird die Entscheidung des EuGH (C-34/21 vom 30. März 2023), nach der der Passus im Hessischen Datenschutzgesetz zum Beschäftigtendatenschutz europarechtswidrig ist. Da dieser Passus § 26 BDSG entspricht und dem wiederum die Regelung im KDG nachgebildet ist, stellt sich die Frage, ob damit § 53 KDG auch europarechtswidrig ist. Leider enthält sich der Bericht einer Wertung; die KDSA Ost hatte vor einiger Zeit überzeugend dargelegt, warum § 53 KDG trotz der EuGH-Entscheidung angewendet werden kann.
In der Besprechung der EuGH-Entscheidung zu **mündlicher Datenverarbeitung** (C-740/22 vom 7. März 2024) wird § 53 KDG aber herangezogen und Absatz 3 erläutert:
> »Klarstellend wird hier darauf hingewiesen, dass im Beschäftigungsverhältnis jede mündliche Verarbeitung vom KDG erfasst wird, auch ohne Speicherung im Dateisystem (§ 53 KDG). Damit fallen im Beschäftigungsverhältnis nicht nur Telefonate oder Besprechungen in den Anwendungsbereich, sondern sogar personenbezogene Daten, die z. B. durch tatsächliches Handeln verarbeitet werden, etwa bei einer Schrankkontrolle.«
Auch im kirchlichen Bereich muss der Name von betrieblichen Datenschutzbeauftragten nicht genannt werden, stellt die Aufsicht mit Blick auf die Rechtsprechung des BGH (VI ZR 370/22 vom 14. Mai 2024) fest.
## Inhaltliche Schwerpunkte
### Künstliche Intelligenz
Nach einer allgemeinen Einführung in die Entwicklung Künstlicher Intelligenz und einem Überblick über kirchliche Positionen stellt der Diözesandatenschutzbeauftragte Gedanken zu einer Kirchen-KI vor:
> »Eine von Einrichtungen der katholischen Kirche beauftragte und nach Ihren Vorgaben ausgearbeitete künstliche Intelligenz, eine „Kirchen KI“, könnte ethische Maßstäbe und christliche Werte auf innovative Weise in digitalen Anwendungen integrieren.«
Zettl wirkt darauf hin, dass kirchliche Stellen zusammenwirken, um rechtskonforme Lösungen für KI zu entwickeln. Als Vorbild wird die KI-Pilotprojekte »LLMOIN« und »F13« in Hamburg und Baden-Württemberg genannt.
### Social Media
Als Dominikus Zettl am 1. April 2023 sein Amt angetreten hat, hatte er ein Geschenk seines Vorgängers bekommen: Das berüchtigte »bayerische **Facebook-Verbot** « sollte zu diesem Termin scharf geschaltet werden. Im Interview hatte Zettl hier die Befürchtungen abmildern können. Im Bericht erläutert der neue Diözesandatenschutzbeauftragte nun seinen Umgang damit:
> »Das KDSZ Bayern verfolgte im Berichtszeitraum die Taktik, den Einrichtungen die Präsenz in alternativen Kanälen näher zu bringen und auf die Gefahren und Nachteile der herkömmlichen Kanäle hinzuweisen.«
Das Engagement der Aufsicht fürs und im **Fediverse** kann also als Konsequenz daraus verstanden werden. Die erste Bilanz für die eigenen Fediverse-Dienste unter der Domain katholisch.social fällt positiv aus. Die Aufsicht selbst hat bislang 250 Follower: »Das hört sich mit Blick auf die Followerzahlen großer Accounts auf den marktbeherrschenden Plattformen wenig an. Allerdings erliegen viele Kanalbetreiber auf den etablierten Kanälen der sogenannten „Reichweitenlüge“.«
Ausführlich betrachtet wird **Bluesky** ; nach Auffassung der Aufsicht ist der Dienst datenschutzrechtlich wie Facebook zu bewerten, es liege eine gemeinsame Verantwortlichkeit vor. Angesichts der fehlenden Einsicht in Analysedaten bei Bluesky ist das so selbstverständlich nicht, dass hier die gleiche Bewertung erfolgen müsste. Die Analysedaten waren für den EuGH ein wesentliches Argument für die gemeinsame Verantwortlichkeit. Darauf geht die Aufsicht aber nicht ein.
Auch von **TikTok** rät die Aufsicht ab. Beklagt werden unter anderem unzureichende datenschutzrechtliche Transparenz, die unklaren Standorte der Verarbeitung und unklare Beziehungen und Datenflüsse zwischen TikTok und seiner Muttergesellschaft ByteDance sowie der chinesischen Regierung.
Trotz der sehr klaren Urteile gibt es im Abschnitt über TikTok nicht einfach nur eine Absage, sondern eine pragmatische Empfehlung: »In jedem Fall sollten alle Informationen, die über TikTok verbreitet werden, ebenfalls auf einem alternativen Kanal verfügbar sein, wie z.B. der Webseite oder im Fediverse (z.B. Mastodon).«
## Aufsichtstätigkeit
### Zahlen
Keine der katholischen Aufsichten nennt absolute Zahlen zur Aufsichtstätigkeit. Dabei bleibt auch das KDSZ Bayern. Eine Hintertür wird aber mit einer Formulierung offen gelassen: »Aussagekräftige Werte können aufgrund der Evaluation des Systems Mitte 2024 erst in zukünftigen Tätigkeitsberichten erfolgen.«
Die üblichen Entwicklungen werden trotz des Wechsels benannt. Die Zahl der gemeldeten **Datenschutzverletzungen** war 2023 auf dem Niveau der Vorjahre, verdoppelte sich aber 2024. Auch in Bayern lag das an der Datenpanne der Kita-App »Stay Informed«, und auch in Bayern geht es ansonsten hauptsächlich um Klassiker: »offene Mailverteiler, Versand von Briefpost an falsche Empfänger wegen Fehlern bei der Kuvertierung oder sonstige versehentliche Offenlegungen von personenbezogenen Daten«. Mitarbeiterexzesse seien sehr selten Ursachen gewesen. Beispiele dafür waren das Teilen sensibler Informationen in sozialen Medien oder die Nutzung von unsicheren Messengern auf privaten Endgeräte zu dienstlichen Zwecken. (Ein klassischer Mitarbeiterexzess ist dabei nur die erste Variante; wenn die privaten Messenger für dienstliche Zwecke genutzt werden, kommt ein Mitarbeiterexzess, also die Nutzung dienstlicher Daten zu eigenen Zwecken, eigentlich nicht in Frage.) IT-Vorfälle wurden durch Cyberangriffe verursacht, Gründe sieht die Aufsicht in falsch konfigurierten Servern im Internet und insbesondere fehlender Mehr-Faktor-Authentifizierung.
Bei den **Beschwerden** wird ein »rasanter« Anstieg festgestellt. »Dabei fiel auf, dass Datenschutz vor allem in familienrechtlichen und arbeitsrechtlichen Streitigkeiten relevant wird und dort durchaus auch instrumentalisiert wird.« Ansonsten waren nicht erfüllte Betroffenenrechte, insbesondere bei Auskunftsersuchen genannt.
Die wenigsten Verfahren konnten den Angaben zufolge innerhalb der grundsätzlich vorgesehenen **Dreimonatsfrist** abgeschlossen werden, die sich aus § 49 Abs. 1 KDG ergibt.
### Fälle
Kurios ist gleich der erste geschilderte Fall: Beschwerden über einen Antrag auf Durchführung eines Bürgerantrags nach der bayerischen Gemeindeordnung, aus dessen Veröffentlichung personenbezogene Daten hervorgehen. Schuld war hier nicht die Gemeinde, sondern eine kirchliche Einrichtung, auf deren Webseite der Antrag und weitere interne Dokumente abrufbar waren. Ursache war ein **falsch konfigurierter interner Bereich**. »Nur mit erheblichem Aufwand konnte in einer abenteuerlichen Aktion eine Löschung durchgeführt werden, da der physische Cache des Dateispeichers auf einem Server in einem Drittland nicht einmal für die eigenen Supportmitarbeitenden zugänglich war.«
Der zweite Fall betrifft eine **Hausverwaltung** (aufgrund der Zuständigkeit muss es eine kirchliche Stelle sein), die Kontaktdaten aller Mieter*innen und Dritter an alle Mieter*innen weitergegeben hat, um Absprachen anlässlich von Wartungsarbeiten zu erleichtern. »Die Hausverwaltung hielt dies für eine zulässige Verarbeitung und blieb während des Verfahrens der Ansicht.« Anderer Ansicht: die Aufsicht.
Zu klären war im Rahmen einer Beratung, wie **Verarbeitungsverzeichnisse bei Pfarreifusionen** geführt werden sollen. Angesichts einer entstehenden einheitlichen juristischen Person ist, wenig überraschend, ein zentrales Verarbeitungsverzeichnis nach Ansicht der Aufsicht angezeigt. »Dabei ist jedoch sicherzustellen, dass innerhalb des zentral geführten Verzeichnisses weiterhin nachvollziehbar bleibt, welche Verarbeitungstätigkeiten den ursprünglich eigenständig geführten Pfarreien zuzuordnen sind.«
### Prüfungen
Antrittsbesuchen in den bayerischen Ordinariaten wurden mit einem Kurzaudit zum Bewerbermanagement in den Personalabteilungen verbunden, um »exemplarisch die Prüfmethodik des KDSZ Bayern aufzuzeigen und zugleich zentrale datenschutzrechtliche Aspekte im Bewerbungsprozess, einschließlich Personalauswahl sowie On- und Offboarding von Mitarbeitenden, zu erörtern«.
## Fazit
Lange war die bayerische Datenschutzaufsicht das Sorgenkind der katholischen Datenschutzlandschaft – nur dem hohen persönlichen Engagement des vorherigen Diözesandatenschutzbeauftragten ist es zu verdanken, dass trotz mangelndem Personal und sehr geringer Ressourcen die Aufsicht arbeitsfähig war. Joachimski hat selbst diesen Missstand deutlich benannt. Die Tätigkeitsberichte dieser Ära waren immer ausgesprochen knapp.
Unter neuer Leitung und mit (etwas) mehr Personal scheint die bayerische Aufsicht auf einem guten Weg zu sein; der Tätigkeitsbericht entspricht nun formal und quantitativ dem der anderen katholischen Aufsichten.
Bemerkenswert sind die Akzente, die Dominikus Zettl als Diözesandatenschutzbeauftragter setzt: Vor allem das Engagement für freie Software und das Fediverse sind sehr verdienstvoll. Datenschutz anmahnen ist das eine. Meistens bleibt es dann aber dabei, dass Schadensbegrenzung in kommerziellen Infrastrukturen geübt wird. In Nürnberg geht die Aufsicht konsequent einen anderen Weg und stärkt freie und dezentrale Infrastrukturen. Der Tätigkeitsbericht schildert die Erfahrungen damit und ermöglicht so im Stil der Methode »Working out loud«, von den Erfahrungen der Aufsicht zu lernen. Hoffentlich strahlt das auf andere kirchliche Stellen aus.
_(Transparenzhinweis: Im Bericht ist mein Interview mit dem Diözesandatenschutzbeauftragten vollständig abgedruckt; das erfolgt mit meiner Erlaubnis und ohne Gegenleistung.)_
## Bisher besprochene Tätigkeitsberichte des bayerischen DDSB
* Land unter in Bayern – Tätigkeitsbericht 2019 des bayerischen Diözesandatenschutzbeauftragten
* Wanderaufsicht ohne Buße – Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten 2020/2021
* Kontra aus München – Tätigkeitsbericht des bayerischen Diözesandatenschutzbeauftragten 2021/2022
* teilen
* teilen
* teilen
* teilen
* teilen
* teilen
* teilen
* E-Mail
*
https://artikel91.eu/2025/10/30/alles-neu-in-nuernberg-taetigkeitsbericht-2023-2024-des-kdsz-bayern/
