11. Tätigkeitsbericht KDA Nord 2024

Der Diözesandatenschutzbeauftragte (DDSB) des Erzbistums Hamburg, der Bistümer Hildesheim, Osnabrück und des Bischöflich Münsterschen Offizialats in Vechta i.O. (KDSA Nord), Andreas Bloms, hat am 9. Oktober 2025 den 11. Tätigkeitsbericht für das Jahr 2024 veröffentlicht. Auf den 36 Seiten finden Sie viele Praxisanregungen.

Auch die kirchliche Datenschutzaufsicht befasst sich in Deutschland mit Videoüberwachung (S. 19 f., 27 ff.). Der Diözesandatenschutzbeauftragte weist darauf hin, dass jede Verantwortliche „vorab die Zulässigkeit für den Einsatz einer Videoüberwachung prüfen und dokumentieren“ muss und „insbesondere auch die technischen und organisatorischen Aspekte wie Möglichkeiten zur Verschlüsselung, Zugriffskontrollen und Festlegung von Nutzungsregeln“ beachten müsse.

Wer fremde Gesundheitsdaten im Pkw transportiert, muss besondere Vorsicht walten lassen, betont Bloms (S. 21 f):

„Wenn ... eine Unterbrechung der Fahrt erforderlich sein sollte, dürfen die personenbezogenen Daten nicht unbeaufsichtigt im PKW verbleiben. Ein Diebstahl aus einem PKW ist kein Einzelfall und bei der Risikobewertung zu berücksichtigen.“

Lost places – lost data? Ein oft nachlässig behandeltes Thema stellt der Umgang mit ausgesonderten Geräten und aufgegebenen Standorten dar. Verlassene Gebäude können i. d. R. keinen ausreichenden Schutz für die  Aufbewahrung von personenbezogenen Daten in Akten und auf Speichermedien bieten. Verantwortliche Träger oder ggf. auch Rechtsnachfolger oder Insolvenzverwalter haben eine datenschutzkonforme Aufbewahrung der personenbezogenen Daten sicherzustellen und ein Verfahren zu entwickeln, wie betroffene Personen ihre datenschutzrechtlichen Rechte wahrnehmen können, mahnt der DDSB (S. 23).

Der Umgang mit Datenschutzverletzungen spielt eine große Rolle, um den Schaden bei den Betroffenen möglichst gering zu halten und findet auch bei der Bußgeldbemessung Beachtung. In Kooperation mit dem Katholischen Datenschutzzentrum Frankfurt/M. startete der Diözesandatenschutzbeauftragte im Berichtszeitraum eine Sensibilisierungskampagne. Die Ergebnisse werden im nächsten Tätigkeitsbericht dargestellt.

Eine größere Prüfungsaktion wird bei den Schulen in katholischer Trägerschaft durchgeführt. Ziel hierbei ist die Kontrolle des rechtmäßigen und sicheren Betriebs von Videoüberwachungsanlagen. Im vorliegenden Tätigkeitsbericht werden die möglichen Prüfungspunkte noch einmal ausführlich beschrieben.

Der Datenschutzbeauftragte weist darauf hin, dass die Zertifizierungsmöglichkeiten von Auftragsverarbeitern nach Art. 42 DSGVO eine sinnvolle Möglichkeit sind, auch für den kirchlichen Bereich Rechtskonformität sicherzustellen (S. 8). Brisant, dass die erste deutsche Zertifizierungsstelle EuroPriSe ihren Dienst – nach langjähriger Aktivität vor Gültigkeitsbeginn der DSGVO – bereits wieder eingestellt hat. Das Verfahren mit Beteiligung der Deutschen Akkreditierungsstelle hat sich als nicht tragfähig erwiesen.

Sowohl das Erzbistum Hamburg als auch das Bistum Hildesheim und das Bistum Osnabrück haben im Berichtszeitraum 2024 Regelungen zu Auskunfts- und Einsichtsrechten zur Aufarbeitung sexualisierter Gewalt erlassen, deren Anforderungen im Tätigkeitsbericht umrissen werden (S. 11 ff.).

Außerdem geht es um praxisrelevante Entscheidungen des Interdiözesanen Datenschutzgerichts (IDSG 1. Instanz): zum einen um datenschutzrechtliche Anforderungen an die Offenlegung einer archivierten „Akte auf Anerkennung des Leids“ gegenüber Dritten (S. 13 ff.), zum anderen um den Umfang des Auskunftsanspruchs nach § 17 Abs. 1 und 3 Kirchliches Datenschutzgesetz (KDG) (S. 15 ff.). Die Entscheidungen befassen sich mit Fragen der Anonymisierung und einer weiten Auslegung des Personenbezugs.

Während die Zahl der datenschutzrechtlichen Beschwerden im Vergleich zum Vorjahr stabil geblieben ist, vermerkte der Diözesandatenschutzbeauftragte einen Anstieg bei den Datenschutzverletzungen (S. 19). Im Berichtszeitraum ist ein Bußgeld verhängt worden. Zum Abschluss des Jahres 2024 waren insgesamt sechs Verfahren vor dem IDSG und ein Verfahren vor dem Datenschutzgericht der Deutschen Bischofskonferenz (2. Instanz, DSG-DBK) anhängig.


Die Zahlen aus dem Berichtszeitraum 2024: