Daten lagern auch in der Kirche überall. In überregionalen Rechenzentren, auf Pfarramts-Computern, ja selbst auf den Mobiltelefonen ehrenamtlicher Mitarbeiter. Es sind Informationen über Adoptionsverhältnisse, Privatadressen von Prominenten, Akten über die soziale Lage von Klienten der Diakonie, Beschäftigungsverhältnisse. Private Daten müssen geschützt werden. So verlangt es das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD).
Axel Gutenkunst wacht in Süddeutschland über den Datenschutz. Er ist einer von bundesweit vier Regionalbeauftragten der EKD für diese Aufgabe. Seine Schwerpunkte sind die evangelischen Landeskirchen in Bayern, Württemberg und Baden sowie das Diakonische Werk Württemberg. Die Diakonie von Bayern und Baden sollen auch noch hinzukommen. Sein Büro im Schatten des Ulmer Münsters hat er im November bezogen.
Täglich Hacker-Angriffe auf kirchliche Rechenzentren
"Es geht um die Freiheit", sagt der 59-Jährige. Sein Arbeitszimmer ist nicht der zentrale Knoten, an dem alle kirchlichen Daten zusammenlaufen - im Gegenteil. Seine Aufgabe sei es, darauf zu achten, dass möglichst wenige Daten im Umlauf sind und von Dritten eingesehen werden können. Eine seiner Überzeugungen: "Andere sollen nicht mehr über mich wissen als gut für mich ist."
Mit dieser Mission nimmt er alle kirchlichen Datensammelstellen unter die Lupe. Das sind einerseits die großen kirchlichen Rechenzentren, deren Speicher mit größtmöglicher Sicherheit vor Attacken von außen geschützt werden müssen. "Hacker-Angriffe erleben wir jeden Tag", sagt er. Manchmal seien es nur Jugendliche, die dabei ihre Computerkenntnisse erproben wollten. Manchmal aber auch hochprofessionell vorbereitete Schläge gegen die digitalen Schutzmauern. Die Rechenzentren besitzen laut Gutenkunst alle eine staatlich anerkannte Sicherheitszertifizierung oder bereiten diese vor.
"Das Bewusstsein für Datenschutz fehlt eigentlich überall in der Kirche"
Datenschutz fängt allerdings schon im Kleinen an. Etwa bei einer Diakoniestation, die nur eine Holzkiste als Briefkasten hat, in die jeder greifen und sich beispielsweise einen Arztbericht herausfischen kann. Oder in deren Keller Klientenakten der vergangenen Jahrzehnte ruhen, obwohl diese nach Ablauf der Aufbewahrungsfrist vernichtet werden müssen. "Das Bewusstsein für Datenschutz fehlt eigentlich überall in der Kirche", bemängelt Gutenkunst, der sein Amt unabhängig führen kann und dem gegenüber die beaufsichtigten Institutionen nicht weisungsbefugt sind.
Andererseits kommt es nur selten zu einem Eklat. Wenn der Beauftragte mangelnden Datenschutz wahrnimmt, spricht er erst mal mit der zuständigen Stelle. Sollte er dort mit seinen Bedenken auf taube Ohren stoßen, bleibt ihm als schärfste Waffe eine offizielle Beanstandung, die dann auch beim Oberkirchenrat landet. Während seiner Zeit als Datenschutzbeauftragter der Evangelischen Landeskirche in Württemberg sei das vier bis fünf Mal im Jahr vorgekommen - und dann hätten sich die Dinge in der Regel auch geklärt.
Immerhin ist Datenschutz nicht nur ein nettes Entgegenkommen von Kirche und Diakonie, sondern gesetzlicher Auftrag. Die Nichtbeachtung kann in Schadensersatzklagen münden. Gutenkunst erinnert sich allerdings nicht, dass jemals ein Richterspruch notwendig gewesen wäre. "Normalerweise einigt man sich vorher."
Auch die TV-Aufnahme eines Gemeindegottesdienstes, die nachher bei YouTube hochgeladen wird, kann rechtliche Probleme bergen. Gottesdienstbesucher müssten mit Schildern oder einer klaren Ansage am Anfang der Veranstaltung darauf hingewiesen werden, erläutert Gutenkunst. Nahaufnahmen von Menschen in den Kirchenbänken könnten das Recht am eigenen Bild verletzen, die Veröffentlichung sei dann gesetzwidrig.
Wer ins Grübeln kommt, welche kirchliche Stelle welche Daten über einen besitzt, der hat die Möglichkeit, dort eine Übersicht der gesammelten Informationen zu bekommen. Laut Paragraf 15 des kirchlichen Datenschutzgesetzes ist diese Auskunft unentgeltlich. Keinen Sinn hat es, sich mit dieser Frage an Gutenkunst zu wenden. Denn auch er hat keinen Zugriff auf die persönlichen Daten.
