Seit der Einführung der ersten „Anordnung über den kirchlichen Datenschutz“ (KDO)1 vor knapp 50 Jahren war es in den bayerischen (Erz-)Diözesen üblich, für alle (Erz-)Diözesen einen gemeinsamen (Diözesan-)Datenschutzbeauftragten zu bestellen. Seine Zuständigkeit erstreckte sich von den (erz-)bischöflichen Verwaltungsbehörden (Ordinariaten) über die Kirchenstiftungen bis hin zu den sonstigen kirchlichen Körperschaften und Einrichtungen, und das bayernweit. Neben der Überwachung der Einhaltung der Datenschutzbestimmungen gehörte zu seinen Aufgaben insbesondere die Beratung der kirchlichen Stellen zu allen Datenschutzthemen.
Beim Umfang seines ursprünglichen Zuständigkeitsbereichs und der Vielzahl der darin gelegenen kirchlichen Stellen muss man im Hinterkopf behalten, dass Datenverarbeitung sich im Jahr 1978 überwiegend auf Papierakten bezog. Somit war die Stelle in den frühen Jahren auch noch ohne gesetzlich geregelte Vertretung, nicht einmal als Vollzeitstelle ausgelegt.
Die unaufhaltsam fortschreitende Technisierung und der damit steigende Umfang des Beratungsbedarfes spiegelten sich dann in den größeren Neufassungen der KDO wider, die in den Jahren 19941, 20032 und 20143 erlassen wurden. In den Jahren dazwischen wurden nur kleinere Ergänzungen vorgenommen, überwiegend um Vorgaben der Rechtsprechung zu erfüllen, z.B. zur Sicherstellung der Unabhängigkeit der Datenschutzaufsicht.

In den ersten rund 15 Jahren war der Beauftragte für den Datenschutz zwar in Ausübung seines Amtes formal unabhängig, allerdings noch der Dienst- und Rechtsaufsicht des Bischofs unterworfen. Dies änderte sich mit der Novellierung im Jahr 1994, nach der er nur noch dem kirchlichen Recht und dem für die Kirchen verbindlichen staatlichen Recht unterworfen war.
In Bayern war der Beauftragte für den Datenschutz gleichzeitig Datenschutzbeauftragter der Deutschen Bischofskonferenz sowie einiger Ordensgemeinschaften päpstlichen Rechts.

Mit der Neufassung der KDO im Jahr 2003 wurde erstmals das Amt des betrieblichen Datenschutzbeauftragten in § 18 a KDO eingeführt, zusammen mit Vorgaben für die kirchlichen Stellen zur Besetzung dieses Amtes und einer Beschreibung der Aufgaben.
Der betriebliche Datenschutzbeauftragte war vor allem für die Überwachung der ordnungsgemäßen Anwendung der eingesetzten Datenverarbeitungsprogramme zuständig, übernahm aber auch Schulungsaufgaben zum Thema Datenschutz. Die Benennung war anfangs fakultativ und die Position arbeitsrechtlich noch nicht besonders geschützt.
Die Novellierung führte zunächst dazu, dass überwiegend die Verwaltungsbehörden der Bischöfe, also die Ordinariate, aber auch die (Diözesan-)Caritasverbände diese Position besetzten, wenngleich nur mit Teilzeitstellen. Ansonsten gab es in vielen größeren kirchlichen Stellen Fachreferenten für den Datenschutz. Diese übten ihre Tätigkeiten ebenfalls nur mit einem (kleinen) Anteil ihrer Arbeitszeit aus. Sie standen für Anfragen vor Ort zur Verfügung und wurden, wie auch die betrieblichen Datenschutzbeauftragten, vom Diözesandatenschutzbeauftragten angeleitet und fachlich unterstützt.
Zur besseren Abgrenzung der Ämter wurde der bisherige Beauftragte für den Datenschutz (Aufsicht) in dieser Novelle in Diözesandatenschutzbeauftragter umbenannt. Diese dennoch etwas irreführende Bezeichnung zieht sich bis heute im kirchlichen Datenschutzrecht durch. Irreführend deshalb, weil die beabsichtigte Aufsichtsstellung mit Eingriffsbefugnissen nicht deutlich genug zum Ausdruck kommt.

Mit der zunehmenden Automatisierung der Datenverarbeitung, der Verbreitung von Onlinebanking, der Zunahme der Bedeutung von Emails und des Internet, dem Einsatz diözesenübergreifender Rechensysteme und des Intranets mit zentralen Informationsmöglichkeiten wurde schon vor der nächsten Neufassung der KDO mit der Änderung und Neufassung des § 18 a KDO zum 01. Februar 2011 eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten für kirchliche Stellen eingeführt, in denen mehr als zehn Personen mit der automatisierten Datenverarbeitung befasst waren. Kleineren Stellen stand es weiterhin frei, das Amt zu besetzen. Auch arbeitsrechtlich wurde die Position durch einen besonderen Kündigungsschutz gestärkt, was den Handlungsspielraum erheblich erweiterte.
Diese Gesetzesänderung führte auch in Bayern zu einer ersten größeren Welle von Bestellungen von betrieblichen Datenschutzbeauftragten. In einzelnen Diözesen legte man diese Regelungen eng aus und entschloss sich, auch bei Nichtbestehen einer Benennungspflicht für die Kirchenstiftungen entweder einen gemeinsamen betrieblichen Datenschutzbeauftragten im Ordinariat oder einen für jeweils ein Dekanat zu bestellen, anstatt diese Position in jeder einzelnen Kirchenstiftung zu besetzen. Damit schuf man sehr pragmatisch eine Unabhängigkeit der Bestellungspflicht von der Anzahl der Beschäftigten und der damit verbundenen Unsicherheiten.

Mit der Novellierung der KDO im Jahr 2014 wurde das Amt des Diözesandatenschutzbeauftragten gestärkt und mit weiteren Rechten ausgestattet. So wurde als Bestellungsvoraussetzung die Befähigung zum Richteramt als Qualifikation festgelegt, ein eigener Haushalt mit angemessener Personal- und Sachausstattung zur Verfügung gestellt und eine Vertretungsregelung getroffen. Gleichzeitig wurde der Turnus zur Erstellung eines Tätigkeitsberichts an die Bischöfe von drei Jahren auf ein Jahr reduziert.
Dem Diözesandatenschutzbeauftragten wurde erstmalig die Möglichkeit zur Anordnung von Maßnahmen gegenüber den kirchlichen Stellen gesetzlich zugebilligt. Seit 1978 konnte er nur Beanstandungen aussprechen, musste sich aber auf Vorschläge für die Beseitigung beschränken, ohne diese selbst durchsetzen zu können.

Die Einführung des KDG stellte bislang die größte Novellierung im kirchlichen Datenschutzrecht dar. Während in der Vergangenheit überwiegend in den (erz-)bischöflichen Ordinariaten betriebliche Datenschutzbeauftragte benannt waren, so ordnete das KDG nun eine (eigene) Benennungsverpflichtung für eine Vielzahl auch von kleineren kirchlichen Stellen an.
Einige Diözesen in Bayern nahmen dies zum Anlass, in den Ordinariaten zentrale Stellen für den diözesanen Datenschutz aufzubauen. Diese Abteilungen wurden mit mehreren Voll- und Teilzeitstellen besetzt, um den gestiegenen Beratungsbedarf abwickeln zu können.
Aufgrund der stetig wachsenden rechtlichen Anforderungen durch neue Gesetze und neue Rechtsprechung zum Datenschutzrecht, wegen des immer schneller voranschreitenden technischen Fortschritts sowie wegen Renteneintritts und Personalwechsel, standen in den Folgejahren in einigen Diözesen immer weniger Personen als Datenschutzbeauftragte zur Verfügung, so dass viele Stellen nicht nachbesetzt werden konnten. Dies führte dazu, dass die Position des betrieblichen Datenschutzbeauftragten vermehrt auch mit externen Dienstleistern, überwiegend Rechtsanwaltskanzleien, besetzt wurde.
Die nun auch von Gesetzes wegen als Datenschutzaufsicht bezeichnete Stelle, in Bayern konkret als „Gemeinsame Datenschutzaufsicht für die bayerischen (Erz-)Diözesen“ Augsburg, Bamberg Eichstätt, München und Freising, Passau, Regensburg und Würzburg blieb örtlich im Erzbischöflichen Ordinariat München angesiedelt. Der hauptamtlich bestellte Diözesandatenschutzbeauftragte und seine anfangs zwei Mitarbeitenden waren aber weiterhin für alle rund 7800 kirchlichen Stellen in ganz Bayern und damit auch für alle Betroffenen, die diese kirchliche Einrichtungen nutzen, zuständig.
Im Zuge der Einführung des KDG hatte die Freisinger Bischofskonferenz im Jahr 2018 beschlossen, die Gemeinsame Datenschutzaufsicht für die bayerischen (Erz-)Diözesen den wachsenden Herausforderungen anzupassen. Mit Blick auf die weiteren vier katholischen Datenschutzaufsichten in Deutschland wurde die Gründung des Katholischen Datenschutzzentrums Bayern als Körperschaft des öffentlichen Rechts in Angriff genommen. Die endgültige Umsetzung sollte allerdings bis ins Jahr 2023 andauern.

Die pandemiebedingt rasanten technischen Neuerungen in Bezug auf Videokonferenzen, mobiles Arbeiten und die Zentralisierung von Anwendungssoftware in Clouddiensten, die oftmals eine kurzfristige datenschutzrechtliche Bewertung erforderten, stellten die betrieblichen Datenschutzbeauftragten und auch die Gemeinsame Datenschutzaufsicht vor große Herausforderungen. Im Laufe der Coronapandemie wurde es für die betrieblichen Datenschutzbeauftragten schwieriger, regelmäßige Fortbildungen mit persönlichem Austausch zu veranstalten, so dass vielfach auf Onlineformate zur Fortbildung (Onlineschulung zum Kirchlichen Datenschutz – OSKD) umgestellt wurde.
Während Vor-Ort-Kontrollen der Datenschutzaufsicht in den kirchlichen Stellen in Bayern in den frühen Jahren (1978 bis ca. 2014) des kirchlichen Datenschutzrechts kaum durchgeführt wurden, haben diese auch schon einige Jahre vor der Einführung des KDG schon erheblich an Bedeutung gewonnen. Seit dem Jahr 2014 bis Endes des Jahres 2022 wurden durchschnittlich jeden Monat bis zu 20 Einrichtungen einer (Erz-)Diözese im Rahmen einer Vor-Ort-Kontrolle persönlich beraten und geprüft. Pandemiebedingt wurden diese Kontroll- und Beratungsgespräche dann ab dem Jahr 2020 überwiegend mit Fragebögen, telefonisch und online durchgeführt. Die betrieblichen Datenschutzbeauftragten der bayerischen (Erz-)Diözesen standen der Aufsicht organisatorisch bei den Kontrollen zur Seite, ganz im Sinne der in § 38 KDG festgelegten Verpflichtung zur Zusammenarbeit mit der Aufsicht.

Das Katholische Datenschutzzentrum Bayern wurde nach dem Beschluss der Freisinger Bischofskonferenz vom 14./15. März 2018 durch einen gemeinsamen Organisationsakt der bayerischen (Erz-)Diözesen vom 23. Januar 2023 als Zweckverband mit Wirkung zum 01. April 2023 gegründet und mit einer Satzung ausgestattet.1 Das Bayerische Staatsministerium für Unterricht und Kultus verlieh dem Katholischen Datenschutzzentrum Bayern mit Sitz in Nürnberg durch Schreiben vom 8. März 2023 antragsgemäß nach Art. 2 Abs. 3 Alt. 1 Nr. 1 lit. b des Gesetzes über die Erhebung von Steuern durch Kirchen, Religions- und weltanschauliche Gemeinschaften (Kirchensteuergesetz – KirchStG) in der Fassung der Bekanntmachung vom 21. November 1994 (GVBI. S. 1026, BayRS 2220-4-F/K), zuletzt geändert durch § 1 des Gesetzes vom 9. November 2021 (GVBI. S. 606), die Eigenschaft einer Körperschaft des öffentlichen Rechts. Mit Urkunde des Vorsitzenden der Freisinger Bischofskonferenz, Kardinal Reinhard Marx, vom 27. März 2023 wurde Dominikus Zettl zum 01. April 2023 für sechs Jahre zum gemeinsamen Diözesandatenschutzbeauftragten für die Bayerischen Diözesen ernannt.
Aufgrund seiner zentralen Lage in Bayern und der Unabhängigkeit von einem Bischofssitz wurde als neuer Dienstsitz Nürnberg gewählt. Zum 01. Mai 2023 konnten die neuen Büroräume im Haus der Stadtkirche Nürnberg in der Vorderen Sterngasse 1 in Nürnberg bezogen werden. In der Folge wurde das bisherige Büro im Erzbischöflichen Ordinariat München aufgelöst.
Mit Unterstützung der Erzdiözese Bamberg konnten die Formalia zur Anstellung von Personal (Anmeldung bei den Sozialversicherungsträgern, Eröffnung eines Bankkontos, etc.) schnell erledigt werden. Ebenso wurden die Aufgaben der Personalverwaltung und Personalabrechnung dem Erzbischöflichen Ordinariat Bamberg übertragen. Der gemeinsame Diözesandatenschutzbeauftragte wurde zum 01. Juni 2023 bei dem neuen Rechtsträger, der KdöR, angestellt, der erste IT-Referent, der aus der bisherigen Struktur aus der Erzdiözese München und Freising übernommen wurde, dann zum 01. Juli 2023.
In den Folgemonaten konnte die ehemalige Hausmeisterwohnung im 4. Obergeschoss der Stadtkirche Nürnberg nach Verlegung von EDV-Verkabelung zu einem funktionalen, aber dennoch repräsentativen Büro ausgebaut werden, das dann in einem feierlichen Akt am 05. Juni 2024 von Erzbischof Herwig Gössl eingesegnet wurde.
Zum 01. Januar 2024 konnten die Stellen der Vertretung des Diözesandatenschutzbeauftragten und der Teamassistenz besetzt werden, die zweite IT-Referentin nahm im März 2024 ihre Arbeit auf. Damit war nun der Beschluss der Freisinger Bischofskonferenz zur Gründung des KDSZ Bayern vollständig umgesetzt.

Der Mastodon-Account wird bespielt und die Mastodon-Instanz aufgemacht.

Die neue Homepage geht online.