Massenhafte Zugriffsversuche auf Porno-Webseiten von Dienstrechnern des Erzbistums Köln haben dort erhebliche Unruhe ausgelöst. Nach Recherchen des „Kölner Stadt-Anzeiger“ wurde die Bistumsspitze bereits im Juli 2022 über die in einer Dienstvereinbarung untersagten Aktivitäten von Dutzenden Mitarbeitern informiert. Unter ihnen sind – zum Teil höchstrangige – Kleriker.

Pornografie gilt nach der katholischen Sexualmoral als verwerflich und als schwere Sünde. Papst Franziskus sprach erst im Oktober von einem diabolischen Laster und warnte speziell junge Priester vor Pornografie im Internet: „Der Teufel kommt von dort.“

Strafbar sind Beschaffung, Aufbewahrung, Konsum oder Weitergabe pornografischer Aufnahmen von Erwachsenen aber weder nach staatlichem noch nach kirchlichem Recht. Trotzdem interessieren sich unterdessen die Strafverfolger für eine Liste aus dem Erzbistum mit mehr als 1000 Zugriffsversuchen auf Seiten, die wegen bedenklicher, unerwünschter Inhalte und potenzieller Gefährdung der IT-Sicherheit durch einen Schutzfilter geblockt waren.

Unter den 15 Beschäftigten mit den meisten Zugriffsversuchen befindet sich ein inzwischen ausgeschiedener Laien-Mitarbeiter, gegen den die Staatsanwaltschaft für Cyber-Kriminalität (ZAC) gesondert wegen des Verdachts auf Besitz und Beschaffung strafbarer Inhalte ermittelt. Am 5. Juni fand dazu eine Razzia im Büro sowie in der Wohnung des Verdächtigen statt. Zum Sachstand machte ZAC-Sprecher Christoph Hebbecker „aus ermittlungstaktischen Gründen“ keine Angaben.

Ein Bistumssprecher erklärte die Liste als Ergebnis einer Routineprüfung zur IT-Sicherheit, die „explizit nicht“ auf das „Nutzungsverhalten einzelner Personen“ gerichtet gewesen sei. Eine Auswertung konkreter Inhalte hinter den URLs sei nicht erfolgt.

Wie kam das Erzbistum an die Liste?

Im Juli 2022 erfuhr Generalvikar Guido Assmann, seit dem 1. Juli Nachfolger des von Kardinal Rainer Woelki entpflichteten Markus Hofmann, vom Ergebnis eines Sicherheitschecks durch den IT-Dienstleister des Erzbistums. Dieser hatte geprüft, ob die installierten Firewalls Zugriffsversuche von Dienstrechnern auf „risikobehaftete Seiten“ (Gewalt, Pornografie, Drogen etc.) zuverlässig abwehren.

Vorkehrungen zum Schutz von Netzwerken sind in Unternehmen und öffentlichen Einrichtungen gang und gäbe. Der Arbeit- oder Dienstgeber will damit zum einen verhindern, dass Mitarbeitende beim Surfen elektronische Schädlinge einschleppen. Zum anderen soll der Zugriff auf unerwünschte Seiten ausgeschlossen bleiben.

Zwei detaillierte Listen mit allen Akteuren beim Erzbistum sowie den durch einen automatischen Web-Content-Filter geblockten URLs, die dem „Kölner Stadt-Anzeiger“ vorliegen, weisen für den Zeitraum vom 31. Mai bis zum 30. Juni 2022 Dutzende Mitarbeitende und mehr als 1000 Einträge auf, die meisten von ihnen fallen unter die „Kategorie Pornografie“. Eine zweite Tabelle führt die Mitarbeitenden nach der Zahl der unternommenen Zugriffsversuche und der Art der Webseiten auf. Die Listen seien „aufgrund eines Software-Updates erstmalig in dieser Form dem Generalvikariat zur Verfügung gestellt worden“, teilt ein Bistumssprecher mit.

In manchen Fällen hat sich der Algorithmus, der das gesamte Internet automatisch klassifiziert, seltsam verrannt. So sperrte er die Webseite einer physiotherapeutischen Praxis mit Hinweis auf „Gewalt“. Gleiches gilt für ein Internet-Angebot für Knotentanzkurse oder einen Blog mit Kommentaren zu Kirche und Gesellschaft. Umgekehrt versagt das System zwangsläufig bei neu gebauten Webseiten. Hier ist der Filter sozusagen noch blind, was den Raum für ein gewaltiges Dunkelfeld öffnet.*

Handelt es sich um strafbare Inhalte?

Beschaffung, Aufbewahrung, Konsum oder Weitergabe pornografischer Aufnahmen von Erwachsenen sind weder nach staatlichem noch nach kirchlichem Recht strafbar. Allerdings gilt Pornografie nach der katholischen Sexualmoral als schwere Verfehlung. „Sie verletzt die Keuschheit, weil sie den ehelichen Akt ... entstellt. Sie verletzt die Würde aller Beteiligten (Schauspieler, Händler, Publikum) schwer; diese werden nämlich zum Gegenstand eines primitiven Vergnügens und zur Quelle eines unerlaubten Profits“, heißt es im „Katechismus der Katholischen Kirche“ (Nr. 2354). Papst Franziskus warnt speziell Priester vor Pornografie als einem teuflischen Laster.

Warum sind die erhobenen Daten ein Problem?

Beim Erzbistum sind laut einer Dienstvereinbarung zur Nutzung der Informationstechnologie - auch für private Zwecke - unter anderem „rassistische, pornografische, sexuell belästigende, kompromittierende oder diskriminierende, sonstige gesetz- oder rechtswidrige Aktivitäten“ untersagt.

Etliche der gelisteten Webseiten führen auf Unterseiten mit Titeln wie „Teenager“ oder „Babes“ zu Aufnahmen sehr junger Frauen. Dabei könnte es sich – zumindest in Teilen – auch um Minderjährige handeln. Sicher sagen lässt sich das aber nicht.

Auf den Listen, die Assmann erhielt, stehen auch Namen von — teils sehr prominenten — Priestern. Der höchstrangige von ihnen steht in der Hitliste der meisten Zugriffsversuche mit mehr als 100 Einträgen an dritter Stelle.

Wie reagierte die Bistumsleitung auf die Listen?

Um überhaupt mit den Unterlagen hantieren zu können, wurden gemäß einer Dienstvereinbarung zu personenbezogenen Daten die Mitarbeitervertretung (MAV) im Generalvikariat und der externe Datenschutzbeauftragte hinzugezogen. Direkt involviert war auch die damaliger Interventionsbeauftragte. Die Missbrauchsordnung des Erzbistums sieht vor, dass ihrer Stelle schon der geringste Verdacht auf Missbrauchsvergehen gemeldet werden muss. Nachdem der neue Amtsleiter Frank Hüppelshäuser im Januar 2023 seinen Dienst angetreten hatte, erhielt schließlich auch er Kenntnis von den Listen.

Nach Informationen des „Kölner Stadt-Anzeiger“ gab es 2022 intern heftige Diskussionen zum weiteren Vorgehen. Sollten diejenigen persönlich informiert und sanktioniert werden, die sich darauf befanden? Sollten alle Beschäftigten aus gegebenem Anlass ermahnt werden, sich auf ihren Dienstcomputern regelkonform im Internet zu bewegen? Oder sollte die Porno-Liste mit den URL-Einträgen gar zur Klärung etwaiger strafrechtlicher Vergehen der Polizei übergeben werden? 

Was wurde unternommen?

Dieser Überlegung folgte Assmann nicht. Ein Bistumssprecher macht geltend, Überprüfungen zur IT-Sicherheit fänden „unter Berücksichtigung der datenschutzrechtlichen Vorgaben“ statt. Sie zielten explizit nicht auf die Überprüfung des Nutzungsverhaltens einzelner Personen. „Deutet eine dieser Routineauswertungen auf ein erhöhtes Risiko hin, wird dies zum Anlass genommen, die Sicherheitsvorkehrungen zu verbessern.“

Eine Auswertung, welche konkreten Inhalte hinter den URLs liegen, sei bei der Dokumentation der erfolgreich abgewehrten Zugriffsversuche nicht erfolgt. „Dieses Vorgehen wurde rechtlich und unter Datenschutzaspekten mit externen Sachverständigen abgestimmt.“ Auf Basis der Routineprüfung habe es allerdings auch „keine Anhaltspunkte für strafrechtlich relevantes Verhalten“ gegeben.

Die Interventionsbeauftragte soll sich strikt gegen eine Weitergabe der Unterlagen an die staatlichen Ermittler gewandt haben, weil keinerlei Anhaltspunkte für Straftaten ersichtlich seien. Auf Nachfragen der MAV und deren Drängen, Assmann möge etwas unternehmen, soll sie sich in aggressivem Ton gegen eine völlig unnötige Skandalisierung verwahrt haben. Das Erzbistum machte hierzu keine Angaben.

Was geschah mit den Listen?

Assmann ließ die MAV auf mehrfache Nachfrage im Herbst 2022 wissen, er habe den Vorgang nicht weiterverfolgt und die von ihm verwahrten Listen vorschriftsgemäß und fristgerecht nach drei Monaten vernichtet. Er sei der Auffassung, die Listen seien ohne Rechtsgrundlage erstellt worden. Der Datenschutz hätte einer weiteren Verwendung ohnehin im Wege gestanden. Auch der Bistumssprecher sagt: „Die weiteren Schritte orientierten sich an den für das Erzbischöfliche Generalvikariat geltenden datenschutzrechtlichen Bestimmungen, wonach auch die oben genannten Auswertungen nicht länger als drei Monate aufbewahrt werden dürfen.“

Hinzu kam offenbar eine katholische Eigenheit: Für Kleriker ist die MAV formal nicht zuständig, erklärt deren Vize-Vorsitzender Patrik Höring. Das dürfte es Assmann erschwert haben, die MAV in den Umgang mit der Liste einzubeziehen. Ganz abgesehen davon, dass es für ihn als Priester besonders unangenehm gewesen sein dürfte, mit derart heiklen Informationen über Mitbrüder umzugehen.

Ein Insider, der um seinen Job fürchtet und deshalb nicht genannt werden will, wird noch deutlicher: „Assmann hat das Thema schlicht totgeschwiegen. Hätten auf den Listen keine Kleriker gestanden, sondern nur Laien, wäre garantiert etwas unternommen worden. Da sinnieren Leute in der Bistumsspitze darüber, ob eine geschiedene Sekretärin nach Wiederheirat noch haltbar ist. Wenn aber Kleriker mit ihren Dienstcomputern zuhauf auf Porno-Seiten gehen wollen, interessiert es offiziell niemanden von denen.“ Er sei „felsenfest überzeugt, dass das Zurückhalten der Listen und ihre spätere Vernichtung einzig und allein das Ziel hatten, bestimmte Kleriker zu schützen“.

Das Erzbistum ließ die Frage unbeantwortet, ob Assmann intern Warnungen an Mitbrüder im Priesterstand oder Ermahnungen ausgesprochen habe. Auch zur Frage nach Kardinal Woelkis Kenntnisstand gab es keine Auskunft.

Warum wurden die Listen nach der Vernichtung erneut zum Thema?

Vom Unbehagen des einen oder der anderen Beteiligten abgesehen, wäre die Angelegenheit wohl erledigt gewesen, hätte nicht die in Köln ansässige Sonderstaatsanwaltschaft für Cyberkriminalität (ZAC) am 5. Juni 2023 eine Razzia beim Erzbistum vorgenommen. Die Ermittler hatten einen Mitarbeitenden wegen des Verdachts auf Besitz und Beschaffung von Kinderpornografie im Visier. Der Mann ist inzwischen nicht mehr im Generalvikariat tätig.

Als ein Bistumssprecher auf Anfrage des „Kölner Stadt-Anzeiger“ zu der Razzia erklärte, man höre von dem Verdacht zum ersten Mal, wurden etliche Menschen im Erzbistum unruhig: Hatte sich der Verdächtige nicht auch auf den Porno-Listen aus 2022 unter den „Top 15“ befunden? Gab es also nicht schon damals zumindest Hinweise auf eine unbefugte Nutzung des Internets und das Interesse an gesperrten Seiten mit pornografischen Inhalten? Hätten die Unterlagen den Ermittlern womöglich bereits 2022 bei der Aufdeckung von Straftaten helfen können? Und was, wenn herauskäme, dass im Bistum eben doch schon früher als im Juni 2023 etwas über den fraglichen Mitarbeiter ruchbar war?

Anfang Juli – unmittelbar nach Inkrafttreten des neuen Hinweisgeberschutzgesetzes – gingen Höring und die frühere MAV-Vorsitzende Mirelle Zohar zur Polizei. Dem Vernehmen nach hätten die beiden transparent machen wollen, was es bereits 2022 an möglichen Indizien gegeben habe – für den Fall, dass man damals aus Unkenntnis oder Absicht Dinge übersehen habe. Ob es überhaupt einen Bezug zum aktuellen Fall gebe, sei eine Angelegenheit für die Behörden. Bei der Polizei sollen die beiden angegeben haben, die Meldung sei nicht schon früher erfolgt, weil Assmann der MAV versichert habe, dass die Listen bei ihm in guten Händen seien. Und weil „Experten“ im Haus bekundet hätten, dass da „strafrechtlich nichts dran“ sei.

Was sagen die staatlichen Ermittler?

Die Ermittler zeigten sich dem Vernehmen nach sehr interessiert an dem, was die beiden MAV-Leute über die Porno-Listen zu berichten hatten. Der Vorgang wird bei der Polizei unter einer eigenen Tagebuch-Nummer geführt, mehrere Zeugen wurden vernommen. Eine Rekonstruktion der Liste mit den angesteuerten Webseiten hat die Polizei beim Erzbistum angefordert und auch ausgehändigt bekommen. ZAC-Sprecher Christoph Hebbecker lehnte eine Stellungnahme „aus ermittlungstaktischen Gründen“ ab.

Zohar wollte sich auf Anfrage des „Kölner Stadt-Anzeiger“ ebenfalls nicht äußern und verwies auf ihre Verschwiegenheitspflicht als Mitarbeiterin. Zur Begründung ihres Rücktritts vom Amt der MAV-Vorsitzenden Ende Mai sagte sie, sie habe erkannt, „dass eine echte Mitwirkung der Mitarbeitenden nicht gewollt“ sei. „Eine reine Quoten-MAV ist ineffizient. Da investiere ich meine Zeit und Energie lieber in Dinge, die etwas bringen“. Aus Sicht der Bistumsleitung unter Kardinal Woelki, souffliert ein Insider, bedeute Partizipation lediglich „die Gelegenheit zur Zustimmung“.

Mitarbeit: Tim Stinauer

* Dieser Absatz wurde in einer aktualisierten Version des Artikels ergänzt.