EKD-Datenschützer verbietet WhatsApp und Telegram
Nach den katholischen Datenschutzbeauftragten hat auch der Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland (EKD), Michael Jacob, die Regeln zur Nutzung von Messenger-Diensten in der Kirche präzisiert. Anders als die katholischen Datenschützer nennt ihr evangelischer Kollege allerdings konkrete Dienste: Insbesondere gegenüber WhatsApp und Telegram bestünden "erhebliche Datenschutzbedenken", so dass von einer Nutzung abgeraten wird, während gegen Signal die Verarbeitung der Daten außerhalb des europäischen Wirtschaftsraums angeführt wird. Keine Bedenken werden zu dem von der Deutschen Post betriebenen SIMSme und dem Schweizer Dienst Threema geäußert. Insbesondere die auf dienstliche Nutzung zugeschnittenen Varianten der beiden Apps seien für einen kirchlichen Einsatz geeignet.
Als beste Variante sieht die Aufsichtsbehörde jedoch den Betrieb und die Entwicklung eigener Systeme an, die "auf Basis von etablierten und frei zugänglichen Protokollen auf föderalen Servern" arbeiten. Damit könnten unterschiedliche kirchliche Einrichtungen auf eigenen Systemen Messengerdienste betreiben, ohne auf die Kommunikation mit Nutzern anderer Server verzichten zu müssen. Im Bereich der EKD betreibt die Landeskirche Hannover bereits den eigenen Messengerdienst "Just Connect", der die Wunschliste des Datenschutzbeauftragten der EKD für eigene Systeme allerdings nicht erfüllt.
Kriterien für Messengerdienste
Zur Bewertung von bereits bestehenden Messengerdiensten stellt der Datenschutzbeauftragte der EKD in seiner Handreichung drei allgemeine Kriterien auf, die für eine rechtskonforme Nutzung von Messengerdiensten im Raum der Kirche erfüllt sein müssen: Nachrichten müssen erstens durchgängig Ende-zu-Ende-verschlüsselt sein, sodass der Dienstanbieter selbst nicht auf die Nachrichteninhalte zurückgreifen kann. Zweitens darf der Anbieter anfallenden Verbindungsdaten ausschließlich zu Zwecken verwenden, die zur Übertragung der Nachricht notwendig sind. Schließlich ist auch die Weitergabe von Kontaktdaten Dritter an den Anbieter ausgeschlossen, beispielsweise durch eine Übermittlung des Adressbuchs.
Mit Blick auf den Serverstandort der Dienste betont der evangelische Datenschützer, dass die gesetzlichen Regeln zu beachten sind. Auch wenn derzeit eine Übertragung von personenbezogenen Daten in die USA unter bestimmten Umständen zulässig ist, wird dazu geraten, sich auf Dienste mit Sitz in Deutschland oder der Schweiz zu beschränken.
Katholische Datenschützer haben ähnliche Anforderungen
Die Kriterien des EKD-Datenschützers sind dabei weitgehend deckungsgleich mit den von der Konferenz der Diözesandatenschutzbeauftragten im Juli aufgestellten Kriterien: Demnach müssen die Daten in einem Land verarbeitet werden, der ein ausreichend hohes Datenschutzniveau gewährleistet, und sicher mittels Ende-zu-Ende-Verschlüsselung übertragen werden. Es gilt der bereits im Gesetz festgelegte Grundsatz der Datenminimierung, nach dem Daten nur erhoben werden dürfen, sofern sie benötigt werden, und nur so lange aufbewahrt werden dürfen, wie das technisch nötig ist. Schließlich betonen auch die katholischen Datenschützer die Respektierung der Rechte Dritter, besonders mit Blick auf die Übermittlung von Adressbüchern. Zu konkreten Diensten äußerten sich die katholischen Datenschützer nicht.
Linktipp: Kriterien der katholischen Datenschutzbeauftragten für Messenger
Die Konferenz der Diözesandatenschutzbeauftragten hat Kriterien für den Einsatz von Messenger-Diensten in der Kirche veröffentlicht. Außerdem gibt sie Hinweise für die Verwendung von Cookies. (Artikel vom August 2018)Sowohl die katholische wie die evangelische Kirche in Deutschland haben auf Grundlage der am 25. Mai in Kraft getretenen europäischen Datenschutzgrundverordnung die Möglichkeit, eigene Datenschutzgesetze zu erlassen und eigene Aufsichtsbehörden zu errichten. Im Bereich der katholischen Bistümer gilt seit dem 24. Mai das Gesetz über den kirchlichen Datenschutz, insgesamt wurden fünf Aufsichtsbehörden eingerichtet, die in der Konferenz der Diözesandatenschutzbeauftragten zusammenarbeiten. Im Bereich der Jugendarbeit und Pastoral stießen insbesondere die strikten Regeln für die Nutzung von Messengerdiensten, die im Zuge der Gesetzgebung verstärkt betont wurden, auf Kritik.
Im Bereich der EKD gilt ebenfalls seit dem 24. Mai das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD). Neben der EKD hat auch die Nordkirche eine eigene Datenschutzaufsichtsbehörde eingerichtet. Die Datenschutzaufsichten legen in Beschlüssen und Handreichungen ihre Rechtssicht dar, können aber keine eigenen Gesetze und Verordnungen erlassen. Überprüft werden die Entscheidungen der kirchlichen Aufsichtsbehörden von einer kirchlichen Datenschutzgerichtsbarkeit. (fxn)