Fachnews 27.03.2019

Datenschutz in der Kirche: Stellungnahme des Beauftragten für den Datenschutz in der Evangelischen Kirche in Deutschland nennt konkrete Empfehlungen für Messenger-Dienste

Nachdem im Juli 2018 die Konferenz der Diözesandatenschutzbeauftragten für den Bereich der Katholischen Kirche Deutschland bereits eine Beurteilung von Messenger-Diensten  und anderen Social Media-Diensten veröffentlichte, liegt nun auch eine Stellungnahme des Beauftragten für den Datenschutz in der Evangelischen Kirche in Deutschland vom Oktober 2018 zu diesem Themenkomplex vor.

Mit dem ausdrücklichen Hinweis darauf, dass auch in Kirche und Diakonie der Bedarf an einer dienstlichen Kommunikation über Messenger-Dienste neben und häufig auch anstelle der klassischen Sprachtelefonie an Bedeutung gewinne, ergänzt Michael Jacob, der Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland, mit seiner aktuellen Stellungnahme die grundsätzliche Einschätzung zum Einsatz von Messenger-Diensten vom Mai 2017.

Wie bereits im Beschluss der katholischen Diözesandatenschutzbeauftragten (hier zu unserem Beitrag) stellt auch der evangelische Datenschutzbeauftragte in seiner Handreichung allgemeine Kriterien auf, die für eine rechtskonforme Nutzung von Messenger-Diensten im Geltungsbereich des EKD-Datenschutzgesetz (DSG-EKD) erfüllt sein müssen und die mit den Beurteilungskriterien der Diözesandatenschutzbeauftragten weitgehend deckungsgleich sind. Die Gewährleistung einer Ende-zu-Ende-Verschlüsselung der über den Messenger-Dienst ausgetauschten personenbezogenen Daten, die ausschließliche Nutzung der empfangenen personenbezogenen Daten durch den Anbieter des Dienstes für Zwecke der Übertragung von Nachrichteninhalten zwischen den Teilnehmenden einer Unterhaltung und der Ausschluss der unberechtigten Weitergabe von Kontaktdaten an den Messenger-Anbieter bringen für die Prüfanforderungen konkreter Messenger-Dienste keine neuen Erkenntnisse.

Mit Blick auf die Verarbeitung der Daten in Drittländern (d.h. außerhalb des Geltungsbereichs der Datenschutz-Grundverordnung) und die sogenannten Angemessenheitsbeschlüsse der Europäischen Kommission als Rechtsgrundlage zur Datenübermittlung in diese Länder, thematisiert Michael Jacob das EU-US Privacy Shield-Abkommen als Grundlage für ein angemessenes Datenschutzniveau kritisch und weist hierbei auch kritisch auf die Bedenken der Datenschutzaufsichtsbehörden in den Mitgliedsstaaten der Europäischen Union als auch des Europäischen Parlaments hin.

Anders als im Beschluss der Diözesandatenschutzbeauftragten nennt die Stellungnahme über diese eher allgemeinen Hinweise und Kriterien hinaus nun aber auch konkrete Dienste, deren Einsatz im Gültigkeitsbereich des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) aus Sicht des Datenschutzes derzeit unbedenklich seien beziehungsweise benennt konkrete Dienste, von deren Einsatz abgeraten wird.

So gebe es gegen den Einsatz von WhatsApp und Telegram aus Sicht des Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland erhebliche Datenschutzbedenken. Vom Einsatz von Signal rät Michael Jacob wegen verbleibender Datenschutzbedenken bezüglich der Verarbeitung von Kunden- und Kontaktdaten außerhalb der EU / des EWR ab und lediglich die Messenger-Dienste SIMSme und Threema nehmen aktuell die Hürde der datenschutzrechtlichen Unbedenklichkeit.

Ausdrücklich weist der Beauftragte für den Datenschutz in der Evangelischen Kirche darauf hin, dass abschließend die Entwicklung und der Einsatz eines Messenger-Dienstes in Kirche und Diakonie auf Basis von etablierten und frei zugänglichen Protokollen auf föderalen Servern für den Datenschutz der EKD die beste Lösung darstellen würde.

Einschätzung

Auch wenn die ergänzende Stellungnahme des BfdD in der Evangelischen Kirche in Deutschland mit Blick auf die grundsätzliche Beurteilung von Messenger-Diensten kaum Neues bietet, ist die ausdrückliche „Zulässigkeitsbeurteilung“ der aktuell wohl bekanntesten und meistverbreiteten Dienste für die Praxis durchaus interessant. Gerade kleinere Einrichtungen, Vereine und Gesellschaften, die unter den Anwendungsbereich des EKD-Datenschutzgesetzes fallen, dürften von den klaren Aussagen profitieren, da hierdurch ohne eigenen „Prüfungs- und Beurteilungsaufwand“ ein aus Sicht der Datenschutzaufsicht zulässiger Weg für die Nutzung von Messenger-Diensten eingeschlagen werden kann.

Autor: Matthias Herkert, Leiter Fachbereich Consulting und externer Datenschutzbeauftragter