Kirchlicher Datenschutz: Kriterien für Messenger vorgestellt
Konferenz der Datenschutzbeauftragten legt Liste vor

Kirchlicher Datenschutz: Kriterien für Messenger vorgestellt

Die Konferenz der Diözesandatenschutzbeauftragten hat Kriterien für den Einsatz von Messenger-Diensten in der Kirche veröffentlicht. Außerdem gibt sie Hinweise für die Verwendung von Cookies.

- 17.08.2018

Die Konferenz der Diözesandatenschutzbeauftragten hat Kriterien für den rechtmäßigen Einsatz von Messenger-Diensten in der Kirche aufgestellt. In dem am Donnerstag veröffentlichten Beschluss der Konferenz legen die Datenschützer Mindeststandards fest, die verwendete Chat-Software erfüllen muss. Dazu gehören der Serverstandort, Verschlüsselung, eine möglichst geringe Anzahl von gespeicherten Daten und die Respektierung der Rechte Dritter. Insbesondere Dienste, die ohne Einwilligung der Betroffenen Kontaktdaten automatisch auf den eigenen Server laden, sind nicht zulässig.

Im Mai 2017 hatte die Konferenz bereits Kriterien beschlossen, die weitgehend den jetzt veröffentlichten entsprechen. Neu ist, dass nun im Einklang mit dem Gesetz über den kirchlichen Datenschutz (KDG) eine Verarbeitung außerhalb des Europäischen Wirtschaftsraums nicht mehr kategorisch ausgeschlossen wird, sofern bestimmte Kriterien erfüllt sind. Dazu gehören beispielsweise sogenannten "Angemessenheitsbeschlüsse" der Europäischen Kommission, die ein der EU vergleichbares Datenschutzniveau bestätigen.

Datenübertragung in USA unter Bedingungen möglich

Gegenüber katholisch.de bestätigte der Vorsitzende der Konferenz der Diözesandatenschutzbeauftragten, Andreas Mündelein, dass damit grundsätzlich auch eine Datenübertragung in die USA möglich sei, solange sich der Anbieter dem "EU-US-Privacy-Shield" unterwirft. Gemäß dieser Absprache können sich US-Unternehmen freiwillig auf ein dem EU-Recht vergleichbares Datenschutzniveau verpflichten.

Wieviel Whatsapp ist in der Kirche erlaubt?

Firmung ohne WhatsApp? Wie soll das gehen? Menschen im Digitalen erreichen, wenn nur datenschutzkonforme Messaging-Apps benutzt werden dürfen, geht das überhaupt? Vor diesen Fragen steht nicht nur die kirchliche Jugendarbeit. Elaine Rudolphi ist pastorale Mitarbeiterin in einer Pfarrei in Bremen und nutzt in ihrer täglichen Arbeit in der Gemeinde viele verschiedene Online-Dienste: Facebook, Dropbox– und natürlich WhatsApp.

Die Absprache steht allerdings seitens des EU-Parlaments in der Kritik; im Juni hatte der zuständige Ausschuss des Parlaments die Kommission aufgefordert, den Angemessenheitsbeschluss zurückzuziehen. Sollte dies passieren, wäre eine Berufung auf die Absprache im Geltungsbereich des KDG nicht weiter möglich. "Man sollte auf jeden Fall eine Exit-Strategie haben", betont daher Mündelein, sofern eine kirchliche Einrichtung Dienste nutze, die Daten gemäß Privacy Shield in den USA verarbeiten.

Einschätzungen zu konkreten Diensten nehmen die Datenschutzbeauftragten nicht vor. Die Kriterien müssen also weiterhin von den Anwendern, beispielsweise Pfarreien oder Verbänden, selbst überprüft werden.

Beschlüsse zu Datenschutzfolgeabschätzungen und Cookies

Außerdem wurden drei weitere Entscheidungen der Konferenz veröffentlicht. Ein Beschluss listet Datenverarbeitungsvorgänge auf, die mit besonders hohem Risiko verbunden sind und daher stets eine sogenannte "Datenschutzfolgeabschätzung" sowie gegebenenfalls eine Konsultation mit der Aufsichtsbehörde benötigen. Die von der Konferenz genannten Fälle betreffen vor allem den medizinischen und sozialen Bereich.

Datenschutz: Niemand sollte vor Gebühren Angst haben

Seit dem 24. Mai 2018 gilt das neue Gesetz über den kirchlichen Datenschutz (KDG). Ein Tag vor der europäischen Datenschutzgrundverordnung (EU-DSGVO) ist in der Kirche ein umfangreiches neues Regelwerk in Kraft getreten. Seither wird viel diskutiert: Sind die Regeln zu streng? Zu weltfremd? Was darf man jetzt überhaupt noch?

Ein weiterer Beschluss gibt "Hinweise zur Verwendung von Cookies". Ohne explizite Einwilligung ist eine Nutzung dieser Speichertechnik, bei der Informationen im Browser des Nutzers abgelegt werden und von der Webseite später verwendet werden können, nur für "technisch zwingend erforderliche Cookies" zulässig. In anderen Fällen, beispielsweise dem Erheben statistischer Nutzungsdaten, ist die Einwilligung des Nutzers erforderlich.

Beschlüsse der Konferenz sind keine Gesetze

Schließlich betonen die Diözesandatenschutzbeauftragten in einem dritten Beschluss die rechtliche Qualität ihrer Beschlüsse. Als Datenschutzaufsichten können sie selbst kein kirchliches Recht setzen, dies ist den Bischöfen vorbehalten: "Die Konferenz der Diözesandatenschutzbeauftragten stellt daher fest, dass die Beschlüsse der Konferenz die Rechtsauffassung der Diözesandatenschutzbeauftragten wiedergeben." Beschlüsse der Konferenz sind daher nicht unmittelbar bindend, machen aber den Prüfmaßstab transparent, nach dem die Datenschutzaufsichten handeln.

Das KDG ist seit dem 24. Mai in Kraft. Mit dem von den Bischöfen erlassenen Gesetz regelt die katholische Kirche den Datenschutz in ihrem Bereich. Religionsgemeinschaften dürfen eigene Datenschutzgesetze anwenden, sofern sie im Einklang mit der seit dem 25. Mai 2018 geltenden europäischen Datenschutzgrundverordnung stehen. Dabei sind sie verpflichtet, unabhängige Datenschutzaufsichtsbehörden einzurichten. Dazu wurden in Deutschland fünf Behörden eingerichtet, die von einem Diözesandatenschutzbeauftragten geleitet werden und jeweils für mehrere Bistümer zuständig sind. Die Konferenz der Diözesandatenschutzbeauftragten berät gemeinsame Themen und spricht Empfehlungen aus. Ihr Vorsitzender ist der für die norddeutschen Bistümer Hamburg, Hildesheim, Osnabrück und das Offizialat Vechta zuständige Andreas Mündelein. (fxn)