Wieviel WhatsApp ist in der Kirche erlaubt?

Firmung ohne WhatsApp? Wie soll das gehen? Menschen im Digitalen erreichen, wenn nur datenschutzkonforme Messaging-Apps benutzt werden dürfen, geht das überhaupt? Vor diesen Fragen steht nicht nur die kirchliche Jugendarbeit. Elaine Rudolphi ist pastorale Mitarbeiterin in einer Pfarrei in Bremen und nutzt in ihrer täglichen Arbeit in der Gemeinde viele verschiedene Online-Dienste: Facebook, Dropbox– und natürlich WhatsApp. Von der Firmvorbereitung über die Planung der Lektorendienste bis zu einem Infodienst, der über aktuelle Veranstaltungen informiert: Ohne zeitgemäße Kommunikationsmittel wäre das alles sehr viel umständlicher.

Doch eigentlich ist das jetzt schon nicht erlaubt. Das kirchliche WhatsApp-Verbot gilt schon länger; schon im März 2017 haben sich die Diözesandatenschutzbeauftragten darauf geeinigt, dass der Messenger nicht mit dem kirchlichen Datenschutzrecht vereinbar ist. Indes: Wirkung hatte das Verbot kaum, viele innovative Kommunikationsprojekte setzen immer noch auf den Messenger: In Hamburg schickt der Erzbischof Nachrichten aufs Handy, in Würzburg gibt es spirituelle Impulse der Onlineredaktion, und kaum eine Jugendgruppe, kaum ein Pfarrgemeinderat, der ohne eine WhatsApp-Gruppe zur schnellen Kommunikation auskommen würde – wie in Rudolphis Bremer Pfarrei.

Ende Mai tritt das neue Datenschutzrecht in Kraft

"Wenn ich meiner Pfarrgemeinderatsvorsitzenden sage, sie darf die Lektorendienste nicht mehr über WhatsApp organisieren, dann zeigt die mir doch den Vogel!", erzählt Rudolphi. Dabei ist sie alles andere als naiv im Umgang mit Kommunikationstechnik: Wenn man wollte, könnte man völlig sicher mit ihr kommunizieren, sie kennt sich mit der Technik aus, nutzt E-Mail-Verschlüsselung und betreibt längst ihren eigenen Server statt der Dropbox mit den Daten in den USA zu verwenden. Und sie wäre auch bereit, datenschutzkonforme Messenger zu benutzen. Nur: "Da ist ja niemand. Und wenn ich in Pfarrbüros frage, wie ich denen verschlüsselte Mails schreiben kann, dann haben die nur Fragezeichen in den Augen."

Das könnte jetzt vielleicht anders werden: Am 25. Mai tritt die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft: Erstmals gilt in allen Mitgliedsstaaten der EU ein einheitliches Datenschutzgesetz. In der Kirche gibt es ein eigenes Gesetz über den kirchlichen Datenschutz (KDG), das einen Tag vorher in Kraft tritt und die alte "Anordnung über den kirchlichen Datenschutz" (KDO) ersetzt. Die Regelungen der EU-Verordnung und des kirchlichen Gesetzes sind fast wortgleich – und sie erhöhen das Datenschutzniveau deutlich. Verbraucher sollen ihre persönlichen Daten umfassend schützen können; wer personenbezogene Daten verarbeitet, braucht dafür die Einwilligung der Betroffenen, es gibt Auskunftsrechte gegenüber Datenverarbeitern, Software muss so gebaut sein, dass sie möglichst wenige Daten sammelt.

Vieles davon ist nicht neu und war schon im alten Bundesdatenschutzgesetz (BDSG) und im kirchlichen Bereich in der KDO so geregelt. Doch mit dem neuen Gesetz bekommt das Thema Datenschutz einen höheren Stellenwert, viele bemerken erst jetzt, wozu sie vorher schon verpflichtet waren. Eine transparente Darstellung etwa, welche Daten eine Webseite erhebt und verarbeitet.

Muss man Erwachsene vor sich selbst schützen?

Grundsätzlich hält das auch Rudolphi für eine gute Idee. "Ich bin für Datenschutz", sagt sie. Aber Verbote, populäre Kommunikationsmittel zu nutzen, hält sie für den falschen Weg: "Ich kann doch nicht erwachsene Leute, die sich längst für ein System entschieden haben, vor sich selbst schützen!" Stattdessen brauche es vor allem Bildung, die Bewusstsein für Datenschutz schafft und Menschen in die Lage versetzt, eigenverantwortlich zu entscheiden.

Den Stellenwert für die Kirche betont auch Erzbischof Stefan Heße: "Das Thema Datenschutz wird aus meiner Sicht immer wichtiger. Es ist ein hohes Gut, was erhalten werden muss", sagt er dazu: "Auch wir müssen sorgsam mit personenbezogenen Daten umgehen." Davon gibt es in der Kirche viele: Taufregister, die Daten über Gemeindemitglieder, aber auch all die digitalen Informationen, die durch Aktivitäten im Netz anfallen.

Die Unsicherheit ist groß

Immer wieder liest man dieser Tage in Lokalzeitungen von Vereinen und Unternehmen, die verunsichert sind, was das neue Recht für sie bedeutet. Und auch in kirchlichen Einrichtungen ist die Unsicherheit groß. Elaine Rudolphi ist sich nicht sicher, was nach dem 24. Mai überhaupt noch zulässig ist: Wenn Messenger-Dienste verschlüsselt sein müssen, um zulässig zu sein – was bedeutet das für E-Mails, die technisch so wenig geschützt sind wie eine Postkarte? Und wie soll so etwas erst jemand beurteilen, der sich nicht so tief in die Technik eingearbeitet hat wie Rudolphi, die im Gespräch ohne Atem zu holen aufzählt, wie sie ihre privaten Server gesichert hat, welche Software sie dafür einsetzt, und warum ihre Pfarrei-Webseite demnächst auch verschlüsselt angeboten wird?

"Die Leute sind verunsichert, weil es viele Änderungen gibt, mit denen sie noch nichts anfangen können", sagt Jupp Joachimski. Er war früher Vorsitzender Richter am Bayerischen Obersten Landesgericht. Heute ist der Jurist als Diözesandatenschutzbeauftragter für die bayerischen Diözesen zuständig: Er sorgt dafür, dass kirchliche Stellen die Datenschutzregeln einhalten. Die Unsicherheit sei auch deshalb groß, weil viele Unternehmen, die Dienstleistungen im Bereich Datenschutz anbieten, offensiv um Kunden werben würden. Mit Arbeitshilfen und Checklisten unterstützen Joachimski und die anderen Diözesan-Datenschützer kirchliche Einrichtungen bei der Umstellung auf das neue Recht. Und eigentlich gebe es auch keinen Grund für die Verunsicherung: "Wir werden viel Verständnis für die Schwierigkeiten beim Übergang haben", kündigt er an.

WhatsApp bleibt verboten

Bei einer Sache werden die Datenschützer allerdings hart bleiben: WhatsApp bleibt verboten. Das wird sich auch nicht ändern: "Wenn deutsche Gerichte Menschen verurteilen, weil sie WhatsApp verwenden und deswegen ihren Kontakten ein Nachteil geschieht, meinen Sie, wir können das dann in der Kirche erlauben?", sagt Joachimski. Die kirchlichen Datenschützer hätten angesichts der Gesetzeslage in dieser Sache gar keinen Ermessensspielraum, erläutert er. Das Argument, nur über WhatsApp könne man genügend Menschen erreichen, lässt er auch nicht gelten. Er zählt einige Dienste auf, die datensparsam arbeiten und auch keine Daten in den USA speichern: "Wenn ich Wert darauf lege, mit meinen Firmlingen per Messenger zu korrespondieren, dann kann ich doch einen datenschutzkonformen Messenger vorgeben und sagen: Ladet euch den runter!"

Genau das hat Rudolphi versucht: "Die klare Antwort der Firmanden ist: 'Wir installieren uns doch nicht noch einen Messenger!'" Sie hat sogar angeboten, die Kosten für einen datenschutzkonformen Messenger zu übernehmen – ohne Erfolg: "Da ist doch niemand!", sagten die Jugendlichen.

Diese Einschätzung bestätigen auch andere. Das Bistum Würzburg erreicht fast 2.000 Menschen per Messenger. Über 1.900 davon nutzen WhatsApp, über die datensparsame Alternative Telegram haben nur wenige Dutzend Menschen die Glaubensimpulse abonniert. "Mir scheint es aktuell ein Ding der Unmöglichkeit zu sein, eine datensparsame Alternative zielführend zu etablieren", sagt Johannes Schenkel, der Leiter der Würzburger Online-Redaktion. Ähnlich sieht es im Bistum Speyer aus. Die Netzgemeinde "da_zwischen", eines der derzeit innovativsten pastoralen Angebote in Deutschland, kann ähnliche Zahlen vorweisen. Von den über 2.100 virtuellen Gemeindemitgliedern nutzen fast 2.000 WhatsApp, der Rest verteilt sich auf alternative Dienste: Knapp 50 kommunizieren per Telegram mit der Netzgemeinde, den Dienst Insta nutzen noch weniger.

Datenschutzkonforme Nutzung ist schwierig

Immerhin: Das WhatsApp-Verbot ist nicht absolut. Die Nutzung sogenannter "Broadcast-Listen", einer Art Nachrichten-Verteiler, ist datenschutzkonform möglich. Der bayerische kirchliche Datenschutzbeauftragte hat das Würzburger Modell, das auf dieser Technik beruht, überprüft und für unbedenklich befunden.

Was weiterhin nicht erlaubt ist, sind Angebote, bei denen der Messenger so benutzt wird, wie man es auch als Privatperson kennt: Als einfache Kontaktmöglichkeit zum Chatten und sich zu organisieren – die Umsetzung des Verbots würde daher auch in Bremen bedeuten, dass vieles in der Pfarrei von Rudolphi nicht mehr möglich wäre. Dabei geht sie jetzt schon sehr sorgfältig vor: Der WhatsApp-Account ist auf einem eigenen Smartphone installiert, auf dem keine Kontaktdaten im Telefonbuch gespeichert sind. Die Synchronisierung der Daten mit anderen Servern in der Cloud ist abgestellt. Erlaubt ist das trotzdem nicht – obwohl das wegen der verwendeten Verschlüsselung, so Rudolphi, "hundertmal datenschutzfreundlicher ist als jede E-Mail-Liste".

Auch der Hamburger Erzbischof Heße hat seinen WhatsApp-Dienst technisch geschützt. Ursprünglich wollte er einen schnellen Kommunikationskanal: "Die Begegnungen mit Jugendlichen und jungen Erwachsenen liegen mir sehr am Herzen. Sie können durch dieses Medium eine schöne Ergänzung erfahren. Zudem bin ich so für junge Menschen auf einem zusätzlichen Kanal ansprechbar", erläutert er sein Engagement. Um den Datenschutz zu verbessern, setzt er jetzt auf einen Dienstleister, der besonders datensparsame Broadcast-Listen anbietet.

Der Spielraum der Kirche im Datenschutz ist gering

Heßes Anliegen ist es, gleichzeitig ein hohes Datenschutzniveau einzuhalten und pastorale Kontakte zu ermöglichen. Dazu gehört aus seiner Sicht auch Online-Kommunikation: "Wir müssen sehen, dass sich auch die Art und Weise, wie Menschen miteinander kommunizieren, verändert hat. Das Internet bietet hier viele Möglichkeiten, die für die pastorale Arbeit von großer Bedeutung sein können."

Als Diözesanbischof ist Heße in einer Doppelrolle: Einmal ist er selbst ein Messenger-Nutzer und muss sich an das kirchliche Datenschutzrecht halten. Er ist aber gleichzeitig auch der Gesetzgeber, der für den Bereich seines Erzbistums das Gesetz über den kirchlichen Datenschutz erlassen hat. Sein Spielraum ist dabei aber nicht groß: Das kirchliche Datenschutzrecht muss, so sieht es der europäische Gesetzgeber vor, ein ähnlich hohes Datenschutzniveau wie das europäische Recht gewähren. Das von allen 27 deutschen Diözesanbischöfen erlassene KDG ist daher in weiten Teilen auch wortgleich mit der EU-Verordnung, nur im Detail gibt es Änderungen. Auch als Gesetzgeber ist Heße daher nicht völlig frei: "Wir müssen schauen, wie im Rahmen der bestehenden Gesetze die pastorale Arbeit im digitalen Bereich weiter möglich bleibt."

Bei der Erarbeitung des kirchlichen Datenschutzgesetzes waren die Datenschutz- und Rechtsfachleute unter sich. Zwar haben die Fachleute auch durch ihre Erfahrung als Datenschutzbeauftragte viel Erfahrung damit, wie in Pfarreien und Verbänden gearbeitet wird. Vertreter der Pastoral sind aber nicht beteiligt. "Das ist ja grundsätzlich keine Frage einer pastoralen Praxis", sagt auch Erzbischof Heße, und aufgrund der Vorgaben durch die EU habe man ohnehin keinen großen Spielraum: "Das ist nichts, was sich die Bischöfe ausgedacht haben. Als Kirche stehen wir hier nicht außerhalb des gesetzlichen Rahmens."

Dieselben Standards wie staatliche Behörden

Unter das kirchliche Datenschutzrecht fallen grundsätzlich alle kirchlichen Einrichtungen, und zwar unabhängig davon, in welcher Rechtsform sie organisiert sind: Das kirchliche Krankenhaus wie die Pfarrei, aber auch ehrenamtlich arbeitende Vereine und Verbände wie Pfarrjugenden, Kolpingfamilien und Pfadfinderstämme.

Unter kirchliches Datenschutzrecht zu fallen, hat Vorteile: So sind beispielsweise die Strafzahlungen niedriger, die die Aufsichtsbehörden bei Datenschutzverstößen verhängen können. Aber es bringt auch Nachteile mit sich: Kirchlicher Datenschutz muss Anforderungen erfüllen, die so streng wie bei staatlichen Behörden sind – bis hin zu ehrenamtlichen Vereinen.

Schon sind erste Fehler im KDG aufgefallen

Innerhalb von drei Jahren soll das kirchliche Datenschutzgesetz überprüft werden, so steht es im Gesetz. Einige handwerkliche Fehler sind schon aufgefallen: So verlangt das KDG beispielsweise eine schriftliche Einwilligung in die Datenverarbeitung. Im EU-Gesetz braucht es die Schriftform nicht. Setzte man das wirklich um, so müsste man bei Fotos von einer Großveranstaltung von allen die schriftliche Bestätigung einholen, dass sie mit einem Foto einverstanden sind, auf dem sie erkennbar sind. Eine bloße mündliche Ankündigung würde nicht genügen. Hier kündigt der KDG-Mitautor Joachimski an, dass das wohl schon bald geändert wird.

Anderes ist schwieriger, weil es auch im staatlichen Recht problematisch ist. So ist nicht klar, ob das Kunsturhebergesetz (KUG) weiterhin gilt, das bisher beispielsweise das Fotografieren von öffentlichen Veranstaltungen geregelt hat und eine wichtige Grundlage für die Arbeit von Journalisten und Pressestellen, aber auch für die Öffentlichkeitsarbeit von Vereinen und Kirchen war. Als EU-Verordnung geht die Datenschutzgrundverordnung einem deutschen Bundesgesetz vor; eine Ausnahme für die Pressefreiheit wäre zwar möglich, das hat aber der Gesetzgeber bisher versäumt: Weder das neue Bundesdatenschutzgesetz noch die Pressegesetze der Länder klären das. Gewerkschaften und Verbände von Journalisten und Pressesprechern üben daran scharfe Kritik.

Die Schafe riechen nach WhatsApp

Auch im kirchlichen Bereich sind sich die Diözesandatenschutzbeauftragten in dieser Sache nicht einig. Nur der bayerische, zuständig für die sieben Diözesen im Freistaat, geht davon aus, dass das Kunsturhebergesetz weitergilt. Seine vier Kollegen, die sich um die restlichen deutschen Bistümer kümmern, sehen es anders. Das führt zu dem kuriosen Ergebnis, dass eine kirchliche Pressestelle in Bayern das Foto von einer Fronleichnamsprozession veröffentlichen könnte. Ist die Prozession nicht in München oder Augsburg, sondern in Köln oder Freiburg, könnten sich kirchliche Pressestellen dagegen nicht auf das Gesetz berufen.

Es gibt also viel zu tun bei der Überarbeitung des kirchlichen Datenschutzes. Elaine Rudolphi hofft dabei auf mehr Pragmatismus und einen Blick darauf, wie Menschen tatsächlich Technik nutzen. Sie wünscht sich, als pastorale Mitarbeiterin dort ansprechbar zu sein, wo die Menschen auch sind: "Papst Franziskus will doch, dass die Hirten den Geruch der Schafe annehmen. Und die Schafe riechen eben nach WhatsApp, nicht nach Signal oder Threema oder Telegram."