Katholische Datenschützerin nennt Kriterien für Videokonferenzen
Orientierungshilfe für Corona-Homeoffice veröffentlicht

Katholische Datenschützerin nennt Kriterien für Videokonferenzen

Auch in der Kirche wird in der Corona-Krise viel von zu Hause aus gearbeitet, oft mit Videokonferenzen. Damit das datenschutzkonform ablaufen kann, hat die katholische Datenschutzaufsicht nun eine Orientierungshilfe veröffentlicht.

Frankfurt - 15.04.2020

Das Katholisches Datenschutzzentrum Frankfurt hat eine Orientierungshilfe zum Einsatz von Online-Meeting-Tools und Videokonferenzsystemen veröffentlicht. In dem auf April 2020 datierten Dokument stellt die Aufsichtsbehörde Kriterien auf, mit denen der Einsatz entsprechender Systeme in kirchlichen Einrichtungen datenschutzrechtlich bewertet werden können. Eine Prüfung einzelner Dienste wurde dabei nicht vorgenommen. Die Frage nach einer Bewertung von Online-Meeting-Tools hätten das Datenschutzzentrum in den letzten Wochen vermehrt erreicht, daher wolle man eine "erste Hilfestellung" ohne Anspruch auf Vollständigkeit zur Verfügung stellen.

In der Stellungnahme betont die Behörde, dass zunächst geprüft werden müsse, ob eine Videokonferenz überhaupt nötig sei: "Im Sinne von Datensparsamkeit und Datenminimierung ist immer der Telefonkonferenz der Vorzug zu geben." Als Beurteilungskriterien werden unter anderem der Serverstandort, vertragliche Regelungen mit dem Anbieter, technische Maßnahmen wie Verschlüsselung, Speicherung und Löschung von Aufzeichnungen und weiteren Daten genannt.

Evangelische Datenschutzaufsicht hat sich ebenfalls geäußert

Außerdem gibt die Datenschutzaufsicht weitere Hinweise zum Umgang in Videokonferenzen, etwa eine klare Regelung, wer teilnimmt und dass unberechtigte Zugriffe durch Passwortschutz zu verhindern sind. Teilnehmer an Videokonferenzen müssen darauf achten, dass bei einer Übertragung von Bildschirminhalten und im Hintergrund der Aufnahme keine Informationen zu sehen sind, die nicht für andere Teilnehmer der Konferenz bestimmt sind. Arbeits- und mitarbeitervertretungsrechtliche Aspekte der Nutzung von Videokonferenzen spart die Handreichung explizit aus.

Papst in einer Videokonferenz

Papst Franziskus spricht in einer Videokonferenz mit japanischen Studenten in Tokyo – für das japanische Datenschutzrecht gibt es einen Angemessenheitsbeschluss der EU-Kommission.

Die Datenschutzaufsicht der Evangelischen Kirche in Deutschland (EKD) hat Anfang April ebenfalls entsprechende Kriterien veröffentlicht, die weitgehend deckungsgleiche Ratschläge erteilen. Die evangelische Behörde vertritt darin zudem die Ansicht, dass vor dem Einsatz eines Videokonferenzsystems grundsätzlich eine Datenschutz-Folgenabschätzung vorgenommen werden müsse. Dieses Verfahren zur Prüfung von Prozessen schreiben die Datenschutzgesetze vor, wenn durch eine Datenverarbeitung ein besonders hohes Risiko besteht. In der katholischen Orientierungshilfe wird keine entsprechende Verpflichtung vertreten, Online-Meeting-Tools kommen auch nicht in der von der Konferenz der Diözesandatenschutzbeauftragten Positivliste von Datenverarbeitungsvorgängen vor, bei denen stets eine derartige Folgenabschätzung vorzunehmen ist. Gegenüber katholisch.de bestätigte die Diözesandatenschutzbeauftragte Ursula Becker-​Rathmair allerdings, dass sie die Position der evangelischen Datenschutzaufsicht teile und in der Regel eine Datenschutzfolgenabschätzung vor der Einführung von Videokonferenzsystemen nötig sei.

Erzbistum Hamburg setzt Freie Software für Videokonferenzen ein

Im Zuge der Corona-Krise hat die Verwendung von Online-Meeting-Tools und Videokonferenzsystemen deutlich zugenommen; Anbieter derartiger Software berichten von erhöhter Nachfrage und steigendem Datendurchsatz. Gleichzeitig wurden auch Sicherheitslücken und Datenschutzprobleme bei populären Anbietern offenbar. Auch einige Landesdatenschutzbehörden haben sich bereits zu Videokonferenzsystemen geäußert.

Neben kommerziellen Lösungen gibt es auch Freie Software, die auf eigenen Servern datensparsam betrieben werden kann. Auf dieser Grundlage stellt das Erzbistum Hamburg seinen Pfarreien und Institutionen auf eigenen Servern unter der Adresse conference.ecclesias.net das Videokonferenzsystem Jitsi Meet zur Verfügung. "Wir möchten mit diesem Angebot möglichst viel Kommunikation in dieser besonderen Situation ermöglichen", so Bistumssprecher Manfred Nielen gegenüber katholisch.de. 

Die Kirchen haben gemäß der Europäischen Datenschutzgrundverordnung (EU-DSGVO) das Recht, eigene Datenschutzgesetze anzuwenden und unabhängige Aufsichtsbehörden einzurichten. Das Katholische Datenschutzzentrum Frankfurt/M. ist die kirchliche Datenschutzaufsicht für die Bistümer Freiburg, Fulda, Limburg, Mainz, Rottenburg-Stuttgart, Speyer und Trier. Die kirchliche Behörde wurde im Januar 2018 vor Inkrafttreten des Gesetzes über den kirchlichen Datenschutz (KDG) im Mai eingerichtet und wird seither von der Juristin Ursula Becker-​Rathmair geleitet. (fxn)

Ergänzung, 16. April 2020: Ergänzt um Stellungnahme der Diözesandatenschutzbeauftragten zur Notwendigkeit einer Datenschutzfolgenabschätzung.