WhatsApp in der Gemeindearbeit? Oder: Wer keine Daten verarbeitet, kann auch keine Verstöße begehen

WhatsApp
WhatsApp

Am besten keine Kinder im Gemeindehaus, dann wird es auch nicht schmutzig. Diese unausgesprochene Botschaft strahlte einer der Küster in meiner Vikariatsgemeinde aus. Je weniger Aktivitäten im Gemeindehaus, desto sauberer bleibt es.
In Bezug auf den Datenschutz erlebe ich oft eine ähnliche Einstellung. Aus Angst vor möglichen Verstößen gegen das Datenschutzrecht verbietet man die Nutzung bestimmter Netzwerke. Wer keine Daten verarbeitet, kann auch keine Verstöße begehen. Statt zu erkunden, unter welchen Umständen WhatsApp gesetzeskonform zu nutzen wäre, am besten die dienstliche WhatsApp-Nutzung generell verbieten, denn dann kann niemand wegen WhatsApp gegen das EKD-Datenschutzgesetz verstoßen. Statt über das meistgenutzte Netzwerk zu kommunizieren, kaprizieren wir uns lieber auf Messengerdienste, die  auf jeden Fall datenschutzkonform  sind, aber in der Breite nicht genutzt werden.  Prima geeignet für binnenkirchliche Selbstgespräche, aber nicht brauchbar, um andere Menschen zu erreichen.

#DigitaleKirche hinter der Firewall?

Als Siegmar Gabriel 2009 SPD-Parteivorsitzender wurde, beschrieb er den Standort seiner Partei so, sie müsse dahin, „wo es brodelt und stinkt“. Für die SPD geht es ums Überleben als Volkspartei, aber auch für uns als Volkskirche stellt sich die Frage: Wollen wir mitten in der Welt sein oder schirmen wir uns hinter Kirchenmauern vor der bösen Welt ab? Für #digitaleKirche besteht die Mauer nicht aus Steinen, sondern ist eine Firewall, die Kirche und Welt voneinander trennen. Statt in aufsuchender oder offener Jugendarbeit über WhatsApp erreichbar zu sein, bieten wir zunächst den Download eines sicheren Messengers an. Nach erfolgter Installation können wir geschützt in einem cleanen System  kommunizieren. Dass wir damit Jugendliche abhängen, nehmen wir billigend in Kauf, damit unsere Kommunikation datenschutzrechtlich sauber ist.
Die Barmer Theologische Erklärung ruft die Kirche dazu auf, „die Botschaft von der freien Gnade Gottes auszurichten an alles Volk.“ Statt zu überlegen, wie wir da präsent sein können, wo die Menschen sind, sorgen wir uns um unsere eigene datenschutzrechtliche Absicherung. Gesetzeskonformität wird der Selbstzweck unseres kirchlichen Handelns.

Information statt Verunsicherung

Die Verunsicherung ist groß, was den Datenschutz betrifft. Dies wurde auf der Tagung „Mehr digitale Souveränität gewinnen“ ein weiteres Mal deutlich. Durch die neue Datenschutzgrundverordnung hat sich eigentlich nicht viel geändert – zumindest was die rechtlichen Regelungen betrifft. Was das Bewusstsein angeht, ist die Lage anders: Unternehmen sehen sich von Abmahnungen und Bußgeldern bedroht, Mitarbeitende fürchten sich vor Abmahnungen und Kündigung wegen Datenrechtsverstößen. Eine Teilnehmerin berichtete im Workshop, wie das Taufanmeldungsformular ihrer Gemeinde auf neun Seiten angewachsen sei, weil die Datenschutzerklärung so lang sei. Gegen Panikmache hilft Aufklärung und Information. Zwar kennt auch das DSG-EKD als Sanktionsmittel die Verhängung von Geldbußen, aber diese können nur gegen am Wettbewerb teilnehmende Unternehmen verhängt werden, außerdem sind sie auf maximal 500.000 Euro beschränkt, im staatlichen dagegen sind es 20 Millionen. Also: auch Fehler bei den datenschutzrechtlichen Hinweise im Taufformular werden die Kirchengemeinde nicht mit Bußgeldern in den finanziellen Ruin treiben, da die Gemeinde bei der Taufe nicht ein am Wettbewerb teilnehmendes Unternehmen ist.
Bei digitaler Souveränität geht es um Selbstbestimmung versus Fremdbestimmung. Um mich verantwortlich für oder gegen etwas entscheiden zu können, benötige ich zunächst das Bewusstsein: von wem werden welche Daten wie lange erhoben? Wenn ich das weiß, kann ich Entscheidung treffen. Häufig geht es dabei um Risiko-Entscheidungen, was angemessen ist. Diese müssen wir als Privatperson, als Unternehmen und auch als Kirche treffen.
 

Risikio-Abschätzung statt Schwarzmalerei

Absolute Aussagen sind problematisch. Die Welt ist nicht schwarz oder weiß, sondern es gibt viele graue Facetten. Das zeigt zum Beispiel das EuGH-Urteil zu Facebook.

YouTube player

Kompetenz zeichnet sich auch durch entsprechende Qualifizierungen aus, so wie man es an der Kommentierung von Rechtsanwalt Marc Meerkamp zum Facebook-Urteil des EuGH merkt, der einleitet: „nach unserer Rechtsauffassung“ ist das Addendum von Facebook zur joint controllership nicht rechtskonform – aber diese Ansicht sei umstritten und noch nicht höchstrichterlich entschieden. In einer Kanzlei, die sich auf Datenschutzrecht spezialisiert hat, kann die Risiko-Abwägung anders ausfallen – das Abschalten der eigenen Facebookseite – als bei anderen Betreibern von Facebook-Pages, die ihre Seiten weiterin online lassen.
Als Verantwortlichen für die landeskirchliche Facebook-Fanpage bedeutet Risiko-Abwägung in diesem konkreten Fall für mich, erstens dass ich die Facebook-Seite unserer Landeskirche nicht abgeschaltet habe und zweitens dass ich die für uns zuständige Datenschutzbeauftragte auf die Problematik hingewiesen habe und um eine entsprechende Einschätzung gebeten habe.
Um auf jeden Fall auf der rechtlich sicheren Seite zu sein, hätte ich natürlich die Facebookseite der Landeskirche abschalten müssen. Einige berichteten auf der Tagung, dass dies genau die Empfehlung des bzw. der örtlichen Datenschutzbeauftragten gewesen sei.
Natürlich müssen wir uns als Kirche an geltende Gesetze halten, aber in vielen Fällen ist eben (noch) nicht klar, was Recht ist. In solchen Fällen müssen wir Risiko-Abschätzungen vornehmen. Woran orientieren wir uns: An unserer eigenen rechtlichen Absicherung oder an den Menschen, denen wir das Evangelium schuldig sind?

Nebenbemerkung für juristisch Interessierte
Auch wenn das Addendum von Facebook rechtskonform wäre, hätten wir für den kirchlichen Bereich einen weiteren juristischen Spezialfall, wie joint controllership DSG-EKD-konform erfolgen kann.

Schibboleth: Wie hältst Du es mit WhatsApp?

Großes Thema – auch in den Workshops war die WhatsApp-Nutzung. Am Umgang mit WhatsApp zeigt sich, wie man sich datenschutzrechtlich  positioniert. Ein Jugendleiter berichtete, dass es von seinem Jugendreferat die Anweisung gebe, in der Jugendarbeit kein WhatsApp mehr zu nutzen, um rechtliche Risiken zu vermeiden. Er merkte dazu an, dass es gerade in der offenen Jugendarbeit in vielen Bereichen durchaus rechtliche Risiken gäbe, die in Kauf genommen würden, um Jugendliche zu erreichen. Aber im Datenschutz scheine die Risikobereitschaft gegen Null zu gehen.
In Bezug auf WhatsApp gibt es eine klare Aussage des EKD-Datenschutzbeauftragten Michael Jacob: „WhatsApp geht nicht“

Wie sieht es mit dem Messengerdienst WhatsApp aus? Ist es in Ordnung, über einen Gruppenchat das Gemeindecafé nach dem Gottesdienst zu organisieren?
Jacob: Nein. Neben dem Problem der Datenübermittlung in die USA geht WhatsApp auch aus einem anderen Grund überhaupt nicht. Der Dienst – das ist seine Erfolgsgeschichte – nutzt als Identifizierungsmerkmal mein Handy-Telefonbuch, also personenbezogene Daten. Automatisch werden damit in meiner WhatsApp-Kontaktliste Menschen aufgeführt, von denen ich dafür nach unseren Datenschutzregeln eigentlich eine Einverständniserklärung einholen müsste. WhatsApp geht daher nicht. Bei Facebook und Twitter müssen wir vor dem Hintergrund der neuen Gesetzeslage noch genau prüfen, was künftig erlaubt ist und was nicht.
Ist die strikte Regel aber nicht weltfremd? Sollte Kirche nicht insbesondere dort sein, wo Menschen miteinander ins Gespräch kommen – auch im Netz?
Jacob: Es überzeugt mich nur bedingt, wenn es heißt, man erreiche Jugendliche nur über diese Plattformen. Jugendliche laden sich jede Menge Apps herunter. Ich wäre dafür, einen eigenen Messengerdienst innerhalb der evangelischen Kirche zu etablieren. Den können wir programmieren, auf deutschen Servern speichern und die Hoheit über die Daten behalten.
Diese Aussage führt dazu, dass viele kirchliche Dienstgeber sagen: WhatsApp darf man dienstlich nicht nutzen.
Aber kann man diese Aussage so absolut treffen? Konkret: Gibt es Wege, WhatsApp datenschutzkonform zu nutzen?
1. Datenübermittlung in die USA ist durchaus problematisch und man kann – so wie das EU-Parlament – für ein Ende des EU-USA-Privacy-Shield votieren, aber die EU-Kommission hat sich dieser Rechtsauffassung (noch) nicht angeschlossen. Der Standort USA ist zurzeit kein K.O.-Kriterium, auch nicht für kirchliches Recht, da das DSG-EKD nach § 10 Datenübermittlung ins Ausland nach Art. 45 DSGVO erlaubt.
2. Das Auslesen des Adressbuches durch WhatsApp geht natürlich nicht, da so ohne Rechtsgrundlage personenbezogene Daten Dritter an WhatsApp übermittelt werden. Aber: es gibt Maßnahmen, dieses zu unterbinden.
Also: für die absolute Aussage, „WhatsApp geht nicht“ sehe ich keine stichhaltige juristische Begründung. Während in der Kirche WhatsApp verbannt wird, berichtet mir ein Freund, der in einem ehemaligen Staatskonzern arbeitet, dass in seinem Unternehmen Kommunikation auf WhatsApp umgestellt wurde. Das Verhindern des Auslesens des Adressbuches wird über VM und Device-Management sichergestellt. Ferner gibt es Konzepte, die WhatsApp in eine Sandbox verlegen, so dass durch die Kapselung das Auslesen des Adressbuches verhindert wird.  So bietet beispielsweise Cisco Device-Managment für DSGVO-konforme WhatsApp-Nutzung für iPhones an. Für Android-Handys gibt es Sandbox-Konzepte, die DSGVO-Compliance ermöglichen sollen. Falls jemand zwingend auf WhatsApp angewiesen ist, um bestimmte Zielgruppen zu erreichen, wäre auch ein Zweithandy denkbar, auf dem keine Adressbücher angelegt sind. Natürlich wäre dann die Nutzung äußerst kompliziert.
Also: WhatsApp datenschutzkonfom nutzen zu können, erfordert einen Aufwand oder bedeutet zusätzliche Kosten. BestimmteLösungen fordern unter Umständen spezielle Endgeräte. Vielleicht sind auch einige Lösungsansätze datenschutzrechtlich nicht eindeutig zu bewerten und bergen ein Risiko. Aber: die generelle Aussage, eine dienstliche Nutzung von WhatsApp in der evangelischen Kirche ist unmöglich, kann ich nicht nachvollziehen.
Um es deutlich zu sagen: Ich finde das Geschäftsmodell von WhatsApp, wonach die User mit den Daten Dritter bezahlen, ethisch sehr bedenklich, aber das persönliche Missbilligen eines Geschäftsmodell ist keine juristische Kategorie.
Statt zu überlegen, wie man WhatsApp datenschutzkonform nutzen kann, sehnt sich der EKD-Datenschutzbeautragte selbstprorammierte Messengerdienste herbei und träumt von deutschen Servern:

Ich wäre dafür, einen eigenen Messengerdienst innerhalb der evangelischen Kirche zu etablieren. Den können wir programmieren, auf deutschen Servern speichern und die Hoheit über die Daten behalten.

Abgesehen davon, dass auch das EKD-Datenschutzgesetz nicht den Serverstandort Deutschland, sondern die Europäische Union voraussetzt, frage ich mich, ob Messenger-Programmierung wirklich die Kernkompetenz der evangelischen Kirche ist und wir uns als Kirche auf die Verbreitung eines kircheneigenen Messengers fokussieren sollen. Oder ob wir uns besser darauf konzentrieren sollten, das Evangelium zu verkünden und für den Nächsten da zu sein – und zu prüfen, unter welchen Bedingungen das auch mit WhatsApp möglich ist.
 

Plädoyer für digitale Souveränität

Die reale Welt ist nicht schwarz oder weiß, sondern es gibt viele Grautöne. Gehen wir dahin, wo die Menschen sind und lassen uns auf die sündige Welt ein oder ziehen wir uns in die sichere heile Welt innerhalb unserer selbstgeschaffenen Firewalls zurück? Beim Datenschutz geht es auch um unser eigenes Selbstverständnis als Kirche.
Natürlich dürfen wir niemand drängen, WhatsApp zu nutzen. Ich habe deshalb auch einen anderen, sicheren Messenger auf meinem Handy. Wer will, kann mich darüber erreichen.
Wir dürfen auch keine kirchlichen Mitarbeitenden zwingen, WhatsApp zu nutzen, wenn er oder sie es aus Gründen der Datensouveränität ablehnt.
Digitale Souveränität heißt aber auch, andere Entscheidungen als meine eigene zu respektieren. Wenn jemand für sich Bequemlichkeit über Sicherheit wählt oder lieber mit seinen Daten als mit Geld bezahlt, darf dies kein Grund sein, ihm den Kontakt zu verweigern. Oder wenn jemand kein Bewusstsein für den Umgang mit personenbezogenen Daten hat, ist vielleicht Datenschutz nicht sein dringendstes Problem.
Und wir sollten dankbar sein für die Mitarbeitenden, die sich für die WhatsApp-Nutzung entscheiden, weil sie so nah bei Menschen sein können – trotz rechtlicher Risiken und ethischer Bedenken. Ein Streetworker auf der Tagung: „Wie erreicht mich in Zukunft Toby, wenn er einen Schlafplatz für die Nacht sucht?“
 
 
 

Autor:in


5 Antworten zu “WhatsApp in der Gemeindearbeit? Oder: Wer keine Daten verarbeitet, kann auch keine Verstöße begehen”

  1. Nun gut. Wenn man dann noch zwischenzeitlich auf freie Software umsteigt und so nach und nach auf nachvollziehbare Weise deutlich macht, dass es auch anders geht, könnte ich WhatsApp gerne nutzen. Bei dem hier skizzierten Szenario ist in der Gemeindearbeit das Problem, das schlicht alles bleibt wie es ist. Denn man darf ja WhatsApp nutzen. Und dann ist es ja gut.

  2. Gegen die Nutzung von WhatsApp durch Hauptamtliche spechen vor allem die Nutzungsbedingungen von WhatsApp: “Du wirst unsere Dienste nicht auf eine Art und Weise nutzen (bzw. anderen bei der Nutzung helfen), die: […] (f) eine nicht-private Nutzung unserer Dienste beinhaltet, es sei denn, dies wurde von uns genehmigt.” https://www.whatsapp.com/legal/?eea=1#terms-of-service
    Ob man sich daran hält, kann man dann wieder selbst abwägen 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.