Datenschutzkonformer Einsatz von Messengern in kirchlichen evangelischen Stellen

Der datenschutzkonforme Einsatz von Messengerdiensten in Unternehmen und sozialen Einrichtungen ist ein schwieriges Thema. Mehr und mehr wird die Kommunikation per Messenger von Klienten gewünscht. Trotz aller Datenschutzdiskussionen wird von den betreuten Klienten und den betroffenen Mitarbeitern fast immer nur ein Wunschmessenger genannt: WhatsApp. Das liegt vermutlich an der starken Verbreitung des kostenlosen Messengers und an der Bequemlichkeit Alternativen einzusetzen.

Im Folgenden berücksichtigt dieser Artikel den aktuellen Diskussionsstand der Einsatzmöglichkeiten von Messengern in kirchlichen Stellen, die dem evangelischen Datenschutzrecht (DSG-EKD) unterliegen. Dabei werden die verfügbaren offiziellen Stellungnahmen und Informationen von Datenschutz-Infotagen und Praxiserfahrungen als Datenschutzbeauftragte in kirchlichen Stellen zusammengeführt.

 

Klienten wünschen Kommunikation per Messenger

In evangelischen, kirchlichen Stellen sind Diskussionen zum Einsatz von Messengerdiensten ein häufiges Thema. Viele Fachbereiche mit Klientenkontakt, z.B. im Bereich der Jugendhilfe, der Flüchtlingshilfe oder mit Schülern und Auszubildenden berichten, dass die Kommunikation sich mehr und mehr in Richtung Messenger verlagert. Nicht nur junge Menschen sind es, die die Messenger einsetzen wollen, auch immer mehr erwachsene Klienten oder Angehörige wünschen diesen Kommunikationsweg.

 

Hinweise auf alternative datenschutzkonforme Kommunikationswege wie z.B. SMS oder E-Mail scheitern in der Praxis z.B. daran, dass Familien oder die betreuten Jugendlichen nur noch über Datenverträge jedoch nicht mehr über Telefonverträge für ihre Mobilgeräte verfügen. Anrufe werden durch Messenger Sprachnachrichten ersetzt und ein Telefonat ist mangels vorhandenem Vertrag teilweise gar nicht mehr möglich.

 

Datenschutzbeauftragte in kirchlichen Stellen, die datenschutzkonforme Lösungen finden wollen, stecken in einer Zwickmühle.Sie sind sich der Datenschutzproblematik mit WhatsApp bewusst. Gegenüber den Leitungen in ihren verantwortlichen Stellen können Sie jedoch keine wirklichen Alternativen nennen, die kostenlos und gleichzeitig flächendeckend verbreitet sind.

 

Kritische Stellungnahmen der EKD zum WhatsApp Einsatz

Bereits am 23. Mai 2017 hatte der Beauftragte für den Datenschutz der EKD (BfD EKD) in seiner Stellungnahme Position zu den Problemen (z.B. Hochladen des eigenen Adressbuches auf Server der Anbieter in Länder außerhalb von Europa mit nicht ausreichendem Datenschutzniveau, unsichere oder lückenhafte Ende-zu-Ende-Verschlüsselung in der Kommunikation, Speicherung und Verwendung umfassender Protokolldaten des Nutzers durch den Dienstanbieter, Übermittlung von besonderen personenbezogenen Daten) genommen. Als Fazit stellte der Beauftragte fest, dass ein dienstlicher Einsatz eines Messengers nur dann möglich sei, wenn diese sorgfältig geprüft werden, alle gesetzlichen Anforderungen erfüllt werden und kein Verstoß gegen die oben genannten Punkte erfolge. Er stellte außerdem fest: „Nach gültiger Rechtslage ist die Mehrheit der derzeit in den App-Stores angebotenen Messenger-Dienste im evangelischen Bereich nicht datenschutzkonform einsetzbar.“

 

Datenschutzkonforme Produktempfehlungen für Messenger

Nach dieser Stellungnahme gingen viele Anfragen beim Bfd EKD zu konkreten Produktempfehlungen ein. Als Reaktion darauf veröffentlichte dieser am 24. Oktober 2018 in einer Ergänzung zur Stellungnahme Hinweise zu verschiedenen verfügbaren Messengerdiensten. Insbesondere wurden die Kriterien für einen datenschutzkonformen Einsatz konkretisiert:

  1. Ende-zu-Ende-Verschlüsselung der über den Messenger-Dienst ausgetauschten personenbezogenen Daten muss gewährleistet sein.
  2. Der Anbieter nutzt die empfangenen personenbezogenen Daten ausschließlich für Zwecke der Übertragung von Nachrichteninhalten zwischen den Teilnehmenden einer Unterhaltung.
  3. Unberechtigte Weitergabe von Kontaktdaten an den Messenger-Anbieter – insbesondere durch Übermittlung des auf dem eingesetzten Endgerät gespeicherten Telefonbuchs – muss ausgeschlossen sein.
  4. (Datenschutzniveau im Land des Messenger Anbieters bzw. am Verarbeitungsort muss dem der DS-GVO oder des DSG-EKD entsprechen)

 

Das letzte Kriterium wird in der Stellungnahme ergänzend genannt und kann durch Angemessenheitsbeschlüsse, Teilnahme am EU-US-Privacy Shield Abkommen (leider unter Datenschützern stark umstritten) erreicht werden. Dieses kann nur umgangen werden, wenn ein Anbieter gewählt wird, der die Messengerdaten in der Europäischen Union, in Norwegen, Liechtenstein, Island oder der Schweiz verarbeitet.

 

Für den dienstlichen Einsatz sind nicht geeignet:

  • WhatsApp und Telegram – aufgrund erheblicher Datenschutzbedenken wird davon abgeraten.
  • Signal – aufgrund von Datenschutzbedenken durch Verarbeitung von personenbezogenen Daten außerhalb der EU wird Signal nicht empfohlen.

 

Für den dienstlichen Einsatz sind geeignet:

  • Threema (Work) sowie ginlo (ehemals SIMSme) erhalten eine positive Bewertung – solange von den Nutzungsbedingungen eine dienstliche Nutzung gestattet ist.
  • Ein eventuell zukünftig eigenentwickelt und -betriebener Messengerdienst der Kirche oder Diakonie (leider aktuell noch nicht verfügbar).

Bei der Verwendung der Messenger ist zusätzlich darauf zu achten, dass übermittelte Dateianhänge geschützt vor unbefugten Zugriffen auf den internen Speichern abgelegt werden und dass Zugriffe von anderen Apps nicht möglich sind.

 

Datenschutzrechtliche Bewertung der Empfehlungen und Praxisprobleme

Die Empfehlung von Threema Work und ginlo kann nachvollzogen werden. Zwar gibt es zu Threema immer noch Diskussionen, da die Verschlüsselung nicht offengelegt wird, der Messenger genießt dennoch ein großes Vertrauen. Was den Einsatz in sozialen Einrichtungen dennoch schwierig macht, sind die Kosten, die für die Nutzung entstehen. Für Threema fallen pro Gerät und pro Monat ca. 1,26 € (Stand: 08.07.19) und für ginlo ca. 3 € (Stand: 08.07.19) an Kosten an. Bei einer größeren Einrichtung fallen bei nur 250 Nutzern mehr als 3.500 € an jährlichen Kosten an. Gerade im sozialen oder kirchlichen Bereich ist das ein erheblicher Betrag, der erwirtschaftet werden muss. Kein Wunder, dass die Diskussionen mit Leitungen von verantwortlichen Stellen schwierig sind, wenn es Alternativen wie WhatsApp kostenlos gibt.

 

Sehr unglücklich ist die ablehnende Haltung zu Signal. Dieser kostenlose Messengerdienst genießt in IT-Sicherheitskreisen großes Vertrauen und wurde in der Vergangenheit unter anderem von Edward Snowden, Bruce Schneier oder Matt Green empfohlen. Signal kann sehr datensparsam genutzt werden, für die Anmeldung ist nur die Telefonnummererforderlich, alle anderen Daten sind Ende-zu-Ende-verschlüsselt. Es ist richtig, dass damit bei der Registrierung die Übermittlung eines personenbezogenen Datums in die USA erfolgt und dass es dafür einer Rechtsgrundlage und eines angemessenen Datenschutzniveaus bedarf. Dass dies ein Ausschlusskriterium einer ansonsten kostenlosen, sicheren und benutzerfreundlichen Messenger App ist, ist den Leitungen der sozialen Einrichtungen jedoch schwer zu vermitteln.

 

BfD EKD: Datenschutzkonformer WhatsApp Einsatz ist nicht möglich

Die Position des BfD EKD zu WhatsApp ist eindeutig. Mehrere Rückfragen zum WhatsApp Einsatz beim letzten Datenschutz Infotag (Region Süd) am 03.07.19 in Ulm wurden deutlich beantwortet. Aus Sicht des BfD EKD ist ein datenschutzkonformer Einsatz nicht möglich und für verantwortliche Stellen, die dennoch WhatsApp einsetzen, drohen Beanstandungen, Anordnungen zur Unterlassung oder Bußgeldverfahren. Eine konkrete Höhe eines solchen Verstoßes im Sinne eines Bußgeldkatalogs konnte nicht genannt werden. Der BfD EKD verwies jedoch darauf, dass verschiedene Aufsichtsbehörden im nicht-öffentlichen Bereich Bußgeldverfahren gegen Unternehmen, die WhatsApp im Einsatz haben, gestartet haben.

 

Datenminimierter Einsatz von WhatsApp als Lösung?

Was macht man nun als Datenschutzbeauftragter einer kirchlichen Stelle? Gibt es keine datenschutzkonforme Einsatzmöglichkeit? Da war doch mal was mit einer Stellungnahme der Diakonie Hessen?

 

Im Februar 2015 veröffentlichte der Diakonie-Beauftragte für den Datenschutz für den Bereich Hessen und Nassau eine Stellungnahme http://www.diakonie-hessen.de/fileadmin/Dateien/AAA_DiakonieHessen/Files/Presse/SocialMedia/WhatsApp.pdfin der er einen Kompromiss zur Nutzung von WhatsApp in einem sehr engen Rahmen vorschlug:

  • Es gibt ein Smartphone zur ausschließlichen Nutzung von WhatsApp.
  • Das Smartphone ist vor dem Zugriff durch Unbefugte zu sichern.
  • Auf diesem Gerät werden nur die Telefonnummern der Personen (Schüler) gespeichert, die von sich aus mit der Sozialarbeiterin/dem Sozialarbeiter Kontakt aufnehmen wollen.
  • Es werden nur „unverfängliche“ Nachrichten verschickt.
  • Angefragte Beratung wird auf anderen, persönlichen Kanälen (Gespräch, Telefon, Brief) geführt bzw. beantwortet.
  • „Mobbing-Posts“ sind zu sichern (Screenshots) und ggf. umgehend in WhatsApp zu löschen.
  • Die Nutzung/Inanspruchnahme von WhatsApp ist in geeigneter Weise zu dokumentieren.
  • Daraus erfolgt eine Auswertung, wie häufig und intensiv die Kommunikation über WhatsApp erfolgte.
  • Parallel sollte nach anderen Möglichkeiten gesucht werden, die den gleichen Zweck der Kommunikation wie der über WhatsApp erfüllen.
  • Nach einem vorher vereinbarten Zeitfenster (z. B. Schuljahresende) soll eine Evaluation erfolgen. An deren Ende steht die Entscheidung der Fortsetzung oder Beendigung der WhatsApp-Nutzung.
  • Der Datenschutzbeauftragte (DSB) ist über den Fortgang des Pilotprojektes auf dem Laufenden zu halten und bei aufkommenden Fragen oder außergewöhnlichen Vorkommnissen sofort zu kontaktieren. Alle weiteren Arbeitsrechts- und Datenschutzregelungen sind einzuhalten.

 

Auch dieser Ansatz wurde kurz beim Datenschutz Infotag der EKD aufgegriffen und ebenfalls als problematisch bewertet. Demnach dürften auch bei diesem Einsatz Risiken bezüglich einer möglichen Beanstandung bestehen, auch wenn der Einsatz sehr sorgfältig geprüft wurde und nur in einem eng definierten Rahmen erfolgt. Es scheint so, als sei jeglicher Einsatz von WhatsApp in kirchlichen Stellen unmöglich.

 

WhatsApp Einsatz mit Mobile Device Management im privaten Bereich unklar

Offen blieb, wie ein WhatsApp Einsatz zu beurteilen ist, wenn dieser in Kombination mit einer Mobile Device Management Software erfolgt und WhatsApp nur im privaten Bereich des dienstlichen Geräts gespeichert ist. Durch die Mobile Device Management Software kann WhatsApp nicht auf dienstliche Daten zugreifen. Insofern würden nur die im privaten Teil des Gerätes gespeicherten Daten auf amerikanische Server übermittelt werden. Zusätzlich sollte der Kontakt vom Klienten initiiert werden und generell so wenig Daten wie möglich gespeichert werden (z.B. nur der Vorname und die Rufnummer). Wenn die Kommunikation unverfänglich bleibt und explizit keine Dienstpläne, Krankmeldungen, Daten von Betreuten, Dokumentationen, psychologische Gutachten etc.) übermittelt werden, dann ist fraglich, welche konkreten Datenschutzrisiken noch bestehen. Dieser sorgfältige Ansatz, der mit einer Dienstanweisung kombiniert werden könnte, wurde beim Datenschutz-Infotag in dieser Form nicht als Frage an den BfD EKD gestellt, daher ist leider unklar, ob dies ggfs. ein geduldeter Lösungsansatz ist.

 

Fazit: Datenschutzkonform und ohne Risiken sind nur alternative Messenger

Die Position des BfD EKD zu WhatsApp ist deutlich: Ein datenschutzkonformer Einsatz ist nicht möglich und es drohen Beanstandungen, Aufforderungen zur Unterlassung oder Bußgelder. Gleiches gilt wohl auch für datenschutzfreundlichere Messenger wie Signal, auch wenn hier der Datenschutzverstoß wohl als geringer einzuschätzen ist. Wenn ein datenschutzkonformer Einsatz ohne Risiken angestrebt wird, dann kann derzeit nur auf alternative Messenger wie Threema oder ginlo verwiesen werden. – Auch wenn es ein steiniger Weg ist, so gelingt es vielleicht nach und nach immer mehr Nutzer von Alternativen zu WhatsApp zu überzeugen und damit beizutragen, dass die Diskussionen hierzu hinfällig werden.

 

Dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur unsere Erfahrungen als Datenschutzbeauftragte wieder.

 

Von Julian Häcker

Bildquelle: Bild von Thomas Ulrich auf Pixabay