Fachnews Datenschutz in der Kirche: Zum Einsatz von WhatsApp als Messengerdienst in der Katholischen Kirche Freitag, 21. Dezember 2018
Die Konferenz der Diözesandatenschutzbeauftragen der Katholischen Kirche Deutschlands beschloss in Ihrer Sitzung vom 3./4.5.2017 in Freising, dass die Verwendung von Messengerdiensten zu dienstlichen Zwecken untersagt sei. Dieses konkrete Verbot wurde durch den Beschluss der Diözesandatenschutzbeauftragen im Juli 2018 inzwischen relativiert. Das Verbot der Nutzung des populären Messengerdienstes WhatsApp wurde im Mai 2017 von den Diözesandatenschutzbeauftragen damit begründet, dass durch den Dienst eine physikalische Datenspeicherung außerhalb des Gebiets des EWR und der Schweiz stattfinde.Mit dieser Entscheidung war für alle kirchlichen Stellen im organisatorischen Anwendungsbereich des Gesetzes über den Kirchlichen Datenschutz (KDG), eine, wenn auch in der Praxis wenig befriedigende, Klarheit in der „Unsicherheit beim Einsatz des WhatsApp-Messengerdienstes“ gegeben.Weiter bestand Einigkeit darüber, dass eine Nutzung des im Beschluss namentlich genannten Messengersdienstes WhatsApp für dienstliche Zwecke ausscheide.Nach einem Jahr solle die Rechtslage erneut geprüft werden. Aktualisierte Beurteilung von Messenger- und anderen Social Media-DienstenIn der inzwischen veröffentlichten neuen Beschlussfassung der Konferenz der Diözesandatenschutzbeauftragen der Katholischen Kirche Deutschlands vom 26.07.2018 in Frankfurt wird die Beschlusslage aus 2017 nun durch Kriterien für die Bewertung und die Auswahl eines geeigneten Messenger-Produktes unter Datenschutz-Gesichtspunkten konkretisiert. ServerstandortMit Hinweis auf §§ 39-41 KDG wird darauf verwiesen, dass eine Verarbeitung personenbezogener Daten nur dann in einem Drittland, also außerhalb der EU, stattfinden darf, wenn ein Angemessenheitsbeschluss der Europäischen Kommission, geeignete Garantien oder eine explizite Einwilligung der betroffenen Person gegeben seien.Soweit der zentrale Server nicht nur verschlüsselte Daten zur Weiterleitung erhalte, rät die Konferenz der Diözesandatenschutzbeauftragen von einer Datenverarbeitung in einem Drittland weiterhin ab. Sicherer DatentransportVon der Konferenz der Diözesandatenschutzbeauftragen wird als weiteres Kriterium eine Ende-zu-Ende-Verschlüsselung sowohl als Transport- wie auch als Inhaltsverschlüsselung angeführt, um i.S.d. § 26 KDG ein dem Risiko für die Rechte und Freiheiten der Betroffenen angemessenes Schutzniveau zu gewährleisten. Hierbei werden als dem aktuellen Stand der Technik (im Jahr 2018) entsprechende Transport- und Inhaltsverschlüsselungen nach den Standards TLS 1.2 oder AES 256 bzw. 512-Bit ECC angeführt. DatenminimierungDie baldmöglichste Löschung aller Inhalte und Verbindungsdaten sowie eine Beschränkung auf das für den Zweck der Verarbeitung notwendige Maß an personenbezogenen Daten gem. § 7, Abs.1 lit c KDG werden als weiteres Kriterium bei der Auswahl eines geeigneten Messenger-Produktes mit dem Hinweis angeführt, um sicher zu stellen, dass, zusammen mit einer starken Ende-zu-Ende-Verschlüsselung der Provider, selbst unter Zwang (z.B. durch staatliche Behörden) technisch nicht in der Lage sei, Daten herauszugeben. Respektierung der Rechte DritterIm Weiteren solle bei der Auswahl des Messenger-Produktes berücksichtig werden, ob nur die Kontaktdaten der an der Kommunikation Beteiligten verwendet würden und der der Anwender die Kontrolle über sein Telefonbuch / seine auf dem Device verwalteten Kontakte behalte. Die „Ausspähung von Adressen und Kontaktdaten des Telefonbuches durch allzu neugierige Applikationen“ verstoße gegen den Grundsatz des § 7 Abs. 1 KDG, dass personenbezogene Daten rechtmäßig und für den Betroffenen in nachvollziehbarer Weise zu verarbeiten seien. Weitere KriterienIn einem „erweiterten Kriterienkreis“ solle der Entscheider prüfen, ob die Nutzung des Messenger-Produktes idealerweise für den privaten Nutzer kostenfrei und für die nicht-private Nutzung, also z.B. durch eine kirchliche Einrichtung, relativ erschwinglich sei. Im Weiteren rät die Konferenz der Diözesandatenschutzbeauftragen die Lizenzvergabe des jeweiligen Anbieters zu prüfen und hierbei insbesondere auf die Art der Nutzung (privat, nicht-privat, kommerziell) und das vom Anbieter geforderte Mindestalter der Nutzer im Entscheidungsprozess zu berücksichtigen. FazitDie konkrete und strenge Vorgabe der Konferenz der Diözesandatenschutzbeauftragen der Katholischen Kirche Deutschlands, dass eine Nutzung des Messengers WhatsApp für dienstliche Zwecke ausscheide, ist inzwischen zwar „relativiert“, an dem grundlegenden Verbot der Nutzung dürfte sich bei kritischer Durchsicht und Bewertung der von den Diözesandatenschutzbeauftragen Prüfkriterien jedoch in der Praxis kaum etwas ändern.Überraschend ist in diesem Kontext vor allem, dass sich weder die von den Diözesandatenschutzbeauftragen bereits in ihrem Beschluss Mitte 2017 benannten Alternativen Threema und FreeMessage, als auch Produkte wie der von „Star- Whistleblower“ Edward Snowden empfohlene Messengerdienst Signal bislang kaum durchsetzen. Bei aller Sensibilität beim Schutz personenbezogener Daten – im Bereich der Messengerdienste scheint der Weg ans Ziel noch von manchen Bedenken erschwert zu werden. Autor: Matthias Herkert, Leiter Fachbereich Consulting und externer Datenschutzbeauftragter Zurück zur Newsübersicht
Das könnte Sie auch interessieren: Fachnews vom 20. Juni 2024 Datenschutz Aus dem Datenschutz-Blog: AI-Act – ein Überblick Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. Mai 2024 von den Mitgliedsstaaten der EU verabschiedet. Dieses Gesetz definiert erstmals einheitliche Standards zur Regulierung des Einsatzes von KI-Systemen in der EU. … Weiterlesen … Aus dem Datenschutz-Blog: AI-Act – ein Überblick Fachnews vom 22. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Es ist mittlerweile üblich, dass wir Rechnungen und Dokumente digital erhalten. Zu denken sind an Rechnungen von Mobilfunk- oder Stromanbietern oder recht neu auch das eRezept oder die eAU. Stutzig werden wir, wenn die Entgeltabrechnung von Arbeitgebern digital zur Verfügung gestellt wird. In einer … Weiterlesen … Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Fachnews vom 02. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Seit dem 01.01.2023 gilt für Arbeitgeber die Pflicht, die Arbeitsunfähigkeitsbescheinigung (AU) ihrer Beschäftigten digital abzurufen. Mit diesem elektronischen Meldeverfahren kommen auch datenschutzrechtliche Anpassungen auf den Arbeitgeber zu. In diesem Artikel möchten wir einen Überblick über das … Weiterlesen … Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Fachnews vom 26. März 2024 Datenschutz Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung In Zeiten des digitalen Wandels rückt das Thema der Cybersicherheit, insbesondere für kritische Infrastrukturen, immer mehr in den Fokus der Öffentlichkeit. Es wird von einer signifikant gestiegenen Bedrohungslage für Wirtschaft, Verwaltung und Gesellschaft gesprochen. Weiterlesen … Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung Fachnews vom 06. März 2024 Datenschutz Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Was sich anhört wie ein Satz aus einem beliebten deutschen Rap-Lied ist tatsächlich Teil der EU-Digitalisierungsstrategie für digitale Sachverhalte. Wir schauen hinter die Kürzel und zeigen, was 2024 und darüber hinaus wichtig wird und ist. Weiterlesen … Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Fachnews vom 27. Februar 2024 Datenschutz Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen Praxis finden sich vereinzelt die unterschiedlichsten Vorlagen und Muster, welche komprimiert den notwendigen Inhalt der Einwilligung wiedergeben. Meist … Weiterlesen … Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Fachnews vom 24. Januar 2024 Datenschutz Interne Mitteilungen über Beschäftigte Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss oder eben gerne möchte. Was ist schon dabei, dem lieben Arbeitskollegen zum Geburtstag zu gratulieren, der Kollegin zur Beförderung anerkennend auf die Schulter zu klopfen oder der … Weiterlesen … Interne Mitteilungen über Beschäftigte Fachnews vom 15. August 2023 Datenschutz EU-US Data Privacy Framework – was lange währt wird endlich gut? Was lange währt wird endlich gut – oder bietet der Angemessenheitsbeschluss doch nur eine neue Rechtsgrundlage auf Zeit? Was der neue Beschluss mit sich bringt und was das für Sie bedeutet finden Sie im folgenden Beitrag. Weiterlesen … EU-US Data Privacy Framework – was lange währt wird endlich gut? Fachnews vom 06. Juli 2023 Datenschutz Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit diesem Urteil fehlt es für die Übertragung personenbezogener Daten in die USA in vielen Fällen … Weiterlesen … Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Fachnews vom 20. Juni 2023 Datenschutz Gruppenpostfächer – Personendaten in vielen Händen Jedes Unternehmen hat mindestens eins davon: Ein Gruppenpostfach. Mit dem Allrounder unter den E‑Mail-Postfächern lassen sich mit wenig Aufwand mehrere Fliegen mit einer Klappe schlagen. Um das datenschutzrechtliche Niveau zu halten, muss bereits bei der Anlage eines Gruppenpostfachs Sorgfalt … Weiterlesen … Gruppenpostfächer – Personendaten in vielen Händen Fachnews vom 07. Juni 2023 Datenschutz Das Verbandbuch und der Datenschutz Die erforderliche Aufzeichnung geleisteter Erste-Hilfe-Maßnahmen in Unternehmen, Behörden, Kindertageseinrichtungen und in Schulen erfolgen in der Praxis meist in sogenannten Verbandbüchern. Wie sind diese Aufzeichnungen datenschutzrechtlich zu bewerten und was gilt es bei der Organisation der … Weiterlesen … Das Verbandbuch und der Datenschutz Fachnews vom 16. Mai 2023 Datenschutz Die Revision der ISO/IEC 27001:2022 und der Datenschutz Die im Oktober 2022 veröffentlichte ISO/IEC 27001 in der Version 2022 löst die ISO/IEC 27001:2013, wohl wichtigste Norm zur Informationssicherheit, ab und rückt den Datenschutz stärker in den Fokus. Weiterlesen … Die Revision der ISO/IEC 27001:2022 und der Datenschutz < >