"Wir wollen Menschen, nicht Daten schützen"

Getty Images/iStockphoto/pxel66
"Wir wollen Menschen, nicht Daten schützen"
Ein Gastbeitrag zur EKD-Synode 2014
Die Kirchen verfügen über Daten ihrer Mitglieder. Wie können sie geschützt werden? Was darf auf einer Gemeinde-Website stehen und was müssen Pfarrer beachten, wenn sie Social Media benutzen? Der EKD-Beauftragte für den Datenschutz, Michael Jacob, und sein Stellvertreter Sascha Tönnies sprechen im Interview über sensible Daten in kirchlichen Einrichtungen und ihre Strategien, um sie zu schützen.

Herr Jacob, Herr Tönnies: Sie sind für die Datenschutzaufsicht in der evangelischen Kirche zuständig. Was beschützen Sie da eigentlich?

###mehr-personen###

Michael Jacob: Juristisch ausgedrückt: personenbezogene Daten. In der Kirche werden zum Beispiel Daten der Beschäftigten erfasst. In kirchlichen Krankenhäusern müssen Patientendaten verarbeitet werden. Die Kirche erhält von den kommunalen Stellen Name, Adresse, Alter, Geschlecht ihrer Gemeindeglieder und ergänzt diese um eigene kirchliche Daten – Taufe, Trauung, Jubiläen. So entsteht das kirchliche Meldewesen. Der Umgang mit diesen Daten bedeutet eine große Verantwortung.

Sascha Tönnies: Denn aus der Kombination der Daten mit anderen können Profile über die Menschen hinter diesen Daten erstellt werden. Und genau das ist nicht in unserem Interesse.

Michael Jacob: Wir wollen nämlich Menschen schützen, nicht Daten als solche.

Wo liegen diese personenbezogenen Daten denn?

Michael Jacob: Zum Beispiel liegt die Hoheit über die Meldewesendaten bei den Landeskirchen. Weil sie so sensibel sind, gibt es dort seit Jahren schon einen hohen IT-Sicherheitsstandard. Nur einige wenige Mitarbeitende in einer Gemeinde und in den Verwaltungen können darauf zugreifen.

Nun gibt es Kirchengemeinden, die sich Facebook-Seiten angelegt haben. Da stehen die Server nicht in den Landeskirchen, sondern in Irland und den USA. Auch dort geben die Nutzer personenbezogene Daten an – allein, um sich anzumelden.

Michael Jacob: Wir wollen den Einsatz von Social Media nicht grundsätzlich verbieten, sondern die Nutzung dem kirchlichen Auftrag entsprechend ermöglichen. Natürlich können Social Media nützlich für Gemeinden sein. Aber die Regeln des Datenschutzes müssen berücksichtigt werden. Social-Media-Guidelines können bei der praktischen Arbeit helfen.

###mehr-info-110781###

Sascha Tönnies: Wir müssen zudem an einem technischen Bewusstsein arbeiten. Bei der Nutzung von Social Media fallen massiv Daten an, von denen wir zunächst nichts wissen. Wenn ein Pastor zum Beispiel bei Facebook postet, sollte ihm bewusst sein, dass dort Metadaten, also unterschiedliche "unsichtbare" Daten aufgezeichnet werden: Standort, Zugriffsdauer, was vorher und im Anschluss angesehen wurde. Von Vertraulichkeit für Seelsorge kann da keine Rede sein.

Für eine evangelische Kirchengemeinde ist es zentral, die christliche Botschaft so weit wie möglich zu verbreiten. Ist der Datenschutz nicht eine Hürde dabei?

Michael Jacob: Die christliche Botschaft im Netz zu verbreiten, ist ja überhaupt kein datenschutzrechtliches Problem. Uns geht es um den Schutz von personenbezogenen Daten der Gemeindemitglieder und vertraulicher Informationen zum Beispiel aus der Seelsorge. Wir wollen Gemeinden nicht verbieten, Online-Plattformen für christliche Inhalte und Diskussionen zu nutzen. Wir wollen sie aber dafür sensibilisieren, diese so zu nutzen, dass sensible Nutzerdaten dabei geschützt werden.

Was können Sie tun, wenn Sie bemerken, dass sensible Daten doch in unsichere Kanäle geraten?

Michael Jacob: Zunächst machen wir die betreffende Stelle auf das Datenschutzproblem aufmerksam und suchen nach Lösungen. Als schärfstes Mittel können wir eine förmliche Beanstandung aussprechen. Gebraucht haben wir dieses Instrument bislang ganz selten.

Wird denn unsensibel mit Daten umgegangen?

Michael Jacob: Ein ganz klassischer Fall ist das Einstellen von Gemeindebriefen ins Internet. Im Gemeindebrief stehen häufig personenbezogene Daten wie Geburtstage, Jubiläen, Taufen, Todesfälle. Ohne das Einverständnis der Betroffenen darf man diese Daten nicht online stellen – es geschieht trotzdem, dass der Gemeindebrief eins zu eins als PDF-Dokument im Internet zu finden ist. Urheber- und Persönlichkeitsrechte sind ebenfalls zu beachten. Fotos dürfen nicht einfach so ins Netz gestellt werden. Die abgebildete Person muss einverstanden sein, bei Kindern müssen die Eltern ihr Einverständnis erklären, die Einwilligung des Fotografen muss vorliegen.

Im Teenageralter wird vor allem über WhatsApp kommuniziert. Worauf müssen Jugendleiter hier achten?

###mehr-artikel###

Sascha Tönnies: Auch hier gilt es wieder, die personenbezogenen Daten so gut wie möglich zu schützen: Die Teilnehmerliste mit Adressen darf nicht verschickt werden. Die Betreuer einer Freizeit müssen dafür sensibilisiert werden, wie problematisch Gespräche über private oder gar intime Details von Lebensgewohnheiten und Verhalten über ein Medium wie WhatsApp sind und welche Folgen sie für Jugendliche haben können.

Was sind im Moment die dringendsten Aufgaben für Sie?

Michael Jacob: Vor dem Hintergrund der Rechtsprechung in der Europäischen Union haben sich die Anforderungen an den Datenschutz in den letzten Jahren deutlich verändert. Insbesondere muss die Datenschutzaufsicht eine größtmögliche Unabhängigkeit und Selbstständigkeit aufweisen. Darum bauen wir auch in der EKD die Datenschutzaufsicht entsprechend um. Das Ziel ist, diese Aufgabe noch stärker als bisher gemeinsam wahrzunehmen. Bisher haben zwölf Gliedkirchen die Datenschutzaufsicht an die EKD übertragen. Weitere werden folgen. Wir sind zudem für die Datenschutzaufsicht in einigen diakonischen Werken zuständig, die durch ihre Beratungsstellen, Krankenhäuser und andere Einrichtungen hochsensible Daten haben. Daher gibt es für die Datenschutzaufsicht EKD-weit Außenstellen und die Dienststelle in Hannover. Trotzdem brauchen wir für guten Datenschutz flächendeckend auch Betriebsbeauftragte und örtlich Beauftragte mit klaren Aufgaben – das heißt zunächst auch: viel Aus- und Weiterbildung.

Wo sehen Sie zukünftige Aufgabenfelder?

Sascha Tönnies: Im IT-Bereich gibt es ständig Neuheiten, die auch hinsichtlich des Datenschutzes durchdacht werden müssen. Die sichere Nutzung von Daten-Clouds wird uns als Thema begleiten. Und die Möglichkeit, E-Mails so zu verschlüsseln, dass ihre Inhalte nur die Absender und Empfänger lesen können, ist wichtig für die Kirche.