Drei Jahre Kirchliches Datenschutzgesetz – Fluch oder Segen?

Das Gesetz über den Kirchlichen Datenschutz (KDG) löste zum 24. Mai 2018 in allen deutschen katholischen (Erz-)Diözesen die Anordnung über den kirchlichen Datenschutz (KDO) ab. Es gilt seitdem neben der Datenschutz-Grundverordnung (DSGVO)¹ für Kirche und Caritas und für ihnen angeschlossene Einrichtungen und Dienste. Dieser Beitrag gibt einen Dreijahresrückblick und zeigt wesentliche Herausforderungen des Datenschutzes nach KDG und DSGVO auf (vgl. auch die Abb. auf Seite 28).

Selbstverwaltungsrecht der Kirche

Als staatlich anerkannter Religionsgemeinschaft steht der katholischen Kirche ein grundgesetzlich garantiertes Selbstverwaltungsrecht zu. Es gibt ihr die Befugnis, ihre Angelegenheiten selbstständig innerhalb der Schranken der für sie geltenden Gesetze zu ordnen und zu verwalten.² Art. 91 DSGVO ermöglicht es, bestehende (kirchliche) Datenschutzvorschriften weiter anzuwenden.

Zulässigkeit von Messengerdienst

Der Messengerdienst Whatsapp ist in betrieblichem Kontext aus unterschiedlichen Gründen (derzeit) nicht datenschutzkonform nutzbar. Einerseits erfolgt die Datenspeicherung in den USA und damit außerhalb der Europäischen Union (EU) sowie des europäischen Wirtschaftsraums (EWR), was nach dem KDG nur unter engen Voraussetzungen zulässig ist. Zudem besteht technisch das Problem, dass Whatsapp auf sämtliche Adressdaten zugreift, welche Nutzer(innen) speichern, ohne dass entsprechende Einwilligungen der Personen vorliegen, auf die sich diese Daten beziehen.

Es gibt zahlreiche Alternativen, die sich datenschutzkonform für betriebliche Belange realisieren lassen. Als Beispiele seien die Messengerdienste Signal und Threema genannt. Wer Wert auf Datenschutz legt, greift zu Signal. Zwar funktioniert die App wie Whatsapp und nutzt eine gleichartige Verschlüsselung, versucht aber möglichst wenig Metadaten entstehen zu lassen. Darüber hinaus ist die Signal-Software als Open Source verfügbar, was bedeutet, dass kundige Nutzer(innen) im Quellcode nach Backdoors suchen und diese "Hintertüren" erkennen können, bevor sie Dritten unautorisierte Zugriffe ermöglichen.³ Ausgehend von der Rechtssache C-311/18 "Schrems II" (EuGH-Urteil vom 16. Juli 2020) kommt erschwerend hinzu, dass personenbezogene Daten von EU-Bürger(inne)n nur an Drittländer außerhalb des EWR übermittelt werden dürfen, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat der EuGH ein derartiges angemessenes Schutzniveau verneint.

Videokonferenzen besser nicht per Zoom

Die im ersten Corona-Lockdown Mitte März 2020 aufgekommene Begeisterung für das Videokonferenzsystem Zoom hat für viel Diskussionsstoff gesorgt. Denn dieser Dienst bietet zwar die Möglichkeit, Echtzeitdaten in aus wählbaren "Weltregionen" verarbeiten zu lassen. Diese Einstellung lässt jedoch ruhende Daten unbeeinflusst. Folglich kann nicht verhindert werden, dass personenbezogene Daten in die USA übermittelt werden. Es empfiehlt sich, Konferenzsysteme unter eigener Hoheit sowie Verantwortlichkeit von Anbietern aus der EU oder dem EWR zu betreiben oder eben auf vergleichbare Anbieter mit ähnlichem Funktionsumfang und Komfort (aber besserem Datenschutz und höherer IT-Sicherheit) zurückzugreifen. Angeführt seien, unabhängig von den zu prüfenden Beurteilungskriterien des Katholischen Datenschutzzentrums in Frankfurt am Main, Programme wie 2meet, Jitsi oder Systeme auf eigenen, im Inland betriebenen Servern (unter Beachtung von privacy by default⁴ beziehungsweise privacy by design⁵). Vor dem Hintergrund des angeführten EuGH-Urteils sind Übermittlungen personenbezogener Daten in die USA auf Grundlage des Privacy Shield⁶ unzulässig. Solche Übermittlungen sind zwingend auf andere Rechtsgrundlagen um- oder unverzüglich einzustellen.

Videokonferenzsysteme bekamen in der Corona-Krise 2020 so viel Aufmerksamkeit wie seit Jahren nicht - dabei offenbarten sich zahlreiche Unzulänglichkeiten in den Sicherheitskonzepten. Anfänglich konnte beispielsweise bei der Bayerischen Staatsregierung mittels einfach zu erratender Pfade zu den virtuellen Räumen die jeweilige Konferenzraumnummer ermittelt werden; geschweige denn wurde für den Zutritt nach einem Kennwort gefragt.⁷

Sicherheitskonzepte und Datenschutzmanagement

Ein Zugangs- und Berechtigungskonzept regelt, wer auf welche Daten lesenden oder schreibenden Zugriff nehmen darf. Es gilt, nur so viele Zugriffsrechte zu vergeben, wie für die Aufgabenwahrnehmung durch Mitarbeiter(innen) notwendig sind (,,Need-to-know-Prinzip"). Ferner sind ein IT-Sicherheits- sowie Recovery8-Konzept auf Grundlage einer Risikoanalyse gefordert.

Um darüber hinaus den Datenschutz zu forcieren, sollte in Zusammenarbeit mit dem betrieblichen Datenschutzbeauftragten (bDSB) ein Konzept für ein Datenschutzmanagement entwickelt werden. Das Konzept sollte unter anderem darlegen, wie die Überprüfung der Datenverarbeitung samt ihrer Dokumentation stattfindet, welche Möglichkeiten der Mitarbeiterschulung bestehen, wie die Maßnahmenumsetzung überprüft wird (Auditbegehungen) und wie eine Berichterstattung erfolgt. Es empfiehlt sich zudem eine Datenschutzstrategie (Policy) zu erarbeiten. Datenschutzregeln beziehungsweise ein Datenschutzhandbuch - sei es handelsüblich oder selbst erstellt - bieten hierzu eine gute Basis.

Technische und organisatorische Maßnahmen

Um Datenschutz und -sicherheit zu gewährleisten, verpflichtet das KDG kirchliche Stellen, erforderliche technische und organisatorische Maßnahmen (TOM) zu treffen. Diese Maßnahmen sollen in einem angemessenen Verhältnis zum Schutzzweck stehen. Die TOM sind abhängig vom Stand der Technik, den Implementierungskosten, dem Umfang und den Zwecken der Verarbeitung sowie dem ermittelten Risiko für die Rechte und Freiheiten der Betroffenen auszugestalten. Der Stand der Technik wird durch national und international anerkannte Normen repräsentiert (zum Beispiel ISO 27001:2013; BSI IT-Grundschutz). In § 26 KDG/Art. 32 DSGVO ist die Notwendigkeit zur Implementierung eines Verfahrens zur regelmäßigen Überprüfung der TOM-Wirksamkeit festgeschrieben.

Datenschutzfolgeabschätzung und Verfahrensverzeichnisse

Mit Inkrafttreten des KDG wurde die Datenschutzfolgeabschätzung (DSFA) implementiert. Sie ist ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die DSFA ist durchzuführen, wenn die Form der Verarbeitung - insbesondere bei der Verwendung neuer Technologien (zum Beispiel Programme und Prozesse) - aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung ein voraussichtlich hohes Risiko zur Folge hat. Sie befasst sich insbesondere mit Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sicher-gestellt und die Einhaltung des KDG nachgewiesen werden können (§ 35 KDG/Art. 35 DSGVO).

Ob eine DSFA durchzuführen ist, ergibt sich also aus einer Abschätzung der Risiken der Verarbeitungsvorgänge. In jedem Fall ist die Entscheidung über die (Nicht-)Durchführung schriftlich zu dokumentieren. Empfehlenswert ist die Durchführung mittels PIA (engl. Privacy Impact Assessment), einem Tool der französischen Datenschutz-Aufsichtsbehörde.⁹

Seit Inkrafttreten des KDG und der DSGVO sind gemäß § 31 KDG/Art. 30 DSGVO Verfahrensbeschreibungen zu erarbeiten, die die Prozesse zu den verschiedenen Auskunftserteilungen und Rechte auf Berichtigung, Löschung und Übertragbarkeit der Daten sowie auf Einschränkung der Verarbeitung darstellen, um den Umgang mit Betroffenenrechten zu regeln.

Auftragsverarbeitung

Ein Auftragsverarbeitungs-Vertrag nach KDG oder DSGVO regelt die datenschutzrechtlichen Verpflichtungen der Vertragsparteien im Hinblick auf die Verarbeitung personenbezogener Daten in Bezug auf die der Auftragsdatenverarbeitung zugrundeliegenden Leistungsverträge (Hauptverträge). Die zu beschreibenden Verpflichtungen finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeitende des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen. Die Vereinbarung nach KDG beziehungsweise DSGVO gilt entsprechend für die (Fern-)Prüfung und -wartung automatisierter Verfahren sowie von Datenverarbeitungsanlagen, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Bevor es zu spät sein könnte

Nach fast drei Jahren KDG wird schnell klar, dass Datenschutz Chefsache ist und von einem fachkundigen bDSB umgesetzt werden sollte. Sollten große Teile von Kundendaten eines Unternehmens, ganz gleich ob privates Unternehmen oder caritative Einrichtung der Kirche, ins Internet gelangen, ist dies als Datenschutz-GAU zu werten, als größter anzunehmender Unfall. Was Anfang 2020 die Autovermietungsfirma Buchbinder¹⁰ oder jüngst notebooksbilliger.de ¹¹ betraf, kann sich jederzeit in gleichem Ausmaß bei Kirche und Caritas abspielen. Umso wichtiger ist es, dass adäquate Datenschutzmanagementsysteme greifen und frühzeitig Risikovorsorge getroffen wird. Dabei sollte Datenschutz nicht als Fluch, sondern als Segen verstanden werden.

Anmerkungen

1. In Kraft seit 25. Mai 2018.

2. Deutsche Bischofskonferenz: www.dbk.de/themen/kirche-staat-und-recht/datenschutz-faq  3. Mahn, J.: Neue Probleme und alte Bekannte, c’t deckt auf: Jahresrückblick 2020. In: C’t Heft 1/2021, S. 54 f.

4. Der Begriff meint, dass Standardeinstellungen bereits datenschutzfreundlich sind (vgl. Art. 25 Abs. 2 DSGVO).

5. Technisch von Anfang an "eingebauter" Datenschutz.

6. Dieser "Datenschutzschild" war eine 2016 zwischen EU und USA getroffene Einigung über den Austausch personenbezogener Daten, die 2020 durch "Schrems II" obsolet wurde.

7. Eikenberg, R.: Sichere Leitung - Verschlüsselt telefonieren und konferieren. In: C‘t Heft 3/2021, S. 58.

8. Wiederherstellung nach einem Systemzusammenbruch, vgl. Art. 32 DSGVO "Sicherheit in der Verarbeitung".

9. Abrufbar unter: www.datenschutz-bayern.de/dsfa

10. Vgl.www.heise.de/ct/artikel/Daten-Leak-bei-Autovermietung-Buchbinder-3-Millionen-Kundendaten-offen-im-Netz-4643015.htm l

11. Vgl. www.zeit.de/news/2021-01/08/millionenbusse-gegen-notebooksbilligerd