Messenger wie WhatsApp, Telegram, Signal oder Threema sind besonders aus der kirchlichen Jugendarbeit nicht mehr wegzudenken. Auch in anderen Bereichen der Gemeindearbeit werden Messenger immer umfangreicher eingesetzt, sodass nicht nur Sitzungen organisiert, sondern auch Fotos vom letzten Gemeindefest über die entsprechenden Apps geteilt werden. Dennoch warnen kirchliche wie staatliche Datenschützer seit Jahren vor den entsprechenden Apps. Dazu verbieten kirchliche Datenschutzaufsichtsbehörden zwar die Nutzung, werden aber von der Praxis regelmäßig unterlaufen.
Kriterien der Messenger-Nutzung in der evangelischen Kirche
Maßgeblich sind für die evangelische Kirche aktuell – seit 24.10.2018 – folgende Kriterien (Quelle: Beauftragter für den Datenschutz der EKD):
- Ende-zu-Ende-Verschlüsselung der über den Messenger-Dienst ausgetauschten personenbezogenen Daten muss gewährleistet sein.
- Der Anbieter nutzt die empfangenen personenbezogenen Daten ausschließlich für Zwecke der Übertragung von Nachrichteninhalten zwischen den Teilnehmenden einer Unterhaltung.
- Unberechtigte Weitergabe von Kontaktdaten an den Messenger-Anbieter – insbesondere durch Übermittlung des auf dem eingesetzten Endgerät gespeicherten Telefonbuchs – muss ausgeschlossen sein.
- Datenschutzniveau im Land des Messenger Anbieters bzw. am Verarbeitungsort muss dem der DSGVO oder des DSG-EKD entsprechen
Kriterien der Messenger-Nutzung in der katholischen Kirche
und für die katholische Seite mit Beschluss der Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland vom 18.3.2019 quasi analog (Quelle: Katholisches Datenschutzzentrum)
-
Serverstandort: Wo verarbeitet der Dienst-Anbieter die Nutzerdaten? Hält der Provider die Drittlandbestimmungen ein, d. h. keine Datenspeicherung außerhalb der EU bzw. nur in Ländern, deren Datenschutzniveau durch die EU anerkannt ist?
-
Sicherer Datentransport: Werden die Inhalte der Kommunikation Ende-zu-Ende verschlüsselt, also z.B. auch bei der Zwischenpufferung auf dem Server des Providers?
-
Überprüfbarkeit: Verwendet der Anbieter ein Open-Source-Modell für die Implementierung seines Produktes, einschließlich des Einsatzes anerkannter und standardisierter Kryptographie-Verfahren?
-
Datenminimierung: Werden die Metadaten der Verbindung so bald wie möglich gelöscht?
-
Respektierung der Rechte Dritter: Werden nur die Kontaktdaten der an der Kommunikation Beteiligten verwendet und behält der Anwender die Kontrolle über sein Telefonbuch, oder wird z.B. das komplette Telefonbuch an den Provider übermittelt und die Verantwortung für die Information der Betroffenen auf den Anwender abgewälzt?
Mit dem lapidaren Satz “Da die katholischen Datenschutzaufsichtsbehörden keine direkten Produktempfehlungen geben können, bleibt es die Aufgabe jedes Entscheiders, die genannten Kriterien verantwortungsvoll anzuwenden” wälzen die Aufsichtsbehörden die Verantwortung auf die Verantwortlichen vor Ort, die letztlich eine Entscheidung zwischen einem datensicheren Umgang und einer effizienten Pastoral gewährleisten müssen. Besonders das Thema der Marktdurchdringung der verschiedenen Lösungen stellt dabei nach wie vor ein Problem dar, auch wenn der Marktführer WhatsApp nach dem Aufkauf durch den facebook-Konzern und nach Änderungen der AGB viel Popularität eingebüßt und vor allem der von Kryptographie-Experten empfohlene Signal-Messenger viele neue Nutzer gewonnen hat.
Kurzübersicht über die wichtigsten aktuellen Messenger
Zur leichteren Entscheidungsfindung müssen die wichtigsten, aktuell auf dem Markt verfügbaren Apps kurz anhand der Kriterien der Datenschutzaufsichtsbehörden eingeordnet werden:
“Sicherer” Serverstandort? |
|
unklare Serverstandorte |
USA; allerdings gilt ein Zero-Knowledge-Prinzip |
Schweiz |
Ende-zu-Ende-Verschlüsselung? |
zwingend aktiv (Signal-Protokoll) |
nicht standardmässig aktiv (MTProto) |
zwingend aktiv (Signal-Protokoll) |
zwingend aktiv (E2EE über NaCl-Library) |
Telefonbuch-Upload? |
zwingend erforderlich, Weitergabe an facebook |
nicht zwinged erforderlich, dann aber eingeschränkte Nutzung |
verschlüsselt /gesichert und nur zur Kontaktherstellung |
Telefonbuchupload nicht erforderlich |
Umgang mit Metadaten? |
Speicherung und Auswertung vieler Daten; weitergabe an facebook |
Speicherung vieler Daten auf den Servern, inklusive der Nachrichten im Klartext |
datensparsam |
datensparsam |
Open Source? |
Nicht quelloffen; Schnittstellen zu facebook |
Open-Source-Code (nur Client!) |
Open-Source-Code (auditiertes E2EE-Protokoll) |
auditierter Open-Source-Code (nur Client!) |
Bewertung durch kirchliche Datenschützer |
kein Datenschutz-konformer Einsatz möglich |
kein Datenschutz-konformer Einsatz möglich |
eigentlich nicht empfohlen |
empfohlen |
Features |
Desktop-App, Audio- und Videotelefonie |
Desktop-App, Audio-Telefonie, Bots und Broadcast-Channels |
Desktop-App, Audio- und Video-Telefonie
|
Desktop-App, Aber: Kostenpflichtig |
Signal – eine unterschätzte Lösung
Signal wird von kirchlichen Datenschützern insbesondere dafür kritisiert, dass die Telefonnummer als Identifier zur Erstanmeldung und zur Kontaktherstellung (wenn auch hochgradig gesichert) genutzt wird und dass Metadaten über Server in den USA laufen. Spätestens, seit das sogenannte “Privacy-Shield”, also das Abkommen, das sicheren Datenaustausch mit den USA regelte, gekippt ist, liegt damit ein bedenklicher Daten-Transfer in ein unsicheres Drittland vor – ein KO-Kriterium für die Datenschützer. Betrachtet man die Sachlage allerdings im Detail, ist anzumerken, dass Signal kaum Metadaten behält – in einem Rechtsstreit 2016 musste Signal zwar theoretisch Metadaten herausgeben – praktisch waren das aber nur das Datum der Erstanmeldung und das Datum der letzten Verbindung mit dem Server, weil Signal keine weiteren Daten sammelt. Für den Katholischen Datenschutz könnte jedenfalls mit KDG §40,2b für eine Ausnahme argumentiert werden, insofern “der Verantwortliche oder der Auftragsverarbeiter nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, davon ausgehen kann, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.”
In jedem Fall ist die Verwendung von Signal, das in letzter Zeit deutlich an Kunden gewonnen hat, ein großer Fortschritt gegenüber dem Einsatz von WhatsApp. Wer stattdessen Telegram einsetzt, vertreibt eher den Teufel mit dem Beelzebub; Threema hingegen dürfte in den Gemeinden und insbesondere bei Jugendlichen nach wie vor wegen der Kosten schwer zu etablieren sein, auch wenn es datenschutzrechtlich derzeit die sicherste Variante ist. Letztlich muss die Abwägung aber tatsächlich vor Ort erfolgen und die Menschen in den Kirchengemeinden und ihr Nutzerverhalten realistisch im Blick behalten.
(Für detaillierte Einschätzungen lassen sich auf dem Blog von Mike Kuketz: kuketz-blog.de viele Fakten in aller Ausführlichkeit finden.)