Datenschutz olé

Die DSGVO ist in Kraft, das neue Datenschutzgesetz der EKD auch. Und jetzt?

Die DSGVO ist da (und das DSG-EKD auch)! Aber die Welt steht noch, denn im Grunde hat sich nicht so viel geändert. Es reden jetzt nur auf einmal alle drüber. Und das ist gut, weil es die Diskussion um Datenschutz, seine Bedeutung und seine Probleme ans Licht holt. Datenschutz ist zwischen dem Cambridge-Analytica-Skandal auf Facebook und der DSGVO mal kurz ein Mainstream-Thema geworden.

Mein Problem damit ist, dass aktuell der Umgang mit Daten vornehmlich als Problem dargestellt wird. Die jetzt in Kraft getretenen Aktualisierungen des Datenschutzrechtes gehen grundsätzlich negativ vor, weil sie dem Verbotsprinzip folgen: Erstmal soll man gar nichts dürfen, wenn es um personenbezogene Daten geht.

Dazu hat Winfried Veil den schönen Satz geschrieben: "Personenbezogene Daten sind kein radioaktives Material." Es gibt nämlich tatsächlich risikolose Verarbeitung von solchen Daten, die unproblematisch ist - aber das ist in der DSGVO so einfach nicht mehr vorgesehen. Das Sammeln und Verarbeiten von Informationen kann aber auch gut sein. Es kann sowohl Kunden nutzen und die Menschheit voranbringen. Aber das ist (und war) in den Datenschutzbestimmungen so nicht vorgesehen.

Beispiel Big Data

Ein moderner Umgang mit Informationen sieht einfach anders aus. Aber Datenschutzgesetze sind in ihrer Sichtweise beschränkt. Sie wollen keine Informations-Verarbeitungsgesetze sein. Deswegen fahren sie zum Beispiel mit Blick auf "big data" völlig blind. "Big data" bedeutet: Ich sammele möglichst viele einzelne Informationen von möglichst vielen Personen und setze sie zueinander in Beziehung, um daraus Erkenntnisse zu gewinnen. Die einzelne Person ist dabei in der Regel als Person irrelevant, die Daten werden erst durch die große Zahl verwertbar.

Nun ist im EKD-Datenschutzgesetz (und in der DSGVO) iauch "berechtigtes Interesse" als Erlaubnis zur Verabreitung personenbezogener Daten vorgesehen. In § 6, Abs 3 steht: Die Verarbeitung ist rechtmäßig, wenn sie "zur Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich" ist.

Was passiert also, wenn ein Kirchenkreis für seine Pfarrerinnen und Pfarrer wissen will, in welcher Kirche sich welche Gottesdienstform lohnt? Für Senioren, Teenager, Angestellte, Musikinteressierte oder Menschen, denen die Predigt besonders wichtig ist?

Die Aufgabe "Verkündigung" kann ich dann am besten erfüllen, wenn ich weiß, welche Form wann welche Menschen erreicht, und ich sie dann auch noch gezielt einladen kann, damit sie Bescheid wissen. In der Praxis heißt das: die Menschen in einem Stadtteil erreicht eine Einladung zu einem Gottesdienst oder Konzert, das besonders gut zu ihnen passt. Aber das zu machen über die demografischen Daten einer Gemeinde kombiniert mit den allgemeinen demografischen Daten des Stadtteils kombiniert mit lokal gezielter Plakatierung und persönlichen Einladungen in Briefkästen, Mail-Postfächern und Messenger-Apps ist aus Sicht eines verbotsorientierten Datenschutzes ein Problem. Trotz "berechtigten Interesses".

Dabei würde es der Kirche einfach helfen. Das geht aber prinzipiell nicht "datensparsam".

Es macht einen Unterschied, wer meine Daten wofür nutzt. Und das berücksichtigt "Datenschutz" aktuell nicht. Dass ich als Kunde, Mitglied oder Interessierter weiß, wer wo was wie damit macht, finde ich begrüßenswert. Dass vor der "guten" und vor der "schlechten" Datenverarbeitung die gleichen hohen rechtlichen Hürden stehen, ergibt für mich aber keinen Sinn. Das zu bewerten, ist nicht leicht. Aber wenn wir diese Frage stellen, kommen wir genau in die inhaltliche Debatte, die es für die Zukunft von Informationsverarbeitung braucht. Informationsverarbeitung kann nämlich auch ein meritorisches Gut sein, wird nur im Moment meist nicht so gesehen.

Ich finde es prinzipiell viel wichtiger, dass wir uns als Menschen in der Kirche im Geiste guter, ethischer Informationsverarbeitung verhalten und nicht dem Wortlaut des Datenschutzes nach: Datenethik statt Datenschutz. Das kann man Instutitionen, die an Recht und Gesetz gebunden sind, natürlich nicht raten, und deswegen haben wir ja auch alle unsere Datenschutzerklärungen überprüft und gegebenenfalls angepasst.

Trotzdem ist Datenschutz kein Selbstzweck. Absurd wird es dann, wenn Datenschutzregeln uns dazu bringen, Ressourcen aus dem Fenster zu werfen, mit denen wir das Rad neu erfinden sollen. Beispiel eigene Messenger-Dienste: Wenn wir mit Menschen in der Welt kommunizieren wollen, geht das nicht über kircheneigene Messenger, weil die Menschen außerhalb des inneren Kreises die nicht nutzen. Die Dienste werden daher im besten Fall für Intranet-Kommunikation zwischen Angestellten genutzt; dafür gibt es aber auch jetzt schon datenschutzkonforme Lösungen auf dem Markt, die man kaufen, ggf. anpassen und selber hosten kann.

Und wenn jemand auf WhatsApp oder Facebook Zuspruch oder sogar Seelsorge braucht, fliegen die Bedenken darüber sowieso wieder über Bord.

Wer jetzt überhaupt noch Lust hat, gute Texte zur DSGVO und zum kirchlichem Datenschutz zu lesen, findet hier meine drei Empfehlungen:

Winfried Veil hat 21 Thesen zum Irrweg der DSGVO notiert und die Unzulänglichkeiten sehr gut beleuchtet.

Wolfgang Lünenbürger-Reidenbach hat auf die guten, bewusstseinschaffenden Seiten der DSGVO hingewiesen.

Felix Neumann hat auf katholisch.de das katholische Pendant unter die Lupe genommen, seine Schlussfolgerungen gelten aber auch für uns Protestanten.

Und zu guter Letzt sei erwähnt, dass der Datenschutzbeauftragte der EKD vom 19. bis 26. Juni wieder vier "Datenschutz-Infotage" anbietet, auf denen es natürlich dann konkret um das DSG-EKD gehen wird.

Vielen Dank für's Lesen & Mitdenken!


Im Blog schreibe ich meine Beobachtungen, Links und Interviews zu den Themen Digitalisierung, Digitale Kirche und digitalisierte Welt auf. Ich bin erreichbar auf Twitter als @dailybug.