Datenschutz in der EKD: "WhatsApp geht überhaupt nicht"

Michael Jacob, Beauftragter für Datenschutz der EKD.
Foto: Norbert Neetz/epd
Michael Jacob, Beauftragter für Datenschutz der EKD.
Datenschutz in der EKD: "WhatsApp geht überhaupt nicht"
Am 25. Mai tritt die neue EU-Datenschutz-Grundverordnung inkraft. Die Evangelische Kirche in Deutschland (EKD) hat eigene Regeln, die bereits im vergangenen Jahr beschlossen wurden.

Im Gespräch mit dem Evangelischen Pressedienst (epd) erklärt der EKD-Datenschutzbeauftragte Michael Jacob, warum die Kirche ein eigenes Gesetz hat, warum er sich keine Sprachassistenten im Gemeindebüro vorstellen kann und warum er die Aktivitäten von kirchenleitenden Personen bei Facebook teilweise kritisch sieht.

Ab dem 25. Mai gilt die neue EU-Datenschutz-Grundverordnung. Die Synode der Evangelischen Kirche in Deutschland (EKD) hat im vergangenen November ein eigenes Datenschutzgesetz beschlossen. Warum hat die Kirche eigene Regeln?

Michael Jacob: Wir haben lange darum gekämpft, dass in der Datenschutz-Grundverordnung eine Möglichkeit geschaffen wird, wonach die Kirchen ihr eigenes Recht behalten dürfen, wenn es sich an den Standards der EU-Regeln orientiert. Das hat der kirchliche Gesetzgeber getan. Wir haben in Deutschland einen besonderen Status der Kirchen und ebenso hat das Thema Datenschutz einen besonderen Status für die Kirchen. Der Datenschutz kommt aus dem Beicht- und Seelsorgegeheimnis. Schon sehr früh hat sich die Kirche um den Schutz dessen gekümmert, was wir heute personenbezogene Daten nennen. Es war daher eine kirchenpolitische Entscheidung, auch weiter das Thema mit einem eigenen Gesetz zu besetzen.

"Ich wünsche mir innerhalb der Kirchen eine Debatte darüber, was den kirchlichen Datenschutz ausmacht - gerade auch beim Thema soziale Netzwerke"

Mit welchen Regelungen weicht das EKD-Datenschutzgesetz von der EU-Verordnung ab?

Jacob: Ich sage mal salopp, 95 Prozent haben wir abgeschrieben, auch weil es gesetzlich geboten war. Ein Unterschied findet sich bei der Höhe der Bußgelder, die verhängt werden dürfen. Im EKD-Datenschutzgesetz sind das bis zu 500.000 Euro für Unternehmen, die sich am Wettbewerb beteiligen. Bei der staatlichen Datenaufsicht gilt eine wesentlich höhere Obergrenze für Bußgelder. Beim Rest geht es vor allem auch um kirchenspezifische Detailregelungen, etwa Regelungen zu Videoaufzeichnungen im Gottesdienst oder zum Beicht- und Seelsorgegeheimnis.

Wie wird die Einhaltung der Datenschutzregeln innerhalb der Kirche kontrolliert?

Jacob: Wir werden stärker in das Thema Kontrolle einsteigen müssen. Im Rahmen des Aufbaus meiner kleinen Behörde haben wir stark auf die Themen Beratung und Weiterbildung gesetzt. Das war auch richtig so, um für das Thema zu werben und aufzuklären. Da können wir aber nicht stehenbleiben. Wir sind eben auch eine Datenschutzaufsichtsbehörde.

Was schreibt das EKD-Datenschutzgesetz einer Kirchengemeinde vor, die etwa bei Facebook aktiv werden möchte?

Jacob: Das alte EKD-Datenschutzgesetz war da eindeutig: Eine Nutzung von Facebook war rechtlich nicht möglich, weil Datenverarbeitungen außerhalb eines Mitgliedsstaats der EU danach nicht zulässig waren. Gleichzeitig bin ich natürlich Realist und sehe, dass in allen Bereichen der Kirche bis hoch zu obersten Repräsentanten soziale Medien stark genutzt wurden. Das neue Gesetz hat nun nicht mehr dieses strikte Verwertungsverbot, sondern lehnt sich an staatliche Regelungen an. Die Nutzung wird damit zunächst einmal rechtskonformer. Ob die Nutzung damit auch dauerhaft datenschutzkonform ist, muss noch geklärt und entschieden werden. Ich wünsche mir innerhalb der Kirchen eine Debatte darüber, was den kirchlichen Datenschutz ausmacht - gerade auch beim Thema soziale Netzwerke.

Sehen Sie es also als Datenschutz-Aufseher nicht gern, wenn der oberste EKD-Repräsentant, der Ratsvorsitzende Heinrich Bedford-Strohm, sehr rege bei Facebook aktiv ist?

Jacob: Der Datenschutzbeauftragte kommt ja erst ins Spiel, wenn personenbezogene Daten betroffen sind. Wenn von offizieller Seite Stellungnahmen in soziale Netzwerke eingestellt werden, ist das nicht zwangsläufig der Fall. Eine andere Frage ist aber, was für ein Bild wir in der Öffentlichkeit abgeben. Ich möchte stärker eine Debatte darüber führen, wem wir unsere Daten anvertrauen, auf welche Unternehmen wir uns da stützen. Das Thema Digitalisierung verlangt innerhalb der Kirche dringend nach einer ethischen Debatte. Meine Kollegen und ich werden da nicht lockerlassen - egal, ob es sich um eine Kirchengemeinde im Ostwestfälischen handelt oder um das Verhalten von kirchenleitenden Persönlichkeiten bei Facebook. 

Was ist das Ziel dieser Debatte?

Jacob: Wir brauchen eine stärkere Vergewisserung darüber, was kirchlicher Datenschutz für uns eigentlich bedeutet. Dass wir ein eigenes Gesetz haben, in dem sich einige wenige Paragrafen von den staatlichen Regelungen unterscheiden, ist mir zu wenig. Es fehlt noch eine grundsätzliche Unterfütterung des Themas innerhalb der Kirche. Dafür müssen sich auch die Theologinnen und Theologen noch stärker für das Thema interessieren.

"Automatisch werden in meiner WhatsApp-Kontaktliste Menschen aufgeführt, von denen ich dafür nach unseren Datenschutzregeln eine Einverständniserklärung einholen müsste"

Wie ist das Interesse auf der anderen Seite bei den Kirchengemeinden und diakonischen Einrichtungen?

Jacob: Uns erreichen zuhauf praktische Anfragen. Ein Beispiel: Darf der runde Geburtstag im Gemeindebrief veröffentlich werden? Was gilt, wenn der Gemeindebrief nicht persönlich verteilt, sondern beim Metzger ausgelegt oder gar im Internet veröffentlicht wird? Das ist natürlich ein Unterschied. Da gibt es ein hohes Bewusstsein bei den Verantwortlichen vor Ort.

Wie sieht es mit dem Messengerdienst WhatsApp aus? Ist es in Ordnung, über einen Gruppenchat das Gemeindecafé nach dem Gottesdienst zu organisieren? 

Jacob: Nein. Neben dem Problem der Datenübermittlung in die USA geht WhatsApp auch aus einem anderen Grund überhaupt nicht. Der Dienst - das ist seine Erfolgsgeschichte - nutzt als Identifizierungsmerkmal mein Handy-Telefonbuch, also personenbezogene Daten. Automatisch werden damit in meiner WhatsApp-Kontaktliste Menschen aufgeführt, von denen ich dafür nach unseren Datenschutzregeln eigentlich eine Einverständniserklärung einholen müsste. WhatsApp geht daher nicht. Bei Facebook und Twitter müssen wir vor dem Hintergrund der neuen Gesetzeslage noch genau prüfen, was künftig erlaubt ist und was nicht.

Ist die strikte Regel aber nicht weltfremd? Sollte Kirche nicht insbesondere dort sein, wo Menschen miteinander ins Gespräch kommen - auch im Netz?

Jacob: Es überzeugt mich nur bedingt, wenn es heißt, man erreiche Jugendliche nur über diese Plattformen. Jugendliche laden sich jede Menge Apps herunter. Ich wäre dafür, einen eigenen Messengerdienst innerhalb der evangelischen Kirche zu etablieren. Den können wir programmieren, auf deutschen Servern speichern und die Hoheit über die Daten behalten.

Ein neues Thema sind Sprachassistenten wie Amazons "Alexa" oder "Google Home". Wäre eine "Alexa" in einer Kirchengemeinde erlaubt?

Jacob: Datenschützer sagen, dass "Alexa" auch auf Standby Daten sammelt, hinzu kommen die Aspekte Robotik und künstliche Intelligenz. Im Moment kann ich mir einen Sprachassistenten etwa im Gemeindebüro nicht vorstellen.

Und wie sieht es aus, wenn der Assistent in einer diakonischen Einrichtung eine echte Erleichterung für eine blinde Mitarbeiterin wäre?

Jacob: Tatsächlich stellen sich bei der Diakonie im Bereich Datenschutz noch einmal viel speziellere Fragen. Da haben wir es häufig mit einer gesteigerten Form des Datenschutzes zu tun. Jenseits von Sprachassistenten geht es etwa um die elektronische Visite oder die elektronische Akte. Bei Patientendaten schauen wir genau hin, denn es sind besonders sensible Daten. Die Anforderungen an diakonische Einrichtungen sind also häufig noch höher.