Die Betreiberin der luca-App, die culture4life GmbH, ist bereit, die für die Verwendbarkeit unter dem kirchlichen Datenschutzrecht notwendigen Auflagen bei Auftragsverarbeitungsverträgen zu erfüllen. Auf Anfrage von „Artikel 91“ bestätigte die Datenschutzbeauftragte des Unternehmens Vera Weidmann, dass die nach dem DSG-EKD notwendige Unterwerfungserklärung unter die kirchliche Datenschutzaufsicht ebenso wie der nach KDG erforderliche Bezug auf das kirchliche Datenschutzrecht möglich sei. Wörtlich sagte Weidmann: »Die Zusatzvereinbarung kann zwischen uns und den kirchlichen Trägern unterzeichnet werden. Eine weitere Klausel für katholische Einrichtungen kann ebenfalls in den AVV integriert werden.« [Ergänzung, 26. April 2021]Für die Zusatzvereinbarung zur Unterwerfungserklärung wird das Muster der kirchlichen Aufsicht verwendet: „Dieses erhalten die kirchlichen Einrichtungen bisher nur auf Anfrage bei uns“, so Weidmann. Die zusätzliche Klausel im AVV für katholische Einrichtungen wird gerade erarbeitet und auf Anfrage zur Verfügung gestellt.[/Ergänzung] Damit ist die wichtigste rechtliche Hürde genommen, die Auftragsverarbeitung im kirchlichen Datenschutzrecht im Vergleich zu den Regelungen der DSGVO darstellt.
Das evangelische Datenschutzrecht fordert von Auftragsverarbeitern eine Unterwerfung unter die kirchliche Datenschutzaufsicht (§ 30 Abs. 5 DSG-EKD). In der Auslegung der Konferenz der Diözesandatenschutzbeauftragten genügt für Auftragsverarbeitung unter katholischem Datenschutzrecht eine Bezugnahme auf das für die verantwortliche Stelle geltende kirchliche Gesetz. Nach einer Aufstellung der Verantwortlichkeiten beim Einsatz der Kontaktverfolgungs-App luca tritt die Betreiberfirma beim Check-in und bei der Freigabe der Kontaktdaten ans Gesundheitsamt als Auftragsverarbeiterin auf. Diese Phasen des App-Einsatzes müssen daher von verantwortlichen Stellen über einen Auftragsverarbeitungsvertrag gelöst werden.
Mit der Bereitschaft, die kirchengesetzlichen Regelungen zur Auftragsverarbeitung zu erfüllen, ist zwar ein wichtiges Element für einen rechtskonformen Einsatz der App auch im kirchlichen Bereich gegeben. Darüber hinaus muss jedoch geprüft werden, inwiefern der Einsatz überhaupt zulässig ist. Auch nach massiver Kritik aus der netzpolitischen Zivilgesellschaft und aus IT-Sicherheitskreisen an der App hält beispielsweise der baden-württembergische Landesdatenschutzbeauftragte an einem möglichen datenschutzkonformen Einsatz fest. Die bisher einzige kirchliche Aufsicht, die sich geäußert hat, ist die KDSA Ost. Am 9. April bezeichnete der Diözesandatenschutzbeauftragte luca als »datenschutzrechtlich zweifelhaft« und mit Blick auf das in diesen Tagen ausgerollte Update der Corona-Warn-App des Robert-Koch-Instituts als »demnächst überflüssig«. Bereits Ende März hatte der Datenschutzbeauftragte für Kirche und Diakonie eine »Stellungnahme zur Kontaktverfolgung mit digitalen Lösungen („luca“-App u.a.)« veröffentlicht, die im wesentlichen die Punkte der Äußerung der Datenschutzkonferenz bekräftigte.
Mehr dazu
Ausführlich mit den besonderen Bedingungen, die kirchliches Datenschutzrecht an Kontaktnachverfolgungsapps stellt, hat sich ein Anfang März hier veröffentlichter Artikel am Beispiel luca beschäftigt.