Katholische Datenschutzkonferenz: Neue Regeln für Social Media und Messenger

Die Konferenz der Diözesandatenschutzbeauftragten hat ihren Beschluss »zur Beurteilung von Messenger- und anderen Social Media-Diensten« erneuert. Der schon bei der Konferenz am 15. September gefällte, aber erst jetzt veröffentlichte Beschluss aktualisiert den alten Stand aus dem Sommer 2018.

Verschiedene Messengerdienste unterschiedlichen Erlaubtheitsgrades auf einem Smartphone-Display
Verschiedene Messengerdienste unterschiedlichen Erlaubtheitsgrades auf einem Smartphone-Display. (Photo by Adem AY on Unsplash)

Einen großen Kurswechsel stellt der Beschluss nicht dar, eher eine folgerichtige Fortschreibung. Weiterhin gibt es – anders als beim BfD EKD – keine Bewertung konkreter Dienste. Einen Ausschluss gibt es aber doch: Die KDSA Ost betont explizit, dass Telegram kein zulässiger Messenger-Dienst für dienstliche Kommunikation sei.

Weiterhin gibt es die vier großen Pflichtkriterien Serverstandort, sicherer Datentransport, Datenminimierung und Respektierung der Rechte Dritter, dazu noch eine Aufzählung weiterer wünschenswerter Kriterien. Klar geregelt wird nun auch, dass dieser Beschluss umfassend die aktuelle Beschlusslage der katholischen Datenschutzkonferenz darstellt und alle vorigen Beschlüsse zur Thematik ersetzt.

Kriterien

Serverstandort

Das Kriterium Serverstandort wird deutlich strenger gefasst. Hieß es zuvor noch lediglich, dass von einer Verarbeitung im Drittland abgeraten werde, wenn nicht zugleich eine Verschlüsselung nach dem Stand der Technik verwendet werde, wird nun grundsätzlich von einer Verarbeitung im Drittland abgeraten. Leider wird weiterhin die Formulierung »Drittland, also außerhalb der EU« verwendet, was mit Blick auf den Europäischen Wirtschaftsraum streng genommen nicht stimmt und auch Staaten mit unumstrittenen Angemessenheitsbeschlüssen wie die Schweiz ohne Not abwertet.

Gerade mit Blick auf die Verbreitung des Schweizer Messengers Threema in der Kirche ist das eine unnötige Unklarheit. Das Vorliegen geeigneter Garantien nach § 40 KDG wird zwar erwähnt, aber nicht ausgeführt. Auch wenn man keine Dienste nennen will: Ein Zero-Knowledge-Prinzip wie bei Signal verwendet hätte man beschreiben können; der Einsatz von Signal sollte sich aber über das Kriterium »Datenminimierung« rechtfertigen lassen, wenn man sich vom Standort-Kriterium nicht allzu sehr abschrecken lässt.

Sicherer Datentransport

Seit dem letzten Beschluss wurde die Durchführungsverordnung zum KDG veröffentlicht; das wird nun auch im Text aufgenommen und auf die dort geregelte Verschlüsselung als geeignete Maßnahme zum Schutz hingewiesen. Als aktueller Stand der Technik wird die Technische Richtlinie BSI TR-02102-1 (Version 2021-01) des BSI genannt. Ansonsten gibt es keine Änderungen.

Datenminimierung

Zwei Formulierungen wurden klarer und damit restriktiver formuliert. Bei den alten Kriterien wurde nur die Frage gestellt, ob Metadaten so bald wie möglich gelöscht werden. Neu heißt es: »Werden höchstens Metadaten der Verbindung über das Verbindungsende hinaus gespeichert und auch diese so bald wie möglich gelöscht?« Damit korrespondiert die Vorgabe, dass eine zentrale Speicherung von Inhalten auf dem Server des Betreibers ebenso wie ein Mitlesen des Betreibers nicht akzeptabel ist. Dem Wortlaut nach schließt das auch eine sicher verschlüsselte Speicherung auf dem Betreiberserver aus, die nur der*die Nutzer*in entschlüsseln kann – damit wären selbst vollverschlüsselte Serverbackups wohl unzulässig.

Respektierung der Rechte Dritter

Hier wird lediglich die Formulierung angepasst, um nicht nur Telefonbücher zu erfassen, sondern alle auf dem Gerät hinterlegten personenbezogener Daten Dritter.

Weitere Kriterien

Zu den bisherigen weiteren Kriterien Kosten und Lizenzbedingungen kommt neu quelloffene Software: »Bei einer Beurteilung einer Messenger-Lösung ist ferner die Verfügbarkeit des Quellcodes (Open Source) zu berücksichtigen und ggf. positiv zu bewerten.«

Fazit

Die Fortschreibung bewegt sich in den erwarteten Bahnen. Nach Schrems II ist es keine Überraschung, dass die deutlichste Verschärfung im Bereich des Serverstandorts vorgenommen wurde. Mit der vom BfD EKD bekannten Unsitte, nur von EU und Drittländern zu sprechen und damit sowohl EWR wie Länder mit Angemessenheitsbeschlüssen auszublenden, ist dieses Kriterium eher zu hart und weniger praktikabel als möglich formuliert – und führt bei unkritischer Anwendung zu kuriosen Situationen, wenn man Staaten wie die Schweiz oder Norwegen als problematischer als Polen oder Ungarn behandelt. Ansonsten stellen die Änderungen verständliche Klärungen dar, die die Anwendung der Kriterien in der Praxis vereinfachen dürften. Wünschenswert wären angesichts der Situation am Markt Ausführungen zu den »geeigneten Garantien« für Drittlandtransfers – gerade für den Messenger-Markt.

Mit der Äußerung der KDSA Ost gibt es auch ein erstes Beispiel einer Prüfung der Kriterien am lebenden Objekt. Ausschlaggebend für das klare Negativurteil zu Telegram sind die Kriterien Serverstandort, Mängel beim sicheren Datentransport, da Ende-zu-Ende-Verschlüsselung nur optional verwendet wird, sowie der Zugriff auf Metadaten und das Telefonbuch. Der mangelnde Zugriff deutscher Aufsichts- und Strafverfolgungsbehörden, der sich in den Kriterienliste der katholischen Datenschutzkonferenz nicht findet, wird außerdem erwähnt. Eine so klare Aussage wie von der KDSA Ost, dass die Verwendung von Telegram für eine dienstliche Kommunikation gegen das KDG verstoße und unzulässig sei, hat man bisher katholischerseits nicht gehört, die Formulierung ist zudem deutlich schärfer als beim BfD EKD, der »abrät« und von »erheblichen Datenschutzbedenken« spricht. Außerhalb der Zuständigkeit der KDSA Ost ist Telegram derzeit im Bistum Regensburg und mit Einschränkungen im Bistum Würzburg zugelassen. Es wird sich zeigen, ob sich das ändern wird.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert