Bei der vom BfD EKD in seinem neuen Tätigkeitsbericht aufgrund umfangreicher Datenabfrage bei der Intranet-Registrierung bemängelten Landeskirche handelt es sich wie schon vermutet um die EKBO. Auf Anfrage bestätigte eine Sprecherin, dass man davon ausgehe, dass sich der Bericht auf ihre Landeskirche beziehe. Das EKBO-Intranet ist unter der URL info-gemeinsam.ekbo.de erreichbar. Eine Sprecherin der EKiR teilte dagegen mit, dass ihr – augenscheinlich auf derselben Software basierendes – Intranet nicht im Tätigkeitsbericht erwähnt wird.
Die EKBO bestätigte die Darstellung des BfD EKD grundsätzlich: Die Aufsicht habe angefragt, warum im Registrierungsprozess insbesondere die Privatadresse, die Handynummer und das Geburtsdatum abgefragt werde. Für die umfangreiche Datenerhebung gab die Sprecherin folgende Begründung an: »Die Abfrage der Privatadresse verfolgt den Zweck, dass Registrierungsdaten per Briefpost an die private Adresse gesendet werden und damit sicherer sind, als im Posteingang einer kirchlichen Behörde oder Kirchengemeinde. Die Handynummer ist bereits optional; deren Angabe sollte Rücksetzprozesse (z.B. bei einem vergessenen Passwort) erleichtern. Das Geburtsdatum dient der Feststellung des Alters zur Gewährleistung des Jugendschutzes und soll insbesondere bei Namensgleichheit eine Unterscheidung gewährleisten.« Außerdem verweist sie auf ein spezielles Infoblatt zum Umgang mit Daten beim Intranet mit Stand 12. Juni 2023. Auf die Frage nach der Beteiligung und der Bewertung des örtlichen Beauftragten für den Datenschutz hieß es, dass dieser Prozess nicht neu konzipiert worden sei, da die bereits bestehende Lösung einer anderen Landeskirche übernommen worden sei.
Mit der speziellen Datenschutzerklärung und der laut EKBO vor wenigen Tagen erfolgten Überarbeitung einiger Pflichtfelder – nun kann bei Hauptberuflichen die Dienst- statt der Privatadresse verwendet werden, die Freiwilligkeit der Angabe einer Mobilnummer wurde stärker herausgestellt – sind einige der Kritikpunkte, die im Tätigkeitsbericht benannt waren, anscheinend behoben. Die Datenschutzerklärung führt allerdings eine sehr breite Palette an Rechtsgrundlagen auf, bei der Verwaltung des Nutzerkontos pauschal § 6 Nr. 2, 3, 4, 5 DSG-EKD – also Einwilligung, Aufgabenerfüllung, kirchliches Interesse und Vertragserfüllung. Welche davon nun wann greift, bleibt unklar. Das kann konfliktträchtig sein, wenn eine Einwilligung widerrufen wird: Sollen dann die anderen Rechtsgrundlagen hilfsweise einspringen?
Offen sei lediglich noch die Frage des Geburtsdatums. Die Landeskirche sieht die Erfassung zur Unterscheidbarkeit bei Namensgleichheit als erforderlich an: »Hierzu haben wir der Datenschutzaufsichtsbehörde eine Aufstellung von Fallgestaltungen bei Namensgleichheiten zukommen lassen.« Die Aufsicht habe in dieser Woche telefonisch bestätigt, dass die Frage offen sei. Ein Blick auf das Anmeldeformular zeigt aber noch eine andere Baustelle: Bei Ehrenamtlichen ist die Privatadresse sowie eine Kontaktart per Mail oder Mobilnummer eine Pflichtangabe. Dort wird jeweils eine Einwilligung verlangt, die per Pflichtfeld anzukreuzen ist – damit dürfte diese Einwilligung aufgrund der fehlenden Freiwilligkeit unwirksam sein.
Fazit
Ob die Beanstandung der Aufsicht zu den Änderungen geführt hat oder erst die Öffentlichkeit und die Berichterstattung durch den Tätigkeitsbericht, kann nicht geklärt werden. Sicher ist: Verbesserungen hin zu einem datenschutzkonformen Zustand sind erfolgt.
Die immer noch bestehenden Anfragen an verwendete Rechtsgrundlagen und Erforderlichkeit von Datenerhebungen verweisen aber auf grundsätzliche Herausforderungen bei IT-Projekten: Anscheinend wird Datenschutz erst spät mitgedacht; privacy by design als Anforderung hätte viele Probleme wohl von Anfang an vermieden: dass Einwilligungen als Pflichtfelder definiert werden, dürfte gar nicht vorkommen, wo auch nur ein Mindestmaß an Fachkenntnis im Datenschutz besteht. Ein sicherer Prozess, bei dem eine eindeutige Identifikation von Menschen sichergestellt ist, sollte auch ohne Geburtsdatum zu gestalten sein. Bedenkt man Datenschutz erst hinterher (im worst case erst dann, wenn sich die Aufsicht meldet), wird es teuer und man verprellt Nutzende.