Zur digitalen Kirche gehört auch digitale Seelsorge. Und die ist nicht möglich, ohne personenbezogene Daten zu verarbeiten. Und auch bei nicht-digitaler Seelsorge stellt sich die Frage, wie Daten darüber gesichert werden müssen.
Eine eigene Kategorie »Seelsorgedaten« kennen weder das KDG noch das DSG-EKD. Da Daten über Seelsorge aber Auskunft über religiöse Überzeugungen geben, gehören sie zu den besonderen Kategorien. Ihre Verarbeitung ist damit an die erhöhten Bedingungen von § 11 KDG oder § 13 DSG-EKD geknüpft. Doch es gibt auch spezielle Regelungen
Seelsorgedaten im katholischen Datenschutzrecht
Regelungen im Universalkirchenrecht
Mit dem Beichtgeheimnis, das heute in cc. 983f. CIC geregelt ist, hat das IV. Laterankonzil im Jahr 1215 eines der ersten Datenschutzgesetze erlassen. Das Beichtgeheimnis ist unverletzlich, sein Bruch durch Beichtväter, Dolmetscher*innen oder andere Hilfskräfte sowie die Aufnahme mit »irgendeinem technischen Hilfsmittel« oder Veröffentlichung wird streng bestraft (§ 1386 CIC). Eine schriftliche oder fernmündliche Beichte ist nicht vorgesehen, auch während der Corona-Pandemie wurde sie nicht erlaubt.
Regelungen im kirchlichen Datenschutzrecht
Das KDG verweist nur an einer Stelle auf Beichte und Seelsorge: § 2 Abs. 3 KDG regelt, dass die »Verpflichtung zur Wahrung des Beicht- und Seelsorgegeheimnisses, anderer gesetzlicher Geheimhaltungspflichten oder anderer Berufs- oder besonderer Amtsgeheimnisse« unberührt bleibt.
Genauer regelt die KDG-DVO Seelsorgedaten. Ein eigener § 14 befasst sich mit dem Umgang mit Daten, die dem Beicht- oder Seelsorgegeheimnis unterliegen.
- Solche Daten sind »in besonderes hohem Maße schutzbedürftig« (Abs. 1).
- Daten, die dem Beichtgeheimnis unterliegen, dürfen überhaupt nicht verarbeitet werden (Abs. 2) – das ist konsequent, da schon das Universalkirchenrecht faktisch dazu führt, dass dem Beichtgeheimnis unterliegende Daten gar nicht erlaubt anfallen können. Selbst anonymisiert ist das nicht zulässig.
- Daten, die dem Seelsorgegeheimnis unterliegen, also solche, die Seelsorgende in ihrer Eigenschaft als Seelsorgende erhalten, dürfen verarbeitet werden. Es muss aber ein besonderes Schutzniveau sichergestellt werden, das gegebenenfalls über die Vorgaben der Datenschutzklasse III hinausgeht (Abs. 3). Diese Schutzklasse ist ohnehin für alle Verarbeitungen besonderer Kategorien zu beachten. Zu den besonderen Schutzmaßnahmen gehört die verschlüsselte Speicherung (§ 13 Abs. 2 lit. a) KDG-DVO). Dazu sind alle Vorgaben der niedrigeren Schutzklassen zu erfüllen wie ein personalisierter Zugriff (also nicht ein Account für alle auf dem Pfarrbüro-Computer) und verschlüsselte Übermittlung.
- Ausdrücklich werden Beispiele für die über Schutzklasse III hinausgehenden Maßnahmen genannt: der Betrieb eines eigenen Servers oder einer eigenen Datenablage ohne externe Datenverbindung sowie die Speicherung auf einem verschlüsselten externen Datenträger, der außerhalb der Dienstzeiten im Tresor verschlossen wird (Abs. 4).
- Online-Seelsorge kann naturgemäß nicht über einen nicht nach außen angebundenen Server stattfinden. Das ist zulässig, es braucht aber weitere technische und organisatorische Maßnahmen über Schutzklasse III hinaus, ohne dass aber dafür Beispiele gegeben werden.
Seelsorgedaten im evangelischen Datenschutzrecht
Regelungen im Seelsorgerecht
Das Kirchengesetz zum Schutz des Seelsorgegeheimnisses (SeelGG) normiert das Seelsorgegeheimnis und die Amtsverschwiegenheit für den kirchlichen Bereich. § 3 SeelGG hält fest, dass »Aufzeichnungen, die in Wahrnehmung eines kirchlichen Seelsorgeauftrages erstellt werden«, Dritten nicht zugänglich sein dürfen.
In zwei eigenen Paragraphen regelt das Seelsorgegeheimnisgesetz sehr knapp Seelsorge mit technischen Kommunikationsmitteln und den Umgang mit Seelsorgedaten.
- Bei Seelsorge mit technischen Kommunikationsmitteln haben verantwortliche Stelle und die Seelsorgenden selbst dafür zur sorgen, »dass die Vertraulichkeit in höchstmöglichem Maß gewahrt bleibt« (§ 11 SeelGG).
- Im Umgang mit Seelsorgedaten sind kirchliche und staatliche Bestimmungen zum Schutz des Seelsorgegeheimnisses und die Anforderungen des kirchlichen Datenschutzes einzuhalten (§ 12 SeelGG).
Regelungen im kirchlichen Datenschutzrecht
§ 2 DSG-EKD regelt lediglich, dass Bestimmungen zur Wahrung des Beicht- und Seelsorgegeheimnisses so wie andere Geheimhaltungs- und Vertraulichkeitspflichten unberührt bleiben. Eine Durchführungsverordnung auf Ebene der EKD gibt es nicht, es sind also gegebenenfalls landeskirchliche Gesetze und Ausführungsbestimmungen zu überprüfen. Typische Regelungen sind dabei der Verbot der Nutzung von Seelsorgedaten für das Fundraising (z. B. § 13 DSVO EKiR) sowie Löschpflichten und Weitergabeverbote (z. B. § 3 DSDVO Nordkirche).
Rechtsgrundlagen
Seelsorgedaten gehören zu den besonderen Kategorien personenbezogener Daten. Daher müssen die erhöhten Anforderungen an Rechtsgrundlagen aus § 11 KDG oder § 13 DSG-EKD erfüllt werden. Beide kirchlichen Datenschutzgesetze haben keine eigenen Regelungen mit Rechtsgrundlagen für die Seelsorge.
Da Seelsorge zum Kernbereich kirchlichen Handelns gehört und Menschen ausdrücklich für die Seelsorge beauftragt sind, kann man wohl auf die Rechtsgrundlage der Verarbeitung »durch eine kirchliche Stelle im Rahmen ihrer rechtmäßigen Tätigkeiten« zurückgreifen (§ 11 Abs. 2 lit. d) KDG und § 13 Abs. 3 Nr. 4 DSG-EKD). Eine Einwilligung braucht es dann nur, wenn solche Daten nach außen übermittelt werden. Diese Rechtsgrundlage ist aber nur dann einschlägig, wenn es sich um Menschen handelt, die Mitglied der verantwortlichen Stelle sind oder waren oder regelmäßig in Zusammenhang mit dem Tätigkeitszweck in Kontakt mit ihr stehen. Hier wird ausdrücklich auf die Mitgliedschaft in der verantwortlichen Stelle abgehoben, nicht auf Kirchenmitgliedschaft allgemein, das macht die Anwendung schwierig. Die Einschränkung kann relevant werden, wenn jemand einmalig Seelsorge bei einer Person sucht, der oder die nicht zur jeweiligen Stelle gehört – also beispielsweise ein Gemeindemitglied einer Landeskirche, das sich bei einer Seelsorgerin einer anderen Landeskirche meldet. In konkreten Fällen zu prüfen, ob der Personenkreis eröffnet ist, dürfte oft nicht praktikabel sein.
Auf Nummer sicher geht man daher mit einer Einwilligung. Die dürfte hier – trotz aller ihrer Nachteile – am einfachsten und transparentesten sein: Wird die Einwilligung widerrufen, werden die Seelsorgedaten ohne wenn und aber komplett gelöscht. Das ist hier auch unproblematisch, weil man diese Daten ohnehin nicht anderweitig nutzen will und darf.
Konsequenzen
Die umfangreichen Regelungen der KDG-DVO geben mehr Anhaltspunkte zum Umgang als die knappen evangelischen Bestimmungen. Da im evangelischen Bereich Seelsorgedaten »in höchstmöglichem Maß« geschützt werden sollen, bietet sich eine Orientierung an den katholischen Regelungen an, die in ihrer Systematik solche Daten in die höchstmögliche Schutzklasse einordnen.
Daten, die dem Beichtgeheimnis unterliegen
Das katholische Verbot der Verarbeitung von Daten, die dem Beichtgeheimnis unterliegen, ist unproblematisch, solange medial vermittelte Beichten ohnehin kirchenrechtlich nicht erlaubt sind. Im evangelischen Bereich wird nicht differenziert zwischen Seelsorgedaten und Beichtdaten. Das Beichtgeheimnis gilt auch hier als »unverbrüchlich«, auf eine Verarbeitung sollte verzichtet werden, auch wenn sie nach der Rechtslage unter engen Bedingungen wohl zulässig wäre.
Digitale Seelsorge
Schwieriger sind die hohen Anforderungen an Daten, die dem Seelsorgegeheimnis unterliegen, umzusetzen. Es gibt seit Jahrzehnten eine angemessen gesicherte Infrastruktur der Telefon- und Internetseelsorge für Seelsorge und geistliche Begleitung über spezielle Mail- und Chatsysteme. Das ist unproblematisch und erfüllt die Ansprüche von § 14 KDG-DVO. Aber dazu müssen Menschen erst einmal diese Kanäle nutzen; sobald Seelsorgende irgendwie online erreichbar sind – sei es über normale E-Mail, sei es über Social Media – werden diese Kanäle auch für seelsorgliche Anliegen genutzt.
Allenfalls weniger genutzte sichere und datensparsame Messenger wie Signal oder Threema (nicht aber WhatsApp oder Telegram) dürften grundsätzlich in Frage kommen, dazu Ende-zu-Ende-verschlüsselte E-Mail. Über SMIME oder PGP verschlüsselte E-Mails stellen so hohe technische Hürden auf, dass realistisch wohl nur sichere Messenger in Frage kommen. Direct Messages in Facebook, Instagram oder anderen Social-Media-Diensten erfüllen die Anforderungen sicher nicht.
Das ist eine Realität, mit der man umgehen muss: Menschen mit möglicherweise akuten und großen Problemen wenden sich über klar nicht datenschutzrechtskonform einsetzbare Kontaktkanäle an Seelsorgende. Hier hilft nur Abwägung und Information: Wiegt das Risiko aus dem unsicheren Kanal schwerer als das Risiko, den Kontaktwunsch und das Anliegen nicht zu erfüllen? Habe ich möglichst niedrigschwellige Kontaktkanäle, die ich anbieten kann? In jedem Fall sollte man einen Textbaustein parat haben, der Menschen darüber informiert, dass der verwendete Kanal nicht rechtskonform und sicher ist und dass es Alternativen gibt. Im Laufe des Gesprächs kann man regelmäßig darauf hinweisen, dass andere Kanäle zur Verfügung stehen. (Ausführlich führt das Achim Blackstein in seinem Buch zur digitalen Seelsorge aus.)
Speicherung von Seelsorgedaten
Gerade bei längeren Prozessen wie geistlicher Begleitung kann der Bedarf entstehen, Notizen zu machen und aufzubewahren. Die KDG-DVO nennt in § 14 Abs. 4 von der Außenwelt abgeschnittene Systeme und im Tresor einzulagernde externe Datenträger. Diese Aufzählung ist beispielhaft, es sind auch andere Maßnahmen denkbar; die konkrete Benennung von derart restriktiven Maßnahmen zeigt aber, wie stark Daten gesichert werden müssen.
Praktisch umsetzbar ist die Verwendung von sicher verschlüsselten externen Datenträgern. Hier kann man entweder das ganze Laufwerk verschlüsseln oder verschlüsselte Dateien und Dateicontainer darauf ablegen – im einfachsten Fall ein AES-256-verschlüsseltes ZIP-Archiv. Die große Herausforderung ist dann die Datensicherheit: Externe Datenträger sind empfindlich, gehen gerne verloren oder werden bei Einbrüchen mitgenommen. Solche Datenträger sollten in den Tresor, für die Daten darauf braucht es eine eigene Backupstrategie, die die Verschlüsselung nicht beeinträchtigt. Bei einer nur lokalen Verarbeitung auf dem eigenen Rechner sollte die Festplatte vollverschlüsselt sein, sinnvoll ist zusätzlich die Aufbewahrung der Daten in verschlüsselten Containern, um das Risiko von versehentlicher Offenlegung abzumildern und die Daten einfach sichern zu können. Daten sollten nur so lange aufbewahrt bleiben, wie es erforderlich ist.
Es gibt Kirchenverwaltungssoftware, die Customer-Relationship-Management-Funktionen hat: Zu Kontakten lassen sich Notizen anfertigen. Hier liegt es nahe, dass man dort auch Seelsorgenotizen macht. Dabei muss aber sichergestellt sein, dass nur die seelsorgende Person selbst Zugriff auf diese Daten hat, mit den strengen Vorgaben der KDG-DVO sollten solche Daten nur auf dem Gerät des*der Seelsorger*in selbst entschlüsselt werden und in der Datenbank nur verschlüsselt liegen.
Das DSG-EKD legt fest, dass Seelsorgedaten nicht gegenüber Dritten zugänglich gemacht werden. Auftragsverarbeiter sind keine »Dritte« im datenschuzrechtlichen Sinn (§ 4 Nr. 12 DSG-EKD). Daher ist diese Festlegung kein Hindernis für den Einsatz entsprechender Software, solange ein Auftragsverarbeitungsvertrag geschlossen wird, der die besonderen Schutzbedarfe von Seelsorgedaten erfüllt.
Klar ist, dass Seelsorgedaten nichts auf Privatgeräten, in privaten Cloudspeichern und Online-Notiztools su suchen haben.
Fazit
Die Verarbeitung von Seelsorgedaten ist möglich, aber anspruchsvoll. Noch mehr als sonst sollte man sich sehr gut überlegen, was wirklich erforderlich ist und welche Lösch- und Datensicherheitskonzepte man hat.
Eine klare Aufgabe für übergeordnete Stellen ist, die einzelnen Seelsorgenden hier nicht allein zu lassen oder nur mit Verboten zu arbeiten – denn dann werden die akuten Seelsorgefälle natürlich trotzdem wenn nötig digital gestaltet, nur eben auf unkontrollierbarer Schatten-Infrastruktur, womöglich privater. Allen Seelsorgenden müssen daher die technischen Mittel zur Verfügung gestellt werden, um sichere Chats, Videokonferenzen oder sicheren, niedrigschwelligen Mailverkehr zu ermöglichen. Diese Systeme müssen nicht nur sicher sein, sondern auch niederschwellig und angenehm zu bedienen sein. Sichere Datenablage muss einfach möglich sein, inklusive der Qualifizierung dafür. Und, ganz grundsätzlich: Alle brauchen eigene Smartphones und Laptops, Seelsorgende auf private Geräte zu verweisen ist geizig und unverantwortlich.
Danke für die gedanken!
Besonders der letzte Artikel ist sehr wichtig!