Viele Vereine, Verbände und Gemeinden setzen für die Mitgliederkommunikation auf Messenger-Dienste – oft auf kostenlose (wie auch immer der Dienst tatsächlich finanziert wird): Individuell ausgehandelte Vertragsbeziehungen gibt es dann in der Regel nicht. Kann das datenschutzkonform sein?
Eine naheliegende Vermutung wäre, dass es für Messenger-Dienste wie für viele andere Dienste entweder eines Auftragsverarbeitungsvertrags oder einer Vereinbarung über gemeinsame Verantwortlichkeit bedarf: So sind schließlich die meisten Beziehungen zwischen Verantwortlichen oder Dienstleistern geregelt. Bei Messengern gibt es aber eine Besonderheit: das Telekommunikationsrecht.
Verantwortlichkeit beim Einsatz von Messengern
Messenger sind Telekommunikationsdienste
Ein zentraler Begriff im Telekommunikationsgesetz (TKG) ist der des interpersonellen Telekommunikationsdienstes. § 3 Nr. 24 definiert:
»„interpersoneller Telekommunikationsdienst“ [ist] ein gewöhnlich gegen Entgelt erbrachter Dienst, der einen direkten interpersonellen und interaktiven Informationsaustausch über Telekommunikationsnetze zwischen einer endlichen Zahl von Personen ermöglicht, wobei die Empfänger von den Personen bestimmt werden, die die Telekommunikation veranlassen oder daran beteiligt sind; dazu zählen keine Dienste, die eine interpersonelle und interaktive Telekommunikation lediglich als untrennbar mit einem anderen Dienst verbundene untergeordnete Nebenfunktion ermöglichen«
Dass Messengerdienste in der Regel darunter fallen, geht aus dem Wortlaut recht klar hervor. So sehen es auch die zuständigen Regulierungsbehörden. Die BfDI stellt in ihrem Fachbeitrag zu Messengerdiensten fest, dass die »marktüblichen Messenger« Telekommunikationsdienste sind. (Sie ist aufgrund von § 9 Abs. 1 BDSG für TK-Anbieter zuständig.)
Auch die Bundesnetzagentur zählt in ihrem »Hinweispapier zur Einstufung von nummernunabhängigen interpersonellen Telekommunikationsdiensten (NI-ICS)« Messengerdienste beispielhaft als NI-ICS und damit Telekommunikationsdienst auf. (Nummernunabhängige Telekommunikationsdienste werden noch einmal hinsichtlich dieses Kriteriums in § 3 Nr. 40 TKG definiert.)
Ist Signal ein Telekommunikationsdienst?
Wenn man auf eine datenschutzsensible Messenger-Kommunikation setzt, liegt der Einsatz von Signal nahe. (Warum, erläutert Mike Kuketz.) Auf den ersten Blick stößt man aber auf ein Problem: Signal ist kostenlos – weder zahlt man mit Geld, noch mit Daten. Ist dann die Definition aus dem TKG noch einschlägig, wenn dort das Kriterium »gewöhnlich gegen Entgelt erbrachter Dienst« auftaucht? Die Bundesnetzagentur sieht das so:
»Nach der Auffassung der Bundesnetzagentur ist es zur Bejahung des Merkmals der Entgeltlichkeit hinreichend, wenn Dienste der gleichen Dienstekategorie (z. B. E-Mail-Dienste, Messenger-Dienste) „in der Regel“ bzw. „gewöhnlich“ gegen ein Entgelt angeboten werden. In diesem Fall muss nicht nachgewiesen werden, dass der jeweilige konkrete Dienst gegen ein Entgelt angeboten wird.« (Bundesnetzagentur, Hinweispapier zur Einstufung von nummernunabhängigen interpersonellen Telekommunikationsdiensten (NI-ICS))
Das Hinweispapier führt insbesondere die Frage der Entgeltlichkeit noch weiter aus.
Auf Anfrage hat eine Sprecherin der BfDI für Signal die Einstufung ausdrücklich bestätigt: »Signal wird durch die BfDI als Telekommunikationsdienst im Sinne des § 3 Nr. 40 Telekommunikationsgesetz (TKG) bewertet.«
Telekommunikationsdienste sind eigene Verantwortliche
Die Einstufung von Messenger-Diensten als Telekommunikationsdienste hat Auswirkungen auf die Verteilung der datenschutzrechtlichen Verantwortlichkeit: Telekommunikationsdienste sind selbst Verantwortliche, damit braucht es bei ihrer Nutzung weder einen Auftragsverarbeitungsvertrag noch liegt gemeinsame Verantwortlichkeit vor. So sieht es auch die Bundesdatenschutzbeauftragte:
»Aus Sicht des BfDI bedeutet dies als Grundprinzip für den Sonderbereich Telekommunikation, dass hier zwischen der Sphäre der Anwenderin oder des Anwenders von Telekommunikationsdiensten und der Sphäre der Anbieterin oder des Anbieters der Telekommunikationsdienstleistungen unterschieden werden muss. Jede Sphäre begründet ihre eigene datenschutzrechtliche Verantwortlichkeit für die jeweils dort verarbeiteten Daten. Versendet also bspw. ein Unternehmen eine E-Mail über einen E-Mail-Dienst, so ist das Unternehmen die verantwortliche Stelle für die personenbezogenen Daten, die mittels der E-Mail versendet werden sollen, während der E-Mail-Dienstleister datenschutzrechtlich verantwortlich ist für die Sphäre der telekommunikationsspezifischen Diensteerbringung.« (BfDI-Info Nr. 5, Datenschutz und Telekommunikation)
Schon kurz nach Inkrafttreten des TKG im Dezember 2021 hatte die LfDI NRW in ihrem Tätigkeitsbericht für 2021 diese Position vertreten und betont, dass aus der Einordnung als Telekommunikationsdienst – exemplarisch bei Videokonferenzdiensten – folgt, dass kein AV-Vertrag mehr benötigt wird:
»Das führt unter anderem dazu, dass Stellen, die Videokonferenzdienste einsetzen, keinen Auftragsverarbeitungsvertrag mehr mit den Videokonferenzanbieter*innen abschließen müssen und für die aufgrund der Übertragung des Videochats verarbeiteten personenbezogenen Daten nicht mehr verantwortlich sind.« (LfDI NRW, Tätigkeitsbericht 2021)
Eine Konsequenz dieser Sphärentrennung dürfte auch sein, dass die Drittlandstransfer-Problematik für Anwender*innen von Telekommunikationsdiensten entschärft wird: Die Verarbeitung der Daten im Drittland dürfte allein in die Sphäre der Anbieter fallen.
Wie sehen es kirchliche Aufsichten?
Katholische wie evangelische Datenschutzaufsichten haben sich zu Messenger-Diensten geäußert – allerdings bevor das TKG in Kraft trat. Die katholische Datenschutzkonferenz hat im September 2021 einen Beschluss zur Beurteilung von Messenger- und anderen Social Media-Diensten getroffen mit technischen Kriterien. Auf die Verantwortlichkeits-Konstellation geht der Beschluss nicht ein. Ähnlich sieht es bei der Stellungnahme des BfD EKD zum Einsatz von Messenger-Diensten aus, die bereits 2018 veröffentlicht wurde.
Auf Anfrage hat sich weder die katholische DSK noch der BfD EKD in der Sache geäußert; eine Sprecherin der katholischen DSK kündigte an, dass das Thema auf der Herbst-Sitzung der Konferenz diskutiert werde, eine Sprecherin des BfD EKD, dass im Zuge der Überarbeitung der Informationen auf der Webseite auch die Einschätzung zu Messengerdiensten überarbeitet werde.
Zwischenfazit
Mit guten Gründen und Positionen von Regulierungsbehörden im Rücken kann man annehmen, dass Messenger-Dienste und insbesondere Signal Telekommunikationsdienste und damit eigene Verantwortliche sind.
Das ist vor allem für Signal eine große Erleichterung, da Signal weder AV-Verträge noch Vereinbarungen über gemeinsame Verantwortlichkeit anbietet. Wäre man mit Signal gemeinsam verantwortlich oder wäre Signal ein Auftragsverarbeiter, könnte man es so nicht einsetzen. Als TK-Dienst geht das aber.
Messenger in der Praxis von Vereinen und Gemeinden
Die gute Nachricht: Messenger-Dienste können grundsätzlich eingesetzt werden. Das ist aber kein Freifahrtsschein, um jeglichen Messenger einfach in Werkseinstellung ins Kommunikationskonzept einzubauen:
»Selbstverständlich sind [Verantwortliche] nach wie vor dazu verpflichtet, technische und organisatorische Maßnahmen zu treffen, wie zum Beispiel datenschutzfreundliche Grundeinstellungen vorzunehmen.« (LfDI NRW, Tätigkeitsbericht 2021)
Man tut also gut daran, Messenger weiterhin an Kriterien der Sicherheit und Datenminimierung zu messen. Weiterhin dürfen Adressbücher auf dem eigenen Gerät nicht einfach ohne Einwilligung an den Messenger-Dienst übermittelt werden. Gruppen sind möglichst datensparsam zu konfigurieren. Regelung zur Verwendung von Dienst- und Privatgeräten sind wie andere IT-Nutzungs-Richtlinien zu beachten. In Informationen zum Datenschutz empfiehlt es sich, klar auf die getrennten Verantwortlichkeitssphären hinzuweisen und zu prüfen, welche Verarbeitungen doch noch in die eigene Sphäre fallen.
Wenn das berücksichtigt wurde, dürfte in der Regel aber nichts Datenschutzrechtliches dagegen sprechen, im Verein, Verband oder in der Gemeinde etwa eine Signal-Gruppe zur Kommunikation zu verwenden. Jedenfalls gilt das für die Alltagskommunikation, bei der nicht – wie etwa bei steuerrechtlichen Sachverhalten – Anforderungen an eine revisionssichere Aufbewahrung von Kommunikation oder andere Anforderungen gelten, die ein Messenger-Dienst nicht erfüllen kann.
Haben wir dann aber auch die die Erlaubnis, WhatsApp zu benutzen? Falk Schmidt argumentiert überzeugend dagegen:
»WhatsApp ist technisch ebenfalls Ende-zu-Ende verschlüsselt, erhebt jedoch umfangreiche Metadaten (vgl. Datenschutzrichtlinie von WhatsApp). Dazu zählen Kommunikationspartner, Häufigkeit, Zeitpunkte und Geräteinformationen. Diese Daten werden nach der eigenen Datenschutzrichtlinie auch für Analyse, Missbrauchserkennung und die Integration mit Meta-Diensten verwendet. Damit bewegt sich WhatsApp in einem klaren Spannungsfeld zum TDDDG, das eine solche Weiterverarbeitung der Metadaten nicht zulässt.«
Er hält eine rechtssichere Begründung für den Einsatz von WhatsApp im professionellen Umfeld daher nur schwer für möglich. Die die systematische Verarbeitung von Metadaten zu Zwecken jenseits der Übermittlung stehe im klaren Widerspruch zu den gesetzlichen Vorgaben des Fernmeldegeheimnisses, so Schmidt weiter. Also: Lieber weiterhin kein WhatsApp nutzen.
Fazit
Messenger sind Telekommunikationsdienste, und damit sind Messenger für die Erbringung der Telekommunikation datenschutzrechtlich verantwortlich – das ist eine große Entlastung für die Praxis. Dass ein kostenloser und anerkannt sicherer Dienst wie Signal damit in der Regel als Werkzeug zur Verfügung steht, ist sehr praktisch: Mit einer gelungenen Kommunikationsstrategie per sicherem und datensparsamem Messenger hilft man zugleich, die Verbreitung solcher Alternativen zu stärken – so wie in meiner Heimatgemeinde.