Das Interview mit Michael Jacob und Sascha Tönnies wurde noch vor der Novellierung des EKD-Datenschutzgesetzes geführt, mit der unter anderem präzisiert werden soll, ob und wann eine Datenverarbeitung außerhalb der EU möglich ist. An den grundsätzlichen Datenschutzfragen ändert das aber nichts.
Herr Jacob, darf ich eigentlich im Büro googeln?
Michael Jacob: Ich würde sagen: Ein dienstliches Nutzen von Google im Rahmen unseres Dienstes verstößt gegen die Vorgaben, gleichwohl wissend, dass es ganz viele tun und dass man es selbst auch tut. So ist das eben. Es gibt aber Alternativen zu Google, die unproblematischer sind.
Sascha Tönnies: Aus technischer Sicht gibt es eine ganz einfache Möglichkeit: Man googelt, ohne Google zu verwenden, mit Alternativanbietern wie startpage.com oder DuckDuckGo. Unter dem Aspekt, dass Google auch die Ergebnislisten anhand meiner Vorlieben verändert – nicht jeder Nutzer bekommt beim gleichen Suchbegriff die gleichen Ergebnisse angezeigt – ist ohnehin die Frage, ob man nicht sinnvollerweise gleich über Anbieter wie Startpage oder DuckDuckGo geht. Bing ist übrigens dasselbe in Grün. Was etwas bringt, sind nur Anbieter, die zwar die Dienste nutzen, aber sich selbst dazwischen schalten und dadurch die Datenweitergabe und das Aushorchen des Benutzers umgehen.
Wo liegt denn eigentlich das Problem?
Jacob: Es werden Daten in die USA übermittelt, von daher liegt ein Verstoß gegen das bisher geltende Datenschutzrecht der EKD vor. Wir haben es mit einem absoluten Verwertungsverbot zu tun, in Paragraph 11 Absatz 2, der auf die Auftragsdatenverarbeitung abzielt. Was ist Auftragsdatenverarbeitung? Ein Beispiel: Ich will in einer Gemeinde ein Mailing für eine Fundraisingaktion verschicken. Ich will das aber nicht selbst adressieren, kuvertieren und verschicken, sondern gebe das an einen Dienstleister ab. Das ist eine klassische Auftragsdatenverarbeitung. Wenn es eben um personenbezogene Daten geht – zum Beispiel Adressen – ist das außerhalb eines Mitgliedsstaats der Europäischen Union verboten. Die Datenübermittlung als solche, dazu schweigt das Datenschutzgesetz der EKD bisher. Das ist eine Schwäche, auch gegenüber den staatlichen Regelungen, und das soll jetzt mit der Novellierung des EKD-Datenschutzgesetzes im Rahmen der Anpassung an die Europäische Datenschutzgrundverordnung geändert werden.
Wo sehen Sie derzeit das größte Risiko in Sachen Datenschutz?
Jacob: Das plakativ zu sagen ist nicht ganz einfach. Aber wenn wir beim Nutzen von Diensten sind, dann sicherlich in den Fragen, die sich um das Thema "Big Data" ranken. Es sind die Unternehmen, die Daten erheben, zusammenführen, weiterverwenden, umfängliche Nutzerprofile erstellen. In Zeiten, in denen Speicherkapazitäten vollkommen ins Grenzenlose gehen, geht auch das Datensammeln und -zusammenführen ins Unvorstellbare. "Big Data" verstößt eklatant gegen Grundsätze des Datenschutzes. Der Datenschutz ist immer ausgelegt auf Datensparsamkeit, Daten zu minimieren, Daten zu löschen, wenn sie nicht mehr gebraucht werden. Schon die Idee von "Big Data" ist nicht kompatibel mit den Grundzügen des Datenschutzrechts.
Big Data heißt: alles behalten und auswerten, und zwar so persönlich wie möglich.
Jacob: Genau. Wir müssen uns gesamtgesellschaftlich und als Kirche über grundlegende ethische Fragen verständigen, was wir eigentlich wollen, und am besten nicht erst im Nachgang. Da müssen wir Entscheidungsträger immer wieder bitten und drauf hinweisen: Datenschutz ist nicht nur eine rechtliche oder technische Frage. Es geht ja nicht darum, die Daten zu schützen. Es geht immer darum, die hinter diesen Daten stehenden Menschen zu schützen.
"Es wäre doch mal ein Versuch, auf EKD-Ebene zu sagen: Wir führen einen eigenen Messenger ein"
Datenschutz ist relativ abstrakt. Über welche Gefahren reden wir denn konkret?
Jacob: Es geht um den gläsernen Menschen, und das verstößt eklatant gegen unser christliches Menschenbild. Aber das ist natürlich nicht so existenziell erfahrbar wie Fragen zu Beginn und Ende des Lebens. Der gläserne Mensch ist etwas, was relativ abstrakt und weit weg ist. Aber es realisieren sich bereits Gefahren. Im Bereich der Cyberkriminalität sind wir bisher einigermaßen glimpflich weggekommen. Aber ich weise darauf hin, dass es im letzten Jahr vermehrt Angriffe auf Krankenhäuser gegeben hat, auch in diakonischen Einrichtungen. Ganze Intensivstationen sind voll und ganz mit dem Internet verbunden. Es ist also ein Einfaches, solche Abteilungen über Schadsoftware lahmzulegen. Da reden wir über lebenserhaltende Instrumente, die von jetzt auf gleich nicht mehr funktioniert haben.
Sie haben in diesem Jahr eine Stellungnahme zu Messenger-Diensten veröffentlicht, gerade mit Blick auf WhatsApp. Wie soll man es machen, wie kann man es machen?
Tönnies: Wenn man sich die Stellungnahme zu Messenger-Diensten anguckt, ist die Aussage: Außer Threema aus der Schweiz und SimsMe von der deutschen Post, sind alle Messengerdienste nach kirchlichem Datenschutzrecht nicht einsetzbar, allein schon von den Standorten der Server, auf denen die Daten verarbeitet werden. Aber letztlich gilt immer: Alle Dienste, die Adressdaten hochladen, ohne dass man eine Einverständnis-Möglichkeit hat und sagen kann: Nein, das will ich nicht, fallen aufgrund der Datenübermittlung raus.
Alternativ gäbe es auch die Möglichkeit, so etwas selbst zu machen. Man hört von Kirche immer, wir müssten die Dienste nehmen, die es gibt, denn nur so kommen wir an die Jugendlichen heran, nur so können wir die Leute erreichen, was anderes ist uns nicht möglich. So hundertprozentig ausprobiert hat es glaube ich aber noch keiner. Es wäre doch mal ein Versuch, auf EKD-Ebene zu sagen: Wir führen einen eigenen Messenger ein, lasst uns doch mal gucken, was passiert. Der Aufwand wäre überschaubar, man kann Lösungen nutzen, die es auf dem Markt gibt, und die entsprechend einrichten. Da könnte man all diese Probleme – Adressbuchdaten hochladen, Verarbeitung auf ausländischen Servern – selbst klären. Dann hätte man die ganze Problematik nicht mehr.
Ich kenne zumindest eine Konfirmandengruppe, die sich auf Anregung des Pfarrers alle Threema installiert haben. Die hatten natürlich trotzdem alle WhatsApp, aber zumindest haben sie ein Bewusstsein dafür etabliert.
Jacob: Jugendliche laden sich für alle möglichen Sachen eigene Apps runter, das ist das normalste von der Welt. Warum soll es nicht auch möglich sein, für die kirchliche Jugendarbeit entsprechende Dienste zu entwickeln, die dann auch angenommen werden? Es ist ein häufiges Argument, ohne WhatsApp seien wir vollkommen abgehängt und können unserem kirchlichen Auftrag nicht mehr nachkommen. Wir brauchen eine Auseinandersetzung darüber, wem wir unsere Daten anvertrauen. Diese Diskussion müssen wir als Kirche führen. Das hat viel mit unserem christlichen Menschenbild, mit unserem Selbstverständnis zu tun. Das ist vielleicht mühsam und nicht ganz einfach, aber diese Diskussion müssen wir dringend führen.
Es gibt aber durchaus Plattformen, bei denen ich auch sagen würde: Ohne die geht es tatsächlich nicht. Wenn wir über Reichweite reden, kommen wir auch als Kirche nicht an Facebook vorbei: Wir erreichen mit Facebook mehr Menschen als mit den Webangeboten.
Jacob: Wir lassen das jetzt mal so stehen. In einer fachlichen oder politischen Auseinandersetzung ist das ja nichts ungewöhnliches, dass sich Sachen auch reiben. Sie sagen das aus ihrer Sicht, das an Facebook kein Weg vorbei führt. Ich nehme das erstmal so hin. Zumal ich ja auch höre, dass Kinder und Jugendliche immer weniger bei Facebook angemeldet sind.
"Die Digitalisierungs-Diskussion ist viel breiter als nur Datenschutz"
Wir richten uns als Kirche ja nicht nur an Kinder und Jugendliche. Und wir stehen natürlich vor der Situation, dass Twitter, Instagram, Facebook, Snapchat und YouTube alle von Firmen gemacht werden, die aus dem Silicon Valley kommen, die in den USA sitzen und großes Interesse daran haben, mit den Daten ihrer Nutzer zu wirtschaften. Wie lässt sich Datenschutz pragmatisch handhaben, wenn man diese Plattformen nutzt?
Tönnies: Gar nicht. Das geht nicht. Man kann Facebook und Datenschutz nicht unter einen Hut bringen. Das sind diametral verschiedene Geschichten. Facebook hat kein Interesse an Datenschutz. Egal was sie sagen und auf der Plattform verändern: Facebook verdient sein Geld einzig und allein mit Werbung. Insofern hat Facebook kein Interesse an Datenschutz. Das wird nie zusammengehen. Das einzige, was passieren kann, ist, dass Kirche sich klar und deutlich entscheidet und sagt: Ja, wir müssen verkündigen und trotzdem dort Leute erreichen. Aber die Diskussion dazu möchte ich gern sehen. Bislang wird da nicht wirklich diskutiert, sondern einfach gesagt: Wir brauchen diesen Dienst, sei es Facebook, WhatsApp oder Twitter.
Es wird aber nicht geguckt: Geht das mit dem zusammen, was wir wollen und was unser Auftrag ist, was wir für Werte haben? Können wir solche Dienste aus diesem Blickwinkel wirklich nutzen und dafür einstehen, dass das nicht unsere Werte sind, die da vermittelt werden? Auch wenn wir nicht drumherum kommen, weil Verkündigung in Zeiten des Mitgliederschwundes einfach so wichtig ist, dass wir das machen müssen? Das ist dann eine klare Entscheidung, und damit könnte man arbeiten.
Wer müsste diese Diskussion denn führen?
Jacob: Wir sind in erster Linie eine Datenschutz-Aufsichtsbehörde. Wir gucken, dass das geltende Recht angewandt wird. Wir sind auch nicht in erster Linie dafür da, das Recht zu bewerten. Wir bringen uns natürlich ein, auch in die Diskussion um die Novellierung, aber vor allem wenden wir geltendes Recht an. Von daher gilt: Facebook ist mit geltendem Datenschutzrecht nicht in Einklang zu bringen.
Wir stellen auch fest, dass Kirche etwas zurückhaltend ist, wenn es darum geht, sich mit ethischen Fragen mit Blick auf die Digitalisierung und mit dem Datenschutz zu beschäftigen. Wenn wir Kontakte in die Politik haben, dann vermittelt man uns: Ihr sagt zu allem Möglichen was aus eurer Sicht. Warum äußert ihr euch nicht stärker ethisch zu Datenschutz und Digitalisierung? Dass ihr die rechtlichen und technischen Standards einhalten wollt und müsst, okay. Aber wir brauchen die Stimme der Kirchen, wenn wir in die Auseinandersetzungen gehen. Das sind wir noch ein bisschen leise.
Diese ganze Digitalisierungs-Diskussion ist ja viel breiter als nur Datenschutz. Die Beschlussfassung der EKD-Synode 2014 hat das zwar angestoßen, aber so richtig greifbar ist für mich nicht, was das für kirchliche Arbeit jetzt bedeutet: Was soll jetzt passieren? Da bringen wir uns gerne ein, wenn wir gefragt werden, manchmal auch ungefragt. Aber diese Diskussion kann nicht primär bei uns im Datenschutz verortet werden.
Wen hätten Sie gern an einem Tisch, um das öffentlich zu diskutieren und die Fragen konkret zu beantworten?
Jacob: Gerne würde ich das mit Leitungspersönlichkeiten machen, zu Beispiel mit dem Ratsvorsitzenden, der ja eine hohe Affinität zur Nutzung dieser Dienste hat. Ich könnte mir aber auch gut vorstellen, dass Gerhard Wegener dabei wäre, der Leiter des Sozialwissenschaftlichen Instituts. Ich weiß noch nicht, wo diese Fragen in den Ämtern, Werken und Einrichtungen auf EKD-Ebene diskutiert werden, aber es ist klug, relativ weit oben anzusetzen, so dass sich das Ergebnis kaskadenförmig verbreitet. Wir haben zwar kein "oben" und "unten" in der Kirche, aber trotzdem wäre es sinnvoll, dass man Probleme in der Leitungsebene aufzeigt und nicht mit der rosaroten Brille durch die Landschaft läuft.
Tönnies: Professionsmäßig würde ich sagen: Theologen, Juristen, Informatiker und Datenschützer. Das sind die vier Berufsgruppen, die in die Diskussion eintreten müssen. Und aus der Diskussion muss man dann eine Position destillieren, mit der alle arbeiten können.
"IT hat eine eindeutig steuernde Funktion"
Worüber müsste man dabei besonders reden? Wie könnte man in diese Diskussion einsteigen?
Jacob: Ich kann manche plakativen Sätze nicht mehr hören. Beispielsweise: "IT hat eine dienende Funktion." Nein! IT, Informations-Technologie, hat eine steuernde, eine leitende Funktion! Aber das sagt sehr viel über das Bewusstsein aus, dass IT als nachrangige Aufgabe, nur als Werkzeug verstanden wird. Dabei steht IT wie andere Themen auch an zweiter Stelle unter dem kirchlichen Auftrag und hat eine eindeutig steuernde Funktion.
Tönnies: Bestes Beispiel bleibt Facebook. Facebook dient nicht, sondern Facebook steuert. Und zwar genau in die Richtung, in die der Konzern möchte und nicht seine Nutzer.
Sehen Sie die Notwendigkeit, das Thema "Umgang mit Persönlichkeitsrechten und Datenschutz" in der Ausbildung von Pfarrerinnen und Pfarrern auch stärker zu verankern?
Jacob: Unbedingt. Das wird ja auch schon von einigen Landeskirchen gemacht, sowohl in der Vikariatsausbildung als auch mit Fortbildungen im gehobenen Dienst. Nach meiner Wahrnehmung sind die Einsteiger ins Pfarramt oder diejenigen im Vorbereitungsdienst aber nicht unsere Problemgruppe. Da ist eine hohe Bereitschaft, sich mit rechtlichen und technischen Fragestellungen auseinanderzusetzen, weil sie neben der seelsorgerlichen Aufgabe auch die Aufgabe des Managers einer Kirchengemeinde einnehmen. Es könnte trotzdem noch mehr passieren, flächendeckend von vornherein diese Dimension mitzudenken. Da stoßen wir aber auf offene Ohren.
Wenn jetzt jemand anfängt, sich mit Datenschutz zu beschäftigen, weil es ihm oder ihr wichtig geworden ist: Was ist das erste, was er oder sie tun sollte?
Tönnies: Nutzen Sie unterschiedliche Passwörter für unterschiedliche Dienste! Und lieber lange und sichere Passwörter, die Sie nirgendwo aufschreiben, statt kurze und unsichere zu benutzen und sie oft zu wechseln. Nutzen Sie im privaten Bereich verschiedene E-Mail-Adressen für verschiedene Dienste, und nicht überall denselben Benutzernamen. E-Mail-Verschlüsselung wäre der nächste Schritt. Es gibt zwei deutsche E-Mail-Anbieter, mailbox.org und posteo.de, die weit voraus sind, was Datenschutz angeht, und vielleicht kann man doch einen Euro im Monat zahlen, um von Google wegzukommen.