erLoest

Cloud für die Gemeinde – mit Datenschutz!

Advertisements

In Kirchengemeinden fallen massenweise personenbezogene Daten an. Laut dem Datenschutzgesetz unterliegen solche Daten einem besonderen Schutz und Kirchengemeinden müssen dafür sorgen, das dieser Schutz gewährleistet ist. Leichter gesagt als getan, in Zeiten von E-Mails, offenen W-Lans und leider viel zu wenig KnowHow auf dem technischen Gebiet.

Viele Gemeinden verschicken sensible und hochsensible Daten per E-Mail. In manchen Fällen sind diese nicht einmal auf dem Transportweg verschlüsselt (was ja glücklicherweise vor einiger Zeit von fast allen deutschen Providern unterbunden wurde). Doch selbst wenn die Transportwege verschlüsselt sind, landen dann etwa Kirchenvorstandsprotokolle auf ausländischen Servern, die sich einen Dreck um das deutsche Datenschutzrecht scheren und noch nie etwas vom Datenschutzgesetz der EKD gehört haben. Die landeskirchlich propagierte Version „E-Mail mit verschlüsselten ZIP-Containern“ finde ich unpraktikabel (und durch das Passwortteilen empfinde ich das als unsauber bis unsicher gelöst).

Um aus diesen vielen Unwägbarkeiten herauszukommen und das Leben etwas praktischer zu machen, habe ich mich das letzte Jahr in mehreren Anläufen darum gekümmert, wie ich es hinkriege, dass meine Gemeinde (datenschutzkonform) eine Cloud nutzen kann – und zwar nicht nur mit geteilten Dateien, sondern auch mit Kalendern, Aufgaben und Kontakten.

Am Anfang stand der Wunsch eines Kirchenältesten (übrigens jenseits der 70), ein Intranet ähnlich wie in Westfalen zu haben („Die wollten uns nicht in KIWI reinlassen, dann müssen wir halt was eigenes machen.“).

Zum Technischen: Kalender, Aufgaben, Adressen und Dateien lassen sich wunderbar mit Owncloud (oder auch NextCloud) teilen. Einen Provider in Deutschland (einfacher mit dem Datenschutzrecht zu vereinbaren) zu finden ist nicht schwer. Selbst der Dienstleister evangelischer Kirchen „KIGST“ bietet einen OwnCloud-Server; leider lässt sich die KIGST das jedoch pro Nutzer bezahlen. Da in einer Kirchengemeinde schnell sehr viele mögliche Nutzer zusammenkommen und die Fluktuation je nach Arbeitsbereich recht hoch ist, habe ich nach einem Anbieter Ausschau gehalten, der nach Speicher abrechnet und auch sonst mehr kann (etwa zusätzliche Addons installieren). Meine Wahl fiel auf Urospace/Rotcloud*, (keine Trafficlimits, keine Benutzerlimits, bis auf 20TB Speicherplatz erweiterbar) unter anderem weil dort die magischen Worte „Wir bieten ebenfalls Möglichkeiten für einen ADV-Vertrag an.“ zu lesen waren. Der ADV-Vertrag (ADV = Auftragsdatenverarbeitung) regelt, wie mit Daten umzugehen ist und nach welchem Datenschutzrecht zu handeln ist. Der ADV-Vertrag hat mich ganz schön Nerven gekostet. Als Theologe Juristendeutsch zu verstehen ist nicht ganz einfach und so setzte ich mich mal mit Juristen, mal mit Technikern und mal mit Datenschützern auseinander.

Am Ende hatte ich den Mustervertrag der EKD-Datenschützer so angepasst, dass er auf mein Szenario passte und die zuständige Datenschützerin zufrieden war. Und das war es letztlich auch schon. Der Hoster war mit dem ADV-Vertrag einverstanden und der Vertrag konnte geschlossen werden.

ABER!

Das Einverständnis der Datenschützerin endete nicht mit dem (hosterseitigen) ADV-Vertrag, sondern zog sich (natürlich) in den gemeindeseitigen Umgang mit Daten hinein. Wir einigten uns auf eine Vereinbarung, die jeder Nutzer der Cloud bei der Einrichtung seines Accounts unterschreiben muss. Kernpunkte sind:

Eine zweite Sache, an der ich gerade noch arbeite, ist eine Vereinbarung zwischen Kirchengemeinde und mir als Administrator, die regelt was bei meinem Weggang aus der Gemeinde passiert. (Passwörter, Übergabe an einen Nachfolger, Weisungsbefugnis dem Hoster gegenüber,…).

 

_______________Hier endet der Blogpost, _______________
_______________alles Nachfolgende sind _______________
_______________Einzelheiten, die vermutlich _______________
_______________nur für wenige interessant sind._______________

PS: Was ich sonst zum Datenschutz unbedingt mal loswerden muss: Liebe Kirchengemeinden mit Kontaktformularen auf ihren Internetseiten, es gibt mittlerweile kostenlose SSL-Zertifikate, mit denen man die Eingaben eines Kontaktformulars verschlüsseln kann, sodass etwaige Seelsorgeanliegen (das sind hochsensible Daten!!!) weit sicherer durch den digitalen Äther wandern. Bitte macht euch schlau und sorgt für Sicherheit und Datenschutz!

*Gewöhnlich würde ich hier keine Namen nennen, aber die immer kompetente Hilfe und die Geduld bei fast einem Jahr Verhandlungszeit haben mich einfach überzeugt. (Wegen dieser Nennung ist dieser Blogpost auch nicht auf dem landeskirchlichen Blog evangelippisch.de gelandet)

Advertisements

Advertisements