Webhoster und das DSG-EKD

Auf der Suche nach Webhostern und Newslettersystemen, die entweder einen AVV (Auftragsdatenverarbeitungsvertrag) nach dem Datenschutzgesetz der EKD schließen, oder zu einem Standard-DSGVO-AV-Vertrag den Anhang zum DSG-EKD unterschreiben, erlebt man einige interessante Dinge. Folgende Liste ist keine Empfehlung, Werbung oder sonstwas, nur ein kleiner Ausschnitt von den Hostern, die wir als Websiteteam von Kirche.plus entweder angefragt haben (weil wir privat gute Erfahrungen gemacht haben oder anderen Gründen), oder die uns auf eine Twitter-Anfrage hin zugetragen wurden. Vielleicht hilft die Liste ja jemandem.

Webhoster für die Homepage und mehr

► Für alle, die „nur“ eine normale Homepage brauchen, bieten sich natürlich die vernetzte-kirche.de oder der Gemeindebaukasten an. Durch landeskirchliche Anbindung an Bayern bzw. Württemberg ist Hosting mit kirchlichem Datenschutz Tagesgeschäft. Abgesehen davon dürften da einige schöne auf Gemeinden abgestimmte Vorlagen für Websites vorhanden sein.

► Ebenfalls spezialisiert auf Gemeinden und Kirche sind natürlich Churchdesk und Churchtools, die beide deutlich mehr als nur Internetseiten machen und vielmehr ein ganzes Gemeindemanagement abbilden können. Logisch, dass hier auch entsprechende AV-Verträge oder Zusatzvereinbarungen möglich sind.

► Medien-Service Untermain GmbH: Bieten auch Cloudhosting an. Empfohlen hat es @reledu_media via Twitter.

► Uberspace: Für alle, die sich nicht vor der Kommandozeile scheuen und höchste Flexibilität brauchen ist das einfach ein Traum. Ich arbeite privat seit Jahren damit und bin immer wieder begeistert. Wer Features abseits eines Standardhostings ohne umfangreichere Geldmittel sucht, ist hier richtig. Ein kleiner Blick in das (englischsprachige) Manual zeigt, wie groß die Möglichkeiten mit entsprechendem Wissen sind. Auf Anfrage nach dem Zusatz zum AVV sagen die Ubernauten:

Auch wenn wir in der Regel eigentlich keine Zusatzverträge mit einzelnen Usern abschließen mögen: Die EKD-Zusatzvereinbarung hat unser Datenschutzbeauftragter bereits einmal geprüft; da die für vergleichsweise viele gilt, können wir das in diesem Fall gerne machen, ja.

— uberspace.de (@ubernauten) June 18, 2021

► PHP-Friends sind ebenfalls bereit die Zusatzvereinbarung zu unterzeichnen und bieten vom vServer bis zum „gewöhnlichen“ Webspace alles an. (Letztendlich haben wir von Kirche.plus uns hierfür entschieden. Ein gutes Preis-Leistungsverhältnis und hervorragende Erfahrungen in unserem Team mit den Leistungen und dem Support waren die Gründe. Für Komplexeres wird es dann ggfs. auch Uberspace.)

► WP-Projects sind spezialisiert auf WordPress und akzeptieren laut @staude auch die Zusatzvereinbarung

► Dogado wurde mir von @endlich_leben empfohlen. Ein bitterer Beigeschmack ist allerdings, das sie offenbar die Datenschutzerklärung ihrer eigenen Homepage wissentlich „nicht auf dem neuesten rechtlichen Stand“ gebracht haben.

► Ortner-IT: „Ein junges IT-Dienstleistungsunternehmen“ – hat sich auf meine Twitterfrage gemeldet und ist offenbar recht flexibel und bereit entsprechende Verträge zu machen.

Hostsharing.net: Die höchste Flexibilität dürfte Hostsharing haben, bei denen auch die LinuxUser im Bereich der Kirchen Mitglied sind.

Und dann noch zwei/drei Newslettersysteme, die mir empfohlen wurden:

► Sendinblue unterschreibt die Zusatzvereinbarung, schreibt @ralpe.

► Cleverreach wurde mehrfach empfohlen. Er unterschreibt wohl keine Zusatzvereinbarung, hat aber wohl einen entsprechenden Passus im Standard-AVV:

Eine Rahmenerklärung habe ich von diesem Anbieter noch nicht. Aber der AVV könnte in §4 ggf. passend ausgelegt werden, z.B. "im
Einklang mit den datenschutzrechtlichen Vorschriften und den Rechten der betroffenen Person" https://t.co/Gq36TtOz3o

— Christian Sterzik (@C_Sterzik) June 18, 2021

► Und last but not least wurde mir das OpenSource-Tool CiviCRM empfohlen, wenn die Mailings auch vom eigenen Server kommen können – wobei das ja durchaus schon ein ausgewachenes Customer Relationship Management ist (übrigens spezialisiert für NonProfits). Es gibt übrigens auch Hoster, die sich auf CiviCRM spezialisiert haben, wenn man nicht noch ein System auf dem eigenen Webspace warten möchte…

Spannend ist der Hinweis von @Brecheis „Der BfD EKD akzeptiert auch allgemeine Erklärungen, die sich auf „die zuständige Aufsichtsbehörde des Auftraggebers“ o.ä. beziehen. Die gibt’s bei großen Hostern in Standardverträgen.“ – Vielleicht mache ich mir also einfach zu viele Gedanken um den Datenschutz?? Den Kniff kannte ich auf jeden Fall noch nicht.

___

Und zum Schluss eine, hmm, Merkwürdigkeit auf die Anfrage an einen Hoster bezüglich der Zusatzvereinbarung:

Es ist doch etwas befremdlich, dass eine Kirche mit den Begriffen "sich unterwerfen" und "Geldbußen" hantiert. Es tut uns leid, aber das können wir so leider nicht anbieten. Wir befolgen die EU-DSGVO. Noch eine Aufsichts"behörde" brauchen wir nicht wirklich 😉

— manitu GmbH (@manitu_de) June 21, 2021

Cloud für die Gemeinde – mit Datenschutz!

In Kirchengemeinden fallen massenweise personenbezogene Daten an. Laut dem Datenschutzgesetz unterliegen solche Daten einem besonderen Schutz und Kirchengemeinden müssen dafür sorgen, das dieser Schutz gewährleistet ist. Leichter gesagt als getan, in Zeiten von E-Mails, offenen W-Lans und leider viel zu wenig KnowHow auf dem technischen Gebiet.

Viele Gemeinden verschicken sensible und hochsensible Daten per E-Mail. In manchen Fällen sind diese nicht einmal auf dem Transportweg verschlüsselt (was ja glücklicherweise vor einiger Zeit von fast allen deutschen Providern unterbunden wurde). Doch selbst wenn die Transportwege verschlüsselt sind, landen dann etwa Kirchenvorstandsprotokolle auf ausländischen Servern, die sich einen Dreck um das deutsche Datenschutzrecht scheren und noch nie etwas vom Datenschutzgesetz der EKD gehört haben. Die landeskirchlich propagierte Version „E-Mail mit verschlüsselten ZIP-Containern“ finde ich unpraktikabel (und durch das Passwortteilen empfinde ich das als unsauber bis unsicher gelöst).

Um aus diesen vielen Unwägbarkeiten herauszukommen und das Leben etwas praktischer zu machen, habe ich mich das letzte Jahr in mehreren Anläufen darum gekümmert, wie ich es hinkriege, dass meine Gemeinde (datenschutzkonform) eine Cloud nutzen kann – und zwar nicht nur mit geteilten Dateien, sondern auch mit Kalendern, Aufgaben und Kontakten.

Am Anfang stand der Wunsch eines Kirchenältesten (übrigens jenseits der 70), ein Intranet ähnlich wie in Westfalen zu haben („Die wollten uns nicht in KIWI reinlassen, dann müssen wir halt was eigenes machen.“).

Zum Technischen: Kalender, Aufgaben, Adressen und Dateien lassen sich wunderbar mit Owncloud (oder auch NextCloud) teilen. Einen Provider in Deutschland (einfacher mit dem Datenschutzrecht zu vereinbaren) zu finden ist nicht schwer. Selbst der Dienstleister evangelischer Kirchen „KIGST“ bietet einen OwnCloud-Server; leider lässt sich die KIGST das jedoch pro Nutzer bezahlen. Da in einer Kirchengemeinde schnell sehr viele mögliche Nutzer zusammenkommen und die Fluktuation je nach Arbeitsbereich recht hoch ist, habe ich nach einem Anbieter Ausschau gehalten, der nach Speicher abrechnet und auch sonst mehr kann (etwa zusätzliche Addons installieren). Meine Wahl fiel auf Urospace/Rotcloud*, (keine Trafficlimits, keine Benutzerlimits, bis auf 20TB Speicherplatz erweiterbar) unter anderem weil dort die magischen Worte „Wir bieten ebenfalls Möglichkeiten für einen ADV-Vertrag an.“ zu lesen waren. Der ADV-Vertrag (ADV = Auftragsdatenverarbeitung) regelt, wie mit Daten umzugehen ist und nach welchem Datenschutzrecht zu handeln ist. Der ADV-Vertrag hat mich ganz schön Nerven gekostet. Als Theologe Juristendeutsch zu verstehen ist nicht ganz einfach und so setzte ich mich mal mit Juristen, mal mit Technikern und mal mit Datenschützern auseinander.

Am Ende hatte ich den Mustervertrag der EKD-Datenschützer so angepasst, dass er auf mein Szenario passte und die zuständige Datenschützerin zufrieden war. Und das war es letztlich auch schon. Der Hoster war mit dem ADV-Vertrag einverstanden und der Vertrag konnte geschlossen werden.

ABER!

Das Einverständnis der Datenschützerin endete nicht mit dem (hosterseitigen) ADV-Vertrag, sondern zog sich (natürlich) in den gemeindeseitigen Umgang mit Daten hinein. Wir einigten uns auf eine Vereinbarung, die jeder Nutzer der Cloud bei der Einrichtung seines Accounts unterschreiben muss. Kernpunkte sind:

• Der Zugang zur Cloud muss passwortgeschützt sein (also bei dropboxmäßiger Synchronisierung direkt auf die Festplatte braucht man eine gesondertes Nutzerkonto in Windows[…], wenn der PC von mehreren Menschen geteilt wird)
• das persönliche Passwort darf unter keinen Umständen in andere Hände fallen (es soll ja Menschen geben, die gerne ihre Passwörter mit anderen teilen, weil es so praktisch ist…)
• Nach Beendigung des Ehren- oder Hauptamtlichen Dienstes müssen alle gespeicherten Daten auf den eigenen Geräten gelöscht werden
• eine allgemeine Belehrung über Datenschutz, Glaubwürdigkeit und Vertrauen mit anvertrauten Menschen und Daten,…
• Wenn der Nutzerkreis über die schon auf das Datengeheimnis verpflichteten Mitarbeiter hinaus geht, ist dieses Musterformular hilfreich:
  „Verpflichtung von Ehrenamtlichen auf das Datengeheimnis„

Eine zweite Sache, an der ich gerade noch arbeite, ist eine Vereinbarung zwischen Kirchengemeinde und mir als Administrator, die regelt was bei meinem Weggang aus der Gemeinde passiert. (Passwörter, Übergabe an einen Nachfolger, Weisungsbefugnis dem Hoster gegenüber,…).

 

_______________Hier endet der Blogpost, _______________

_______________alles Nachfolgende sind _______________

_______________Einzelheiten, die vermutlich _______________

_______________nur für wenige interessant sind._______________

• in Anlage 2 des Musters (Direktlink auf das PDF), sollte darauf geachtet werden, dass so etwas drinsteht wie: „Der jeweilige Kirchenvorstandsvorsitzende, derzeit…“ Damit auch spontane Wechel ohne Übergabe kein Problem werden
• Anlage 1 des Musters kann durch das Datenschutzkonzept des Hosters ersetzt werden (was in aller Regel sehr ähnlich aufgebaut sein sollte)
• Bei §2, 1. Art der Daten im ADV-Vertrag habe ich möglichst viele Datenarten eingetragen um später nicht in Bedrängnis zu geraten, wenn sich die Nutzung ändert. Ob das euer Datenschützer auch mitmacht, kann ich nicht sagen. Bei mir gab es zumindest eine intensive Nachfrage.
• Den §6 Unterauftragsverhältnis im ADV-Vertrag konnte ich streichen, da das Rechenzentrum zwar die Räumlichkeiten und Anschlüsse zur Verfügung stellt, aber keinen Zugriff auf die Server hat.
• Datenschützer beruhigt es ungemein, wenn man mit einem Plan zu ihnen kommt und sich vorher schlau gemacht hat. Beispielsweise ist das in Owncloud eingebaute Nutzer- und Gruppenmanagement mit den jeweils erforderlichen Zugriffsberechtigungen nur auf Dateien, die zur Arbeit nötig sind, ein wichtiger Punkt, den man verstanden haben und erklären können sollte. 😉
• Denkt daran, dass am Ende der Kirchenvorstand haftet, wenn etwas schief läuft. Eine gute Dokumentation der Schutzmaßnahmen und der Belehrungen der Nutzer ist wichtig!
• Ich hänge bewusst weder meinen genutzten ADV-Vertrag noch meine Verpflichtung an, da ich ungern morgen einen auf den Deckel kriegen will, weil ein Detail doch nicht ganz genau passt. Wenn ihr Interesse habt und in einer ähnlichen Situation wie ich seid, dürft ihr aber nachfragen.

PS: Was ich sonst zum Datenschutz unbedingt mal loswerden muss: Liebe Kirchengemeinden mit Kontaktformularen auf ihren Internetseiten, es gibt mittlerweile kostenlose SSL-Zertifikate, mit denen man die Eingaben eines Kontaktformulars verschlüsseln kann, sodass etwaige Seelsorgeanliegen (das sind hochsensible Daten!!!) weit sicherer durch den digitalen Äther wandern. Bitte macht euch schlau und sorgt für Sicherheit und Datenschutz!

*Gewöhnlich würde ich hier keine Namen nennen, aber die immer kompetente Hilfe und die Geduld bei fast einem Jahr Verhandlungszeit haben mich einfach überzeugt. (Wegen dieser Nennung ist dieser Blogpost auch nicht auf dem landeskirchlichen Blog evangelippisch.de gelandet)