In Kirchengemeinden fallen massenweise personenbezogene Daten an. Laut dem Datenschutzgesetz unterliegen solche Daten einem besonderen Schutz und Kirchengemeinden müssen dafür sorgen, das dieser Schutz gewährleistet ist. Leichter gesagt als getan, in Zeiten von E-Mails, offenen W-Lans und leider viel zu wenig KnowHow auf dem technischen Gebiet.
Viele Gemeinden verschicken sensible und hochsensible Daten per E-Mail. In manchen Fällen sind diese nicht einmal auf dem Transportweg verschlüsselt (was ja glücklicherweise vor einiger Zeit von fast allen deutschen Providern unterbunden wurde). Doch selbst wenn die Transportwege verschlüsselt sind, landen dann etwa Kirchenvorstandsprotokolle auf ausländischen Servern, die sich einen Dreck um das deutsche Datenschutzrecht scheren und noch nie etwas vom Datenschutzgesetz der EKD gehört haben. Die landeskirchlich propagierte Version „E-Mail mit verschlüsselten ZIP-Containern“ finde ich unpraktikabel (und durch das Passwortteilen empfinde ich das als unsauber bis unsicher gelöst).
Um aus diesen vielen Unwägbarkeiten herauszukommen und das Leben etwas praktischer zu machen, habe ich mich das letzte Jahr in mehreren Anläufen darum gekümmert, wie ich es hinkriege, dass meine Gemeinde (datenschutzkonform) eine Cloud nutzen kann – und zwar nicht nur mit geteilten Dateien, sondern auch mit Kalendern, Aufgaben und Kontakten.
Am Anfang stand der Wunsch eines Kirchenältesten (übrigens jenseits der 70), ein Intranet ähnlich wie in Westfalen zu haben („Die wollten uns nicht in KIWI reinlassen, dann müssen wir halt was eigenes machen.“).
Zum Technischen: Kalender, Aufgaben, Adressen und Dateien lassen sich wunderbar mit Owncloud (oder auch NextCloud) teilen. Einen Provider in Deutschland (einfacher mit dem Datenschutzrecht zu vereinbaren) zu finden ist nicht schwer. Selbst der Dienstleister evangelischer Kirchen „KIGST“ bietet einen OwnCloud-Server; leider lässt sich die KIGST das jedoch pro Nutzer bezahlen. Da in einer Kirchengemeinde schnell sehr viele mögliche Nutzer zusammenkommen und die Fluktuation je nach Arbeitsbereich recht hoch ist, habe ich nach einem Anbieter Ausschau gehalten, der nach Speicher abrechnet und auch sonst mehr kann (etwa zusätzliche Addons installieren). Meine Wahl fiel auf Urospace/Rotcloud*, (keine Trafficlimits, keine Benutzerlimits, bis auf 20TB Speicherplatz erweiterbar) unter anderem weil dort die magischen Worte „Wir bieten ebenfalls Möglichkeiten für einen ADV-Vertrag an.“ zu lesen waren. Der ADV-Vertrag (ADV = Auftragsdatenverarbeitung) regelt, wie mit Daten umzugehen ist und nach welchem Datenschutzrecht zu handeln ist. Der ADV-Vertrag hat mich ganz schön Nerven gekostet. Als Theologe Juristendeutsch zu verstehen ist nicht ganz einfach und so setzte ich mich mal mit Juristen, mal mit Technikern und mal mit Datenschützern auseinander.
Am Ende hatte ich den Mustervertrag der EKD-Datenschützer so angepasst, dass er auf mein Szenario passte und die zuständige Datenschützerin zufrieden war. Und das war es letztlich auch schon. Der Hoster war mit dem ADV-Vertrag einverstanden und der Vertrag konnte geschlossen werden.
ABER!
Das Einverständnis der Datenschützerin endete nicht mit dem (hosterseitigen) ADV-Vertrag, sondern zog sich (natürlich) in den gemeindeseitigen Umgang mit Daten hinein. Wir einigten uns auf eine Vereinbarung, die jeder Nutzer der Cloud bei der Einrichtung seines Accounts unterschreiben muss. Kernpunkte sind:
- Der Zugang zur Cloud muss passwortgeschützt sein (also bei dropboxmäßiger Synchronisierung direkt auf die Festplatte braucht man eine gesondertes Nutzerkonto in Windows[…], wenn der PC von mehreren Menschen geteilt wird)
- das persönliche Passwort darf unter keinen Umständen in andere Hände fallen (es soll ja Menschen geben, die gerne ihre Passwörter mit anderen teilen, weil es so praktisch ist…)
- Nach Beendigung des Ehren- oder Hauptamtlichen Dienstes müssen alle gespeicherten Daten auf den eigenen Geräten gelöscht werden
- eine allgemeine Belehrung über Datenschutz, Glaubwürdigkeit und Vertrauen mit anvertrauten Menschen und Daten,…
- Wenn der Nutzerkreis über die schon auf das Datengeheimnis verpflichteten Mitarbeiter hinaus geht, ist dieses Musterformular hilfreich:
Eine zweite Sache, an der ich gerade noch arbeite, ist eine Vereinbarung zwischen Kirchengemeinde und mir als Administrator, die regelt was bei meinem Weggang aus der Gemeinde passiert. (Passwörter, Übergabe an einen Nachfolger, Weisungsbefugnis dem Hoster gegenüber,…).
- in Anlage 2 des Musters (Direktlink auf das PDF), sollte darauf geachtet werden, dass so etwas drinsteht wie: „Der jeweilige Kirchenvorstandsvorsitzende, derzeit…“ Damit auch spontane Wechel ohne Übergabe kein Problem werden
- Anlage 1 des Musters kann durch das Datenschutzkonzept des Hosters ersetzt werden (was in aller Regel sehr ähnlich aufgebaut sein sollte)
- Bei §2, 1. Art der Daten im ADV-Vertrag habe ich möglichst viele Datenarten eingetragen um später nicht in Bedrängnis zu geraten, wenn sich die Nutzung ändert. Ob das euer Datenschützer auch mitmacht, kann ich nicht sagen. Bei mir gab es zumindest eine intensive Nachfrage.
- Den §6 Unterauftragsverhältnis im ADV-Vertrag konnte ich streichen, da das Rechenzentrum zwar die Räumlichkeiten und Anschlüsse zur Verfügung stellt, aber keinen Zugriff auf die Server hat.
- Datenschützer beruhigt es ungemein, wenn man mit einem Plan zu ihnen kommt und sich vorher schlau gemacht hat. Beispielsweise ist das in Owncloud eingebaute Nutzer- und Gruppenmanagement mit den jeweils erforderlichen Zugriffsberechtigungen nur auf Dateien, die zur Arbeit nötig sind, ein wichtiger Punkt, den man verstanden haben und erklären können sollte. 😉
- Denkt daran, dass am Ende der Kirchenvorstand haftet, wenn etwas schief läuft. Eine gute Dokumentation der Schutzmaßnahmen und der Belehrungen der Nutzer ist wichtig!
- Ich hänge bewusst weder meinen genutzten ADV-Vertrag noch meine Verpflichtung an, da ich ungern morgen einen auf den Deckel kriegen will, weil ein Detail doch nicht ganz genau passt. Wenn ihr Interesse habt und in einer ähnlichen Situation wie ich seid, dürft ihr aber nachfragen.
PS: Was ich sonst zum Datenschutz unbedingt mal loswerden muss: Liebe Kirchengemeinden mit Kontaktformularen auf ihren Internetseiten, es gibt mittlerweile kostenlose SSL-Zertifikate, mit denen man die Eingaben eines Kontaktformulars verschlüsseln kann, sodass etwaige Seelsorgeanliegen (das sind hochsensible Daten!!!) weit sicherer durch den digitalen Äther wandern. Bitte macht euch schlau und sorgt für Sicherheit und Datenschutz!
*Gewöhnlich würde ich hier keine Namen nennen, aber die immer kompetente Hilfe und die Geduld bei fast einem Jahr Verhandlungszeit haben mich einfach überzeugt. (Wegen dieser Nennung ist dieser Blogpost auch nicht auf dem landeskirchlichen Blog evangelippisch.de gelandet)
erLoest 