Bewertung von Messengerdiensten aus Datenschutzsicht

Dortmund, 18. März 2019: Die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland hat in ihrer Sitzung am 28. Juli 2018 in Frankfurt einen Kriterienkatalog zur Beurteilung von Messengern und anderen Social Media-Diensten verabschiedet. Jeder Dienst ist demnach unter den Gesichtspunkten Serverstandort, Sicherheit des Datentransports, Überprüfbarkeit durch Offenlegung der Algorithmen, Datenminimierung sowie der Wahrung der Rechte Dritter zu beurteilen.

Nach Ansicht der Konferenz der Diözesandatenschutzbeauftragten (DDSB) lassen sich die datenschutz-relevanten Anforderungen an Messenger-Dienste auf die folgenden fünf Kriterien verdichten:

• Serverstandort: Wo verarbeitet der Dienst-Anbieter die Nutzerdaten? Hält der Provider die Drittlandbestimmungen ein, d. h. keine Datenspeicherung außerhalb der EU bzw. nur in Ländern, deren Datenschutzniveau durch die EU anerkannt ist?
• Sicherer Datentransport: Werden die Inhalte der Kommunikation Ende-zu-Ende verschlüsselt, also z.B. auch bei der Zwischenpufferung auf dem Server des Providers?
• Überprüfbarkeit: Verwendet der Anbieter ein Open-Source-Modell für die Implementierung seines Produktes, einschließlich des Einsatzes anerkannter und standardisierter Kryptographie-Verfahren?
• Datenminimierung: Werden die Metadaten der Verbindung so bald wie möglich gelöscht?
• Respektierung der Rechte Dritter: Werden nur die Kontaktdaten der an der Kommunikation Beteiligten verwendet und behält der Anwender die Kontrolle über sein Telefonbuch, oder wird z.B. das komplette Telefonbuch an den Provider übermittelt und die Verantwortung für die Information der Betroffenen auf den Anwender abgewälzt?

Eine ausführliche Herleitung aus dem Kirchlichen Datenschutzgesetz (KDG) ist im Beschluss enthalten.

Weitere Kriterien, die allerdings nicht mit Überlegungen zum Datenschutz begründet werden können, sind die Kosten und das jeweilige Lizenzmodell, welches evtl. einen Einsatz des Produktes im nicht-privaten Umfeld gar nicht zulässt.

Der Beauftragte für den Datenschutz der Evangelischen Kirche Deutschlands (EKD) hat am 30. Oktober 2018 eine frühere Stellungnahme aus Mai 2017 zum gleichen Thema ergänzt und trifft dabei vergleichbare Aussagen wie die Konferenz der DDSB. Auch andere Datenschutzaufsichten haben sich mit dem Thema mit immer wieder ähnlichen Ergebnissen beschäftigt.

Da die katholischen Datenschutzaufsichtsbehörden keine direkten Produktempfehlungen geben können, bleibt es die Aufgabe jedes Entscheiders, die genannten Kriterien verantwortungsvoll anzuwenden.