WhatsApp in der Gemeindearbeit (mit Datenschutz!)

In vielen Gemeinden geht es schon fast nicht mehr ohne WhatsApp und andere Gemeinden scheuen sich (aus gutem Grund) vor einer Nutzung. Die EKD-Datenschützer sehen einen Einsatz von WhatsApp im kirchlichen Kontext mehr als kritisch. Wie man trotzdem irgendwie und möglichst datenschutzkonform WhatsApp nutzen kann, darauf versucht dieser Artikel eine Antwort zu geben. Zur Sicherheit: Ich bin kein Jurist und kein Datenschutzbeauftragter. Trotzdem liegt mir Datenschutz am Herzen, u.a. weil wir als Kirche unsere Glaubwürdigkeit verlieren, wenn wir mit personenbezogenen Daten um uns werfen.

Für den kurzen Überblick kommt zuerst das Fazit. Wer wissen möchte, wie ich dazu komme, möge nach den Alternativen weiter lesen.

WhatsApp kann man übrigens auch am PC im Browser nutzen, wenn man auf einer großen Tastatur tippen möchte.

Mein Fazit: Auf einem Smartphone, auf dem nur WhatsApp-Kontakte und keine Kontakte ohne WhatsApp-Account gespeichert sind, ist die Nutzung von WhatsApp an sich eher unbedenklich, solange man zusätzlich keine kompletten Klarnamen oder einfach nur Telefonnummern speichert (für die Newsletter-/Broadcast-Funktion reicht das mehr als aus). Das ist umständlich, scheint mir aber der einzige Weg. Eine Variante (wenn auch nicht so sicher) ist die Nutzung eines separaten Android-Accounts auf dem Smartphone (auf einigermaßen modernen Android-Smartphones sollte so etwas möglich sein, zu Apple-Geräten kann ich nichts sagen). Das hat allerdings ein paar Nachteile. Diese Unbedenklichkeit sehe ich jedoch nur im Bezug auf verkürzte Namen/Aliasnamen und Telefonnummern, die an WhatsApp übermittelt werden. Zusätzlich dazu muss in den Chats auf jeden Fall darauf geachtet werden, dass keine personenbezogenen Daten weitergegeben werden* (die Chats sind zwar verschlüsselt, allerdings laufen sie über amerikanische Server und bis jetzt gibt es keine Verschlüsselung, die auch in ein paar Jahren noch hundertprozentig sicher ist). Seelsorge per WhatsApp schließt sich so aus.

Wenn sich eine Gemeinde dazu entschließt, Whatsapp zu nutzen, müssen aber den betroffenen Mitarbeitenden entsprechende Geräte zur Verfügung gestellt werden. Die Mitarbeitenden sollten sich damit befassen,  was für Daten über sie selbst an das Unternehmen wandern. Die WhatsApp-Nutzung darf aus naheliegenden Gründen nicht auf Privat-Smartphones abgeschoben werden.

Alternative Threema. Der Messenger Threema wird in der Schweiz entwickelt und betrieben, die seit kurzem als sicherer Hafen für die EKD-Datenschützer gilt (was aber nur eine sog. Auftragdatenverarbeitung erlaubt und kein Freifahrtschein ist). Allerdings ist die Zukunft der Schweiz als sicherer Drittstaat zur Zeit wegen der neuen EU-Datenschutzgrundverordnung nicht ganz sicher. Auch Threema verwendet eine Ende-zu-Ende-Verschlüsselung, die jedoch im Gegensatz zu WhatsApp unabhängig geprüft wurde. Gruppenchats sind ein klein wenig sicherer Ende-zu-Ende verschlüsselt als bei WhatsApp und Signal. Leider kostet Threema ein paar Euro.

Alternative Signal. Der quelloffene Messenger Signal ist nicht ganz so benutzerfreundlich wie Threema und hat einige Funktionen weniger, dafür ist es kostenlos.

Und hier die Langversion:

Die Probleme:

  1. WhatsApp hat seine Server in den USA stehen. Deshalb dürfen personenbezogene Daten nicht dort gespeichert werden.
  2. WhatsApp sammelt nicht nur Telefonnummer (zugehörige Namen und evtl ganze Adressbucheinträge) von WhatsApp-Nutzern, die den Nutzungsbedingungen zugestimmt haben, sondern von allen Adressbucheinträgen des Smartphones, das sich mit WhatsApp verbindet.
  3. WhatsApp wirbt zwar seit einiger Zeit mit der Ende-zu-Ende-Verschlüsselung, jedoch werden die Daten (nach meinem Kenntnisstand) in den USA zwischengespeichert (was das Brechen der Verschlüsselung jetzt oder in der Zukunft möglich macht). Dazu kommt, dass WhatsApp seinen Quellcode nicht veröffentlicht, so dass man WhatsApp in Sachen Verschlüsselung vertrauen muss (oder eben nicht).
  4. WhatsApp hat eine Altersbeschränkung ab 13 Jahren (es gibt allerdings rechtliche Bedenken)
  5. Ein Punkt, den die EKD-Datenschützer bemängeln ist, „dass Mitarbeitende über Statusinformationen und Lesebestätigungen in ihrem Arbeits- und Sozialverhalten kontrolliert werden können.“
  6. Hinzu kommen ein paar meiner Meinung nach kleinere Dinge (ich hoffe inständig nichts übersehen zu haben) …

Wie geht man damit nun um? Als Kirche müssen wir natürlich mit den Daten unserer Mitglieder verantwortungsvoll umgehen, deshalb muss sich an Punkt 1 alles messen lassen. Allerdings haben diejenigen, die schon bei Whatsapp sind, die AGB akzeptiert. Insofern kann die Datenweitergabe von solchen Nummern allein wohl nicht mehr hinderlich sein. Und ja, allein solche Nummern; komplette Klarnamen sind natürlich auch zu vermeiden, denn man weiß ja nicht, was für Daten WhatsApp über diese Nummer schon weiß. Damit ist das Problem aus Punkt 2 nicht länger ein Problem, solange auf dem Kirchensmartphone gar keine Nummern oder nur Nummern gespeichert sind, die ohnehin bei Whatsapp gelistet sind (denn die Kirche gibt WhatsApp damit keine neuen Daten). Um dieses Problem zu umgehen, bietet es sich für Jugendmitarbeitende oder Pfarrer/-innen an, ein extra Smartphone anzuschaffen oder (je nach Häufigkeit und Art der Nutzung) einen gesonderten Account auf dem (Android-)Smartphone zu benutzen. Letzteres ist leider etwas kniffelig und unpraktisch. Eine weitere (schlechte) Alternative ist es, WhatsApp den Zugriff auf auf das Adressbuch zu verbieten, was allerdings zur Folge hat, dass die Funktion der Broadcast-Listen nicht verwendet werden kann.

Punkt 3 ist kniffeliger. Unsere Kommunikation darf nur dann stattfinden, wenn in den Chats selbst keine personenbezogenen Daten vorkommen. Sprich: Terminabsprachen, Hausaufgaben, etc. sind in Ordnung; Seelsorge, Krankheiten bei Abmeldungen, Adressen etc. sind tabu.

Punkt 4 bedeutet für uns, dass wir keinesfalls Menschen unter 13 dazu bewegen dürfen sich bei WhatsApp anzumelden. Immerhin gehen sie damit einen Vertrag mit einem Unternehmen ein, den sie nicht abschätzen können – und Werbung für eine Firma (nämlich Facebook Inc, die für ihr seltsames Datenschutzverständnis bekannt ist) sollten wir in keinem Fall machen. Das gilt natürlich auch für andere Altersgruppen. Wir müssen immer darauf achten, dass Menschen die kein WhatsApp haben immer auch den gleichen Informationszugang haben müssen, wie Menschen mit WhatsApp. Das bedeutet, dass zum Beispiel eine WhatsApp-Gruppe der Konfis, in die man Aufgaben und Termine schickt, nie der einzige Weg sein darf, sobald nur ein Konfi kein WhatsApp hat.

Punkt 5 bedeutet, dass Mitarbeitende sich genau überlegen müssen, wie sie mit ihrem WhatsApp-Telefon umgehen und ob sie nicht besser die Lesebestätigungen deaktivieren. Trotzdem werden aber mit Sicherheit einige Informationen wenigstens an WhatsApp selbst weitergeleitet und gespeichert. Sicherlich ein kritischer Punkt, wenn Mitarbeitende zur WhatsApp-Nutzung gezwungen werden.

Der Punkt, der leider nicht wegzudiskutieren ist, hängt mit Daten zusammen, die wir gar nicht sehen: Die Protokolldaten, die beschreiben, wer mit wem vernetzt ist und wie oft sowie weitere Metadaten. Deshalb die offene Frage: Sind die ein Problem?

So, und nun liebe Datenschützer: Feuer frei. Am liebsten wäre mir aber statt einem Flamewar eine lösungsorientierte und vor allem sachliche Diskussion.

 

– – – – – – – –

* Ich zitieren den Kollegen Neumeier: „Wenn ich als Pfarrer im Supermarkt zwischen den Regalreihen stehe und Frau X mir ihr Herz ausschüttet, achtet auch kein Datenschützer darauf, wer in der nächsten Regalreihe steht. ICH achte aber darauf! Und ich achte auch darauf, dass keine datenschutzrelevanten Dinge über Whatsapp kommuniziert werden, bin aber hier wie da ansprechbar für die Menschen. Und ich muss es als Pfarrer hier wie da sein!“

Wolfgang Loest

Wolfgang Loest arbeitet 50% als Social Media Pfarrer in der Lippischen Landeskirche und 50% bei Kirche.plus (und ist Vorsitzender vom Landesausschuss Lippe des Deutschen Evangelischen Kirchentags). Er ist ein Computer-Freak und und arbeitet bei der Offenen Bibel mit.

14 Gedanken zu “WhatsApp in der Gemeindearbeit (mit Datenschutz!)

  1. Danke für diesen Artikel, den ich gerne auch in meinem katholischen Garten weiterempfehlen werde.

    Ein spannende Alternative ist für mich delta-chat: https://delta.chat/de – funktioniert gut, ohne Speicherung auf fremden Servern mit „Ende zu Ende“-Verschlüsselung, kostenlos.
    Nachteil hier leider (bisher): es gibt momentan keinen Client für iOS, sondern nur für Android.

    Uli

  2. What’sapp ist gefährlich und schließt Leute aus….sagte das Social Media Team meiner Landeskirche, das einen Teil der Corporate Communication ausschließlich über Zucks facebook betreibt. Und mich zwingen will, mich bei dieser Mega-Datenkrake anzumelden??? Ist doch sogar Kanal für persönliche Fürbitten bei SM-Gottesdiensten, oder? Whats-App ist für Gemeindegruppen ein unschlagbar zeitsparendes Instrument , Datengeiz kann man als Wert implementieren – aber fb ist bei über.
    Threema schmackhaft zu machen, ist schwer. Haben unsere Youngster probiert. Als Prozess aber durchaus denkbar.
    Und was ist mit der EKD-Datenschützermahnung, kein Google auf dem Pfarrer-Dienstrechner, weil ABC da alle Daten abgrasen kann? Keiner Erwähnung wert?

  3. Hallo Wolfgang,
    Danke für den Artikel! Mit dem Adressbuch-Problem hast Du das Haupt-Hindernis für den Einsatz von WhatsApp identifiziert. Der aufgezeigte Weg ist aber ein Krampf. Arbeitest Du so? Du hast ein Mobilgerät für die Nutzung des Adressbuchs, ein anderes für WhatsApp? Wäre es nicht ehrlicher zu sagen: Wir nutzen WhatsApp aus folgenden Gründen nicht: …
    Diese Hintertür zum datenschutzrechtlich weniger bedenklichen Einsatz von WhatsApp unterstützt doch den „Ein-Messenger-genügt“-Gedanken. Die Menschen müssen lernen: Es gibt gute Gründe WhatsApp nicht zu installieren. Auch wer kein WhatsApp hat gehört dazu.
    Schöne Grüße, Peter

  4. @Oli/Kiste und viele andere per Twitter: Es gibt mit Sicherheit einige gute Alternativen und dagegen spreche ich auch nicht. Eine bessere Alternative, die komplett und ohne Umweg mit den Datenschutzgesetz der EKD (oder eben der katholischen Variante) vereinbar ist, zu etablieren ist der beste Weg. Nur gelingt das nicht immer und ist für manche Projekte kein gangbarer Ansatz.

    @SuziQ: Es gibt ohne Frage andere Baustellen, die auch meiner Meinung nach größere Probleme machen, als WhatsApp – nur leider haben sich die kirchlichen Datenschützer im Moment gerade darauf gestürzt. Ist auch irgendwie zu verstehen, denn wenn sie die Nutzung von Windows10 oder Microsoft Office verbieten würden, was wäre dann wohl los? Oder wenn sie den Apple-Jüngern die iCloud verbieten würden und Android nur unter Auflagenerlauben würden? Nun denn, ich schweife ab. Im Übrigen gehört mittlerweile WhatsApp auch der Facebook Inc., was die Diskussion natürlich noch emotionaler macht.

    @Peter: Ja, ich arbeite so, manchmal mit großem Grummeln, aber als FreeSoftwareler, Pfarrer der mit Daten Schutzbefohlener umgeht und SocialMedia-Freak schlagen mindestens zwei Herzen in meiner Brust. Wie gerne hätte ich ein vernünftiges Linux-Telefon mit abgeschotteten Containern, auf dem ich sicher sein kann, was wohin geht und was auf was zugreifen kann. (*Träum*)
    Ja, „Auch wer kein WhatsApp hat gehört dazu.“ Deshalb auch dieser Satz, den ich immer sage und der mich nervt, weil er selbstverständlich sein sollte („…dass Menschen die kein WhatsApp haben immer auch den gleichen Informationszugang haben müssen,…“). Da sind wir ganz einer Meinung, aber es geht mir nicht nur um Kommunikation mit Menschen, die schon in einer Gruppe organisiert sind oder schon Anschluss an Kirche haben, und deshalb gilt für mich auch (und das auch ist wichtig!) „Wer WhatsApp hat gehört dazu.“ Es gibt nun mal Menschen, die erreiche ich im Erstkontakt am besten per WhatsApp. Auf die möchte ich nicht verzichten.

  5. Habe ich das jetzt richtig verstanden? Gemeinden wird das szene-typisch protestantisch schlechte Gewissen gemacht, weil sie sich ihre Arbeit -bei immer mehr Kürzungen von Hauptamtlichenstellen- mit What’sApp etwas erleichtern. Aber meine Landeskirche und viele andere Kirchenämter sammeln via fb munter weiter? Da können sie dann ja auch praktischerweise die Aufschlüsselung der Daten nach Gewohnheiten, sexueller und politischer Präferenz gleich wieder zurückkaufen. Das ist eine sehr asymmetrische Datenschutz-Haltung. Da spendier ich doch mal etwas Bildungs-Content https://www.republik.ch/2018/01/13/zuckerbergs-monster.
    PS: Auf welchem Planeten habe ich denn Erstkontakte via What’s App? Wer ist so verrückt und lässt Wildfremde ins digitale Wohnzimmer, ohne vorher das Netzwerk und seine Teilnehmer zu kennen?

  6. Haha! I like evangelisch sein: auf dem Summit der Digital-PRler ziehen sie ihre What’s App – Straße fröhlich weiter: https://schaumbuerger.files.wordpress.com/2018/01/whatsapp-in-der-gemeindearbeit_27_02_18.pdf

    Was hat es mit dem Schweigen der LLK auf fb auf sich?
    Gibt’s da jetzt doch einen Datenschutzdiskurs?
    Digitales Fasten?
    Wenn was kulturell genuin digital ist, dann doch der Aufbau von verlässlichen Kommunikationsnetzwerken mit Rückkanälen.
    In der professionellen PR -vor allem in der Unternehmenskommunikation- darf ich hier auf keinen Fall abbrechen, wenn ich so verwegen war, ihn zu öffnen. Schon gar nicht mitten in einem Change-Process, den ich zum „Diskussions-Prozess“ umetikettiert habe.
    Jetzt haben wir ein solides Logo, aber nichts mehr mitzuteilen?

    • Es muss vielleicht erst etwas schief gehen, damit es danach besser wird. Dass ich so lange krank war, konnte niemand voraussehen. Mittlerweile ist der aufgelaufene Berg Arbeit kleiner geworden und ein Notfallplan ist da.

  7. Pingback: WhatsApp einsperren (Shelter unter Android) | evangelippisch

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert