Für katholisch.de habe ich den Vorsitzenden der Konferenz der Diözesandatenschutzbeauftragten, Andreas Mündelein, interviewt – also quasi den obersten kirchlichen Datenschützer. Eine Frage dabei natürlich: Wie geht’s weiter mit WhatsApp? Ein völliger Meinungswechsel war trotz Protesten natürlich nicht zu erwarten – aber immerhin: Es tun sich Wege auf.
Frage: Gibt es etwa Hoffnung auf WhatsApp-Nutzung?
Mündelein: Nein. Aber auch da sind wir nicht außerhalb des Lebens. Auf dienstlichen Geräten wird WhatsApp weiterhin grundsätzlich verboten sein, weil die Kontaktdaten ohne Einwilligung auf fremde Server hochgeladen werden. Unter ganz engen Bedingungen könnte man WhatsApp eventuell benutzen: Nämlich dann, wenn man es komplett außerhalb aller Cloud-Systeme betreibt, so dass sichergestellt ist, dass keinerlei Daten weitergegeben werden. Das ist schwierig, auch wenn es dafür technische Lösungen zu geben scheint. Das erscheint mir aber fast unmöglich. Wir sollten stattdessen lieber Sorge dafür tragen, dass in der Kirche datenschutzkonforme Messengerdienste so breit akzeptiert werden wie WhatsApp.
Was heißt das jetzt für die Praxis? WhatsApp-Dienstleister wie „WhatsBroadcast“ sind vereinzelt in verschiedenen Diözesanen schon im Einsatz, nach meinem Wissen teilweise mit explizitem OK der zuständigen Datenschutzaufsicht. Die angesprochenen Container-Lösungen liefen wohl in der Praxis auf Geräte hinaus, die komplett von irgendwelchen Cloudsynchronisierungen (jedenfalls ins Ausland außerhalb des europäischen Wirtschaftsraums) befreit sind. Die gerade von WhatsApp vorgestellte Business-Funktion, die allerdings noch nicht allgemein verfügbar ist und kostenpflichtig ist, könnte eventuell eine solche Lösung sein.
Gedanken, wie sich das nicht nur für Broadcasts, sondern auch für direkte Kommunikation praktikabel umsetzen ließe, hat sich Lutz Neumeier gemacht – er hat allerdings momentan nur eine Lösung für iPhones gefunden: Adressverwaltung DSGVO-konform
(Wie immer der Hinweis: Hier im Blog kann’s keine Rechtsberatung geben: Ob hier vorgeschlagene Ideen, inklusive der verlinkten, auch tatsächlich rechtskonform sind, sollte vor Einsatz mit der Aufsichtsbehörde, dem*der betrieblichen Datenschutzbeauftragten oder einem*r Anwält*in geklärt werden.)