Ein Beitrag der Reihe ‘Digitalethik@ELKB’
von Prof. Dr. Thomas Zeilinger, Beauftragter für Ethik im Dialog mit Technologie und Naturwissenschaft und Damaris Sonn, Rollout- und Kommunikationsmanagement in der ELKB IT (I 1.4 Rollout- und Kommunikation), Schwerpunkt M365 und AHP | veröffentlicht am 13. Mai 2024
Es nervt, wenn beim Aufrufen einer Webseite im Vordergrund zunächst ein anderes Fenster aufgeht und ich mich erst mal mit den Cookie-Einstellungen befassen muss. Der einfachste Ausweg scheint dann, den dicken Knopf mit “Akzeptieren” zu drücken – um Zeit zu sparen und schnell dorthin zu kommen, wohin ich eigentlich will.
Aber natürlich ist das Fenster nicht dazu da, dass alle auf “Akzeptieren” drücken. Denn dann könnte man ja gleich darauf verzichten. Das Fenster ist da, weil es mir als Nutzer*in einer Seite erlaubt, in gewissem Umfang zu steuern, welche Informationen eine Webseite über mich während meines Besuchs (und oft genug darüber hinaus) auf meinem Endgerät sammelt.
Die nervige Cookie-Abfrage ist eine der größten Errungenschaften des Datenschutzes im Web. Dass sie in Europa seit der Datenschutzgrundverordnung von 2018 (DSGVO, engl.: GDPR = General Data Protection Regulation) verpflichtend ist, nervt bei uns viele Nutzer*innen, in anderen Teilen der Welt werden wir darum beneidet. Denn während das in anderen Rechtsräumen durchaus anders aussieht, hat Europa ein Datenschutzrecht, das seinen Namen verdient.
Was hat das alles nun mit der Ethik zu tun? “In dieser Reihe soll es doch um das Thema ‚Ethik‘ gehen! Wieso soll ich mich denn jetzt mit dem Thema ‚Datenschutz‘ befassen? Das ist doch nur lästig!”
In der Tat ist der Datenschutz oft genug lästig, wenn man auf eine Seite zugreifen oder eine App einsetzen will. In ethischer Hinsicht ist gerade diese Last freilich eine Notwendigkeit. Denn das dahinterstehende Recht dient dem Schutz der informationellen Selbstbestimmung.
Im Datenschutzrecht drücken sich zentrale Werte und Überzeugungen aus, die uns im Zusammenleben wichtig sind. Das für das Miteinander Gebotene wird in Normen und Vorschriften verbindlich und verpflichtend geregelt. In Deutschland und in Europa hat an dieser Stelle das Individuum eine starke Stellung. Deshalb wird der Datenschutz als Abwehrrecht des bzw. der Einzelnen verstanden, der bzw. die selbst darüber entscheiden kann, wann und wie welche persönlichen Daten zugänglich sein sollen. Im Kern geht es darum, Machtasymmetrien zwischen Einzelpersonen und dem Staat oder privaten Organisationen zu vermeiden, bzw. zumindest zu minimieren. Damit zeigt sich die Verbindung, die zwischen zentralen – oft emphatisch hochgehaltenen – ethisch-moralischen Werten und den nüchternen und oft anstrengend klingenden Formulierungen und Vorschriften des Rechts besteht.
Noch etwas verbindet die Ethik mit dem Recht bzw. anders gesagt den Datenschutz mit der Digitalethik@ELKB: Hier wie da geht es um Ab-Wägungen: Das Ergebnis steht nicht von vornherein fest, sondern muss erst herausgefunden werden. Beim Recht passiert das in der Auslegung gesetzlicher Vorschriften bzw. im Zweifelsfall in deren Klärung vor Gericht. Das klassische Bild der griechischen Göttin der Gerechtigkeit, Justitia, ist deshalb die Waage. Das Ab-Wägen gilt aber auch für die Ethik. Zwar hilft bei ethischen Fragen allein die Rechtsnorm nicht weiter. Was gelten soll, muss im Abwägen der Argumente erst gefunden werden, es ist nicht schon qua Gesetz vorgegeben.
Gerade deshalb sind die Fragen des Datenschutzes in unserer Zeit häufig auch ethische Fragen: Es ist eben nicht schon immer klar, was die richtige Antwort ist. Manchmal gibt es noch gar keine klaren Vorschriften. Dann sind wir selbst gefragt, uns zu verhalten und uns zu entscheiden.
So wie beim eingangs erwähnten Browser-Fenster: Möglicherweise ist ja weder der Klick auf “Akzeptieren” noch der auf “Ablehnen” der ethisch Richtige und Gebotene. Vielleicht sollten wir uns öfter die Mühe machen und in der angebotenen Auswahl von Zwecken und Einstellungen unsere eigene Wahl zu treffen: sicher nicht jedes Mal, das wäre arg überfordernd. Aber hin und wieder dann doch, um uns als Nutzer*in zu üben im Ab-Wägen zwischen den unterschiedlichen Gütern, die auf dem Spiel stehen und miteinander konkurrieren – auch auf dem Feld des Datenschutzes, auch in der Datenschutzgrundverordnung (DSGVO)!
Im Zuge der Einführung von M365 wurde erstmals in der ELKB eine zentrale Datenschutzfolgeabschätzung erstellt. In den Entscheidungsprozessen mit den verantwortlichen Datenschützer*innen werden diese Aspekte beleuchtet und Risiken abgewogen. Mit einer Datenschutzfolgeabschätzung (DSFA) wurden in einer strukturierten Herangehensweise die zu bewertenden Datenverarbeitungsvorgänge und ihre Zwecke beschrieben, ihre Notwendigkeit und Verhältnismäßigkeit in Bezug auf den Zweck sowie die Risiken für die Rechte und Freiheiten der betroffenen Personen bewertet und geeignete Maßnahmen zur Minderung der festgestellten Risiken festgelegt.
Für alle anderen neuen Programme wird entsprechend vorgegangen. Je nach Umfang und Komplexität der zu bewertenden Datenverarbeitungsvorgänge ist dieses Ab-wägen aufwendig und langwierig. Mitunter ist die Mitarbeit von Fachanwält*innen vonnöten. Für den Schutz der Persönlichkeitsrechte der haupt- und ehrenamtlichen Mitarbeitenden und unserer Mitglieder ist das besonnene Ab-wägen aber unabdingbar.
Die ELKB IT befasst sich regelmäßig mit Anfragen von Nutzer*innen, die neue Apps und Programme mit vielversprechenden Einsatzmöglichkeiten in die IT-Welt der Landeskirche bringen wollen. DSGVO und das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) bilden hier den rechtlichen Rahmen, in dem geprüft und abgewogen wird. “Gibt es ein Alternativprodukt, bspw. in der M365-Welt, das dieselbe Funktion erfüllt? Ist sichergestellt, dass personenbezogene Daten überhaupt nur auf deutschen oder europäischen Servern gespeichert werden? Welche Daten werden erhoben oder verarbeitet?”
Ein aktuelles Beispiel ist das Outlook-Add-In namens Bookings, welches im Landeskirchenamt für die Planung, Anmeldung und Verwaltung der M365 Schulungen testweise zum Einsatz kommt. Obwohl es sich nicht einmal um eine eigenständige Anwendung handelt, wird die Zusatzfunktion von Outlook sorgfältig geprüft. Maßnahmen, die Risiken für Nutzer*innen von Bookings begrenzen, werden festgelegt. Bis zum Abschluss der Prüfung und Bereitstellung eines Best Practice für uns Nutzer*innen in der ELKB wird es also noch eine Weile dauern.
Die Beispiele oben zeigen: Wir alle, die wir uns im digitalen Raum bewegen, müssen täglich Entscheidungen in Datenschutz-Fragen treffen. Von den kleinen Entscheidungen, die “nur” unseren eigenen Schutz betreffen, bis hin zu großen Entscheidungen, die den Schutz einer Vielzahl von Menschen definieren. Im Intranet der ELKB finden Sie ein Datenschutz-Portal mit Informationen zu den entsprechenden Ansprechpersonen für die unterschiedlichen Fragestellungen, bei denen Sie Beratung und Unterstützung benötigen sowie aktuelle Sicherheitsmeldungen und Neuigkeiten innerhalb der ELKB.
Was beschäftigt Sie beim Thema Datenschutz in der ELKB? Schreiben Sie Ihre Fragen und Anmerkungen zum Thema gerne in die Kommentare!
Links
- https://www2.elkb.de/intranet/datenschutz
- https://www2.elkb.de/intranet/it-sicherheit
- Hier geht es zu den Informationen rund um M365 in der ELKB: https://www2.elkb.de/intranet/node/29405 (Dem Themenbereich M365 werden wir uns im weiteren Verlauf dieser Reihe separat widmen.)
1 Kommentar
Thomas Zeilinger · 16. Mai 2024 um 08:53
Der Beauftragte für Datenschutz bei der EKD, OKR Michael Jakob, bietet wöchentlich eine „Offene Telefonsprechstunde“. Diese richtet sich an alle Interessierten in Einrichtungen der Evangelischen Kirche, die Fragen zum Thema Datenschutz haben. Jeden Donnerstag von 14:00 Uhr bis 15:00 Uhr unter Tel. +49 511/768128-28. Alle Infos von dort unter https://datenschutz.ekd.de.