Wie können Nutzer*innen ihre Daten im Internet schützen? Diese Frage stellt sich nicht nur am Safer Internet Day. Der Beauftragte für den Datenschutz der Evangelischen Kirche Deutschland (EKD), Michael Jacob, gibt Tipps zum sicheren Umgang mit personenbezogenen Daten im Internet.

Herr Jacob, wo sehen Sie aktuell die größten Gefahren im Internet für die Daten von Personen?

Michael Jacob: Das Veröffentlichen von personenbezogenen Daten im Internet - vor allem von Fotos von Kindern - stellt eine große Gefahr dar. Einmal im Internet veröffentlichte Fotos und Daten können kaum wieder zuverlässig aus dem Internet entfernt werden. Kirchengemeinden sollten deswegen sorgsam beispielsweise mit der Veröffentlichung ihrer Gemeindebriefe im Internet umgehen und immer eine Einwilligung der betroffenen Personen einholen, wenn deren personenbezogenen Daten im Internet veröffentlicht werden. Hierzu weisen wir auf unsere Handreichung "Datenschutz im Gemeindebrief" hin.

Aber auch beim Nutzen von cloudbasierten Anwendungen sowie von Messenger- und Social Media-Diensten gibt es erhebliche Risiken und Gefahren, da von den Nutzenden unbemerkt weitere Daten (Protokoll-, Meta-, Telemetriedaten) erhoben werden und übertragen werden können. Vor allem die Datenübermittlung an Unternehmen außerhalb der Europäischen Union stellt ein großes Risiko dar, da die Verarbeitung dieser Daten nach europäischen Standards und Regeln kaum noch überwacht und kontrolliert werden kann. So können Nutzerprofile mit riesigen Datenmengen entstehen.

Wie schützt die EKD personenbezogene Daten ihrer Mitglieder vor unberechtigten Zugriff?

Jacob: Als Datenschutzaufsichtsbehörde erfahren wir täglich von vielen Datenschutzverstößen, sowohl im geringen als auch im großen Ausmaß. Es obliegt den verantwortlichen kirchlichen und diakonischen Stellen mit personenbezogenen Daten sorgsam und datenschutzkonform umzugehen.

Hierzu benennt das EKD-Datenschutzgesetz eine Reihe an Verarbeitungsgrundsätzen (§ 5 DSG-EKD) und definiert die Pflichten der verantwortlichen Stellen, um den Schutz der personenbezogenen Daten sicherzustellen. Dazu zählen vor allem die Nachweis- und die Rechenschaftspflicht (§ 5 Abs. 2 DSG-EKD), die Meldepflichten bei "Datenpannen" (§§ 32, 33 DSG-EKD), das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (§ 31 DSG-EKD) sowie das Durchführen von Datenschutz-Folgenabschätzungen (§ 34 DSG-EKD). Außerdem müssen die verantwortlichen Stellen stets ihren Informationspflichten nachkommen (§§ 17, 18 DSG-EKD).

Wie groß ist Ihr Team und wie ausgelastet ist es?

Jacob: Die Behörde des Beauftragten für den Datenschutz der EKD mit Hauptsitz in Hannover und vier deutschlandweiten Außenstellen hat insgesamt 21 Stellen. Alle vier Außenstellen sind mit mindestens einer oder einem Regionalverantwortlichen (juristische Kompetenz), einer IT-Sachbearbeitung und einer Teamassistenz besetzt.

Das Thema Datenschutz ist seit Inkrafttreten der novellierten Datenschutzgesetze im Mai 2018 in allen Medien so präsent und allgegenwärtig wie vermutlich noch nie in seiner knapp fünfzigjährigen Geschichte in Deutschland und Europa. Dadurch sind ohne Zweifel viele Menschen in einem positiven Sinne wachgerüttelt und sensibilisiert worden – sie kennen ihre Rechte.

Bei allen Datenschutzaufsichtsbehörden führen diese Umstände zu mehr Beratungs- und Weiterbildungsanfragen, zu mehr Beschwerden, zu mehr Meldungen von sogenannten "Datenpannen" und auch zu mehr Kontrollen und Prüfungen.

Acht Tipps für den Schutz von Daten

Die EKD-Kampagne "Datenschutz beginnt bei mir!" enthält viele praktische Tipps zum Schutz von personenbezogenen Daten. Dazu gehören folgende acht Tipps:

  1. Auf den Sichtschutz bei der Bearbeitung von vertraulichen Daten achten.
  2. Sichere und starke Passwörter verwenden. Passwörter nicht weitergeben.
  3. Die Bürotür bei Abwesenheit verschließen.
  4. Den Bildschirm bei Abwesenheit sperren (Strg+Alt+Entf).
  5. Ausdrucke sofort am Drucker abholen oder die Funktion "Vertrauliches Drucken" verwenden.
  6. Vertrauliche Gespräche nicht in der Öffentlichkeit führen.
  7. Keine ungesicherten drahtlosen Netzwerke nutzen.
  8. Für unterschiedliche Zwecke unterschiedliche Benutzernamen und Passwörter verwenden.