Die Nordkirche plant, ihre digitale Vernetzung zu intensivieren (https://www.nordkirche.de/zusammennordkirchedigital). Zu diesem Zweck hat die eigens eingerichtete Projektgruppe „zusammen.nordkirche.digital“ im Auftrag der Kirchenleitung einen umfassenden Plan für eine einheitliche und verbindlich zu nutzende digitale Plattform entwickelt. Als Plattform soll die Cloud-Lösung von Microsoft, Microsoft365, zum Einsatz kommen, die unter anderem Dateiablage, den Betrieb von E-Mail-Servern, Intranets sowie Chats und Videokonferenzen ermöglicht.
Die Umstellung ist bis zum Jahr 2028 geplant:
Bislang legitimierte ein Angemessenheitsbeschluss („Privacy Shield“) die Datenübermittlung in die USA. Doch seit dem Urteil des EuGH im Fall „Schrems II“ sind für die Datenübermittlung in die USA zusätzliche Garantien erforderlich, die sicherstellen, dass die Sicherheitsbehörden der USA nicht auf die Daten von EU-Bürgern zugreifen können.
Auch wenn Microsoft solche Sicherheitsgarantien anbietet, sind diese nicht ausreichend. Die gesetzlichen Regelungen, die solche Zugriffe durch die US-Sichrheitsbehörden ermöglichen, können durch Garantieerklärungen des Dienstleisters (hier Microsoft) nicht außer Kraft gesetzt werden.
Diese Einschätzung wird auch von Herrn Peter von Loeper, dem Beauftragten für den Datenschutz der Nordkirche, geteilt, wie aus seinem Bericht an die Synode hervorgeht: Bericht von Herrn Peter von Loeper.
Eine Verschlüsselung, die den Zugriff durch Microsoft (und somit auch den Zugriff durch US-Sicherheitsbehörden) verhindern könnte, käme allenfalls punktuell zum Einsatz und wäre nicht ausreichend, um die Datenschutzkonformität sicherzustellen.
Obwohl eine einheitliche Lösung den Vorteil hätte, allen Einrichtungen eine sichere IT-Infrastruktur zu ermöglichen, ist ein datenschutzrechtlich konformer Einsatz unter den aktuellen Bedingungen kaum möglich.
Es ist fraglich, ob das Vorhaben in dieser Form umsetzbar ist. Die datenschutzrechtlichen Hürden sind hoch – es wäre sinnvoll über eine alternative europäische Lösung nachzudenken. Ein Nachteil einer umfassenden Lösung „aus einer Hand“ ist auch die Abhängigkeit, die mit dieser Lösung verbunden wäre.
—
Weitere Informationen:
Bewertung von Herrn von Loeper in seinem Abschlußbericht: https://datenschutz.ekd.de/wp-content/uploads/2022/01/20211215-BfD-Bericht-Synode-schriftlich.pdf
Gemeinsame Stellungnahme der Beauftragten für Datenschutz: https://datenschutz.ekd.de/wp-content/uploads/2021/10/GemeinsameStellungnahmeDatenuebermittlungUSA.pdf
https://datenschutz.ekd.de/wp-content/uploads/2019/04/Entschlie%C3%9Fung_Microsoft.pdf
https://www.nordkirche.de/zusammennordkirchedigital