Gedanken und direkte Worte an die Entwickler dieser Plattform

Wir haben unsere Replik von gestern nochmal aktuallisiert:

Replik auf die heutige Änderung der Datenschutzerklärung

Wir nehmen zur Kenntnis, dass die Datenschutzerklärung nach unserem gestrigen Hinweis angepasst und die naymspace systems GmbH nun unter der Rubrik „Externes Hosting“ aufgeführt wurde.

Die Art und Weise, wie mit diesem Vorgang umgegangen wird, empfinden wir jedoch als unprofessionell und enttäuschend. Dass eine derart grundlegende Korrektur ohne jede Erklärung gegenüber den Nutzerinnen und Nutzern erfolgt, lässt aus unserer Sicht wesentliche Fragen unbeantwortet. Gerade bei einer Plattform, auf der besonders sensible persönliche Erfahrungen und Belastungen geteilt werden, erwarten wir ein Höchstmaß an Transparenz.

Das heutige Update beantwortet zwar die Frage, wer aktuell als Hoster benannt wird. Aus unserer Sicht bleiben jedoch mehrere datenschutzrechtliche und organisatorische Fragen offen:

1. Nachträgliche Korrektur der Hosting-Angaben

Mit der heutigen Änderung wird dokumentiert, dass die bisherige Datenschutzerklärung hinsichtlich des Hostings nicht den nunmehr dargestellten tatsächlichen Verhältnissen entsprach. Daraus ergeben sich aus unserer Sicht erhebliche Fragen hinsichtlich der Transparenz gegenüber den Nutzerinnen und Nutzern.

Über einen längeren Zeitraum war für Betroffene nicht eindeutig nachvollziehbar, welches Unternehmen die technische Hosting-Infrastruktur bereitstellt und welche juristische Person mit der Speicherung und Verarbeitung der entsprechenden Daten befasst ist. Gerade bei einer Plattform, auf der regelmäßig sensible personenbezogene Informationen verarbeitet werden, halten wir dies für einen aufklärungsbedürftigen Vorgang.

2. Personelle und organisatorische Verflechtungen

Nach den öffentlich zugänglichen Angaben zeichnet die naymspace software GmbH & Co. KG für Entwicklung und technische Umsetzung der Plattform verantwortlich. Das Hosting wird nun der naymspace systems GmbH zugeordnet.

Beide Unternehmen sind nach den öffentlich einsehbaren Register- und Impressumsangaben eng miteinander verbunden und nutzen dieselbe Geschäftsanschrift (Schauenburgerstraße 116, 24118 Kiel).

Für uns stellt sich daher die Frage, wie die organisatorische Trennung zwischen Softwareentwicklung und Hosting konkret ausgestaltet wird und welche unabhängigen Kontroll- und Sicherheitsmechanismen bestehen. Bislang ist für uns nicht erkennbar, ob und in welchem Umfang externe Sicherheitsprüfungen, Audits oder vergleichbare unabhängige Kontrollen stattfinden.

3. Sicherheitsstandards für besonders sensible Daten

Die auf dieser Plattform verarbeiteten Informationen können in vielen Fällen besondere Kategorien personenbezogener Daten im Sinne von § 13 DSG-EKD beziehungsweise Art. 9 DSGVO betreffen. Hierzu können beispielsweise Angaben über Gesundheit, psychische Belastungen oder Erfahrungen mit sexualisierter Gewalt gehören.

Angesichts dieser besonderen Sensibilität erwarten wir Sicherheitsstandards, die dem hohen Schutzbedarf dieser Daten angemessen sind.

Für uns ist bislang nicht ersichtlich, ob für die eingesetzte Hosting-Infrastruktur Zertifizierungen, Sicherheitsnachweise oder vergleichbare Prüfungen vorliegen, die eine entsprechende Schutzwirkung dokumentieren. Daher stellt sich die Frage, nach welchen Kriterien der Hosting-Anbieter ausgewählt wurde und welche konkreten technischen und organisatorischen Schutzmaßnahmen implementiert sind.

4. Fragen zur Vergabe und Anbieterübernahme

Nach unserem Kenntnisstand wurde das Hosting ursprünglich über die inzwischen liquidierte deLink GmbH abgewickelt. Vor diesem Hintergrund stellt sich die Frage, wie die Übernahme beziehungsweise Fortführung der Hosting-Leistungen durch die nun benannte naymspace systems GmbH erfolgt ist.

Da das Gesamtprojekt nach öffentlichen Angaben ein erhebliches finanzielles Volumen aufweist, halten wir Transparenz hinsichtlich der vertraglichen und vergaberechtlichen Abläufe für geboten.

Wir bitten das Kirchenamt der EKD daher um Klarstellung:

• Wurde die Fortführung beziehungsweise Neuvergabe der Hosting-Leistungen nach der Liquidation der deLink GmbH formal geprüft und dokumentiert?
• Welche vertragliche Grundlage besteht für die aktuelle Hosting-Lösung?
• Wurden die zuständigen kirchlichen Gremien über den Wechsel beziehungsweise die Fortführung informiert?

5. Fragen zur datenschutzrechtlichen Vertragsgrundlage

Da es sich bei der naymspace software GmbH & Co. KG und der naymspace systems GmbH um unterschiedliche Rechtspersonen handelt, stellt sich die Frage, auf welcher konkreten datenschutzrechtlichen Grundlage das Hosting durch die nun benannte Gesellschaft erfolgt.

Entscheidend ist dabei, dass für die Verarbeitung personenbezogener Daten eine wirksame vertragliche Grundlage bestand beziehungsweise besteht.

Vor diesem Hintergrund bitten wir um Beantwortung folgender Fragen:

• Seit welchem konkreten Zeitpunkt erbringt die naymspace systems GmbH die Hosting-Leistungen für die Plattform?
• Seit welchem Zeitpunkt besteht die hierfür erforderliche datenschutzrechtliche Vereinbarung zur Auftragsverarbeitung?
• Bestand diese Vereinbarung bereits zum Zeitpunkt der tatsächlichen Übernahme der Hosting-Leistungen?

Sollten sich hierbei Unklarheiten ergeben, halten wir eine unabhängige datenschutzrechtliche Prüfung für sachgerecht.

Unser Fazit: Die heutige Änderung der Datenschutzerklärung beantwortet eine zentrale Frage, wirft jedoch zugleich weitere Fragen auf. Aus unserer Sicht besteht weiterhin erheblicher Aufklärungsbedarf hinsichtlich der Transparenz, der Sicherheitsstandards, der vertraglichen Grundlagen und der organisatorischen Kontrolle der Plattform.

Unsere Forderung: Wir erwarten vom Kirchenamt der EKD eine nachvollziehbare und vollständige Stellungnahme zu den genannten Punkten. Gerade bei einem Forum, das sich als Schutzraum für Betroffene versteht, sind Transparenz, Nachvollziehbarkeit und Vertrauen keine Nebensache, sondern grundlegende Voraussetzungen.

Sollten die offenen Fragen unbeantwortet bleiben, behalten wir uns vor, den Sachverhalt der zuständigen Datenschutzaufsichtsbehörde zur Prüfung vorzulegen.

Vielen Dank für Ihre Aufmerksamkeit.

Die Unbestechlichen

Weiter geht es: Nachtrag zu unserer gestrigen Kritik > Die irreführende Beschwerdestruktur in der Datenschutzerklärung

Nachdem wir gestern bereits die technischen und vertraglichen Unstimmigkeiten beim Hosting der BeNe-Plattform thematisiert haben, müssen wir einen weiteren problematischen Aspekt ansprechen. Dieser betrifft die Art und Weise, wie mit den Datenschutzrechten der Nutzerinnen und Nutzer sowie mit datenschutzrechtlichen Beschwerden umgegangen wird.

Wer versucht, eine datenschutzrechtliche Beschwerde an den in der Datenschutzerklärung aufgeführten örtlichen Datenschutzbeauftragten zu richten, stößt nach unseren Erfahrungen auf eine strukturelle Besonderheit: Betroffenen wird mitgeteilt, dass diese Stelle keine eigenständige Beschwerdeinstanz darstellt. Stattdessen werden entsprechende Anliegen an das operative Fachreferat (praevention@ekd.de) weitergeleitet und damit an jene Fachstelle, die für das Projekt verantwortlich ist!

Im Ergebnis kann dies dazu führen, dass Beschwerden über datenschutzrechtliche Vorgänge zunächst wieder bei derjenigen Stelle landen, deren Handeln Gegenstand der Beschwerde ist. Aus unserer Sicht wirft dies Fragen hinsichtlich der Transparenz und der praktischen Wahrnehmung von Betroffenenrechten auf.

Um die Problematik einzuordnen, ist es wichtig, zwischen zwei rechtlich unterschiedlichen Funktionen zu unterscheiden:

1. Der Datenschutzbeauftragte der verantwortlichen Stelle

Nach den §§ 36 ff. DSG-EKD sind kirchliche Stellen verpflichtet, einen Datenschutzbeauftragten zu benennen. Zu dessen Aufgaben gehören insbesondere die Beratung der verantwortlichen Stelle sowie die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften.

Der Datenschutzbeauftragte ist daher eine wichtige Ansprechperson für Fragen zum Datenschutz und für datenschutzbezogene Anliegen. Er ist jedoch nicht mit der unabhängigen Datenschutzaufsichtsbehörde gleichzusetzen. Das gesetzlich vorgesehene Beschwerderecht gegenüber der Aufsichtsbehörde kann durch die Benennung eines internen oder örtlich zuständigen Datenschutzbeauftragten nicht ersetzt werden.

2. Die unabhängige Datenschutzaufsichtsbehörde

Das DSG-EKD sieht ausdrücklich das Recht vor, sich mit datenschutzrechtlichen Beschwerden an die zuständige Aufsichtsbehörde zu wenden (§ 46 DSG-EKD).

Für Einrichtungen der Evangelischen Kirche in Deutschland ist dies:

Der Beauftragte für den Datenschutz der EKD (BfD EKD)
Lange Laube 20
30159 Hannover
E-Mail: info@datenschutz.ekd.de

Die Aufsichtsbehörde ist organisatorisch unabhängig von der verantwortlichen Stelle. Ihre Aufgabe besteht darin, Beschwerden unparteiisch zu prüfen, den Sachverhalt aufzuklären und die Einhaltung der datenschutzrechtlichen Vorgaben zu überwachen.

Vor diesem Hintergrund stellt sich die berechtigte Frage, ob die derzeitige Datenschutzerklärung ausreichend deutlich zwischen der Funktion des Datenschutzbeauftragten und dem gesetzlichen Beschwerderecht gegenüber der unabhängigen Aufsichtsbehörde unterscheidet. Nach unserer Auffassung bestehen hier erhebliche Zweifel, ob die Informationen für Betroffene hinreichend klar und transparent dargestellt werden, zumal die Aufsichtsbehörde namentlich gar nicht erwähnt wird, also in der Datenschutzerklärung schlichtweg fehlt!

Besonders bemerkenswert erscheint uns, dass nach Angaben des örtlichen Datenschutzbeauftragten bereits intern auf die Problematik hingewiesen und eine Anpassung der Datenschutzerklärung angeregt worden sein soll, da seine Funktion nicht der einer unabhängigen Beschwerdestelle entspricht.

Dass eine entsprechende Klarstellung bislang nicht erfolgt ist, wirft die Frage auf, weshalb die Datenschutzerklärung in diesem Punkt unverändert geblieben ist.

Aus Sicht der Nutzerinnen und Nutzer sollte der Weg zu einer unabhängigen datenschutzrechtlichen Prüfung eindeutig, transparent und ohne Missverständnisse erkennbar sein. Sollte hier keine zeitnahe Klarstellung erfolgen, behalten wir uns vor, den Sachverhalt unmittelbar der zuständigen Datenschutzaufsichtsbehörde zur Prüfung vorzulegen.

Danke für Ihre Aufmerksamkeit

Die Unbestechlichen

Vielen Dank für die letzten sehr informativen Beiträge von Die Unbestechlichen und Heimschulekind.

Meine Fragen an die BeNe-AG, bzw. die (noch verbliebenen) Mitglieder der Betroffenenvertretung des Befos, die diese Plattform konzipiert und umgesetzt haben zum Thema: zur Schutzstruktur und Transparenz von BeNe

Die öffentlich zugänglichen Informationen auf BeNe beschränken sich auf die neueste Hausordnung und Moderationsregeln (Stand November 25). Daraus wird nicht erkennbar, welche konkreten Schutzmaßnahmen, Beschwerdewege, Kriseninterventionsverfahren und Qualitätsstandards für ein Forum mit besonders vulnerablen Nutzergruppen bestehen.

Die neueste Hausordnung enthält sehr detaillierte Regeln für das Verhalten der Nutzer*innen und räumt der Moderation weitreichende Befugnisse ein. Was ich jedoch vermisse, sind ebenso konkrete und transparente Informationen darüber, wie der Schutz der Betroffenen vonseiten der Plattform strukturell organisiert wird.

Gleich zu Beginn wird betont, dass der Schutz aller Nutzer*innen oberste Priorität habe. Gleichzeitig bleibt jedoch offen, nach welchem spezifischen Schutzkonzept hier gearbeitet wird, welche standardisierten Verfahren bei Grenzverletzungen greifen oder welche unabhängigen Beschwerdemöglichkeiten bestehen. Auch für den Bereich der privaten Nachrichten (PN) wird lediglich darauf hingewiesen, dass dort keine Meldefunktion existiert – ein Umstand, bei dem für Nutzer*innen nicht erkennbar ist, welche Schutzmechanismen bei problematischen oder grenzverletzenden Kontakten zur Verfügung stehen.

Die neueste Hausordnung enthält zwar einzelne Schutzmaßnahmen, ersetzt aber nach meinem Verständnis kein umfassendes Schutzkonzept für eine Plattform, die sich ausdrücklich an Betroffene sexualisierter Gewalt richtet.

Für eine Plattform speziell für Betroffene sexualisierter Gewalt fehlen zahlreiche Elemente, die heute üblicherweise zu einem Schutzkonzept gehören, wie z.B.:

• Risikoanalyse
• Interventionsplan/Beschwerdewege
• Krisenmanagement
• Umgang mit Grenzverletzungen
• Schutz in Privatnachrichten
• Qualifikation der Moderation
• unabhängige Kontrollmechanismen
• Transparenz bei Schutzvorfällen
• Verhaltenskodex für Mitarbeitende und Moderation

Hier hinkt die Plattform BeNe meines Erachtens den eigenen, verbindlichen Standards der Kirche deutlich hinterher. Laut meinem Kenntnisstand, bezogen auf die Präventionsgesetze und Richtlinien der EKD, muss heute jede kirchliche Einrichtung, jedes Projekt und jede digitale Arbeit über ein verbindliches, schriftlich fixiertes Institutionelles Schutzkonzept (ISK) verfügen.

Ich finde es bemerkenswert, dass ausgerechnet ein offizielles Forum des Kirchenamtes der EKD, das explizit als „Schutzraum“ für von sexualisierter Gewalt betroffene Menschen konzipiert wurde, die eigenen kirchlichen Mindeststandards in der Praxis unterschreitet und kein solches Konzept transparent und leicht zu finden bereitstellt (ich zumindest kann es nirgends finden!).Gleichzeitig frage ich mich: Wurde das konzeptionell von der BeNe-AG nicht mitgedacht?

Bei einer Plattform für Betroffene sexualisierter Gewalt sprechen mehrere Gründe dafür, dass zumindest die wesentlichen Schutzstandards öffentlich zugänglich sein sollten:

• Nutzerinnen und Nutzer müssen vor der Registrierung einschätzen können, wie ihre Sicherheit gewährleistet wird.
• Betroffene befinden sich häufig in besonders vulnerablen Situationen und müssen wissen, an wen sie sich bei Problemen wenden können.
• Transparenz schafft Vertrauen.
• Schutzmaßnahmen wirken nur eingeschränkt, wenn die Betroffenen sie nicht kennen.
• Beschwerde- und Meldewege sollten leicht auffindbar sein.

UND: Insbeondere Direktnachrichten gehören in vielen Online-Communities zu den Bereichen mit dem höchsten Risiko für:

• Grenzüberschreitungen,
• Manipulation,
• emotionale Abhängigkeiten,
• Belästigungen,
• Täterkontakte.

Gerade weil BeNe sich als „Schutzraum“ bzw. als geschütztes Angebot für Betroffene präsentiert, ist die Frage berechtigt, nach welchen Schutzstandards hier gearbeitet wird.

Mich würde daher im Sinne der notwendigen Transparenz interessieren:

• Gibt es ein konkretes Schutzkonzept oder vergleichbare verbindliche Schutzstandards, die für den Betrieb dieses Forums gelten? Wenn ja, wo kann das eingesehen werden?
• Welche Verfahren greifen bei Beschwerden über Moderationsentscheidungen oder mögliche Fehlverhalten?
• Welche konkreten Schutzmaßnahmen oder konkreten Handlungsempfehlungen (Interventionswege) bestehen bei problematischen oder grenzverletzenden Kontakten innerhalb der privaten Nachrichten?
• Welche unabhängigen Ansprechpersonen oder Stellen außerhalb der Moderation stehen Nutzer*innen im Konfliktfall zur Verfügung?
• Wie wird sichergestellt, dass Betroffene ihre Anliegen und Kritik zur Plattformstruktur einbringen können, ohne Nachteile befürchten zu müssen?

Ich finde, dass solche Informationen nicht erst auf Nachfrage bereitgestellt werden sollten. Wer ein Forum speziell für Betroffene sexualisierter Gewalt betreibt, sollte die eigenen Schutzstrukturen transparent, nachvollziehbar und leicht zu finden darstellen.

Ich erachte eine zeitnahe und konkrete Rückmeldung der BeNe-AG/Forenleitung zu allen meinen Fragen, auch im Sinne aller Nutzerinnen und Nutzer, für absolut notwendig.

Danke.

Rainer Zufall