cc-by-sa Henry Burrows

Wenn die Jugendlichen erst einmal im Schüler-Café sind, klappt es mit dem Kontakt zu ihnen gut – aber die Kommunikation drum herum läuft allein über Messenger. Wie oft sie mit den Leuten von der Caritas schreiben, soll aber eigentlich niemanden etwas angehen und DSGVO und KDG spielen dabei rechtlich auch irgendwie eine Rolle.

Ausgangslagen dieser Art gibt es wahrscheinlich viele in der Caritas und in der Wohlfahrt allgemein. Schon von unserem Auftrag und Selbstverständnis her wollen wir nah bei den Nächsten sein, dort für sie da sein, wo sie ssind – und das sind, nicht nur bei den Jugendlichen, Kanäle wir WhatsApp, Facebook, Instagram, YouTube und mehr. Gerade WhatsApp ist bei 90% der Jugendlichen und 54 % der 50 – 69 im Einsatz.

Gleichzeitig wollen wir sie nicht zusätzlichen Risiken aussetzen, die sie jetzt oder später in ihrem Leben genau durch diese digitalen Dienste treffen könnten. Wenn ich als Jugendlicher in Schwierigkeiten gesteckt habe, soll das bei meiner Bewerbung später keine Rolle spielen. Wenn aber das gleiche Unternehmen meine Kontakte seit meiner Jugend protokolliert, das mir womöglich später auch „relevante Job-Anzeigen“ präsentiert, kann ich diesem Zusammenhang nur noch schwer entkommen. Und nicht zu vergessen: 2 von 3 Personalern informieren sich online über ihre Bewerber.

Die Caritas kann wirksam helfen, weil oder wenn sie nah und erreichbar ist und dabei gesellschaftliche Entwicklungen im Blick hat – das heißt, wir müssen Messenger kompetent bewerten und einsetzen können.

Hinweise vorweg:
Die erwähnten und empfohlenen Messenger stammen aus unserer Übersicht und Erfahrung. Die Liste ist weder zwingend vollständig noch eine offizielle Empfehlung des Deutschen Caritasverbands. Der Artikel soll einen Überblick, Zusammenhänge und Entscheidungskriterien darstellen, darum ist er auch lang. Hoffentlich aber ausreichend strukturiert.
Der Artikel kann und soll er keine Rechtsberatung, Dienstvereinbarung oder Technik-Abschätzung ersetzen.

Aktuelle Empfehlung – aber: Testet und redet darüber!

Tatsächlich gibt es eine Vielzahl von Entscheidungsfaktoren, die man einbeziehen kann – oftmals auch stark davon abhängig, wofür man einen Messenger eigentlich einsetzen will.
Darum erscheint es zumindest aktuell nicht möglich, eine generelle Empfehlung auszusprechen. Umso wichtiger ist es, dass verschiedene Lösungen im Alltag und auch mit mehr als 5 Leuten getestet werden. Am besten von multidisziplinären Teams begleitet und mit viel Augenmerk auf Nutzer-Bedarfe und Nutzer-Feedback. Zumindest regional für KDG konform befunden und im Test befindlich sind derzeit Wire, Threema, ginlo (ehem. SIMSme) und Teamwire (Ihr testet noch etwas anderes? Lasst es uns gerne in den Kommentaren oder über einen anderen Kanal wissen.Wenn aktuell verschiedene Messenger im Einsatz sind, ist das eine gute Sache: so bekommen wir ein breites Erfahrungsbild. Das ergibt sich aber nur, wenn wir uns auch über diese Erfahrungen austauschen. Dazu bietet sowohl die Kommentarspalte hier als auch (geschützt) das CariNet die Möglichkeit.

Bei vielen bleibt auch nach dem Disclaimer die Frage: Welchen Messenger nehmen wir denn jetzt? Also:

• Für den Kontakt zu Klientinnen, Klienten und Interessierten bietet wire einen guten Start – es hat nach unserer Einschätzung eine gute Abdeckung der Aspekte “wo ein Messenger punkten muss” und scheint dabei die einzige Open-Source-Option zu sein. Signal wird zwar oft genannt, bringt jedoch leider nicht die organisatorischen Voraussetzungen und Infrastruktur mit, um KDG konform zu sein.
• Für Beratungsarbeit im engeren Sinn empfiehlt sich die Online-Beratungsplattform der Caritas, die gerade Schritt für Schritt auf den neuesten Stand gebracht wird.
• Für die interne Kommunikation unter Kollegen hängen die Vielzahl der Möglichkeiten zu sehr von den jeweiligen IT-Strukturen ab – vielleicht wird das ein eigener Artikel ( ;

In unserer Übersicht haben wir die potentiellen Kosten für keinen der Messenger berücksichtigt, weil für Großkunden und gemeinnützige Organisationen in der Regel eigene Tarife vereinbart werden (können).

Warum eigentlich kein WhatsApp mehr?

Die kürzeste Antwort ist: Weil mehrere Aspekte nicht mit dem KDG vereinbar sind und der Gebrauch daher nicht zulässig ist (Beschluss der Konferenz der kath. Datenschutzbeauftragen aus 10/2018, aber auch schon 05/2017). Einfach auf Rechtsgrundlagen zu verweisen ist aber plump, denn es geht ja darum, dass der Dienst an vielen Stellen nicht den europäischen (bzw. kirchlichen) Vorstellungen von einem respektvollen Umgang mit Nutzerdaten und Privatsphäre entspricht, die Datenschutzbeauftragten haben dazu durchaus auch ihre Kriterien veröffentlicht. Es ist also eine Gelegenheit sich mit der Frage auseinanderzusetzen, welche Vorstellungen wir da eigentlich haben – digitale Kompetenz.

Rechtsanwalt Christian Solmeck sagt dazu:

„Auch bei WhatsApp kommt es, wie bei der Nutzung des Facebook Messengers, auf die Frage an, wer für die Datenverarbeitung von WhatsApp verantwortlich ist. Bei WhatsApp Inc handelt es sich um ein Tochterunternehmen von Facebook, dessen Datenverarbeitung ebenfalls nicht den deutschen Vorschriften entspricht. Zwar findet mittlerweile auch bei WhatsApp eine Ende-zu-Ende Verschlüsselung statt, jedoch kann man sich nicht sicher sein, ob die Verschlüsselung über WhatsApp auch wirklich stattfindet. Zudem werden über die Server weiterhin Metadaten gesammelt.“

Privat gilt übrigens eine ganz ähnliche Rechtssituation, nur spielt da der Dienstgeber keine Rolle und man von seinen Freunden und Bekannten seltener verklagt wird (manchmal aber doch).

WhatsApp ist ein ursprünglich rein für den Privatgebrauch konzipierter Dienst, der daher auch “ohne vorherige Genehmigung” die „nicht-private“ Nutzung in seinen AGB ausschließt (Stand 11/2019). Für den Einsatz als Marketing-Kanal gibt es inzwischen WhatsApp-Business.

Der Dienst bietet bislang kaum IT-Management-Funktionen, wie z.B. das zentrale Verwalten von Gruppen und Mitgliedern. Daraus kann durchaus ein Dilemma entstehen, wenn (z.B. auf Grund von hoher Fluktuation in der Altenhilfe) nicht genug Mitarbeitende (grundsätzlich? rechtzeitig?) ein dienstlich ausgestattetes Telefon erhalten. Das führt oft zu privat eingerichteten (WhatsApp oder anderen) Gruppen, die wesentlich für dienstliche Zwecke genutzt werden (inkl. sensibler Inhalte über Patientinnen oder Patienten), aber vom Unternehmen nicht gesteuert werden können.

Wo ein Messenger punkten muss (Datenschutz gehört dazu)

• Bedienkomfort: Sind die wichtigsten Funktionen dabei (welche das sind, hängt von den Einsatz-Szenarien ab, s. Use Cases), ist er leicht zu handhaben, macht die Nutzung Freude, lassen sich Benachrichtigungen etc. gut einrichten? Lassen sich Zugänge/Räume für Externe leicht einrichten? Hier zählt nicht nur die eigene Meinung, sondern ein guter Test mit “echten” Nutzer:innen!
  WhatsApp ist sicherlich einfach zu bedienen. Aber auch die anderen Dienste haben ihre Vorteile (z.B. schnell eine kleine Handskizze zu schicken wie bei Wire)
• System-Integration: Können Nutzer(gruppen) leicht von der IT eingerichtet und verwaltet werden, können Benutzer aus Caritas-Systemen übernommen werden, lassen sich Automatisierungen einrichten für digitale Workflows aus anderen Systemen?
  Wire, Threema, Ginlo bieten alle (unterschiedlich) umfangreiche Möglichkeiten in ihren jeweiligen work/pro/business Angeboten
• Zukunftssicherheit + Portabilität: Kann ich/können wir mit unseren Nachrichten und Gruppen zu einem anderen Dienst umziehen? Was passiert, wenn der Dienst verkauft wird, seine Ausrichtung ändert, eingestellt wird (können wir z.B. durch OpenSourceCode den Dienst vergleichsweise einfach selber weiterbetreiben?)
  Der Verkauf von SIMSme von der Post an die BrabblerAG, die damit zunächst unklare Zukunft der nun entstandenen ginlo-Dienstes und dessen Ende führt diese Frage vor Augen (der Vollständigkeit halber: Struktur bei wire). Open Source hat hier den größten Vorteil, selbst wenn der Anbieter pleite geht, kann die Community (im Extremfall die Caritas selbst) die Software selbst installieren und weiterbetreiben.
• Kosten: Welche Kosten entstehen direkt (Lizenzen/Nutzungsgebühren) und indirekt (Support, Hosting)? Sind spezielle Kooperationen möglich? Gibt es kostenlose Zugänge für Klient:innen?
  In den offiziellen Preisen (für den professionellen/managed Einsatz) gibt es größere Unterschiede. Naturgemäß kann hier eine gebündelte Anfrage der Caritas großen Einfluss haben. Wire ist für die Privatnutzung kostenlos und bietet den Pro-Nutzern an, temporär auch Nicht-Wire-Nutzende per Webbrowser zuzuschalten (ginlo wohl ähnlich). Threema kostet eine einmalige Gebühr, was für das transparente Preismodell Respekt verdient, eine sensible Klientel, die noch überzeugt werden muss, aber eine Hürde sein kann.
• Datenschutz: Respektiert der Messenger die Datensouveränität der Nutzenden? Das ins Bewusstsein zu rücken ist letztlich einer der großen Verdienste der EU-GDPR/des KDG.
  Alle betrachteten Messenger (Threema, ginlo, Wire) erfüllen diese Kriterien mit Leidenschaft. Mindestens so leidenschaftlich ist Signal am Werk, hat seine Server allerdings in den USA und fällt damit formell aus dem KDG-Rahmen. Ebenso wie Telegram, das zudem nicht standardmäßig sondern nur auf Wunsch verschlüsselt.

Was die Faktoren konkret bedeuten und wie man sie gewichtet, hängt stark vom Anwendungsfall ab (Klientenkommunikation, interner Austausch, …). Aus den Faktoren ergibt sich schon, dass die Entscheidung für oder gegen einen Messenger am besten aus verschiedenen Perspektiven, in einem interdisziplinären Team getroffen wird. Und natürlich gibt es auch weiter Lösungen, beispielsweise RocketChat und MatterMost, für die Installation auf eigenen Servern. Doch die müssen dann betrieben und die App verbreitet werden.

Im Kontakt mit Externen werden wir erst ab einem gewissen Bedarf oder Vertrauensverhältnis zu einem sicheren Messenger bewegen können – eine Basis-Ausrüstung in netzpolitischen Fragen ist hier sicherlich hilfreich. Auch aus Sicht der sozialen Arbeit gibt es einige gute Argumente. Spätestens dann sollte man aber auch ein passendes Angebot haben. Bei der Aussage “Die Klienten wollen nichts anderes” können wir jedenfalls heute nicht (mehr) einfach stehen bleiben.
Gleichwohl werden Fälle bestehen bleiben, wo es eine ethische Abwägung und Kompromisse und daraus abgeleiteten Handlungsempfehlungen braucht  (Zusammenarbeit mit Datenschutz, IT, Fachabteilungen, …).

Kein gutes Argument sind fehlende Dienst-Handys: Wenn wir professionell digitale Dienste anbieten wollen (und das ist der Fall, sobald wir darüber in Kontakt mit Patient_innen oder Klient_innen stehen), brauchen wir auch professionelles Equipment.

Ist Email der sicherere Kanal?

Der oft verwendete Kommunikationskanal E-Mail kann einen sichereren Austausch ermöglichen, wenn einige Faktoren berücksichtigt werden. Dazu gehören unter anderem:

• Die Server müssen entweder selbst betrieben werden oder zu einem Anbieter gehören, der auf deutsche Infrastruktur setzt und sich an alle deutschen Datenschutzgesetze und -vorgaben hält.
• Der Zugang zu E-Mails muss geregelt und nur Mitarbeiter(inne)n möglich sein, die wirklich Zugriff auf die Daten brauchen.
• E-Mails müssen dafür verschlüsselt werden.

Der letztgenannte Punkt klingt für viele soziale Einrichtungen und Träger nach einem enormen Aufwand. Doch E-Mail-Verschlüsselung ist gar nicht so schwer, wie dieses Video von Focus Online zeigt.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärt, wie man verschlüsselt kommunizieren kann und wie man E-Mails verschlüsselt.

Sichere Kommunikation beginnt bei den Menschen

Mindestens ebenso wichtig wie die technischen Voraussetzungen sind jedoch klare Regeln und Absprachen zwischen Sozialarbeitenden, Klient(inn)en und Einrichtungen rund um die Kommunikation.

Um die Kommunikation mit Klientinnen und Klienten sicher zu gestalten, sind vor allem Information, Abstimmung und klare Regeln sinnvoll und wichtig. Rechtsanwalt Thomas Schwenke weist darauf hin, dass sich technische Risiken nie ganz ausschließen lassen und dass manche Daten – vor allem personenbezogene nur verschlüsselt – und schon gar nicht über Soziale Netzwerke, kommuniziert werden sollten.

Basierend auf seinen Hinweisen und unserer Erfahrung aus verschiedenen Projekten ergeben sich die folgenden Empfehlungen:

• Besprich im Team, welche der folgenden Punkte und Regeln in der Einrichtung gelten sollen. Fixiere diese Regeln schriftlich, lasse sie von der Leitung freigeben und mache sie zu verbindlichen Kommunikationsleitlinien, die für alle Mitarbeiterinnen und Mitarbeiter gelten.
• Stelle sicher, dass alle verbindlichen Regeln auch an die Klient(inn)en kommuniziert werden. Nutze diese Gelegenheit, um das Thema Kommunikationskompetenz und den Umgang mit Sozialen Netzwerken zu thematisieren.
• Kläre mit den Klient(inn)en, auf welchen Kanälen sie kontaktiert werden wollen und können. Auch wenn ein Kanal für nicht-sensible Informationen rechtlich geeignet sein mag, gilt es, die Wünsche und Bedürfnisse der Klient(inn)en zu respektieren.
• Sensible und personenbezogene Daten sollten nur persönlich, auf Papier oder verschlüsselt ausgetauscht und übergeben werden.
• Sensible Themen sollten am besten persönlich besprochen werden. Das ist nicht nur aus rechtlicher, sondern auch als kommunikativer Sicht sinnvoll.
• Kurze organisatorische Absprachen können – wenn sie keine weiteren personenbezogenen Daten beinhalten – auch via E-Mail stattfinden. Informationen, die auch öffentlich verfügbar sind, können jederzeit über alle Kanäle verbreitet werden. Dazu gehören beispielsweise Hinweis auf öffentliche Events, Informationen über Öffnungszeiten und ähnliches.
• Zu guter Letzt: Stelle sicher, dass alle ausgetauschten Informationen sauber dokumentiert werden und nur Mitarbeiter(inne)n zugänglich sind, die diesen Zugang auch brauchen.

Der Artikel entstand in enger Kooperation von Christian Müller (sein Artikel) und Johannes Landstorfer (Faktensammlung im CariNet).