Im Laufe des Jahres 1995 wurden vom Datenschutzbeauftragten der Landeskirche ca. 30 Pfarrämter besucht und der Umgang mit personenbezogenen Daten überprüft.
Die konkrete Umsetzung des Datenschutzes ist oft nicht ganz einfach. Der vorliegende Bericht soll aus der Erfahrung der Besuche bei den Pfarrämtern Informationen liefern, worauf Pfarrämter und Kirchengemeinden besonders achten sollten.
In § 1 Datenschutzgesetz der EKD (DSG-EKD) heißt es: "Zweck dieses Kirchengesetzes ist es, den einzelnen davor zu schützen, daß er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird". Es geht somit nicht um bürokratisch-technische Maßnahmen, sondern darum, das bestehende Vertrauen in die Kirche und die kirchlichen Mitarbeitern sichern. Nicht nur die Pfarrer, sondern insbesondere auch die weiteren Mitarbeiter sind auf die Bereitschaft angewiesen, ihnen Einblicke in private Lebensbereiche zu geben. Weil der zunehmende Einsatz von Informationstechnik und Berichte über Datenmißbräuche bereits jetzt bei vielen eine Verunsicherung bewirkt, ist das Vertrauen in den Datenschutz bei der Kirche um so wichtiger.
Dazu dienen insbesondere:
Die strikte Beachtung der Zweckbestimmung aller Daten (§ 5 DSG-EKD)
Die Offenlegung von Art und Umfang der Nutzung von EDV (§ 14 DSG-EKD)
Die Bestellung eines betrieblichen Datenschutzbeauftragten (§ 22 DSG-EKD), für Pfarrämter und Kirchengemeinden ist dies der Datenschutzbeauftragte des Kirchenbezirks.
Technische und organisatorische Maßnahmen zum Schutz der Daten (Die 10 Datenschutzgebote), insbesondere beim Einsatz von EDV.
Die Verpflichtung von Mitarbeitern kirchlicher Stellen, das Datengeheimnis zu wahren (Verpflichtungserklärung).
Ein Festhalten (Speichern) persönlicher oder sachlicher Verhältnisse von Personen verkürzt ein komplexes Geflecht von Lebensbezügen auf wenige Zeichen und birgt immer die Gefahr des Mißverstehens oder des Mißbrauchs. Das DSG-EKD gilt deshalb nicht nur für Daten in Dateien, sondern auch in Karteien und Akten. Die Verwendung personenbezogener Daten setzt dadurch generell eine Rechtsgrundlage oder die Einwilligung des Betroffenen voraus. Neben den Regelungen des Datenschutzes, die sich an kirchliche "Stellen" richten sind es die gesetzlichen oder vertraglichen Geheimhaltungspflichten sowie die beruflichen oder amtsbezogenen Schweigepflichten, die die Betroffenen vor Mißbrauch schützen, beim Pfarrer insbesondere das auch vom Staat umfassend geschützte Beichtgeheimnis.
Nur die allerwichtigsten Datenverwendungen werden durch spezielle Rechtsnormen geregelt (z.B. Kirchenregistergesetz, Meldewesen, Personalbereich). Das übrige Datengeschehen basiert auf der Einwilligung der Betroffenen. Ein rechtzeitiges Einholen von Einwilligungen vermeidet viele Probleme beim Umgang mit personenbezogenen Daten. Die Schriftform der Einwilligungen hat den Zweck, nachweisen zu können, daß der Betroffene Bescheid wußte und zustimmte. Nicht immer ist die Schriftform erforderlich, auch Aktenvermerke über eine mündlich gegebene Zustimmung, u.U. auch lediglich die mündliche Einwilligung selbst kann ausreichend sein. Wichtig ist, daß das Pfarramt oder die Kirchengemeinde deutlich macht, daß es nicht einfach unterstellt, der Betroffene werde schon einverstanden sein, sondern nur im Einvernehmen mit ihm seine Daten verwendet. Nur in gut begründeten Ausnahmefällen darf eine Einwilligung deshalb einfach unterstellt werden (DSG-EKD § 5 Abs. 2 Nr. 4-9, Abs. 3 u. 4).
Viele Unklarheiten hinsichtlich der Nutzung personenbezogener Daten erledigen sich, wenn bedacht wird, daß das Erheben bzw. Speichern von Daten nur für bestimmte Zwecke erfolgen darf. Die Zwecke müssen sich aus Aufgaben ergeben, die in der Zuständigkeit der kirchlichen Stelle liegen. Die Verwendung der Daten bleibt an diese Zwecke gebunden. § 5 DSG-EKD legt die Bedingungen fest, unter denen Daten für andere Zwecke verwendet werden dürfen. Ein wesentlicher Schritt bei Unklarheiten ist somit, festzustellen, für welche Zwecke die Daten eigentlich erhoben oder gespeichert wurden. Die Anwendung von § 5 DSG-EKD klärt dann, ob eine ins Auge gefaßte Nutzung zulässig ist oder nicht.
Bereits ein deutliches Zurückhalten beim Aufzeichnen von Informationen ist vertrauensbildend. Dies gilt ganz besonders bei Seelsorgedaten. Gelegentlich wurde gefragt, inwieweit Aufzeichnungen aus dem Seelsorgebereich anstatt z.B. in einem Notizbuch auf dem PC geführt werden können. Schon nach § 1 Abs. 4 DSG-EKD ist die automatisierte Verarbeitung von Seelsorgedaten verboten. Würden Seelsorgedaten doch edv-technisch (und damit automatisiert verarbeitbar) gespeichert, stellte sich außerdem die Frage wozu. Argumentiert wird oft, daß ein besserer Schutz vor unbefugter Kenntnisnahme möglich sein. Dies ist jedoch nicht einfach zu realisieren, da moderne Betriebssysteme und Anwendungen in erheblichem Umfang und vom Benutzer nur noch schwer durchschaubar Zwischendateien anlegen. Verschlüsselungen allein sind deshalb oft unzureichend. Diese Zwischendateien könnten von Dritten eingesehen werden, z.B. im Reparaturfall. Würde ein solcher Vorfall publik, wäre der Vertrauensschaden gravierend. Ein Seelsorgedaten angemessener Schutz edv-technisch gespeicherter Daten kann deshalb i.d.R. auf PC nicht ausreichend gewährleistet werden, die Speicherung dieser Daten muß daher unterbleiben.
Von einem Pfarramt wurde berichtet, daß die vom Vorgänger übernommene Gemeindegliederkartei Anmerkungen über psychische Befindlichkeiten, Lebenskrisen u.ä. von Gemeindegliedern enthielt. Teilweise lagen diese persönlichen Umstände schon Jahre zurück. Abgesehen davon, daß bereits die Eintragung solcher Daten in die Gemeindegliederkartei unzulässig ist (§ 2 Verordnung über die in das Gemeindegliederverzeichnis aufzunehmenden Daten der Kirchenmitglieder mit ihren Familienangehörigen), wird in solchen Fällen den Betroffenen auch die "Gnade des Vergessens" vorenthalten. Dies wurde vom Nachfolger auch durchaus erkannt und er veranlaßte umgehend die Vernichtung dieser Karteikarten.
In einem Pfarramt wurden von Besuchsdienstmitarbeitern Karteikarten mit Angaben zu den Besuchten und deren Umfeld verwendet. Die Existenz solcher Karteikarten wäre für viele Betroffene überraschend. Kommt dann noch hinzu, daß sie davon nicht vom Besuchsdienst selbst, sondern über Dritte erfahren, würde das Vertrauen, das den Mitarbeitern in aller Regel entgegengebracht wird, gestört. Die Weitergabe der Karteikarten an andere Besuchsdienstmitarbeiter, auch Nachfolger, ist unzulässig, da kein Grund zu Übermittlung nach § 5 DSG-EKD vorliegt.
Der Briefkasten ist die i.d.R. zuerst ins Auge fallende "Visitenkarte" für den Datenschutz einer Stelle. Zumindest muß er ausreichend dimensioniert sein, um auch mehrere Unterlagen im DIN A4 Format problemlos aufzunehmen. Spezielle Klappenmechaniken erschweren, daß durch einfaches Hineingreifen Post entnommen werden kann. Einfachste, an der Außenwand angeschraubte Blechkästen signalisieren, daß es hier wohl nicht so wichtig ist, daß Post (z.B. Datenträger mit Gemeindegliederdaten) den bestimmten Empfänger zuverlässig erreicht. Unzureichend sind auch einfache Einwurfschlitze in Haustüren.
Auf Disketten oder Bändern (z.B. mit Datensicherungen) sind Daten noch ungeschützter als auf der Festplatte eines PC. Sie müssen deshalb besonders sicher weggeschlossen werden. Kleinere Safes sind mittlerweile durchaus erschwinglich und zur Aufbewahrung von Datensicherungen, Datenträgern (Gemeindegliederdaten, automatisierter Zahlungsverkehr, Mikrofiche), Schlüssel (z.B. zu den Patientendaten der Diakoniestation), Carbonbänder für Schreibmaschinen (enthalten leicht lesbar die Korrespondenz) besonders geeignet.
Auch Aktenvernichter, mit denen nicht mehr benötigte Unterlagen sofort und datenschutzgerecht entsorgt werden können, sind mittlerweile preiswert zu bekommen. Wird die Vernichtung größerer Mengen von Altunterlagen kontinuierlich verteilt, können auch diese mit einem Büroreißwolf vernichtet werden.
Diese Geräte sind mittlerweile in vielen Büros Standart und machen besonders deutlich, daß mit Unterlagen datenschutzgerecht umgegangen wird.
Häufig wurden Unterlagen z.B. des Sekretariats in Büromöbeln aufbewahrt, die nur wenig Schutz gegen etwas gewaltsamere Öffnungsversuche bieten oder sich zum Teil überhaupt nicht richtig schließen liesen. Wichtige Unterlagen sollten in Metallschränken oder Metallhängeregistraturen aufbewahrt werden. Auch bei Besuchern hinterläßt es einen besseren Eindruck, wenn erkennbar ist, daß zumindest ein Teil der Unterlagen sicher untergebracht ist. Datenschutz gilt auch stellenintern. So müssen Personalunterlagen von Mitarbeitern so untergebracht sein, daß nur die Personen zugreifen können, die dies aufgrund ihrer Aufgabenstellung benötigen.
Bei Besuchen von Ämtern und Behörden kommt es immer wieder vor, daß man Angelegenheiten anderer Personen beiläufig zur Kenntnis nehmen kann, z.B. durch offen auf dem Schreibtisch liegende Akten des Vorgängers, Übersichten mit Personendaten an der Wand usw. Bei kleinen Verwaltungseinheiten wie Kirchengemeinden kann dies leicht dazu führen, daß Informationen in Umlauf kommen, die die Betroffenen auf einen kleinen Kreis beschränkt wissen wollen. Dies kann Anlaß zu Mißtrauen gegenüber kirchlichen Stellen geben. Besucher dürfen auch nicht in Räumen mit leicht zugänglichen personenbezogenen Daten alleingelassen werden.
Anmeldungsunterlagen von Kindergartenkindern wurden gelegentlich in unverschlossenen Karteikästen in leicht zugänglichen Nebenräumen aufbewahrt. Dabei enthalten diese Unterlagen oft eine Fülle zum Teil sensibler Angaben, z.B. zu bestimmten Erkrankungen, und diese nicht nur zum Kindergartenkind, sondern oft auch zu Geschwistern oder Eltern. Diese Daten müssen auch in den Ferienzeiten geschützt bleiben, vor allem, wenn diese Zeit zu Renovierungsmaßnahmen o.ä. genutzt wird und Außenstehende freien Zugang zu den Räumen haben.
Häufig melden Eltern ihre Kinder bei mehreren Kindergärten an, in der Meinung, die Chancen auf einen Kindergartenplatz zu erhöhen. Die Kindergartenleitungen wiederum tauschen, um Mehrfachbelegungen zu vermeiden, Informationen über die Anmeldungen untereinander aus. In diesen Informationsaustausch sind z.T. auch Kindergärten anderer Konfessionen und solche der bürgerlichen Gemeinden einbezogen. Über diesen Sachverhalt müssen die Eltern bei der Anmeldung informiert werden, auch darüber, welche Informationen übermittelt werden. Beispielsweise könnte das Anmeldeformular einen entsprechenden Hinweis enthalten.
Häufig bestand eine Verunsicherung, ob Veröffentlichungen nicht gegen den Datenschutz verstoßen. Die Kirche ist jedoch Aufgrund ihres Auftrags zur Öffentlichkeitsarbeit verpflichtet. § 23 Abs. 3. Kirchenregisterverordnung (bis vor kurzem in § 15 Datenschutzverordnung geregelt) läßt die Veröffentlichung von Gemeindegliederdaten mit den dort gemachten Einschränkungen zu. Auch Alters- und Ehejubiläen dürfen in kirchlichen Publikationsorganen mit Namen, Anschrift sowie Tag und Ort des Ereignisses veröffentlicht werden, wenn in diesen Publikationen an gleicher Stelle mindestens einmal jährlich darauf hingewiesen wird, daß dies auf Wunsch der Betroffenen unterbleibt. Wurde bisher von der Veröffentlichung von Straßen und Hausnummern abgesehen und ist nun die Veröffentlichung beabsichtigt, muß in diesen Publikationen rechtzeitig und deutlich sichtbar an geeigneter Stelle auf diese Absicht und die bestehende Widerspruchsmöglichkeit hingewiesen werden.
Von einer Übermittlung von Konfirmantenlisten an interessierte Geldinstitute, Krankenkassen, Hotel- oder Gaststättenbetriebe muß Abstand genommen werden. Dies wäre allenfalls auf der Basis von Einwilligungen zulässig. Nicht verhindert werden kann, daß sich Interessenten die Liste dennoch beschaffen, etwa durch Einsichtnahme in den Gemeindebrief o.ä. Es muß heute davon ausgegangen werden, daß auch im Umfeld kirchlicher Stellen Auskunfteien tätig sind, die durch Auswertung aller ihnen zugänglichen Publikationen Informationen sammeln und verkaufen. Umso wichtiger ist es, daß im Falle kritischer Nachfragen darauf verwiesen werden kann, daß Konfirmantenlisten grundsätzlich nicht weitergegeben werden, die Kirche jedoch nicht auf Veröffentlichungen in ihren Publikationsorganen verzichten kann und will. Der kirchliche Bereich ist hier auf Fortschritte beim Bundesdatenschutzgesetz angewiesen. Es ist zu hoffen, daß es in der nächsten Zeit so novelliert wird, daß Daten für Zwecke der Werbung und der Markt- und Meinungsforschung nur verwendet werden dürfen, wenn der Betroffene vorher darüber informiert und auf die Möglichkeit des Widerspruchs hingewiesen wurde.
Bei Gruppen und Kreisen, Freizeitveranstaltungen für Jugendliche usw. sollten Listen, Adreßkarten u.ä. mit der Aufforderung ausgehändigt werden, diese nach Gebrauch dem Pfarramt zurückzugeben, damit eine datenschutzgerechte Vernichtung z.B. im Reißwolf des Sekretariats gewährleistet werden kann. Zumindest lokal wäre es vertrauensschädigend, würden solche Verzeichnisse "irgendwo auftauchen". Hier muß bedacht werden, daß es im Bereich der Vereine bereits ein gängiges Datenschutzproblem darstellt, daß ehrenamtlich mitarbeitende Personen Daten zu sich nach Hause oder sogar mit auf die Arbeitsstelle nehmen. Es wurden auch schon Mitgliederlisten von Vereinen in Grünen Tonnen gefunden, unter anderem mit Angabe der Bankverbindungen der Vereinsmitglieder. Solche Vorkommnisse müssen im Bereich kirchlicher Mitarbeit vermieden werden.
Mitarbeiterinnen und Mitarbeitern von Neuzugezogenenbesuchsdiensten sollte lediglich Name und Anschrift mitgeteilt werden. Weitere Daten sind nur in seltenen Ausnahmefällen erforderlich. Es würde Irritationen hervorrufen, wenn bei den Besuchten der Eindruck entsteht, der Besucher oder die Besucherin verfüge vorab schon über weitergehende Hintergrundinformationen. Auch der geltend gemachte Umstand, daß junge weibliche Mitarbeiterinnen nur ungern Single-Haushalte von Männern besuchen macht es nicht unbedingt erforderlich, generell den Personenstand mitzuteilen. Z.B. könnte lediglich die Leitungsperson des Besuchsdienstes über den Personenstand informiert werden und die Mitarbeiterinnen und Mitarbeiter entsprechend einteilen.
Diese Datenübermittlung erfolgt ausschließlich dazu, die Aufnahme der Seelsorge zu ermöglichen. Die Unterrichtung des Besuchsdienstes muß zunächst unterbleiben, da oft schon der Aufenthalt in bestimmten Kliniken oder Abteilungen (Psychiatrie, Onkologie) eine Aussage über die Art der Erkrankung enthält, die das betroffene Gemeindeglied als persönliches Geheimnis ansieht. Bereits die Tatsache der Behandlung fällt unter die Schweigepflicht für Ärzte und damit auch des Krankenhauses. Besuchsdienste können daher allenfalls so einbezogen werden, daß der Pfarrer eine Besuchsempfehlung nach der Rückkehr ausspricht, wenn er dies mit dem Patienten abgesprochen hat. Es sind durchaus Fälle von im Einzelfall berechtigter schwerer Verärgerung über unerwünschte Besuche durch andere Personen als die Pfarrerin oder den Pfarrer bekannt. Schriftliche Benachrichtigungen über Krankenhausaufenthalte sollten nach Kenntnisnahme umgehend datenschutzgerecht vernichtet werden.
Soweit nicht nach kirchlichen Amtshandlungen, sondern nach Personenstandsdaten gefragt wird, ist zur Einsichtnahme in Kirchenbücher für die Zeit nach 1876 an das zuständige Standesamt zu verweisen. Für die Zeit davor hatten die Pfarrämter die Funktion von Standesämtern, im Rahmen der Einsichtsrechte nach dem Personenstandsgesetz und der Kirchenregisterverordnung kann daher Betroffenen oder Nachkommen der Einblick nicht verweigert werden.
Grundsätzlich sollte Interessenten die Einsichtnahme im Archiv des Oberkirchenrats nahegelegt werden, da mittlerweile fast alle Unterlagen dort mikroverfilmt vorliegen und genügend Lesegeräte bereitstehen. Damit kann vermieden werden, daß Interessenten bei einer Vielzahl von Pfarrstellen vorstellig werden, um benötigte Angaben zusammenzutragen und die z.T. empfindlichen Dokumente werden geschont.
Auch weit zurückliegende Angaben können geeignet sein, Nachkommen in ihrem Persönlichkeitsrecht zu verletzen (z.B. ergab sich durch die Zusammenführung verschiedener Eintragungen in einem Kirchenbuch, daß die Nachkommen eines durch Inzest gezeugten Kindes noch im Ort leben). Bei beabsichtigten Veröffentlichungen, etwa in einem Ortssippenbuch, sollte in kritischen Fällen die Stellungnahme des Datenschutzbeauftragten der Landeskirche eingeholt werden. Manchmal sind genealogische Interessen nur vorgeschoben und es geht eigentlich um das Auskundschaften erbrechtlicher Anwartschaften. Richtlinien zum Umgang mit Kirchenbüchern enthalten der diesbezügliche Erlaß des Oberkirchenrats (AZ 32.10 Nr. 48/8) bzw. die Archivordnung vom 14.02.1989 und die Kirchenregisterverordnung sowie der Leitfaden für das Führen der Amtshandlungsverzeichnisse (herausgegeben vom Oberkirchenrat).
Mehrfertigungen von Niederschriften über nichtöffentliche Sitzungen sollen nicht verteilt werden (siehe zu § 30 KGO Ziffer 54). Dies bedeutet nicht, daß für öffentliche Niederschriften keine Sorgfaltspflichten mehr gelten, da auch diese personenbezogene Angaben enthalten können und nur Gemeindeglieder Einblick in die öffentlichen Protokolle nehmen dürfen. Insbesondere sollte verbindlich geklärt werden, was mit den zugesandten Protokollen und Unterlagen geschieht, wenn ein Kirchengemeinderat aus seinem Amt ausscheidet. Auch wenn keine sensiblen Daten enthalten sind, hinterlässt es keinen guten Eindruck, werden solche Unterlagen bei Papiersammlungen am Straßenrand wiedergefunden.
Maßgebend ist das Ende 1991 allen Pfarr- und Dekanatämtern zugegangene "Merkblatt über Aufbewahrungsfristen von Akten, Druckwerken und sonstigen Veröffentlichungen". Ferner ist im Landeskirchlichen Archiv derzeit eine Neufassung des Aktenplans in Arbeit, die bei einzelnen Aktenzeichen ebenfalls Kassationshinweise enthalten wird. Darüber hinaus sei auf entsprechende Versammlungen der Pfarrer/innen und Pfarramtssekretärinnen auf Bezirksebene verwiesen, wo der Umgang mit Archivgut und auch die Kassation besonders besprochen werden (siehe auch Aufbewahrungsfristen).
Viele Diakoniestationen haben sich in letzter Zeit zusammengeschlossen oder sonstige organisatorische Veränderungen erfahren. Die Zuständigkeit für Altakten ehemaliger oder bestehender Krankenpflegevereine blieb dabei u.U. ungeregelt. Werden diese Unterlagen zunächst vergessen und dann von unkundigen Personen nicht datenschutzgerecht entsorgt, besteht das Risiko eines ernsten Datenschutzverstoßes. Insbesondere muß das Einhalten der vorgeschriebenen Aufbewahrungsfristen gewährleistet und die Methode der Vernichtung fälliger Unterlagen festgelegt sein.
Fehlte ein Reißwolf, wurden zur Vernichtung bestimmte Unterlagen häufig ungeschützt auf einem Regal oder in einer Ablage angesammelt. Meist sind jedoch Schriftstücke mit personenbezogenen Angaben dabei, der Schutz vor unbefugter Kenntnisnahme muß deshalb bis zur tatsächlichen Vernichtung aufrechterhalten werden, z.B. indem ein verschließbarer Behälter benutzt wird. Mit Hilfe eines Reißwolfs ließen sich sensiblere Unterlagen oder solche mit Personenbezug sofort vernichten.
Wird eine Firma mit der Vernichtung von Altakten beauftragt, muß überprüft werden, ob diese ihre Tätigkeit bei der zuständigen Aufsichtsbehörde (Innenministerium) gemeldet hat und ob die Vernichtung den bestehenden DIN-Vorschriften genügt. Seriöse Firmen stellen auf Anfrage entsprechende Angaben zur Verfügung.
Das Datenschutzgesetz der EKD verlangt eine Verpflichtung der bei der Datenverarbeitung beschäftigten Personen auf die Wahrung des Datengeheimnisses (§ 6 DSG-EKD). Der Adressatenkreis umfaßt alle Personen, die Zugang zu oder Umgang mit personenbezogenen Daten der Stelle haben, also auch ehrenamtlich tätige Personen sowie den Raumpflege- oder Hausdienst. Er beschränkt sich keineswegs auf die Personen, die an einem EDV-Gerät arbeiten. Aus § 203 StGB (Schweigepflicht bestimmter Berufe), § 6 KAO i.V.m § 9 BAT, § 27 MVG und der Beachtung der Dienstanweisungen nach § 44 KAO ergeben sich weitere Pflichten, an die bei dieser Gelegenheit erinnert werden sollte.
Diese Verpflichtung ist kein formaler Akt, der mit einer Unterschrift erledigt ist, sondern soll die verpflichtete Person dafür sensibilisieren, daß hinter den Daten, auf die sie Zugriff bekommt, Menschen mit geschützten Persönlichkeitsrechten stehen und daß die Stelle, für die sie tätig ist, die Verantwortung für den Umgang mit den Daten trägt. Zur Verpflichtung gehört deshalb, daß sie darauf hingewiesen wird, wo in ihrem Tätigkeitsbereich sie besonders achtsam sein muß.
Je mehr Personen freien Zugang zu einem Raum mit Daten haben, umso wahrscheinlicher sind unbefugte Kenntnisnahmen. Datenschutz verlangt deshalb eine restriktive Schlüsselvergabe. Der Zugang zum Raum muß auf die Personen beschränkt sein, die aufgrund ihrer Aufgabenstellung Zugang zu den dort aufbewahrten Daten haben müssen. Gegebenenfalls muß anderen Personen durch Umstellung von Geräten, z.B. Kopierer, ermöglicht werden, ihren Aufgaben nachzukommen.
Auch Schlüssel selbst müssen sicher verschlossen untergebracht werden, insbesondere wenn sie zu Schließanlagen gehören oder Zugang zu Räumlichkeiten mit hohem Schutzbedarf, etwa Diakoniestationen, gewähren.
Gruppen und Kreise können tiefe Einblicke in persönliche und sachliche Verhältnisse anderer bekommen. Hier muß besonders darauf geachtet werden, daß Mitteilungen an andere (Nachfolger, Vertretungen, weitere Leitungspersonen) mit Einverständnis der Betroffenen geschehen. Denkbar ist, daß die Gruppe bzw. der Kreis vorab regelt, wie seine Mitarbeiterinnen und Mitarbeiter mit Informationen umgehen. Findet ein Erfahrungsaustausch mit Fallbesprechungen statt, sollte mit den Betroffenen geklärt werden, ob sie damit einverstanden sind, daß ihre persönlichen und sachlichen Verhältnisse besprochen werden und ob dies mit oder ohne Namensnennung geschehen soll. Eine solche Abklärung signalisiert, daß die Mitglieder der Gruppe sich überlegen, wem sie was mitteilen und schafft dadurch Vertrauen. Eine z.B. im Suchtbereich tätige Gruppe übt das Vermeiden von Namensnennungen empfehlenswerterweise regelmäßig ein, da es für die meisten gewöhnungsbedürftig ist. Die Mitglieder dieser Gruppe führen auch Rollenspiele durch, um sich durch geschickt geführte "Unterhaltungen" keine Informationen entlocken zu lassen.
Die Informationstechnik ist für viele Betroffene unüberschaubar. Umso unverzichtbarer für eine Vertrauensbasis ist, daß die datenverarbeitenden Stellen eine Übersicht über den Einsatz dieser Technik erstellen, auch um selbst den Überblick zu wahren. Ferner akzeptieren Betroffene eine automatisierte Datenverarbeitung eher, wenn ihnen gesagt werden kann, daß der ordnungsgemäße EDV-Einsatz von Datenschutzbeauftragten überwacht wird und diesen solche Übersichten zur Verfügung stehen. § 14 DSG-EKD schreibt diese Dokumentation vor, ebenso welche Angaben darin enthalten sein müssen. Die Datenschutzregelungen der Landeskirche enthalten Vordrucke zu ihrer Erstellung. Zugriffsberechtigte Personen dürfen in der Dokumentation (s.o.) nicht namentlich aufgeführt werden, sondern über ihre Aufgabenstellung, z.B. Sekretärin, Kirchenpfleger.
Ziffer 1.2 auf S. 16 der Datenschutzregelungen benennt die Zuständigkeiten eines Systembeauftragten. Damit ist nicht gemeint, daß jemand in die Verantwortung gedrängt wird, für das Funktionieren des PC geradestehen zu müssen. Gemeint ist vielmehr ein Ansprechpartner gegenüber den Leitungsorganen der Stelle oder Dritten, z.B. Datenschutzbeauftragten. Um zu verhindern, daß sich niemand oder mehrere für den PC zuständig fühlen, soll ausschließlich sie, ggf. nach Rücksprache mit der Dienststellenleitung oder nach einer Beratung durch die zuständige EDV-Abteilung, Maßnahmen zur Behebung von Hard- oder Softwareproblemen veranlassen. Ohne ihre Kenntnisnahme dürfen auch keine Veränderungen am PC, sowohl hard- wie softwaremäßig, vorgenommen werden. Im Reparaturfall veranlaßt sie eine Zusatzvereinbarung zum Schutz der Daten (s. Anlage) und kontrolliert den Verbleib der Festplatte(n).
Die Aufgabe sollte möglichst einer längerfristig auf der Stelle tätigen Person übertragen werden, damit die Stelle von deren zunehmender PC-Kompetenz profitiert.
Aufgrund der Aufgabenstellung kann die systemzuständige Person weitestgehend Einblick in alle gespeicherten Daten nehmen. Sie muß deshalb die Befugnis hierzu und das Vertrauen sowohl der Stellenleitung wie der Mitarbeiterinnen und Mitarbeiter besitzen.
Das Datenschutzgesetz der EKD (auch das Bundesdatenschutzgesetz) meint mit "Datei" jede automatisiert auswertbare Sammlung von Daten unabhängig davon, wie diese technisch realisiert ist. Die Datenschutzverordnung der Landeskirche wie das Landesdatenschutzgesetz verwenden den Begriff "Anwendung", wenn die Datensammlung und die Zugriffsmöglichkeiten programmtechnisch realisiert sind. Gängige PC-Anwendungen sind z.B. Textverarbeitungen, Tabellenkalkulationen, Datenbanken. Solche Anwendungen greifen beim Ablauf auf dutzende ihnen zugeordnete Bereiche auf Massenspeichern (z.B. Festplatten) zu, auf "Dateien" im edv-technischen Sinn. In Anlage 2 der Datenschutzrichtlinie ist "Datei" im Sinne der "Anwendung" zu verstehen.
Sie ist möglich im Rahmen eines Vertrags über eine Datenverarbeitung im Auftrag. Die Anlage enthält näheres. Wird eine solche Datenverarbeitung beendet, etwa aufgrund eines Stellenwechsels, muß gemäß Ziffer 4.2 des Vertrags die Rückgabe der Daten erfolgen.
In diesem Fall muß gewährleistet sein, daß jeder nur auf die von ihm benötigten Daten zugreifen kann. Zwar gewinnt ein Mitarbeiter einer Stelle naturgemäß immer Einblicke in Sachverhalte, die über seine Aufgabenstellung hinaus gehen. Bei der EDV-technischen Verarbeitung personenbezogener Daten, etwa aus dem Personal-, dem Patienten- oder dem Gemeindegliederdatenbereich, muß jedoch davon ausgegangen werden, daß Betroffene ein Interesse daran haben, daß die Kenntnisnahme ihrer Daten strikt auf den befugten Personenkreis beschränkt bleibt. Der Datenschutz muß hier auch durch technische, nicht nur durch organisatorische Maßnahmen wie Dienstanweisungen realisiert werden. Sicherheitsoberflächen oder Verschlüsselungsprogramme sind Mittel, diese Forderung zu erfüllen.
Ein effektives Löschen gespeicherter Daten ist keine Trivialität. Das Datenschutzgesetz versteht unter "Löschen", daß die gespeicherten Daten unkenntlich gemacht werden (physikalisches Löschen). Die Löschfunktionen moderner Betriebssysteme bewirken jedoch lediglich ein Verändern der Zugriffsinformationen. In vielen Fällen kann mit geeigneten Programmen dann doch auf die "gelöschten" Daten zugegriffen werden.
Die Nutzung von Informationstechnik setzt immer mehr eine routinierte Verwendung von Paßwörtern voraus. So müssen z.B. in der Anwendung "DAVIP" die voreingestellten und allseits bekannten "Paßwörter" Adam und Eva unbedingt geändert werden, sonst sind die Gemeindegliederdaten faktisch ungeschützt. Das Land Baden-Württemberg stellt die Meldedaten nur zur Verfügung, wenn in der Kirche vergleichbare Datenschutzregelungen wie beim Land bestehen und auch umgesetzt werden. Dies ist bei einem Ignorieren des Paßwortschutzes mit Sicherheit nicht der Fall.
Paßworte sollten mindestens 6-stellig, einfach zu merken, aber schwer zu erraten sein, z.B:
"Hosenträger": Alltägliches, unauffälliges Wort
"Trägerhose": Vertauschen von Wortteilen eines alltäglichen Wortes
"Hose$träger": Einfügen von Sonderzeichen in ein alltägliches Wort
"Versandklaus": Verballhornung
"Sonnenbeam": Vermischung mit fremdsprachigen Anteilen
Nicht verwendet werden sollten Variationen des Benutzernamens und anderer persönlicher Daten, häufige Namen, Namen von bekannten Personen, Namen von Orten aus Film, Sport und Bibel, gebräuchliche Schimpfworte, allgemein bekannte Worte aus Fremdsprachen, geometrische Muster auf der Tastatur, wiederholte Buchstaben (z.B. aaabbb) oder häufige Abkürzungen (z.B. OKR, Kipfl, SST) und Paare aus zwei kurzen Wörtern oder kurze Worte.
Paßworte müssen geheimgehalten und mindestens halbjährlich gewechselt werden.
EDV-mäßig festgehaltene Daten brauchen nur dann nicht gesichert zu werden, wenn sie leicht wiederbeschafft werden können. In diesem Fall kann eine Datensicherung sogar nachteilig sein, z.B. wenn die Sicherungsträger nicht zuverlässig weggeschlossen werden können. Ansonsten würde eine Stelle mit dem Verzicht auf eine Datensicherung bekunden, daß ein Vorrätighalten der Daten nicht erforderlich ist. Dann stellt sich jedoch die Frage, warum nicht umgehend gelöscht wird.
Ferner zeigen jüngste Urteile, daß ein durch Dritte verursachter Schaden, z.B. Datenverlust bei der Installation von Soft- oder Hardware, der durch eine Datensicherung hätten vermieden werden können, vor Gericht nicht geltend gemacht werden kann.
Wird gesichert, muß dies zuverlässig geschehen. Dazu gehört:
Mindestens drei Generationen von Sicherungen, die jeweils älteste wird durch die aktuelle überschrieben.
Eine weiter zurückliegende vierte Generation sollte in einem versiegelten Umschlag an einem sicheren Ort außer Haus hinterlegt werden (Brand-/Diebstahl-/Virenschutz).
Sinnvolle Festlegung der Häufigkeit der Sicherungen (auch der nach 2.). Entscheidend ist, welchen Aufwand es bedeuten würde, wenn alle seit der letzten Sicherung gespeicherten Daten erneut eingegeben werden müßten. Dieser Aufwand muß verkraftbar sein.
Datensicherung nach jeder Eingabe einer größeren Menge neuer Daten.
Bei mehr als 5 Disketten für eine Sicherungsgeneration Einsatz eines Bandlaufgeräts.
Sichere Unterbringung der Sicherungsträger (Kleinsafe, Metallschrank). Sofern es das Sicherungsprogramm zuläßt, kann die Sicherung auch mit einer Datenverschlüsselung kombiniert werden. Die Sicherungsträger müssen so aufbewahrt werden, daß ein Fehlen eines Träger sofort auffällt.
Bei Hard- oder Softwarefehlern wird in der Regel externe Hilfe benötigt. Es darf nicht einfach unterstellt werden, daß bei externen Stellen ein ausreichendes Bewußtsein für einen sensiblen Umgang mit anvertrauten personenbezogenen Daten vorhanden ist. Eine schriftliche Vereinbarung kann helfen, den Schutz der Daten aufrecht zu erhalten. Kommt es dennoch zu Mißbräuchen, dokumentiert eine solche Vereinbarung zum einen, daß sich die Stelle um einen Schutz der Daten bemüht hat, zum anderen wird dadurch der strafrechtliche Schutz erhöht (Computerkriminalität).
Die Anlage enthält eine entsprechende Mustervereinbarung.
Wird ein Versenden von Datenträgern erforderlich, stehen im wesentlichen zwei Schutzmaßnahmen zur Verfügung:
Die Datenträger werden verschlüsselt. Der Schlüssel kann telephonisch oder ebenfalls auf dem Postweg, jedoch getrennt, übermittelt werden. Zum Zweck der Verschlüsselung kann kostenlos das Verschlüsselungsprogramm MIC (Mini-Crypt) vom Bundesamt für Sicherheit in der Informationstechnik zur Verfügung gestellt werden.
Die Datenträger werden als Wertbrief (bzw. Wertpaket) verschickt. Dadurch wird der Brief (bzw. das Paket) seitens der Post in ihren Listen als Einzelstück geführt, wodurch die Wahrscheinlichkeit eines Verlustes vermindert wird. Wertbriefe bis 1000.- DM (bzw. Wertpakete bis 3000.- DM) Wertangabe brauchen nicht versiegelt zu werden, der Aufpreis beträgt 9.- DM. Durch die Dienstleistungen "Eigenhändig" und "Rückschein" kann der Postweg weiter abgesichert werden.
Gehen Datenträger verlustig und die Stelle kann keinerlei Schutzmaßnahmen vorweisen, kann dies das Vertrauen in die Datenverarbeitung der Stelle beeinträchtigen.
Kommen auf einem PC wechselbare Datenträger mit Fremddaten zum Einsatz, ist eine Virengefahr gegeben. Beispiele sind Desktop-Publishing-Programme, wo mehrere Autoren ihre Beiträge auf Diskette zur Verfügung stellen oder das Nutzen eines besseren Druckers, indem Daten mittels Disketten zwischen PC`s übertragen werden, aber auch die Installation neuer Programme.
Folgende Schutzmaßnahmen sind ein Muß:
Zuverlässige Datensicherung mit mindestens drei Generationen, ergänzt durch eine vierte, weiter zurückliegende Generation (s.o.).
Vor dem Einschalten des PC Disketten aus den Laufwerken entfernen.
Nur Originalsoftware verwenden.
Kennzeichnung der Datenträger und Einsatz eines Virensuchprogramms auf den beteiligten Rechnern. Virensuchprogramme sind nur dann geeignet, wenn sie mindestens halbjährlich aktualisiert werden können. Es ist eher nachteilig, wenn sich mehrere Stellen das gleiche Virenschutzprogramm beschaffen, da jedes Lücken hat. Besonders beim Datenträgertausch sollten unterschiedliche Virensuchprogramme eingesetzt werden.