Diese Webpräsenz des Datenschutzbeauftragten der Evangelischen Landeskirche Württemberg ist im Oktober 2011 umgezogen.
Die neue Webpräsenz finden Sie unter http://www.kirche-datenschutz.de
Datenschutzrichtlinien
Di, 09/16/2008 - 08:20 – DSB
Richtlinien zum Datenschutz und zur Datensicherheit bei dezentralem Computereinsatz vom 22. April 1992 AZ 11.820 Nr. 94
Erlaß
1. Allgemeines
1.1 Dienstanweisung
1.2 Dokumentation der EDV-Anwendung
2. Rechtsgrundlagen kirchlicher Datenverarbeitung
3. Umfang der Datenschutz- und Datensicherheitsmaßnahmen
3.1 Schutzwürdigkeit der Daten
3.2 Stand der Technik
3.3 Private PC, Fremdverarbeitung
Fußnote 1
Fußnote 2
Erlaß
Aufgrund von § 14 der Datenschutzverordnung der Landeskirche (Abl. 55 S. 64, nochmals abgedruckt Abl. 55, Beiblatt Nr. 1 S. 2) erläßt der Oberkirchenrat die nachstehenden Richtlinien zum Datenschutz und zur Datensicherheit bei dezentralem Computereinsatz.
I.V. Dietrich
1. Allgemeines
In den Dienststellen der Landeskirche und Diakonie werden zunehmend EDV-Anlagen, insbesondere Personalcomputer (PC) eingesetzt. Sie finden u.a. Verwendung bei der Textverarbeitung oder bei Abrechnungen. Hierbei werden regelmäßig auch personenbezogene Daten in Dateien gespeichert.
Für die Verarbeitung personenbezogener Daten mit elektronischer Datenverarbeitung bestehen besondere Anforderungen an die technischen und organisatorischen Maßnahmen, die zur Sicherstellung des Datenschutzes zu treffen sind. Diese sollen im folgenden näher erläutert werden.
In aller Regel ist die Anschaffung besonderer Programme und Geräte Hard- und Software für Datenschutz und Datensicherheit erforderlich siehe Ziffer 3.2.
Dabei ergibt sich die Schwierigkeit, daß die Datenschutz- und Datensicherheitsmaßnahmen nicht für alle Systeme gleich festzulegen sind, weil die Gefährdungen der verschiedenen EDV-Anwendungen und die möglichen Sicherheitsmaßnahmen zu vielfältig und unterschiedlich sind.
Die Organisationsabteilung des Oberkirchenrats ist auch für die Beratung in diesen Fragen zuständig. In den Anlagen werden einige Arbeitsmaterialien angeboten.
1.1 Dienstanweisung
Die Dienstanweisung (Anlage 1, Musterdienstanweisung) soll dem zuständigen Beschlußgremium die notwendigen Regelungen aufzeigen, die es zu treffen hat. Die Dienstanweisung soll der "Dokumentation der EDV-Anwendung" beigefügt werden.
1.2 Dokumentation der EDV-Anwendung
Weiter ist eine Formularsammlung für die wichtigsten Arbeitsvorgänge Anlage 2 (mittlerweile überholt, siehe Fußnote 1) und eine Übersicht über die gängigen Möglichkeiten für Datenschutz- und Datensicherheitsmaßnahmen beigelegt, die vom Datenschutzbeauftragten der Württ. Evang. Landeskirche herausgegeben wurden. In die letztere Übersicht sollen die eigenen getroffenen Maßnahmen eingetragen werden. Zusammen mit den Formularen ergibt diese Übersicht eine "Dokumentation" der Datenverarbeitung als ständige Arbeitshilfe für die Mitarbeiter. Sie soll alle wesentlichen Unterlagen über die jeweilige EDV-Anlage und deren aktuellen Stand enthalten, so daß der Überblick über die laufende Arbeit erleichtert wird und beim Wechsel eines Mitarbeiters, insbesondere des systemverantwortlichen Mitarbeiters, die Arbeit ohne Schwierigkeiten fortgesetzt werden kann.
2. Rechtsgrundlagen kirchlicher Datenverarbeitung
Das Ausführungsverordnung hierzu sind der allgemeine Rahmen für die Verarbeitung personenbezogener Daten in der Kirche. Daneben gibt es zahlreiche einzelne Bestimmungen, insbesondere in den kirchlichen Dienstordnungen, (z.B. Pfarrergesetz § 15 Abs. 2, Dienstordnung für die Gemeindekrankenpflege § 4).
Zu den Begriffen wie beispielsweise "Datei" wird auf § 1 dieser Datenschutzverordnung siehe Fußnote 2) verwiesen.
Neben dem kirchlichen ist auch das staatliche Recht zu beachten. Insbesondere die Schweigepflicht für ärzte und soziale Berufe in § 203 Strafgesetzbuch gilt auch im kirchlichen Bereich. Auch die neueren Strafbestimmungen über das Ausspähen von Daten müssen schon zum Schutz der Mitarbeiter berücksichtigt werden.
3. Umfang der Datenschutz- und Datensicherheitsmaßnahmen
Beim Einsatz von EDV verlangt das kirchliche wie das staatliche Datenschutzrecht, daß zunächst unabhängig von der Sensibilität der gespeicherten personenbezogenen Daten Maßnahmen ergriffen werden, die geeignet sind, die in der Anlage zur Datenschutzveordnung der EKD genannten Datenschutzziele zu erreichen. So muß z.B. nachgewiesen werden können, wer wann welche Daten in das System eingegeben oder sie dort verändert hat. Der Zugang zur Datenverarbeitungsanlage darf unbefugten Personen nicht möglich sein, ebensowenig die Einsichtnahme in die Daten. Insgesamt sind zehn solcher Datenschutzziele in der genannten Anlage aufgeführt. Ob die Maßnahmen ausreichend sind, hängt von der Schutzwürdigkeit der Daten einerseits und vom Stand der Technik andererseits ab.
3.1 Schutzwürdigkeit der Daten
Die Schutzwürdigkeit von Daten ergibt sich aus dem Interesse des Betroffenen sowie aus gesetzlichen Vorschriften. Neben dem Datenschutz können auch andere Gründe für einen größeren Aufwand an Sicherheitsmaßnahmen sprechen. So werden z.B. die Meldedaten der Kirche vom Staat nur unter der Bedingung zur Verfügung gestellt, daß die Kirche ausreichende Maßnahmen zum Datenschutz trifft.
3.2 Stand der Technik
Der Stand der Technik für Sicherheitsmaßnahmen war bisher vor allem beim PC problematisch. Im Grundsatz sind an einen PC die gleichen Anforderungen zu stellen wie an ein Rechenzentrum. Diese Anforderungen konnten aber bisher deshalb nicht erfüllt werden, weil der PC und das zugehörige Betriebssystem MS DOS auf einen Benutzer zugeschnitten sind. Aus diesem Grund kann jeder Benutzer mit geringer Mühe alle Daten auf der Festplatte zur Kenntnis nehmen und verändern, selbst wenn in einzelnen Programmen Paßwörter vorgesehen sind und eingesetzt werden.
Durch den Einsatz von Programmen und evtl. ergänzender Hardwareteile können diese Mängel heute weitgehend behoben werden. Diese Programme sind marktüblich und daher als Stand der Technik anzusehen. Empfehlungen und nähere Auskunft gibt die Organisationsabteilung des Oberkirchenrats. Zu den einzelnen Bereichen der baulichen und äußeren Sicherheit, der EDV-internen Maßnahmen, der organisatorischen Maßnahmen und der Maßnahmen bei der Programmierung wird auf die "Dokumentation der EDV-Anwendungen" (Anlage 2) verwiesen.
3.3 Private PC, Fremdverarbeitung
Da gelegentlich der Wunsch besteht, private PC für dienstliche Aufgaben zu verwenden, muß klargestellt werden, daß der Mitarbeiter dabei als Auftragnehmer der Dienststelle auftritt. Er behält rechtlich die volle Verfügungsgewalt über das Gerät und damit über die gespeicherten dienstlichen Daten. Um diese Verfügungsgewalt entsprechend den Datenschutzbestimmungen einzuschränken, ist mit ihm eine Vereinbarung zu schließen, die der Genehmigung der zuständigen Aufsichtsbehörde nach (Anlage 3). Die Beauftragung wird in aller Regel nur zu genehmigen sein, wenn das Gerät ständig in dienstlichen, kirchlichen Räumen bleibt, der geplante Einsatz in einer Dokumentation siehe Ziffer 3.2).
Fußnote 1
mittlerweile vom Stand der Technik überholt und durch den Datenpass ersetzt.
Fußnote 2
wohl ein Redaktionsversehen, gemeint ist § 2 DSG-EKD.
