Datenschutz ELK-WUE

Dokumentation der EDV

Die Informationstechnik ist für viele Betroffene unüberschaubar. Umso unverzichtbarer für eine Vertrauensbasis ist, daß die datenverarbeitenden Stellen eine Übersicht über den Einsatz dieser Technik erstellen, auch um selbst den Überblick zu wahren. Ferner akzeptieren Betroffene eine automatisierte Datenverarbeitung eher, wenn ihnen gesagt werden kann, daß der ordnungsgemäße EDV-Einsatz von Datenschutzbeauftragten überwacht wird und diesen solche Übersichten zur Verfügung stehen. § 14 DSG-EKD schreibt diese Dokumentation vor, ebenso welche Angaben darin enthalten sein müssen. Die Datenschutzregelungen der Landeskirche enthalten Vordrucke zu ihrer Erstellung. Zugriffsberechtigte Personen dürfen in der Dokumentation (s.o.) nicht namentlich aufgeführt werden, sondern über ihre Aufgabenstellung, z.B. Sekretärin, Kirchenpfleger.

Ansprechpartner, systemzuständige Person

Ziffer 1.2 auf S. 16 der Datenschutzregelungen benennt die Zuständigkeiten eines Systembeauftragten. Damit ist nicht gemeint, daß jemand in die Verantwortung gedrängt wird, für das Funktionieren des PC geradestehen zu müssen. Gemeint ist vielmehr ein Ansprechpartner gegenüber den Leitungsorganen der Stelle oder Dritten, z.B. Datenschutzbeauftragten. Um zu verhindern, daß sich niemand oder mehrere für den PC zuständig fühlen, soll ausschließlich sie, ggf. nach Rücksprache mit der Dienststellenleitung oder nach einer Beratung durch die zuständige EDV-Abteilung, Maßnahmen zur Behebung von Hard- oder Softwareproblemen veranlassen. Ohne ihre Kenntnisnahme dürfen auch keine Veränderungen am PC, sowohl hard- wie softwaremäßig, vorgenommen werden. Im Reparaturfall veranlaßt sie eine Zusatzvereinbarung zum Schutz der Daten (s. Anlage) und kontrolliert den Verbleib der Festplatte(n).

Die Aufgabe sollte möglichst einer längerfristig auf der Stelle tätigen Person übertragen werden, damit die Stelle von deren zunehmender PC-Kompetenz profitiert.

Aufgrund der Aufgabenstellung kann die systemzuständige Person weitestgehend Einblick in alle gespeicherten Daten nehmen. Sie muß deshalb die Befugnis hierzu und das Vertrauen sowohl der Stellenleitung wie der Mitarbeiterinnen und Mitarbeiter besitzen.

Unterschiedliche Bedeutung von Datei

Das Datenschutzgesetz der EKD (auch das Bundesdatenschutzgesetz) meint mit "Datei" jede automatisiert auswertbare Sammlung von Daten unabhängig davon, wie diese technisch realisiert ist. Die Datenschutzverordnung der Landeskirche wie das Landesdatenschutzgesetz verwenden den Begriff "Anwendung", wenn die Datensammlung und die Zugriffsmöglichkeiten programmtechnisch realisiert sind. Gängige PC-Anwendungen sind z.B. Textverarbeitungen, Tabellenkalkulationen, Datenbanken. Solche Anwendungen greifen beim Ablauf auf dutzende ihnen zugeordnete Bereiche auf Massenspeichern (z.B. Festplatten) zu, auf "Dateien" im edv-technischen Sinn. In Anlage 2 der Datenschutzrichtlinie ist "Datei" im Sinne der "Anwendung" zu verstehen.

Dienstliche Nutzung privater PC

Sie ist möglich im Rahmen eines Vertrags über eine Datenverarbeitung im Auftrag. Die Anlage enthält näheres. Wird eine solche Datenverarbeitung beendet, etwa aufgrund eines Stellenwechsels, muß gemäß Ziffer 4.2 des Vertrags die Rückgabe der Daten erfolgen.

PC-Benutzung durch mehrere Mitarbeiter

In diesem Fall muß gewährleistet sein, daß jeder nur auf die von ihm benötigten Daten zugreifen kann. Zwar gewinnt ein Mitarbeiter einer Stelle naturgemäß immer Einblicke in Sachverhalte, die über seine Aufgabenstellung hinaus gehen. Bei der EDV-technischen Verarbeitung personenbezogener Daten, etwa aus dem Personal-, dem Patienten- oder dem Gemeindegliederdatenbereich, muß jedoch davon ausgegangen werden, daß Betroffene ein Interesse daran haben, daß die Kenntnisnahme ihrer Daten strikt auf den befugten Personenkreis beschränkt bleibt. Der Datenschutz muß hier auch durch technische, nicht nur durch organisatorische Maßnahmen wie Dienstanweisungen realisiert werden. Sicherheitsoberflächen oder Verschlüsselungsprogramme sind Mittel, diese Forderung zu erfüllen.

Effektives Löschen von Daten

Ein effektives Löschen gespeicherter Daten ist keine Trivialität. Das Datenschutzgesetz versteht unter "Löschen", daß die gespeicherten Daten unkenntlich gemacht werden (physikalisches Löschen). Die Löschfunktionen moderner Betriebssysteme bewirken jedoch lediglich ein Verändern der Zugriffsinformationen. In vielen Fällen kann mit geeigneten Programmen dann doch auf die "gelöschten" Daten zugegriffen werden.

Leicht merkbare Paßworte

Die Nutzung von Informationstechnik setzt immer mehr eine routinierte Verwendung von Paßwörtern voraus. So müssen z.B. in der Anwendung "DAVIP" die voreingestellten und allseits bekannten "Paßwörter" Adam und Eva unbedingt geändert werden, sonst sind die Gemeindegliederdaten faktisch ungeschützt. Das Land Baden-Württemberg stellt die Meldedaten nur zur Verfügung, wenn in der Kirche vergleichbare Datenschutzregelungen wie beim Land bestehen und auch umgesetzt werden. Dies ist bei einem Ignorieren des Paßwortschutzes mit Sicherheit nicht der Fall.

Paßworte sollten mindestens 6-stellig, einfach zu merken, aber schwer zu erraten sein, z.B:

"Hosenträger": Alltägliches, unauffälliges Wort

"Trägerhose": Vertauschen von Wortteilen eines alltäglichen Wortes

"Hose$träger": Einfügen von Sonderzeichen in ein alltägliches Wort

"Versandklaus": Verballhornung

"Sonnenbeam": Vermischung mit fremdsprachigen Anteilen

Nicht verwendet werden sollten Variationen des Benutzernamens und anderer persönlicher Daten, häufige Namen, Namen von bekannten Personen, Namen von Orten aus Film, Sport und Bibel, gebräuchliche Schimpfworte, allgemein bekannte Worte aus Fremdsprachen, geometrische Muster auf der Tastatur, wiederholte Buchstaben (z.B. aaabbb) oder häufige Abkürzungen (z.B. OKR, Kipfl, SST) und Paare aus zwei kurzen Wörtern oder kurze Worte.

Paßworte müssen geheimgehalten und mindestens halbjährlich gewechselt werden.

Zuverlässige Datensicherungen

EDV-mäßig festgehaltene Daten brauchen nur dann nicht gesichert zu werden, wenn sie leicht wiederbeschafft werden können. In diesem Fall kann eine Datensicherung sogar nachteilig sein, z.B. wenn die Sicherungsträger nicht zuverlässig weggeschlossen werden können. Ansonsten würde eine Stelle mit dem Verzicht auf eine Datensicherung bekunden, daß ein Vorrätighalten der Daten nicht erforderlich ist. Dann stellt sich jedoch die Frage, warum nicht umgehend gelöscht wird.

Ferner zeigen jüngste Urteile, daß ein durch Dritte verursachter Schaden, z.B. Datenverlust bei der Installation von Soft- oder Hardware, der durch eine Datensicherung hätten vermieden werden können, vor Gericht nicht geltend gemacht werden kann.

Wird gesichert, muß dies zuverlässig geschehen. Dazu gehört:

Mindestens drei Generationen von Sicherungen, die jeweils älteste wird durch die aktuelle überschrieben.

Eine weiter zurückliegende vierte Generation sollte in einem versiegelten Umschlag an einem sicheren Ort außer Haus hinterlegt werden (Brand-/Diebstahl-/Virenschutz).

Sinnvolle Festlegung der Häufigkeit der Sicherungen (auch der nach 2.). Entscheidend ist, welchen Aufwand es bedeuten würde, wenn alle seit der letzten Sicherung gespeicherten Daten erneut eingegeben werden müßten. Dieser Aufwand muß verkraftbar sein.

Datensicherung nach jeder Eingabe einer größeren Menge neuer Daten.

Bei mehr als 5 Disketten für eine Sicherungsgeneration Einsatz eines Bandlaufgeräts.

Sichere Unterbringung der Sicherungsträger (Kleinsafe, Metallschrank). Sofern es das Sicherungsprogramm zuläßt, kann die Sicherung auch mit einer Datenverschlüsselung kombiniert werden. Die Sicherungsträger müssen so aufbewahrt werden, daß ein Fehlen eines Träger sofort auffällt.

Vertragliche Absicherung bei Reparaturen/Wartungen

Bei Hard- oder Softwarefehlern wird in der Regel externe Hilfe benötigt. Es darf nicht einfach unterstellt werden, daß bei externen Stellen ein ausreichendes Bewußtsein für einen sensiblen Umgang mit anvertrauten personenbezogenen Daten vorhanden ist. Eine schriftliche Vereinbarung kann helfen, den Schutz der Daten aufrecht zu erhalten. Kommt es dennoch zu Mißbräuchen, dokumentiert eine solche Vereinbarung zum einen, daß sich die Stelle um einen Schutz der Daten bemüht hat, zum anderen wird dadurch der strafrechtliche Schutz erhöht (Computerkriminalität).

Die Anlage enthält eine entsprechende Mustervereinbarung.

Möglichkeiten zum sicheren Datenträgerversand

Wird ein Versenden von Datenträgern erforderlich, stehen im wesentlichen zwei Schutzmaßnahmen zur Verfügung:

Die Datenträger werden verschlüsselt. Der Schlüssel kann telephonisch oder ebenfalls auf dem Postweg, jedoch getrennt, übermittelt werden. Zum Zweck der Verschlüsselung kann kostenlos das Verschlüsselungsprogramm MIC (Mini-Crypt) vom Bundesamt für Sicherheit in der Informationstechnik zur Verfügung gestellt werden.

Die Datenträger werden als Wertbrief (bzw. Wertpaket) verschickt. Dadurch wird der Brief (bzw. das Paket) seitens der Post in ihren Listen als Einzelstück geführt, wodurch die Wahrscheinlichkeit eines Verlustes vermindert wird. Wertbriefe bis 1000.- DM (bzw. Wertpakete bis 3000.- DM) Wertangabe brauchen nicht versiegelt zu werden, der Aufpreis beträgt 9.- DM. Durch die Dienstleistungen "Eigenhändig" und "Rückschein" kann der Postweg weiter abgesichert werden.

Gehen Datenträger verlustig und die Stelle kann keinerlei Schutzmaßnahmen vorweisen, kann dies das Vertrauen in die Datenverarbeitung der Stelle beeinträchtigen.

Schutz vor Viren

Kommen auf einem PC wechselbare Datenträger mit Fremddaten zum Einsatz, ist eine Virengefahr gegeben. Beispiele sind Desktop-Publishing-Programme, wo mehrere Autoren ihre Beiträge auf Diskette zur Verfügung stellen oder das Nutzen eines besseren Druckers, indem Daten mittels Disketten zwischen PC`s übertragen werden, aber auch die Installation neuer Programme.

Folgende Schutzmaßnahmen sind ein Muß:

Zuverlässige Datensicherung mit mindestens drei Generationen, ergänzt durch eine vierte, weiter zurückliegende Generation (s.o.).

Vor dem Einschalten des PC Disketten aus den Laufwerken entfernen.

Nur Originalsoftware verwenden.

Kennzeichnung der Datenträger und Einsatz eines Virensuchprogramms auf den beteiligten Rechnern. Virensuchprogramme sind nur dann geeignet, wenn sie mindestens halbjährlich aktualisiert werden können. Es ist eher nachteilig, wenn sich mehrere Stellen das gleiche Virenschutzprogramm beschaffen, da jedes Lücken hat. Besonders beim Datenträgertausch sollten unterschiedliche Virensuchprogramme eingesetzt werden.