Zum 1.10.2015 erfuhr die Durchführungsverordnung zur Anordnung über den kirchlichen Datenschutz (KDO-DVO) eine erhebliche Änderung. Dem § 6 KDO wurde eine 2. Anlage angefügt, die den Einsatz von Arbeitsplatzcomputern in kirchlichen Stellen regelt. Diese Regelung stand bis dahin neben den gesetzlichen Vorgaben und hat durch die Eingliederung in die KDO-DVO nunmehr Rechtscharakter. In diesem Zusammenhang wurden die bisherigen IT-Richtlinien neu erlassen (die ursprüngliche Richtlinie aus dem Jahr 1994 tritt außer Kraft), die einen Mindeststandard für den kirchlichen Datenschutz definieren und die überdiözesane Zusammenarbeit erleichtern sollen. Die wichtigsten Inhalte im Überblick:
Anlage 2 zu § 6 KDO
Definition von Mindestanforderungen
Das Verfahrensverzeichnis muss nunmehr den regelmäßigen Nutzer, den Standort und die interne Kennzeichnungs-Nummer benennen.
Verpflichtung aller an der Verarbeitung personenbezogener Daten beteiligten Personen auf das Datengeheimnis.
Verwendung ausschließlich autorisierter Programme zu dienstlichen Zwecken und Verbot der Benutzung privater Programme.
Bei der Verarbeitung von Daten aus den Melderegistern der kommunalen Meldebehörden in kirchlichen Rechenzentren sind die Schutzmaßnahmen an den BSI-IT-Grundschutzkatalogen zu orientieren.
Nicht elektronisch zu verarbeitende Daten
Daten, deren Kenntnis dem Beicht-, Seelsorge- oder Adoptionsgeheimnis unterliegen, sind in besonders hohem Maße schutzbedürftig und dürfen grundsätzlich nicht auf Arbeitsplatzcomputern verarbeitet werden.
Nutzung privater Datenverarbeitungssysteme zu dienstlichen Zwecken (BYOD)
Die Verarbeitung personenbezogener Daten auf privaten Datenverarbeitungssystemen zu dienstlichen Zwecken ist grundsätzlich unzulässig.
Fremdzugriffe durch Externe
Verpflichtung von Externen auf die KDO, unabhängig davon, ob es sich bei den Externen um kirchliche oder um nicht-kirchliche Stellen handelt.
IT-Richtlinien zur Umsetzung von Anlage 2
Zu den in der Anlage 2 definierten drei Datenschutzklassen werden zunächst die verschiedenen Schutzniveaus und die damit verbundenen Mindestanforderungen definiert. Davon unabhängig sind folgende Maßnahmen umzusetzen bzw. Aspekte zu beachten:
Erstellung und Umsetzung eines Datensicherungskonzeptes
Bei der Nutzung von Cloud-Dienstleistungen ist der Auftragnehmer auf die KDO zu verpflichten; der physikalische Speicherort der Daten muss im Geltungsbereich des BDSG liegen.
Im Falle einer im Ausnahmefall genehmigten Datenverarbeitung auf privaten Geräten, ist der Nutzer auf die Einhaltung der IT-Richtlinie zu verpflichten. Zudem muss er erklären, personenbezogene Daten durch die Dienststelle und auf deren Anforderung löschen zu lassen. Letztlich wird der Dienststelle das Recht eingeräumt, die gespeicherten dienstlichen Daten aus wichtigem Grund auch ohne Einwilligung des Nutzers zu löschen und, falls dies unumgänglich ist, die auf dem Arbeitsplatzcomputer gespeicherten privaten Daten zu löschen.
Anmerkung: Hier stellt sich die Frage der Umsetzung. Befindet sich das private Gerät in der Sphäre des Arbeitnehmers, kann eine Löschung durch die Dienststelle mangels unmittelbaren Zugriffs auf das Gerät kaum realisiert werden. Denkbar wäre allenfalls eine automatisierte Löschung der Daten, wenn sich das Gerät innerhalb eines bestimmten Zeitraumes nicht mit dem Netz der Dienststelle verbindet. Fraglich ist in diesem Zusammenhang die rechtliche Zulässigkeit der gegebenenfalls parallel stattfindenden Löschung privater Daten.
Wartungsarbeiten in der Dienststelle durch Externe
Dem externen Wartungstechniker darf nicht die Möglichkeit eingeräumt werden, Kopien zu erstellen. Sofern diesem für die Wartungstätigkeit ein Passwort bekannt gegeben werden muss, ist dieses nach Abschluss der Wartungsarbeit unverzüglich zu ändern.