Unsere WebSeite verwendet Cookies (kleine Textdateien, die sie auf Ihrem Rechner ablegt); dadurch bleibt bistum-trier.de für Sie möglichst leicht zugänglich und komfortabel. Näheres finden Sie in unserer Datenschutzerklärung . Sie können in den Einstellungen Ihres Browsers bestimmen, ob er Cookies akzeptiert oder nicht. Wenn Sie auf unserer Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu.

Verordnungen und Bekanntmachungen - Samstag, 1. Oktober 2016 - Jahrgang: 160 - Artikel: 193

Erste Änderung der Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO)

Die Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) vom 20. Oktober 2003 (KA 2003 Nr. 197; HdR Nr. 830.5) wird wie folgt geändert:

I. Änderung der KDO-DVO

1. In Ziffer I. Absatz 1 Satz 2 wird die Angabe „§ 18b Abs. 2 KDO“ ersetzt durch die Angabe „§ 21 Abs. 2 KDO“.

2. Unter Ziffer IV. wird die Überschrift „Anlage zu § 6 KDO“ ersetzt durch „Anlage 1 zu § 6 KDO“.

3. Zu Ziffer IV. wird eine neue Anlage 2 mit folgendem Wortlaut erlassen:

Anlage 2 zu § 6 KDO:

1.0 Aufgaben und Ziele dieser Anlage

Diese Anlage regelt den Einsatz von Arbeitsplatzcomputern in kirchlichen Stellen. Sie ist als Ergänzung zu § 6 der Anordnung über den Kirchlichen Datenschutz (KDO) und den zu ihr ergangenen bereichsspezifischen Datenschutzregelungen in ihren jeweils geltenden Fassungen anzusehen.

2.0 Arbeitsplatzcomputer/Datenverarbeitungsanlage

  • Arbeitsplatzcomputer (APC) im Sinne dieser DVO sind alle selbständigen Systeme der Datenverarbeitung, die von einer kirchlichen Stelle im Sinne des § 1 Abs. 2 KDO zur Erfüllung ihrer Aufgaben genutzt werden.
  • Sie können als Einzelgerät (Stand-Alone-PC) oder in Verbindung mit anderen APC (Netzwerken) bzw. anderen Systemen als Datenverarbeitungsanlage installiert sein.
  • Als APC sind z. B. auch tragbare Geräte (Laptops bzw. Notebooks oder Netbooks), Tabletcomputer und Mobiltelefone sowie Drucker bzw. Kopierer mit eigener Speichereinheit zu behandeln.

3.0 Allgemeine Grundsätze

3.1 Verantwortlichkeit der Mitarbeiter

  • Mitarbeiter im Sinne dieser Anlage sind über die in § 2 Abs. 12 KDO genannten Beschäftigten hinaus auch ehrenamtlich für kirchliche Stellen tätige Personen, die APC verwenden.
  • Jeder Mitarbeiter trägt die datenschutzrechtliche Verantwortung für eine vorschriftsmäßige Ausübung seiner Tätigkeit. Es ist ihm untersagt, personenbezogene Daten zu einem anderen als dem in der jeweils rechtmäßigen Aufgabenerfüllung liegenden Zweck zu verarbeiten oder zu übermitteln.

3.2 Verantwortlichkeit der Dienststellenleiter

  • Die jeweils als Dienststellenleiter verantwortliche Person ist durch den Generalvikar oder durch die sonst vorgesetzte Dienststelle zu bestimmen.
  • Der Dienststellenleiter legt fest, welche im Sinne der KDO schutzwürdigen Daten auf Datenverarbeitungsanlagen gespeichert und verarbeitet werden.
  • Ihm obliegt die zutreffende Einordnung der jeweiligen Daten in die Datenschutzklassen nach diesen Richtlinien.
  • Der Dienststellenleiter klärt die Mitarbeiter über die Gefahren, die aus der Nutzung einer Datenverarbeitungsanlage erwachsen, sowie über den möglichen Schaden, der kirchlichen Einrichtungen aus einer Datenschutzverletzung erwachsen kann, auf.
  • Der Dienststellenleiter stellt sicher, dass ein Konzept zur datenschutzrechtlichen Ausgestaltung der Datenverarbeitungsanlagen erstellt wird.
  • Der Dienststellenleiter kann seine Aufgaben und Befugnisse nach dieser Durchführungsverordnung durch schriftliche Anordnung auf geeignete Mitarbeiter übertragen.

3.3 Technische und organisatorische Maßnahmen

Mit der Eingabe, Speicherung, Verarbeitung und Nutzung personenbezogener Daten auf Anlagen der elektronischen Datenverarbeitung darf erst begonnen werden, wenn die Daten verarbeitende Stelle die nach der Anlage zu § 6 KDO und die nach dieser Richtlinie erforderlichen technischen und organisatorischen Maßnahmen zum Schutz dieser Daten getroffen hat.

3.4 Mindestanforderungen

Unabhängig vom Grad der Schutzbedürftigkeit der Daten sind dabei zumindest folgende Maßnahmen zu treffen:

  • Das nach § 3a Abs. 4 KDO zu führende Verzeichnis hat darüber hinaus den regelmäßigen Nutzer, den Standort und die interne Kennzeichnungs-Nummer zu enthalten.
  • Alle bei der Verarbeitung personenbezogener Daten beteiligten Personen haben die Verpflichtungserklärung gemäß § 4 Abs. 2 Satz 1 KDO abzugeben.
    Den Mitarbeitern, die die Verpflichtungserklärung unterschrieben haben, sind die jeweils gültige Anordnung über den Kirchlichen Datenschutz, etwaige Verordnungen, Dienstanordnungen oder Dienstvereinbarungen und die in ihrem Arbeitsbereich zu beachtenden bereichsspezifischen Datenschutzregelungen (Schulen, Krankenhäuser, Friedhöfe etc.) in geschäftsüblicher Weise zugänglich zu machen.
  • Es ist sicherzustellen, dass auf dienstlich genutzten Anlagen der elektronischen Datenverarbeitung ausschließlich autorisierte Programme zu dienstlichen Zwecken verwendet werden. Die Benutzung privater Programme ist unzulässig.
  • Werden Daten aus den Melderegistern der kommunalen Meldebehörden in kirchlichen Rechenzentren verarbeitet, so orientieren sich die Schutzmaßnahmen an den BSI-IT-Grundschutzkatalogen. Rechenzentren im Sinne dieser Vorschrift sind die für den Betrieb von größeren, zentral in mehreren Dienststellen eingesetzten Informations- und Kommunikationssystemen erforderlichen Einrichtungen.

4.0 Datenschutzklassen

  • Das Ausmaß der möglichen Gefährdung personenbezogener Daten bestimmt Art und Umfang der Sicherungsmaßnahmen. Zur Erleichterung der Einordnung bedient sich diese Anlage der Definition dreier Datenschutzklassen, die sich aus der Art der zu verarbeitenden Daten ergeben. Dem Dienststellenleiter, der die Einordnung vornimmt, steht es frei, aus Gründen des Einzelfalles die zu verarbeitenden Daten anders einzuordnen als hier vorgesehen. Diese Gründe sollen kurz dokumentiert werden.
  • Bei der Einordnung in die einzelnen Datenschutzklassen ist auf die Daten abzustellen, die vom Benutzer bewusst bearbeitet und gespeichert werden.

4.1 Datenschutzklasse I

Zur Datenschutzklasse I gehören personenbezogene Daten, deren Missbrauch keine besonders schwerwiegende Beeinträchtigung des Betroffenen erwarten lässt. Hierzu gehören insbesondere Adressangaben ohne Sperrvermerke, z. B. Berufs-, Branchen- oder Geschäftsbezeichnungen.

4.2 Datenschutzklasse II

Zur Datenschutzklasse II gehören personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann. Hierzu gehören z. B. Daten über Mietverhältnisse, Geschäftsbeziehungen sowie Geburts- und Jubiläumsdaten usw.

4.3 Datenschutzklasse III

Zur Datenschutzklasse III gehören personenbezogene Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann. Hierzu gehören z. B. Daten über kirchliche Amtshandlungen, gesundheitliche Verhältnisse, strafbare Handlungen, religiöse oder politische Anschauungen, die Mitgliedschaft in einer Religionsgesellschaft, arbeitsrechtliche Rechtsverhältnisse, Disziplinarentscheidungen usw. sowie Adressangaben mit Sperrvermerken.

4.4 Nicht elektronisch zu verarbeitende Daten

Daten, deren Kenntnis dem Beicht- oder Seelsorgegeheimnis unterliegen sowie Daten über die Annahme einer Person an Kindes Statt (Adoptionsgeheimnis) sind in besonders hohem Maße schutzbedürftig. Ihre Ausspähung oder Verlautbarung würde dem Vertrauen in die Verschwiegenheit katholischer Dienst stellen und Einrichtungen schweren Schaden zufügen. Daher dürfen diese Daten nicht auf APC verarbeitet werden, es sei denn, es handelte sich um aus dem staatlichen Bereich übernommene Daten.

4.5 Einordnung in die Datenschutzklassen

  • Bei der Einordnung der zu speichernden personenbezogenen Daten in die vorgenannten Schutzklassen ist auch deren Zusammenhang mit anderen gespeicherten Daten, der Zweck ihrer Verarbeitung und das anzunehmende Missbrauchsinteresse zu berücksichtigen.
  • Die Einordnung spricht der Dienststellenleiter aus; er soll einen etwa bestellten betrieblichen Datenschutz beauftragten und den Diözesandatenschutzbeauftragten dazu anhören.
  • Wenn keine Einordnung festgelegt ist, gilt automatisch die Datenschutzklasse III, sofern nicht die Voraussetzungen der Ziffer 4.4 vorliegen.

5.0 Besondere Gefahrenlagen

5.1 Nutzung privater Datenverarbeitungssysteme zu dienstlichen Zwecken

Die Verarbeitung personenbezogener Daten auf privaten Datenverarbeitungssystemen zu dienstlichen Zwecken ist grundsätzlich unzulässig. Unterbestimmten Voraussetzungen kann sie als Ausnahme vom Dienststellenleiter genehmigt werden. Die Genehmigung erfolgt schriftlich unter Nennung der Gründe.

5.2 Fremdzugriffe

Der Zugriff aus und von anderen Datenverarbeitungsanlagen durch Externe (z. B. Fremdfirmen, fremde Dienststellen) schafft besondere Gefahren hinsichtlich der Ausspähung von Daten. Minimalanforderung ist eine Verpflichtung des Externen auf die KDO. Art und Umfang der Zugriffe sind auf ein Mindestmaß zu reduzieren und gesondert zu regeln. Für die Fernwartung gilt § 8 KDO entsprechend.“

II. Inkrafttreten

Die Regelungen in Abschnitt I treten am 1. September 2016 in Kraft.

 

Trier, den 30. August 2016

 

(Siegel)

Msgr. Dr. Georg Bätzing

Bischöflicher Generalvikar

Weiteres:
 /section>