Mit der aktuellen Anpassung des KDG für den katholischen kirchlichen Datenschutz wurde auch die Durchführungsverordnung des KDG, die KDG-DVO angepasst. Ich habe ja schon manchmal den Eindruck, dass es sich um so etwas wie das unbekannte Wesen bei manchen Organisationen handelt, was ich schade finde, da ich, wie an anderer Stelle schon erwähnt habe, die DVO für wirklich hilfreich für die Praxis halte.
Der Text der KDG-DVO kann hier abgerufen werden.
Was sind denn nun die wesentlichen Neuerungen? Erwähnen möchte ich hier die folgenden Punkte:
§ 2 Schulungspflicht
§ 2 KDG-DVO, der sich unter anderem mit der Verpflichtung zur Belehrung und Verpflichtung auf das Datengeheimnis geregelt beschäftigte, erhält einen neuen Absatz 7, der ausdrücklich regelmäßige Schulung von Mitarbeitenden verlangt. Weitere Ausführungen gibt es zur Schulungspflicht allerdings nicht.
Der Unterschied zwischen der bisher schon geregelten »Belehrung« und der »Schulung« ist nach der Begründung, dass eine Belehrung sich auf das konkrete Aufgabengebiet bezieht und Schulungen allgemeiner sein können.
§ 3: Verpflichtungserklärungen
Im Rahmen der Regelungen zur Verpflichtung auf das Datengeheimnis wurde die Bestimmung, dass auf Grundlage der KDO abgegebene Erklärungen wirksam bleiben, gestrichen. Das könte nahelege, dass älter Verpflichtungen nach der KDO möglicherweise nicht mehr wirksam sein sollen. Eigentlich unwahrscheinlich, aber wer sicher gehen will, sollte seine Erklärungen auf einen aktuellen Stand bringen und unterschreiben lassen.
§ 4 ( IT-Systeme) erfährt leichte sprachliche Änderungen. In § 6 (Technische und organisatorische Maßnahmen) bekommt ebenfalls nur kleinere Änderungen an manchen Stellen. Neu als eigener Punkt ergänzt, wird die Pflicht, den Grundsatz der Datenminimierung bei der Auswahl von IT-Systemen zu berücksichtigen.
§ 7 : Überprüfung
§ 7 KDG-DVO, wo es um die Gewährleistung der Sicherheit der Verarbeitung hinsichtlich der getroffenen technischen und organisatorischen Maßnahmen geht und dem Verantwortlichen auferlegt wird, regelmäßig, mindestens jedoch im Abstand von jeweils zwei Jahren, diese auf ihre Wirksamkeit zu überprüfen, wir ergänzt um weitere Regelungen zum Nachweis der Überprüfungen. Es wird präzisiert, dass nicht nur auf geeignete Zertifikate gemäß § 26 Abs. 4 KDG verwiesen werden kann,sondern auch durch Zertifikate, welche sich “an den Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI)” oder an vergleichbaren Schutzstandard (insbesondere ISO/IEC 27001) orientieren.
§ 9 ff. : Datenschutzklassen und Datenschutzniveau
Änderungen gabe es auch hinsichtlich der Datenschutzklassen und des Datenschutzniveaus. Ausdrücklich geregelt wird nun bereits in Klasse I eine Mehr-Faktor-Authentifizierung für sicherheitskritische Bereiche und für Zugriffe außerhalb gesicherter Netze (§ 11 Abs. 2 lit. b)). In Klasse II wird eine regelmäßige Erneuerung in Übereinstimmung mit den Empfehlungen des BSI nun nicht mehr apodiktisch vorgesehen, ist also entfallen. Passwörter müssen »ausreichend komplex« sein und die Erneuerung muss »nach dem jeweiligen Sicherheitsbedarf« erfolgen. Alternative Verfahren, die dem Stand der Technik entsprechen sind ausdrücklich erlaubt (§ 12 Abs. 2 lit. a)).
§ 18: Cloud-Systeme
Cloud-Systeme in einem neuen § 18 KDG-DVO geregelt. Es sollen “primär” bereits geprüfte und freigegebene Cloud-Systeme eingesetzt werden (Abs. 1). Für die Nutzung anderer Cloud-Dienste wird ein Kriterienkatalog genannt, der Aspekte wie den Speicherort, Portabilität und Abhängigkeit vom Anbieter berücksichtigt (Abs. 2). Vor der Nutzung des Cloud-Dienstes ist in Abhängig von der Risikoanalyse eine Exit-Strategie zu definieren (z.B. hinsichtlich Datenlöschung und Datenübertragung), Abs. 3.
§ 21: Nutzung privater Systeme
Hervorzuheben, da in der Praxis sicher relevant, sind die Änderungen in § 21 KDG-DVO. Bisher war nur die automatische Weiterleitung dienstlicher E-Mails untersagt. Diese Regelung hat man sinnvollerweise ergänzt um ein Verbot der Weiterleitung personenbezogener Daten an private Accounts generell. Ausnahmeregelungen möglich, “soweit das datenschutzrechtliche Schutzniveau, insbesondere nach dem KDG oder dieser Durchführungsverordnung, nicht unterschritten wird” (§ 21 Abs. 4 KDG-DVO).
Sicher interessant zu beachten für Schulen im kirchlichen Umfeld.
§ 25: Übermittlung personenbezogener Daten per Fax
Manchen Datenschützern sind Faxgeräte ja schon lange ein Dorn im Auge, auch wenn sie jetzt nur noch in machen Bereichen eingesetzt werden (da aber meist gezwungenermaßen).
Die Übermittlung personenbezogener Daten per Fax wird nun als grundsätzlich unzulässig angesehen.
In spezifischen Bestimmungen können Ausnahmen, insbesondere Übergangsbestimmungen, vorgesehen werden; dabei sind die Vorschriften der §§ 5 ff. und die jeweils aktuellen Sicherheitsstandards zu beachten. Fraglich ist, was hier mit Bestimmungen gemeint ist.
Es ist sinnvoll die eigenen Datenschutz- und Sicherheitskonzepte anhand der neuen Regelungen auf Aktualität zu überprüfen.
