Diese Webpräsenz des Datenschutzbeauftragten der Evangelischen Landeskirche Württemberg ist im Oktober 2011 umgezogen.
Die neue Webpräsenz finden Sie unter http://www.kirche-datenschutz.de
Umsetzung Verschlüsselungsverordnung
Mi, 09/03/2008 - 22:20 – DSB
Verordnungstext
Welches Schutzziel muss erreicht werden?
Welches Verschlüsselungsprogramm ist geeignet?
Verschlüsselung der Datensicherungen
Umgang mit Kennwörtern
eMail-Verschlüsselung
Verschlüsselung und Internetzugang
Seelsorge- und Beichtgeheimnis
Verordnungstext
Die Datenverschlüsselungsverordnung befindet sich im Rechtsteil des Datenschutzwebs, dort unter den "Landeskirchlichen Bestimmungen" im Unterordner "Verordnungen". Durch einen Mausklick hier! gelangen Sie direkt dahin. Mit der Rücktaste des verwendeten Browsers, gelangt man zu dieser Seite zurück.
Welches Schutzziel muss erreicht werden?
Eine fundierte Sicherheitsanalyse eines EDV-Einsatzes zu erstellen erfordert einigen Aufwand. Diesen zu leisten ist auch nicht immer erforderlich, insbesondere in einfachen Fällen genügt es, bestimmte Schutzziele zu formulieren. Betreibt man die EDV-Anlage dann so, dass diese gewährleistet sind, hat man die Forderungen einer tatsächlich durchgeführten Sicherheitsanalyse bereits miterfüllt. Ein solches Schutzziel ist, dass selbst dann, wenn der PC in die Hände Unbefugter gelangt, sich der Schaden auf das rein materielle beschränkt.
In Fremde Hände gelangen kann ein PC, insbesondere Notebooks, etwa durch Diebstahl, aber auch im Rahmen einer Entsorgung nach dem Ersatz durch neue Geräte oder im Reparatursfall. Dabei kann es sich um einen dienstlichen PC haben, es müssen jedoch auch die dienstlich genutzten privaten PC im Auge behalten werden.
Ein über das Materielle hinausgehender Schaden wäre etwa ein Bericht in den Medien, wonach in einer Diakonischen Bezirksstelle ein PC gestohlen wurde, auf dem sich auch ungeschützte Daten aus der dortigen Sucht- oder Schuldnerberatung befanden. Neben dem Imageschaden für die betroffene Beratungsstelle würde dies umgehend allgemein den Verdacht erwecken, dass dies in anderen kirchlichen Bereichen genauso der Fall sein könnte und allgemein die Bereitschaft, kirchliche Beratungsdienste in Anspruch zu nehmen, vermindern. Ein Vorfall bei einer Stelle zieht immer auch andere in Mitleidenschaft.
Bei einem bestehenden Internetzugang muss ein weiteres Schutzziel erreicht werden: Selbst wenn es jemandem gelungen sein sollte, ein sog. Trojanisches Pferd auf dem PC zu platzieren, das unbemerkt Dateien verschickt, ist der Schutz der Daten damit noch nicht aufgehoben.
Welches Verschlüsselungsprogramm ist geeignet?
Man kann hier grob drei Bereiche unterscheiden:
1. Die Software verschlüsselt ihre Daten von sich aus. Aus Sicht der Anwender ist dies die einfachste Lösung. Es ist mit ein Zweck der Freigabe von Software nach den EDV-Richtlinien, darauf hinzuwirken, dass bestimmte Anforderungen wie die Verschlüsselung bereits von der eingesetzten Software geleistet wird (oder zumindest daran gearbeitet wird, dass dies bei Folgeversionen der Fall ist) und nicht ergänzender Maßnahmen bedarf. Insofern liegt es auch im Interesse von Stellen, möglichst nur freigegebene Software einzusetzen. In aller Regel stellt eine Software, die auf einer Datenbank aufbaut, eine Verschlüsselung zumindest als Option bereit.
2. Genauso wie wichtige Unterlagen in einem Safe aufbewahrt werden, installiert man einen "Datensafe" auf dem PC und bewahrt die verwendete Software oder zumindest die Daten, die von dieser Software verwendet werden, darin auf. Ein solcher Datensafe ist ein Stück Software, das dem Betriebssystem eine bestimmte Datei als virtuelles Laufwerk unterzuschiebt, eine Technik, die man mittlerweile recht zuverlässig beherrscht. Nach dem Anmelden mit Benutzername und Kennwort an der Datensafe-Software erscheint das entsprechende Laufwerk, mit dem man wie mit einem echten arbeiten kann, nur dass die dort abgelegten Dateien ständig verschlüsselt sind. Meldet man sich an der Datensafe-Software ab, verschwindet das Laufwerk und es verbleibt lediglich eine verschlüsselte Datei auf dem Rechner.
3. Bei aller Technik kann es insbesondere in einfachen Fällen eine gute Lösung sein, wechselbare Datenträger zu verwenden, etwa (Zip-)Disketten, diese nur in die Laufwerke einzuschieben, wenn sie benötigt werden und ansonsten in einem "richtigen" Safe unter Verschluss zu halten. Dies wäre dann die materielle Realisierung der Ziffer 2. Solche Kleinsafes sind mittlerweile recht preiswert zu erhalten. Sie eignen sich auch gut dazu, Datensicherungen aufzubewahren.
Sofern man nach der dritten Methode arbeitet, muss überprüft werden, ob die verwendete Software, z.B. ein Textverarbeitungssystem, nicht automatisch Kopien der erzeugten Dokumente auf der Festplatte des verwendeten PC erstellt. Dies kann dadurch geschehen, dass ein Dokument mit einem sehr eigenartigen Wort erzeugt wird und nach Beenden der Software mittels der Suchfunktion des Betriebssystems geprüft wird, ob nicht eine weitere Datei vorhanden ist, die dieses Wort enthält. Dabei genügt es, die Suche auf Dateien einzuschränken, die am selben Tag erzeugt oder geändert wurden. Mit dieser Methode kann auch überprüft werden, ob eine als solche deklarierte Software auch tatsächlich verschlüsselt.
Auf Anfrage gibt der Datenschutzbeauftragte Auskunft über Produkte, die für einen Einsatz nach Ziffer 2 geeignet sind.
Verschlüsselung der Datensicherungen
Datensicherungssoftware enthält in aller Regel auch die Möglichkeit, die Sicherungen verschlüsselt anzufertigen. Die Träger für Datensicherungen sind klein und kompakt und stellen ein erhebliches Risiko dar. So können sie einen beachtlichen materiellen Wert darstellen, wenn auf ihnen teure Software gespeichert ist, es können aber auch die dort gespeicherten Daten Begehrlichkeiten wecken, so etwa die Patientendaten einer Diakoniestation für jemanden, der sich selbstständig machen möchte.
Soweit Datensicherungen nicht verschlüsselt sind, müssen sie sicher verschlossen aufbewahrt werden. Das Datenschutzgesetz macht keinen Unterschied zwischen Originaldaten und Datensicherungen.
Umgang mit Kennwörtern
Der Einsatz einer Verschlüsselung setzt einen qualifizierten Umgang mit den verwendeten Kennwörtern voraus. Dies organisatorisch zu bewältigen ist das Hauptproblem für eine Stelle, nicht etwa die Frage nach der Stärke der verwendeten Verschlüsselung oder ähnliche Einzelheiten. Wird ein Kennwort vergessen oder ist es aus sonstigen Gründen nicht mehr verfügbar, sind die Daten unwiederbringlich verloren. Zwar gibt es auch Verschlüsselungssoftware, die ein sog. Key-Recovery ermöglicht, allerdings setzt dies ein entsprechend organisiertes Umfeld voraus und macht nur Sinn, wenn ein Administrator vorhanden ist, der eine Vielzahl von Installationen dieser Software verwaltet, etwa beim Einsatz in Netzwerken oder wenn ein Betreuer für mehrere Stellen beauftragt ist.
Soweit nicht Amts- oder Berufsgeheimnisse zu wahren sind, handelt es sich um dienstliche Daten einer Stelle, nicht der Mitarbeiterin oder des Mitarbeiters. Es bietet sich dann an, ein verwendetes Kennwort aufzuschreiben und dieses an zwei geeigneten Stellen in einem verschlossenen und versiegelten Briefumschlag zu hinterlegen. Zur Versiegelung kann es ausreichend sein, den Briefumschlag rückseitig über den Klebefalz hinweg zu unterschreiben und die Unterschrift und den Klebefalz nochmals mit Tesafilm zu überkleben. Denkbar ist auch zusätzlich die Verwendung eines für die Stelle typischen Stempels.
Zur Aufbewahrung bietet es sich an, die Umschläge sicher verschlossen bei der eigenen Stellenleitung sowie bei der Benachbarten zu hinterlegen. Dabei ist zu berücksichtigen, dass normalerweise diese Umschläge nie benötigt werden. Es kann jedoch nicht völlig ausgeschlossen werden, dass in unvorhergesehenen Fällen, etwa bei einem Unfall des Kennwortinhabers, auf das Kennwort zurückgegriffen werden muss.
Bei Berufs- oder Amtsgeheimnissen bietet es sich ebenfalls an, das Kennwort zu notieren. Allerdings muss hier besonders sorgfältig vorgegangen werden. Das Notieren in einem Notizbuch, "getarnt" als Telefonnummer, würde in einem Rechtsstreit möglicherweise nicht genügen. Aufbewahrungsart und -ort müssen so sein, dass man "nicht drauf kommen kann".
Kennwörter und damit auch die rückversichernde Notierungen müssen genügend häufig gewechselt werden. Dabei kann jeweils geprüft werden, ob die Rückversicherung im Notfall auch geklappt hätte.
Vorschläge dazu, wie man zu sinnvollen Kennworten kommt, finden sich hier!
eMail-Verschlüsselung
Nach der Verschlüsselungsverordnung dürfen ab 01.01.2005 auch eMails nur noch verschlüsselt versandt werden. Die dabei erforderliche Vorgehensweise muss zentral für alle Kommunikationspartner gelöst werden und wird zurzeit (März 2004) vom Referat Informationstechnologie des Oberkirchenrats eruiert.
Bis die entsprechende Technologie zur Verfügung steht, muss weiterhin davon Abstand genommen werden, personenbezogene Daten per eMail zu versenden, wenn nicht offenkundig ist, dass dies im Interesse des Betroffenen liegt oder wenn diese nicht aus öffentlichen Quellen entnommen werden könnten.
Die einzusetzende Technologie wird für den Anwender nur geringe Umstände mit sich bringen, er muss allenfalls vor dem Versenden einer eMail anklicken, ob diese verschlüsselt oder signiert (oder beides) werden soll. Bei einem zentralen Server in einem Netzwerk wird auch dies unter Umständen automatisch erledig.
Trotz der einfachen Handhabung ist die dahinter stehende Technik komplex. Da es sich aber um eine sehr grundlegende Technik der Informationsgesellschaft handelt, macht es Sinn, sich über die technischen Hintergründe sog. Zertifikate zu informieren.
Bereits an dieser Stelle sei auf einen überaus wichtigen Aspekt hingewiesen: Das ganze Verfahren erfordert, dass die teilnehmende Person oder Stelle einem sog. Stammzertifikat das Vertrauen ausspricht. Das ist so ähnlich, wie wenn man die Echtheit aller Ausweise, die den Stempel der ausstellenden Passbehörde tragen und die auch sonst das typische Aussehen von Ausweisen haben, glaubt.
Kritisch ist dabei, dass dieser Akt des Aussprechens des Vertrauens anwenderseitig sehr einfach ist: Es erscheint eine Meldung mit der Abfrage, ob man des Stammzertifikat akzeptiert oder nicht. Für einen unkundigen Anwender ist die Bedeutung des Vorgangs nicht unmittelbar erkennbar. Akzeptiert er jedoch das Stammzertifikat, akzeptiert er immer auch alle damit unterzeichneten Zertifikate als echt bzw. sein PC verhält sich so, wie es bei echten Zertifikaten sein soll. Es ist jedoch für kundige Personen nicht sehr schwierig, selbst Stammzertifikate zu erzeugen und nach Opfern zu suchen, denen sie diese "andrehen" können. Diese Aspekt muss von hinreichend vielen Personen hinreichend verstanden sein, soll es zu einer sicheren Kommunikation mit eMails kommen.
Verschlüsselung und Internetzugang
Gewährleisten bedeutet im Allgemeinen, dass es der Überwindung von mindestens zweier Hürden bedarf, um diese zu brechen. Wird der Schutz bei einem an das Internet angeschlossenen PC gebrochen, bietet die Verschlüsselung eine weitere Hürde. Dies ist allerdings nur dann der Fall, wenn die verschlüsselten Dateien nicht in Arbeit sind, man sich also bei einem Datensafe abmeldet, bevor man ins Internet geht.
Zunehmend verlangt jedoch Software bei ihrem Einsatz eine offene Internetverbindung bei gleichzeitiger Zugriffsmöglichkeit auf alle Daten. Hier wäre zunächst datenschutzrechtlich zu prüfen, ob dies nicht bereits eine Übermittlung darstellt (auch das Bereithalten einer Möglichkeit zur Einblicknahme ist eine Übermittlung) bzw. ob nicht eine Datenverarbeitung im Auftrag dahinter steht. Auch wenn diese Punkte geklärt sind, muss qualifiziert geprüft werden, ob der Datenschutz auch technisch gewahrt bleibt. Sofern etwa gesundheitliche Daten verarbeitet werden, verlangt das Datenschutzgesetz eine Vorabkontrolle beim Einsatz dieser Software.
Seelsorge- und Beichtgeheimnis
Im novellierten Datenschutzgesetz vom 7. November 2002 fand hier eine Änderung statt. Die bisherige Bestimmung nach § 1 Abs. 4 DSG-EKD
(4) Pfarrer und Pfarrerinnen sowie sonstige kirchliche Mitarbeiter und Mitarbeiterinnen dürfen in Wahrnehmung ihres Seelsorgeauftrages eigene Aufzeichnungen führen und verwenden; diese dürfen nicht in automatisierten Verfahren verarbeitet werden.
wurde abgeändert in:
;diese dürfen Dritten nicht zugänglich sein.
Damit stellt sich die Frage, inwieweit personenbezogene Angaben aus diesem Bereich edv-technisch abgespeichert werden dürfen. Zunächst kommt allenfalls in Frage, dass vorübergehend auf der Basis einer qualifizierten Verschlüsselung gespeichert wird, des Weiteren muss die Erfordernis einer Aufzeichnung nachvollziehbar begründet werden können. Auch wenn diese gegeben ist, muss hinreichende Erfahrung beim Umgang mit EDV vorausgesetzt werden. Jemand, der nur geringe Kenntnisse hat, läuft in erheblichem Umfang das Risiko, dass die Daten doch Dritten zugänglich werden. Zum einen besteht das Risiko, dass das verwendete System temporär im Hintergrund abspeichert, bei Textverarbeitungssystemen ist diese oft die Standardeinstellung. Zum anderen kann man auch Kennwörter relativ einfach ausspähen, entweder durch im Hintergrund laufende Software (sog. Keylogger) oder die Hardwarevariante davon, zwischen Tastatur und Computer eingeschleifte Zwischenstecker. Dann nützt auch die beste Verschlüsselung nichts mehr. Jemand, der solche Möglichkeiten nicht aus eigener Kraft zuverlässig abschätzen kann, wird dem Seelsorgegeheimnis nicht gerecht, wenn er dennoch edv-technisch Angaben notiert.
Diese Überlegungen machen deutlich, dass die Änderung nicht darauf zielt, nun das edv-technische Führen von Aufzeichnungen im Rahmen des Seelsorgeauftrages zu befördern, sondern bestimmte Formen wie etwa Seelsorge über das Internet nicht ausschließen möchte. In solchen Fällen ist aber den Beteiligten bekannt, dass ein nicht völlig eliminierbares Risiko besteht, dass es zu einer unbefugten Kenntnisnahme kommen kann.
Nicht diskutabel sind Aufzeichnungen im Rahmen des Beichtgeheimnisses, hier würde jede Art von Aufzeichnung das Risiko laufen, dass es gebrochen wird.
