EU DS-GVO und kirchlicher Datenschutz – Sichere E-Mail nach KDG-DVO ab 01. März 2019

Rechtliche Vorgaben | 26. FEB 2019

Datenschutzbestimmungen für kirchliche EinrichtungenDie Europäische Datenschutz-Grundverordnung (EU DS-GVO) gesteht in Artikel 91 Nr. 1 Kirchen und religiösen Vereinigungen oder Gemeinschaften zu, eigene Bestimmungen zum Datenschutz anzuwenden, sofern sie im Wesentlichen mit der EU DS-GVO übereinstimmen.

Die evangelische Kirche hat ihr EKD-Datenschutzgesetz (DSG-EKD) nach den EU DS-GVO Vorgaben bereits zum 24. Mai 2018 umfassend novelliert. Es wurden Besonderheiten im kirchlichen Datenschutz berücksichtigt. Mit Bezug auf die E-Mail-Sicherheit stimmt das DSG-EKD mit der EU DS-GVO überein.

Die katholische Kirche hat eine neue Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) am 19. November 2018 beschlossen. Die Inkraftsetzung ist zum 1. März 2019 beabsichtigt.

Die KDG-DVO findet Anwendung bei der Verarbeitung personenbezogener Daten durch Diözese, Kirchengemeinden, Kirchenstiftungen, Kirchengemeindeverbände, den Caritasverband und die entsprechenden Untergliederungen und Fachverbände sowie sonstige kirchliche Körperschaften, Stiftungen, Anstalten, Werke, Einrichtungen und Rechtsträger.

Die Sicherheitsbestimmungen in der KDG-DVO für den Umgang mit E-Mails haben wir im Folgenden für Sie zusammengefasst.

Verschlüsselung ab Datenschutzklasse II

Der kirchliche Datenschutz legt als technische und organisatorische Maßnahme in § 12 KDG-DVO Datenklassen mit zugehörigen Schutzniveaus fest. Hier wird generell eine verschlüsselte Datenübertragung bestimmt. Darunter fällt neben E-Mail auch der Datentransfer über andere Schnittstellen wie FTP oder die Cloud.

§ 12 KDG-DVO

(1) Der Datenschutzklasse II unterfallen personenbezogene Daten, deren missbräuchliche Verarbeitung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann. Hierzu gehören z.B. Daten über Mietverhältnisse, Geschäftsbeziehungen sowie Geburts- und Jubiläumsdaten.

e) Die Übermittlung personenbezogener Daten außerhalb eines geschlossenen und gesicherten Netzwerks (auch über automatisierte Schnittstellen) hat grundsätzlich verschlüsselt zu erfolgen. Das Verschlüsselungsverfahren ist dem aktuellen Stand der Technik und dem jeweiligen Sicherheitsbedarf entsprechend angemessen auszuwählen.

In Kapitel 5 “Besondere Gefahrenlagen” findet sich in § 25 KDG-DVO eine Anweisung explizit für E-Mails: Ab Klasse II müssen E-Mails, die über das Internet versendet werden, nach dem Stand der Technik verschlüsselt sein.

§ 25 KDG-DVO

(1) E-Mails, die personenbezogene Daten der Datenschutzklasse II oder III enthalten, dürfen ausschließlich im Rahmen eines geschlossenen und gesicherten Netzwerks oder in verschlüsselter Form mit geeignetem Verschlüsselungsverfahren übermittelt werden.

Kirchen und Diözesen benötigen eine Verschlüsselungslösung, die E-Mails im Internet sicher und nachweisbar verschlüsselt. Für einen reibungslosen Einsatz muss die Lösung auch mit Kontakten funktionieren, die selbst über keine Verschlüsselungslösung verfügen. Privatleute und ehrenamtliche Mitarbeiter nutzen üblicherweise Freemailer-Accounts, bei denen der Einsatz von Verschlüsselungstechnik nicht vorausgesetzt werden kann. Der E-Mail-Verkehr mit diesen Kontakten kann mit Z1 SecureMail Gateway einfach verschlüsselt werden, indem die E-Mails als verschlüsselte PDFs oder über ein sicheres Webportal zugestellt werden.

Kann der kirchliche Datenschutz mit TLS umgesetzt werden?

Diese Frage haben wir bereits in folgendem Blogbeitrag zur EU DS-GVO beantwortet, der eins zu eins auf den kirchlichen Datenschutz übertragbar ist: Kann ich E-Mails mit TLS datenschutzkonform gemäß EU DSGVO verschlüsseln?

Verschlüsselung großer Dateien ab Schutzklasse II

Wenn größere Datenmengen der Schutzklasse II oder höher sicher ausgetauscht werden sollen, empfiehlt sich der Einsatz unserer sicheren Datentransferlösung Z1 SecureHub. Über ein Webportal werden Daten sehr einfach verschlüsselt übertragen. Zusätzlich ist ein Plug-in für Ihr Mailprogramm verfügbar, um größere E-Mail-Anhänge automatisch auf das Webportal hochzuladen.

Verschlüsselte Ablage von E-Mails auf Mobilgeräten

Die Datenschutzklasse III verlangt zusätzlich nach einer verschlüsselten Speicherung auf Mobilgeräten.

§ 13 KDG-DVO

(1) Der Datenschutzklasse III unterfallen personenbezogene Daten, deren missbräuchliche Verarbeitung die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann. Hierzu gehören insbesondere die besonderen Kategorien personenbezogener Daten gemäß § 4 Ziffer 2. KDG sowie Daten über strafbare Handlungen, arbeitsrechtliche Rechtsverhältnisse, Disziplinarentscheidungen und Namens- und Adressangaben mit Sperrvermerken.

(2) …

a) Ist es aus dienstlichen Gründen zwingend erforderlich, dass Daten der Datenschutzklasse III auf mobilen Geräten im Sinne des § 4 Absatz 2 oder Datenträgern gespeichert werden, sind diese Daten nur verschlüsselt abzuspeichern. Das Verschlüsselungsverfahren ist dem aktuellen Stand der Technik und dem jeweiligen Sicherheitsbedarf entsprechend angemessen auszuwählen.

E-Mails, die auf mobilen Endgeräten abgerufen werden, sind üblicherweise unverschlüsselt in der Mailbox gespeichert. Wer Zugriff auf das Endgerät hat, kann auch auf die E-Mails zugreifen. Z1 SecureMail End2End liefert die Technologie, mit der E-Mails verschlüsselt in der Mailbox abliegen und zum Lesen auf dem Endgerät entschlüsselt werden müssen.

Mit Z1 Lösungen zum Stand der Technik

Millionen E-Mails werden täglich mit Z1 SecureMail Gateway nach dem Stand der Technik verschlüsselt. Bereits vielfach zum DS-GVO konformen Schutz personenbezogener Daten im Einsatz, bietet Zertificon auch für die kirchlichen Einrichtungen einfach zu integrierende Lösungen, die den Stand der Technik in der E-Mail-Verschlüsselung für alle Mitarbeiter verfügbar machen.

Quelle: Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO)