Werden personenbezogene Daten für kirchliche Einrichtungen verarbeitet, geschieht dies im Wege der Auftragsverarbeitung gemäß § 29 Gesetz über den Kirchlichen Datenschutz (KDG) in der Fassung vom 20.11.2017 bzw. § 30 Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz- DSG-EKD) in der Fassung vom 15.11.2017. Das KRZ-SWD verarbeitet Daten ausschließlich gemäß der entsprechenden vertraglichen Vereinbarungen und Weisungen der Auftraggeber.
Die Einhaltung des Datenschutzes wird durch den betrieblichen Datenschutzbeauftragten überwacht. Alle Mitarbeiter des KRZ-SWD sind auf das Datengeheimnis verpflichtet und werden regelmäßig in Datenschutz- und IT-Sicherheitsfragen geschult.
Um die hohen datenschutzrechtlichen Anforderungen an ein kirchliches Rechenzentrum zu erfüllen, werden umfassende technische und organisatorische Maßnahmen ergriffen:
Zutrittskontrolle
Der Zutritt zu Gebäuden und Räumen des KRZ-SWD, in denen personenbezogene Daten erhoben, verarbeitet und genutzt werden, ist nur für berechtigte Personen möglich. Es sind besondere Schutzbereiche eingerichtet, bei denen zusätzliche Maßnahmen wie Multi-Faktor-Authentifizierung und Videoüberwachung eingesetzt werden. Ergänzt durch eine Alarmanlage und einen Sicherheitsdienst wird der Zutritt von Unberechtigten wirksam verhindert.
Zugangskontrolle
Durch die Zugangskontrolle wird verhindert, dass Daten und Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Zugang zu den Systemen des KRZ-SWD erfordert die Kenntnis von Zugangsberechtigungen. Es werden personalisierte Accounts vergeben, ohne die auf kein System zugegriffen werden kann.
Zugriffskontrolle
Die Zugriffskontrolle gewährleistet, dass Benutzer nur auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können. Dazu sind für interne Systeme und für Kundensysteme Rollen- und Berechtigungskonzepte vorhanden, die den Zugriff auf den erforderlichen Personenkreis beschränken.
Weitergabekontrolle
Die Weitergabekontrolle gewährleistet, dass bei der Übermittlung personenbezogener Daten sowie beim Transport entsprechender Datenträger diese nicht unbefugt gelesen, verändert oder gelöscht werden können. Bei der elektronischen Übermittlung werden Verschlüsselungsverfahren gemäß dem Stand der Technik eingesetzt.
Verfügbarkeitskontrolle
Personenbezogene Daten müssen vor zufälliger Zerstörung oder Verlust geschützt sein. Hierzu ergreift das KRZ-SWD umfassende Maßnahmen. Alle Daten werden regelmäßig an beiden Standorten gesichert, die Art der Sicherung erfolgt je nach Betriebssystem und Anwendung. Das Sicherungskonzept ist schriftlich dokumentiert, ebenso gibt es ein Notfallkonzept für den Katastrophenfall zur Wiederherstellung der Systeme und Daten. Die Mainframe-Datenbanken werden täglich auf virtuelle Band-Systeme gesichert, die virtuellen Band-Systeme werden zusätzlich auf physische Magnetkassetten gespeichert. Das Rechenzentrum wird durch dem Stand der Technik entsprechende Maßnahmen gegen Gefahren und Ausfälle geschützt. Eine USV-Anlage zur Überbrückung von Stromausfällen ist vorhanden und ein Notstromaggregat sorgt für Ausfallsicherheit. Die Klimaanlage ist redundant ausgelegt. Alle Rechner sind mit der aktuellsten Software zum Virenschutz ausgerüstet. Alle Gebäude sind mit Alarmmeldern gegen Einbruch und Feuer abgesichert. Technik- und Rechnerraum sind getrennt.
Eingabekontrolle
Die Eingabekontrolle gewährleistet, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Die Vergabe von Zugriffsberechtigungen und alle Berechtigungsänderungen werden dokumentiert. Ebenfalls dokumentiert werden – sofern im jeweiligen System möglich – alle Login- und Logout-Vorgänge sowie insbesondere Änderungen an Stammdaten.
Auftragskontrolle
Die Auftragskontrolle stellt sicher, dass sich der Auftragsdatenverarbeiter an die Weisungen des Auftraggebers hält und Datenverarbeitung nur innerhalb dieser Weisungen stattfindet. Sofern das KRZ-SWD Subauftragnehmer einsetzt, werden diese entsprechend der gesetzlichen Vorgaben zur Auftragsdatenverarbeitung vertraglich auf die Einhaltung des Datenschutz verpflichtet.
Getrennte Verarbeitung
Zu unterschiedlichen Zwecken erhobene Daten werden im KRZ-SWD getrennt verarbeitet. Insbesondere sind verschiedene Kundensysteme voneinander getrennt und die Daten werden nicht zusammengeführt. Entsprechend ist auch eine auftragsspezifische Löschung von Daten möglich.
KRZ.AKTUELL – Newsletter
KRZ.AKTUELL – jetzt abonnierenKontakt
Wollen Sie mehr über die Stiftung Kirchliches Rechenzentrum Südwestdeutschland, unsere Produkte und Dienstleistungen erfahren? Rufen Sie uns an oder schreiben Sie uns eine E-Mail.
Gerne vereinbaren wir mit Ihnen ein persönliches Beratungsgespräch oder senden Ihnen ausführliches Informationsmaterial zu.