.§ 1
§ 2
§ 4
Geltungszeitraum von: 01.01.2004
Geltungszeitraum bis: 23.05.2018
908. Verordnung zur Verschlüsselung von Daten auf Datenverarbeitungsanlagen der kirchlichen Dienststellen sowie Werke und Einrichtungen der Evangelischen Landeskirche in Württemberg (Datenverschlüsselungsverordnung)
Vom 20. Dezember 2000
(Abl. 59 S. 202), geändert durch Verordnung vom 18. November 2003 (Abl. 60 S. 352)
#Aufgrund von § 27 Abs. 2 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland1# vom 12. November 1993 (Abl. 56 S. 159), § 9 der Kirchlichen Verordnung zur Durchführung und Ergänzung des Kirchengesetzes über den Datenschutz2# vom 14. Februar 1995 (Abl. 56 S. 371) und § 73 des Kirchlichen Gesetzes über das Haushalts-, Kassen- und Rechnungswesen in der Evangelischen Landeskirche in Württemberg3# vom 24. November 1994 (Abl. 56 S. 242), zuletzt geändert durch Gesetz vom 27. November 1997 (Abl. 58 S. 2), wird verordnet:
###§ 1
Pflicht zur Verschlüsselung
(
1
)
Personenbezogene Daten und andere Daten, die einer Verschwiegenheitspflicht unterliegen, sind verschlüsselt zu speichern. Bei anderen dienstlichen Daten liegt die Verschlüsselung im Ermessen der speichernden Stelle, soweit nicht eine Rechtsvorschrift sie vorschreibt.
(
2
)
Von einer Verschlüsselung kann nur dann abgesehen werden, wenn
- die Daten auf einer Datenverarbeitungsanlage gespeichert sind, die sich in einem sicher verschlossenen Raum befindet, zu dem ausschließlich Personen Zutritt haben, die mit Systemadministrations- und Wartungsarbeiten beauftragt sind und wenn das eingesetzte Betriebssystem und sonstige Schutzmaßnahmen hinreichend gewährleisten, daß über angeschlossene Datenverarbeitungsanlagen auf die Daten nur befugt zugegriffen werden kann, oder
- die Daten zur Veröffentlichung bestimmt sind, oder
- die speichernde Stelle die Daten veröffentlichen dürfte oder die Daten aus allgemein zugänglichen Quellen entnommen werden können, soweit keine überwiegenden schutzwürdigen Interessen von betroffenen Personen entgegen stehen oder
- es sich um personenbezogene Daten handelt, die zur Protokollierung, Feststellung der Zugriffsberechtigungen und zu sonstigen Kontrollzwecken dienen und aus verarbeitungstechnischen Gründen unverschlüsselt bleiben müssen. Paß- und Kennwörter müssen verschlüsselt gespeichert werden.
(
3
)
Werden personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung an andere Stellen übermittelt, sind sie verschlüsselt zu übertragen. Davon kann abgesehen werden, wenn
#- eine kirchliche Rechtsvorschrift dies vorsieht oder
- eine staatliche Rechtsvorschrift dies vorsieht und kirchliche Interessen nicht entgegenstehen,
- die Daten nach Absatz 2 Buchst. b) und c) unverschlüsselt gespeichert werden dürfen und der unverschlüsselten Übermittlung keine überwiegenden schutzwürdigen Interessen von betroffenen Personen entgegenstehen oder
- es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer Person erforderlich ist.
§ 2
Anforderungen an die Verschlüsselung
(
1
)
Die Verschlüsselung ist entweder mit vorhandenen Verschlüsselungsmöglichkeiten der Anwendungen, mit denen die Daten verarbeitet werden, durchzuführen oder es sind Verschlüsselungsmöglichkeiten des verwendeten Betriebssystems oder ein Verschlüsselungsprogramm einzusetzen.
(
2
)
Es sollen nur Verschlüsselungsprogramme installiert werden,
#- die beim erstmaligen Zugriff auf verschlüsselte Daten innerhalb einer PC-Sitzung selbsttätig zur Eingabe von Benutzernamen und Kennwort auffordern,
- bei denen die Daten auf den verwendeten Massenspeichern (z. B. Festplatten) ständig verschlüsselt bleiben und
- die eine Abmeldung vom Verschlüsselungsprogramm erlauben, so daß beim nächsten Zugriff auf verschlüsselte Daten innerhalb derselben PC-Sitzung wiederum zur Eingabe von Benutzername und Kennwort aufgefordert wird.
§ 3
Alle Kennwörter, die zur Verschlüsselung dienstlicher Daten benutzt werden, müssen der Dienststellenleitung bekanntgegeben werden, wenn nicht rechtliche Regelungen oder eine Dienstanweisung entgegenstehen.
#§ 4
Inkrafttreten
Die Pflicht zur Verschlüsselung tritt am 1. Januar 2002 in Kraft. Mit Stellen, die nicht über eine Verschlüsselungsmöglichkeit verfügen, können bis zum 1. Januar 2005 dennoch über Internet oder E-Mail Daten mit Hilfe von Einrichtungen zur Datenübertragung ausgetauscht werden.