Der Diözesandatenschutzbeauftragte wacht als Leiter des Katholischen Datenschutzzentrums der (Erz-)Diözesen in NRW über die Einhaltung des Gesetzes über den Kirchlichen Datenschutz (KDG) sowie anderer Vorschriften über den Datenschutz. Hierzu führt er anlassbezogen auf Grund der bei ihm eingehenden Beschwerden oder ohne Anlass im Rahmen regelmäßiger Kontrollen Prüfungen zur Verbesserung des Datenschutzes durch. Bei der Überprüfung ist von der betroffenen Einrichtung der Nachweis über die Einhaltung der rechtlichen Vorgaben (Datenschutzrecht) ebenso wie der Nachweis zur Umsetzung der notwendigen technisch-organisatorischen Schutzmaßnahmen gemäß den gesetzlichen Vorgaben zu erbringen. Die Umsetzung und Einhaltung des Datenschutzrechtes und der Datensicherheit ist notwendig um Datenschutz sicherzustellen. Die Prüfungen können vor Ort oder (nur) schriftlich erfolgen.
Prüfungen vor Ort werden immer in Kooperation mit der betroffenen Einrichtung vorgenommen. Dazu wird die Einrichtung rechtzeitig über die Prüfung informiert und um Zusendung von Dokumenten gebeten, die den Umsetzungsgrad des Datenschutzes in der Einrichtung belegen sollen. Während der Prüfung, ähnlich eines Audits oder einer Begehung, steht der beratende Charakter im Vordergrund. Abschließend wird ein gemeinsamer Maßnahmenplan zur Sicherstellung und Weiterentwicklung des Datenschutzes in der Einrichtung entwickelt, der im Prüfbericht veröffentlicht wird. Über den Umsetzungstand berichtet die Einrichtung regelmäßig an das Katholische Datenschutzzentrum.
Im Folgenden informieren wir über eine Auswahl von Prüfungen des Katholischen Datenschutzzentrums.
| Kurzbeschreibung | Im Jahr 2019 startete das Katholische Datenschutzzentrum eine Querschnittsprüfung von Kindertageseinrichtungen. Zunächst wurden mit einem Schreiben an alle Kindertageseinrichtungen im hiesigen Zuständigkeitsbereich auf die Problematik gestohlener Laptops, Fotoapparate und mobiler Datenträger (z. B. USB-Sticks oder SD-Karten) hingewiesen und die Querschnittsprüfung angekündigt. Anlass der Querschnittsprüfung war, dass sich in den meisten Fällen herausstellte, dass die auf den Geräten vorhandenen personenbezogenen Daten (z. B. Bildungsdokumentationen, Berichte an Jugendämter und Fotos) ohne oder ohne ausreichenden Schutz gespeichert waren. In der Folge wurde die Prüfung mit einer Stichprobe aus den Kindertageseinrichtungen aller fünf nordrhein-westfälischen (Erz-)Diözesen durchgeführt. Wobei im ersten Teil online ein Fragebogen ausgefüllt werden musste. Weitere Informationen zu dieser Querschnittsprüfung finden Sie in den Jahresberichten 2020 (Punkt 3.5) sowie 2021 (Punkt 2.4.1) | |
| Zielgruppe | Katholische Kindertageseinrichtungen | |
| Auswahlkriterien | Zufällig | |
| Anzahl der geprüften Einrichtungen | 99 Kindertageseinrichtungen im Zuständigkeitsbereich des Katholischen Datenschutzzentrums | |
| Vor-Ort-Prüfungen | Eine | |
| Prüfunterlagen | Anschreiben an die ausgewählten Kindertageseinrichtungen Fragestellungen der Querschnittsprüfung |
| Kurzbeschreibung | Aufgrund der Sicherheitslücke Microsoft Exchange Server SSRF Vulnerability (CVE-2021-26855, „Hafnium“) gingen im Frühjahr 2021 mehrere Meldungen von Datenschutzverletzungen sowie Anfragen zum Umgang mit der Sicherheitslücke beim Katholischen Datenschutzzentrum ein. Zusätzlich zu der Bearbeitung der Anfragen und Meldungen startete das Katholische Datenschutzzentrum eine Stichprobenprüfung zum Umgang mit der Sicherheitslücke, um ein Bild von der Situation zu erlangen und beratend tätig zu werden. In einem ersten Schritt der Prüfung wurde mittels nicht invasiver Maßnahmen durch gezieltes Ansprechen von Protokollen und IP-Ports geprüft, ob die Sicherheitslücke auf einem Exchange Server (noch) besteht. In einem zweiten Schritt wurden den geprüften Einrichtungen die ermittelten Informationen mitgeteilt und die Verantwortlichen gebeten, das Vorgehen beim Schließen der Sicherheitslücke zu beschreiben und darzulegen, was als weiterer Umgang mit eventuellen Folgen geplant ist. Weitere Informationen zu dieser Prüfung finden Sie in dem Jahresbericht 2021 (Punkt 2.4.2) | |
| Zielgruppe | Kirchliche Einrichtungen (gemischt) | |
| Auswahlkriterien | Zufällig | |
| Anzahl der geprüften Einrichtungen | 24 Einrichtungen im Zuständigkeitsbereich des Katholischen Datenschutzzentrums | |
| Vor-Ort-Prüfungen | Keine | |
| Prüfunterlagen | Anschreiben Prüfung MS Exchange |
| Kurzbeschreibung | Eine Internetseite stellt nicht nur Informationen bereit, sondern dient dem beiderseitigen Informationsaustausch. Auf Internetseiten ist es z. B. möglich Fragen zu stellen, einen Kommentar zu hinterlassen, einen Newsletter zu bestellen, einen Online-Shop zu nutzen oder auch die eigenen Kontaktdaten für den Betreiber zu hinterlassen. Gemäß § 7 Abs. 1 lit. f KDG in Verbindung mit § 26 Abs. 1 lit. a KDG müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Neben der Pseudonymisierung und Anonymisierung wird die Verschlüsselung vom Gesetzgeber als Maßnahme genannt. Um die Datenschutzziele der Vertraulichkeit und Integrität der übermittelten personenbezogenen Daten von Webservern an den Browser des Internetseitenbesuchers sicherzustellen, ist eine Verschlüsselung der Verbindung mit einer dem Stand der Technik entsprechenden Transportverschlüsselung unerlässlich. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat in seiner technischen Richtlinie TR-02102-2 (Version 2023-01) Empfehlungen für die Verwendung von Transport-Layer-Security (TLS) als Transportverschlüsselung veröffentlicht. TLS ist nach der Empfehlung des BSI nur in der Version TLS 1.2 und TLS 1.3 als sicher einzustufen. Der für den Betrieb der Internetseite Verantwortliche hat auch für die elektronischen Übertragung der personenbezogenen Daten Schutzmaßnahmen zu treffen (vgl. § 6 Abs. 2 lit. d KDG-DVO). Diese Schutzmaßnahmen sind gemäß § 26 Abs. 1 KDG unter Berücksichtigung des Stands der Technik umzusetzen. Unter Rückgriff auf die technische Richtlinie des BSI hat das Katholische Datenschutzzentrum für die Prüfung entschieden, dass die vom BSI als unsicher eingestuften TLS-Versionen nicht mehr dem Stand der Technik im Sinne des § 26 Abs. 1 KDG entsprechen und daher keine ausreichenden Schutzmaßnahmen im Sinne des § 26 KDG mehr sein können. Basierend auf einer zufälligen Auswahl werden im Rahmen der Prüfung Internetseiten aus dem Zuständigkeitsbereich des Katholischen Datenschutzzentrums auf die vorhandene TLS-Verschlüsselung geprüft. Neben der Überprüfung der eingesetzten Transportverschlüsselung wurde eine Schwachstellenanalyse der TLS-Konfiguration durchgeführt. Die Schwachstellenanalyse wurde nicht invasiv, also ohne Ausnutzung etwaiger gefundener Schwachstellen, durchgeführt. Von den überprüften Internetseiten entsprachen gut 80 % den Vorgaben der technischen Richtlinie des BSI und setzten eine Transportverschlüsselung in einer vom BSI als sicher eingestuften Version ein. Alle von der Prüfung betroffenen Internetseitenbetreiber haben, nachdem Sie durch das Katholische Datenschutzzentrum auf die festgestellte unzureichende Schutzmaßnahme hingewiesen wurden, die betroffene Internetseite überarbeitet und den Standard gemäß BSI-Richtlinie hergestellt. Weitere Informationen zu dieser Prüfung erscheinen im Jahresbericht 2023 des Katholischen Datenschutzzentrum. | |
| Zielgruppe | Kirchliche Einrichtungen (gemischt) | |
| Auswahlkriterien | Zufällig | |
| Anzahl der geprüften Einrichtungen | 30 | |
| Vor-Ort-Prüfungen | Keine |
| Kurzbeschreibung | Aufgrund der bedeutenden Position der betrieblichen Datenschutzbeauftragten hatte das Katholische Datenschutzzentrum sich zur Prüfung entschlossen. Ziel war es, allgemeine Informationen abzufragen und so einen besseren Überblick über deren Tätigkeit und Einbindung in den kirchlichen Einrichtungen zu erhalten. Die Prüfung umfasste Fragen zur Einrichtungsgröße, Qualifikation des Datenschutzbeauftragten, zu Ressourcen des Datenschutzbeauftragten, weiteren Aufgaben und Pflichten und Interessenkonflikten, der Eingliederung in die Einrichtung, Tätigkeitsberichten und durch den Datenschutzbeauftragten durchgeführte Datenschutzaudits. Für die Ergebnisse der Prüfung wird auf den Jahresbericht des Katholischen Datenschutzzentrums für das Jahr 2023 verwiesen. Der Jahresbericht wird in Kürze auf dieser Website veröffentlicht werden. | |
| Zielgruppe | Kirchliche Einrichtungen (gemischt) | |
| Auswahlkriterien | Zufällig | |
| Anzahl der geprüften Einrichtungen | 100 | |
| Vor-Ort-Prüfungen | Keine |
| Kurzbeschreibung | Durch seit einigen Monaten unter anderem aufgrund der beim Katholischen Datenschutzzentrum eingehenden Meldungen von Datenschutzverletzungen konnte ein erhöhtes Aufkommen von Angriffen auf E-Mail-Accounts festgestellt werden. Die Absicht hinter diesen Angriffen ist in den meisten Fällen nicht nur die Erbeutung von Zugangsdaten von E-Mail-Kontakten, sondern auch durch den Versand von Phishingmails über das kompromittierte Postfach die Glaubwürdigkeit dieser E-Mails im Kreis der Empfänger zu erhöhen. Durch Anklicken von Links oder Anhängen in diesen E-Mails wird oft kompromittierte Software aus dem Internet nachgeladen, die weitreichende Schäden oder Zugriffe auf ganze IT-Landschaften ermöglicht. Aus der Analyse der gemeldeten Datenschutzverletzungen im Bereich E-Mail ist erkennbar, das durch eine Kombination aus den richtigen technischen und organisatorischen Maßnahmen ein hoher Schutz gegen Angriffe wie z. B. Phishing oder Infektion von Rechnersystemen mit Ransomware erreicht werden kann. Das Katholische Datenschutzzentrum nahm diese Entwicklung zum Anlass, um mit einer Querschnittsprüfung den Stand der E-Mail-Sicherheit in kirchlichen Einrichtungen zu erheben.
Die Ergebnisse dieser Prüfung zeigen, dass die notwendigen Maßnahmen noch nicht in allen befragten Einrichtungen in ausreichendem Maße umgesetzt werden. Über die verschiedenen Kategorien und Größen der Einrichtungen sind die Ergebnisse gleichmäßig verteilt. Kleinere Einrichtungen ohne dedizierte IT-Abteilung sind nicht generell schlechter aufgestellt als große Einrichtungen mit eigenem IT-Personal. Schulungen und Awareness sind aus Sicht des Katholischen Datenschutzzentrums ein wesentlicher Baustein der Maßnahmen. Mitarbeitende müssen wissen, wie verdächtige E-Mails identifiziert werden können und wie damit umzugehen ist. Technische Maßnahmen wie z. B. E-Mail-Filter sind in der Lage viele der schädlichen E-Mails sehr gut zu erkennen und auszufiltern. Da sich die schädlichen E-Mails technisch und inhaltlich ebenfalls weiterentwickeln, müssen Anwender in die Lage versetzt werden richtig zu handeln, wenn eine verdächtige E-Mail es bis in den Posteingang schafft. Weitere Informationen zu dieser Prüfung erscheinen im Jahresbericht 2023 des Katholischen Datenschutzzentrum. |
|
| Zielgruppe | Kirchliche Einrichtungen (gemischt) | |
| Auswahlkriterien | Zufällig | |
| Anzahl der geprüften Einrichtungen | 100 | |
| Vor-Ort-Prüfungen | Keine |
| Kurzbeschreibung | Prüfungsgegenstand sind die auf den Internetseiten kirchlicher Einrichtungen in der Datenschutzerklärung genannten gesetzlichen Grundlagen. Geprüft werden unter anderem Internetauftritte der (Erz-)Bistümer, Diözesan Caritasverbände sowie der Verband der Diözesen Deutschlands und weitere Einrichtungen aus diesem Bereich, welche der Aufsicht des Katholischen Datenschutzzentrums unterfallen. Die geprüften Einrichtungen wurden ausgewählt, da ihnen aufgrund ihrer Aufgaben und/oder ihrer Stellung eine zentrale Funktion zukommt. Die korrekte Benennung des anzuwendenden Gesetzes dient zudem auch der effektiven Rechtsausübung durch betroffene Personen. Zwar bestehen weitgehende Übereinstimmungen zwischen den Vorgaben des KDG und denen der DSGVO. Jedoch führt eine Verwechslung des anzuwenden Gesetzes aufgrund falscher Angaben des Verantwortlichen teilweise etwa zu Beschwerden bei der unzuständigen Aufsicht. Diese leiten die Beschwerden in den gewünschten Fällen zwar an die zuständige Aufsicht (das Katholische Datenschutzzentrum) weiter. Allerdings stellt dies eine nicht notwendige Verzögerung dar, die die Wahrnehmung der Betroffenenrechte gegebenenfalls erschweren kann, da sich etwaige Verstöße nach längerer Zeit möglicherweise nicht mehr vollumfänglich aufklären lassen. Auch ist ein schnelles aufsichtsbehördliches Einschreiten hierdurch nicht möglich. | |
| Zielgruppe | Kirchliche Einrichtungen (gemischt) | |
| Auswahlkriterien | Einrichtung mit zentraler Funktion | |
| Anzahl der geprüften Einrichtungen | 30 kirchliche Einrichtungen im Zuständigkeitsbereich des Katholischen Datenschutzzentrums, weitere Prüfungen erfolgen laufend | |
| Vor-Ort-Prüfungen | Keine |
Wir informieren an dieser Stelle über in Vorbereitung befindliche Prüfungen, wenn sich daraus keine direkten Auswirkungen auf das Ergebnis der Prüfung ergeben können.