Datenschutz? – mit ISIDOR sind Sie von Anfang an auf der sicheren Seite!
Zentrale Informationsmanagementsysteme verarbeiten im kirchlichen Umfeld personenbezogene Daten von Beschäftigten, ehrenamtlich Tätigen, ehemals Beschäftigten und weiterer, mit der Organisation in unmittelbarem Kontakt stehenden Personen in großem Umfang. Dabei tragen Sie als Betreiber solcher Datenverarbeitungssysteme die datenschutzrechtliche Verantwortung. Berücksichtigen Sie deshalb bereits bei der Produktauswahl und -einführung Sicherheit und Transparenz zur Umsetzung der Datenschutzanforderungen.
ISIDOR unterstützt Sie und alle die Verantwortlichen in kirchlichen Organisationen bei dieser Aufgabe und stellt technische Maßnahmen zum Schutz der personenbezogenen Daten bereit. Damit ermöglicht ISIDOR bereits bei der Einführung die Umsetzung datenschutzrechtlicher Anforderungen.
Datenschutzanforderungen heute und morgen
Für zentrale Informationsmanagementsysteme kirchlicher Organisationen ergeben sich datenschutzrechtliche Anforderungen durch die Anordnung über den Kirchlichen Datenschutz (KDO) oder das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-DSG).
Die ab Mai 2018 in Deutschland geltende Europäische Datenschutz-Grundverordnung (DSGVO) wird diese Anforderungen im Wesentlichen unangetastet lassen, verlangt allerdings ihrerseits, dass die kirchlichen Regelungen im Einklang mit der DSGVO stehen müssen (Art. 91 Abs. 1 DSGVO).
Da die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zu den wesentlichen Grundsätzen der DSGVO gehört, ist zu erwarten, dass auch kirchliche Stellen künftig aktiver die Umsetzung von Datenschutzanforderungen dokumentieren müssen.
Hierzu gehört ganz wesentlich die Umsetzung technischer und organisatorischer Maßnahmen bei Einsatz von IT-Systemen.
Auftragsdatenverarbeitung – gehen Sie auf Nummer sicher!
Für zentrale Informationsmanagementsysteme kirchlicher Organisationen ergeben sich datenschutzrechtliche Anforderungen durch die Anordnung über den Kirchlichen Datenschutz (KDO) oder das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-DSG).
Die ab Mai 2018 in Deutschland geltende Europäische Datenschutz-Grundverordnung (DSGVO) wird diese Anforderungen im Wesentlichen unangetastet lassen, verlangt allerdings ihrerseits, dass die kirchlichen Regelungen im Einklang mit der DSGVO stehen müssen (Art. 91 Abs. 1 DSGVO).
Da die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zu den wesentlichen Grundsätzen der DSGVO gehört, ist zu erwarten, dass auch kirchliche Stellen künftig aktiver die Umsetzung von Datenschutzanforderungen dokumentieren müssen.
Hierzu gehört ganz wesentlich die Umsetzung technischer und organisatorischer Maßnahmen bei Einsatz von IT-Systemen.
Umsetzung der kirchlichen Datenschutzanforderungen mit ISIDOR
ISIDOR unterstützt die Datenschutz-Verantwortlichen bei ihrer Aufgabe auf vielfältige Art – beispielsweise durch eine schnell erzeugte, transparente Übersicht über die Berechtigungsstruktur und durch Hilfestellung bei den Angaben für datenschutzrechtliche Prüfungen. Dazu stellt ISIDOR folgende technischen und organisatorischen Maßnahmen zur Datensicherheit bereit:
Zugangskontrolle
Als klassische Intranetanwendung konzipiert, haben Personen außerhalb des Netzwerks der kirchlichen Organisation keinen Zugriff auf die Anwendung und deren Daten. Der Zugang auf ISIDOR kann durch eine Anbindung an das Active Directory gesteuert werden, so dass eine zentral verwaltbare, benutzerindividuelle Anmeldung sichergestellt ist.
Eingabekontrolle
Sämtliche Datenänderungen in ISIDOR werden geloggt, zu jedem Datum ist die Änderungshistorie nachvollziehbar. Das Änderungsprotokoll wird in der Datenbank abgelegt. Über die Anwendung selbst kann die Änderungshistorie ausschließlich lesend und nur bei entsprechender Zugriffs-Berechtigung eingesehen werden.
Zugriffskontrolle
ISIDOR verfügt über ein detailliertes Berechtigungsmanagement, über das Rechte für definierte Rollen nach Datenkategorien und Datenverantwortlichkeiten gesteuert werden können. Bei der Gestaltung der Berechtigungen und Rollen ist die ISIDOR nutzende Stelle nicht limitiert. Bei Bedarf können so Rollen mit maximal individualisierten Nutzungsrechten für einzelne Nutzer eingerichtet werden.
Verfügbarkeitskontrolle
Die ISIDOR-Serverlandschaft kann in übergreifende Datensicherungskonzepte integriert werden.
Weitergabekontrolle
Die ISIDOR-Administratoren definieren, zu welchen Objekten Daten aus ISIDOR in Folgeanwendungen verwendet werden dürfen. So kann vollständig gesteuert werden, zu welchen Objekten Informationen im Webauftritt Ihrer Kirche, auf Ihren digitalen Karten oder in ISIDOR Mobile im Internet zur Verfügung gestellt werden. Nutzer können nur solche Daten aus ISIDOR exportieren, für die sie in der Anwendung eine entsprechende Zugriffsberechtigung besitzen. Die Datenübertragung zwischen Nutzer (Client) und Anwendung findet prinzipiell verschlüsselt statt. Dies gilt auch für Exportdateien.
Datentrennung
Unterhalb der ISIDOR betreibenden Organisationen können weitere selbständig verantwortliche Stellen ISIDOR nutzen. Über das Berechtigungsmanagement ermöglicht ISIDOR eine ausreichende Trennung der mandantenspezifischen personenbezogenen Daten.
