.

Verordnung zur Verschlüsselung von Daten auf Datenverarbeitungsanlagen der kirchlichen Dienststellen sowie Werke und Einrichtungen der Evangelischen Kirche der Pfalz (Protestantische Landeskirche)
– Datenverschlüsselungsverordnung –

vom 19. Februar 2002

(ABl. 2002 S. 117)

Aufgrund von § 27 Abs. 2 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland vom 12. November 1993 (ABl. 1994 S. 14) erlässt der Landeskirchenrat folgende Verordnung:
####

§ 1
Pflicht zur Verschlüsselung

( 1 ) Personenbezogene Daten und andere Daten, die einer Verschwiegenheitspflicht unterliegen, sind verschlüsselt zu speichern. Bei anderen dienstlichen Daten liegt die Verschlüsselung im Ermessen der speichernden Stelle, soweit nicht eine Rechtsvorschrift sie vorschreibt.
( 2 ) Von einer Verschlüsselung kann nur dann abgesehen werden, wenn
  1. die Daten auf einer Datenverarbeitungsanlage gespeichert sind, die sich in einem sicher verschlossenen Raum befindet, zu dem ausschließlich Personen Zutritt haben, die mit Systemadministrations- und Wartungsarbeiten beauftragt sind, und wenn das eingesetzte Betriebssystem und sonstige Schutzmaßnahmen hinreichend gewährleisten, dass über angeschlossene Datenverarbeitungsanlagen auf die Daten nur befugt zugegriffen werden kann, oder
  2. die Daten zur Veröffentlichung bestimmt sind, oder
  3. die speichernde Stelle die Daten veröffentlichen dürfte oder die Daten aus allgemein zugänglichen Quellen entnommen werden können, soweit keine überwiegenden schutzwürdigen Interessen von betroffenen Personen entgegenstehen, oder
  4. es sich um personenbezogene Daten handelt, die zur Protokollierung, Feststellung der Zugriffsberechtigungen und zu sonstigen Kontrollzwecken dienen und aus verarbeitungstechnischen Gründen unverschlüsselt bleiben müssen. Pass- und Kennwörter müssen verschlüsselt gespeichert werden.
( 3 ) Werden personenbezogene Daten mithilfe von Einrichtungen zur Datenübertragung an andere Stellen übermittelt, sind sie verschlüsselt zu übertragen. Davon kann abgesehen werden, wenn
  1. eine kirchliche Rechtsvorschrift dies vorsieht oder
  2. eine staatliche Rechtsvorschrift dies vorsieht und kirchliche Interessen nicht entgegenstehen,
  3. die Daten nach Absatz 2 Buchst. b) und c) unverschlüsselt gespeichert werden dürfen und der unverschlüsselten Übermittlung keine überwiegenden schutzwürdigen Interessen von betroffenen Personen entgegenstehen oder
  4. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer Person erforderlich ist.
#

§ 2
Anforderungen an die Verschlüsselung

( 1 ) Die Verschlüsselung ist entweder mit vorhandenen Verschlüsselungsmöglichkeiten der Anwendungen, mit denen die Daten verarbeitet werden, durchzuführen, oder es sind Verschlüsselungsmöglichkeiten des verwendeten Betriebssystems oder ein Verschlüsselungsprogramm einzusetzen.
( 2 ) Es sollen nur Verschlüsselungsprogramme installiert werden,
  1. die beim erstmaligen Zugriff auf verschlüsselte Daten innerhalb einer PC-Sitzung selbsttätig zur Eingabe von Benutzernamen und Kennwort auffordern,
  2. bei denen die Daten auf den verwendeten Massenspeichern (z.B. Festplatten) ständig verschlüsselt bleiben und
  3. die eine Abmeldung vom Verschlüsselungsprogramm erlauben, sodass beim nächsten Zugriff auf verschlüsselte Daten innerhalb derselben PC-Sitzung wiederum zur Eingabe von Benutzername und Kennwort aufgefordert wird.
#

§ 3

Alle Kennwörter, die zur Verschlüsselung dienstlicher Daten benutzt werden, müssen der Dienststellenleitung bekannt gegeben werden, wenn nicht rechtliche Regelungen oder eine Dienstanweisung entgegenstehen.
#

§ 4
Inkrafttreten

Die Pflicht zur Verschlüsselung tritt am 1. April 2002 in Kraft. Mit Stellen, die nicht über eine Verschlüsselungsmöglichkeit verfügen, können bis zum 1. Januar 2004 dennoch über Internet oder E-Mail Daten mithilfe von Einrichtungen zur Datenübertragung ausgetauscht werden.