Nutzungsrichtlinien innerhalb der Cloud
1 Einleitung
Diese Richtlinie beinhaltet grundsätzliche Regelungen für alle Mitglieder der Kirchengemeinden innerhalb der Seelsorgeeinheit Südliches Strohgäu, die im Rahmen ihrer dienstlichen oder ehrenamtlichen Tätigkeit die nextcloud-basierte „Cloud im südlichen Strohgäu“ zur Datenablage nutzen wollen. Sie informiert über allgemeine Risiken und hilft bei der Klärung der Frage, in welchen Fällen oder unter welchen Bedingungen die Cloud bzw. Cloud-Dienste genutzt werden darf.
Wenn Daten mit Hilfe von Cloud-Diensten gespeichert bzw. verarbeitet werden, drohen spezielle Gefahren. Insbesondere die dynamische Verteilung der Speicherkapazitäten über verschiedene Standorte, die in der Regel dem Nutzer nicht bekannt sind, verlangen eine spezifische Vorsorge hinsichtlich der Informationssicherheit und des Schutzes der Daten.
Für die Verarbeitung personenbezogener Daten in der Cloud gelten die Bestimmungen des kirchlichen Datenschutzgesetz (KDG). Es fordert entweder die Einwilligung der Betroffenen oder die Anwendung der Regelungen zur Auftragsdatenverarbeitung.
Im privaten Umfeld werden Cloud-Dienste häufig relativ sorglos genutzt. Vor dem Hintergrund der sich immer mehr auflösenden Trennung von privaten und dienstlichen Belangen, speziell im IT-Umfeld, soll diese Richtlinie zur Sensibilisierung gegenüber den potentiellen Risiken beitragen und entsprechende Handlungsanleitungen geben.
2 Geltungsbereich
Diese Richtlinie gilt für alle Mitglieder der Kirchengemeinden innerhalb der Seelsorgeeinheit Südliches Strohgäu, wenn sie im Rahmen dienstlicher oder ehrenamtlicher Tätigkeiten für die Kirchengemeinde Daten in der Cloud erheben, speichern oder verarbeiten.
3 Abgrenzung und Begriffsdefinition
IT-Dienste, die unabhängig von Ort und Zeit über ein Daten- oder Kommunikationsnetz genutzt werden können, werden allgemein als „Cloud Computing“ bezeichnet. Allerdings existieren verschiedene leicht variierende Definitionen des Begriffs. Im Folgenden benutzen wir eine Begriffsdefinition, die sich an die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegte Definition des Begriffs Cloud Computing anlehnt:
Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. In der Regel können diese IT-Dienstleistungen unabhängig von Ort und Zeit mit Hilfe aller gängigen IT-Geräte genutzt werden. Für die Nutzer bleibt die bereitgestellte IT-Infrastruktur verborgen. [1]
Diese Richtlinie betrachtet Aspekte der Speicherung von Daten, also der kurzzeitigen oder längerfristigen Überlassung von Daten an externe Dienstanbieter, mit Hilfe von Cloud Services. Weitere Cloud-Angebote, wie zum Beispiel Office-Dienste oder Rechenleistung, werden nicht behandelt.
4 Datenkategorien und ihre Eignung zur Cloud-Nutzung
Ein Schutzbedarf wird grundsätzlich hinsichtlich der drei Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit differenziert bestimmt. (vgl. § 26 Abs. 1 lit. b) KDG, § 6 Abs. 1 lit. c) KDG-DVO)
| Ziel | Erklärung | |
| Verfügbarkeit | Auf vorhandene Daten kann im Bedarfsfall zugegriffen werden. | Der Hoster hat eine hohe Ausfallsicherheit durch das RAID-basierte Speicherbackend und die Nutzung der Datenbanken in einem Clusterverbund. Es wird durch Updates sichergestellt, dass die Cloud immer betriebsbreit ist. Das Filesystem toleriert mehrere gleichzeitige Festplattenausfälle und sobald minimalste Unregelmäßigkeiten entstehen, werden diese sofort ausgetauscht, wodurch die Ausfallwahrscheinlichkeit sehr gering ist. |
| Integrität | Die Daten sind gegen Manipulationen und technische Defekte geschützt. | Der Hoster nutzt SLL-Zertifikate, die Verbindung zum Server erfolgt über HTTPS. Daten müssen fälschungssicher hochgeladen werden, wenn sie einen hohen Schutzbedarf haben. |
| Vertraulichkeit | Nur berechtigte Personen können auf die Daten zugreifen. | Daten mit hohen Schutzbedarf müssen von Inhaber vor dem Hochladen verschlüsselt werden. |
Aus dem Schutzbedarf der auszulagernden Daten ergibt sich nicht nur die Frage der Zulässigkeit der Auslagerung, sondern auch, unter welchen Bedingungen eine Auslagerung in Betracht kommt. Dabei ist der Schutzbedarf getrennt von den o.g. Schutzzielen zu betrachten.
Entsprechend differenziert müssen Vorkehrungen zur Sicherheit der Daten getroffen werden. Aus dem Schutzbedarf der Daten folgt zwingend die Eignung oder Nicht-Eignung zur Speicherung in der Cloud.
Bevor Daten in die Cloud hochgeladen werden muss geprüft werden, ob die Daten zwingend benötigt werden und für welche Personengruppe sie zur Verfügung gestellt werden sollen. Diese Prüfung erfolgt durch die Leitung der Gruppe.
Es ist darauf zu achten, dass die Daten nur für den Zeitraum zugänglich gemacht werden, für den sie benötigt werden. Eine Sperre kann eingerichtet werden. Die Löschung im Anschluss an diesen Zeitraum erfolgt durch den Inhaber der Daten, bedarf allerdings einiger Zeit, da der Hoster Backups zur Verfügung stellt. Die vollständige Löschung erfolgt also erst Tage später.
Die Eignung/Nicht-Eignung von Daten zur Speicherung in der Cloud:
| Kategorien | Wo kommt es vor? | Schutzbedarf | ||
| Protokolle von KGR, Ausschüssen, Jugendgruppen, Familiengottesdienst-Teams, … | Alle Gruppen und Gremien | normal | Eignung | |
| Protokolle mit Personalentscheidungen | Verwaltungsausschuss | Sehr hoch | Nicht-Eignung | |
| Protokolle mit Auftragsbestätigungen | Gremien | Hoch | Eignung | |
| Fotos und Videos | Alle Gruppen | Hoch | Eignung | |
| Werbetexte und – Plakate | Öffentlichkeitsarbeit | normal | Eignung | |
| Konzepte, Richtlinien, … | Alle Gruppen | normal | Eignung | |
| Liturgiepläne | Pfarrbüro, Alle Gruppen | Normal | Eignung | |
| Teilnahmelisten (z.B. Ministranten-WE) | Alle Gruppen, Pfarrbüro | Sehr hoch | Nicht-Eignung |
Für personenbezogene Daten (sowohl mit dienstlichem als auch privatem Bezug) gelten die Bestimmungen des Datenschutzes.
Daten, die einer gesetzlichen Löschungsverpflichtung unterliegen sind für die Ablage in der Cloud ungeeignet.
Aus dem Schutzbedarf der Daten wird abgeleitet, wie sehr die Daten geschützt werden und wie klein der Kreis, derjenigen ist, die Zugriff auf die Daten haben:
| Schutzbedarf | Schutz |
| Daten mit keinem oder normalen Schutzbedarf | Normaler Cloud-Schutz |
| Daten mit hohem Schutzbedarf | Liegen, vom Inhaber selbst verschlüsselt, in der Cloud und sind nur zugänglich für die Mitglieder dieser Gruppe. |
| Daten mir sehr hohem Schutzbedarf | Sind für die Cloud ungeeignet. |
5 Regelungen
Bevor Daten in der Cloud abgelegt werden, müssen die im vorangegangenen Abschnitt 4 betrachteten Abhängigkeiten zwischen der Datenkategorie, dem Schutzbedarf der Daten und der Eignung beachtet werden. Darüber hinaus gelten die in diesem Abschnitt aufgestellten Regelungen.
Ordnerstruktur und Rechte
- Die bestehende Ordnerstruktur darf unter keinen Umständen verändert werden.
- Es dürfen weitere Unterordner in den bestehenden Ordnern angelegt werden, die dann automatisch für die gesamte Gruppe verfügbar sind.
- Gruppen dürfen nur von den Administratoren angelegt werden.
- Rechte dürfen nur von den Administratoren vergeben werden.
Zugänglichkeit
- Bevor Daten hochgeladen werden, muss überlegt werden ob diese Daten einer größeren Personengruppe zugänglich gemacht werden muss oder ob nicht der Versand per Email ausreichend ist.
- Es bekommen nur haupt- und ehrenamtliche Mitarbeiter:innen einen Account, die ihn für ihre Tätigkeiten brauchen.
- Das Passwort muss alle 356 Tage erneuert werden.
- Das Passwort besteht aus mindestens 8 Zeichen und muss Sonderzeichen, Zahlen und Groß- und Kleinbuchstaben beinhalten.
- Nach 5 fehlgeschlagenen Anmeldeversuchen wird der Account gesperrt.
- Nur wer diese Nutzungsrichtlinien unterschreibt bekommt einen Account.
- Nur wer die Verpflichtungserklärung zum Datengeheimnis gemäß § 5 KDG unterschrieben hat, bekommt einen Account.
Freigabe
- Bevor die Daten hochgeladen werden, muss sich überlegt werden wer diese Daten zwingend braucht bzw. für welche Form der Öffentlichkeit und über welchen Zeitraum die Daten zugänglich gemacht werden.
Sparsamer Umgang
- Prinzipiell sollten bei der Nutzung die in Frage kommenden Datenmengen auf das notwendige Mindestmaß begrenzt werden.
- Bevor Daten in der Cloud ausgelagert werden, muss eine Abwägung des erwarteten Nutzens mit den bestehenden Risiken vorgenommen werden.
Urheberrecht beachten
- Bevor Daten hochgeladen werden, muss geprüft werden wer Inhaber/ Urheber ist. Ggf. ist eine Einwilligung einzuholen.
Daten, die nicht hochgeladen werden dürfen
- Daten, die gesetzeswidrig sind. dürfen nicht hochgeladen werden. Der Besitz ist strafbar. Die hochladende Person wird angezeigt.
- Daten, die fremdenfeindlich, pornografisch, sexistisch, diskriminierend oder verachtend sind, dürfen nicht hochgeladen werden.
- Private Dateien dürfen nicht hochgeladen werden.
- Daten mit sehr hohem Schutzbedarf dürfen nicht hochgeladen werden.
Die Leitungen der Gruppen haben die Aufsicht über die Ordnerstruktur ihrer Gruppe. Sie sind verpflichtet Verstöße an das jeweilige Pfarramt zu melden.
Löschung von Daten
Daten, die einer gesetzlichen Löschungsverpflichtung unterliegen sind für die Ablage in der Cloud ungeeignet.
Endgültige Löschungen von Daten bedürfen eines längeren Zeitraumes, weil der Löschbefehl zwar sofort von Benutzer erkannt wird, aber der Hoster der Cloud, Backup-Sicherungen zur Verfügung stellt.
Beim Löschen von Daten ist darauf zu achten, dass die Daten wirklich gelöscht und nicht nur ausgeblendet werden. Das bedeutet, der Inhaber der Daten muss das Löschen vollziehen.
[1] Eckpunktepapier „Sicherheitsempfehlungen für Cloud Computing Anbieter“, BSI 2011, Art.- Nr.: BSI-Bro11/311
Sonntagsgottesdienste
09:00 Uhr oder 10:30 Uhr im Wechsel in
- St. Maria, Ditzingen,
- St. Peter und Paul, Gerlingen,
- Zur Heiligsten Dreifaltigkeit, Hirschlanden
- Hl. Geist, Heimerdingen
Vorabend (Samstag)
- 17:30 Uhr Beichte und Rosenkranz
- 18:00 Uhr Eucharistie
jeweils in St. Andreas, Gerlingen. - 18:30 Uhr Beichte
- 19:00 Uhr Eucharistie
jeweils in St. Maria, Ditzingen.
Genaue Uhrzeiten entnehmen Sie bitte dem Gerlinger bzw. Ditzinger Anzeiger oder jeweiligen Gemeinde-Homepage.
Gottesdienste unter der Woche
Dienstags
- 18:30 Uhr Rosenkranz
- 19:00 Uhr Eucharistie
in St. Maria, Ditzingen
Mittwochs
- 09:30 Uhr Eucharistie in St. Andreas, Gerlingen
Donnerstags
- 09:00 Uhr Rosenkranz
- 09:30 Uhr Eucharistie
in St. Maria, Ditzingen.
Freitags
- 17:30 Uhr Rosenkranz
- 18:00 Uhr Eucharistie
in St. Andreas, Gerlingen
Pastoralteam
|
|
Alexander KönigLeitender Pfarrer |
|
|
Janine IrtenkaufPastoralreferentin |
|
|
Josef MoskalskiPfarrer |
|
|
Martin HenselGemeindereferent |
|
|
Jakob MattBerufspraktisches Jahr |
Mehr Informationen zum Pastoralteam finden Sie hier.
Weitere Pastorale Mitarbeiter
Pfarrer Hans-Peter Bischoff
Kliniken Schillerhöhe
Alexander Hofer
Diakon im Zivilberuf
Dr. Werner Gatzweiler
Diakon im Zivilberuf
Adressen
St. Maria
Katholische Kirche Ditzingen
Hinter dem Schloss 17
71254 Ditzingen
Telefon: 07156-501010
Email: Stmaria.ditzingen@drs.de
St. Peter und Paul
Katholische Kirche Gerlingen
Maximilian-Kolbe-Platz 8
70839 Gerlingen
Telefon: 07156-21722
E-Mail: stpeterundpaul.gerlingen@drs.de
Zur Heiligsten Dreifaltigkeit
Kath. Kirchengemeinde Hirschlanden
mit Heimerdingen und Schöckingen
71254 Ditzingen-Hirschlanden
E-Mail: kathkirche.hirschlanden@drs.de
Katholisch im Strohgäu
@katholischimstrohaeu
Wir auf Facebook
@katholischimstrohaeu
Wir auf Instagram
@katholischimstrohgau7946
Wir auf Youtube
St. Maria für dich
Facebook-Gruppe
St. Maria Facebook-Gruppe
@stmariaditzingen
St.Maria für dich auf Instagram
Kath. Kirche Hirschlanden
@KathKircheHila
Wir auf Facebook
Gerlingen im Livestream
Livestream
von besonderen Gottesdiensten