Einleitung
Die DSGVO regelt den Schutz personenbezogener Daten und die Rechte der Bürger an ihren personenbezogenen Daten. Die Governikus KG liefert mit ihrem Produkt Governikus DATA Boreum eine Software aus, die zum Teil auch personenbezogene Daten verarbeitet. Die folgende Beschreibung liefert die entsprechenden Aussagen zu den Funktionen von Governikus DATA Boreum.
Download und Installation
Beim Download von Governikus DATA Boreum ist die Kommunikation zwischen dem Rechner des Benutzers und dem Download-Server der Governikus KG SSL-verschlüsselt. Die IP-Adresse des Benutzers wird auf dem Download-Server im Server-Protokoll anonymisiert gespeichert, indem die letzten beiden der vier IP-Blöcke jeweils den Wert 0 erhalten. Damit ist eine Rückverfolgung des Benutzers nicht mehr möglich.
In den Installations- und Programmpaketen von Governikus DATA Boreum sind keine personenbezogenen Daten enthalten, weder bei der Online-Version (Programmdaten werden beim Aufruf von Governikus DATA Boreum auf Aktualität geprüft und gegebenenfalls nachgeladen) noch bei der Offline-Version (Programmdaten werden beim Aufruf ohne Prüfung auf Aktualität direkt geladen).
Zertifikate mit personenbezogenen Daten
Für das Signieren von Dateien, für die Validierung von Zertifikaten und für die Validierung von Signaturen können Zertifikate eingesetzt werden, die personenbezogene Daten enthalten. In Zertifikaten kann der Name des Zertifikatsinhabers (Common Name = CN) stehen. Es können weitere personenbezogene Daten in Zertifikaten enthalten sein, wenn dies der Aussteller oder Zertifikatsinhaber vorgegeben hat. Dies gilt auch für Pseudonyme in Zertifikaten, da auch hier einen Personenbezug hergestellt werden kann.
Die Verwendung von Zertifikaten, die auf Personen ausgestellt sind, ist für die Erstellung von qualifizierten elektronischen Signaturen notwendig. Ohne diese Daten kann die Funktion Signieren nicht durchgeführt werden. Das Einverständnis des Betroffenen bei der Verarbeitung dieser personenbezogenen Daten, die der Betroffene in seinen Zertifikaten hat eintragen lassen, wird also implizit vorausgesetzt, da sonst das Signieren nicht möglich ist. Die Verantwortung für das datenschutzkonforme Ausstellen und Veröffentlichen von Zertifikaten liegt bei der Zertifizierungsstelle, also dem Zertifizierungsdienstanbieter.
Konfiguration von Governikus DATA Boreum
Die Konfiguration von Governikus DATA Boreum wird in einer XML-Datei gespeichert. Diese wird als Standardeinstellung im Profil-Ordner des Benutzers gespeichert, der Speicherort kann vom Benutzer verändert werden:
· Windows: Der Profil-Ordner liegt im Verzeichnis C:\Users\<Benutzername>
· Linux: Der Profil-Ordner liegt im Verzeichnis /home/<Benutzername>
Die Konfigurationsdatei heißt boreum.xml. Außer zwei möglichen Ausnahmen enthält die Konfigurationsdatei keine personenbezogenen Daten.
· Validieren: Zum Validieren muss eine Verbindung zum Validierungsdienst konfiguriert werden. Der Validierungsdienst signiert die Antworten mit dem Prüfergebnis. Damit diese Signatur von Governikus DATA Boreum geprüft werden kann, muss das Signaturzertifikat des Validierungsdienstes in der Konfiguration hinterlegt werden. Üblicherweise kommt hier ein Signaturzertifikat aus einer internen PKI zum Einsatz. Es kann auch ein Signaturzertifikat eingesetzt werden, dass personenbezogene Daten enthält.
Log-Dateien
In den Log-Dateien von Governikus DATA Boreum sind keine personenbezogenen Daten enthalten. Weder beim Signieren noch beim Validieren werden Zertifikatsdaten in der Log-Datei protokolliert.
Prüfprotokoll
Das Prüfprotokoll beschreibt das Ergebnis der Validierung eines Zertifikats, respektive der Validierung einer Signatur. Es enthält die personenbezogenen Daten aus dem jeweiligen Zertifikat. Ohne diese Daten kann keine Prüfung vorgenommen werden. Das Prüfprotokoll wird in demselben Verzeichnis gespeichert, in dem die Datei liegt, deren Zertifikat, respektive deren Signatur geprüft wurde. Es findet keine automatische Löschung der Prüfprotokolle statt. Es liegt in der Verantwortung des Benutzers von Governikus DATA Boreum, Prüfprotokolle in einer geschützten Umgebung zu speichern und diese zu löschen, wenn die Aufbewahrung nicht mehr notwendig ist.
Datensparsamkeit
Das Gebot der Datensparsamkeit ist durchgängig berücksichtigt. Es werden grundsätzlich nur die Daten verarbeitet, die für die Funktionen von Governikus DATA Boreum benötigt werden. Es werden keine Daten erhoben.
Schutz der Daten vor unbefugtem Zugriff durch Dritte
Der Ort der Speicherung von Zertifikatsdaten, Prüfprotokollen und signierte Dateien liegt in der Verantwortung des Benutzers von Governikus DATA Boreum. Folgt der Benutzer den Empfehlungen für den Betrieb, die im Kapitel 10.1 beschreiben sind, ist ein angemessener Schutz gewährleistet. Die Umsetzung der Empfehlungen liegt in der Verantwortung des Benutzers und ist dem Einfluss der Governikus KG entzogen.