.

Geltungszeitraum von: 01.01.2008

Geltungszeitraum bis: 30.06.2015

Verordnung
zur Durchführung des Kirchengesetzes
über den Datenschutz der EKD
(Datenschutzdurchführungsverordnung – DSVO)

vom 9. Dezember 2003

(Ges. u. VOBl. Bd. 13 S. 115)

Aufgrund von § 27 Abs. 2 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) vom 12. November 1993 (ABl. EKD S. 505), geändert durch Kirchengesetz vom 7. November 2002 (ABl. EKD S. 381) hat der Landeskirchenrat in seiner Sitzung am 9. Dezember 2003 nachfolgende Verordnung beschlossen; zuletzt geändert am 26. August 2008 (Ges. u. VOBl Bd. 14 S. 252)
#

I. Allgemeine Regelungen

###

§ 1
Übersicht über die kirchlichen Werke und Einrichtungen mit eigener Rechtspersönlichkeit
(zu § 1 Abs. 2 DSG-EKD)

Das Landeskirchenamt führt die Übersicht nach § 1 Abs. 2 DSG-EKD über die kirchlichen Werke und Einrichtungen mit eigener Rechtspersönlichkeit.
#

§ 2
Verpflichtung auf das Datengeheimnis
(zu § 6 DSG-EKD)

Die Verpflichtung auf das Datengeheimnis nach § 6 DSG-EKD ist nach dem Formblatt der Anlage 1 vorzunehmen, soweit die Personen nicht aufgrund anderer kirchlicher Bestimmungen zur Verschwiegenheit verpflichtet werden.
#

§ 3
Genehmigung der Einrichtung automatisierter Abrufverfahren
(zu § 10 Abs. 3 DSG-EKD)

Die Einrichtung eines automatisierten Abrufverfahrens mit nichtkirchlichen Stellen nach § 10 Abs. 3 DSG-EKD bedarf der Genehmigung durch das Landeskirchenamt.
#

§ 4
Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten im Auftrag
(zu § 11 Abs. 2 und 5 DSG-EKD)

( 1 ) Für die nach § 11 Abs. 2 Satz 3 DSG-EKD erforderliche Genehmigung über die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten im Auftrag durch andere Stellen oder Personen ist das Landeskirchenamt zuständig. Die Erteilung einer allgemeinen Genehmigung ist zulässig. Die Genehmigungspflicht gilt nicht bei der Auftragsvergabe zur Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen mit anderen Stellen nach § 11 Abs. 5.
( 2 ) Soweit es sich bei den beauftragten Stellen um kirchliche Werke und Einrichtungen mit eigener Rechtspersönlichkeit handelt, die Mitglieder des Diakonischen Werkes sind, wird die Genehmigung im Einvernehmen mit dem Diakonischen Werk erteilt.
#

§ 5
Aufsicht
(zu § 14 DSG-EKD)

( 1 ) Die Einhaltung des Datenschutzes und die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen (§ 14 Abs. 2 DSG-EKD), wird – unbeschadet der allgemeinen Aufsicht durch das Landeskirchenamt – überwacht hinsichtlich des Aufgabenbereiches
  1. der Kirchengemeinden vom Landeskirchenamt
  2. der kirchlichen Werke und kirchlichen Einrichtungen mit eigener Rechtspersönlichkeit von ihrem durch Kirchengesetz, durch Satzung, Vereinbarung oder Stiftungsurkunde für die Aufsicht bestimmten Organ.
( 2 ) Im landeskirchlichen Bereich übt der Landeskirchenrat die Aufsicht über die Einhaltung des Datenschutzes aus.
( 3 ) Die kirchlichen Körperschaften sowie die kirchlichen Werke und kirchlichen Einrichtungen mit eigener Rechtspersönlichkeit sollen Dienst- und Organisationsanweisungen für den Einsatz und Betrieb der Informations- und Kommunikationstechnik sowie für die Durchführung des Datenschutzes und der Datensicherheit erlassen.
#

§ 6
Übersicht über automatisierte Verarbeitungen
(zu §§ 14 Abs. 2 und 21 Abs. 2 DSG-EKD)

( 1 ) Die Übersicht nach § 14 Abs. 2 DSG-EKD wird von den kirchlichen Stellen jeweils für ihren Zuständigkeitsbereich nach dem Formblatt der Anlage 2 geführt; sie ist auf dem neuesten Stand zu halten.
( 2 ) Die Einsicht in die Übersicht nach § 21 Abs. 2 DSG-EKD ist unentgeltlich zu gewähren.
( 3 ) Die Übersicht ist der oder dem Beauftragten für den Datenschutz auf Anforderung zu übermitteln.
#

§ 7
Kostenerstattung
(zu § 15 Abs. 4 DSG-EKD)

Sofern im Rahmen des Auskunftsrechts nach § 15 Abs. 4 DSG-EKD zusätzlich Ablichtungen erstellt werden, dürfen die kirchlichen Stellen eine angemessene Kostenerstattung entsprechend der Gebührenordnung für kirchliche Archive (Archivgebührenordnung) berechnen.
#

§ 8
Rechtsstellung der oder des Beauftragten für den Datenschutz
(zu § 18 DSG-EKD)

Die oder der Beauftragte für den Datenschutz wird vom Landeskirchenrat im Einvernehmen mit dem Vorstand des Diakonischen Werkes für die Dauer von vier Jahren berufen; Wiederberufung ist zulässig. Die Dienstaufsicht führt der Landeskirchenrat. Die Berufung und der Dienstsitz sind im Gesetz- und Verordnungsblatt bekannt zu geben.
#

§ 9
Betriebsbeauftragte für den Datenschutz und örtlich Beauftragte für den Datenschutz
(zu § 22 DSG-EKD)

( 1 ) Kirchliche Werke und Einrichtungen mit eigener Rechtspersönlichkeit bestellen Betriebsbeauftragte für den Datenschutz und die übrigen kirchlichen Stellen örtlich Beauftragte für den Datenschutz. Die Verpflichtung zur Bestellung von Beauftragten nach Satz 1 entfällt, wenn nicht mehr als sechs Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten befasst sind. Für diese Beauftragten ist eine Vertretung zu bestellen. Dies kann auch eine Beauftragte oder ein Beauftragter einer anderen kirchlichen Stelle sein.
( 2 ) Vor der Bestellung gemeinsamer Betriebsbeauftragter und örtlich Beauftragter für den Datenschutz nach § 22 Abs. 1 Satz 2 DSG-EKD hat jede beteiligte kirchliche Stelle ihre Zustimmung zur Bestellung zu erklären. Dabei können Vereinbarungen zum Arbeitsumfang und zur Finanzierung getroffen werden.
( 3 ) Die Bestellung von Beauftragten nach Absatz 1 kann befristet oder unbefristet erfolgen. Sie erfolgt schriftlich nach dem Muster der Anlage 3. Die Bestellung kann nach Anhörung der betroffenen Beauftragten schriftlich widerrufen werden, wenn ein Interessenkonflikt mit anderen Aufgaben oder sonst ein wichtiger Grund eintritt.
Die Bestellung und der Widerruf sind in geeigneter Form den Mitarbeiterinnen und Mitarbeitern bekannt zu geben.1#
( 4 ) Die Bestellung und der Widerruf von Beauftragten nach Absatz 1 ist dem Beauftragten für den Datenschutz anzuzeigen.
Die Bestellung und der Widerruf von Betriebsbeauftragten für den Datenschutz ist zusätzlich dem Diakonischen Werk mitzuteilen.
Die Bestellung und der Widerruf von örtlich Beauftragten für den Datenschutz ist zusätzlich der aufsichtsführenden Stelle gemäß § 5 Abs. 1 Ziffer 1 und 2 bekannt zu geben.
( 5 ) Die Beauftragten nach Absatz 1 können im Rahmen ihrer Aufgaben nach § 22 Abs. 4 DSG-EKD Auskünfte verlangen und Einsicht in Unterlagen nehmen. Hiervon ausgenommen sind personenbezogene Daten nach § 19 Abs. 7 DSG-EKD.
#

II. Gemeindegliederdaten, Amtshandlungsdaten

###

§ 10
Gemeindegliederdaten

( 1 ) Die von den kommunalen Stellen übermittelten Meldedaten und die von kirchlichen Stellen erhobenen personenbezogenen Daten dürfen für die Führung der Gemeindegliederverzeichnisse sowie für kirchliche Aufgaben verarbeitet und genutzt werden. Die Bestimmungen des Kirchenmitgliedschaftsgesetzes, der Verordnung über die in das Gemeindegliederverzeichnis aufzunehmenden Daten der Kirchenmitglieder mit ihren Familienangehörigen sowie die Verordnung für die Führung eines Verzeichnisses der Kirchenmitglieder sind zu beachten.
( 2 ) Die kirchlichen Stellen dürfen Namen, Vornamen und Anschriften von Gemeindegliedern an ihre Medien- und Presseverbände zum Zwecke der Werbung für die Kirchengebietspresse übermitteln. Die kirchliche Stelle kann schriftlich genehmigen, dass die übermittelten personenbezogenen Daten im Auftrag durch andere Stellen oder Personen genutzt werden dürfen. § 11 DSG-EKD und § 4 dieser Verordnung bleiben unberührt.
( 3 ) Die Medien- und Presseverbände dürfen den kirchlichen Stellen mitteilen, welche Gemeindeglieder Zeitungen oder Zeitschriften der Kirchengebietspresse abonniert haben.
( 4 ) Die Weitergabe von personenbezogenen Daten von Gemeindegliedern zur gewerblichen Nutzung ist nicht zulässig.
#

§ 11
Veröffentlichung von Gemeindegliederdaten und Amtshandlungsdaten durch Kirchengemeinden

( 1 ) Die Kirchengemeinden dürfen Alters- und Ehejubiläen von Gemeindegliedern in Gemeindebriefen und anderen örtlichen kirchlichen Publikationen mit Namen und Anschriften sowie Tag und Ort des Ereignisses veröffentlichen, soweit die Betroffenen im Einzelfall nicht widersprochen haben. Auf das Widerspruchsrecht sind die Betroffenen rechtzeitig vor der Veröffentlichung hinzuweisen. Bei regelmäßigen Veröffentlichungen ist es ausreichend, wenn ein Hinweis auf das Widerspruchsrecht an derselben Stelle wie die Veröffentlichung erfolgt.
( 2 ) Die Kirchengemeinden dürfen kirchliche Amtshandlungen in Gemeindebriefen und anderen örtlichen kirchlichen Publikationen mit Namen, Anschriften sowie Tag und Ort der vorgenommenen Amtshandlung veröffentlichen. Die Veröffentlichung unterbleibt, wenn hierfür von den Betroffenen ein überwiegendes schutzwürdiges Interesse am Ausschluss der Veröffentlichung geltend gemacht wird. Die Veröffentlichung der Adressen der Betroffenen darf in Gemeindebriefen und anderen örtlichen kirchlichen Publikationen vorgenommen werden, soweit die Betroffenen im Einzelfall nicht widersprochen haben. Absatz 1 Sätze 2 und 3 gelten entsprechend.
( 3 ) Die aus den kommunalen Melderegistern übermittelten Auskunfts- und Übermittlungssperren sowie das Widerspruchsrecht nach den Absätzen 1 und 2 sind in die kirchlichen Gemeindegliederverzeichnisse aufzunehmen und zu beachten. Personenbezogene Daten von Personen, für die Auskunfts- oder Übermittlungssperren bestehen, dürfen für Veröffentlichungen nur genutzt werden, wenn vorher das Einverständnis der betroffenen Personen eingeholt wurde.
( 4 ) Die Veröffentlichung von Namen und Anschriften von Gemeindegliedern, ihrer Alters- und Ehejubiläen sowie von kirchliche Amtshandlungsdaten im Internet sind nur zulässig, wenn die Einwilligung der betroffenen Personen vorher schriftlich eingeholt wurde.
( 5 ) Die in der Anlage 4 enthaltenen Hinweise und Erläuterungen sind zu beachten und die Muster zu verwenden.
#

III. Verkündigungsdienste

###

§ 12
Seelsorgedaten

Seelsorgedaten sind personenbezogene Daten, die in Wahrnehmung des Seelsorgeauftrages bekannt werden. Sie beschreiben persönliche, insbesondere familiäre, wirtschaftliche oder berufliche Angelegenheiten des Gemeindegliedes oder anderer betroffener Personen. Durch geeignete Maßnahmen ist sicherzustellen, dass die Seelsorgedaten Dritten nicht zugänglich sind.
#

§ 13
Theologinnen und Theologen

Die zuständigen Stellen können für die in § 24 Abs. 1 DSG-EKD genannten Zwecke bei Pfarrerinnen und Pfarrern, Predigerinnen und Predigern, Vikarinnen und Vikaren, Bewerberinnen und Bewerbern des Predigtamtes sowie bei den Theologiestudierenden personenbezogene Daten von Angehörigen erheben, verarbeiten und nutzen, soweit dies im Rahmen der Aufgabenerfüllung erforderlich ist.
#

IV. Verzeichnisse über Personen und Dienste, Daten von Beschäftigten

###

§ 14
Anschriftenverzeichnisse der kirchlichen Stellen und ihrer Amtsträger, Gesetz- und Verordnungsblatt

( 1 ) Anschriftenverzeichnisse, die Namen, Dienst- oder Amtsbezeichnungen, dienstliche Anschriften, Stellenbesetzungs-, Geburts- und ggf. Ordinationsdaten von kirchlichen Mitarbeiterinnen und Mitarbeitern und sonstigen Inhaberinnen und Inhabern kirchlicher Ämter und Ehrenämter enthalten, dürfen für die kirchliche und diakonische Arbeit unter Verwendung der vorliegenden Personendaten hergestellt, verarbeitet und genutzt werden. Privatanschriften können erhoben und für Anschriftenverzeichnisse genutzt werden, soweit dies für die Erreichbarkeit erforderlich ist. Die Daten der Pfarrerinnen und Pfarrer im Ruhestand dürfen mit Namen, Dienstbezeichnungen, letzten Tätigkeiten, Geburtsdaten und Privatanschriften in Anschriftenverzeichnisse aufgenommen werden.
( 2 ) Für die Zusammenarbeit der kirchlichen Stellen, zur Information der ehrenamtlichen Mitglieder der kirchlichen Gremien, der kirchlichen Mitarbeiterinnen und Mitarbeiter sowie der öffentlichen und sonstigen Stellen und Personen im Sinne der §§ 12 und 13 DSG-EKD dürfen die Anschriftenverzeichnisse übermittelt werden, soweit dies aus organisatorischen Gründen und zur Aufgabenerfüllung erforderlich ist.
( 3 ) Kirchliche und diakonische Stellen dürfen die für die Erstellung dieser Verzeichnisse notwendigen personenbezogenen Daten untereinander übermitteln.
( 4 ) Im Gesetz- und Verordnungsblatt dürfen die erforderlichen personenbezogenen Daten von den bei kirchlichen Stellen beschäftigten Mitarbeitenden sowie von ehrenamtlich Tätigen veröffentlicht werden, wenn dies im kirchlichem Interesse liegt.
#

§ 15
Organe und Ausschüsse, Mitglieder, Personalangelegenheiten

( 1 ) Personenbezogene Daten von Mitgliedern der Leitungsorgane der kirchlichen Stellen und ihrer Einrichtungen sowie von diesen gebildeten Ausschüssen und Arbeitsgruppen können erhoben, verarbeitet und genutzt werden, soweit dies für die Arbeit der genannten Gremien erforderlich ist.
( 2 ) Die kirchlichen Stellen dürfen Namen, Geburtsdaten, Adressen sowie kirchliche Ämter und Funktionen von Mitgliedern ihrer Organe und Ausschüsse zur Erfüllung kirchlicher Aufgaben an die aufsichtsführenden Stellen, im diakonischen Bereich an das Diakonische Werk sowie die jeweiligen Fachverbände übermitteln. Die kirchlichen Stellen dürfen Namen, Adressen sowie kirchliche Ämter und Funktionen von Mitgliedern ihrer Organe und Ausschüsse an ihre Medien- und Presseverbände zur ausschließlichen Nutzung für die ihnen von der Kirche übertragenen Aufgaben übermitteln.
( 3 ) Personenbezogene Daten dürfen an Mitglieder der Leitungsorgane der kirchlichen Stellen, ihrer Einrichtungen sowie von diesen gebildeten Ausschüssen und Arbeitsgruppen übermittelt werden, soweit dies zu ihrer Aufgabenerfüllung erforderlich ist und schützenswerte Interessen Einzelner nicht überwiegen. Bei der Beratung und Entscheidung in Personalangelegenheiten ist die Anlage 5 zu beachten.
#

§ 16
Ehrenamtliche

( 1 ) Personenbezogene Daten der in der kirchlichen oder in der diakonischen Arbeit ehrenamtlich Tätigen können von den zuständigen Stellen für kirchliche Zwecke und zur Erfüllung des ehrenamtlichen Dienstauftrages erhoben, verarbeitet und genutzt werden.
( 2 ) Die kirchlichen Stellen dürfen Namen, Geburtsdaten, Adressen sowie kirchliche Ämter und Funktionen von ehrenamtlich Tätigen zur Erfüllung kirchlicher Aufgaben an die aufsichtsführenden Stellen, im diakonischen Bereich an das Diakonische Werk sowie die jeweiligen Fachverbände übermitteln. Die kirchlichen Stellen dürfen Namen, Adressen sowie kirchliche Ämter und Funktionen von ehrenamtlich Tätigen an ihre Medien- und Presseverbände zur ausschließlichen Nutzung für die ihnen von der Kirche übertragenen Aufgaben übermitteln.
#

§ 17
Einheitliche Datenverwaltungssysteme, Intranet

( 1 ) Personenbezogene Daten aus den Bereichen Ausbildungs-, Prüfungs-, Personal-, Stellen-, Gremien- und Liegenschaftsverwaltung, Anschriftenverzeichnisse, aus diakonischen Arbeitsbereichen sowie weiteren Bereichen, soweit dies aus organisatorischen Gründen erforderlich ist, dürfen im Rahmen eines einheitlichen Datenverwaltungsprogramms einer kirchlichen Stelle sowie eines Intranets, auf das mehrere kirchliche Stellen gemeinsam zugreifen können, erhoben, verarbeitet und genutzt werden.
( 2 ) Es ist sicherzustellen, dass die gespeicherten personenbezogenen Daten in der jeweiligen kirchlichen Stelle nur den Personen zugänglich gemacht werden, die sie für die Erfüllung ihrer Aufgaben benötigen. § 41 ist zu beachten. Durch technische und organisatorische Maßnahmen ist sicherzustellen, dass der Schutz der verarbeiteten personenbezogenen Daten gemäß §§ 9, 10 DSG-EKD gewährleistet ist und die Löschungsbestimmungen eingehalten werden.
#

§ 18
Archivwesen

( 1 ) Personenbezogene Daten von Benutzerinnen und Benutzern der kirchlichen Archive dürfen erhoben, verarbeitet und genutzt werden, soweit dies für die Erfüllung der Aufgaben erforderlich ist.
( 2 ) Personenbezogene Daten der Benutzerinnen und Benutzer, die an wissenschaftlichen Themen oder Dissertationen arbeiten, dürfen mit den Angaben zum Thema der Arbeit an den zentralen Nachweis wissenschaftlicher Themen und Bearbeiter in kirchlichen Archiven übermittelt werden, soweit die Betroffenen im Einzelfall nicht widersprochen haben.
#

§ 19
Darlehen, Gehaltsvorschüsse, Unterstützungen

Die kirchlichen Stellen dürfen die für die Gewährung von Darlehen, Gehaltsvorschüssen und Unterstützungen erforderlichen personenbezogenen Daten der Empfängerinnen und Empfänger, gegebenenfalls die der mithaftenden Familienangehörigen oder Bürgen, erheben, verarbeiten und nutzen; dies gilt auch zur Sicherung und Tilgung der Forderungen und zur Vorlage von Verwendungsnachweisen.
#

§ 20
Krankheitsbeihilfen

( 1 ) Die in Anträgen auf die Gewährung von Beihilfen in Krankheits-, Pflege-, Geburts- und Todesfällen enthaltenen personenbezogenen Daten von Antragstellenden sowie ihrer Familienangehörigen dürfen nur von der für die Festsetzung der Beihilfe zuständigen Stelle erhoben, verarbeitet und genutzt werden.
( 2 ) Bei Wechsel des Anstellungsträgers der oder des Beihilfeberechtigten oder der für die Festsetzung der Beihilfe zuständigen Stelle dürfen die für die Bearbeitung von Beihilfeanträgen notwendigen Daten übermittelt werden.
( 3 ) Die kirchlichen Stellen dürfen den mit der Bearbeitung von Beihilfen und Leistungen nach dem Pflegeversicherungsgesetz beauftragten Stellen die notwendigen personenbezogenen Daten von Beihilfeberechtigten und deren Familienangehörigen für die Bearbeitung von Beihilfeanträgen übermitteln.
#

§ 21
Versorgungskassen

( 1 ) Die kirchlichen Versorgungskassen dürfen zur Bearbeitung und Zahlung von Versorgungsbezügen einschließlich der Zahlung von Nachversicherungsbeiträgen und Versorgungsausgleichserstattungen sowie von Beihilfen in Krankheits-, Pflege-, Geburts- und Todesfällen diejenigen personenbezogenen Daten der betroffenen Personen und deren Familienangehörigen erheben, verarbeiten und nutzen, die für die Erhebung der Beiträge und für die Berechnung und Zahlung der Versorgungsbezüge sowie für die Gewährung von Beihilfen und Leistungen nach dem Pflegeversicherungsgesetz erforderlich sind.
( 2 ) Die kirchlichen Zusatzversorgungskassen dürfen zur Bearbeitung und Zahlung von Altersrenten, Erwerbsunfähigkeits- und Berufsunfähigkeitsrenten, Hinterbliebenenrenten sowie weiterer Versicherungsleistungen diejenigen personenbezogenen Daten der kirchlichen Mitarbeiterinnen und Mitarbeiter sowie der Empfängerinnen und Empfänger von Renten erheben, verarbeiten und nutzen, die für die Zahlung der Umlagen und für die Berechnung und Zahlung der Renten, Sterbegelder sowie weiterer Versicherungsleistungen erforderlich sind.
( 3 ) Die Befugnis zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten erstreckt sich auch auf den Personenkreis, der von der Anlage des Kassenvermögens der Versorgungs- und Zusatzversorgungskassen betroffen ist.
#

V. Bildungswesen, Aus-, Fort- und Weiterbildung

###

§ 22
Schülerinnen und Schüler und deren Erziehungsberechtigte

( 1 ) Schulen und deren kirchliche oder diakonische Träger dürfen von den Schülerinnen und Schülern sowie von den Erziehungsberechtigten personenbezogene Daten erheben, verarbeiten und nutzen, soweit deren Kenntnis für die Erfüllung der Aufgaben der Schule, des Trägers und für die Internatsbetreuung erforderlich ist. Die gespeicherten personenbezogenen Daten dürfen in der Schule nur den Personen zugänglich gemacht werden, die sie für die Erfüllung ihrer Aufgaben benötigen.
( 2 ) Schülerinnen und Schüler sowie deren Erziehungsberechtigte sind zur Angabe der nach Abs. 1 Satz 1 erforderlichen Daten verpflichtet; sie sind bei der Datenerhebung auf ihre Auskunftspflicht hinzuweisen. Andere personenbezogene Daten dürfen nur mit Einwilligung der Betroffenen erhoben werden. Minderjährige Schüler sind einwilligungsfähig, wenn sie die Bedeutung und Tragweite der Einwilligung und ihre rechtlichen Folgen erfassen können und ihren Willen hiernach zu bestimmen vermögen.
( 3 ) Verhaltensdaten von Schülerinnen und Schülern, Daten über gesundheitliche Auffälligkeiten und etwaige Behinderungen und Daten aus psychologischen und ärztlichen Untersuchungen dürfen nicht automatisiert verarbeitet werden. Daten über besondere pädagogische, soziale und therapeutische Maßnahmen und deren Ergebnisse dürfen nur erhoben und verarbeitet werden, soweit für Schülerinnen und Schüler eine besondere schulische Betreuung in Betracht kommt. Dies gilt auch für entsprechende außerschulische personenbezogene Daten, die der Schule amtlich bekannt geworden sind. Es ist durch technische und organisatorische Maßnahmen sicherzustellen, dass der Schutz der verarbeiteten personenbezogenen Daten gemäß § 9 DSG-EKD gewährleistet ist und die Löschungsbestimmungen eingehalten werden.
( 4 ) Die in Abs. 1 Satz 1 genannten Daten dürfen einer kirchlichen Stelle, einer Schule, der Schulaufsichtsbehörde, dem Gesundheitsamt, dem Jugendamt, dem Landesjugendamt, den Ämtern für Ausbildungsförderung, dem Landesamt für Ausbildungsförderung sowie an sonstige Stellen außerhalb des kirchlichen Bereichs nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden. Dem schulpsychologischen Dienst dürfen personenbezogene Daten nur mit Einwilligung der Betroffenen übermittelt werden.
( 5 ) Die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern in privaten DV-Anlagen von Lehrerinnen und Lehrern für dienstliche Zwecke bedarf der schriftlichen Genehmigung durch die Schulleitung. Die Genehmigung darf nur erteilt werden, wenn die Verarbeitung der personenbezogenen Daten nach Art und Umfang für die Erfüllung der schulischen Aufgaben erforderlich ist und ein angemessener technischer Zugangsschutz nachgewiesen wird. Die Lehrerinnen und Lehrer sind verpflichtet, der Schulleitung sowie der oder dem jeweiligen Beauftragten für den Datenschutz alle Auskünfte zu erteilen, die für die datenschutzrechtliche Verantwortung erforderlich sind.
#

§ 23
Lehrerinnen und Lehrer

( 1 ) Schulen und deren kirchliche oder diakonische Träger dürfen von den Lehrerinnen und Lehrern, Lehramtsanwärterinnen und Lehramtsanwärtern sowie Studienreferendarinnen und Studienreferendaren personenbezogene Daten erheben, verarbeiten und nutzen, soweit dies zur Aufgabenerfüllung, insbesondere bei der Unterrichtsorganisation sowie in dienstrechtlichen, arbeitsrechtlichen oder sozialen Angelegenheiten erforderlich ist. § 22 Abs. 1 Satz 2 gilt entsprechend.
( 2 ) Die in Abs. 1 Satz 1 genannten Daten dürfen kirchlichen Stellen, staatlichen Schulaufsichtsbehörden sowie weiteren Stellen außerhalb des kirchlichen Bereichs nur übermittelt werden, soweit sie von diesen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.
#

§ 24
Religionspädagogische Einrichtungen

( 1 ) Religionspädagogische Einrichtungen dürfen von den Personen, die Lehrgänge als Lehrende oder Teilnehmende besuchen, die für die Veranstaltungen, Kurse und Prüfungen erforderlichen personenbezogenen Daten erheben, verarbeiten und nutzen, soweit dies im Rahmen der Erfüllung der Aufgaben erforderlich ist.
( 2 ) Die in Abs. 1 genannten personenbezogenen Daten dürfen für Zwecke der Aus-, Fort- und Weiterbildung an staatliche Schulaufsichtsbehörden, Schulen und andere kirchliche Stellen übermittelt werden, soweit dies zur Aufgabenerfüllung dieser Stellen erforderlich ist. Eine Veröffentlichung der personenbezogenen Daten bedarf der Einwilligung der Betroffenen.
#

§ 25
Theologiestudierende

( 1 ) Die zuständigen Stellen dürfen personenbezogene Daten der in die Liste der Theologiestudierenden eingetragenen Studierenden erheben, verarbeiten und nutzen, soweit dies zur Förderung des Studiums, zur Begleitung und Beratung bei der Ausbildung, zu Prüfungszwecken sowie zur Durchführung der in § 24 Abs. 1 DSG-EKD genannten Maßnahmen erforderlich ist.
( 2 ) Zur Förderung, Begleitung und Beratung der Theologiestudierenden dürfen Name, Vorname, Adresse einschließlich Telefonnummer, Fax-Nummer und E-Mail-Adresse sowie der Studienort an den Konventsrat übermittelt werden.
#

§ 26
Hochschulen

Die Fachhochschulen und Hochschulen in kirchlicher Trägerschaft dürfen von ihren Studienbewerberinnen und Studienbewerbern, von den Hochschulangehörigen und von den sonst bei ihr Tätigen für die Teilnahme an Lehrveranstaltungen und für Prüfungen sowie für die sonstige Nutzung der Einrichtungen der Hochschulen personenbezogene Daten erheben, verarbeiten und nutzen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.
#

§ 27
Tagungen und sonstige kirchliche Veranstaltungen

( 1 ) Die kirchlichen Stellen können bei ihren Veranstaltungen personenbezogene Daten der Mitwirkenden und der Teilnehmenden erheben, verarbeiten und nutzen, soweit dies für die Durchführung der Veranstaltung notwendig ist.
( 2 ) Die Teilnehmerlisten von Veranstaltungen dürfen allen Teilnehmerinnen und Teilnehmern übermittelt werden, soweit nicht eine Betroffene oder ein Betroffener der Übermittlung ihrer oder seiner Daten widersprochen hat.
( 3 ) Die personenbezogenen Daten von Teilnehmerinnen und Teilnehmern dieser Veranstaltungen dürfen mit Einwilligung der Betroffenen gespeichert und genutzt werden, soweit die kirchlichen Stellen diesen Personen weitere Schulungshinweise, Arbeits- und Informationsmaterial sowie weitere Auskünfte über Veranstaltungen und Entwicklungen einzelner Fortbildungssachgebiete vermitteln oder zielgruppengerichtete Einladungen zu weiteren kirchlichen Veranstaltungen ermöglichen wollen.
#

§ 28
Aus-, Fort- und Weiterbildung

( 1 ) Kirchliche Stellen dürfen im Rahmen der von ihnen durchgeführten Maßnahmen der Aus-, Fort- und Weiterbildung personenbezogene Daten der Mitwirkenden und Teilnehmenden erheben, verarbeiten und nutzen, soweit dies für die Erfüllung der Aufgaben erforderlich ist.
( 2 ) Die kirchlichen Stellen dürfen den Ausbildungsstätten bei Anmeldung zu Studium und Prüfung sowie bei Zuweisung zum fachtheoretischen Unterricht personenbezogene Daten der Kirchenbeamtinnen und Kirchenbeamten auf Widerruf übermitteln soweit dies zur Aufgabenerfüllung der Ausbildungsstätten erforderlich ist; das gleiche gilt für die für die praktische Ausbildung zuständigen Verwaltungsstellen und die Prüfungsämter für Verwaltungslaufbahnen. Für kirchliche Angestellte gilt Satz 1 entsprechend.
#

VI. Kirchliche Abgaben, Finanzwesen, Grundstückswesen

###

§ 29
Steuerdaten der Gemeindeglieder

( 1 ) Personenbezogene Daten, die in Ausübung der Berufs- und Amtspflicht von einer zur Wahrung des Steuergeheimnisses verpflichteten Person übermittelt worden sind, dürfen nicht zu anderen Zwecken als zur Verwaltung der Kirchensteuer sowie zur Führung des Gemeindegliederverzeichnisses und zum Abgleich der Meldedaten verarbeitet oder genutzt werden.
( 2 ) Die Übermittlung der Steuerdaten der Gemeindeglieder zwischen den steuererhebenden Körperschaften, den kirchlichen Verwaltungsstellen und den zuständigen Stellen der Kirchen ist zulässig, soweit dies zur ordnungsgemäßen Besteuerung und Verwaltung erforderlich ist.
#

§ 30
Steuergeheimnis

( 1 ) Die Wahrung des Steuergeheimnisses geht den Regelungen des Datenschutzes vor.
( 2 ) Diejenigen Personen, die mit der Bearbeitung von Steuersachen befasst sind oder von Steuersachen Kenntnis erlangen, sind zusätzlich schriftlich zur Wahrung des Steuergeheimnisses zu verpflichten.
#

§ 31
Freiwilliges Kirchgeld

Soweit die Kirchengemeinden von den Gemeindegliedern freiwilliges Kirchgeld erheben, gilt § 29 sinngemäß. Die für die Erhebung benötigten personenbezogenen Daten dürfen aus dem Gemeindegliederverzeichnis, im Übrigen nur bei den betroffenen Gemeindegliedern erhoben und zweckentsprechend verarbeitet und genutzt werden.
#

§ 32
Dienstwohnungen und Werkmietwohnungen

Die kirchlichen Stellen dürfen, wenn sie Dienstwohnungen oder Werkmietwohnungen an Beschäftigte überlassen, die personenbezogenen Daten der Wohnungsinhaberinnen und Wohnungsinhaber erheben, verarbeiten und nutzen, soweit dies zur Durchführung der Nutzungsverhältnisse einschließlich der Abrechnungen erforderlich ist. Diese Daten dürfen, soweit es zur ordnungsgemäßen Abwicklung der laufenden Vorgänge und zur Überprüfung erforderlich ist, zwischen den beteiligten Stellen ausgetauscht werden.
#

§ 33
Nutzung von Grundstücken und Gebäuden

Die kirchlichen Stellen sowie von ihnen Beauftragte dürfen, sofern sie Dritten Grundstücke, Gebäude, Gebäudeteile und Wohnraum zur Miete oder sonst zur Nutzung überlassen oder daran Rechte einräumen, personenbezogenen Daten der Nutzungsberechtigten erheben, verarbeiten und nutzen, soweit dies zur verwaltungsmäßigen Abwicklung und Überprüfung erforderlich ist.
#

§ 34
Wohnungsbewerberinnen und Wohnungsbewerber, Mietbeihilfen

Die kirchlichen Stellen sowie ihre Beauftragten dürfen die Daten von Wohnungsbewerberinnen und Wohnungsbewerbern und von den Antragstellenden auf Mietbeihilfen und ähnliche Leistungen sowie von deren Familienangehörigen erheben, verarbeiten und nutzen, soweit dies zur Aufgabenerfüllung erforderlich ist. Eine Übermittlung dieser Daten ist nur mit Einwilligung der Betroffenen zulässig.
#

§ 35
Kirchliche Friedhöfe

( 1 ) Zur Bewirtschaftung und Verwaltung der Friedhöfe und ihrer Einrichtungen sowie zur Festsetzung und Einziehung von Gebühren dürfen von den Friedhofsträgern oder in ihrem Auftrage die zu den vorgenannten Zwecken erforderlichen personenbezogenen Daten der Verstorbenen und der Nutzungsberechtigten erhoben, verarbeitet und genutzt werden.
( 2 ) Im Rahmen der Zulassung und Überwachung der auf den Friedhöfen tätigen Gewerbetreibenden des Friedhofs- und Bestattungsgewerbes dürfen von den Friedhofsträgern die erforderlichen personenbezogenen Daten erhoben, verarbeitet und genutzt werden.
( 3 ) Der Friedhofsträger darf zum Zwecke der Bestattung die notwendigen Daten der oder des Verstorbenen sowie von Angehörigen an die Pfarrerin oder den Pfarrer übermitteln, die oder der die Bestattung vornimmt.
( 4 ) Bei der Umbettung von Leichen dürfen den zuständigen Gesundheitsbehörden die notwendigen Daten der Verstorbenen übermittelt werden.
( 5 ) Lässt sich ein Friedhofsträger bei Genehmigung von Grabmalen bezüglich deren Gestaltung von Sachverständigen beraten, so dürfen den Sachverständigen zur Prüfung der vorgelegten Anträge die notwendigen personenbezogenen Daten übermittelt werden.
( 6 ) Zum Zwecke der Vollstreckung von Friedhofsgebühren dürfen den zuständigen Behörden die notwendigen personenbezogenen Daten übermittelt werden.
( 7 ) Die Lage von Grabstätten darf Dritten auf entsprechende Nachfrage bekannt gegeben werden, wenn diese ein berechtigtes Interesse glaubhaft machen und anzunehmen ist, dass schutzwürdige Belange der Verstorbenen und der Nutzungsberechtigten nicht beeinträchtigt werden.
#

VII. Diakonische Arbeitsbereiche

###

§ 36
Einrichtungen der Jugendhilfe

( 1 ) Soweit für den Betrieb von Einrichtungen der Jugendhilfe, insbesondere Tageseinrichtungen für Kinder, durch den Leistungserbringer oder Träger die Erhebung, Verarbeitung, insbesondere Übermittlung, sowie Nutzung personenbezogener Daten erforderlich ist, sind die Vorschriften über den Schutz personenbezogener Daten des Sozialgesetzbuches entsprechend anzuwenden.
( 2 ) Tageseinrichtungen für Kinder dürfen personenbezogene Daten der Kinder und deren Erziehungsberechtigter erheben, verarbeiten und nutzen, soweit dies zur Erfüllung des Auftrags der Tageseinrichtungen und ihrer Fürsorgeaufgaben erforderlich ist.
( 3 ) Personenbezogene Daten, die für die Festsetzung der Elternbeiträge erforderlich sind, dürfen die Träger ausschließlich zu diesem Zweck erheben, verarbeiten und nutzen. Die Daten nach Satz 1 sind bei den Betroffenen selbst zu erheben; sie dürfen nicht an andere Stellen übermittelt werden, es sei denn, eine kommunale Körperschaft benötigt sie zur Festsetzung oder Erhebung der Beiträge. Unterlagen dürfen nur in dem Umfang übermittelt werden, soweit dies zur Festsetzung der Elternbeiträge erforderlich ist. Auf die Pflicht zur Auskunft für die Berechnung, Übernahme und die Ermittlung oder den Erlass von Teilnahme- oder Kostenbeiträgen nach dem Kinder- und Jugendhilfegesetz (SGB VIII) soll hingewiesen werden.
( 4 ) Personenbezogene Daten der in den Einrichtungen nach Abs. 1 aufgenommenen Kinder dürfen mit Einverständnis der Erziehungsberechtigten erhoben und durch den Träger oder die von ihm beauftragten Stellen verarbeitet und genutzt werden, sofern dies für Zwecke der Gemeindearbeit erforderlich ist. Das gleiche gilt für Zwecke des öffentlichen Schulwesens nach Maßgabe der hierfür geltenden Bestimmungen.
#

§ 37
Beratungsstellen

( 1 ) Beratungsstellen dürfen diejenigen personenbezogenen Daten erheben, verarbeiten und nutzen, die für die jeweils beantragte Beratung erforderlich sind. Soweit personenbezogene Daten von Sozialleistungsträgern übermittelt werden oder die Anwendbarkeit von staatlichen Vorschriften vereinbart wurde, gelten zum Schutz dieser Daten ergänzend die jeweiligen Teile des Sozialgesetzbuchs entsprechend.
( 2 ) Die personenbezogenen Daten über die Betroffene oder den Betroffenen, insbesondere alle Einzelangaben über persönliche und sachliche Verhältnisse, über Familienangehörige und ihre Lebensverhältnisse (Sozialdaten) werden bei der oder dem Betroffenen erhoben. Informationen von der oder dem Betroffenen über Dritte, die nicht zur Familie gehören, dürfen nicht mithilfe von DV-Programmen verarbeitet werden.
( 3 ) Die Sozialdaten der oder des Betroffenen dürfen für Fallbesprechungen im Fachteam nur offenbart werden, wenn die oder der Betroffene die Einwilligung erteilt hat. Bei Verweigerung der Einwilligung dürfen die Sozialdaten der oder des Betroffenen nur in anonymisierter Form offenbart werden.
( 4 ) Die Beratungsdokumentation mit den Sozialdaten, die persönlichen Aufzeichnungen, der Tätigkeitsnachweis der Beraterin oder des Beraters und die statistischen Unterlagen sind sicher aufzubewahren. Die regelmäßigen Aufbewahrungsfristen sind zu beachten.
( 5 ) Nach Ablauf der Aufbewahrungsfristen, und wenn keine Haftungsansprüche aus der Beratungstätigkeit gegen die Beraterin oder den Berater anhängig sind, wird die Beratungsdokumentation – ohne ärztliche und sonstige Schweigepflichtentbindungen – dem zuständigen kirchlichen Archiv in anonymisierter Form zur Archivierung angeboten. Soweit die Archivwürdigkeit der Unterlagen nicht vorliegt, werden sie vernichtet.
( 6 ) Die Verarbeitung und Nutzung der Sozialdaten in nichtanonymisierter Form für Zwecke der wissenschaftlichen Forschung bedarf der Zustimmung der oder des Betroffenen.
#

§ 38
Krankenhäuser, Vorsorge- und Rehabilitationseinrichtungen

( 1 ) Daten von Patientinnen und Patienten dürfen im Krankenhaus, in einer Vorsorge- oder Rehabilitationseinrichtung erhoben, verarbeitet und genutzt werden, soweit dies im Rahmen des Behandlungsverhältnisses einschließlich der verwaltungsmäßigen Abwicklung und Leistungsberechnung, zur Erfüllung der mit der Behandlung im Zusammenhang stehenden Dokumentationspflichten oder eines damit zusammenhängenden Rechtsstreits erforderlich ist. Zu diesen Daten zählen auch personenbezogene Daten Dritter, die dem Krankenhaus, der Vorsorge- oder Rehabilitationseinrichtung im Zusammenhang mit der Behandlung und Pflege bekannt werden.
( 2 ) Für die Qualitätssicherung einschließlich Leistungsauswertung und -entwicklung im Krankenhaus und die Aus-, Fort- oder Weiterbildung ist der Zugriff auf die Daten der Patientinnen und Patienten nur insofern zulässig, als diese Zwecke nicht mit anonymisierten Daten erreicht werden können.
( 3 ) Die Verarbeitung und Nutzung der Daten von Patientinnen und Patienten durch den Sozialdienst und die Krankenhausseelsorge ist zulässig, soweit dies für die soziale Betreuung und zur Erfüllung seelsorgerlicher Aufgaben erforderlich ist.
( 4 ) An die Seelsorgerinnen und Seelsorger der für die Patientin oder den Patienten zuständigen Gemeinde dürfen zur Erfüllung seelsorgerlicher Aufgaben Name, Vorname, Geburtsdatum, Bekenntnisstand, Wohnsitz und Aufnahmedatum übermittelt werden, sofern die Patientin oder der Patient der Übermittlung nicht widersprochen hat oder Anhaltspunkte dafür bestehen, dass eine Übermittlung nicht angebracht ist.
Zu der Ermittlung der zuständigen Gemeinde können die Daten nach Satz 1 an die für das kirchliche Meldewesen zuständige Stelle übermittelt und von dort an die Seelsorgerinnen und Seelsorger der für die Patientinnen und Patienten zuständigen Gemeinde weitergeleitet werden.
Die Patientin oder der Patient ist bei der Aufnahme darauf hinzuweisen, dass der Übermittlung widersprochen werden kann.
( 5 ) Die Übermittlung der Daten von Patientinnen und Patienten an Stellen und Personen außerhalb des Krankenhauses und deren Nutzung ist neben der Erfüllung von Pflichten aufgrund bestehender Rechtsvorschriften nur zulässig, soweit dies erforderlich ist zur
  1. Behandlung einschließlich der Mit-, Weiter- und Nachbehandlung, wenn die Patientin oder der Patient nach Hinweis auf die beabsichtigte Übermittlung nicht etwas anderes bestimmt hat; § 73 Abs. 1b Satz 2 SGB V ist zu beachten;
  2. Abwehr einer gegenwärtigen Gefahr für das Leben, die Gesundheit oder die persönliche Freiheit der Patientin oder des Patienten oder Dritter;
  3. Abrechnung und Durchsetzung von Ansprüchen aufgrund der Behandlung, zur Überprüfung der Leistungserbringung sowie zur Rechnungsprüfung;
  4. Unterrichtung von Angehörigen, soweit es zur Wahrung ihrer berechtigten Interessen erforderlich ist, schutzwürdige Belange der Patientin oder des Patienten nicht beeinträchtigt werden und die Einholung der Einwilligung für die Patientin oder den Patienten gesundheitlich nachteilig wäre oder nicht möglich ist.
Als Übermittlung gilt auch die Weitergabe der Daten von Patientinnen und Patienten zwischen Behandlungseinrichtungen verschiedener Fachrichtungen in einem Krankenhaus (Fachabteilungen), sofern diese Fachabteilungen nicht unmittelbar mit Untersuchung oder Behandlung und Pflege befasst sind.
Die übermittelnde Stelle hat die Empfängerinnen oder Empfänger, die Art der übermittelten Daten und die betroffenen Patientinnen und Patienten aufzuzeichnen.
Die Daten empfangenden Stellen und Personen haben die übermittelten Daten der Patientinnen und Patienten in demselben Umfang geheim zu halten wie das Krankenhaus selbst.
( 6 ) Das Krankenhaus darf sich zur Verarbeitung der Daten von Patientinnen und Patienten, zur Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen anderer Personen und Stellen nur dann bedienen, wenn die Einhaltung der geltenden Datenschutzbestimmungen und der Geheimhaltungspflichten nach § 203 StGB gewährleistet ist.
( 7 ) Das Krankenhaus soll die Auskunft nach § 15 DSG-EKD über die die Patientin oder den Patienten betreffenden ärztlichen Daten und die Einsicht in die Behandlungsdokumentation nur durch eine Ärztin oder einen Arzt vermitteln lassen. Ein Anspruch auf Auskunft oder Einsichtnahme steht der Patientin oder dem Patienten nicht zu, soweit berechtigte Geheimhaltungsinteressen Dritter, deren Daten zusammen mit denen der Patientin oder des Patienten aufgezeichnet sind, überwiegen.
#

§ 39
Sonstige diakonische Einrichtungen

( 1 ) Diakonische Einrichtungen, die nicht unter die §§ 36 – 38 fallen, dürfen personenbezogenen Daten der von ihnen betreuten oder behandelten Personen, ihrer Angehörigen, Bevollmächtigten sowie ihrer rechtlichen Betreuerinnen und Betreuer erheben, verarbeiten und nutzen, soweit dies im Rahmen des Behandlungs-, Betreuungs- oder sonstigen Vertragsverhältnisses einschließlich der verwaltungsmäßigen Abwicklung und Leistungsberechnung, zur Erfüllung der mit der Behandlung im Zusammenhang stehenden Dokumentationspflichten oder eines damit zusammenhängenden Rechtsstreits erforderlich ist.
( 2 ) Diakonische Einrichtungen nach Absatz 1 dürfen personenbezogene Daten der von ihnen betreuten oder behandelten Personen, ihrer Angehörigen, Bevollmächtigten sowie ihrer rechtlichen Betreuerinnen und Betreuer an kirchliche Stellen übermitteln, soweit dies für die verwaltungsmäßige Abwicklung oder Leistungsberechnung erforderlich ist.
( 3 ) Für seelsorgerliche Aufgaben ist die Übermittlung von Name, Vorname, Wohnsitz, Geburtsdatum, Bekenntnisstand an die Seelsorgerin oder den Seelsorger der für die betreute oder behandelte Person zuständigen Gemeinde zulässig, sofern diese Person der Übermittlung nicht widersprochen hat oder keine Anhaltspunkte dafür bestehen, dass eine Übermittlung nicht angebracht ist. Sie ist bei Aufnahme des Behandlungs-, Betreuungs- oder sonstigen Vertragsverhältnisses darauf hinzuweisen, dass der Übermittlung widersprochen werden kann.
( 4 ) Die Übermittlung personenbezogener Daten der betreuten oder behandelten Personen an Stellen und Personen außerhalb der diakonischen Einrichtung und deren Nutzung richtet sich nach § 38 Absatz 5.
( 5 ) Für die Datenverarbeitung im Auftrag sowie für die Fernwartung gilt § 38 Absatz 6 entsprechend.
#

§ 40
Daten von Patientinnen und Patienten sowie Forschung, Krebsregister

( 1 ) Die Verarbeitung der Daten von Patientinnen und Patienten aus kirchlichen Krankenhäusern und anderen diakonischen Einrichtungen ist zu Zwecken der wissenschaftlichen Forschung nur zulässig, soweit die Patientin oder der Patient eingewilligt hat.
( 2 ) Ohne Einwilligung dürfen diese Daten für eigene wissenschaftliche Forschungsvorhaben nur von den bei den kirchlichen Stellen beschäftigten Personen, die der ärztlichen Schweigepflicht unterliegen, verarbeitet oder genutzt werden.
( 3 ) Ohne Einwilligung dürfen diese Daten zum Zwecke einer bestimmten wissenschaftlichen Forschung an Dritte übermittelt, durch diese verarbeitet oder genutzt werden, wenn
  1. der Zweck dies Forschungsvorhabens nicht auf andere Weise erreicht werden kann sowie
  2. das berechtigte Interesse der Allgemeinheit an der Durchführung des Forschungsvorhabens das Geheimhaltungsinteresse der Patientin oder des Patienten erheblich überwiegt und
  3. es entweder nicht möglich oder für die Patientin oder den Patienten aufgrund des derzeitigen Gesundheitszustandes nicht zumutbar ist, eine Einwilligung einzuholen.
Die übermittelnde Stelle hat die Empfängerinnen oder Empfänger, Zweck des Forschungsvorhaben, die betroffenen Patientinnen und Patienten und die Art der übermittelten Daten aufzuzeichnen.
( 4 ) Sobald es der Forschungszweck gestattet, sind die personenbezogenen Daten zu anonymisieren oder zu pseudonymisieren. Merkmale, mit deren Hilfe ein Personenbezug wieder hergestellt werden kann, sind gesondert zu speichern; sie sind zu löschen, sobald der Forschungszweck es erlaubt.
( 5 ) Veröffentlichungen von Forschungsergebnissen dürfen keinen Rückschluss auf die Personen zulassen, deren Daten verarbeitet wurden, es sei denn, die Patientin oder der Patient hat in die Veröffentlichung ausdrücklich eingewilligt.
( 6 ) Soweit die Bestimmungen dieser Verordnung auf die empfangenden Stellen oder Personen keine Anwendung finden, dürfen die Daten von Patientinnen und Patienten nur übermittelt werden, wenn diese sich verpflichten
  1. die Daten nur für das von ihnen genannte Forschungsvorhaben zu verwenden,
  2. die Bestimmungen der Absätze 4 und 5 einzuhalten,
  3. der oder dem Beauftragten für den Datenschutz auf Verlangen Einsicht und Auskunft zu gewähren.
Die Empfängerinnen oder Empfänger müssen nachweisen, dass die technischen und organisatorischen Voraussetzungen zur Erfüllung der Verpflichtung nach Nummer 2 vorliegen.
( 7 ) Für die Erhebung und Übermittlung von Daten für das Krebsregister gelten die jeweiligen bundes- bzw. landesrechtlichen Regelungen entsprechend.
#

§ 41
Geltung weiterer Vorschriften

Neben den kirchlichen Datenschutzbestimmungen ist insbesondere der § 203 des Strafgesetzbuches zu beachten. Soweit personenbezogene Daten von Sozialleistungsträgern übermittelt werden oder die Anwendbarkeit von staatlichen Vorschriften vereinbart wurde, gelten zum Schutz dieser Daten ergänzend die jeweiligen Teile des Sozialgesetzbuches entsprechend.
#

VIII. Fundraising

###

§ 42
Erhebung, Verarbeitung und Nutzung personenbezogener Daten

( 1 ) Fundraising ist eine kirchliche Aufgabe mit dem Ziel der Beziehungspflege und der Ressourcenbeschaffung. Kirchliche Stellen dürfen personenbezogene Daten von Gemeindegliedern und deren Angehörigen, von den in der kirchlichen oder in der diakonischen Arbeit ehrenamtlich oder neben- oder hauptberuflich Tätigen und von an der kirchlichen und diakonischen Arbeit interessierten Personen für das Fundraising erheben, verarbeiten und nutzen, soweit dies für die Durchführung des Fundraising erforderlich ist.
( 2 ) Die kirchlichen Stellen dürfen für das Fundraising die in ihrem Gemeindegliederverzeichnis und in den Kirchenbüchern enthaltenen Daten von Kirchenmitgliedern und Familienangehörigen nutzen, soweit kein melderechtlicher Sperrvermerk diese Nutzung ausschließt.
( 3 ) Die kirchliche Stellen dürfen für das Fundraising Daten nutzen, die aus allgemein zugänglichen Quellen entnommen oder zu diesem Zweck erworben werden.
( 4 ) Es ist durch geeignete Maßnahmen sicherzustellen, dass die Seelsorgedaten nach § 12 im Rahmen des Fundraisings Dritten nicht zugänglich sind. Seelsorgedaten dürfen nur mit Einwilligung der betroffenen Person für das Fundraising verarbeitet und genutzt werden.
( 5 ) Personenbezogene Daten der von diakonischen Einrichtungen betreuten oder behandelten Personen (Patientendaten), ihrer Angehörigen, Bevollmächtigten sowie ihrer rechtlichen Betreuerinnen und Betreuer dürfen nur mit deren Einwilligung erhoben, verarbeitet oder genutzt werden.
( 6 ) Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung erhoben, verarbeitet oder genutzt werden, soweit die betroffene Person widerspricht (Teilnutzungssperre).
( 7 ) Die personenbezogenen Daten sind zu löschen, soweit nicht einer Löschung der kirchliche Auftrag des Fundraisings, Rechtsvorschriften oder Aufbewahrungsfristen entgegenstehen.
#

§ 43
Datenverarbeitung im Auftrag

( 1 ) Bei der Datenverarbeitung im Auftrag ist § 11 DSG-EKD zu beachten. Die Speicherung der personenbezogenen Daten hat mandantenbezogen zu erfolgen. Mandant ist, in dessen Auftrag oder zu dessen Gunsten das Fundraising durchgeführt wird.
( 2 ) Personenbezogene Daten von Personen, für die Auskunftssperren wegen Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen bestehen, dürfen im Rahmen des Fundraisings an andere Stellen oder Personen nicht übermittelt werden.
( 3 ) Eine Weitergabe der personenbezogenen Daten durch die beauftragte Stelle an Dritte ist auszuschließen.
( 4 ) Die oder der Betriebsbeauftragte für den Datenschutz oder die oder der örtlich Beauftragte für den Datenschutz der beauftragenden kirchlichen Stelle ist frühzeitig über die Auftragsdatenverarbeitung zu informieren.
( 5 ) Werden personenbezogene Daten für das Fundraising im Auftrag durch andere Stellen oder Personen erhoben, verarbeitet oder genutzt, ist vor einer Beauftragung die Genehmigung nach § 4 einzuholen.
#

§ 44
Datenübermittlung an kirchliche Stellen

( 1 ) Personenbezogene Daten können an kirchliche Stellen übermittelt werden, wenn
  1. die empfangende kirchliche Stelle sie ausschließlich für das eigene Fundraising nutzt,
  2. die empfangende kirchliche Stelle sicherstellt, dass der Umfang und der Zeitpunkt des Fundraisings mit der übermittelnden kirchlichen Stelle abgestimmt wird,
  3. die empfangende kirchliche Stelle sicherstellt, dass die melderechtlichen Sperrvermerke und Teilnutzungssperren beachtet und der übermittelnden kirchlichen Stelle mitgeteilt werden,
  4. ausreichende technische und organisatorische Datenschutzmaßnahmen unter Beachtung des Schutzbedarfs der Anforderungen der Anlage zu § 9 S. 1 DSG-EKD vorliegen, von denen sich im Zweifelsfall die übermittelnde kirchliche Stelle zu überzeugen hat und
  5. die Betriebsbeauftragten für den Datenschutz oder die örtlich Beauftragten für den Datenschutz der beteiligten kirchlichen Stellen über Umfang und Zweck der Datenübermittlung informiert werden.
( 2 ) Für das eigene Fundraising kirchlicher Stellen dürfen nur folgende Daten von Kirchenmitgliedern und ihren Familienangehörigen aus dem kirchlichen Meldewesen übermittelt werden:
  1. Name und gegenwärtige Anschrift;
  2. Geburtsdatum, Geschlecht, Staatsangehörigkeit(en), Familienstand, Stellung in der Familie;
  3. Zahl und Alter der minderjährigen Kinder;
  4. Religionszugehörigkeit und Zugehörigkeit zu einer Kirchengemeinde;
  5. melderechtliche Sperrvermerke.
#

IX. Schlussbestimmungen

###

§ 45
Ausführungsbestimmungen

( 1 ) Das Landeskirchenamt kann Ausführungsbestimmungen erlassen, insbesondere solche, die den Umfang der zu erhebenden und zu speichernden personenbezogenen Daten sowie die Übermittlung betreffen und solche über die Aufbewahrung, Aussonderung, Löschung und Vernichtung der Dateien und Akten.
( 2 ) Das Landeskirchenamt wird ermächtigt, die Anlagen zu dieser Verordnung zu ändern.
#

§ 46
Inkrafttreten, Außerkrafttreten

( 1 ) Diese Verordnung tritt am 1. Januar 2008 in Kraft.
Detmold, den 16. Oktober 2007
Der Landeskirchenrat
#

Anlage 1 zu § 2

#

Verpflichtung auf das Datengeheimnis

(nach § 6 DSG-EKD i. V. m. § 2 DSVO)
Frau/Herr
wird unter Aushändigung des anliegenden Merkblattes wie folgt auf das Datengeheimnis verpflichtet:
Es ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis).
Das Datengeheimnis besteht nach Beendigung Ihrer Tätigkeit fort.
Verstöße gegen das Datengeheimnis können dienstrechtlich, arbeitsrechtlich, urheberrechtlich, strafrechtlich, disziplinarrechtlich und haftungsrechtlich geahndet werden.
Ort, Datum
Unterschrift der Mitarbeiterin, des Mitarbeiters
Unterschrift der Verpflichtenden, des Verpflichtenden
Original zur Personalakte
Kopie an Mitarbeiterin/Mitarbeiter
#

Anlage 2 zu § 6

#

Übersicht über die automatisierte Verarbeitung

nach § 14 Abs. 2 DSG-EKD i.V. mit § 6 DSVO
I. Angaben zur verantwortlichen Stelle (§ 14 Abs. 2 Ziff. 1 – DSG-EKD)
Name der verantwortlichen Stelle:
II. Angaben zu den Verfahren automatisierter Verarbeitung (§ 14 Abs. 2 Ziff. 2-9 – DSG-EKD)
Bezeichnung der Verarbeitungsprogramme
1.2
Art der Verarbeitungsprogramme
2.
Zweckbestimmung
3.
Art der gespeicherten Daten
4.
Betroffener Personenkreis
5.1
Art der regelmäßig zu übermittelnden Daten
5.2
Daten empfangende Stellen
6.
Regelfristen der Löschung der Daten
7.
Zugriffsberechtigter Personenkreis
8.
Rechtsgrundlage für die Datenverarbeitung

Erstellt von:
(Name, Vorname, Funktion)
Datum: Unterschrift:
#

Erläuterungen zur Übersicht über automatisierte Verarbeitungen

1. Sinn und Zweck der Übersicht
Eine Übersicht über die eingesetzten Datenverarbeitungsprogramme schafft Transparenz und ermöglicht die Überwachung der Datenverarbeitung. Die Mitarbeitenden der kirchlichen Stelle können sich anhand des Verzeichnisses einen Überblick über die für sie zutreffenden Arbeitsabläufe und Verfahren verschaffen. Die Übersicht hilft auch bei der Erfüllung der Auskunftspflicht nach § 15 des Kirchengesetzes über den Datenschutz in der Evangelischen Kirche in Deutschland (DSG-EKD) gegenüber betroffenen Personen, besonders dann, wenn die Angaben im Auskunftssuchen nicht sofort zum Auffinden der gewünschten Daten führen. Die Übersicht ist ein wichtiges Instrumentarium
  1. bei der Datenschutzselbstkontrolle durch die oder den örtlichen Datenschutzbeauftragten oder die oder den Betriebsbeauftragten für den Datenschutz,
  2. für die Leitung sowie die für die Datenverarbeitung zuständigen Personen,
  3. für eine mögliche Fremdkontrolle durch die oder den Beauftragten für den Datenschutz bzw. die zuständigen Aufsichtsgremien.
2. Meldepflicht – Anzeige und Verfahren automatisierter Verarbeitung
Grundsatz
Kirchliche Stellen sind nach § 21 DSG-EKD grundsätzlich verpflichtet, alle Verfahren, die zur automatisierten Verarbeitung personenbezogener Daten dienen, vor der Inbetriebnahme der oder dem zuständigen Beauftragten für den Datenschutz zu melden. Demnach unterliegen Datenverarbeitungsprogramme, mit denen personenbezogene Daten erhoben, gespeichert oder übermittelt werden, vor der Einführung bei der kirchlichen Stelle der Meldepflicht.
Wann muss gemeldet werden?
Die Meldung hat bereits vor der Inbetriebnahme des neuen Datenverarbeitungsprogramms zu erfolgen.
Bei wem muss gemeldet werden?
Die Meldung muss an den Beauftragten für den Datenschutz erfolgen. Die Adresse lautet:
Datenschutzbeauftragter der Evangelischen Kirche im Rheinland, der Evangelischen Kirche von Westfalen und der Lippischen Landeskirche und deren Diakonischer Werke
Rathausufer 23
40213 Düsseldorf
Tel.: 0211/13636-27, 28
E-Mail: BfD.Ev.Kirchen@ekir.de
Ausnahmen von der Meldepflicht
Die Meldepflicht entfällt nach § 21 Abs. 3 DSG-EKD, wenn die verantwortliche kirchliche Stelle eine Beauftragte oder einen Beauftragten für den Datenschutz nach § 22 DSG-EKD bestellt hat. Das gleiche gilt, wenn bei der verantwortlichen kirchlichen Stelle höchstens sechs Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betraut sind.
3. Zuständigkeit für die Führung der Übersicht
Es bietet sich an, dass die oder der örtliche Beauftragte für den Datenschutz oder die oder der Betriebsbeauftragte für den Datenschutz die Übersicht über die Datenverarbeitungsprogramme führt. Die Übersichten sind in enger Zusammenarbeit mit den in der Datenverarbeitung sowie in den Sachgebieten tätigen Personen zu erstellen. Soweit keine örtlichen Beauftragten oder Betriebsbeauftragten für den Datenschutz bestellt sind, müsste diese Aufgabe entweder von der Leitung der kirchlichen Stelle selber oder durch von ihr beauftragten Personen (z. B. Leitung der Datenverarbeitung) wahrgenommen werden.
4. Einsichtnahme von betroffenen Personen
§ 21 Abs. 2 Satz 2 DSG-EKD gestattet es allen Personen, die Übersichten einzusehen, sofern sie ein berechtigtes Interesse an der Einsichtnahme nachweisen können. Schon allein aus diesem Grunde sollten die Übersichten laufend aktualisiert werden, soweit Veränderungen in den DV-Verfahren eintreten.
5. Erläuterungen zur Erstellung der Übersicht
Mit der Übersicht wird nicht nur der Name des eingesetzten Datenverarbeitungsprogramms aufgelistet, sondern sie besteht aus einer ausführlichen Beschreibung für alle in der kirchlichen Stelle genutzten automatisierten Verfahren. Der Inhalt der Verfahrensbeschreibungen ist im § 14 Abs. 2 DSG-EKD geregelt. Für automatisierte Verarbeitungen, die in gleicher oder ähnlicher Weise mehrfach geführt werden, können die Festlegungen zusammengefasst werden.
Ausgenommen von der Erfassung in die Übersichten sind:
Dateien, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden und
automatisierte Verarbeitungen, die allgemeinen Verwaltungszwecken dienen, einschließlich deren Datensicherung.
Zu I: Angaben zur verantwortlichen Stelle
Es ist der Name der kirchlichen Stelle oder der Einrichtung zu benennen, die ein Datenverarbeitungsprogramm einsetzt, mit dem personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Kirchliche Stellen und deren Einrichtungen können juristische Personen des Privatrechts als auch Körperschaften des öffentlichen Rechts sein (Beispiele: Alten- und Seniorenheim e.V., Krankenhaus GmbH, Jugendheim der Evangelischen Kirchengemeinde …, Kirchliche Stiftung …, Sozialstation der …, Reformierte oder lutherische Kirchengemeinde …, Diakonisches Werk e.V.).
Zu II: Angaben zu den Verfahren automatisierter Verarbeitung
Zu 1.1: Bezeichnung der Verarbeitungsprogramme
Es ist der offizielle Name des DV-Programms mit Versions-Nr. einzutragen (z. B. Microsoft Excel Version 5.0), um die Gefahr einer Verwechslung mit anderen Programmen auszuschließen.
Zu 1.2: Art der Verarbeitungsprogramme
Da die Programmnamen oftmals nicht aussagekräftig genug sind, wäre an dieser Stelle die Art der Verarbeitungsprogramme anzugeben (z. B. Datenbank, E-Mail-Programm, Kalkulationsprogramm, Meldewesenprogramm, Personalabrechnungs-Verfahren).
Zu 2.: Zweckbestimmung
Darunter ist die Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung zu verstehen (z. B. Patientenbetreuung, Spendenwerbung, Abonnentenbetreuung, Adressdatenbank der Gremiumsmitglieder, Telefon-, Gehalts-, Beihilfeabrechnung).
Zu 3.: Art der gespeicherten Daten
Es ist die informatorische Beschreibung der Daten mit möglichst griffigen Namen einzutragen. Es ist nicht notwendig in der Beschreibung alle personenbezogenen Daten selbst aufzunehmen. Die Inhaltsbezeichnungen müssen allgemein verständlich sein, da die Übersicht von jedermann bei berechtigtem Interesse eingesehen werden kann. Auch noch nicht besetzte Datenfelder sind in der Beschreibung aufzunehmen sowie die Inhalte, die eventuell in vorhandene Freitextfelder eingetragen werden dürfen (Beispiele: Adressdaten, Bankverbindungsdaten, Alter, Einkommen, Familienstand, Konfirmationsdaten, Traudaten, Freitextfeld für die Erreichbarkeit).
Zu 4.: Betroffener Personenkreis
Es ist festzulegen, welche Personenkreise erfasst werden dürfen. Dies geschieht durch die Bezeichnung der allen Betroffenen gemeinsamen Merkmale, die sich aus dem Inhalt der Aufgabe und der Zweckbestimmung des Programms ergeben. Die Beschreibung des Personenkreises sollte so präzise erfolgen, dass für jede beliebige Person entschieden werden kann, ob sie zum Kreis gehört oder nicht (Beispiele: alle Mitarbeitenden bei einem Personalabrechnungsverfahren, alle Spenderinnen und Spender bei Spenden-Mailing-Aktionen, alle Gremiumsmitglieder bei einer Personendatenbank).
Zu 5.1: Art der regelmäßig zu übermittelnden Daten
Sofern die personenbezogenen Daten regelmäßig an Dritte übermittelt werden ist anzugeben, um welche Datenarten es sich handelt (Patienten-Datenübermittlung mit Diagnoseschlüsseln und Abrechnungsmerkmalen, Namen und Adressdaten von Spenderinnen und Spendern für Mailing-Aktionen,).
Zu 5.2: Daten empfangende Stellen
Es sind die Namen der kirchlichen, öffentlichen oder sonstigen Stellen oder von Personen einzutragen, die regelmäßig die unter 5.1 eingetragenen Daten erhalten (AOK, Jugendamt der Stadt…, Rechenzentrum …, Druckerei…).
Zu 6.: Regelfristen der Löschung der Daten
Die Löschung der Daten hat nach Ablauf der gesetzlichen, satzungsmäßigen oder vertraglichen Aufbewahrungsfristen zu erfolgen. Soweit für Daten solche Aufbewahrungsfristen nicht bestehen, sind sie zu löschen, wenn die Zweckbestimmung (s. lfd. Nr. 2) entfallen ist. Bei unterschiedlichen Löschungsfristen ist heraus zu stellen, auf welche Daten sich die jeweiligen Fristen beziehen.
Zu 7.: Zugriffsberechtigter Personenkreis
Diese Eintragung dient dem internen Datenschutz. Es ist die Person oder der Personkreis zu benennen, die oder der mit den Daten arbeitet (Beispiele: Personalleitung, Personalsachbearbeitung, Rechnungsprüfung, Sozialarbeiterinnen und Sozialarbeiter).
Zu 8.: Rechtsgrundlage für die Datenverarbeitung
Es sind die einschlägigen Vorschriften so genau wie möglich anzugeben, nach denen die Datenerhebung, -verarbeitung oder -nutzung zulässig ist. Dies können bereichsspezifische Vorschriften (z. B. Verordnung für die Führung eines Verzeichnisses für Kirchenmitglieder, Verordnung über die in das Gemeindegliederverzeichnis aufzunehmenden Daten der Kirchenmitglieder und ihrer Familienangehörigen) oder die entsprechenden Bestimmungen des DSG-EKD oder der Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz der EKD (DSVO) sein.
#

Anlage 3 zu § 9

#

Bestellung von Beauftragten nach § 22 Abs. 1 DSG-EKD und deren Stellvertretung

(§ 22 DSG-EKD i.V. mit § 9 DSVO)

Frau/Herr
(Vorname, Name)
wird für
(Name und Adresse der kirchlichen Stelle, bei gemeinsamen örtlichen Beauftragten oder Betriebsbeauftragten alle beteiligten kirchlichen Stellen aufführen)
ab dem
Grafik
zur/zum örtlich Beauftragten für den Datenschutz (Kirchengemeinde)
Grafik
als Vertretung der oder des örtlich Beauftragten für den Datenschutz
Grafik
zur/zum Betriebsbeauftragten für den Datenschutz
(Bei kirchlichen Werken und Einrichtungen mit eigener Rechtspersönlichkeit – z. B. diakonische Einrichtungen als e.V. oder GmbH, kirchliche Stiftungen)
Grafik
als Vertretung der oder des Betriebsbeauftragten für den Datenschutz bestellt.
Die Bestellung erfolgt
Grafik
auf unbestimmte Zeit
Grafik
zeitlich befristet bis zum
Im Rahmen der Datenschutzaufgaben sind Sie weisungsfrei und dürfen wegen dieser Tätigkeit nicht benachteiligt werden. Die Aufgaben ergeben sich aus dem kirchlichen Datenschutzrecht und werden in dem ausgehändigten Merkblatt „Datenschutz in der kirchlichen Stelle unter Einbindung von örtlich Beauftragten für den Datenschutz und Betriebsbeauftragten für den Datenschutz“ unter Ziffer 6 näher beschrieben.
Im Rahmen dieser Tätigkeit sind Sie unmittelbar
(Bezeichnung des gesetzlich oder verfassungsmäßig berufenen Organs / bei gemeinsamen Beauftragten für alle beteiligten kirchlichen Stellen die Organe aufführen)
unterstellt.
Ort, Datum, Unterschrift (Leitung)
#

Empfangsbestätigung

Das Berufungsschreiben sowie ein Exemplar des Merkblatts „Datenschutz in der kirchlichen Stelle unter Einbindung von örtlich Beauftragten für den Datenschutz und Betriebsbeauftragten für den Datenschutz“ habe ich erhalten.
Ort, Datum, Unterschrift der bestellten Person
Grafik
Exemplar an Mitarbeiterin/Mitarbeiter
Grafik
Exemplar zur Personalakte
Grafik
Exemplar an den Beauftragten für den Datenschutz der Evangelischen Kirche von Westfalen, der Evangelischen Kirche im Rheinland und der Lippischen Landeskirche sowie der Diakonischen Werke
Grafik
Exemplar an
Grafik
bei der Bestellung zur/zum örtlich Beauftragten für den Datenschutz an die aufsichtsführende Stelle
(bei der Bestellung auf Ebene der Kirchengemeinden an das Landeskirchenamt der Lippischen Landeskirche)
Grafik
bei der Bestellung zur/zum Betriebsbeauftragten für den Datenschutz an das Landeskirchenamt der Lippischen Landeskirche.
#

Merkblatt
„Datenschutz in der kirchlichen Stelle unter Einbindung von örtlich Beauftragten für den Datenschutz und Betriebsbeauftragten für den Datenschutz“

1. Datenschutz in der kirchlichen Stelle: Verantwortung, Kontrolle und Unterstützung
Die Verantwortung für den Datenschutz in der kirchlichen Stelle trägt die Leitung. Sie hat die Einhaltung der allgemeinen und bereichsspezifischen Datenschutzbestimmungen und die Rechtmäßigkeit der bei ihr durchzuführenden Verwaltungsverfahren sicherzustellen. Das bedeutet, dass sie auch Vorsorge für die Einhaltung datenschutzrechtlicher Bestimmungen treffen muss. Die oder der örtlich Beauftragte oder die oder Betriebsbeauftragte für den Datenschutz unterstützt die Leitung in dieser Aufgabe und kontrolliert die Umsetzung des Datenschutzes in der Verwaltungspraxis.
Nicht selten wird diese Aufgabenverteilung zwischen Leitung und Datenschutzbeauftragten missverstanden. Weder ist der Datenschutz bei einer kirchlichen Stelle mit der Benennung einer oder eines Datenschutzbeauftragten automatisch sichergestellt, noch können die Beauftragten für den Datenschutz in ihren kirchlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften gewährleisten. Die örtlich Beauftragten und Betriebsbeauftragten für den Datenschutz können Verstöße gegen datenschutzrechtliche Bestimmungen feststellen und Abhilfe verlangen, sie können auch datenschutzfreundliche Verfahren anregen, aber sie haben in letzter Konsequenz keine Möglichkeit ihre Forderungen gegenüber den einzelnen Mitarbeiterinnen und Mitarbeitern durchzusetzen. Diese Aufgabe obliegt der Leitung. Sie haben die Mitarbeiterinnen und Mitarbeiter ihrer Verwaltungen und Einrichtungen zu einer datenschutzfreundlichen Arbeitsweise anzuleiten. Eine Leitung, die aktiv Datenschutz betreibt, erfüllt so einen berechtigten Anspruch, den Gemeindeglieder, Eltern von in Kindertagesstätten betreuten Kindern, Patientinnen und Patienten von diakonischen Einrichtungen usw. an die jeweilige kirchliche Stelle richten.
2. Welche kirchliche Stelle muss Beauftragte für den Datenschutz bestellen?
Nach § 22 Abs. 1 des Kirchengesetzes über den Datenschutz in der Evangelischen Kirche in Deutschland (DSG-EKD) sollen bei kirchlichen Werken und Einrichtungen mit eigener Rechtspersönlichkeit Betriebsbeauftragte, bei den übrigen kirchlichen Stellen (Kirchengemeinden, Kirchenkreise, kirchliche Verbände) örtlich Beauftragte für den Datenschutz bestellt werden. Diese Soll-Bestimmung wird durch die Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz konkretisiert. Die aus der Bestellung von Betriebsbeauftragten für den Datenschutz gewonnenen Erfahrungen aus der Vergangenheit haben gezeigt, dass kleinere Einrichtungen sowohl fachlich als auch personell Probleme haben, aus dem Kreis der Mitarbeitenden eine Person als Beauftragte für den Datenschutz zu bestellen. § 9 Abs. 1 DSVO legt daher fest, dass kirchliche Stellen der Verpflichtung zur Bestellung von Beauftragten für den Datenschutz zwingend nachzukommen haben, wenn mehr als sechs Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten befasst sind. Kleinere Kirchengemeinden, kirchliche Stiftungen oder diakonische Vereine dürften unter diese Ausnahmeregelung fallen.
Im Zusammenhang mit der Bestellung von Beauftragten für den Datenschutz ist die Vertretung zu regeln. Bei kleineren kirchlichen Stellen dürfte es sich anbieten, dass ein von diesen Stellen berufener „gemeinsamer Beauftragter für den Datenschutz“ sich der Aufgabe annimmt. Für diesen Fall sollten über eine Vereinbarung der Aufgabenbereich und insbesondere die Kostenregelung festgeschrieben werden. Nähere Ausführungen zur Bestellung von Personen als „gemeinsamer Beauftragte für den Datenschutz“ finden sich im Abschnitt 4 dieses Merkblatts.
3. Welche Personen können zu örtlich Beauftragten oder zu Betriebsbeauftragten für den Datenschutz bestellt werden?
Die gesetzliche Vorgabe von § 22 Abs. 2 DSG-EKD lautet: „Zu Beauftragten dürfen nur Personen bestellt werden, die die zur Erfüllung ihrer Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen.“
Die oder der örtlich Beauftragte oder die oder Betriebsbeauftragte für den Datenschutz muss danach in fachlicher und persönlicher Hinsicht für die Aufgabe geeignet sein.
Zu den fachlichen Kenntnissen, die die oder der Beauftragte haben beziehungsweise erwerben sollte, gehört die Kenntnis der datenschutzrechtlichen Grundlagen. Dies sind insbesondere die allgemeinen Datenschutzbestimmungen nach dem Kirchengesetz über den Datenschutz in der EKD, nach den Durchführungsbestimmungen der Landeskirchen, die bereichsspezifischen Datenschutzbestimmungen und die für den jeweiligen Zuständigkeitsbereich einschlägigen weiteren besonderen datenschutzrechtlichen Regelungen. Außerdem sollen die Beauftragten gute Kenntnisse über die Organisation der kirchlichen Stelle und Verständnis für Fragen der Informationstechnik besitzen. Nur wenn den Beauftragten die Aufgaben, die Arbeitsweise und die Abläufe einschließlich der Datenströme in den Arbeitsbereichen vertraut sind, können sie ihre Beratungs- und Kontrollaufgaben effizient wahrnehmen. Des Weiteren sollten die Datenschutzbeauftragten über Grundkenntnisse der Datenverarbeitung und ein gewisses Maß an technischem Verständnis verfügen. Sie müssen den Aufbau, die Funktionsweise und die Anforderungen der eingesetzten Datenverarbeitungssysteme in ihren Grundzügen begreifen, um die eingesetzten Verfahren bewerten und sinnvolle Datensicherungs- und Datenschutzmaßnahmen vorschlagen zu können. In der Praxis werden nur wenige Personen von vornherein alle diese Voraussetzungen erfüllen. Hier wird die oder der Datenschutzbeauftragte seine Kenntnisse und Fähigkeiten weiterentwickeln müssen. Dazu sollte die Gelegenheit zur Teilnahme an geeigneten Fortbildungsveranstaltungen genutzt werden.
Im Hinblick auf die persönliche Zuverlässigkeit der oder des Beauftragten ist neben anderen grundlegenden Charakterstärken vor allem wichtig, dass sie oder er über eine innere Unabhängigkeit verfügt und die Verpflichtung zur Verschwiegenheit ernst nimmt (siehe auch § 22 Abs. 3 Satz 4 i. V. mit § 18 Abs. 7 DSG-EKD). Beauftragte haben Zugang zu allen sensiblen, personenbezogenen Daten. Sie werden nur dann datenschutzgerecht und vertrauensvoll mit der Leitung sowie den Mitarbeiterinnen und Mitarbeitern zusammenarbeiten können, wenn sie über diese Kenntnisse Verschwiegenheit bewahren.
Für die oder den örtlich Beauftragten oder die oder den Betriebsbeauftragte für den Datenschutz selbst wird es eine besondere Schwierigkeit darstellen, sich eine innere Unabhängigkeit in der Bewertung der datenschutzrechtlich relevanten Sachverhalte zu erhalten. Wer die Aufgabe ernst nimmt, erfährt schnell, dass Datenschutz vielfach als lästig empfunden wird. Man wird die Beauftragten möglicherweise drängen, von Datenschutzforderungen Abstand zu nehmen. Da die oder der Beauftragte üblicherweise selbst Mitarbeiterin beziehungsweise Mitarbeiter der kirchlichen Stelle ist, die sie oder ihn beauftragt hat, ist sie oder er teilweise selbst betroffen von neuen Datenschutzmaßnahmen. Es ist deswegen im Interesse der Unabhängigkeit der Beauftragten darauf zu achten, dass eine Interessenkollision zwischen der Aufgabe als örtlich Beauftragte oder Beauftragter oder als Betriebsbeauftragte oder Betriebsbeauftragter für den Datenschutz und den sonstigen Aufgaben als Mitarbeiterin oder Mitarbeiter nicht entsteht.
4. Wie kann eine Interessenkollision vermieden werden?
Die örtlich Beauftragten oder die Betriebsbeauftragten für den Datenschutz dürfen während ihrer Tätigkeit nicht mit Aufgaben betraut sein, deren Wahrnehmung zu Interessenkollisionen führen könnte. Es gilt das Prinzip, dass die oder der zu Kontrollierende nicht zum Kontrolleur werden kann. So sollen die Beauftragten beispielsweise nicht gleichzeitig leitende Aufgaben in den Bereichen der Informationstechnik wahrnehmen und es darf ihnen auch nicht die Aufsicht über die Einhaltung des Datenschutzes obliegen (siehe hierzu auch § 22 Abs. 5 DSG-EKD).
Gerade in kleinen Stellen fehlen aber häufig sachkundige Mitarbeiterinnen und Mitarbeiter, die nicht auch zugleich in datensensiblen Arbeitsbereichen tätig sind. In diesen Fällen bietet § 22 Abs. 1 Satz 2 DSG-EKD eine Lösung an. Es können mehrere Stellen gemeinsam eine oder einen Beauftragten bzw. eine Vertretung bestellen. In der Praxis sind hier verschiedene Varianten denkbar:
Mehrere gleichartige kirchliche Stellen benennen gemeinsam eine Beauftragte oder einen Beauftragten und eine Vertreterin oder einen Vertreter. Ein solches Modell bietet sich besonders für Kirchengemeinden, kleinere kirchliche Verbände, kleinere diakonische Einrichtungen und für kirchliche Stiftungen an. In dieser Weise könnte die Zusammenarbeit der kirchlichen Stellen untereinander gefördert werden.
Dieses Modell mag sich zum Beispiel für besonders große diakonischen Werke schon nicht mehr eignen, weil das Aufkommen an personenbezogenen Daten aus den unterschiedlichsten Bereichen sehr beträchtlich sein kann. Hier könnte zwar ebenfalls wegen der Gleichartigkeit der Struktur dieser diakonischen Stellen eine gemeinsame Betriebsbeauftragte oder ein gemeinsamer Betriebsbeauftragter für den Datenschutz für mehrere diakonischen Werke bestellt werden. Aber statt einer gemeinsamen Vertreterin oder eines gemeinsamen Vertreters würde es sich anbieten, in den einzelnen diakonischen Werken Vertreterinnen und Vertreter zu benennen, die der oder dem Betriebsbeauftragten für den Datenschutz zuarbeiten.
Insgesamt bietet das Gesetz hinreichende Lösungsansätze, um den Gegebenheiten vor Ort Rechnung zu tragen und zugleich Interessenkollisionen zu vermeiden. Zudem können Synergieeffekte durch das Zusammenwirken mehrerer Personen (beauftragte und vertretende Personen) genutzt werden, wenn zum Beispiel die oder der mehr rechtlich vorgebildete Beauftragte mit der oder dem technisch vorgebildeten vertretenden Beauftragten eng zusammenarbeitet.
5. Die Datenschutzbeauftragten in der kirchlichen Stelle: Bestellung, Bekanntmachung, Stellung und Abberufung
Ein Handschlag reicht zur Bestellung einer oder eines Beauftragten nicht aus. Die Übertragung von Verantwortung in diesem Umfang erfordert eine schriftliche Bestellung der oder des Beauftragten und der Vertreterinnen und Vertreter. Damit die Beauftragten ihre Aufgabe erfüllen können, müssen sie darüber hinaus auch den Beschäftigten bekannt gemacht werden (siehe auch die Anlage „Muster einer Bekanntmachung über die Bestellung von Beauftragten“). Die oder der Beauftragte sollte darüber hinaus im Geschäftsverteilung- und Organisationsplan der kirchlichen Stelle ausgewiesen sein.
Eine unabhängige und organisatorisch herausgehobene Stellung ist für eine wirkungsvolle Tätigkeit der Beauftragten von entscheidender Bedeutung. Deshalb können sich die Beauftragten jederzeit unmittelbar an die Leitung der kirchlichen Stelle wenden und sind nur ihr gegenüber rechenschaftspflichtig. Organisatorisch bietet sich dort, wo die Größe der kirchlichen Stelle es erlaubt, die Zuordnung der oder des Beauftragten im engerem Wirkungskreis der Leitung bzw. Geschäftsführung an. Dies ermöglicht der Leitung, dass sie frühzeitig über Datensicherheitsbeeinträchtigungen, Gesetzesverstöße oder Verbesserungsvorschläge unterrichtet wird und entsprechend schnell reagieren kann. Es verhindert außerdem, dass die oder der Beauftragte einer Interessenkollision ausgesetzt ist.
Die Beauftragten sind in der Wahrnehmung ihrer Aufgabe nach § 22 Abs. 3 Satz 2 DSG-EKD weisungsfrei. Sie können danach selbst über den Zeitpunkt und die Art und Weise des Tätigwerdens entscheiden. Dies umfasst die Entscheidung, ob sie eine datenschutzrechtliche Prüfung durchführen oder ob sie sie unterlassen ebenso wie die Freiheit, sich für die ihrer begründeten Überzeugung nach zutreffende Rechtsauffassung im Einzelfall zu entscheiden.
Eine Benachteiligung der oder des Beauftragten wegen dieser Tätigkeit ist nach § 22 Abs. 3 Satz 3 DSG-EKD verboten. Dieses Benachteiligungsverbot ist weit gefasst. Es richtet sich nicht nur an die Leitung oder Geschäftsführung, sondern auch an die Mitarbeitenden und die Mitarbeitervertretung. Auch darf die Tätigkeit als Beauftragte oder Beauftragter keine negativen Auswirkungen auf die berufliche Entwicklung derjenigen haben, die diese Funktion ausüben. In engem Zusammenhang mit der Stellung von Beauftragten steht die Frage, ob eine Abberufung aus dieser Funktion möglich ist. Hier regelt § 9 Abs. 3 DSVO, dass die Bestellung schriftlich widerrufen werden kann, wenn ein Interessenkonflikt mit anderen Aufgaben oder sonst ein wichtiger Grund eintritt. Eine Abberufung darf deswegen nicht aus Gründen erfolgen, die offensichtlich eine Benachteiligung der oder des Datenschutzbeauftragten wegen seiner Aufgabenerfüllung bedeuten würden. Es sind in der Praxis Fälle denkbar, in denen eine Abberufung notwendig wird. Eine Abberufung kommt beispielsweise in Betracht, wenn die oder der Datenschutzbeauftragte mit neuen fachlichen Aufgaben betraut werden soll, die die Fortsetzung der Tätigkeit als Beauftragte oder Beauftragter nicht mehr zulassen. Vor der Entscheidung über den Widerruf ist die oder der Betriebsbeauftragte oder die oder der örtlich Beauftragte für den Datenschutz zu hören. Diese Regelung soll mit zur Stärkung der Stellung der Betriebsbeauftragten oder örtlichen Beauftragten beitragen.
Mit dem Ausscheiden der oder des Beauftragten aus dem Dienst- oder Arbeitsverhältnis einer kirchlichen Stelle endet im Normalfall die Bestellung. Nur ausnahmsweise, wenn keine andere Person zur Verfügung steht, sollte für einen begrenzten Zeitraum überlegt werden, ob das Amt der oder des Beauftragten als so genannte „externe Datenschutzbeauftragung“ fortgeführt werden kann.
6. Aufgaben der örtlich Beauftragten und Betriebsbeauftragten für den Datenschutz
a. Datenschutz braucht Verbündete vor Ort
Gesetze, Verordnungen, Erlasse und Dienstanweisungen zum Datenschutz sind notwendig, sie sind den Mitarbeiterinnen und Mitarbeitern aber bei der täglichen Arbeit selten in allen Nuancen und Details präsent. Deshalb ist es wichtig, dass die Beauftragten für den Datenschutz werben, über ihn informieren, neue Datenverarbeitungsverfahren möglichst schon vor ihrer Einführung beurteilen und die Einhaltung des Datenschutzes kontrollieren.
Die Datenschutzbeauftragten beraten und unterstützen die Leitung der kirchlichen Stelle und die Arbeitsbereiche, die personenbezogene Daten verarbeiten, in allen Fragen des Datenschutzes sowie der datenschutzgerechten Organisation. Hierzu gehören die Beratung und Mitwirkung bei der Erstellung eines Sicherheitskonzepts für die in der kirchlichen Stelle eingesetzte Informationstechnik, beim Verfassen von Richtlinien, Rundschreiben und Dienstvereinbarungen, bei der Ausgestaltung von Verträgen mit Auswirkungen für den Datenschutz (z.B. bei Datenverarbeitung im Auftrag).
Die Datenschutzbeauftragten haben unmittelbaren Kontakt zu den Mitarbeiterinnen und Mitarbeitern und schulen sie in Fragen des Datenschutzes.
Zu den „Überwachungs-“Aufgaben gehören insbesondere die Prüfung der getroffenen technischen und organisatorischen Maßnahmen gemäß § 9 DSG-EKD, die Kontrolle der Einhaltung der Weisungen des Auftraggebers bei Verarbeitung oder Nutzung personenbezogener Daten im Auftrag, die Erstellung schriftlicher Ergebnisberichte über durchgeführte Kontrollen und die Auswertung von Protokolldateien.
Um den Datenschutzbeauftragten diese Aufgabenerfüllung zu ermöglichen, sind sie durch das Gesetz mit Kompetenzen ausgestattet. Nach § 9 Abs. 5 DSVO kann die oder der Betriebsbeauftragte oder die oder der örtlich Beauftragte für den Datenschutz Auskünfte verlangen und Einsicht in Unterlagen nehmen, soweit dies zur Erfüllung der Aufgaben erforderlich ist. Hilfreich ist es in diesem Zusammenhang auch, wenn die Beauftragten an allen datenschutzrelevanten Vorgängen beteiliget werden und ihnen Planungen, die den Umgang mit personenbezogenen Daten betreffen, rechtzeitig bekannt gegeben werden. Den Beauftragten sind die Übersichten aller automatisierten Verfahren der Behörde, in denen personenbezogene Daten verarbeitet werden, nach Maßgabe des § 6 Abs. 3 DSVO vorzulegen, soweit sie nicht selbst mit der Erstellung und Führung dieser Übersichten betraut werden.
Eine enge Zusammenarbeit mit der Leitung der kirchlichen Stelle kann dadurch gefördert werden, indem man regelmäßig Gespräche führt, wie der Datenschutz tatsächlich praktiziert wird, welche Schwachpunkte bestehen und wie diese auszuräumen sind. Hilfreich sind auch schriftliche Protokolle und Berichte, die gegebenenfalls ganz oder auch auszugsweise auch an alle Mitarbeitenden bekannt gegeben werden können, damit diese für die Belange des Datenschutzes weiter sensibilisiert werden.
b. Verfahrensverzeichnisse geben Überblick
Das neue DSG-EKD legt in § 14 Abs. 2 fest, dass die kirchlichen Stellen für ihre Zuständigkeitsbereiche Übersichten über die eingesetzten Datenverarbeitungsprogramme zu führen haben. Die Verzeichnisse lösen die Meldungen über alle automatisiert geführten Dateien an das Dateienregister der gemeinsamen Beauftragten für den Datenschutz der Evangelischen Kirche von Westfalen, der Evangelischen Kirche im Rheinland und der Lippischen Landeskirche ab. Die Dezentralisierung und die Beschränkung auf DV-Verfahren soll eine einfache Führung der Übersichten, die ohne großen Aufwand aktuell gehalten werden kann, begünstigen. Auch der Nutzen dieser Übersichten als Kontrollinstrument vor Ort für die Beauftragten ist größer als bei einem zentral geführten Register.
Das Verfahrensverzeichnis, das unmittelbar in den öffentlichen Stellen geführt wird, dient dazu, den Überblick darüber zu behalten, wo sich in der Behörde personenbezogene Daten befinden und wie sie behandelt werden. So können mögliche „Datenlecks“ schneller gefunden und geschlossen werden.
Dieses Verfahrensverzeichnis kann von jeder Person unentgeltlich eingesehen werden, wenn diese ein berechtigtes Interesse nachweisen kann (§ 21 Abs. 2 DSG-EKD i. V. mit § 6 Abs. 2 DSVO).
c. Weitere Aufgaben der Beauftragten
Der Beauftragte für den Datenschutz ist über die Einrichtung von automatisierten Abrufverfahren möglichst frühzeitig zu informieren. Mit Abrufverfahren kann z. B. einer anderen kirchlichen Stelle die Möglichkeit und Berechtigung geschaffen werden, auf einen zentralen Datenbestand zu Auskunftszwecken oder auch zur weiter gehenden Nutzung zuzugreifen.
Bei der Verarbeitung personenbezogener Daten im Auftrag bietet es sich an, den Beauftragten für den Datenschutz vor der schriftlichen Auftragserteilung einzubinden und ihm auch das Recht einzuräumen, sich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer jederzeit überzeugen zu können.
Da für die Abwicklung der Verwaltungsabläufe häufig Vordrucke verwendet werden, bietet es sich an, bei der Erstellung oder Veränderung von Vordrucken und Merkblättern die Beauftragten für den Datenschutz zu beteiligen. Der Beratungsschwerpunkt dürfte sich dabei auf die Zulässigkeit der Datenerhebung konzentrieren.
Soweit Betroffene Auskunft über die von ihnen gespeicherten personenbezogenen Daten verlangen oder Anfragen zum Datenschutz in der kirchlichen Stelle haben, sollte die oder der Beauftragte für den Datenschutz beteiligt werden oder federführend mit der Abwicklung beauftragt werden.
Die Schulung der Mitarbeitenden über die Bestimmungen über den Datenschutz unter Berücksichtigung der besonderen Verhältnisse ihres Aufgabenbereiches obliegt dem Beauftragten für den Datenschutz. Dies kann beispielsweise wie folgt bestehen:
Einweisung neuer Mitarbeitender,
Schulung im Rahmen der allgemeinen Aus- und Fortbildung,
Vorträge oder Referate bei Dienstbesprechungen,
Ausgabe von Merkblättern,
Mitteilungen am Schwarzen Brett,
Berichte bei Mitarbeiterversammlungen,
Beiträge in Hauszeitschriften oder Mitteilungsblättern.
d. Weiterbildung und Zusammenarbeit helfen Datenschutzprobleme anzugehen
Zur sachgemäßen Durchführung der Aufgaben sollte den Beauftragten für den Datenschutz die Möglichkeit zur Weiterbildung und zum Erfahrungsaustausch mit Kolleginnen und Kollegen aus anderen kirchlichen Stellen eröffnet werden. Die Landeskirchenämter, die Diakonischen Werke, der Datenschutzbeauftragte der Evangelischen Kirche im Rheinland, der Evangelischen Kirche von Westfalen und der Lippischen Landeskirche bieten regelmäßig Fort- und Weiterbildungsveranstaltungen an. Auch über das Internet sind insbesondere über die staatlichen Datenschutzbeauftragten umfangreiche Informationen zu nahezu allen datenschutzrechtlich relevanten Fragestellungen abrufbar. Die Kosten der Fort- und Weiterbildung sowie für die Anschaffung von Literatur hat die kirchliche Stelle zu tragen.
#

Anlage zu Ziffer 5 des Merkblattes
„Datenschutz in der kirchlichen Stelle unter Einbindung von örtlich Beauftragten für den Datenschutz und Betriebsbeauftragten für den Datenschutz“

#

Muster einer Bekanntmachung über die Bestellung von Beauftragten nach § 22 Abs. 1 DSG-EKD und deren Stellvertretung

(§ 22 DSG-EKD i.V. mit § 9 Abs. 4 DSVO)
#

Datenschutz – Bekanntmachung über die Bestellung von Beauftragten

Frau / Herr
(Vorname, Name, ggf. Organisationseinheit / Arbeitsbereich)
wurde mit Wirkung vom
Grafik
zur / zum örtlich Beauftragten für den Datenschutz
Grafik
zur Vertretung der / des örtlich Beauftragten für den Datenschutz
Grafik
zur / zum Betriebsbeauftragten für den Datenschutz
Grafik
zur Vertretung der / des Betriebsbeauftragen für den Datenschutz
bestellt und ist in dieser Eigenschaft unmittelbar der Leitung der kirchlichen Stelle unterstellt.
Zu den Aufgaben gehören insbesondere die Beratung und Unterstützung aller Mitarbeitenden in allen Fragen des Datenschutzes und die Prüfung der vor Ort getroffenen technischen und organisatorischen Datenschutzmaßnahmen.
Frau / Herr ist bei der Erfüllung der Aufgaben zu unterstützen:
Die notwendigen Auskünfte sind zu erteilen,
die Einsicht in Unterlagen ist zu gestatten, soweit dies zur Aufgabenerfüllung erforderlich ist,
Informationen über neue oder geänderte DV-Verfahren sowie über die Einführung oder Änderung von Regelungen und Maßnahmen zur Verarbeitung personenbezogener Daten sind frühzeitig bekannt zu geben, damit eine Beratung aus Sicht des Datenschutzes ermöglicht wird.
Alle Mitarbeiterinnen und Mitarbeiter können sich in Datenschutzangelegenheiten jederzeit ohne Einhaltung des Dienstweges an die örtlich Beauftragte oder den örtlich Beauftragten / an die Betriebsbeauftragte oder den Betriebsbeauftragten sowie im Verhinderungsfall an die Vertretung wenden.
(Ort, Datum, Unterschrift)
#

Anlage 4 zu § 11

#

Merkblatt zur Veröffentlichung von Alters-, Ehejubiläums- und Amtshandlungsdaten

§ 11 Abs. 1 der Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz der EKD (DSVO) erlaubt den Kirchengemeinden, Alters- und Ehejubiläen von Gemeindegliedern in Gemeindebriefen und anderen örtlichen kirchlichen Publikationen mit Namen und Anschriften sowie Tag und Ort des Ereignisses zu veröffentlichen, soweit die Betroffenen im Einzelfall nicht widersprochen haben.
Die Kirchengemeinde kann entweder die Betroffenen vor Veröffentlichung der Jubiläumsdaten einzeln schriftlich, mündlich oder auf anderem Wege auf die Möglichkeit hinweisen, der Veröffentlichung widersprechen zu können, oder im Gemeindebrief einen Hinweis auf das Widerspruchsrecht aufnehmen. Im letzteren Fall ist es ausreichend, wenn der Hinweis regelmäßig, mindestens einmal im Jahr, an derselben Stelle wie die Veröffentlichung der Jubiläumsdaten erfolgt.
Für die Abkündigung von Amtshandlungen im Gottesdienst mit Namen, Anschrift, Tag und Ort der Amtshandlung besteht eine Rechtsgrundlage durch durch Art. 169 Abs. 4 Kirchenordnung der EkvW/§ 7 Lebensordnungsgesetz der EkiR/Abschnitt IV, § 8 Lebensordnungsgesetz der LLK. § 11 Abs. 2 DSVO enthält eine Erlaubnisnorm, die kirchlichen Amtshandlungen zusätzlich im Gemeindebrief und anderen örtlichen kirchlichen Publikationen zu veröffentlichen. Das Widerspruchsrecht der Betroffenen bezieht sich vorrangig darauf, dass eine Veröffentlichung der Anschriften unterbleibt. Nur in Ausnahmefällen, wenn die Betroffenen ein überwiegendes schutzwürdiges Interesse am Ausschluss der Veröffentlichung geltend machen, hat eine Veröffentlichung der kirchlichen Amtshandlungen in Gemeindebriefen und anderen örtlichen kirchlichen Publikationen zu unterbleiben.
Eine Empfehlung zur Gestaltung des Hinweises auf das Widerspruchsrecht der Betroffenen in Gemeindebriefen enthält das Muster 1 dieses Merkblatts. Die Medien- und Presseverbände sind angehalten, in ihren kirchlichen Publikationen, in denen solche Veröffentlichungen regelmäßig erfolgen, auf das in § 11 DSVO enthaltene Widerspruchsrecht hinzuweisen.
Eine Weitergabe von Gemeindeglieder- und Amtshandlungsdaten an Tageszeitungen und sonstige nichtkirchliche Publikationen ist nur zulässig, wenn die Betroffenen ausdrücklich zustimmen.
Die Widersprüche von Gemeindegliedern gegen eine Veröffentlichung ihrer Jubiläums- und Amtshandlungsdaten sind in Gemeindeglieder-Datenverwaltungsprogrammen aufzunehmen.
Soweit von den kommunalen Meldebehörden Auskunfts- und Übermittlungssperren übermittelt worden sind, dürfen nach § 11 Abs. 3 DSVO Veröffentlichungen nur erfolgen, wenn vorher das Einverständnis der betroffenen Person eingeholt wurde (siehe Muster 2).
Die Veröffentlichung von Namen und Anschriften von Gemeindegliedern, ihrer Alters- und Ehejubiläen sowie von kirchliche Amtshandlungsdaten im Internet sind nur zulässig, wenn die betroffenen Personen vorher schriftlich einer Veröffentlichung zugestimmt haben (siehe Muster 3). Vor der Unterzeichnung der Einwilligungserklärung sollte auf die Gefahren, die durch anderweitige, weltweite, nicht mehr kontrollierbare Nutzung der Daten durch Dritte möglich ist, hingewiesen werden.
#

Muster 1 zum Merkblatt zur Veröffentlichung von Alters-, Ehejubiläums- und Amtshandlungsdaten

Hinweis auf das Widerspruchsrecht von Gemeindegliedern gegen die Veröffentlichung ihrer Alters- und Ehejubiläumsdaten sowie der Amtshandlungsdaten in Gemeindebriefen und anderen örtlichen Publikationen (§ 11 Abs. 1 DSVO)
Im (Gemeindebrief …) werden regelmäßig die Alters- und Ehejubiläen sowie kirchliche Amtshandlungen von Gemeindegliedern veröffentlicht. Sofern Sie mit der Veröffentlichung Ihrer Daten nicht einverstanden sind, können Sie Ihren Widerspruch schriftlich, mündlich oder auf anderem Wege bei der zuständigen Verwaltungsstelle (bitte genau bezeichnen einschließlich Adressangaben) oder bei der für Sie zuständigen Pfarrerin bzw. bei dem für Sie zuständigen Pfarrer erklären.
Wir bitten, diesen Widerspruch möglichst frühzeitig, also vor dem Redaktionsschluss zu erklären, da ansonsten die Berücksichtigung Ihres Wunsches nicht garantiert werden kann.
Bitte teilen Sie uns auch mit, ob dieser Widerspruch nur einmalig oder dauerhaft zu beachten ist.
#

Muster 2 zum Merkblatt zur Veröffentlichung von Alters-, Ehejubiläums- und Amtshandlungsdaten

Einwilligungserklärung zur Veröffentlichung von Gemeindegliederdaten und Amtshandlungsdaten (§ 11 Abs. 3 DSVO)
(nur ausfüllen, wenn eine aus den kommunalen Melderegistern übermittelte Auskunfts- und Übermittlungssperre besteht)
Frau/Herr
erklärt:
(Name, Vorname, Geburtsdatum)
Ich bin mit der Veröffentlichung
Grafik
aller Alters- und Ehejubiläen mit Namen und Anschriften sowie Tag und Ort des Ereignisses sowie
Grafik
aller kirchlichen Amtshandlungen mit Namen, Anschriften sowie Tag und Ort der vorgenommenen Amtshandlung
im (Gemeindebrief …) einverstanden.
(Datum, Unterschrift)
#

Muster 3 zum Merkblatt zur Veröffentlichung von Alters-, Ehejubiläums- und Amtshandlungsdaten

Einwilligungserklärung zur Veröffentlichung von Gemeindegliederdaten und Amtshandlungsdaten im Internet (§ 11 Abs. 4 DSVO)
Frau/Herr
erklärt:
(Name, Vorname, Geburtsdatum)
Ich bin mit der Veröffentlichung
Grafik
aller Alters- und Ehejubiläen mit Namen und Anschriften sowie Tag und Ort des Ereignisses sowie
Grafik
aller kirchlichen Amtshandlungen mit Namen, Anschriften sowie Tag und Ort der vorgenommenen Amtshandlung
im Internet auf der Homepage der (bitte Namen der kirchlichen Stelle angeben) einverstanden.
Meine dort veröffentlichten personenbezogenen Daten sind weltweit abrufbar und von dritter Seite für andere Zwecke einschließlich Werbung nutzbar.
(Datum, Unterschrift)
#

Anlage 5 zu § 15

#

Personalunterlagen und Datenschutz nach § 15 DSVO

#

Merkblatt zur Behandlung von Personalunterlagen in kirchlichen Gremien

Zur Vorbereitung von Entscheidungen in Personalangelegenheiten (z. B. Einstellung von Stellenbewerberinnen und -bewerbern, Veränderungen und Beendigung von Beschäftigungsverhältnissen) werden häufig allen Mitgliedern von kirchlichen Gremien schriftliche Personalunterlagen zugesandt oder ausgehändigt. Niederschriften über entsprechende Sitzungen geben zum Teil den Verlauf der Beratungen in vielen Details wieder und enthalten die Beratungsergebnisse. Den Mitgliedern der kirchlichen Gremien bleiben die Personalunterlagen oft für die häusliche Archivierung überlassen.
Personalunterlagen enthalten zum Teil sehr sensible Informationen, z. B. Zeugnisse, Personalbogen, dienstliche Beurteilungen, Gesundheitszeugnisse und ärztliche Stellungnahmen, disziplinarrechtliche Vorgänge, Unterlagen über die finanziellen und familiären Verhältnisse sowie über die Anerkennung einer Schwerbehinderung. Der Vertrauensschutz sowie die Fürsorgepflicht der kirchlichen Stellen gegenüber ihren Beschäftigten und ihren Stellenbewerberinnen und Stellenbewerbern gebieten es, mit den Personalunterlagen Dritten gegenüber sehr zurückhaltend umzugehen und sie nur insoweit zu offenbaren, als dies für Entscheidungen von kirchlichen Gremien in Personalangelegenheiten sachgerecht und angemessen ist.
Mögliche Beeinträchtigungen des Datenschutzes (Gefahren)
Bei der Vielzahl der versandten Beratungsunterlagen und Niederschriften ist die Gefahr groß, dass Unterlagen in Personalangelegenheiten Dritten zugänglich werden. Nicht immer werden Personalunterlagen in der kirchlichen Stelle oder im häuslichen Bereich sicher und für Dritte, auch für Familienmitglieder, unzugänglich aufbewahrt. Zum Teil erhalten auch Mitarbeiterinnen und Mitarbeiter Zugang zu Personalunterlagen, die aufgrund ihrer Aufgabenstellung die Informationen nicht oder nur in einem beschränkten Umfang benötigen.
Wenn Informationen über sensible Personaldaten Dritten zugänglich gemacht werden, kann dies zu einer schweren Verletzung des allgemeinen Persönlichkeitsrechtes der betroffenen Person und zu weit reichenden Schadensersatzansprüchen führen. Dem Daten- und Vertrauensschutz unterliegt nicht nur der beabsichtigte oder unbeabsichtigte tatsächliche Missbrauch, sondern jede denkbare mögliche Beeinträchtigung.
Verschwiegenheitspflicht / Datengeheimnis
Alle Mitglieder von kirchlichen Gremien sind verpflichtet, grundsätzlich über Angelegenheiten der Seelsorge sowie über Personalangelegenheiten, die ihrem Wesen nach vertraulich oder als solche ausdrücklich bezeichnet worden sind, dauernd, auch nach dem Ausscheiden aus dem Amt Verschwiegenheit zu wahren.
Den bei kirchlichen Stellen beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten oder zu nutzen. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. Die Verpflichtung zur Verschwiegenheit ergibt sich auch aufgrund spezieller arbeitsrechtlicher und datenschutzrechtlicher Regelungen.
Verstöße gegen die Verschwiegenheitspflicht und das Datengeheimnis können haftungsrechtliche, dienst- oder arbeitsrechtliche Folgen haben.
Empfehlungen an die kirchlichen Stellen und Gremien
Grafik
Es ist sorgfältig zu prüfen, in welchem Umfang Personalunterlagen für eine Entscheidung erforderlich sind. Nach dem Prinzip der Datensparsamkeit sind so wenig personenbezogene Daten wie möglich zu offenbaren. Bei Entscheidungen über Stellenbesetzungen genügt in vielen Fällen ein tabellarischer Lebenslauf.
Grafik
Es ist abzuwägen, ob nicht ein mündlicher Vortrag allein ausreicht.
Grafik
Personalunterlagen sind deutlich mit einem hervorgehobenen Aufdruck als streng vertrauliche Personalunterlagen zu kennzeichnen.
Grafik
Es ist zu prüfen, ob Personalunterlagen, die im Rahmen einer Einladung versandt werden, anonymisiert werden. Anstelle einer Anonymisierung kann auch eine pseudonyme Verarbeitung der Personalunterlagen vorgenommen werden. Dabei werden die identifizierenden Angaben zu einer Person (z. B. Name, Anschrift, Aktenzeichen) unkenntlich gemacht bzw. durch andere Namen und Bezeichnungen ersetzt. In der Sitzung können die Namen der Personen offenbart werden.
Grafik
Bei Entscheidungen in Beihilfeangelegenheiten sind die Unterlagen grundsätzlich zu anonymisieren.
Grafik
Personalunterlagen, die Gremienmitglieder erhalten, dürfen nur im verschlossenen Umschlag weitergegeben werden. Bei der Adressierung ist darauf zu achten, dass sie ausschließlich an das jeweilige Gremiumsmitglied, ggf. mit dem Hinweis „persönlich“, erfolgt.
Grafik
Bewerbungs- und Personalunterlagen sollten nach Beendigung der Sitzung zur sachgerechten Vernichtung wieder abgegeben werden. Nicht mehr benötigte Personalunterlagen sind unverzüglich zu vernichten (z. B. mit einem Aktenvernichter der Sicherheitsstufe 3 nach DIN 32757).
Grafik
Bewerbungsunterlagen sind im Falle einer nicht zustande gekommenen Einstellung unverzüglich zurückzugeben oder zu vernichten. Die Unterlagen dürfen von der kirchlichen Stelle nur aufbewahrt werden, wenn im Rahmen des Anstellungsgesprächs oder in der Korrespondenz ausdrücklich die Einwilligung dazu erteilt wird. Es ist festzulegen, für welchen maximalen Zeitraum die Bewerbungsunterlagen vorgehalten werden dürfen.
Grafik
Kirchliche Gremien, die sich regelmäßig mit Personalangelegenheiten befassen, sollten unter Beachtung dieser Empfehlungen grundsätzliche Regelungen über die Behandlung von Personalunterlagen treffen.
Empfehlungen an die Gremienmitglieder
Grafik
Personalunterlagen und Verhandlungsniederschriften sind sicher und für Dritte unzugänglich aufzubewahren.
Grafik
Personalunterlagen sollten nach Abschluss des Beratungsverfahrens an die jeweilige kirchliche Stelle zurückgegeben werden (z. B. am Ende einer Sitzung).
Grafik
Personalunterlagen sowie Verhandlungsniederschriften sind sachgerecht und sicher zu entsorgen (z. B. über einen Aktenvernichter) oder der kirchlichen Stelle zur sachgerechten Vernichtung zu übergeben.
#

Merkblatt über den Datenschutz in der Lippischen Landeskirche

Für den Datenschutz in der Lippischen Landeskirche sind zu beachten:
Bereichsspezifische Datenschutzbestimmungen
  1. Besondere Bestimmungen über den Schutz des Beicht- und Seelsorgegeheimnisses, die Amtsverschwiegenheit sowie sonstige gesetzliche Geheimhaltungs- und Verschwiegenheitspflichten oder von Berufs- bzw. besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen.
  2. Besondere Regelungen in kirchlichen Rechtsvorschriften, die auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind.
Allgemeine Datenschutzbestimmungen
  1. Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) vom 12.11.1993 (ABl. EKD S. 505), geändert durch das Erste Kirchengesetz zur Änderung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland vom 7. November 2002 (ABl. EKD S. 381).
  2. Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz der EKD (DSVO) vom
  3. Dienst- und Organisationsanweisungen für den Einsatz und Betrieb in der Informations- und Kommunikationstechnik (IuK-Technik) sowie für die Durchführung des Datenschutzes und der Datensicherheit, soweit sie von den kirchlichen Körperschaften und Dienststellen erlassen wurden, z. B. die Rechtsverordnung zur Ausstattung und über den Gebrauch von Kommunikationseinrichtungen in Diensträumen der Pfarrhäuser (Kommunikationseinrichtungsverordnung) vom 12.2.2003
Grundsätze des Datenschutzes
Soweit die bereichsspezifischen Datenschutzbestimmungen keine anders lautenden Regelungen enthalten, gelten für den Schutz personenbezogener Daten folgende Grundsätze:
  1. Zweck des kirchlichen Datenschutzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
    Personenbezogene Daten dürfen nur für die rechtmäßige Erfüllung kirchlicher Aufgaben erhoben, verarbeitet und genutzt werden. Maßgebend sind die durch das kirchliche Recht bestimmten oder herkömmlichen Aufgaben auf dem Gebiet der Verkündigung, Seelsorge, Diakonie und Unterweisung sowie der kirchlichen Verwaltung (einschließlich Gemeinde- und Pfarrbüro).
    Eine Verarbeitung personenbezogener Daten und deren Nutzung sind grundsätzlich nur zulässig, wenn das DSG-EKD oder eine Rechtsvorschrift sie erlaubt oder anordnet oder soweit die betroffene Person eingewilligt hat.
    Personenbezogene Daten sind Einzelangaben über persönliche Verhältnisse (z. B. Name, Geburtsdatum, Anschrift, Konfession, Beruf, Familienstand) oder sachliche Verhältnisse (z. B. Grundbesitz, finanzielle Belastungen, Rechtsbeziehungen zu Dritten) einer bestimmten oder bestimmbaren natürlichen Person (z. B. Gemeindeglieder, kirchliche Mitarbeitende).
    Die Datenschutzregelungen gelten für
    automatisierte Verarbeitungen, darunter versteht man die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen,
    Datensammlungen, die gleichartig aufgebaut sind und nach bestimmten Merkmalen zugänglich sind und ausgewertet werden können (nicht automatisierte Dateien),
    Akten und Aktensammlungen mit einigen Einschränkungen (z. B. § 16 Abs. 1 Satz 2, Abs. 5 DSG-EKD).
    Einzelheiten, die auch den Umfang des kirchlichen Datenschutzes betreffen, sind dem DSG-EKD zu entnehmen (siehe insbesondere §§ 1-5, 11-13, 23-26).
  2. Auskünfte aus Datensammlungen sowie die Übermittlung von personenbezogenen Daten (Abschriften oder Ablichtungen von Listen und Karteien, Kopien aus Akten sowie Duplizierungen von Disketten, Magnetbändern usw.) sind an kirchliche Stellen, andere öffentlich-rechtliche Religionsgesellschaften sowie an Behörden und sonstige öffentliche Stellen des Bundes, der Länder, der Gemeinden etc. zulässig, soweit sie insbesondere zur Erfüllung kirchlicher Aufgaben erforderlich sind (siehe auch § 12 DSG-EKD). Die Datenübermittlung an sonstige Stellen oder Personen ist nur in Ausnahmefällen statthaft (siehe auch § 13 DSG-EKD). Widersprüche von betroffenen Personen, die sich gegen eine Erhebung, Verarbeitung oder Nutzung ihrer personenbezogener Daten richten, sind zu beachten – Ausnahmen regeln die kirchlichen Vorschriften sowie § 16 Abs. 4a DSG-EKD. Auskünfte zur geschäftlichen oder gewerblichen Verwendung der Daten dürfen ohne Einwilligung der betroffenen Person in keinem Fall gegeben werden. Daten oder Datenträger dürfen nur kirchlichen Mitarbeiterinnen und Mitarbeitern zugänglich gemacht werden, die aufgrund ihrer dienstlichen Aufgaben zum Empfang der Daten ermächtigt worden sind.
  3. Alle Informationen, die eine Mitarbeiterin oder ein Mitarbeiter aufgrund ihrer/seiner Arbeit an und mit Akten, Dateien, Listen und Karteien erhält, sind von ihr/ihm vertraulich zu behandeln. Diese Pflicht besteht auch nach Beendigung der Tätigkeit fort.
  4. Jede Mitarbeiterin und jeder Mitarbeiter trägt für vorschriftsgemäße Ausübung der jeweiligen Tätigkeit die volle datenschutzrechtliche Verantwortung. Der Umgang mit Daten und Informationen erfordert ein hohes Maß an Verantwortungsbewusstsein. Die sorgsame und vertrauliche Behandlung von Daten ist ein wichtiges Gebot im Rahmen der Informationsverarbeitung. Die Sammlung, Aufbereitung und Verwendung personenbezogener Daten unterliegen einer erhöhten Schutzbedürftigkeit.
    Soweit mit einem Personal Computer (PC) personenbezogene Daten eingegeben, verarbeitet oder genutzt werden, sind die technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit zu beachten.
    Eigenmächtige Änderungen der Hardware-Konfiguration, insbesondere der Einbau von Karten, Anschluss von Druckern oder anderer Zusatzgeräte sind ebenso wie die Verwendung privater Hardware und privater Datenträger nicht gestattet. Soweit aus Gründen der Aufgabenerfüllung Daten von dritter Seite mittels eines Datenträgers auf den PC übernommen werden müssen, ist durch geeignete Maßnahmen sicherzustellen, dass die auf dem Datenträger enthaltenen Daten nicht mit Viren befallen sind.
    Des Weiteren ist es untersagt
    Änderungen in der bestehenden Konfiguration, insbesondere das Aufspielen zusätzlicher Dateien und Programme, vorzunehmen,
    private Software zu verwenden,
    Programme weiterzugeben oder zu verändern.
    Daten, Datenträger, Systemliteratur und Zubehör (z. B. Belege, Karteikarten, EDV-Listen, Magnetbänder, Magnetplatten, Disketten, Schlüssel) sind stets sicher und verschlossen zu verwahren und vor jeder Einsicht oder sonstigen Nutzung durch Unbefugte zu schützen.
    Die Regelungen und Hinweise zum Datenschutz und zur Datensicherheit aus bestehenden Dienst- und Organisationsanweisungen sind zu beachten.
  5. Datenbestände, insbesondere Dateien, Listen und Karteien, die durch neue ersetzt und auch nicht aus besonderen Gründen weiterhin benötigt werden (z. B. für Prüf- und Archivzwecke), müssen in einer Weise vernichtet oder gelöscht werden, die jeden Missbrauch der Daten ausschließt.
  6. Mängel, die bei der Datenerhebung, -verarbeitung und -nutzung auffallen, sind unverzüglich den Vorgesetzten zu melden. Dies gilt auch für den Fall, dass in den Bereichen Datenschutz und Datensicherheit unzureichende organisatorische und technische Maßnahmen ergriffen wurden.
    Soweit vorhanden, können auch die oder der Betriebsbeauftragte für den Datenschutz, die oder der örtlich Beauftragte für den Datenschutz, die DV-Benutzerbetreuung und sonstige mit dem Datenschutz befasste Stellen zur Beratung herangezogen werden.
  7. Verstöße gegen das Datengeheimnis können dienst- bzw. arbeitsrechtlich, urheberrechtlich, disziplinarisch und haftungsrechtlich geahndet werden.
    Bestimmte Handlungen, die einen Verstoß gegen das Datengeheimnis beinhalten, stellen Straftatbestände dar. Danach kann beispielsweise mit Freiheitsstrafe oder mit Geldstrafe bestraft werden,
    wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis offenbart, dies betrifft insbesondere Ärztinnen und Ärzte, Angehörige eines anderen Heilberufs, z. B. aus dem Krankenpflegebereich, einschließlich ihre und ihrer berufsmäßig tätigen Gehilfen und Personen, die bei ihnen zur Vorbereitung auf den Beruf tätig sind (z. B. Auszubildende), Psychologinnen und Psychologen, Ehe-, Familien-, Erziehungs- oder Jugendberaterinnen und -berater sowie Beraterinnen und Berater für Suchtfragen in einer Beratungsstelle, Mitglieder einer anerkannten Beratungsstelle nach dem Schwangerschaftskonfliktgesetz, Sozialarbeiterinnen und Sozialarbeiter, Sozialpädagoginnen und Sozialpädagogen, Personen, die Aufgaben oder Befugnisse nach dem Personalvertretungsrecht wahrnehmen (§ 203 StGB „Verletzung von Privatgeheimnissen“),
    wer sich oder einem Dritten unbefugt besonders gesicherte Daten aus fremden Datenbanksystemen verschafft (§ 202a StGB „Ausspähen von Daten“),
    wer fremdes Vermögen durch unbefugtes Einwirken auf einen Datenverarbeitungsvorgang schädigt (§ 263a StGB „Computerbetrug“),
    wer rechtswidrig Daten verändert oder beseitigt (§ 303a StGB „Datenveränderung“),
    wer den Ablauf der Datenverarbeitung einer Behörde oder eines Wirtschaftsunternehmens stört (§ 303b StGB „Computersabotage“) und
    wer unbefugt Verhältnisse in Steuersachen einschl. fremder Betriebs- oder Geschäftsgeheimnisse offenbart oder verwertet (§ 355 StGB „Verletzung des Steuergeheimnisses“).
    Auch weitere Verschwiegenheitsvorschriften und Geheimhaltungspflichten (z. B. dienst- und arbeitsrechtliche Regelungen, Sozialgeheimnis, Brief-, Post- und Fernmeldegeheimnis) sind zu beachten.
  8. Das Merkblatt informiert über einige wichtige Regelungen aus dem Datenschutzbereich. Die Erläuterungen und Hinweise müssen im jeweiligen Zusammenhang, der sich aus Anwendungsfragen aus der täglichen Arbeit sowie den jeweils geltenden Rechtsvorschriften ergibt, gesehen werden. Des Weiteren haben Sie sich auch über zukünftige Rechts- und Verwaltungsvorschriften, Dienst- und Organisationsanweisungen zu den Bereichen IuK-Technik, Datenschutz und Datensicherheit zu informieren.

#
1 ↑ Der Landeskirchenrat hat mit Wirkung vom 1.1.2010 Herrn Lothar Demmler für die Dauer von drei Jahren zum örtlichen Beauftragten für den Datenschutz für das Landeskirchenamt gem. § 22 DSG-EKD i. V. m. § 9 Abs. 4 DSVO bestellt. Frau Sabine Kenter wurde zu seiner Vertreterin bestellt. (Ges. u. VOBl. Bd. 13 S. )