.

Geltungszeitraum von: 01.07.2015

Geltungszeitraum bis: 23.05.2018

Verordnung
zur Durchführung des Kirchengesetzes
über den Datenschutz der EKD
(Datenschutzdurchführungsverordnung – DSVO)

vom 9. Dezember 2003

(Ges. u. VOBl. Bd. 13 S. 115)
zuletzt geändert durch die dritte Verordnung vom 16. Juni 2015
(Ges. u. VOBl. Bd. 16 S. 32)

Auf Grund von § 27 Abs. 2 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) vom 12. November 1993 (ABl. EKD S. 505), geändert durch Kirchengesetz vom 7. November 2002 (ABl. EKD S. 381) hat der Landeskirchenrat in seiner Sitzung am 9. Dezember 2003 nachfolgende Verordnung beschlossen; zuletzt geändert am 16. Juni 2015 (Ges. u. VOBl. Bd. 16. S. 32)
#

I. Allgemeine Regelungen

###

§ 1
Übersicht über die kirchlichen Werke und Einrichtungen mit eigener Rechtspersönlichkeit
(zu § 1 Abs. 2 DSG-EKD)

Das Landeskirchenamt führt die Übersicht nach § 1 Abs. 2 DSG-EKD über die kirchlichen Werke und Einrichtungen mit eigener Rechtspersönlichkeit.
#

§ 2
Verpflichtung auf das Datengeheimnis
(zu § 6 DSG-EKD)

Die Verpflichtung auf das Datengeheimnis nach § 6 DSG-EKD ist nach einem der Formblätter der Anlage 1 vorzunehmen, soweit die Personen nicht aufgrund anderer kirchlicher Bestimmungen zur Verschwiegenheit verpflichtet werden.
#

§ 2 a
Videobeobachtung und Videoaufzeichnung
- Videoüberwachung
(zu § 7a DSG-EKD)

Die Dokumentation nach § 7a Abs. 7 DSG-EKD wird nach dem Formblatt der Anlage 2 geführt.
#

§ 3
Genehmigung der Einrichtung automatisierter Abrufverfahren
(zu § 10 Abs. 3 DSG-EKD)

Die Einrichtung eines automatisierten Abrufverfahrens mit nichtkirchlichen Stellen nach § 10 Abs. 3 DSG-EKD bedarf der Genehmigung durch das Landeskirchenamt.
#

§ 4
Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten im Auftrag
(zu § 11 Abs. 7 DSG-EKD)

Die Muster-Vereinbarungen (Arbeitshilfen des Landeskirchenamtes) zur vertraglichen Gestaltung der Auftragsdatenverarbeitung werden zur Anwendung empfohlen. Vor dem Abschluss von Verträgen zur Auftragsdatenverarbeitung soll die oder der örtlich Beauftragte oder die oder der Betriebsbeauftrage für den Datenschutz beteiligt werden.
#

§ 5
Aufsicht
(zu § 14 DSG-EKD)

( 1 ) Die Einhaltung des Datenschutzes und die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, werden – unbeschadet der allgemeinen Aufsicht durch das Landeskirchenamt – überwacht hinsichtlich des Aufgabenbereiches
  1. der Kirchengemeinden vom Landeskirchenamt
  2. der kirchlichen Werke und kirchlichen Einrichtungen mit eigener Rechtspersönlichkeit sowie den rechtsfähigen evangelischen Stiftungen des bürgerlichen Rechts von ihrem durch Kirchengesetz, durch Satzung, Vereinbarung oder Stiftungsurkunde für die Aufsicht bestimmten Organ.
( 2 ) Im landeskirchlichen Bereich übt der Landeskirchenrat die Aufsicht über die Einhaltung des Datenschutzes aus.
( 3 ) Die kirchlichen Körperschaften, die kirchlichen Werke und kirchlichen Einrichtungen mit eigener Rechtspersönlichkeit sowie die rechtsfähigen evangelischen Stiftungen des bürgerlichen Rechts sollen Dienst- und Organisationsanweisungen für den Einsatz von Informationstechnik (IT), zur IT-Sicherheit und zur Durchführung des Datenschutzes erlassen.
#

§ 6
(aufgehoben)

#

§ 7
Kostenerstattung
(zu § 15 Abs. 4 DSG-EKD)

Sofern im Rahmen des Auskunftsrechts nach § 15 Abs. 4 DSG-EKD zusätzlich Ablichtungen erstellt werden, dürfen die kirchlichen Stellen eine angemessene Kostenerstattung entsprechend der Gebührenordnung für kirchliche Archive (Archivgebührenordnung) berechnen.
#

§ 8
(aufgehoben)

#

§ 9
Betriebsbeauftragte für den Datenschutz und örtlich Beauftragte für den Datenschutz
(zu § 22 DSG-EKD)

( 1 ) Vor der Bestellung gemeinsamer Betriebsbeauftragter für den Datenschutz nach § 22 Abs. 1 Satz 2 DSG-EKD hat jede beteiligte kirchliche Stelle ihre Zustimmung zur Bestellung zu erklären. Dabei können Vereinbarungen zum Arbeitsumfang und zur Finanzierung getroffen werden.
( 2 ) Die Bestellung von Beauftragten nach Absatz 1 kann befristet oder unbefristet erfolgen. Sie erfolgt schriftlich nach dem Muster der Anlage 3. Die Bestellung kann nach Anhörung der betroffenen Beauftragten schriftlich widerrufen werden, wenn ein Interessenkonflikt mit anderen Aufgaben oder sonst ein wichtiger Grund eintritt. Die Bestellung und der Widerruf sind in geeigneter Form den Mitarbeiterinnen und Mitarbeitern bekannt zu geben.
( 3 ) Die Bestellung und der Widerruf von Beauftragten nach Absatz 1 ist der oder dem Beauftragten für den Datenschutz anzuzeigen. Die Bestellung und der Widerruf von Betriebsbeauftragten für den Datenschutz ist zusätzlich dem Diakonischen Werk mitzuteilen.
Die Bestellung und der Widerruf von örtlich Beauftragten für den Datenschutz ist zusätzlich der aufsichtführenden Stelle gemäß § 5 Abs. 1 Nummer 1 und 2 bekannt zu geben.
#

§ 9a
Rechtsweg
(zu § 27 Abs. 4 DSG-EKD)

In Streitsachen aus der Anwendung der Regelungen über den kirchlichen Datenschutz ist das Verwaltungsgericht der Evangelischen Kirche in Deutschland (EKD) zuständig. Die Klage ist ohne Vorverfahren zulässig, soweit es sich bei der kirchlichen Stelle um eine juristische Person des Privatrechts oder und eine rechtsfähige evangelische Stiftung des bürgerlichen Rechts handelt.
#

II. Gemeindegliederdaten, Amtshandlungsdaten

###

§ 10
Gemeindegliederdaten

( 1 ) Die von den kommunalen Stellen übermittelten Meldedaten und die von kirchlichen Stellen erhobenen personenbezogenen Daten dürfen für die Führung der Gemeindegliederverzeichnisse sowie für kirchliche Aufgaben verarbeitet und genutzt werden. Die Bestimmungen des Kirchengesetzes über die Kirchenmitgliedschaft, der Verordnung über die in das Gemeindegliederverzeichnis aufzunehmenden Daten der Kirchenmitglieder mit ihren Familienangehörigen sowie die Verordnung für die Führung eines Verzeichnisses der Kirchenmitglieder sind zu beachten.
( 2 ) Die kirchlichen Stellen dürfen Namen, Vornamen und Anschriften von Gemeindegliedern an ihre Medien- und Presseverbände zum Zwecke der Werbung für die Kirchengebietspresse übermitteln. Die kirchliche Stelle kann schriftlich genehmigen, dass die übermittelten personenbezogenen Daten im Auftrag durch andere Stellen oder Personen genutzt werden dürfen. § 11 DSG-EKD und § 4 dieser Verordnung bleiben unberührt.
( 3 ) Die Medien- und Presseverbände dürfen den kirchlichen Stellen mitteilen, welche Gemeindeglieder Zeitungen oder Zeitschriften der Kirchengebietspresse abonniert haben.
( 4 ) Die Weitergabe von personenbezogenen Daten von Gemeindegliedern zur gewerblichen Nutzung ist nicht zulässig.
#

§ 11
Veröffentlichung von Gemeindegliederdaten und Amtshandlungsdaten durch Kirchengemeinden

( 1 ) Die Kirchengemeinden dürfen Alters- und Ehejubiläen von Gemeindegliedern in Gemeindebriefen und anderen örtlichen kirchlichen Publikationen mit Namen und Anschriften sowie Tag und Ort des Ereignisses veröffentlichen, soweit die Betroffenen im Einzelfall nicht widersprochen haben. Auf das Widerspruchsrecht sind die Betroffenen rechtzeitig vor der Veröffentlichung hinzuweisen. Bei regelmäßigen Veröffentlichungen ist es ausreichend, wenn ein Hinweis auf das Widerspruchsrecht regelmäßig an derselben Stelle wie die Veröffentlichung erfolgt.
( 2 ) Die Kirchengemeinden dürfen kirchliche Amtshandlungen in Gemeindebriefen und anderen örtlichen kirchlichen Publikationen mit Namen, Anschriften sowie Tag und Ort der vorgenommenen Amtshandlung veröffentlichen. Die Veröffentlichung unterbleibt, wenn hierfür von den Betroffenen ein überwiegendes schutzwürdiges Interesse am Ausschluss der Veröffentlichung geltend gemacht wird. Die Veröffentlichung der Adressen der Betroffenen darf in Gemeindebriefen und anderen örtlichen kirchlichen Publikationen vorgenommen werden, soweit die Betroffenen im Einzelfall nicht widersprochen haben. Absatz 1 Satz 2 und 3 gelten entsprechend.
( 3 ) Die aus den kommunalen Melderegistern übermittelten Auskunfts- und Übermittlungssperren sowie das Widerspruchsrecht nach den Absätzen 1 und 2 sind in die kirchlichen Gemeindegliederverzeichnisse aufzunehmen und zu beachten. Personenbezogene Daten von Personen, für die Auskunftssperren nach § 51 Bundesmeldegesetz (BMG), ein bedingter Sperrvermerk nach § 52 BMG oder Maßnahmen des Zeugenschutzes (§ 53 BMG) bestehen, dürfen für Veröffentlichungen nur genutzt werden, wenn vorher das schriftliche Einverständnis der betroffenen Personen eingeholt wurde. Dies gilt auch für Familienangehörige der betroffenen Personen.
( 4 ) Die Veröffentlichung von Namen und Anschriften von Gemeindegliedern, ihrer Alters- und Ehejubiläen sowie von kirchlichen Amtshandlungsdaten im Internet sind nur zulässig, wenn die Einwilligung der betroffenen Personen vorher schriftlich eingeholt wurde.
( 5 ) Die in der Anlage 4 enthaltenen Hinweise und Erläuterungen sind zu beachten und die Muster zu verwenden.
#

III. Verkündigungsdienste

###

§ 12
Seelsorgedaten

Seelsorgedaten sind personenbezogene Daten, die in Wahrnehmung des Seelsorgeauftrages bekannt werden. Sie beschreiben persönliche, insbesondere familiäre, wirtschaftliche oder berufliche Angelegenheiten des Gemeindegliedes oder anderer betroffener Personen. Durch geeignete Maßnahmen ist sicherzustellen, dass die Seelsorgedaten Dritten nicht zugänglich sind. Die Bestimmungen des Seelsorgegeheimnisgesetzes sind zu beachten.
#

§ 13
Theologinnen und Theologen

Die zuständigen Stellen können für die in § 24 Abs. 1 DSG-EKD genannten Zwecke bei Pfarrerinnen und Pfarrern, Predigerinnen und Predigern, Vikarinnen und Vikaren, Bewerberinnen und Bewerbern des Predigtamtes sowie bei den Theologiestudierenden personenbezogene Daten von Angehörigen erheben, verarbeiten und nutzen, soweit dies im Rahmen der Aufgabenerfüllung erforderlich ist.
#

IV. Verzeichnisse über Personen und Dienste, Daten von Beschäftigten

###

§ 14
Anschriftenverzeichnisse der kirchlichen Stellen und ihrer Amtsträger, Gesetz- und Verordnungsblatt

( 1 ) Anschriftenverzeichnisse, die Namen, Dienst- oder Amtsbezeichnungen, dienstliche Anschriften, Stellenbesetzungs-, Geburts- und ggf. Ordinationsdaten von kirchlichen Mitarbeiterinnen und Mitarbeitern und sonstigen Inhaberinnen und Inhabern kirchlicher Ämter und Ehrenämter enthalten, dürfen für die kirchliche und diakonische Arbeit unter Verwendung der vorliegenden Personendaten hergestellt, verarbeitet und genutzt werden. Privatanschriften können erhoben und für Anschriftenverzeichnisse genutzt werden, soweit dies für die Erreichbarkeit erforderlich ist. Die Daten der Pfarrerinnen und Pfarrer im Ruhestand dürfen mit Namen, Dienstbezeichnungen, letzten Tätigkeiten, Geburtsdaten und Privatanschriften in Anschriftenverzeichnisse aufgenommen werden.
( 2 ) Für die Zusammenarbeit der kirchlichen Stellen, zur Information der ehrenamtlichen Mitglieder der kirchlichen Gremien, der kirchlichen Mitarbeiterinnen und Mitarbeiter sowie der öffentlichen und sonstigen Stellen und Personen im Sinne der §§ 12 und 13 DSG-EKD dürfen die Anschriftenverzeichnisse übermittelt werden, soweit dies aus organisatorischen Gründen und zur Aufgabenerfüllung erforderlich ist.
( 3 ) Kirchliche und diakonische Stellen dürfen die für die Erstellung dieser Verzeichnisse notwendigen personenbezogenen Daten untereinander übermitteln.
( 4 ) Im Gesetz- und Verordnungsblatt dürfen die erforderlichen personenbezogenen Daten von den bei kirchlichen Stellen beschäftigten Mitarbeitenden sowie von ehrenamtlich Tätigen veröffentlicht werden, wenn dies im kirchlichem Interesse liegt.
( 5 ) Die Gesetz- und Verordnungsblätter dürfen mit den Angaben nach Absatz 4 in das über das Internet zugängliche Fachinformationssystem Kirchenrecht eingestellt werden.
#

§ 15
Organe und Ausschüsse, Mitglieder, Personalangelegenheiten

( 1 ) Personenbezogene Daten von Mitgliedern der Leitungsorgane der kirchlichen Stellen und ihrer Einrichtungen sowie von diesen gebildeten Ausschüssen und Arbeitsgruppen können erhoben, verarbeitet und genutzt werden, soweit dies für die Arbeit der genannten Gremien erforderlich ist.
( 2 ) Die kirchlichen Stellen dürfen Namen, Geburtsdaten, Adressen sowie kirchliche Ämter und Funktionen von Mitgliedern ihrer Organe und Ausschüsse zur Erfüllung kirchlicher Aufgaben an die aufsichtsführenden Stellen, im diakonischen Bereich an das Diakonische Werk sowie die jeweiligen Fachverbände übermitteln. Die kirchlichen Stellen dürfen Namen, Adressen sowie kirchliche Ämter und Funktionen von Mitgliedern ihrer Organe und Ausschüsse an ihre Medien- und Presseverbände zur ausschließlichen Nutzung für die ihnen von der Kirche übertragenen Aufgaben übermitteln.
( 3 ) Personenbezogene Daten dürfen an Mitglieder der Leitungsorgane der kirchlichen Stellen, ihrer Einrichtungen sowie von diesen gebildeten Ausschüssen und Arbeitsgruppen übermittelt werden, soweit dies zu ihrer Aufgabenerfüllung erforderlich ist und schützenswerte Interessen Einzelner nicht überwiegen. Bei der Beratung und Entscheidung in Personalangelegenheiten ist die Anlage 5 zu beachten.
#

§ 16
Ehrenamtliche

( 1 ) Personenbezogene Daten der in der kirchlichen oder in der diakonischen Arbeit ehrenamtlich Tätigen können von den zuständigen Stellen für kirchliche Zwecke und zur Erfüllung des ehrenamtlichen Dienstauftrages erhoben, verarbeitet und genutzt werden.
( 2 ) Die kirchlichen Stellen dürfen Namen, Geburtsdaten, Adressen sowie kirchliche Ämter und Funktionen von ehrenamtlich Tätigen zur Erfüllung kirchlicher Aufgaben an die aufsichtsführenden Stellen, im diakonischen Bereich an das Diakonische Werk sowie die jeweiligen Fachverbände übermitteln. Die kirchlichen Stellen dürfen Namen, Adressen sowie kirchliche Ämter und Funktionen von ehrenamtlich Tätigen an ihre Medien- und Presseverbände zur ausschließlichen Nutzung für die ihnen von der Kirche übertragenen Aufgaben übermitteln.
#

§ 17
Einheitliche Datenverwaltungssysteme, Intranet

( 1 ) Personenbezogene Daten aus den Bereichen Ausbildungs-, Prüfungs-, Personal-, Stellen-, Gremien- und Liegenschaftsverwaltung, Anschriftenverzeichnisse, aus diakonischen Arbeitsbereichen sowie weiteren Bereichen, soweit dies aus organisatorischen Gründen erforderlich ist, dürfen im Rahmen eines einheitlichen Datenverwaltungsprogramms einer kirchlichen Stelle sowie eines Intranets, auf das mehrere kirchliche Stellen gemeinsam zugreifen können, erhoben, verarbeitet und genutzt werden.
( 2 ) Es ist sicherzustellen, dass die gespeicherten personenbezogenen Daten in der jeweiligen kirchlichen Stelle nur den Personen zugänglich gemacht werden, die sie für die Erfüllung ihrer Aufgaben benötigen. § 41 ist zu beachten. Durch technische und organisatorische Maßnahmen ist sicherzustellen, dass der Schutz der verarbeiteten personenbezogenen Daten gemäß §§ 9, 10 DSG-EKD gewährleistet ist und die Löschungsbestimmungen eingehalten werden.
#

§ 18
Archivwesen

( 1 ) Personenbezogene Daten von Benutzerinnen und Benutzern der kirchlichen Archive dürfen erhoben, verarbeitet und genutzt werden, soweit dies für die Erfüllung der Aufgaben erforderlich ist.
( 2 ) Personenbezogene Daten der Benutzerinnen und Benutzer, die an wissenschaftlichen Themen oder Dissertationen arbeiten, dürfen mit den Angaben zum Thema der Arbeit an den zentralen Nachweis wissenschaftlicher Themen und Bearbeiter in kirchlichen Archiven übermittelt werden, soweit die Betroffenen im Einzelfall nicht widersprochen haben.
#

§ 19
Darlehen, Gehaltsvorschüsse, Unterstützungen

Die kirchlichen Stellen dürfen die für die Gewährung von Darlehen, Gehaltsvorschüssen und Unterstützungen erforderlichen personenbezogenen Daten der Empfängerinnen und Empfänger, gegebenenfalls die der mithaftenden Familienangehörigen oder Bürgen, erheben, verarbeiten und nutzen; dies gilt auch zur Sicherung und Tilgung der Forderungen und zur Vorlage von Verwendungsnachweisen.
#

§ 20
Krankheitsbeihilfen

( 1 ) Die in Anträgen auf die Gewährung von Beihilfen in Krankheits-, Pflege-, Geburts- und Todesfällen enthaltenen personenbezogenen Daten von Antragstellenden sowie ihrer Familienangehörigen dürfen nur von der für die Festsetzung der Beihilfe zuständigen Stelle erhoben, verarbeitet und genutzt werden.
( 2 ) Bei Wechsel des Anstellungsträgers der oder des Beihilfeberechtigten oder der für die Festsetzung der Beihilfe zuständigen Stelle dürfen die für die Bearbeitung von Beihilfeanträgen notwendigen Daten übermittelt werden.
( 3 ) Die kirchlichen Stellen dürfen den mit der Bearbeitung von Beihilfen und Leistungen nach dem Pflegeversicherungsgesetz beauftragten Stellen die notwendigen personenbezogenen Daten von Beihilfeberechtigten und deren Familienangehörigen für die Bearbeitung von Beihilfeanträgen übermitteln.
#

§ 21
Versorgungskassen

( 1 ) Die kirchlichen Versorgungskassen dürfen zur Bearbeitung und Zahlung von Versorgungsbezügen einschließlich der Zahlung von Nachversicherungsbeiträgen und Versorgungsausgleichserstattungen sowie von Beihilfen in Krankheits-, Pflege-, Geburts- und Todesfällen diejenigen personenbezogenen Daten der betroffenen Personen und deren Familienangehörigen erheben, verarbeiten und nutzen, die für die Erhebung der Beiträge und für die Berechnung und Zahlung der Versorgungsbezüge sowie für die Gewährung von Beihilfen und Leistungen nach dem Pflegeversicherungsgesetz erforderlich sind.
( 2 ) Die kirchlichen Zusatzversorgungskassen dürfen zur Bearbeitung und Zahlung von Altersrenten, Erwerbsunfähigkeits- und Berufsunfähigkeitsrenten, Hinterbliebenenrenten sowie weiterer Versicherungsleistungen diejenigen personenbezogenen Daten der kirchlichen Mitarbeiterinnen und Mitarbeiter sowie der Empfängerinnen und Empfänger von Renten erheben, verarbeiten und nutzen, die für die Zahlung der Umlagen und für die Berechnung und Zahlung der Renten, Sterbegelder sowie weiterer Versicherungsleistungen erforderlich sind.
( 3 ) Die Befugnis zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten erstreckt sich auch auf den Personenkreis, der von der Anlage des Kassenvermögens der Versorgungs- und Zusatzversorgungskassen betroffen ist.
#

V. Bildungswesen, Aus-, Fort- und Weiterbildung

###

§ 22
Schülerinnen und Schüler und deren Erziehungsberechtigte

( 1 ) Schulen und deren kirchliche oder diakonische Träger dürfen von den Schülerinnen und Schülern sowie von den Erziehungsberechtigten personenbezogene Daten erheben, verarbeiten und nutzen, soweit deren Kenntnis für die Erfüllung der Aufgaben der Schule, des Trägers und für die Internatsbetreuung erforderlich ist. Die gespeicherten personenbezogenen Daten dürfen in der Schule nur den Personen zugänglich gemacht werden, die sie für die Erfüllung ihrer Aufgaben benötigen.
( 2 ) Schülerinnen und Schüler sowie deren Erziehungsberechtigte sind zur Angabe der nach Abs. 1 Satz 1 erforderlichen Daten verpflichtet; sie sind bei der Datenerhebung auf ihre Auskunftspflicht hinzuweisen. Andere personenbezogene Daten dürfen nur mit Einwilligung der Betroffenen erhoben werden. Minderjährige Schüler sind einwilligungsfähig, wenn sie die Bedeutung und Tragweite der Einwilligung und ihre rechtlichen Folgen erfassen können und ihren Willen hiernach zu bestimmen vermögen.
( 3 ) Verhaltensdaten von Schülerinnen und Schülern, Daten über gesundheitliche Auffälligkeiten und etwaige Behinderungen und Daten aus psychologischen und ärztlichen Untersuchungen dürfen nicht automatisiert verarbeitet werden. Daten über besondere pädagogische, soziale und therapeutische Maßnahmen und deren Ergebnisse dürfen nur erhoben und verarbeitet werden, soweit für Schülerinnen und Schüler eine besondere schulische Betreuung in Betracht kommt. Dies gilt auch für entsprechende außerschulische personenbezogene Daten, die der Schule amtlich bekannt geworden sind. Es ist durch technische und organisatorische Maßnahmen sicherzustellen, dass der Schutz der verarbeiteten personenbezogenen Daten gemäß § 9 DSG-EKD gewährleistet ist und die Löschungsbestimmungen eingehalten werden.
( 4 ) Die in Abs. 1 Satz 1 genannten Daten dürfen einer kirchlichen Stelle, einer Schule, der Schulaufsichtsbehörde, dem Gesundheitsamt, dem Jugendamt, dem Landesjugendamt, den Ämtern für Ausbildungsförderung, dem Landesamt für Ausbildungsförderung sowie an sonstige Stellen außerhalb des kirchlichen Bereichs nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden. Dem schulpsychologischen Dienst dürfen personenbezogene Daten nur mit Einwilligung der Betroffenen übermittelt werden.
( 5 ) Die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern in privaten DV-Anlagen von Lehrerinnen und Lehrern für dienstliche Zwecke bedarf der schriftlichen Genehmigung durch die Schulleitung. Die Genehmigung darf nur erteilt werden, wenn die Verarbeitung der personenbezogenen Daten nach Art und Umfang für die Erfüllung der schulischen Aufgaben erforderlich ist und ein angemessener technischer Zugangsschutz nachgewiesen wird. Die Lehrerinnen und Lehrer sind verpflichtet, der Schulleitung sowie der oder dem jeweiligen Beauftragten für den Datenschutz alle Auskünfte zu erteilen, die für die datenschutzrechtliche Verantwortung erforderlich sind.
#

§ 23
Lehrerinnen und Lehrer

( 1 ) Schulen und deren kirchliche oder diakonische Träger dürfen von den Lehrerinnen und Lehrern, Lehramtsanwärterinnen und Lehramtsanwärtern sowie Studienreferendarinnen und Studienreferendaren personenbezogene Daten erheben, verarbeiten und nutzen, soweit dies zur Aufgabenerfüllung, insbesondere bei der Unterrichtsorganisation sowie in dienstrechtlichen, arbeitsrechtlichen oder sozialen Angelegenheiten erforderlich ist. § 22 Abs. 1 Satz 2 gilt entsprechend.
( 2 ) Die in Abs. 1 Satz 1 genannten Daten dürfen kirchlichen Stellen, staatlichen Schulaufsichtsbehörden sowie weiteren Stellen außerhalb des kirchlichen Bereichs nur übermittelt werden, soweit sie von diesen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.
#

§ 24
Religionspädagogische Einrichtungen

( 1 ) Religionspädagogische Einrichtungen dürfen von den Personen, die Lehrgänge als Lehrende oder Teilnehmende besuchen, die für die Veranstaltungen, Kurse und Prüfungen erforderlichen personenbezogenen Daten erheben, verarbeiten und nutzen, soweit dies im Rahmen der Erfüllung der Aufgaben erforderlich ist.
( 2 ) Die in Abs. 1 genannten personenbezogenen Daten dürfen für Zwecke der Aus-, Fort- und Weiterbildung an staatliche Schulaufsichtsbehörden, Schulen und andere kirchliche Stellen übermittelt werden, soweit dies zur Aufgabenerfüllung dieser Stellen erforderlich ist. Eine Veröffentlichung der personenbezogenen Daten bedarf der Einwilligung der Betroffenen.
#

§ 25
Theologiestudierende

( 1 ) Die zuständigen Stellen dürfen personenbezogene Daten der in die Liste der Theologiestudierenden eingetragenen Studierenden erheben, verarbeiten und nutzen, soweit dies zur Förderung des Studiums, zur Begleitung und Beratung bei der Ausbildung, zu Prüfungszwecken sowie zur Durchführung der in § 24 Abs. 1 DSG-EKD genannten Maßnahmen erforderlich ist.
( 2 ) Zur Förderung, Begleitung und Beratung der Theologiestudierenden dürfen Name, Vorname, Adresse einschließlich Telefonnummer, Fax-Nummer und E-Mail-Adresse sowie der Studienort an den Konventsrat übermittelt werden.
#

§ 26
Hochschulen

Die Fachhochschulen und Hochschulen in kirchlicher Trägerschaft dürfen von ihren Studienbewerberinnen und Studienbewerbern, von den Hochschulangehörigen und von den sonst bei ihr Tätigen für die Teilnahme an Lehrveranstaltungen und für Prüfungen sowie für die sonstige Nutzung der Einrichtungen der Hochschulen personenbezogene Daten erheben, verarbeiten und nutzen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.
#

§ 27
Tagungen und sonstige kirchliche Veranstaltungen

( 1 ) Die kirchlichen Stellen können bei ihren Veranstaltungen personenbezogene Daten der Mitwirkenden und der Teilnehmenden erheben, verarbeiten und nutzen, soweit dies für die Durchführung der Veranstaltung notwendig ist.
( 2 ) Die Teilnehmerlisten von Veranstaltungen dürfen allen Teilnehmerinnen und Teilnehmern übermittelt werden, soweit nicht eine Betroffene oder ein Betroffener der Übermittlung ihrer oder seiner Daten widersprochen hat.
( 3 ) Die personenbezogenen Daten von Teilnehmerinnen und Teilnehmern dieser Veranstaltungen dürfen mit Einwilligung der Betroffenen gespeichert und genutzt werden, soweit die kirchlichen Stellen diesen Personen weitere Schulungshinweise, Arbeits- und Informationsmaterial sowie weitere Auskünfte über Veranstaltungen und Entwicklungen einzelner Fortbildungssachgebiete vermitteln oder zielgruppengerichtete Einladungen zu weiteren kirchlichen Veranstaltungen ermöglichen wollen.
#

§ 28
Aus-, Fort- und Weiterbildung

( 1 ) Kirchliche Stellen dürfen im Rahmen der von ihnen durchgeführten Maßnahmen der Aus-, Fort- und Weiterbildung personenbezogene Daten der Mitwirkenden und Teilnehmenden erheben, verarbeiten und nutzen, soweit dies für die Erfüllung der Aufgaben erforderlich ist.
( 2 ) Die kirchlichen Stellen dürfen den Ausbildungsstätten bei Anmeldung zu Studium und Prüfung sowie bei Zuweisung zum fachtheoretischen Unterricht personenbezogene Daten der Kirchenbeamtinnen und Kirchenbeamten auf Widerruf übermitteln soweit dies zur Aufgabenerfüllung der Ausbildungsstätten erforderlich ist; das gleiche gilt für die für die praktische Ausbildung zuständigen Verwaltungsstellen und die Prüfungsämter für Verwaltungslaufbahnen. Für kirchliche Angestellte gilt Satz 1 entsprechend.
#

VI. Kirchliche Abgaben, Finanzwesen, Grundstückswesen

###

§ 29
Steuerdaten der Gemeindeglieder

( 1 ) Personenbezogene Daten, die in Ausübung der Berufs- und Amtspflicht von einer zur Wahrung des Steuergeheimnisses verpflichteten Person übermittelt worden sind, dürfen nicht zu anderen Zwecken als zur Verwaltung der Kirchensteuer sowie zur Führung des Gemeindegliederverzeichnisses und zum Abgleich der Meldedaten verarbeitet oder genutzt werden.
( 2 ) Die Übermittlung der Steuerdaten der Gemeindeglieder zwischen den steuererhebenden Körperschaften, den kirchlichen Verwaltungsstellen und den zuständigen Stellen der Kirchen ist zulässig, soweit dies zur ordnungsgemäßen Besteuerung und Verwaltung erforderlich ist.
#

§ 30
Steuergeheimnis

( 1 ) Die Wahrung des Steuergeheimnisses geht den Regelungen des Datenschutzes vor.
( 2 ) Diejenigen Personen, die mit der Bearbeitung von Steuersachen befasst sind oder von Steuersachen Kenntnis erlangen, sind zusätzlich schriftlich zur Wahrung des Steuergeheimnisses zu verpflichten.
#

§ 31
Freiwilliges Kirchgeld

Soweit die Kirchengemeinden von den Gemeindegliedern freiwilliges Kirchgeld erheben, gilt § 29 sinngemäß. Die für die Erhebung benötigten personenbezogenen Daten dürfen aus dem Gemeindegliederverzeichnis, im Übrigen nur bei den betroffenen Gemeindegliedern erhoben und zweckentsprechend verarbeitet und genutzt werden.
#

§ 32
Dienstwohnungen und Werkmietwohnungen

Die kirchlichen Stellen dürfen, wenn sie Dienstwohnungen oder Werkmietwohnungen an Beschäftigte überlassen, die personenbezogenen Daten der Wohnungsinhaberinnen und Wohnungsinhaber erheben, verarbeiten und nutzen, soweit dies zur Durchführung der Nutzungsverhältnisse einschließlich der Abrechnungen erforderlich ist. Diese Daten dürfen, soweit es zur ordnungsgemäßen Abwicklung der laufenden Vorgänge und zur Überprüfung erforderlich ist, zwischen den beteiligten Stellen ausgetauscht werden.
#

§ 33
Nutzung von Grundstücken und Gebäuden

Die kirchlichen Stellen sowie von ihnen Beauftragte dürfen, sofern sie Dritten Grundstücke, Gebäude, Gebäudeteile und Wohnraum zur Miete oder sonst zur Nutzung überlassen oder daran Rechte einräumen, personenbezogenen Daten der Nutzungsberechtigten erheben, verarbeiten und nutzen, soweit dies zur verwaltungsmäßigen Abwicklung und Überprüfung erforderlich ist.
#

§ 34
Wohnungsbewerberinnen und Wohnungsbewerber, Mietbeihilfen

Die kirchlichen Stellen sowie ihre Beauftragten dürfen die Daten von Wohnungsbewerberinnen und Wohnungsbewerbern und von den Antragstellenden auf Mietbeihilfen und ähnliche Leistungen sowie von deren Familienangehörigen erheben, verarbeiten und nutzen, soweit dies zur Aufgabenerfüllung erforderlich ist. Eine Übermittlung dieser Daten ist nur mit Einwilligung der Betroffenen zulässig.
#

§ 35
Kirchliche Friedhöfe

( 1 ) Zur Bewirtschaftung und Verwaltung der Friedhöfe und ihrer Einrichtungen sowie zur Festsetzung und Einziehung von Gebühren dürfen von den Friedhofsträgern oder in ihrem Auftrage die zu den vorgenannten Zwecken erforderlichen personenbezogenen Daten der Verstorbenen und der Nutzungsberechtigten erhoben, verarbeitet und genutzt werden.
( 2 ) Im Rahmen der Zulassung und Überwachung der auf den Friedhöfen tätigen Gewerbetreibenden des Friedhofs- und Bestattungsgewerbes dürfen von den Friedhofsträgern die erforderlichen personenbezogenen Daten erhoben, verarbeitet und genutzt werden.
( 3 ) Der Friedhofsträger darf zum Zwecke der Bestattung die notwendigen Daten der oder des Verstorbenen sowie von Angehörigen an die Pfarrerin oder den Pfarrer übermitteln, die oder der die Bestattung vornimmt.
( 4 ) Bei der Umbettung von Leichen dürfen den zuständigen Gesundheitsbehörden die notwendigen Daten der Verstorbenen übermittelt werden.
( 5 ) Lässt sich ein Friedhofsträger bei Genehmigung von Grabmalen bezüglich deren Gestaltung von Sachverständigen beraten, so dürfen den Sachverständigen zur Prüfung der vorgelegten Anträge die notwendigen personenbezogenen Daten übermittelt werden.
( 6 ) Zum Zwecke der Vollstreckung von Friedhofsgebühren dürfen den zuständigen Behörden die notwendigen personenbezogenen Daten übermittelt werden.
( 7 ) Die Lage von Grabstätten darf Dritten auf entsprechende Nachfrage bekannt gegeben werden, wenn diese ein berechtigtes Interesse glaubhaft machen und anzunehmen ist, dass schutzwürdige Belange der Verstorbenen und der Nutzungsberechtigten nicht beeinträchtigt werden.
( 8 ) Zum Gedenken und zur Fürbitte dürfen in Sterbe- oder Totenbüchern, die in Kirchen oder sonstigen kirchlichen Gebäuden allgemein zugänglich sind, Vornamen und Namen der verstorbenen Person sowie Geburts-. und Sterbedaten eingetragen werden.
#

VII. Diakonische Arbeitsbereiche

###

§ 36
Einrichtungen der Jugendhilfe

( 1 ) Soweit für den Betrieb von Einrichtungen der Jugendhilfe, insbesondere Tageseinrichtungen für Kinder, durch den Leistungserbringer oder Träger die Erhebung, Verarbeitung, insbesondere Übermittlung, sowie Nutzung personenbezogener Daten erforderlich ist, sind die Vorschriften über den Schutz personenbezogener Daten des Sozialgesetzbuches entsprechend anzuwenden.
( 2 ) Tageseinrichtungen für Kinder dürfen personenbezogene Daten der Kinder und deren Erziehungsberechtigter erheben, verarbeiten und nutzen, soweit dies zur Erfüllung des Auftrags der Tageseinrichtungen und ihrer Fürsorgeaufgaben erforderlich ist.
( 3 ) Personenbezogene Daten, die für die Festsetzung der Elternbeiträge erforderlich sind, dürfen die Träger ausschließlich zu diesem Zweck erheben, verarbeiten und nutzen. Die Daten nach Satz 1 sind bei den Betroffenen selbst zu erheben; sie dürfen nicht an andere Stellen übermittelt werden, es sei denn, eine kommunale Körperschaft benötigt sie zur Festsetzung oder Erhebung der Beiträge. Unterlagen dürfen nur in dem Umfang übermittelt werden, soweit dies zur Festsetzung der Elternbeiträge erforderlich ist. Auf die Pflicht zur Auskunft für die Berechnung, Übernahme und die Ermittlung oder den Erlass von Teilnahme- oder Kostenbeiträgen nach dem Kinder- und Jugendhilfegesetz (SGB VIII) soll hingewiesen werden.
( 4 ) Personenbezogene Daten der in den Einrichtungen nach Abs. 1 aufgenommenen Kinder dürfen mit Einverständnis der Erziehungsberechtigten erhoben und durch den Träger oder die von ihm beauftragten Stellen verarbeitet und genutzt werden, sofern dies für Zwecke der Gemeindearbeit erforderlich ist. Das gleiche gilt für Zwecke des öffentlichen Schulwesens nach Maßgabe der hierfür geltenden Bestimmungen.
#

§ 37
Beratungsstellen

( 1 ) Beratungsstellen dürfen diejenigen personenbezogenen Daten erheben, verarbeiten und nutzen, die für die jeweils beantragte Beratung erforderlich sind. Soweit personenbezogene Daten von Sozialleistungsträgern übermittelt werden oder die Anwendbarkeit von staatlichen Vorschriften vereinbart wurde, gelten zum Schutz dieser Daten ergänzend die jeweiligen Teile des Sozialgesetzbuchs entsprechend.
( 2 ) Die personenbezogenen Daten über die Betroffene oder den Betroffenen, insbesondere alle Einzelangaben über persönliche und sachliche Verhältnisse, über Familienangehörige und ihre Lebensverhältnisse (Sozialdaten) werden bei der oder dem Betroffenen erhoben. Informationen von der oder dem Betroffenen über Dritte, die nicht zur Familie gehören, dürfen nicht mithilfe von DV-Programmen verarbeitet werden.
( 3 ) Die Sozialdaten der oder des Betroffenen dürfen für Fallbesprechungen im Fachteam nur offenbart werden, wenn die oder der Betroffene die Einwilligung erteilt hat. Bei Verweigerung der Einwilligung dürfen die Sozialdaten der oder des Betroffenen nur in anonymisierter Form offenbart werden.
( 4 ) Die Beratungsdokumentation mit den Sozialdaten, die persönlichen Aufzeichnungen, der Tätigkeitsnachweis der Beraterin oder des Beraters und die statistischen Unterlagen sind sicher aufzubewahren. Die regelmäßigen Aufbewahrungsfristen sind zu beachten.
( 5 ) Nach Ablauf der Aufbewahrungsfristen, und wenn keine Haftungsansprüche aus der Beratungstätigkeit gegen die Beraterin oder den Berater anhängig sind, wird die Beratungsdokumentation – ohne ärztliche und sonstige Schweigepflichtentbindungen – dem zuständigen kirchlichen Archiv in anonymisierter Form zur Archivierung angeboten. Soweit die Archivwürdigkeit der Unterlagen nicht vorliegt, werden sie vernichtet.
( 6 ) Die Verarbeitung und Nutzung der Sozialdaten in nichtanonymisierter Form für Zwecke der wissenschaftlichen Forschung bedarf der Zustimmung der oder des Betroffenen.
#

§ 38
Krankenhäuser, Vorsorge- und Rehabilitationseinrichtungen

( 1 ) Daten von Patientinnen und Patienten dürfen im Krankenhaus, in einer Vorsorge- oder Rehabilitationseinrichtung erhoben, verarbeitet und genutzt werden, soweit dies im Rahmen des Behandlungsverhältnisses einschließlich der verwaltungsmäßigen Abwicklung und Leistungsberechnung, zur Erfüllung der mit der Behandlung im Zusammenhang stehenden Dokumentationspflichten oder eines damit zusammenhängenden Rechtsstreits erforderlich ist. Zu diesen Daten zählen auch personenbezogene Daten Dritter, die dem Krankenhaus, der Vorsorge- oder Rehabilitationseinrichtung im Zusammenhang mit der Behandlung und Pflege bekannt werden.
( 2 ) Für die Qualitätssicherung einschließlich Leistungsauswertung und -entwicklung im Krankenhaus und die Aus-, Fort- oder Weiterbildung ist der Zugriff auf die Daten der Patientinnen und Patienten nur insofern zulässig, als diese Zwecke nicht mit anonymisierten Daten erreicht werden können.
( 3 ) Die Verarbeitung und Nutzung der Daten von Patientinnen und Patienten durch den Sozialdienst und die Krankenhausseelsorge ist zulässig, soweit dies für die soziale Betreuung und zur Erfüllung seelsorgerlicher Aufgaben erforderlich ist.
( 4 ) An die Seelsorgerinnen und Seelsorger der für die Patientin oder den Patienten zuständigen Gemeinde dürfen zur Erfüllung seelsorgerlicher Aufgaben Name, Vorname, Geburtsdatum, Bekenntnisstand, Wohnsitz und Aufnahmedatum übermittelt werden, sofern die Patientin oder der Patient der Übermittlung nicht widersprochen hat oder Anhaltspunkte dafür bestehen, dass eine Übermittlung nicht angebracht ist.
Zu der Ermittlung der zuständigen Gemeinde können die Daten nach Satz 1 an die für das kirchliche Meldewesen zuständige Stelle übermittelt und von dort an die Seelsorgerinnen und Seelsorger der für die Patientinnen und Patienten zuständigen Gemeinde weitergeleitet werden.
Die Patientin oder der Patient ist bei der Aufnahme darauf hinzuweisen, dass der Übermittlung widersprochen werden kann.
( 5 ) Die Übermittlung der Daten von Patientinnen und Patienten an Stellen und Personen außerhalb des Krankenhauses und deren Nutzung ist neben der Erfüllung von Pflichten aufgrund bestehender Rechtsvorschriften nur zulässig, soweit dies erforderlich ist zur
  1. Behandlung einschließlich der Mit-, Weiter- und Nachbehandlung, wenn die Patientin oder der Patient nach Hinweis auf die beabsichtigte Übermittlung nicht etwas anderes bestimmt hat; § 73 Abs. 1b Satz 2 SGB V ist zu beachten;
  2. Abwehr einer gegenwärtigen Gefahr für das Leben, die Gesundheit oder die persönliche Freiheit der Patientin oder des Patienten oder Dritter;
  3. Abrechnung und Durchsetzung von Ansprüchen aufgrund der Behandlung, zur Überprüfung der Leistungserbringung sowie zur Rechnungsprüfung;
  4. Unterrichtung von Angehörigen, soweit es zur Wahrung ihrer berechtigten Interessen erforderlich ist, schutzwürdige Belange der Patientin oder des Patienten nicht beeinträchtigt werden und die Einholung der Einwilligung für die Patientin oder den Patienten gesundheitlich nachteilig wäre oder nicht möglich ist.
Als Übermittlung gilt auch die Weitergabe der Daten von Patientinnen und Patienten zwischen Behandlungseinrichtungen verschiedener Fachrichtungen in einem Krankenhaus (Fachabteilungen), sofern diese Fachabteilungen nicht unmittelbar mit Untersuchung oder Behandlung und Pflege befasst sind.
Die übermittelnde Stelle hat die Empfängerinnen oder Empfänger, die Art der übermittelten Daten und die betroffenen Patientinnen und Patienten aufzuzeichnen.
Die Daten empfangenden Stellen und Personen haben die übermittelten Daten der Patientinnen und Patienten in demselben Umfang geheim zu halten wie das Krankenhaus selbst.
( 6 ) Das Krankenhaus darf sich zur Verarbeitung der Daten von Patientinnen und Patienten, zur Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen anderer Personen und Stellen nur dann bedienen, wenn die Einhaltung der geltenden Datenschutzbestimmungen und der Geheimhaltungspflichten nach § 203 StGB gewährleistet ist.
( 7 ) Das Krankenhaus soll die Auskunft nach § 15 DSG-EKD über die die Patientin oder den Patienten betreffenden ärztlichen Daten und die Einsicht in die Behandlungsdokumentation nur durch eine Ärztin oder einen Arzt vermitteln lassen. Ein Anspruch auf Auskunft oder Einsichtnahme steht der Patientin oder dem Patienten nicht zu, soweit berechtigte Geheimhaltungsinteressen Dritter, deren Daten zusammen mit denen der Patientin oder des Patienten aufgezeichnet sind, überwiegen.
#

§ 39
Sonstige diakonische Einrichtungen

( 1 ) Diakonische Einrichtungen, die nicht unter die §§ 36 – 38 fallen, dürfen personenbezogenen Daten der von ihnen betreuten oder behandelten Personen, ihrer Angehörigen, Bevollmächtigten sowie ihrer rechtlichen Betreuerinnen und Betreuer erheben, verarbeiten und nutzen, soweit dies im Rahmen des Behandlungs-, Betreuungs- oder sonstigen Vertragsverhältnisses einschließlich der verwaltungsmäßigen Abwicklung und Leistungsberechnung, zur Erfüllung der mit der Behandlung im Zusammenhang stehenden Dokumentationspflichten oder eines damit zusammenhängenden Rechtsstreits erforderlich ist.
( 2 ) Diakonische Einrichtungen nach Absatz 1 dürfen personenbezogene Daten der von ihnen betreuten oder behandelten Personen, ihrer Angehörigen, Bevollmächtigten sowie ihrer rechtlichen Betreuerinnen und Betreuer an kirchliche Stellen übermitteln, soweit dies für die verwaltungsmäßige Abwicklung oder Leistungsberechnung erforderlich ist.
( 3 ) Für seelsorgerliche Aufgaben ist die Übermittlung von Name, Vorname, Wohnsitz, Geburtsdatum, Bekenntnisstand an die Seelsorgerin oder den Seelsorger der für die betreute oder behandelte Person zuständigen Gemeinde zulässig, sofern diese Person der Übermittlung nicht widersprochen hat oder keine Anhaltspunkte dafür bestehen, dass eine Übermittlung nicht angebracht ist. Sie ist bei Aufnahme des Behandlungs-, Betreuungs- oder sonstigen Vertragsverhältnisses darauf hinzuweisen, dass der Übermittlung widersprochen werden kann.
( 4 ) Die Übermittlung personenbezogener Daten der betreuten oder behandelten Personen an Stellen und Personen außerhalb der diakonischen Einrichtung und deren Nutzung richtet sich nach § 38 Absatz 5.
( 5 ) Für die Datenverarbeitung im Auftrag sowie für die Fernwartung gilt § 38 Absatz 6 entsprechend.
#

§ 40
Daten von Patientinnen und Patienten sowie Forschung, Krebsregister

( 1 ) Die Verarbeitung der Daten von Patientinnen und Patienten aus kirchlichen Krankenhäusern und anderen diakonischen Einrichtungen ist zu Zwecken der wissenschaftlichen Forschung nur zulässig, soweit die Patientin oder der Patient eingewilligt hat.
( 2 ) Ohne Einwilligung dürfen diese Daten für eigene wissenschaftliche Forschungsvorhaben nur von den bei den kirchlichen Stellen beschäftigten Personen, die der ärztlichen Schweigepflicht unterliegen, verarbeitet oder genutzt werden.
( 3 ) Ohne Einwilligung dürfen diese Daten zum Zwecke einer bestimmten wissenschaftlichen Forschung an Dritte übermittelt, durch diese verarbeitet oder genutzt werden, wenn
  1. der Zweck dies Forschungsvorhabens nicht auf andere Weise erreicht werden kann sowie
  2. das berechtigte Interesse der Allgemeinheit an der Durchführung des Forschungsvorhabens das Geheimhaltungsinteresse der Patientin oder des Patienten erheblich überwiegt und
  3. es entweder nicht möglich oder für die Patientin oder den Patienten aufgrund des derzeitigen Gesundheitszustandes nicht zumutbar ist, eine Einwilligung einzuholen.
Die übermittelnde Stelle hat die Empfängerinnen oder Empfänger, Zweck des Forschungsvorhaben, die betroffenen Patientinnen und Patienten und die Art der übermittelten Daten aufzuzeichnen.
( 4 ) Sobald es der Forschungszweck gestattet, sind die personenbezogenen Daten zu anonymisieren oder zu pseudonymisieren. Merkmale, mit deren Hilfe ein Personenbezug wieder hergestellt werden kann, sind gesondert zu speichern; sie sind zu löschen, sobald der Forschungszweck es erlaubt.
( 5 ) Veröffentlichungen von Forschungsergebnissen dürfen keinen Rückschluss auf die Personen zulassen, deren Daten verarbeitet wurden, es sei denn, die Patientin oder der Patient hat in die Veröffentlichung ausdrücklich eingewilligt.
( 6 ) Soweit die Bestimmungen dieser Verordnung auf die empfangenden Stellen oder Personen keine Anwendung finden, dürfen die Daten von Patientinnen und Patienten nur übermittelt werden, wenn diese sich verpflichten
  1. die Daten nur für das von ihnen genannte Forschungsvorhaben zu verwenden,
  2. die Bestimmungen der Absätze 4 und 5 einzuhalten,
  3. der oder dem Beauftragten für den Datenschutz auf Verlangen Einsicht und Auskunft zu gewähren.
Die Empfängerinnen oder Empfänger müssen nachweisen, dass die technischen und organisatorischen Voraussetzungen zur Erfüllung der Verpflichtung nach Nummer 2 vorliegen.
( 7 ) Für die Erhebung und Übermittlung von Daten für das Krebsregister gelten die jeweiligen bundes- bzw. landesrechtlichen Regelungen entsprechend.
#

§ 41
Geltung weiterer Vorschriften

Neben den kirchlichen Datenschutzbestimmungen ist insbesondere der § 203 des Strafgesetzbuches zu beachten. Soweit personenbezogene Daten von Sozialleistungsträgern übermittelt werden oder die Anwendbarkeit von staatlichen Vorschriften vereinbart wurde, gelten zum Schutz dieser Daten ergänzend die jeweiligen Teile des Sozialgesetzbuches entsprechend.
#

VIII. Fundraising

###

§ 42
Erhebung, Verarbeitung und Nutzung personenbezogener Daten

( 1 ) Fundraising ist eine kirchliche Aufgabe mit dem Ziel der Beziehungspflege und der Ressourcenbeschaffung. Kirchliche Stellen dürfen personenbezogene Daten von Gemeindegliedern und deren Angehörigen, von den in der kirchlichen oder in der diakonischen Arbeit ehrenamtlich oder neben- oder hauptberuflich Tätigen und von an der kirchlichen und diakonischen Arbeit interessierten Personen für das Fundraising erheben, verarbeiten und nutzen, soweit dies für die Durchführung des Fundraising erforderlich ist.
( 2 ) Die kirchlichen Stellen dürfen für das Fundraising die in ihrem Gemeindegliederverzeichnis und in den Kirchenbüchern enthaltenen Daten von Kirchenmitgliedern und Familienangehörigen nutzen, soweit kein melderechtlicher Sperrvermerk diese Nutzung ausschließt.
( 3 ) Die kirchliche Stellen dürfen für das Fundraising Daten nutzen, die aus allgemein zugänglichen Quellen entnommen oder zu diesem Zweck erworben werden.
( 4 ) Es ist durch geeignete Maßnahmen sicherzustellen, dass die Seelsorgedaten nach § 12 im Rahmen des Fundraisings Dritten nicht zugänglich sind. Seelsorgedaten dürfen nur mit Einwilligung der betroffenen Person für das Fundraising verarbeitet und genutzt werden.
( 5 ) Personenbezogene Daten der von diakonischen Einrichtungen betreuten oder behandelten Personen (Patientendaten), ihrer Angehörigen, Bevollmächtigten sowie ihrer rechtlichen Betreuerinnen und Betreuer dürfen nur mit deren Einwilligung erhoben, verarbeitet oder genutzt werden.
( 6 ) Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung erhoben, verarbeitet oder genutzt werden, soweit die betroffene Person widerspricht (Teilnutzungssperre).
( 7 ) Die personenbezogenen Daten sind zu löschen, soweit nicht einer Löschung der kirchliche Auftrag des Fundraisings, Rechtsvorschriften oder Aufbewahrungsfristen entgegenstehen.
#

§ 43
Datenverarbeitung im Auftrag

( 1 ) Bei der Datenverarbeitung im Auftrag ist § 11 DSG-EKD zu beachten. Die Speicherung der personenbezogenen Daten hat mandantenbezogen zu erfolgen. Mandant ist, in dessen Auftrag oder zu dessen Gunsten das Fundraising durchgeführt wird.
( 2 ) Personenbezogene Daten von Personen, für die Auskunftssperren wegen Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen bestehen, dürfen im Rahmen des Fundraisings an andere Stellen oder Personen nicht übermittelt werden.
( 3 ) Eine Weitergabe der personenbezogenen Daten durch die beauftragte Stelle an Dritte ist auszuschließen.
( 4 ) Die oder der Betriebsbeauftragte für den Datenschutz oder die oder der örtlich Beauftragte für den Datenschutz der beauftragenden kirchlichen Stelle ist frühzeitig über die Auftragsdatenverarbeitung zu informieren.
( 5 ) Werden personenbezogene Daten für das Fundraising im Auftrag durch andere Stellen oder Personen erhoben, verarbeitet oder genutzt, ist vor einer Beauftragung die Genehmigung nach § 4 einzuholen.
#

§ 44
Datenübermittlung an kirchliche Stellen

( 1 ) Personenbezogene Daten können an kirchliche Stellen übermittelt werden, wenn
  1. die empfangende kirchliche Stelle sie ausschließlich für das eigene Fundraising nutzt,
  2. die empfangende kirchliche Stelle sicherstellt, dass der Umfang und der Zeitpunkt des Fundraisings mit der übermittelnden kirchlichen Stelle abgestimmt wird,
  3. die empfangende kirchliche Stelle sicherstellt, dass die melderechtlichen Sperrvermerke und Teilnutzungssperren beachtet und der übermittelnden kirchlichen Stelle mitgeteilt werden,
  4. ausreichende technische und organisatorische Datenschutzmaßnahmen unter Beachtung des Schutzbedarfs der Anforderungen der Anlage zu § 9 S. 1 DSG-EKD vorliegen, von denen sich im Zweifelsfall die übermittelnde kirchliche Stelle zu überzeugen hat und
  5. die Betriebsbeauftragten für den Datenschutz oder die örtlich Beauftragten für den Datenschutz der beteiligten kirchlichen Stellen über Umfang und Zweck der Datenübermittlung informiert werden.
( 2 ) Für das eigene Fundraising kirchlicher Stellen dürfen nur folgende Daten von Kirchenmitgliedern und ihren Familienangehörigen aus dem kirchlichen Meldewesen übermittelt werden:
  1. Name und gegenwärtige Anschrift;
  2. Geburtsdatum, Geschlecht, Staatsangehörigkeit(en), Familienstand, Stellung in der Familie;
  3. Zahl und Alter der minderjährigen Kinder;
  4. Religionszugehörigkeit und Zugehörigkeit zu einer Kirchengemeinde;
  5. melderechtliche Sperrvermerke.
#

IX. Soziale Netzwerke

###

§ 45
Soziale Netzwerke

( 1 ) Soziale Netzwerke können von kirchlichen Stellen zur Information über die kirchliche und diakonische Arbeit und zur Beziehungspflege mit Gemeindegliedern und deren Angehörigen, den in der kirchlichen oder in der diakonischen Arbeit ehrenamtlich oder beruflich Tätigen und den an der kirchlichen und diakonischen Arbeit interessierten Personen genutzt werden.
( 2 ) Mitarbeitende, die seitens der kirchlichen Stelle mit der Wahrnehmung der Kommunikation in sozialen Netzwerken beauftragt sind, haben die für die dienstliche Nutzung erlassenen Verhaltensregeln (Social Media Guidelines), die datenschutzrechtlichen Regelungen sowie weitere rechtliche Bestimmungen insbesondere zur Verschwiegenheit und zum Urheberschutz zu beachten. Ehrenamtlich Tätige sind auf das Datengeheimnis nach § 6 DSG-EKD und zur Verschwiegenheit zu verpflichten.
#

X. Schlussbestimmungen

###

§ 46
Ausführungsbestimmungen

( 1 ) Das Landeskirchenamt kann Ausführungsbestimmungen erlassen, insbesondere solche, die den Umfang der zu erhebenden und zu speichernden personenbezogenen Daten sowie die Übermittlung betreffen und solche über die Aufbewahrung, Aussonderung, Löschung und Vernichtung der Dateien und Akten.
( 2 ) Das Landeskirchenamt wird ermächtigt, die Anlagen zu dieser Verordnung zu ändern.
#

§ 47
Inkrafttreten, Außerkrafttreten

( 1 ) Diese Verordnung tritt am 1. Januar 2008 in Kraft.
Detmold, den 16. Oktober 2007
Der Landeskirchenrat
#

Anlage 1 zu § 2

#

Verpflichtung von Mitarbeitenden auf das Datengeheimnis

(nach § 6 DSG-EKD1# i. V. m. § 2 DSVO)
Frau/Herr
wird unter Aushändigung des anliegenden Merkblattes wie folgt auf das Datengeheimnis verpflichtet:
Es ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis).
Das Datengeheimnis besteht nach Beendigung Ihrer Tätigkeit fort.
Verstöße gegen das Datengeheimnis können dienstrechtlich, arbeitsrechtlich, urheberrechtlich, strafrechtlich, disziplinarrechtlich und haftungsrechtlich geahndet werden.
Ort, Datum
Unterschrift der Mitarbeiterin, des Mitarbeiters
Unterschrift der Vertreterin, des Vertreters der kirchlichen Stelle
Original zur Personalakte
Kopie an die Mitarbeiterin/an den Mitarbeiter
#

Merkblatt für den Datenschutz
in der Lippischen Landeskirche
für Mitarbeitende

In diesem Merkblatt erhalten Sie einige Informationen über den wesentlichen Inhalt des Datengeheimnisses und den Sinn der Verpflichtungserklärung. Die Erläuterungen und Hinweise müssen im jeweiligen Zusammenhang, der sich aus Anwendungsfragen aus der täglichen Arbeit sowie den jeweils geltenden Rechtsvorschriften ergibt, gesehen werden.
###

Welche rechtlichen Grundlagen gelten für den Datenschutz?

  1. Zunächst gelten die allgemeinen Datenschutzbestimmungen. Die sind jeweils in ihrer geltenden Fassung
    1. das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD),
    2. die Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz der EKD (DSVO),
    3. das IT-Sicherheitskonzept der Lippischen Landeskirche in der jeweils aktuellen Fassung,
    4. Dienst- und Organisationsanweisungen für den Einsatz und Betrieb in der Informations- und Kommunikationstechnik (IuK-Technik) sowie für die Durchführung des Datenschutzes und der Datensicherheit, soweit sie von den kirchlichen Körperschaften und Dienststellen erlassen wurden.
  2. Außerdem gelten, den allgemeinen Regelungen zum Datenschutz vorgehende, bereichsspezifische Datenschutzbestimmungen, dies sind
    1. besondere Bestimmungen über den Schutz des Beicht- und Seelsorgegeheimnisses, die Amtsverschwiegenheit sowie sonstige gesetzliche Geheimhaltungs- und Verschwiegenheitspflichten oder von Berufs- bzw. besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen
    2. und besondere Regelungen in kirchlichen Rechtsvorschriften, die auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind (z. B. § 20 Friedhofswesenverordnung).
Sie finden diese Vorschriften in der Rechtssammlung aus w w w . k i r c h e n r e c h t - l i p p e . d e unter den Ordnungsziffern 108, 109.
In gleicher Weise sind künftige Rechts- und Verwaltungsvorschriften sowie Veröffentlichungen der Evangelischen Kirche in Deutschland und der Lippischen Landeskirche zu den Bereichen IuK-Technik, Datenschutz und Datensicherheit zu beachten.
#

Weshalb ist Datenschutz notwendig?

Jeder Mensch hat das Recht, über die Erhebung und weitere Verarbeitung seiner personenbezogenen Daten selbst zu bestimmen. Der Datenschutz verfolgt daher das Ziel, jede einzelne Person davor zu schützen, dass sie durch Umgang mit ihren personenbezogenen Daten in ihren Persönlichkeitsrechten beeinträchtigt wird.
#

Was sind personenbezogene Daten?

Personenbezogene Daten sind Einzelangaben über persönliche Verhältnisse (z. B. Name, Geburtsdatum, Anschrift, Konfession, Beruf, Familienstand) oder sachliche Verhältnisse (z. B. Grundbesitz, finanzielle Belastungen, Rechtsbeziehungen zu Dritten) einer bestimmten oder bestimmbaren natürlichen Person (z. B. Gemeindeglieder oder kirchliche Mitarbeitende).
Welche grundsätzlichen Regelungen gelten für den Datenschutz?
Zunächst gelten die Datenschutzregelungen für
  • Datensammlungen, die gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich sind und ausgewertet werden können (nicht automatisierte Dateien),
  • Akten und Aktensammlungen mit einigen Einschränkungen (z.B. §§ 16 Abs. 1 Satz 2, Abs. 5 DSG-EKD) und
  • automatisierte Verarbeitungen (§ 1 Abs. 2 DSG-EKD). Darunter versteht man die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen (IT, PC, Laptop ...).
Soweit die bereichsspezifischen Datenschutzbestimmungen keine anders lautenden Regelungen enthalten, gelten für den Schutz personenbezogener Daten folgende Grundsätze:
  1. Eine Verarbeitung personenbezogener Daten und deren Nutzung ist nur zulässig, wenn das DSG-EKD oder eine Rechtsvorschrift dies erlaubt oder anordnet oder soweit die betroffene Person eingewilligt hat.
  2. Personenbezogene Daten dürfen nur für die rechtmäßige Erfüllung kirchlicher Aufgaben erhoben, verarbeitet und genutzt werden. Maßgebend sind die herkömmlichen oder durch das kirchliche Recht bestimmten Aufgaben auf dem Gebiet der Verkündigung, Seelsorge, Diakonie und Unterweisung sowie der kirchlichen Verwaltung (einschließlich Gemeinde- und Pfarrbüro).
  3. Daten dürfen nur zu dem Zweck verwendet werden, für den sie erhoben oder gespeichert sind (Grundsatz der Zweckbindung). Andere Verwendungen bedürfen einer rechtlichen Grundlage oder der Zustimmung der betroffenen Personen.
  4. Auskünfte aus Datensammlungen sowie die Übermittlung von personenbezogenen Daten (Abschriften oder Ablichtungen von Listen und Karteien, Kopien aus Akten sowie Duplizierungen von Disketten, Magnetbändern usw.) sind zulässig an kirchliche Stellen, anderen öffentlich-rechtlichen Religionsgesellschaften sowie an Behörden und sonstigen öffentlichen Stellen des Bundes, der Länder, der Gemeinden etc., soweit eine Rechtsgrundlage für die Datenübermittlung vorhanden ist und sie zur Erfüllung kirchlicher Aufgaben erforderlich sind (siehe auch § 12 DSG-EKD). Die Datenübermittlung an sonstige Stellen oder Personen ist nur in Ausnahmefallen statthaft (siehe auch § 13 DSG-EKD). Widersprüche von betroffenen Personen, die sich gegen eine Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten richten, sind zu beachten - Ausnahmen regeln die kirchlichen Vorschriften sowie § 16 Abs. 4a DSG-EKD. Auskünfte zur geschäftlichen oder gewerblichen Verwendung der Daten dürfen ohne Einwilligung der betroffenen Person in keinem Fall gegeben werden. Daten oder Datenträger dürfen nur kirchlichen Mitarbeiterinnen und Mitarbeitern zugänglich gemacht werden, die auf Grund ihrer dienstlichen Aufgaben zum Empfang der Daten ermächtigt worden sind.
  5. Alle Informationen, die Mitarbeitende auf Grund ihrer Arbeit an und mit Akten, Dateien, Listen und Karteien erhalten, sind vertraulich zu behandeln.
    Diese Pflicht besteht auch nach Beendigung der Tätigkeit fort.
  6. Jede Mitarbeiterin und jeder Mitarbeiter trägt für vorschriftsgemäße Ausübung der jeweiligen Tätigkeit die volle datenschutzrechtliche Verantwortung. Der Umgang mit Daten und Informationen erfordert ein hohes Maß an Verantwortungsbewusstsein. Die sorgsame und vertrauliche Behandlung von Daten ist ein wichtiges Gebot im Rahmen der Informationsverarbeitung. Die Sammlung, Aufbereitung und Verwendung personenbezogener Daten unterliegen einer erhöhten Schutzbedürftigkeit.
#

Welche Maßnahmen sind aus Gründen des Datenschutzes und zur Datensicherung zu treffen?

  1. Wenn mit einer IT-Anlage (z.B. PC) personenbezogene Daten eingegeben, verarbeitet oder genutzt werden, sind die technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit zu beachten (z. B. zum Passwortschutz).
  2. Eigenmächtige Änderungen der Hardware-Konfiguration - insbesondere der Einbau von Karten, und der Anschluss von Druckern oder anderen Zusatzgeräten - sind ebenso wie die Verwendung privater Hardware und privater Datenträger nicht gestattet. Soweit aus Gründen der Aufgabenerfüllung Daten von dritter Seite mittels eines Datenträgers auf den PC übernommen werden müssen, ist durch geeignete Maßnahmen sicherzustellen, dass die auf dem Datenträger enthaltenen Daten nicht mit Viren befallen sind.
  3. Es ist untersagt, Änderungen in der bestehenden Konfiguration vorzunehmen (insbesondere durch das Aufspielen zusätzlicher Dateien und Programme), private Software zu verwenden, Programme weiterzugeben oder zu verändern und Benutzerkennungen und Passwörter weiterzugeben.
  4. Daten, Datenträger, Systemliteratur und Zubehör (z. B. Belege, Karteikarten, EDV-Listen, Magnetbänder, Magnetplatten, Disketten, Schlüssel) sind stets sicher und verschlossen zu verwahren und vor jeder Einsicht oder sonstigen Nutzung durch Unbefugte zu schützen.
  5. Die Regelungen und Hinweise zum Datenschutz und zur Datensicherheit aus bestehenden Dienst- und Organisationsanweisungen sind zu beachten.
  6. Datenbestände, insbesondere Dateien, Listen und Karteien, die durch neue ersetzt und auch nicht aus besonderen Gründen weiterhin benötigt werden (z. B. für Prüf- und Archivzwecke), müssen in einer Weise vernichtet oder gelöscht werden, die jeden Missbrauch der Daten ausschließt.
  7. Mängel, die bei der Datenerhebung, -verarbeitung und -nutzung auffallen, sind unverzüglich dem Vorgesetzten zu melden. Dies gilt auch für den Fall, dass in den Bereichen Datenschutz und Datensicherheit unzureichende organisatorische und technische Maßnahmen ergriffen wurden.
  8. Auch der Beauftragte für den Datenschutz der EKD, dem die Aufgabe der Datenschutzaufsicht obliegt, kann kontaktiert werden.
#

Welche strafrechtlichen Konsequenzen können mir im Einzelfall drohen?

Bestimmte Handlungen, die einen Verstoß gegen das Datengeheimnis beinhalten, stellen Straftatbestände dar. Danach kann u. A. mit Freiheitsstrafe oder mit Geldstrafe bestraft werden, wer
  1. unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihr oder ihm anvertraut wurde in Ausübung der Berufe Ärztin oder Arzt (oder Angehörige oder Angehöriger eines anderen Heilberufs), Psychologin oder Psychologe, Ehe-, Familien-, Erziehungs- oder Jugendberaterin sowie -berater sowie Beraterinnen und Berater für Suchtfragen in einer Beratungsstelle, Mitglieder einer anerkannten Beratungsstelle nach dem Schwangerschaftskonfliktgesetz, Sozialarbeiterinnen und Sozialarbeiter (§ 203 StGB „Verletzung von Privatgeheimnissen“),
  2. Schriftstücke oder andere bewegliche Sachen, die sich in dienstlicher Verwahrung befinden oder ihm oder einem anderen dienstlich in Verwahrung gegeben worden sind, zerstört, beschädigt, unbrauchbar macht oder der dienstlichen Verfügung entzieht (§ 133 StGB),
  3. unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft (§ 202 a StGB „Ausspähen von Daten“),
  4. wer Passwörter Dritten verkauft oder überlässt oder entsprechende Computerprogramme installiert (§ 202 c Vorbereiten des Ausspähens und Abfangens von Daten),
  5. fremdes Vermögen durch unbefugtes Einwirken auf einen Datenverarbeitungsvorgang schädigt (§ 263 a StGB „Computerbetrug“),
  6. rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert (§ 303 a StGB „Datenveränderung“),
  7. den Ablauf der Datenverarbeitung eines anderen oder eines Wirtschaftsunternehmens erheblich stört (§ 303 b StGB „Computersabotage“),
  8. unbefugt Verhältnisse eines anderen sowie Brief- oder Geschäftsgeheimnisse, die ihm als Amtsträger in Steuersachen bekanntgeworden sind, offenbart oder verwertet (§ 355 StGB „Verletzung des Steuergeheimnisses“).
  9. Schriftstücke oder andere bewegliche Sachen zerstört, beschädigt, unbrauchbar macht oder der dienstlichen Verfügung entzieht, die sich in amtlicher Verwahrung einer Kirche oder anderen Religionsgesellschaft des öffentlichen Rechts befinden (§ 133 II StGB „Verwahrungsbruch“)
Auch weitere Verschwiegenheitsvorschriften und Geheimhaltungspflichten (z.B. dienst- und arbeitsrechtliche Regelungen, Sozialgeheimnis, Brief-, Post- und Fernmeldegeheimnis) sind zu beachten.
#

Wo erhält man weitere Auskünfte?

Wenn Sie weitere Fragen zum Datenschutz haben oder in einem Einzelfall eine Rechtsauskunft benötigen, wenden Sie sich an die Dienstvorgesetzten oder an die örtlich Beauftragte oder den örtlich Beauftragten für den Datenschutz bzw. im Bereich der rechtlich selbständigen Diakonie an die Betriebsbeauftragte oder den Betriebsbeauftragten für den Datenschutz. Den Namen und die Kontaktdaten erhalten Sie über die kirchliche Stelle, die Sie für Ihre Aufgabe beauftragt.
Die Aufgaben der Datenschutzaufsicht obliegt der oder dem Beauftragten für den Datenschutz der EKD. Weitere Informationen und die Kontaktdaten erhalten Sie über das Internet unter w w w . d a t e n s c h u t z . e k d . d e .
#

Verpflichtung von ehrenamtlich Tätigen
auf das Datengeheimnis

(nach § 6 DSG-EKD2# i. V. m. § 2 DSVO)
Frau/Herr
wird unter Aushändigung des anliegenden Merkblattes wie folgt auf das Datengeheimnis verpflichtet:
Es ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis).
Das Datengeheimnis besteht nach Beendigung Ihrer Tätigkeit fort.
Verstöße gegen das Datengeheimnis können urheberrechtlich, strafrechtlich und haftungsrechtlich geahndet werden.
Ort, Datum
Unterschrift der Vertreterin, des Vertreters der kirchlichen Stelle
Unterschrift der ehrenamtlich tätigen Mitarbeiterin, des ehrenamtlich tätigen Mitarbeiters
Original zur Personalakte
Kopie an ehrenamtlich tätige Mitarbeiterin/an ehrenamtlich tätigen Mitarbeiter
#

Merkblatt für den Datenschutz
in der Lippischen Landeskirche
für ehrenamtlich Tätige

Wenn Sie ehrenamtlich in einer Kirchengemeinde, einem kirchlichen Verband oder einer diakonischen Einrichtung im Bereich der Lippischen Landeskirche mitarbeiten und dabei regelmäßig mit personenbezogen Daten umzugehen haben, muss diejenige Stelle, für die Sie tätig sind, Sie auf das Datengeheimnis verpflichten. In diesem Merkblatt erhalten Sie einige Informationen über den wesentlichen Inhalt des Datengeheimnisses und den Sinn der Verpflichtungserklärung.
###

Welchen Grund hat die Verpflichtung auf das Datengeheimnis?

Wer seine persönlichen Daten einer kirchlichen Stelle anvertraut, hat einen Anspruch darauf, dass die kirchlichen Mitarbeiterinnen und Mitarbeiter mit diesen Daten verantwortlich umgehen. Dies gilt etwa für den Umgang mit den Daten einer Gemeindegliederkartei, aber auch für den Umgang mit den Inhalten eines seelsorgerlichen Gesprächs. Pfarrerinnen, Pfarrer, andere beruflich in der Kirche Beschäftigte sowie die gewählten Mitglieder des Kirchenvorstandes der Kirchengemeinde sind zumeist durch Kirchengesetz, Arbeitsrechtsregelung oder Arbeitsvertrag zur Verschwiegenheit verpflichtet. Für andere ehrenamtlich Mitarbeitende gelten diese Bestimmungen nicht. An ihre Stelle tritt die Verpflichtung auf das Datengeheimnis.
Die Verpflichtungserklärung sollte nicht als Ausdruck eines grundsätzlichen Misstrauens gegenüber Ehrenamtlichen missverstanden werden. Sie ist vielmehr ein Qualitätsmerkmal für die ehrenamtlich geleistete Arbeit! Denn für die Betroffenen ist es oft sehr wichtig, darüber Gewissheit zu haben, dass über ihre Daten Verschwiegenheit gewahrt wird. Ein gutes seelsorgerliches Gespräch etwa wird ohne diese Gewissheit nicht zustande kommen. Dabei macht es keinen Unterschied, ob das Gespräch mit einer Pfarrerin, einem Pfarrer oder einer ehrenamtlichen Kraft geführt wird.
Alle personenbezogenen Informationen, die Sie auf Grund Ihrer Arbeit an und mit Akten, Dateien, Listen und Karteien und über Gespräche erhalten, sind grundsätzlich vertraulich zu behandeln. Diese Pflicht besteht auch nach Beendigung der Tätigkeit fort.
#

Weshalb ist Datenschutz notwendig?

Ziel des Datenschutzes ist es, jede einzelne Person davor zu schützen, dass sie durch Umgang mit ihren personenbezogenen Daten in ihrem Persönlichkeitsrecht beeinträchtigt wird.
Jeder Mensch hat das Recht, über die Erhebung und weitere Verarbeitung seiner personenbezogenen Daten selbst zu bestimmen. Auf dieser Grundlage regelt das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz - DSG-EKD) unter welchen Voraussetzungen Daten erhoben, gespeichert und an Dritte weitergegeben werden dürfen. Die Rechte der Betroffenen sind in diesem Gesetz näher beschrieben, ebenso ist festgelegt, wer im Rahmen der Datenschutzaufsicht über die ordnungsgemäße Erhebung und Verarbeitung wacht.
#

Was sind personenbezogene Daten?

Als personenbezogene Daten geschützt sind alle Einzelangaben über die persönlichen und sachlichen Verhältnisse eines Menschen. Dazu gehören z. B. der Name, das Geburtsdatum, die Anschrift, der Beruf, die Religionszugehörigkeit, Krankheiten sowie Bild- und Filmmaterial über diesen Menschen. Wenn Sie etwa als Mitarbeiter oder Mitarbeiterin eines Besuchskreises Gespräche mit einem Gemeindeglied führen, handelt es sich bei dem, was Ihr Gesprächspartner Ihnen über sich selbst oder über eine andere Person erzählt, um personenbezogene Daten.
Welche rechtlichen Grundlagen gelten für den Datenschutz?
Durch das Datengeheimnis wird es denjenigen Personen, die mit dem Umgang mit personenbezogenen Daten betraut sind, untersagt, diese Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Was dies im Einzelnen bedeutet, wird durch die jeweils geltenden Datenschutzbestimmungen festgelegt. Im Bereich der Lippischen Landeskirche sind zurzeit insbesondere die folgenden grundlegenden Bestimmungen zum Datenschutz zu beachten:
  • das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (abgekürzt: DSG-EKD),
  • die Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz der EKD (DSVO).
Sie finden diese und weitere Vorschriften und Datenschutz-Rundschreiben in der Online-Rechtssammlung der Lippischen Landeskirche
( w w w . k i r c h e n r e c h t - l i p p e . d e )
unter den Ordnungsziffern 108, 109.
#

Was bedeutet „erheben“, „verarbeiten“ und „nutzen“ von Daten?

Diese Begriffe beschreiben unterschiedliche Formen des Umgangs mit Daten. Dabei bedeutet „erheben“ das zielgerichtete Beschaffen von Daten (z. B. durch mündliche oder schriftliche Befragung), während sich die Begriffe „verarbeiten“ und „nutzen“ auf die Verwendung vorhandener Daten beziehen. Formen der Verarbeitung von Daten sind insbesondere die Speicherung auf einem Datenträger (z. B. das Anlegen einer Liste), die Veränderung (inhaltliche Umgestaltung) von Daten, die Übermittlung an andere Personen und das Löschen (Unkenntlichmachen) gespeicherter Daten. „Nutzen“ meint jede weitere Verwendung der Daten, die nicht unter den Begriff der „Verarbeitung“ fällt.
Wann ist der Umgang mit geschützten Daten „unbefugt“?
Grundsätzlich sind eine Erhebung, eine Verarbeitung personenbezogener Daten und deren Nutzung sind nur zulässig, wenn
  • das kirchliche Datenschutzrecht oder
  • eine Rechtsvorschrift sie erlaubt oder anordnet
    oder
  • soweit die betroffene Person eingewilligt hat.
Personenbezogene Daten dürfen nur für die rechtmäßige Erfüllung kirchlicher Aufgaben erhoben, verarbeitet und genutzt werden. Maßgebend sind die durch das kirchliche Recht bestimmten oder herkömmlichen Aufgaben auf dem Gebiet der Verkündigung, Seelsorge, Diakonie und Unterweisung sowie der kirchlichen Verwaltung (einschließlich Gemeinde- und Pfarrbüro).
Die Pfarrerin oder der Pfarrer und die hauptamtlichen Mitarbeitenden können Sie aufklären, wie mit den personenbezogenen Daten der betroffenen Personen im Rahmen Ihrer Aufgabe umzugehen ist.
Es ist von Ihnen zu beachten, dass
  • Daten nur zu dem Zweck verwendet werden dürfen, für den sie erhoben oder gespeichert sind,
  • Daten auch innerhalb der kirchlichen Stelle nur solchen Personen bekannt gegeben werden dürfen, die zum Empfang der Daten ermächtigt und zur Verschwiegenheit verpflichtet sind,
  • Auskünfte aus bzw. Abschriften/Duplikate von Datensammlungen (Dateien) an Dritte nur erteilt bzw. angefertigt werden dürfen, wenn eine Rechtsvorschrift dies ausdrücklich erlaubt oder Einwilligungserklärungen der betroffenen Person vorliegen.
Umgekehrt ist das Erheben oder Verwenden der Daten dann „unbefugt“, wenn dies zur Erfüllung Ihrer Aufgaben nicht wirklich notwendig ist (es sei denn, der oder die Betroffene willigt ausdrücklich ein). Insbesondere haben Sie über alle personenbezogenen Daten, die Sie aufgrund ihrer kirchlichen Tätigkeit in Erfahrung bringen, Verschwiegenheit zu wahren. So dürfen etwa Daten in keinem Fall zum Zwecke der Werbung an Versicherungen, Zeitungen oder Firmen herausgegeben werden. Ebenso ist es nicht zulässig, Familienmitglieder oder andere Personen über das Erfahrene zu informieren.
Arbeiten Sie in einem Besuchsdienstkreis, ist es zulässig, erlebte Besuchssituationen in der Gruppe zu besprechen. Solche Besprechungen sind zur begleitenden Fortbildung und seelischen Entlastung der Mitarbeitenden, gegebenenfalls auch zur Lösung eines Problems, erforderlich. Die Verschwiegenheitspflicht trifft dann die Gruppe im Ganzen. Dennoch ist es empfehlenswert, auch hier das Interesse der Besuchten an der Vertraulichkeit so weit wie möglich zu berücksichtigen. So sollte den Besuchten die Arbeitsweise der Besuchsdienstgruppe bekannt sein. Bittet der Besuchte bei einem bestimmten Thema ausdrücklich um Stillschweigen, sollte dies respektiert werden. In vielen Fällen wird es auch möglich sein, Besuchssituationen so zu schildern, dass ein Rückschluss auf die betroffene Person nicht möglich ist. In diesem Fall der sog. Anonymisierung von Daten liegt keine Datenverarbeitung im Sinne des EKD-Datenschutzgesetzes vor.
Zulässig ist es darüber hinaus, im Rahmen der Besuchsdienstarbeit kurze persönliche Notizen über die Besuchten anzufertigen, etwa um den jeweiligen Geburtstag nicht zu versäumen. Es ist aber nicht erforderlich und damit auch nicht zulässig, solche Unterlagen ohne Einwilligung der Betroffenen an andere Mitglieder des Besuchsdienstkreises oder an Dritte weiterzugeben. Die kirchliche Stelle hat darauf zu achten, dass Ihnen nur Daten derjenigen Personen zur Verfügung gestellt werden, die von ihnen auch tatsächlich besucht werden. Komplette Adresslisten über alle Besuchten oder sogar „ungefilterte“ Auszüge aus der Gemeindegliederkartei dürfen den einzelnen Ehrenamtlichen im Besuchsdienst nicht zur Verfügung stehen.
#

Welche Maßnahmen sind aus Gründen des Datenschutzes und zur Datensicherung zu treffen?

Neben den Vorschriften über das Erheben, Verarbeiten und Nutzen personenbezogener Daten enthält das Datenschutzrecht auch die Verpflichtung kirchlicher Stellen, technische und organisatorische Maßnahmen zu treffen, um den Anforderungen der Datensicherheit zu genügen. Das bedeutet auch für Sie, dass Sie im Rahmen des Zumutbaren dafür Sorge zu tragen haben, dass ein unbefugter Zugriff Dritter auf die Daten nach Möglichkeit ausgeschlossen ist.
Bitte bewahren Sie deshalb alle Informationen mit personenbezogenen Daten (z. B. Notizzettel, Karteikarten, USB-Sticks) stets sicher und verschlossen auf!
Falls Sie ausnahmsweise eine Speicherung von personenbezogenen Daten auf Ihrem privaten PC für notwendig halten, müssen Sie dies vorher mit der kirchlichen Stelle absprechen, damit durch entsprechende technische und organisatorische Maßnahmen sichergestellt ist, dass diese Daten gegen jede Einsichtnahme durch Unbefugte geschützt sind. Folgende Maßnahmen sind notwendig:
- Benutzerkennung und Passwortschutz.
  • Familienangehörige oder andere Personen dürfen keinen Zugriff auf die kirchlichen Daten haben.
  • Programm- und Browserversionen sind stets aktuell zu halten.
  • Virenschutzprogramme (einschließlich Firewall) sind täglich zu aktualisieren.
  • Vermeiden Sie unnötige Ansammlungen von personenbezogenen Daten.
  • Nicht mehr benötigte Datenbeständige sind in einer Weise zu löschen, die jeden Missbrauch ausschließt.
  • Sensible personenbezogene Daten auf einem PC; Laptop, Tablet etc. sind stets verschlüsselt zu speichern. Dies gilt auch für Datensicherungen.
  • Datensicherungen sind regelmäßig durchzuführen.
#

Wo erhält man weitere Auskünfte?

Wenn Sie weitere Fragen zum Datenschutz haben oder in einem Einzelfall eine Rechtsauskunft benötigen, wenden Sie sich zunächst an die örtlich Beauftragte oder den örtlich Beauftragten für den Datenschutz bzw. im Bereich der rechtlich selbständigen Diakonie an die Betriebsbeauftragte oder den Betriebsbeauftragten für den Datenschutz. Den Namen und die Kontaktdaten erhalten Sie über die kirchliche Stelle, die Sie für Ihre Aufgabe beauftragt.
Die Aufgaben der Datenschutzaufsicht obliegt der oder dem Beauftragten für den Datenschutz der EKD.
Weitere Informationen und die Kontaktdaten erhalten Sie über das Internet unter
w w w . d a t e n s c h u t z . e k d . d e
#

Anlage 2 zu § 2a

#

Dokumentation von Maßnahmen zur Videoüberwachung3#

nach § 7a Absatz 7 DSG-EKD4#
1. Beschreibung der Maßnahme
1.1. Name und Anschrift der kirchlichen Stelle
________________________________
1.2. Anschrift des videoüberwachten Gebäudes
________________________________
1.3. Überwachte Gebäudeteile / Überwachte Außenflächen - Eigentumsverhältnisse
________________________________
1.4. Kurzbeschreibung der Videoüberwachungsanlage (Komponenten, Anzahl der Kameras, Übertragungswege u. ä.)
________________________________
2. Zweck der Videoüberwachungsmaßnahme (siehe § 7a Absatz 1 DSG-EKD)
□ zum Schutz von Personen und Sachen (Personenkreis, Sachen sowie Gefährdungssituation darstellen)
________________________________
□ zur Überwachung von Zugangsberechtigungen (konkretisieren: Zugang für welchen Bereich, wer ist berechtigt, wer soll / muss am Zugang gehindert werden)
________________________________
3. Rechtsgrundlage
□ § 7a Absatz 1 DSG-EKD
(Videobeobachtung)
□ § 7a Absatz 2 DSG-EKD
(Videoaufzeichnung)
□ § 7a Absatz 9 DSG-EKD
(Videokamera-Attrappe)
□ ______________________________
4. Kreis der Betroffenen
□ Besucher
□ Mitarbeitende
□ Mitarbeitende / Besucher anderer kirchlicher Stellen im Haus
□ Patienten
□ Passanten
□ sonstige Betroffene (bitte näher beschreiben)
______________________________
5. Personenkreis mit Zugang zu den durch die Videoüberwachung erhobenen Bilddaten5#
□ Empfang
______________________________
□ Mitarbeitende mit besonderen Funktionen
(Administratoren, externe Mitarbeitende eines Dienstleisters per Fernwartung, …)
______________________________
□ Mitarbeitende im Sicherheitsdienst
______________________________
□ Dienststellenleitung
______________________________
□ sonstige Zugriffsberechtigte
______________________________
6. Abwägung der mit der Videoüberwachung verfolgten Ziele mit den konkret verbundenen Gefahren für die Rechte der Betroffenen
6.1. Allgemeines
  1. Welche alternativen Maßnahmen zur Videoüberwachung wurden geprüft?
    ______________________________
  2. Welche Interessen von Betroffenen können tangiert sein?
    ______________________________
  3. Wie ist sichergestellt, dass die Videoüberwachung nicht höchstpersönliche Bereiche oder den Intimbereich der Betroffenen erfasst?
    ______________________________
6.2. Videobeobachtung
  1. Welche Gründe rechtfertigen den Einsatz der Videoüberwachung?
    ______________________________
  2. Sind Anhaltspunkte für ein Überwiegen der Interessen der Betroffenen ausgeschlossen?
    ja, weil ____________________
    nein, weil ____________________
  3. Wie werden die Interessen der Betroffenen wirksam geschützt (bitte Maßnahmenpaket beschreiben)?
    ______________________________
6.3. Videoaufzeichnung
  1. Welche Rechtsgüter sollen geschützt werden?
    ______________________________
  2. Warum kann der verfolgte Zweck durch eine bloße Videobeobachtung nicht erreicht werden?
    ______________________________
  3. Welche Vorkommnisse in der Vergangenheit geben Anlass für eine Videoaufzeichnung (ggf. Nachweise als Anlage beifügen)?
    ______________________________
  4. Welche Tatsachen rechtfertigen die Annahme, dass an dieser Stelle in Zukunft mit einer Verletzung von Rechtsgütern zu rechnen ist?
    ______________________________
  5. Sind Anhaltspunkte für ein Überwiegen der Interessen der Betroffenen ausgeschlossen?
    ja, weil ____________________
    nein, weil ____________________
  6. Wie lange werden die Daten gespeichert?
    ______________________________
  7. Welche schutzwürdigen Interessen können einer Speicherung für den festgelegten Zeitraum entgegenstehen?
    ______________________________
  8. Wie ist sichergestellt, dass die Löschung nach § 7 Absatz 5 DSG-EKD spätestens innerhalb einer Woche stattfindet?
    ______________________________
  9. Wie ist eine vorzeitige Löschung im Einzelfall sichergestellt?
    ______________________________
  10. Wie ist der Zugriff auf die Videoaufzeichnungen geregelt und wie wird er dokumentiert?
    ______________________________
6.4. Verfahren zur weiteren Verarbeitung und betroffene Rechtsgüter (Zweckbindung)
□ Zweck, für den sie erhoben wurden
______________________________
□ Verfolgung von Straftaten
______________________________
□ Abwehr von Gefahren für Leib, Leben oder Freiheit einer Person
______________________________
□ Abwehr von Gefahren für bedeutende Sach- oder Vermögenswerte
______________________________
6.5. Videokamera-Attrappen
Welche Gründe führen zum Einsatz einer Videokamera-Attrappe?
______________________________
6.6. Gründe für die weitere Erforderlichkeit der Videoüberwachung nach Ablauf von zwei Jahren (§ 7a Absatz 8 DSG-EKD)
______________________________
7. Art der Geräte, Standort und Überwachungsbereich
7.1. Art der Geräte
Kamera
(Hersteller, Typenbezeichnung sowie Darstellung der Leistungsmerkmale wie analog/digital, Lichtempfindlichkeit, Bildauflösung, Erfassungswinkel, interner Speicher, Schwenk- / Neigefunktion (mechanisch bzw. digital), Audiofunktion (Mikro integriertes bzw. extern), Signalverarbeitung, Alarmfunktion, Anbindung, mit / ohne Fernsteuerung etc.
______________________________
Netz
Darstellung der Netzverbindungen (z. B. Funk-, Kabelverbindung) und der Einbindung in vorhandene Netze und deren Schnittstellen: WLAN, ISDN / DSL, Intranet, Internet, verschlüsselte / unverschlüsselte Datenübertragung
______________________________
Aufnahmegerät
analoger/digitaler Rekorder, PC, Server, … Hersteller, Typenbezeichnung und/bzw. Darstellung spez. Leistungsmerkmale wie Speicherkapazität, Netzeinbindung, Audiofunktion, Zugriffsschutz, eingesetzte Videomanagementsoftware etc.
______________________________
Kodierer (Encoder)6#
(Einbindung analoger Geräte) Hersteller, Typenbezeichnung, besondere Leistungsmerkmale
______________________________
Monitor
Hersteller, Typenbezeichnung, besondere Leistungsmerkmale
______________________________
Kreuzschiene (Umschaltbox) 7#
Hersteller, Typenbezeichnung, besondere Leistungsmerkmale
______________________________
Drucker
Hersteller, Typenbezeichnung, besondere Leistungsmerkmale
______________________________
weitere Geräte
______________________________
7.2. Standort der Geräte
(Beschreibung der Installationsorte der Kameras und sonstiger eingesetzter Systemkomponenten)
______________________________
7.3. Räumlicher Überwachungsbereich
(Bildliche Darstellung des Überwachungsbereiches: bei mechanisch oder digital Schwenk- / Neige- / Zoom-Funktion u. ä. Darstellung der max. Werte: Erfassungswinkel, Zoom etc.)
______________________________
8. Technische und organisatorische Maßnahmen nach § 7a Absatz 6 DSG-EKD
Systemkomponente
Schutzziel
Gefahren
Maßnahmen
Kamera8#
Vertraulichkeit9#
Integrität10#
Verfügbarkeit11#
Authentizität12#
Revisionsfähigkeit13#
Netz
Vertraulichkeit
Integrität
Verfügbarkeit
Authentizität
Revisionsfähigkeit
Systemkomponente
Schutzziel
Gefahren
Maßnahmen
Aufnahmegerät
(z.B. Videoserver
/ Videorekorder)
Vertraulichkeit
Integrität
Verfügbarkeit
Authentizität
Revisionsfähigkeit
Monitor / PC
Vertraulichkeit
Integrität
Verfügbarkeit
Authentizität
Revisionsfähigkeit
Sonstige Geräte
Vertraulichkeit
Integrität
Verfügbarkeit
Authentizität
Revisionsfähigkeit
9. Art der Überwachung
□ Videobeobachtung ohne Aufzeichnung
(„verlängertes Auge“ des Aufsichts- / Sicherheitspersonals)
□ Videobeobachtung mit anlassbezogener Aufzeichnungsmöglichkeit
(„verlängertes Auge mit Gedächtnis im Einzelfall“)
□ Videobeobachtung mit Aufzeichnung
(„verlängertes Auge“ mit durchgehender Aufzeichnung von Bilddaten im Hintergrundsystem)
□ Videobeobachtung ohne Beobachtung über Live-Monitor
(„Black-Box-Verfahren“)
□ Videoaufzeichnung mit nachgehender Auswertung
□ Videokamera-Attrappe
10. Dauer der Überwachung
□ während der Dienst- / Publikumszeiten
□ außerhalb der Dienst- / Publikumszeiten
□ täglich in der Zeit
von ________ bis ________ Uhr
von ________ bis ________ Uhr
□ 24 Stunden
□ sonstige Beobachtungs- / Aufnahmezeiten
11. Nächster Prüfungstermin nach § 7a Absatz 8 DSG-EKD
(spätestens alle zwei Jahre)
______________________________
______________________________
______________________________
(Datum, Unterschrift der oder des Betriebsbeauftragten oder örtlichen Beauftragten für den Datenschutz)
______________________________
(Datum, Unterschrift für die datenverarbeitende Stelle)
#

Anlage 3 zu § 9

#

Bestellung von Beauftragten nach § 22 Abs. 1 DSG-EKD und deren Stellvertretung

(§ 22 DSG-EKD i.V. mit § 9 DSVO)

Frau/Herr
(Vorname, Name)
wird für
(Name und Adresse der kirchlichen Stelle, bei gemeinsamen örtlichen Beauftragten oder Betriebsbeauftragten alle beteiligten kirchlichen Stellen aufführen)
ab dem
Grafik
zur/zum örtlich Beauftragten für den Datenschutz (Kirchengemeinde)
Grafik
als Vertretung der oder des örtlich Beauftragten für den Datenschutz
Grafik
zur/zum Betriebsbeauftragten für den Datenschutz
(Bei kirchlichen Werken und Einrichtungen mit eigener Rechtspersönlichkeit – z. B. diakonische Einrichtungen als e.V. oder GmbH, kirchliche Stiftungen)
Grafik
als Vertretung der oder des Betriebsbeauftragten für den Datenschutz bestellt.
Die Bestellung erfolgt
Grafik
auf unbestimmte Zeit
Grafik
zeitlich befristet bis zum
Im Rahmen der Datenschutzaufgaben sind Sie weisungsfrei und dürfen wegen dieser Tätigkeit nicht benachteiligt werden. Die Aufgaben ergeben sich aus dem kirchlichen Datenschutzrecht und werden in dem ausgehändigten Merkblatt „Datenschutz in der kirchlichen Stelle unter Einbindung von örtlich Beauftragten für den Datenschutz und Betriebsbeauftragten für den Datenschutz“ unter Ziffer 6 näher beschrieben.
Im Rahmen dieser Tätigkeit sind Sie unmittelbar
(Bezeichnung des gesetzlich oder verfassungsmäßig berufenen Organs / bei gemeinsamen Beauftragten für alle beteiligten kirchlichen Stellen die Organe aufführen)
unterstellt.
Ort, Datum, Unterschrift (Leitung)
#

Empfangsbestätigung

Das Berufungsschreiben sowie ein Exemplar des Merkblatts „Datenschutz in der kirchlichen Stelle unter Einbindung von örtlich Beauftragten für den Datenschutz und Betriebsbeauftragten für den Datenschutz“ habe ich erhalten.
Ort, Datum, Unterschrift der bestellten Person
Grafik
Exemplar an Mitarbeiterin/Mitarbeiter
Grafik
Exemplar zur Personalakte
Grafik
Exemplar an den Beauftragten für den Datenschutz der Evangelischen Kirche von Westfalen, der Evangelischen Kirche im Rheinland und der Lippischen Landeskirche sowie der Diakonischen Werke
Grafik
Exemplar an
Grafik
bei der Bestellung zur/zum örtlich Beauftragten für den Datenschutz an die aufsichtsführende Stelle
(bei der Bestellung auf Ebene der Kirchengemeinden an das Landeskirchenamt der Lippischen Landeskirche)
Grafik
bei der Bestellung zur/zum Betriebsbeauftragten für den Datenschutz an das Landeskirchenamt der Lippischen Landeskirche.
#

Merkblatt
„Datenschutz in der kirchlichen Stelle unter Einbindung von örtlich Beauftragten für den Datenschutz und Betriebsbeauftragten für den Datenschutz“

1. Datenschutz in der kirchlichen Stelle: Verantwortung, Kontrolle und Unterstützung
Die Verantwortung für den Datenschutz in der kirchlichen Stelle trägt die Leitung. Sie hat die Einhaltung der allgemeinen und bereichsspezifischen Datenschutzbestimmungen und die Rechtmäßigkeit der bei ihr durchzuführenden Verwaltungsverfahren sicherzustellen. Das bedeutet, dass sie auch Vorsorge für die Einhaltung datenschutzrechtlicher Bestimmungen treffen muss. Die oder der örtlich Beauftragte oder die oder Betriebsbeauftragte für den Datenschutz unterstützt die Leitung in dieser Aufgabe und kontrolliert die Umsetzung des Datenschutzes in der Verwaltungspraxis.
Nicht selten wird diese Aufgabenverteilung zwischen Leitung und Datenschutzbeauftragten missverstanden. Weder ist der Datenschutz bei einer kirchlichen Stelle mit der Benennung einer oder eines Datenschutzbeauftragten automatisch sichergestellt, noch können die Beauftragten für den Datenschutz in ihren kirchlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften gewährleisten. Die örtlich Beauftragten und Betriebsbeauftragten für den Datenschutz können Verstöße gegen datenschutzrechtliche Bestimmungen feststellen und Abhilfe verlangen, sie können auch datenschutzfreundliche Verfahren anregen, aber sie haben in letzter Konsequenz keine Möglichkeit ihre Forderungen gegenüber den einzelnen Mitarbeiterinnen und Mitarbeitern durchzusetzen. Diese Aufgabe obliegt der Leitung. Sie haben die Mitarbeiterinnen und Mitarbeiter ihrer Verwaltungen und Einrichtungen zu einer datenschutzfreundlichen Arbeitsweise anzuleiten. Eine Leitung, die aktiv Datenschutz betreibt, erfüllt so einen berechtigten Anspruch, den Gemeindeglieder, Eltern von in Kindertagesstätten betreuten Kindern, Patientinnen und Patienten von diakonischen Einrichtungen usw. an die jeweilige kirchliche Stelle richten.
2. Welche kirchliche Stelle muss Beauftragte für den Datenschutz bestellen?
Nach § 22 Abs. 1 des Kirchengesetzes über den Datenschutz in der Evangelischen Kirche in Deutschland (DSG-EKD) sollen bei kirchlichen Werken und Einrichtungen mit eigener Rechtspersönlichkeit Betriebsbeauftragte, bei den übrigen kirchlichen Stellen (Kirchengemeinden, Kirchenkreise, kirchliche Verbände) örtlich Beauftragte für den Datenschutz bestellt werden. Diese Soll-Bestimmung wird durch die Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz konkretisiert. Die aus der Bestellung von Betriebsbeauftragten für den Datenschutz gewonnenen Erfahrungen aus der Vergangenheit haben gezeigt, dass kleinere Einrichtungen sowohl fachlich als auch personell Probleme haben, aus dem Kreis der Mitarbeitenden eine Person als Beauftragte für den Datenschutz zu bestellen. § 9 Abs. 1 DSVO legt daher fest, dass kirchliche Stellen der Verpflichtung zur Bestellung von Beauftragten für den Datenschutz zwingend nachzukommen haben, wenn mehr als sechs Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten befasst sind. Kleinere Kirchengemeinden, kirchliche Stiftungen oder diakonische Vereine dürften unter diese Ausnahmeregelung fallen.
Im Zusammenhang mit der Bestellung von Beauftragten für den Datenschutz ist die Vertretung zu regeln. Bei kleineren kirchlichen Stellen dürfte es sich anbieten, dass ein von diesen Stellen berufener „gemeinsamer Beauftragter für den Datenschutz“ sich der Aufgabe annimmt. Für diesen Fall sollten über eine Vereinbarung der Aufgabenbereich und insbesondere die Kostenregelung festgeschrieben werden. Nähere Ausführungen zur Bestellung von Personen als „gemeinsamer Beauftragte für den Datenschutz“ finden sich im Abschnitt 4 dieses Merkblatts.
3. Welche Personen können zu örtlich Beauftragten oder zu Betriebsbeauftragten für den Datenschutz bestellt werden?
Die gesetzliche Vorgabe von § 22 Abs. 2 DSG-EKD lautet: „Zu Beauftragten dürfen nur Personen bestellt werden, die die zur Erfüllung ihrer Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen.“
Die oder der örtlich Beauftragte oder die oder Betriebsbeauftragte für den Datenschutz muss danach in fachlicher und persönlicher Hinsicht für die Aufgabe geeignet sein.
Zu den fachlichen Kenntnissen, die die oder der Beauftragte haben beziehungsweise erwerben sollte, gehört die Kenntnis der datenschutzrechtlichen Grundlagen. Dies sind insbesondere die allgemeinen Datenschutzbestimmungen nach dem Kirchengesetz über den Datenschutz in der EKD, nach den Durchführungsbestimmungen der Landeskirchen, die bereichsspezifischen Datenschutzbestimmungen und die für den jeweiligen Zuständigkeitsbereich einschlägigen weiteren besonderen datenschutzrechtlichen Regelungen. Außerdem sollen die Beauftragten gute Kenntnisse über die Organisation der kirchlichen Stelle und Verständnis für Fragen der Informationstechnik besitzen. Nur wenn den Beauftragten die Aufgaben, die Arbeitsweise und die Abläufe einschließlich der Datenströme in den Arbeitsbereichen vertraut sind, können sie ihre Beratungs- und Kontrollaufgaben effizient wahrnehmen. Des Weiteren sollten die Datenschutzbeauftragten über Grundkenntnisse der Datenverarbeitung und ein gewisses Maß an technischem Verständnis verfügen. Sie müssen den Aufbau, die Funktionsweise und die Anforderungen der eingesetzten Datenverarbeitungssysteme in ihren Grundzügen begreifen, um die eingesetzten Verfahren bewerten und sinnvolle Datensicherungs- und Datenschutzmaßnahmen vorschlagen zu können. In der Praxis werden nur wenige Personen von vornherein alle diese Voraussetzungen erfüllen. Hier wird die oder der Datenschutzbeauftragte seine Kenntnisse und Fähigkeiten weiterentwickeln müssen. Dazu sollte die Gelegenheit zur Teilnahme an geeigneten Fortbildungsveranstaltungen genutzt werden.
Im Hinblick auf die persönliche Zuverlässigkeit der oder des Beauftragten ist neben anderen grundlegenden Charakterstärken vor allem wichtig, dass sie oder er über eine innere Unabhängigkeit verfügt und die Verpflichtung zur Verschwiegenheit ernst nimmt (siehe auch § 22 Abs. 3 Satz 4 i. V. mit § 18 Abs. 7 DSG-EKD). Beauftragte haben Zugang zu allen sensiblen, personenbezogenen Daten. Sie werden nur dann datenschutzgerecht und vertrauensvoll mit der Leitung sowie den Mitarbeiterinnen und Mitarbeitern zusammenarbeiten können, wenn sie über diese Kenntnisse Verschwiegenheit bewahren.
Für die oder den örtlich Beauftragten oder die oder den Betriebsbeauftragte für den Datenschutz selbst wird es eine besondere Schwierigkeit darstellen, sich eine innere Unabhängigkeit in der Bewertung der datenschutzrechtlich relevanten Sachverhalte zu erhalten. Wer die Aufgabe ernst nimmt, erfährt schnell, dass Datenschutz vielfach als lästig empfunden wird. Man wird die Beauftragten möglicherweise drängen, von Datenschutzforderungen Abstand zu nehmen. Da die oder der Beauftragte üblicherweise selbst Mitarbeiterin beziehungsweise Mitarbeiter der kirchlichen Stelle ist, die sie oder ihn beauftragt hat, ist sie oder er teilweise selbst betroffen von neuen Datenschutzmaßnahmen. Es ist deswegen im Interesse der Unabhängigkeit der Beauftragten darauf zu achten, dass eine Interessenkollision zwischen der Aufgabe als örtlich Beauftragte oder Beauftragter oder als Betriebsbeauftragte oder Betriebsbeauftragter für den Datenschutz und den sonstigen Aufgaben als Mitarbeiterin oder Mitarbeiter nicht entsteht.
4. Wie kann eine Interessenkollision vermieden werden?
Die örtlich Beauftragten oder die Betriebsbeauftragten für den Datenschutz dürfen während ihrer Tätigkeit nicht mit Aufgaben betraut sein, deren Wahrnehmung zu Interessenkollisionen führen könnte. Es gilt das Prinzip, dass die oder der zu Kontrollierende nicht zum Kontrolleur werden kann. So sollen die Beauftragten beispielsweise nicht gleichzeitig leitende Aufgaben in den Bereichen der Informationstechnik wahrnehmen und es darf ihnen auch nicht die Aufsicht über die Einhaltung des Datenschutzes obliegen (siehe hierzu auch § 22 Abs. 5 DSG-EKD).
Gerade in kleinen Stellen fehlen aber häufig sachkundige Mitarbeiterinnen und Mitarbeiter, die nicht auch zugleich in datensensiblen Arbeitsbereichen tätig sind. In diesen Fällen bietet § 22 Abs. 1 Satz 2 DSG-EKD eine Lösung an. Es können mehrere Stellen gemeinsam eine oder einen Beauftragten bzw. eine Vertretung bestellen. In der Praxis sind hier verschiedene Varianten denkbar:
Mehrere gleichartige kirchliche Stellen benennen gemeinsam eine Beauftragte oder einen Beauftragten und eine Vertreterin oder einen Vertreter. Ein solches Modell bietet sich besonders für Kirchengemeinden, kleinere kirchliche Verbände, kleinere diakonische Einrichtungen und für kirchliche Stiftungen an. In dieser Weise könnte die Zusammenarbeit der kirchlichen Stellen untereinander gefördert werden.
Dieses Modell mag sich zum Beispiel für besonders große diakonischen Werke schon nicht mehr eignen, weil das Aufkommen an personenbezogenen Daten aus den unterschiedlichsten Bereichen sehr beträchtlich sein kann. Hier könnte zwar ebenfalls wegen der Gleichartigkeit der Struktur dieser diakonischen Stellen eine gemeinsame Betriebsbeauftragte oder ein gemeinsamer Betriebsbeauftragter für den Datenschutz für mehrere diakonischen Werke bestellt werden. Aber statt einer gemeinsamen Vertreterin oder eines gemeinsamen Vertreters würde es sich anbieten, in den einzelnen diakonischen Werken Vertreterinnen und Vertreter zu benennen, die der oder dem Betriebsbeauftragten für den Datenschutz zuarbeiten.
Insgesamt bietet das Gesetz hinreichende Lösungsansätze, um den Gegebenheiten vor Ort Rechnung zu tragen und zugleich Interessenkollisionen zu vermeiden. Zudem können Synergieeffekte durch das Zusammenwirken mehrerer Personen (beauftragte und vertretende Personen) genutzt werden, wenn zum Beispiel die oder der mehr rechtlich vorgebildete Beauftragte mit der oder dem technisch vorgebildeten vertretenden Beauftragten eng zusammenarbeitet.
5. Die Datenschutzbeauftragten in der kirchlichen Stelle: Bestellung, Bekanntmachung, Stellung und Abberufung
Ein Handschlag reicht zur Bestellung einer oder eines Beauftragten nicht aus. Die Übertragung von Verantwortung in diesem Umfang erfordert eine schriftliche Bestellung der oder des Beauftragten und der Vertreterinnen und Vertreter. Damit die Beauftragten ihre Aufgabe erfüllen können, müssen sie darüber hinaus auch den Beschäftigten bekannt gemacht werden (siehe auch die Anlage „Muster einer Bekanntmachung über die Bestellung von Beauftragten“). Die oder der Beauftragte sollte darüber hinaus im Geschäftsverteilung- und Organisationsplan der kirchlichen Stelle ausgewiesen sein.
Eine unabhängige und organisatorisch herausgehobene Stellung ist für eine wirkungsvolle Tätigkeit der Beauftragten von entscheidender Bedeutung. Deshalb können sich die Beauftragten jederzeit unmittelbar an die Leitung der kirchlichen Stelle wenden und sind nur ihr gegenüber rechenschaftspflichtig. Organisatorisch bietet sich dort, wo die Größe der kirchlichen Stelle es erlaubt, die Zuordnung der oder des Beauftragten im engerem Wirkungskreis der Leitung bzw. Geschäftsführung an. Dies ermöglicht der Leitung, dass sie frühzeitig über Datensicherheitsbeeinträchtigungen, Gesetzesverstöße oder Verbesserungsvorschläge unterrichtet wird und entsprechend schnell reagieren kann. Es verhindert außerdem, dass die oder der Beauftragte einer Interessenkollision ausgesetzt ist.
Die Beauftragten sind in der Wahrnehmung ihrer Aufgabe nach § 22 Abs. 3 Satz 2 DSG-EKD weisungsfrei. Sie können danach selbst über den Zeitpunkt und die Art und Weise des Tätigwerdens entscheiden. Dies umfasst die Entscheidung, ob sie eine datenschutzrechtliche Prüfung durchführen oder ob sie sie unterlassen ebenso wie die Freiheit, sich für die ihrer begründeten Überzeugung nach zutreffende Rechtsauffassung im Einzelfall zu entscheiden.
Eine Benachteiligung der oder des Beauftragten wegen dieser Tätigkeit ist nach § 22 Abs. 3 Satz 3 DSG-EKD verboten. Dieses Benachteiligungsverbot ist weit gefasst. Es richtet sich nicht nur an die Leitung oder Geschäftsführung, sondern auch an die Mitarbeitenden und die Mitarbeitervertretung. Auch darf die Tätigkeit als Beauftragte oder Beauftragter keine negativen Auswirkungen auf die berufliche Entwicklung derjenigen haben, die diese Funktion ausüben. In engem Zusammenhang mit der Stellung von Beauftragten steht die Frage, ob eine Abberufung aus dieser Funktion möglich ist. Hier regelt § 9 Abs. 3 DSVO, dass die Bestellung schriftlich widerrufen werden kann, wenn ein Interessenkonflikt mit anderen Aufgaben oder sonst ein wichtiger Grund eintritt. Eine Abberufung darf deswegen nicht aus Gründen erfolgen, die offensichtlich eine Benachteiligung der oder des Datenschutzbeauftragten wegen seiner Aufgabenerfüllung bedeuten würden. Es sind in der Praxis Fälle denkbar, in denen eine Abberufung notwendig wird. Eine Abberufung kommt beispielsweise in Betracht, wenn die oder der Datenschutzbeauftragte mit neuen fachlichen Aufgaben betraut werden soll, die die Fortsetzung der Tätigkeit als Beauftragte oder Beauftragter nicht mehr zulassen. Vor der Entscheidung über den Widerruf ist die oder der Betriebsbeauftragte oder die oder der örtlich Beauftragte für den Datenschutz zu hören. Diese Regelung soll mit zur Stärkung der Stellung der Betriebsbeauftragten oder örtlichen Beauftragten beitragen.
Mit dem Ausscheiden der oder des Beauftragten aus dem Dienst- oder Arbeitsverhältnis einer kirchlichen Stelle endet im Normalfall die Bestellung. Nur ausnahmsweise, wenn keine andere Person zur Verfügung steht, sollte für einen begrenzten Zeitraum überlegt werden, ob das Amt der oder des Beauftragten als so genannte „externe Datenschutzbeauftragung“ fortgeführt werden kann.
6. Aufgaben der örtlich Beauftragten und Betriebsbeauftragten für den Datenschutz
a. Datenschutz braucht Verbündete vor Ort
Gesetze, Verordnungen, Erlasse und Dienstanweisungen zum Datenschutz sind notwendig, sie sind den Mitarbeiterinnen und Mitarbeitern aber bei der täglichen Arbeit selten in allen Nuancen und Details präsent. Deshalb ist es wichtig, dass die Beauftragten für den Datenschutz werben, über ihn informieren, neue Datenverarbeitungsverfahren möglichst schon vor ihrer Einführung beurteilen und die Einhaltung des Datenschutzes kontrollieren.
Die Datenschutzbeauftragten beraten und unterstützen die Leitung der kirchlichen Stelle und die Arbeitsbereiche, die personenbezogene Daten verarbeiten, in allen Fragen des Datenschutzes sowie der datenschutzgerechten Organisation. Hierzu gehören die Beratung und Mitwirkung bei der Erstellung eines Sicherheitskonzepts für die in der kirchlichen Stelle eingesetzte Informationstechnik, beim Verfassen von Richtlinien, Rundschreiben und Dienstvereinbarungen, bei der Ausgestaltung von Verträgen mit Auswirkungen für den Datenschutz (z.B. bei Datenverarbeitung im Auftrag).
Die Datenschutzbeauftragten haben unmittelbaren Kontakt zu den Mitarbeiterinnen und Mitarbeitern und schulen sie in Fragen des Datenschutzes.
Zu den „Überwachungs-“Aufgaben gehören insbesondere die Prüfung der getroffenen technischen und organisatorischen Maßnahmen gemäß § 9 DSG-EKD, die Kontrolle der Einhaltung der Weisungen des Auftraggebers bei Verarbeitung oder Nutzung personenbezogener Daten im Auftrag, die Erstellung schriftlicher Ergebnisberichte über durchgeführte Kontrollen und die Auswertung von Protokolldateien.
Um den Datenschutzbeauftragten diese Aufgabenerfüllung zu ermöglichen, sind sie durch das Gesetz mit Kompetenzen ausgestattet. Nach § 9 Abs. 5 DSVO kann die oder der Betriebsbeauftragte oder die oder der örtlich Beauftragte für den Datenschutz Auskünfte verlangen und Einsicht in Unterlagen nehmen, soweit dies zur Erfüllung der Aufgaben erforderlich ist. Hilfreich ist es in diesem Zusammenhang auch, wenn die Beauftragten an allen datenschutzrelevanten Vorgängen beteiliget werden und ihnen Planungen, die den Umgang mit personenbezogenen Daten betreffen, rechtzeitig bekannt gegeben werden. Den Beauftragten sind die Übersichten aller automatisierten Verfahren der Behörde, in denen personenbezogene Daten verarbeitet werden, nach Maßgabe des § 6 Abs. 3 DSVO vorzulegen, soweit sie nicht selbst mit der Erstellung und Führung dieser Übersichten betraut werden.
Eine enge Zusammenarbeit mit der Leitung der kirchlichen Stelle kann dadurch gefördert werden, indem man regelmäßig Gespräche führt, wie der Datenschutz tatsächlich praktiziert wird, welche Schwachpunkte bestehen und wie diese auszuräumen sind. Hilfreich sind auch schriftliche Protokolle und Berichte, die gegebenenfalls ganz oder auch auszugsweise auch an alle Mitarbeitenden bekannt gegeben werden können, damit diese für die Belange des Datenschutzes weiter sensibilisiert werden.
b. Verfahrensverzeichnisse geben Überblick
Das neue DSG-EKD legt in § 14 Abs. 2 fest, dass die kirchlichen Stellen für ihre Zuständigkeitsbereiche Übersichten über die eingesetzten Datenverarbeitungsprogramme zu führen haben. Die Verzeichnisse lösen die Meldungen über alle automatisiert geführten Dateien an das Dateienregister der gemeinsamen Beauftragten für den Datenschutz der Evangelischen Kirche von Westfalen, der Evangelischen Kirche im Rheinland und der Lippischen Landeskirche ab. Die Dezentralisierung und die Beschränkung auf DV-Verfahren soll eine einfache Führung der Übersichten, die ohne großen Aufwand aktuell gehalten werden kann, begünstigen. Auch der Nutzen dieser Übersichten als Kontrollinstrument vor Ort für die Beauftragten ist größer als bei einem zentral geführten Register.
Das Verfahrensverzeichnis, das unmittelbar in den öffentlichen Stellen geführt wird, dient dazu, den Überblick darüber zu behalten, wo sich in der Behörde personenbezogene Daten befinden und wie sie behandelt werden. So können mögliche „Datenlecks“ schneller gefunden und geschlossen werden.
Dieses Verfahrensverzeichnis kann von jeder Person unentgeltlich eingesehen werden, wenn diese ein berechtigtes Interesse nachweisen kann (§ 21 Abs. 2 DSG-EKD i. V. mit § 6 Abs. 2 DSVO).
c. Weitere Aufgaben der Beauftragten
Der Beauftragte für den Datenschutz ist über die Einrichtung von automatisierten Abrufverfahren möglichst frühzeitig zu informieren. Mit Abrufverfahren kann z. B. einer anderen kirchlichen Stelle die Möglichkeit und Berechtigung geschaffen werden, auf einen zentralen Datenbestand zu Auskunftszwecken oder auch zur weiter gehenden Nutzung zuzugreifen.
Bei der Verarbeitung personenbezogener Daten im Auftrag bietet es sich an, den Beauftragten für den Datenschutz vor der schriftlichen Auftragserteilung einzubinden und ihm auch das Recht einzuräumen, sich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer jederzeit überzeugen zu können.
Da für die Abwicklung der Verwaltungsabläufe häufig Vordrucke verwendet werden, bietet es sich an, bei der Erstellung oder Veränderung von Vordrucken und Merkblättern die Beauftragten für den Datenschutz zu beteiligen. Der Beratungsschwerpunkt dürfte sich dabei auf die Zulässigkeit der Datenerhebung konzentrieren.
Soweit Betroffene Auskunft über die von ihnen gespeicherten personenbezogenen Daten verlangen oder Anfragen zum Datenschutz in der kirchlichen Stelle haben, sollte die oder der Beauftragte für den Datenschutz beteiligt werden oder federführend mit der Abwicklung beauftragt werden.
Die Schulung der Mitarbeitenden über die Bestimmungen über den Datenschutz unter Berücksichtigung der besonderen Verhältnisse ihres Aufgabenbereiches obliegt dem Beauftragten für den Datenschutz. Dies kann beispielsweise wie folgt bestehen:
Einweisung neuer Mitarbeitender,
Schulung im Rahmen der allgemeinen Aus- und Fortbildung,
Vorträge oder Referate bei Dienstbesprechungen,
Ausgabe von Merkblättern,
Mitteilungen am Schwarzen Brett,
Berichte bei Mitarbeiterversammlungen,
Beiträge in Hauszeitschriften oder Mitteilungsblättern.
d. Weiterbildung und Zusammenarbeit helfen Datenschutzprobleme anzugehen
Zur sachgemäßen Durchführung der Aufgaben sollte den Beauftragten für den Datenschutz die Möglichkeit zur Weiterbildung und zum Erfahrungsaustausch mit Kolleginnen und Kollegen aus anderen kirchlichen Stellen eröffnet werden. Die Landeskirchenämter, die Diakonischen Werke, der Datenschutzbeauftragte der Evangelischen Kirche im Rheinland, der Evangelischen Kirche von Westfalen und der Lippischen Landeskirche bieten regelmäßig Fort- und Weiterbildungsveranstaltungen an. Auch über das Internet sind insbesondere über die staatlichen Datenschutzbeauftragten umfangreiche Informationen zu nahezu allen datenschutzrechtlich relevanten Fragestellungen abrufbar. Die Kosten der Fort- und Weiterbildung sowie für die Anschaffung von Literatur hat die kirchliche Stelle zu tragen.
#

Anlage zu Ziffer 5 des Merkblattes
„Datenschutz in der kirchlichen Stelle unter Einbindung von örtlich Beauftragten für den Datenschutz und Betriebsbeauftragten für den Datenschutz“

#

Muster einer Bekanntmachung über die Bestellung von Beauftragten nach § 22 Abs. 1 DSG-EKD und deren Stellvertretung

(§ 22 DSG-EKD i.V. mit § 9 Abs. 4 DSVO)
#

Datenschutz – Bekanntmachung über die Bestellung von Beauftragten

Frau / Herr
(Vorname, Name, ggf. Organisationseinheit / Arbeitsbereich)
wurde mit Wirkung vom
Grafik
zur / zum örtlich Beauftragten für den Datenschutz
Grafik
zur Vertretung der / des örtlich Beauftragten für den Datenschutz
Grafik
zur / zum Betriebsbeauftragten für den Datenschutz
Grafik
zur Vertretung der / des Betriebsbeauftragen für den Datenschutz
bestellt und ist in dieser Eigenschaft unmittelbar der Leitung der kirchlichen Stelle unterstellt.
Zu den Aufgaben gehören insbesondere die Beratung und Unterstützung aller Mitarbeitenden in allen Fragen des Datenschutzes und die Prüfung der vor Ort getroffenen technischen und organisatorischen Datenschutzmaßnahmen.
Frau / Herr ist bei der Erfüllung der Aufgaben zu unterstützen:
Die notwendigen Auskünfte sind zu erteilen,
die Einsicht in Unterlagen ist zu gestatten, soweit dies zur Aufgabenerfüllung erforderlich ist,
Informationen über neue oder geänderte DV-Verfahren sowie über die Einführung oder Änderung von Regelungen und Maßnahmen zur Verarbeitung personenbezogener Daten sind frühzeitig bekannt zu geben, damit eine Beratung aus Sicht des Datenschutzes ermöglicht wird.
Alle Mitarbeiterinnen und Mitarbeiter können sich in Datenschutzangelegenheiten jederzeit ohne Einhaltung des Dienstweges an die örtlich Beauftragte oder den örtlich Beauftragten / an die Betriebsbeauftragte oder den Betriebsbeauftragten sowie im Verhinderungsfall an die Vertretung wenden.
(Ort, Datum, Unterschrift)
#

Anlage 4 zu § 11

#

Merkblatt zur Veröffentlichung von Alters-, Ehejubiläums- und Amtshandlungsdaten

§ 11 Abs. 1 der Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz der EKD (DSVO) erlaubt den Kirchengemeinden, Alters- und Ehejubiläen von Gemeindegliedern in Gemeindebriefen und anderen örtlichen kirchlichen Publikationen mit Namen und Anschriften sowie Tag und Ort des Ereignisses zu veröffentlichen, soweit die Betroffenen im Einzelfall nicht widersprochen haben.
Die Kirchengemeinde kann entweder die Betroffenen vor Veröffentlichung der Jubiläumsdaten einzeln schriftlich, mündlich oder auf anderem Wege auf die Möglichkeit hinweisen, der Veröffentlichung widersprechen zu können, oder im Gemeindebrief einen Hinweis auf das Widerspruchsrecht aufnehmen. Im letzteren Fall ist es ausreichend, wenn der Hinweis regelmäßig, mindestens einmal im Jahr, an derselben Stelle wie die Veröffentlichung der Jubiläumsdaten erfolgt.
Für die Abkündigung von Amtshandlungen im Gottesdienst mit Namen, Anschrift, Tag und Ort der Amtshandlung besteht eine Rechtsgrundlage durch durch Art. 169 Abs. 4 Kirchenordnung der EkvW/§ 7 Lebensordnungsgesetz der EkiR/Abschnitt IV, § 8 Lebensordnungsgesetz der LLK. § 11 Abs. 2 DSVO enthält eine Erlaubnisnorm, die kirchlichen Amtshandlungen zusätzlich im Gemeindebrief und anderen örtlichen kirchlichen Publikationen zu veröffentlichen. Das Widerspruchsrecht der Betroffenen bezieht sich vorrangig darauf, dass eine Veröffentlichung der Anschriften unterbleibt. Nur in Ausnahmefällen, wenn die Betroffenen ein überwiegendes schutzwürdiges Interesse am Ausschluss der Veröffentlichung geltend machen, hat eine Veröffentlichung der kirchlichen Amtshandlungen in Gemeindebriefen und anderen örtlichen kirchlichen Publikationen zu unterbleiben.
Eine Empfehlung zur Gestaltung des Hinweises auf das Widerspruchsrecht der Betroffenen in Gemeindebriefen enthält das Muster 1 dieses Merkblatts. Die Medien- und Presseverbände sind angehalten, in ihren kirchlichen Publikationen, in denen solche Veröffentlichungen regelmäßig erfolgen, auf das in § 11 DSVO enthaltene Widerspruchsrecht hinzuweisen.
Eine Weitergabe von Gemeindeglieder- und Amtshandlungsdaten an Tageszeitungen und sonstige nichtkirchliche Publikationen ist nur zulässig, wenn die Betroffenen ausdrücklich zustimmen.
Die Widersprüche von Gemeindegliedern gegen eine Veröffentlichung ihrer Jubiläums- und Amtshandlungsdaten sind in Gemeindeglieder-Datenverwaltungsprogrammen aufzunehmen.
Soweit von den kommunalen Meldebehörden Auskunfts- und Übermittlungssperren übermittelt worden sind, dürfen nach § 11 Abs. 3 DSVO Veröffentlichungen nur erfolgen, wenn vorher das Einverständnis der betroffenen Person eingeholt wurde (siehe Muster 2).
Die Veröffentlichung von Namen und Anschriften von Gemeindegliedern, ihrer Alters- und Ehejubiläen sowie von kirchliche Amtshandlungsdaten im Internet sind nur zulässig, wenn die betroffenen Personen vorher schriftlich einer Veröffentlichung zugestimmt haben (siehe Muster 3). Vor der Unterzeichnung der Einwilligungserklärung sollte auf die Gefahren, die durch anderweitige, weltweite, nicht mehr kontrollierbare Nutzung der Daten durch Dritte möglich ist, hingewiesen werden.
#

Muster 1 zum Merkblatt zur Veröffentlichung von Alters-, Ehejubiläums- und Amtshandlungsdaten

Hinweis auf das Widerspruchsrecht von Gemeindegliedern gegen die Veröffentlichung ihrer Alters- und Ehejubiläumsdaten sowie der Amtshandlungsdaten in Gemeindebriefen und anderen örtlichen Publikationen (§ 11 Abs. 1 DSVO)
Im (Gemeindebrief …) werden regelmäßig die Alters- und Ehejubiläen sowie kirchliche Amtshandlungen von Gemeindegliedern veröffentlicht. Sofern Sie mit der Veröffentlichung Ihrer Daten nicht einverstanden sind, können Sie Ihren Widerspruch schriftlich, mündlich oder auf anderem Wege bei der zuständigen Verwaltungsstelle (bitte genau bezeichnen einschließlich Adressangaben) oder bei der für Sie zuständigen Pfarrerin bzw. bei dem für Sie zuständigen Pfarrer erklären.
Wir bitten, diesen Widerspruch möglichst frühzeitig, also vor dem Redaktionsschluss zu erklären, da ansonsten die Berücksichtigung Ihres Wunsches nicht garantiert werden kann.
Bitte teilen Sie uns auch mit, ob dieser Widerspruch nur einmalig oder dauerhaft zu beachten ist.
#

Muster 2 zum Merkblatt zur Veröffentlichung von Alters-, Ehejubiläums- und Amtshandlungsdaten

Einwilligungserklärung zur Veröffentlichung von Gemeindegliederdaten und Amtshandlungsdaten (§ 11 Abs. 3 DSVO)
(nur ausfüllen, wenn eine aus den kommunalen Melderegistern übermittelte Auskunfts- und Übermittlungssperre besteht)
Frau/Herr
erklärt:
(Name, Vorname, Geburtsdatum)
Ich bin mit der Veröffentlichung
Grafik
aller Alters- und Ehejubiläen mit Namen und Anschriften sowie Tag und Ort des Ereignisses sowie
Grafik
aller kirchlichen Amtshandlungen mit Namen, Anschriften sowie Tag und Ort der vorgenommenen Amtshandlung
im (Gemeindebrief …) einverstanden.
(Datum, Unterschrift)
#

Muster 3 zum Merkblatt zur Veröffentlichung von Alters-, Ehejubiläums- und Amtshandlungsdaten

Einwilligungserklärung zur Veröffentlichung von Gemeindegliederdaten und Amtshandlungsdaten im Internet (§ 11 Abs. 4 DSVO)
Frau/Herr
erklärt:
(Name, Vorname, Geburtsdatum)
Ich bin mit der Veröffentlichung
Grafik
aller Alters- und Ehejubiläen mit Namen und Anschriften sowie Tag und Ort des Ereignisses sowie
Grafik
aller kirchlichen Amtshandlungen mit Namen, Anschriften sowie Tag und Ort der vorgenommenen Amtshandlung
im Internet auf der Homepage der (bitte Namen der kirchlichen Stelle angeben) einverstanden.
Meine dort veröffentlichten personenbezogenen Daten sind weltweit abrufbar und von dritter Seite für andere Zwecke einschließlich Werbung nutzbar.
(Datum, Unterschrift)
#

Anlage 5 zu § 15

#

Personalunterlagen und Datenschutz nach § 15 DSVO

#

Merkblatt zur Behandlung von Personalunterlagen in kirchlichen Gremien

Zur Vorbereitung von Entscheidungen in Personalangelegenheiten (z. B. Einstellung von Stellenbewerberinnen und -bewerbern, Veränderungen und Beendigung von Beschäftigungsverhältnissen) werden häufig allen Mitgliedern von kirchlichen Gremien schriftliche Personalunterlagen zugesandt oder ausgehändigt. Niederschriften über entsprechende Sitzungen geben zum Teil den Verlauf der Beratungen in vielen Details wieder und enthalten die Beratungsergebnisse. Den Mitgliedern der kirchlichen Gremien bleiben die Personalunterlagen oft für die häusliche Archivierung überlassen.
Personalunterlagen enthalten zum Teil sehr sensible Informationen, z. B. Zeugnisse, Personalbogen, dienstliche Beurteilungen, Gesundheitszeugnisse und ärztliche Stellungnahmen, disziplinarrechtliche Vorgänge, Unterlagen über die finanziellen und familiären Verhältnisse sowie über die Anerkennung einer Schwerbehinderung. Der Vertrauensschutz sowie die Fürsorgepflicht der kirchlichen Stellen gegenüber ihren Beschäftigten und ihren Stellenbewerberinnen und Stellenbewerbern gebieten es, mit den Personalunterlagen Dritten gegenüber sehr zurückhaltend umzugehen und sie nur insoweit zu offenbaren, als dies für Entscheidungen von kirchlichen Gremien in Personalangelegenheiten sachgerecht und angemessen ist.
Mögliche Beeinträchtigungen des Datenschutzes (Gefahren)
Bei der Vielzahl der versandten Beratungsunterlagen und Niederschriften ist die Gefahr groß, dass Unterlagen in Personalangelegenheiten Dritten zugänglich werden. Nicht immer werden Personalunterlagen in der kirchlichen Stelle oder im häuslichen Bereich sicher und für Dritte, auch für Familienmitglieder, unzugänglich aufbewahrt. Zum Teil erhalten auch Mitarbeiterinnen und Mitarbeiter Zugang zu Personalunterlagen, die aufgrund ihrer Aufgabenstellung die Informationen nicht oder nur in einem beschränkten Umfang benötigen.
Wenn Informationen über sensible Personaldaten Dritten zugänglich gemacht werden, kann dies zu einer schweren Verletzung des allgemeinen Persönlichkeitsrechtes der betroffenen Person und zu weit reichenden Schadensersatzansprüchen führen. Dem Daten- und Vertrauensschutz unterliegt nicht nur der beabsichtigte oder unbeabsichtigte tatsächliche Missbrauch, sondern jede denkbare mögliche Beeinträchtigung.
Verschwiegenheitspflicht / Datengeheimnis
Alle Mitglieder von kirchlichen Gremien sind verpflichtet, grundsätzlich über Angelegenheiten der Seelsorge sowie über Personalangelegenheiten, die ihrem Wesen nach vertraulich oder als solche ausdrücklich bezeichnet worden sind, dauernd, auch nach dem Ausscheiden aus dem Amt Verschwiegenheit zu wahren.
Den bei kirchlichen Stellen beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten oder zu nutzen. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. Die Verpflichtung zur Verschwiegenheit ergibt sich auch aufgrund spezieller arbeitsrechtlicher und datenschutzrechtlicher Regelungen.
Verstöße gegen die Verschwiegenheitspflicht und das Datengeheimnis können haftungsrechtliche, dienst- oder arbeitsrechtliche Folgen haben.
Empfehlungen an die kirchlichen Stellen und Gremien
Grafik
Es ist sorgfältig zu prüfen, in welchem Umfang Personalunterlagen für eine Entscheidung erforderlich sind. Nach dem Prinzip der Datensparsamkeit sind so wenig personenbezogene Daten wie möglich zu offenbaren. Bei Entscheidungen über Stellenbesetzungen genügt in vielen Fällen ein tabellarischer Lebenslauf.
Grafik
Es ist abzuwägen, ob nicht ein mündlicher Vortrag allein ausreicht.
Grafik
Personalunterlagen sind deutlich mit einem hervorgehobenen Aufdruck als streng vertrauliche Personalunterlagen zu kennzeichnen.
Grafik
Es ist zu prüfen, ob Personalunterlagen, die im Rahmen einer Einladung versandt werden, anonymisiert werden. Anstelle einer Anonymisierung kann auch eine pseudonyme Verarbeitung der Personalunterlagen vorgenommen werden. Dabei werden die identifizierenden Angaben zu einer Person (z. B. Name, Anschrift, Aktenzeichen) unkenntlich gemacht bzw. durch andere Namen und Bezeichnungen ersetzt. In der Sitzung können die Namen der Personen offenbart werden.
Grafik
Bei Entscheidungen in Beihilfeangelegenheiten sind die Unterlagen grundsätzlich zu anonymisieren.
Grafik
Personalunterlagen, die Gremienmitglieder erhalten, dürfen nur im verschlossenen Umschlag weitergegeben werden. Bei der Adressierung ist darauf zu achten, dass sie ausschließlich an das jeweilige Gremiumsmitglied, ggf. mit dem Hinweis „persönlich“, erfolgt.
Grafik
Bewerbungs- und Personalunterlagen sollten nach Beendigung der Sitzung zur sachgerechten Vernichtung wieder abgegeben werden. Nicht mehr benötigte Personalunterlagen sind unverzüglich zu vernichten (z. B. mit einem Aktenvernichter der Sicherheitsstufe 3 nach DIN 32757).
Grafik
Bewerbungsunterlagen sind im Falle einer nicht zustande gekommenen Einstellung unverzüglich zurückzugeben oder zu vernichten. Die Unterlagen dürfen von der kirchlichen Stelle nur aufbewahrt werden, wenn im Rahmen des Anstellungsgesprächs oder in der Korrespondenz ausdrücklich die Einwilligung dazu erteilt wird. Es ist festzulegen, für welchen maximalen Zeitraum die Bewerbungsunterlagen vorgehalten werden dürfen.
Grafik
Kirchliche Gremien, die sich regelmäßig mit Personalangelegenheiten befassen, sollten unter Beachtung dieser Empfehlungen grundsätzliche Regelungen über die Behandlung von Personalunterlagen treffen.
Empfehlungen an die Gremienmitglieder
Grafik
Personalunterlagen und Verhandlungsniederschriften sind sicher und für Dritte unzugänglich aufzubewahren.
Grafik
Personalunterlagen sollten nach Abschluss des Beratungsverfahrens an die jeweilige kirchliche Stelle zurückgegeben werden (z. B. am Ende einer Sitzung).
Grafik
Personalunterlagen sowie Verhandlungsniederschriften sind sachgerecht und sicher zu entsorgen (z. B. über einen Aktenvernichter) oder der kirchlichen Stelle zur sachgerechten Vernichtung zu übergeben.
#

Merkblatt über den Datenschutz in der Lippischen Landeskirche

Für den Datenschutz in der Lippischen Landeskirche sind zu beachten:
Bereichsspezifische Datenschutzbestimmungen
  1. Besondere Bestimmungen über den Schutz des Beicht- und Seelsorgegeheimnisses, die Amtsverschwiegenheit sowie sonstige gesetzliche Geheimhaltungs- und Verschwiegenheitspflichten oder von Berufs- bzw. besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen.
  2. Besondere Regelungen in kirchlichen Rechtsvorschriften, die auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind.
Allgemeine Datenschutzbestimmungen
  1. Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) vom 12.11.1993 (ABl. EKD S. 505), geändert durch das Erste Kirchengesetz zur Änderung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland vom 7. November 2002 (ABl. EKD S. 381).
  2. Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz der EKD (DSVO) vom
  3. Dienst- und Organisationsanweisungen für den Einsatz und Betrieb in der Informations- und Kommunikationstechnik (IuK-Technik) sowie für die Durchführung des Datenschutzes und der Datensicherheit, soweit sie von den kirchlichen Körperschaften und Dienststellen erlassen wurden, z. B. die Rechtsverordnung zur Ausstattung und über den Gebrauch von Kommunikationseinrichtungen in Diensträumen der Pfarrhäuser (Kommunikationseinrichtungsverordnung) vom 12.2.2003
Grundsätze des Datenschutzes
Soweit die bereichsspezifischen Datenschutzbestimmungen keine anders lautenden Regelungen enthalten, gelten für den Schutz personenbezogener Daten folgende Grundsätze:
  1. Zweck des kirchlichen Datenschutzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
    Personenbezogene Daten dürfen nur für die rechtmäßige Erfüllung kirchlicher Aufgaben erhoben, verarbeitet und genutzt werden. Maßgebend sind die durch das kirchliche Recht bestimmten oder herkömmlichen Aufgaben auf dem Gebiet der Verkündigung, Seelsorge, Diakonie und Unterweisung sowie der kirchlichen Verwaltung (einschließlich Gemeinde- und Pfarrbüro).
    Eine Verarbeitung personenbezogener Daten und deren Nutzung sind grundsätzlich nur zulässig, wenn das DSG-EKD oder eine Rechtsvorschrift sie erlaubt oder anordnet oder soweit die betroffene Person eingewilligt hat.
    Personenbezogene Daten sind Einzelangaben über persönliche Verhältnisse (z. B. Name, Geburtsdatum, Anschrift, Konfession, Beruf, Familienstand) oder sachliche Verhältnisse (z. B. Grundbesitz, finanzielle Belastungen, Rechtsbeziehungen zu Dritten) einer bestimmten oder bestimmbaren natürlichen Person (z. B. Gemeindeglieder, kirchliche Mitarbeitende).
    Die Datenschutzregelungen gelten für
    automatisierte Verarbeitungen, darunter versteht man die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen,
    Datensammlungen, die gleichartig aufgebaut sind und nach bestimmten Merkmalen zugänglich sind und ausgewertet werden können (nicht automatisierte Dateien),
    Akten und Aktensammlungen mit einigen Einschränkungen (z. B. § 16 Abs. 1 Satz 2, Abs. 5 DSG-EKD).
    Einzelheiten, die auch den Umfang des kirchlichen Datenschutzes betreffen, sind dem DSG-EKD zu entnehmen (siehe insbesondere §§ 1-5, 11-13, 23-26).
  2. Auskünfte aus Datensammlungen sowie die Übermittlung von personenbezogenen Daten (Abschriften oder Ablichtungen von Listen und Karteien, Kopien aus Akten sowie Duplizierungen von Disketten, Magnetbändern usw.) sind an kirchliche Stellen, andere öffentlich-rechtliche Religionsgesellschaften sowie an Behörden und sonstige öffentliche Stellen des Bundes, der Länder, der Gemeinden etc. zulässig, soweit sie insbesondere zur Erfüllung kirchlicher Aufgaben erforderlich sind (siehe auch § 12 DSG-EKD). Die Datenübermittlung an sonstige Stellen oder Personen ist nur in Ausnahmefällen statthaft (siehe auch § 13 DSG-EKD). Widersprüche von betroffenen Personen, die sich gegen eine Erhebung, Verarbeitung oder Nutzung ihrer personenbezogener Daten richten, sind zu beachten – Ausnahmen regeln die kirchlichen Vorschriften sowie § 16 Abs. 4a DSG-EKD. Auskünfte zur geschäftlichen oder gewerblichen Verwendung der Daten dürfen ohne Einwilligung der betroffenen Person in keinem Fall gegeben werden. Daten oder Datenträger dürfen nur kirchlichen Mitarbeiterinnen und Mitarbeitern zugänglich gemacht werden, die aufgrund ihrer dienstlichen Aufgaben zum Empfang der Daten ermächtigt worden sind.
  3. Alle Informationen, die eine Mitarbeiterin oder ein Mitarbeiter aufgrund ihrer/seiner Arbeit an und mit Akten, Dateien, Listen und Karteien erhält, sind von ihr/ihm vertraulich zu behandeln. Diese Pflicht besteht auch nach Beendigung der Tätigkeit fort.
  4. Jede Mitarbeiterin und jeder Mitarbeiter trägt für vorschriftsgemäße Ausübung der jeweiligen Tätigkeit die volle datenschutzrechtliche Verantwortung. Der Umgang mit Daten und Informationen erfordert ein hohes Maß an Verantwortungsbewusstsein. Die sorgsame und vertrauliche Behandlung von Daten ist ein wichtiges Gebot im Rahmen der Informationsverarbeitung. Die Sammlung, Aufbereitung und Verwendung personenbezogener Daten unterliegen einer erhöhten Schutzbedürftigkeit.
    Soweit mit einem Personal Computer (PC) personenbezogene Daten eingegeben, verarbeitet oder genutzt werden, sind die technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit zu beachten.
    Eigenmächtige Änderungen der Hardware-Konfiguration, insbesondere der Einbau von Karten, Anschluss von Druckern oder anderer Zusatzgeräte sind ebenso wie die Verwendung privater Hardware und privater Datenträger nicht gestattet. Soweit aus Gründen der Aufgabenerfüllung Daten von dritter Seite mittels eines Datenträgers auf den PC übernommen werden müssen, ist durch geeignete Maßnahmen sicherzustellen, dass die auf dem Datenträger enthaltenen Daten nicht mit Viren befallen sind.
    Des Weiteren ist es untersagt
    Änderungen in der bestehenden Konfiguration, insbesondere das Aufspielen zusätzlicher Dateien und Programme, vorzunehmen,
    private Software zu verwenden,
    Programme weiterzugeben oder zu verändern.
    Daten, Datenträger, Systemliteratur und Zubehör (z. B. Belege, Karteikarten, EDV-Listen, Magnetbänder, Magnetplatten, Disketten, Schlüssel) sind stets sicher und verschlossen zu verwahren und vor jeder Einsicht oder sonstigen Nutzung durch Unbefugte zu schützen.
    Die Regelungen und Hinweise zum Datenschutz und zur Datensicherheit aus bestehenden Dienst- und Organisationsanweisungen sind zu beachten.
  5. Datenbestände, insbesondere Dateien, Listen und Karteien, die durch neue ersetzt und auch nicht aus besonderen Gründen weiterhin benötigt werden (z. B. für Prüf- und Archivzwecke), müssen in einer Weise vernichtet oder gelöscht werden, die jeden Missbrauch der Daten ausschließt.
  6. Mängel, die bei der Datenerhebung, -verarbeitung und -nutzung auffallen, sind unverzüglich den Vorgesetzten zu melden. Dies gilt auch für den Fall, dass in den Bereichen Datenschutz und Datensicherheit unzureichende organisatorische und technische Maßnahmen ergriffen wurden.
    Soweit vorhanden, können auch die oder der Betriebsbeauftragte für den Datenschutz, die oder der örtlich Beauftragte für den Datenschutz, die DV-Benutzerbetreuung und sonstige mit dem Datenschutz befasste Stellen zur Beratung herangezogen werden.
  7. Verstöße gegen das Datengeheimnis können dienst- bzw. arbeitsrechtlich, urheberrechtlich, disziplinarisch und haftungsrechtlich geahndet werden.
    Bestimmte Handlungen, die einen Verstoß gegen das Datengeheimnis beinhalten, stellen Straftatbestände dar. Danach kann beispielsweise mit Freiheitsstrafe oder mit Geldstrafe bestraft werden,
    wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis offenbart, dies betrifft insbesondere Ärztinnen und Ärzte, Angehörige eines anderen Heilberufs, z. B. aus dem Krankenpflegebereich, einschließlich ihre und ihrer berufsmäßig tätigen Gehilfen und Personen, die bei ihnen zur Vorbereitung auf den Beruf tätig sind (z. B. Auszubildende), Psychologinnen und Psychologen, Ehe-, Familien-, Erziehungs- oder Jugendberaterinnen und -berater sowie Beraterinnen und Berater für Suchtfragen in einer Beratungsstelle, Mitglieder einer anerkannten Beratungsstelle nach dem Schwangerschaftskonfliktgesetz, Sozialarbeiterinnen und Sozialarbeiter, Sozialpädagoginnen und Sozialpädagogen, Personen, die Aufgaben oder Befugnisse nach dem Personalvertretungsrecht wahrnehmen (§ 203 StGB „Verletzung von Privatgeheimnissen“),
    wer sich oder einem Dritten unbefugt besonders gesicherte Daten aus fremden Datenbanksystemen verschafft (§ 202a StGB „Ausspähen von Daten“),
    wer fremdes Vermögen durch unbefugtes Einwirken auf einen Datenverarbeitungsvorgang schädigt (§ 263a StGB „Computerbetrug“),
    wer rechtswidrig Daten verändert oder beseitigt (§ 303a StGB „Datenveränderung“),
    wer den Ablauf der Datenverarbeitung einer Behörde oder eines Wirtschaftsunternehmens stört (§ 303b StGB „Computersabotage“) und
    wer unbefugt Verhältnisse in Steuersachen einschl. fremder Betriebs- oder Geschäftsgeheimnisse offenbart oder verwertet (§ 355 StGB „Verletzung des Steuergeheimnisses“).
    Auch weitere Verschwiegenheitsvorschriften und Geheimhaltungspflichten (z. B. dienst- und arbeitsrechtliche Regelungen, Sozialgeheimnis, Brief-, Post- und Fernmeldegeheimnis) sind zu beachten.
  8. Das Merkblatt informiert über einige wichtige Regelungen aus dem Datenschutzbereich. Die Erläuterungen und Hinweise müssen im jeweiligen Zusammenhang, der sich aus Anwendungsfragen aus der täglichen Arbeit sowie den jeweils geltenden Rechtsvorschriften ergibt, gesehen werden. Des Weiteren haben Sie sich auch über zukünftige Rechts- und Verwaltungsvorschriften, Dienst- und Organisationsanweisungen zu den Bereichen IuK-Technik, Datenschutz und Datensicherheit zu informieren.

#
1 ↑ Nr. 108
#
2 ↑ Nr. 108
#
3 ↑ Dieser Dokumentation lag das „Musterformular zur Dokumentation von Videoüberwachungsmaßnahmen öffentlicher Stellen in Ausübung ihres Hausrechts (§ 30 Abs. 7 HmbDSG)“ des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zu Grunde. Im Rahmen der Überarbeitung nach dem kirchlichen Datenschutzrecht wurden Anpassungen vorgenommen.
#
4 ↑ Nr. 108
#
5 ↑ Wenn der Personenkreis externe Personen enthält (z. B. externe Mitarbeitende eines Dienstleisters per Fernwartung, Sicherheitsdienst) handelt es sich zugleich um eine Datenverarbeitung im Auftrag (siehe § 11 Absatz 6 DSG-EKD). Mit dem Dienstleister ist ein Vertrag unter Beachtung der Bestimmungen von § 11 Absatz 1 bis 5 DSG-EKD abzuschließen. ein entsprechendes Muster ist auf der Homepage des BfD EKD (https://datenschutz.ekd.de) in der Infothek zu finden.
#
6 ↑ Der Kodierer ist ein System, das die aus der Videokamera übermittelten Daten in ein anderes Datenformat umwandelt, um Audio-/Videodateien für eine schnelle Übertragbarkeit zu komprimieren.
#
7 ↑ Eine Kreuzschiene (Umschaltbox) ist ein Steuergerät, mit dem bei Videoüberwachungsanlagen verschiedene Kamerapositionen in beliebiger Folge und Dauer an mehreren Monitorplätzen gleichzeitig angezeigt werden können.
#
8 ↑ Bei einer Kamera können die technischen und organisatorischen Maßnahmen beispielsweise wie folgt beschrieben werden:
SystemkomponenteSchutzzielGefahrMaßnahme
KameraVertraulichkeitDiebstahl, unberechtigter Zugriff, unberechtigtes Mitsehen … Zugangssicherung, Zugriffsschutz, Berechtigungssystem
IntegritätUnberechtigte Eingriffe, Veränderungen, BildbearbeitungProtokollierung, Zugriffsschutz
VerfügbarkeitVandalismus, Witterungseinflüsse, Diebstahl, StromausfallVandalismusschutz, Alarmfunktionen bei Ausfall
AuthentizitätUnzulässige Eingriffe
RevisionsfähigkeitUnkontrollierbare Auswertung/Nutzung der Bilddaten für andere ZweckeZugriffsschutz, Zugriffsprotokollierung
#
9 ↑ Definition der Begriffe enthält § 7a Abs. 6 Satz 2 DSG-EKD
#
10 ↑ Definition der Begriffe enthält § 7a Abs. 6 Satz 2 DSG-EKD
#
11 ↑ Definition der Begriffe enthält § 7a Abs. 6 Satz 2 DSG-EKD
#
12 ↑ Definition der Begriffe enthält § 7a Abs. 6 Satz 2 DSG-EKD
#
13 ↑ Definition der Begriffe enthält § 7a Abs. 6 Satz 2 DSG-EKD