.

Rechtsverordnung
der Nordelbischen Evangelisch-Lutherischen Kirche
zur Durchführung und Ergänzung des
Kirchengesetzes über den Datenschutz
der Evangelischen Kirche in Deutschland
(Datenschutzverordnung – DSVO NEK)

Vom 27. August 2007

(GVOBl. S. 226)

Änderungen
Lfd.
Nr.:
Änderndes Recht
Datum
Fund- stelle
Geänderte
Paragrafen
Art der
Änderung
1
Rechtsverordnung zur Änderung der Datenschutzverordnung
2. Dezember 2008
Inhaltsübersicht neuer Abschnitt 8
eingefügt
bish. Abschnitt 8
wird Abschnitt 9 mit neuen Paragraphenbezeichnungen
Abschnittsbezeichnung nach § 41
eingefügt
§§ 42 bis 45
eingefügt
bish. Abschnittsbezeichnung 8
wird neu nummeriert
bish. §§ 42 und 43
werden §§ 46 und 47
Die Kirchenleitung hat aufgrund von § 27 Abs. 2 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland vom 12. November 1993 (GVOBl. 1994 S. 35), geändert durch das Kirchengesetz vom 7. November 2002 (Bekanntmachung in der ab 1. Januar 2003 geltenden Fassung vom 20. Februar 2003 und vom 7. April 2003, GVOBl. S. 74 und 117) in Verbindung mit Artikel 3 des Kirchengesetzes über die Zustimmung zum Kirchengesetz der Evangelischen Kirche in Deutschland über den Datenschutz vom 27. Mai 1978 (GVOBl. S. 253) und in Verbindung mit Artikel 81 Abs. 3 der Verfassung die folgende Rechtsverordnung erlassen:

Inhaltsübersicht

1.
Ergänzende Durchführungsvorschriften zum Datenschutzgesetz der EKD
Geltungsbereich
Führung der Übersicht über die kirchlichen Werke und Einrichtungen mit eigener Rechtspersönlichkeit
Seelsorgedaten
Verpflichtung auf das Datengeheimnis
Videoüberwachung
Private Anlagen
Genehmigung der Einrichtung automatisierter Abrufverfahren mit nichtkirchlichen Stellen
Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten im Auftrag
Einhaltung und Durchführung des Datenschutzes
Übersicht über automatisierte Verarbeitungen und Meldepflicht
Löschung
Die oder der Datenschutzbeauftragte der Nordelbischen Ev.-Luth. Kirche
Beanstandungen der oder des Datenschutzbeauftragten
Betriebsbeauftragte und örtlich Beauftragte für den Datenschutz
2.
Gemeindeglieder- und Amtshandlungsdaten
Gemeindegliederdaten
Veröffentlichung von Gemeindeglieder- und Amtshandlungsdaten
3.
Verkündigungsdienste
Theologiestudierende, Theologinnen und Theologen
Ehrenamtlich Tätige
4.
Bildungswesen
Schülerinnen und Schüler sowie deren Sorgeberechtigte
Lehrerinnen und Lehrer
Bildungs-, Ausbildungs- und religionspädagogische Einrichtungen
Tagungen und sonstige kirchliche Veranstaltungen
Fachhochschule
5.
Kirchliche Abgaben, Finanzwesen, Grundstückswesen
Steuergeheimnis, Steuerdaten
Kirchenbeiträge
Nutzung von Grundstücken und Gebäuden
Wohnungsbewerberinnen und Wohnungsbewerber, Mietbeihilfen
Kirchliche Friedhöfe
6.
Daten von Beschäftigten, Verzeichnisse über Personen und Dienste
Dienstwohnungen
Darlehen, Gehaltsvorschüsse, Unterstützungen
Personenangaben im Dienstbetrieb, Bearbeitung von Beihilfeangelegenheiten
Mitglieder von Gremien und Ausschüssen
Verzeichnisse, Dienstliche Veröffentlichungen
Versorgungskassen
Archivwesen
7.
Diakonische Arbeitsbereiche
Einrichtungen der Kinder- und Jugendhilfe
Krankenhäuser, Vorsorge- und Rehabilitationseinrichtungen
Forschung, Krebsregister
Beratungsstellen
Sonstige diakonische Einrichtungen
Geltung weiterer Vorschriften, Sozialgeheimnis
8.
Fundraising
Erhebung, Verarbeitung und Nutzung personenbezogener Daten
Datenverarbeitung im Auftrag
Datenübermittlung an andere kirchliche Stellen
Automatische Verarbeitung personenbezogener Daten
9.
Schlussbestimmungen
Anlagen
Inkrafttreten, Außerkrafttreten
Anlagen
Anlage 1 zu § 4:
Muster „Verpflichtung auf das Datengeheimnis“
Anlage 2 zu § 4:
Merkblatt „Datenschutz in der Nordelbischen Ev.-Luth. Kirche“
Anlage 3 zu § 6:
Muster „Vertrag über die Nutzung einer privaten Datenverarbeitungsanlage zur Verarbeitung personenbezogener dienstlicher Daten“
Anlage 4 zu § 8:
Muster „Vereinbarung über eine Datenverarbeitung im Auftrag“
Anlage 5 zu § 10:
Muster „Übersicht über automatisierte Verarbeitungen“
Anlage 6 zu § 10:
Merkblatt „Erläuterungen zur Übersicht über automatisierte Verarbeitungen“
Anlage 7 zu § 14:
Muster „Bestellung von Betriebs- und örtlich Beauftragten für den Datenschutz“
Anlage 8 zu § 14:
Merkblatt „Datenschutz in der kirchlichen Stelle unter Einbeziehung der Betriebs- und örtlich Beauftragten für den Datenschutz“
Anlage 9 zu § 16:
Merkblatt „Veröffentlichung von Gemeindeglieder- und Amtshandlungsdaten“
Anlage 10 zu § 16:
Muster „Einwilligungserklärung zur Veröffentlichung von Gemeindeglieder- und Amtshandlungsdaten im Internet“
#

1. Ergänzende Durchführungsvorschriften zum Datenschutzgesetz der EKD

###

§ 1
Geltungsbereich
(zu § 1 Abs. 2 Satz 1 DSG-EKD)

( 1 ) Diese Rechtsverordnung gilt für die Nordelbische Evangelisch-Lutherische Kirche, ihre Kirchenkreise und Kirchenkreisverbände, Kirchengemeinden und Kirchengemeindeverbände und – ohne Rücksicht auf deren Rechtsform – für deren rechtlich selbstständige Dienste, Werke und Einrichtungen („kirchliche Stellen“) sowie deren Mitarbeiterinnen und Mitarbeiter.
( 2 ) Mitarbeiterinnen und Mitarbeiter im Sinne dieser Rechtsverordnung sind Pastorinnen und Pastoren, berufliche Mitarbeiterinnen und Mitarbeiter, ehrenamtlich Tätige, Auszubildende und den kirchlichen Stellen zur Ausbildung zugewiesene Personen (z. B. Vikarinnen und Vikare, Rechtsreferendarinnen und Rechtsreferendare) sowie Praktikantinnen und Praktikanten.
#

§ 2
Führung der Übersicht über die kirchlichen Werke und Einrichtungen mit eigener Rechtspersönlichkeit
(zu § 1 Abs. 2 Satz 2 und 3 DSG-EKD)

( 1 ) 1 Das Nordelbische Kirchenamt soll eine Übersicht über die kirchlichen Dienste, Werke und Einrichtungen mit eigener Rechtspersönlichkeit führen. 2 Die nach § 9 Aufsicht führenden kirchlichen Stellen sind verpflichtet, das Nordelbische Kirchenamt unverzüglich über die in ihrem Bereich gebildeten kirchlichen Dienste, Werke und Einrichtungen nach Satz 1 in Kenntnis zu setzen. 3 Satz 2 gilt entsprechend für die Diakonischen Werke – Landesverbände der Inneren Mission Hamburg und Schleswig-Holstein e. V. Die aufgrund von Artikel 4 Abs. 2 Buchstabe b der Verfassung getroffenen Vereinbarungen sind, soweit erforderlich, um Bestimmungen über die Anwendung kirchlichen Datenschutzrechtes zu ergänzen.
( 2 ) Aufnahmen in die Übersicht und Löschungen werden den Beauftragten für den Datenschutz angezeigt.
#

§ 3
Seelsorgedaten
(zu § 1 Abs. 4 DSG-EKD)

( 1 ) 1 Seelsorgedaten sind personenbezogene Daten, die in Wahrnehmung des Seelsorgeauftrags bekannt werden. 2 Sie beschreiben persönliche, insbesondere familiäre, wirtschaftliche oder berufliche Angelegenheiten des Gemeindegliedes oder anderer betroffener Personen.
( 2 ) 1 Aufzeichnungen, die in Wahrnehmung des Seelsorgeauftrags gemacht werden, dürfen nur für diese Zwecke verwendet werden und Dritten nicht zugänglich sein. 2 Eine Weitergabe dieser Unterlagen ist unzulässig. 3 Sie sind nach Gebrauch zu vernichten, wenn ihre Kenntnis für die Wahrnehmung des Seelsorgeauftrags nicht mehr erforderlich ist.
#

§ 4
Verpflichtung auf das Datengeheimnis
(zu § 6 DSG-EKD)

( 1 ) Alle personenbezogenen Daten, von denen Mitarbeiterinnen und Mitarbeiter aufgrund ihrer Tätigkeit insbesondere mit Akten, Dateien, Listen und Karteien Kenntnis erhalten, sind von ihnen vertraulich zu behandeln.
( 2 ) Die mit dem Umgang mit personenbezogenen Daten betrauten Mitarbeiterinnen und Mitarbeiter sind bei der Aufnahme ihrer Tätigkeit schriftlich zur Einhaltung des Datenschutzes und auf das Datengeheimnis zu verpflichten.
( 3 ) 1 Die Verpflichtung erfolgt durch das vorsitzende oder das stellvertretende vorsitzende Mitglied des Leitungsorgans der jeweiligen kirchlichen Stelle. 2 Die Verpflichtung auf das Datengeheimnis nach § 6 DSG-EKD ist nach dem Muster der Anlage 1 unter Aushändigung des Merkblattes der Anlage 2 vorzunehmen. 3 Das Original der Verpflichtungserklärung ist zur Personalakte der verpflichteten Person oder, sofern eine solche nicht geführt wird, zur Akte Datenschutz zu nehmen.
#

§ 5
Videoüberwachung
(zu § 7a DSG-EKD)

( 1 ) Der Umstand der Beobachtung mit optisch-elektronischen Einrichtungen und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen.
( 2 ) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung oder Nutzung entsprechend § 15a DSG-EKD zu benachrichtigen.
#

§ 6
Private Anlagen
(zu § 9 DSG-EKD)

( 1 ) Die Benutzung privater Datenverarbeitungsanlagen zur Verarbeitung personenbezogener dienstlicher Daten ist grundsätzlich untersagt.
( 2 ) 1 Die Verarbeitung personenbezogener dienstlicher Daten auf der privaten Datenverarbeitungsanlage einer Mitarbeiterin oder eines Mitarbeiters einer kirchlichen Stelle ist ausnahmsweise für einen begrenzten Zeitraum zulässig, wenn diese Anlage im persönlichen Eigentum dieser Mitarbeiterin oder dieses Mitarbeiters steht und nur durch diese oder diesen genutzt wird. 2 Darüber ist eine rechtliche Vereinbarung nach dem Muster der Anlage 3 zu schließen. 3 Ein kurzfristiger Zugriff der kirchlichen Stelle auf die dienstlichen Daten muss gewährleistet sein.
( 3 ) Bei Benutzung der privaten Datenverarbeitungsanlage außerhalb der Diensträume müssen die gespeicherten Daten durch geeignete Maßnahmen vor unbefugtem Zugriff, unbefugter Einsichtnahme und Veränderung geschützt werden.
( 4 ) Die Verarbeitung personenbezogener dienstlicher Daten, die einer besonderen Amtsverschwiegenheit oder sonstigen Geheimhaltungspflicht unterliegen, ist auf einer privaten Datenverarbeitungsanlage nicht gestattet.
( 5 ) Endet die dienstliche Benutzung der privaten Datenverarbeitungsanlage, so hat die kirchliche Stelle die Löschung der dienstlichen Daten auf der privaten Datenverarbeitungsanlage sicherzustellen.
( 6 ) Der Einsatz nicht vereinbarter oder nicht genehmigter privater Programme auf einer dienstlichen Datenverarbeitungsanlage ist unzulässig.
#

§ 7
Genehmigung der Einrichtung automatisierter Abrufverfahren
mit nichtkirchlichen Stellen
(zu § 10 Abs. 3 Satz 2 DSG-EKD)

Die Einrichtung eines automatisierten Abrufverfahrens mit nichtkirchlichen Stellen bedarf der Genehmigung durch das Nordelbische Kirchenamt.
#

§ 8
Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten im Auftrag
(zu § 11 DSG-EKD)

( 1 ) Sollen personenbezogene Daten einer kirchlichen Stelle im Auftrag durch andere Stellen oder Personen erhoben, verarbeitet oder genutzt werden, so ist hierüber eine Vereinbarung nach dem Muster der Anlage 4 zu schließen.
( 2 ) Für die nach § 11 Abs. 2 Satz 3 DSG-EKD erforderliche Genehmigung über die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten im Auftrag durch andere Stellen oder Personen ist die nach § 9 Aufsicht führende Stelle zuständig.
( 3 ) Soweit es sich bei den auftraggebenden Stellen um kirchliche Dienste, Werke oder Einrichtungen mit eigener Rechtspersönlichkeit handelt, die Mitglieder der Diakonischen Werke – Landesverbände der Inneren Mission Hamburg und Schleswig-Holstein e. V. sind, ist für die Genehmigung der Vorstand des jeweiligen Diakonischen Werkes oder eine von ihm beauftragte Person zuständig.
( 4 ) 1 Die Erteilung einer allgemeinen Genehmigung ist zulässig. 2 Die Genehmigung zur Beauftragung des Rechenzentrums Nordelbien-Berlin gilt als allgemein erteilt.
#

§ 9
Einhaltung und Durchführung des Datenschutzes
(zu § 14 Abs. 1 DSG-EKD)

( 1 ) Die Aufsicht über die Einhaltung des Datenschutzes führt
  1. für die Kirchengemeinden und Kirchengemeindeverbände sowie deren Dienste, Werke und Einrichtungen der Kirchenkreisvorstand, unbeschadet der allgemeinen Aufsicht des Nordelbischen Kirchenamtes,
  2. für die Kirchenkreise, die Kirchenkreisverbände sowie deren Dienste, Werke und Einrichtungen und die Dienste, Werke und Einrichtungen der Nordelbischen Ev.-Luth. Kirche das Nordelbische Kirchenamt,
  3. für das Nordelbische Kirchenamt und den Bereich der Nordelbischen Ev.-Luth. Kirche die Kirchenleitung.
( 2 ) 1 Zuständig für die Einhaltung des Datenschutzes in den kirchlichen Diensten, Werken und Einrichtungen mit eigener Rechtspersönlichkeit sind deren Leitungsorgane. 2 Die Diakonischen Werke – Landesverbände der Inneren Mission Hamburg und Schleswig-Holstein e. V. sind gegenüber den ihnen angehörenden Diensten, Werken und Einrichtungen, für die das kirchliche Datenschutzrecht gilt, für die Aufsicht über die Einhaltung des Datenschutzes zuständig.
( 3 ) Die kirchlichen Körperschaften sowie die kirchlichen Dienste, Werke und Einrichtungen mit eigener Rechtspersönlichkeit sollen Dienst- und Organisationsanweisungen für den Einsatz und Betrieb der Informations- und Kommunikationstechnik sowie für die Durchführung des Datenschutzes und der Datensicherheit erlassen.
#

§ 10
Übersicht über automatisierte Verarbeitungen und Meldepflicht
(zu §§ 14 Abs. 2 und 21 Abs. 1 und 2 DSG-EKD)

( 1 ) 1 Die Übersicht nach § 14 Abs. 2 DSG-EKD wird von den kirchlichen Stellen jeweils für ihren Zuständigkeitsbereich nach dem Muster der Anlage 5 geführt; sie ist laufend auf dem neuesten Stand zu halten. 2 Das Merkblatt der Anlage 6 ist zu beachten.
( 2 ) Die Übersicht ist der oder dem Datenschutzbeauftragten der Nordelbischen Ev.-Luth. Kirche auf Anforderung zu übermitteln.
#

§ 11
Löschung
(zu § 16 Abs. 2 DSG-EKD)

Bereichsspezifische Regelungen über die Aufbewahrung, Aussonderung und Löschung personenbezogener Daten sowie insbesondere die entsprechenden Vorschriften des Archivrechts bleiben unberührt.
#

§ 12
Die oder der Datenschutzbeauftragte der Nordelbischen Ev.-Luth. Kirche
(zu §§ 18 und 19 DSG-EKD)

( 1 ) 1 Die oder der Datenschutzbeauftragte der Nordelbischen Ev.-Luth. Kirche wird von der Kirchenleitung für eine Amtszeit von sechs Jahren berufen. 2 Wiederberufung ist zulässig. 3 Dienstsitz ist in der Regel das Nordelbische Kirchenamt. 4 Entsprechendes gilt für die Stellvertreterin oder den Stellvertreter. 5 Es können mehrere Arbeitsbereiche gebildet werden. 6 Berufung und Dienstsitz der oder des Datenschutzbeauftragten werden im Gesetz- und Verordnungsblatt bekannt gegeben.1#
( 2 ) Die Dienstaufsicht führt die Kirchenleitung, sie kann auf die Präsidentin oder den Präsidenten des Nordelbischen Kirchenamtes delegiert werden.
( 3 ) Die Kirchenleitung kann mit anderen Gliedkirchen der Evangelischen Kirche in Deutschland Vereinbarungen über die Bestellung von gemeinsamen Datenschutzbeauftragten treffen.
( 4 ) Bei der Prüfung von Unterlagen durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten gehen die Vorschriften des Disziplinarrechts den Vorschriften des Datenschutzgesetzes der Evangelischen Kirche in Deutschland vor, wenn gegen die betroffene Person ein Verfahren bei der Disziplinarkammer anhängig ist.
#

§ 13
Beanstandungen der oder des Datenschutzbeauftragten
(zu § 20 DSG-EKD)

Beanstandungen der oder des Datenschutzbeauftragten gemäß § 20 DSG-EKD richten sich an das Leitungsorgan der kirchlichen Stelle unter gleichzeitiger Benachrichtigung der nach § 9 Aufsicht führenden Stelle, die auch kirchenleitendes Organ im Sinne von § 20 Abs. 3 DSG-EKD ist.
#

§ 14
Betriebsbeauftragte und örtlich Beauftragte für den Datenschutz
(zu § 22 DSG-EKD)

( 1 ) Die Bestellung von Betriebsbeauftragten und örtlich Beauftragten für den Datenschutz erfolgt durch die gesetzlich oder satzungsgemäß berufenen Organe der Dienste, Werke oder Einrichtungen.
( 2 ) 1 Vor der Bestellung gemeinsamer Betriebsbeauftragter und örtlich Beauftragter für den Datenschutz hat jede beteiligte kirchliche Stelle ihre Zustimmung zur Bestellung zu erklären. 2 Dabei können Vereinbarungen zum Arbeitsumfang und zur Finanzierung getroffen werden.
( 3 ) 1 Die Bestellung von Beauftragten nach Absatz 1 kann befristet oder unbefristet erfolgen. 2 Sie erfolgt schriftlich nach dem Muster der Anlage 7, das Merkblatt der Anlage 8 ist zu beachten. 3 Die Bestellung kann nach Anhörung der betroffenen Beauftragten schriftlich widerrufen werden, wenn ein Interessenkonflikt mit anderen Aufgaben oder sonst ein wichtiger Grund eintritt. 4 Die Bestellung ist den Mitarbeiterinnen und Mitarbeitern in geeigneter Weise bekannt zu geben.
( 4 ) Die Bestellung und der Widerruf von Beauftragten nach Absatz 1 ist der oder dem Datenschutzbeauftragten und der für die Aufsicht über die Einhaltung des Datenschutzes gemäß § 9 Abs. 1 und 2 zuständigen Stelle unverzüglich schriftlich anzuzeigen.
( 5 ) Die kirchlichen Stellen sind verpflichtet, Verfahren automatisierter Verarbeitung vor Inbetriebnahme den Beauftragten nach Absatz 1 zu melden.
#

2. Gemeindeglieder- und Amtshandlungsdaten

###

§ 15
Gemeindegliederdaten

( 1 ) Unbeschadet der Vorschriften des Kirchengesetzes der Evangelischen Kirche in Deutschland über die Kirchenmitgliedschaft und der zu seiner Ergänzung und Durchführung ergangenen Vorschriften dürfen die von den kommunalen Stellen übermittelten Meldedaten und die von kirchlichen Stellen erhobenen personenbezogenen Daten für die Führung der Gemeindegliederverzeichnisse sowie für kirchliche Aufgaben verarbeitet und genutzt werden.
( 2 ) Daten aus dem Kirchenbuchwesen, der Kirchgelderhebung und der Erhebung freiwilliger Beiträge dürfen mit Meldewesendaten wechselseitig verknüpft werden.
( 3 ) 1 Die aus den kommunalen Melderegistern übermittelten Auskunfts- und Übermittlungssperren sind in die Gemeindegliederverzeichnisse aufzunehmen und zu beachten. 2 Personenbezogene Daten von Personen, für die Auskunfts- oder Übermittlungssperren bestehen, dürfen für Veröffentlichungen nur genutzt werden, wenn vorher das Einverständnis der betroffenen Personen eingeholt wurde.
( 4 ) Auskünfte aus dem Gemeindegliederverzeichnis erteilen die zu dessen Führung verpflichteten kirchlichen Stellen nur nach Maßgabe des § 15 DSG-EKD.
( 5 ) Die kirchlichen Stellen dürfen Name, Vorname und Anschrift von Gemeindegliedern an ihre Medien- und Presseverbände zum Zwecke der Werbung für die Kirchengebietspresse übermitteln. § 11 DSG-EKD und § 8 dieser Verordnung bleiben unberührt.
( 6 ) Die Weitergabe von personenbezogenen Daten von Gemeindegliedern zur gewerblichen Nutzung ist nicht zulässig.
#

§ 16
Veröffentlichung von Gemeindeglieder- und Amtshandlungsdaten

( 1 ) 1 Die Kirchengemeinden dürfen personenbezogene Daten im Zusammenhang mit Amtshandlungen und mit Geburtstagen oder Jubiläen von Gemeindegliedern in Gemeindebriefen und anderen örtlichen kirchlichen Publikationen mit Namen und Anschriften sowie Tag und Ort des Ereignisses veröffentlichen, soweit die Betroffenen im Einzelfall nicht widersprochen haben. 2 Auf das Widerspruchsrecht sind die Betroffenen rechtzeitig vor der Veröffentlichung schriftlich hinzuweisen. 3 Bei regelmäßigen Veröffentlichungen ist es ausreichend, wenn ein Hinweis auf das Widerspruchsrecht an derselben Stelle wie die Veröffentlichung erfolgt. 4 Das in der Anlage 9 enthaltene Merkblatt ist zu beachten.
( 2 ) Die Veröffentlichung personenbezogener Daten im Internet ist nur zulässig, wenn die Einwilligung der betroffenen Person vorher schriftlich eingeholt wurde, dafür ist das Muster der Anlage 10 zu verwenden.
( 3 ) Die Bekanntmachung von Name, Vorname und Adresse aus der Kirche Ausgetretener ist zulässig; aus seelsorgerlichen Gründen soll dies jedoch unterbleiben.
#

3. Verkündigungsdienste

###

§ 17
Theologiestudierende, Theologinnen und Theologen

( 1 ) Die zuständige kirchliche Stelle darf personenbezogene Daten der in die Liste der Theologiestudierenden Eingetragenen erheben, verarbeiten und nutzen, soweit dies zur Förderung des Studiums, zur Begleitung und Beratung bei der Ausbildung, zu Prüfungszwecken sowie zur Durchführung der in § 24 Abs. 1 DSG-EKD genannten Maßnahmen erforderlich ist.
( 2 ) Zur Förderung, Begleitung und Beratung der Theologiestudierenden dürfen Name, Vorname, Adresse einschließlich Telefonnummer, Fax-Nummer und E-Mail-Adresse sowie der Studienort an Konvente und Vorstand der Theologiestudierendenschaft und an den Kleinen Konvent der Vikarinnen und Vikare übermittelt werden.
( 3 ) Die zuständige kirchliche Stelle darf für die in § 24 Abs. 1 DSG-EKD genannten Zwecke bei Pastorinnen und Pastoren, Vikarinnen und Vikaren, Bewerberinnen und Bewerbern für den Vorbereitungsdienst sowie bei den Theologiestudierenden personenbezogene Daten von Angehörigen erheben, verarbeiten und nutzen, soweit dies zur Aufgabenerfüllung erforderlich ist.
#

§ 18
Ehrenamtlich Tätige

Personenbezogene Daten der in der kirchlichen oder in der diakonischen Arbeit ehrenamtlich Tätigen dürfen von der zuständigen kirchlichen Stelle zur Wahrnehmung ihrer Aufgaben erhoben, verarbeitet und genutzt werden.
#

4. Bildungswesen

###

§ 19
Schülerinnen und Schüler sowie deren Sorgeberechtigte

( 1 ) 1 Schulen in kirchlicher und in diakonischer Trägerschaft dürfen personenbezogene Daten ihrer Schülerinnen und Schüler sowie deren Sorgeberechtigter erheben, verarbeiten und nutzen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist. 2 Die zuständige kirchliche Stelle hat neben der Schule die Befugnisse nach Satz 1.
( 2 ) Daten nach Absatz 1 Satz 1 dürfen im Zusammenhang des Übergangs von Schülerinnen und Schülern in eine andere Schule dieser Schule oder dem Schulträger übermittelt werden.
( 3 ) 1 Verhaltensdaten von Schülerinnen und Schülern, Daten über gesundheitliche Auffälligkeiten und etwaige Behinderungen und Daten aus psychologischen und ärztlichen Untersuchungen dürfen nicht automatisiert verarbeitet werden. 2 Daten über besondere pädagogische, soziale und therapeutische Maßnahmen und deren Ergebnisse dürfen nur erhoben und verarbeitet werden, soweit für Schülerinnen und Schüler eine besondere schulische Betreuung in Betracht kommt. 3 Dies gilt auch für entsprechende außerschulische personenbezogene Daten, die der Schule amtlich bekannt geworden sind. 4 Es ist durch technische und organisatorische Maßnahmen sicherzustellen, dass der Schutz der verarbeiteten personenbezogenen Daten gewährleistet ist und die Löschungsbestimmungen eingehalten werden.
( 4 ) 1 Die in Absatz 1 Satz 1 genannten Daten dürfen einer kirchlichen Stelle sowie sonstigen Stellen außerhalb des kirchlichen Bereichs, insbesondere einer Schule, der Schulaufsichtsbehörde, dem Gesundheitsamt, dem Jugendamt, dem jeweiligen Jugendamt auf Länderebene, den Ämtern für Ausbildungsförderung und dem jeweiligen Amt für Ausbildungsförderung auf Länderebene nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden. 2 Dem schulpsychologischen Dienst dürfen personenbezogene Daten nur mit Einwilligung der Betroffenen übermittelt werden.
( 5 ) 1 Die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern in privaten Datenverarbeitungsanlagen von Lehrerinnen und Lehrern für dienstliche Zwecke ist abweichend von § 6 zulässig, bedarf aber der schriftlichen Genehmigung durch die Schulleitung. 2 Die Genehmigung darf nur erteilt werden, wenn die Verarbeitung der personenbezogenen Daten nach Art und Umfang für die Erfüllung der schulischen Aufgaben erforderlich ist und ein angemessener technischer Zugangsschutz nachgewiesen wird. 3 Die Lehrerinnen und Lehrer sind verpflichtet, der Schulleitung sowie der oder dem jeweiligen Beauftragten für den Datenschutz alle Auskünfte zu erteilen, die für die datenschutzrechtliche Verantwortung erforderlich sind.
#

§ 20
Lehrerinnen und Lehrer

( 1 ) Schulen in kirchlicher und in diakonischer Trägerschaft dürfen von ihren Lehrkräften personenbezogene Daten erheben, verarbeiten und nutzen, soweit dies zur Aufgabenerfüllung, insbesondere bei der Unterrichtsorganisation sowie in dienstrechtlichen, arbeitsrechtlichen oder sozialen Angelegenheiten erforderlich ist.
( 2 ) Die in Absatz 1 genannten Daten dürfen kirchlichen Stellen, staatlichen Schulaufsichtsbehörden sowie weiteren Stellen außerhalb des kirchlichen Bereichs nur übermittelt werden, soweit sie von diesen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.
#

§ 21
Bildungs-, Ausbildungs- und religionspädagogische Einrichtungen

( 1 ) Bildungs-, Ausbildungs- und religionspädagogische Einrichtungen dürfen im Rahmen der von ihnen durchgeführten Maßnahmen personenbezogene Daten der Lehrenden und Teilnehmenden erheben, verarbeiten und nutzen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.
( 2 ) 1 Die in Absatz 1 genannten personenbezogenen Daten dürfen für Zwecke der Aus-, Fort- und Weiterbildung an staatliche Schulaufsichtsbehörden, Schulen und andere kirchliche Stellen übermittelt werden, soweit dies zur Aufgabenerfüllung dieser Stellen erforderlich ist. 2 Eine Veröffentlichung der personenbezogenen Daten bedarf der Einwilligung der Betroffenen.
( 3 ) 1 Kirchliche Stellen dürfen den Ausbildungsstätten bei Anmeldung zu Studium und Prüfung sowie bei Zuweisung zum fachtheoretischen Unterricht personenbezogene Daten der Kircheninspektorenanwärterinnen und Kircheninspektorenanwärter übermitteln, soweit dies zur Aufgabenerfüllung der Ausbildungsstätten erforderlich ist; das Gleiche gilt hinsichtlich der für die praktische Ausbildung zuständigen Verwaltungsstellen und die Prüfungsämter für Verwaltungslaufbahnen. 2 Für kirchliche Angestellte gilt Satz 1 entsprechend.
#

§ 22
Tagungen und sonstige kirchliche Veranstaltungen

( 1 ) Die zuständigen kirchlichen Stellen dürfen bei ihren Veranstaltungen personenbezogene Daten der Teilnehmenden und sonstigen Mitwirkenden erheben, verarbeiten und nutzen, soweit dies für die Durchführung der Veranstaltung notwendig ist.
( 2 ) 1 Die Teilnehmerlisten von Veranstaltungen dürfen allen Teilnehmerinnen und Teilnehmern übermittelt werden, soweit nicht eine Betroffene oder ein Betroffener der Übermittlung ihrer oder seiner Daten widersprochen hat. 2 Eine Übermittlung an weitere Dritte sowie die Veröffentlichung bedürfen der Einwilligung der Betroffenen.
( 3 ) Die personenbezogenen Daten von Teilnehmerinnen und Teilnehmern dieser Veranstaltungen dürfen mit Einwilligung der Betroffenen gespeichert und genutzt werden, soweit die kirchlichen Stellen diesen Personen weitere Schulungshinweise, Arbeits- und Informationsmaterial sowie weitere Auskünfte über Veranstaltungen und Entwicklungen einzelner Fortbildungssachgebiete vermitteln oder zielgruppengerichtete Einladungen zu weiteren kirchlichen Veranstaltungen ermöglichen wollen.
#

§ 23
Fachhochschule

Die „Evangelische Hochschule für Soziale Arbeit und Diakonie“ darf von ihren Studienbewerberinnen und Studienbewerbern, von den Fachhochschulangehörigen und von den sonst bei ihr Tätigen die für die Teilnahme an Lehrveranstaltungen und Prüfungen sowie für die sonstige Nutzung der Einrichtungen der Fachhochschule erforderlichen personenbezogenen Daten erheben, verarbeiten und nutzen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.
#

5. Kirchliche Abgaben, Finanzwesen, Grundstückswesen

###

§ 24
Steuergeheimnis, Steuerdaten

( 1 ) Die Wahrung des Steuergeheimnisses geht den Regelungen des Datenschutzes vor.
( 2 ) Diejenigen Personen, die mit der Bearbeitung von Steuersachen befasst sind oder von Steuersachen Kenntnis erlangen, sind zusätzlich schriftlich zur Wahrung des Steuergeheimnisses zu verpflichten.
( 3 ) Personenbezogene Daten, die in Ausübung der Berufs- und Amtspflicht von einer zur Wahrung des Steuergeheimnisses verpflichteten Person übermittelt worden sind, dürfen nicht zu anderen Zwecken als zur Verwaltung der Kirchensteuer sowie zur Führung des Gemeindegliederverzeichnisses und zum Abgleich der Meldedaten gespeichert, verarbeitet oder genutzt werden.
( 4 ) Die Übermittlung der Steuerdaten zwischen den steuererhebenden Körperschaften, den kirchlichen Verwaltungsstellen und den zuständigen Stellen der Nordelbischen Ev.-Luth. Kirche ist zulässig, soweit dies zur ordnungsgemäßen Besteuerung und Verwaltung der Kirchensteuern erforderlich ist.
#

§ 25
Kirchenbeiträge

1 Soweit die Kirchengemeinden von den Gemeindegliedern freiwillige Beiträge erheben, gilt § 24 entsprechend. 2 Die für die Beitragserhebung benötigten personenbezogenen Daten dürfen aus dem Gemeindegliederverzeichnis, im Übrigen nur bei den betroffenen Gemeindegliedern erhoben und zweckentsprechend verarbeitet und genutzt werden.
#

§ 26
Nutzung von Grundstücken und Gebäuden

Die zuständigen kirchlichen Stellen dürfen, sofern sie Dritten Grundstücke, Gebäude, Gebäudeteile oder Wohnraum zur Miete oder sonst zur Nutzung überlassen oder daran Rechte einräumen, die zur verwaltungsmäßigen Abwicklung und Überprüfung erforderlichen personenbezogenen Daten der Nutzungsberechtigten erheben, verarbeiten und nutzen.
#

§ 27
Wohnungsbewerberinnen und Wohnungsbewerber, Mietbeihilfen

1 Die zuständigen kirchlichen Stellen dürfen personenbezogene Daten von Wohnungsbewerberinnen und Wohnungsbewerbern und von den Antragstellenden auf Mietbeihilfen und ähnliche Leistungen sowie von deren Familienangehörigen erheben, verarbeiten und nutzen, soweit dies zur Aufgabenerfüllung erforderlich ist. 2 Eine Übermittlung dieser Daten an Dritte ist nur mit Einwilligung der Betroffenen zulässig.
#

§ 28
Kirchliche Friedhöfe

( 1 ) Zur Bewirtschaftung und Verwaltung der Friedhöfe, insbesondere zur Festsetzung und Einziehung von Gebühren und Entgelten und zur Klärung der Übertragung von Nutzungsrechten dürfen vom Friedhofsträger oder in seinem Auftrag die erforderlichen personenbezogenen Daten der Verstorbenen, der Nutzungsberechtigten und der Auftraggeber erhoben, verarbeitet und genutzt werden.
( 2 ) Im Rahmen der Zulassung und Überwachung der auf den Friedhöfen tätigen Gewerbetreibenden dürfen vom Friedhofsträger oder in seinem Auftrag die erforderlichen personenbezogenen Daten erhoben, verarbeitet und genutzt werden.
( 3 ) Der Friedhofsträger darf zum Zwecke der Bestattung die notwendigen personenbezogenen Daten der verstorbenen und der nutzungsberechtigten Person sowie von Angehörigen an die Stelle oder an die Pastorin oder den Pastor übermitteln, die oder der die Bestattung vornimmt.
( 4 ) Bei der Ausgrabung und Umbettung von Leichen dürfen den zuständigen Gesundheitsbehörden die notwendigen personenbezogenen Daten der Verstorbenen übermittelt werden.
( 5 ) Lässt sich ein Friedhofsträger bei der Genehmigung von Grabmalen bezüglich deren Gestaltung von Sachverständigen beraten, so dürfen den Sachverständigen zur Prüfung der vorgelegten Anträge die dafür notwendigen personenbezogenen Daten übermittelt werden.
( 6 ) Zum Zwecke der Vollstreckung von Friedhofsgebühren dürfen den zuständigen Behörden die notwendigen personenbezogenen Daten übermittelt werden.
( 7 ) Die Lage von Grabstätten darf Dritten auf entsprechende Nachfrage bekannt gegeben werden, wenn diese ein berechtigtes Interesse glaubhaft machen und anzunehmen ist, dass schutzwürdige Belange der verstorbenen und der nutzungsberechtigten Person nicht beeinträchtigt werden.
#

6. Daten von Beschäftigten, Verzeichnisse über Personen und Dienste

###

§ 29
Dienstwohnungen

( 1 ) 1 Die zuständigen kirchlichen Stellen dürfen, sofern sie Dienstwohnungen an Beschäftigte überlassen, die personenbezogenen Daten der Wohnungsinhaberinnen und Wohnungsinhaber erheben, verarbeiten und nutzen, die zur Durchführung der Nutzungsverhältnisse einschließlich der Abrechnung der Dienstwohnungsvergütung erforderlich sind. 2 Diese Daten dürfen, soweit es zur ordnungsgemäßen Abwicklung der laufenden Vorgänge und zur Überprüfung erforderlich ist, zwischen den beteiligten Stellen ausgetauscht werden.
( 2 ) Die steuerrechtlich geregelten Mitteilungspflichten bleiben unberührt.
#

§ 30
Darlehen, Gehaltsvorschüsse, Unterstützungen

Die zuständigen kirchlichen Stellen dürfen die für die Gewährung von Darlehen, Gehaltsvorschüssen und Unterstützungen erforderlichen personenbezogenen Daten der Empfängerinnen und Empfänger sowie gegebenenfalls mithaftender Familienangehöriger oder Bürgen erheben, verarbeiten und nutzen; dies gilt auch zur Sicherung und Tilgung der Forderungen und zur Vorlage von Verwendungsnachweisen.
#

§ 31
Personenangaben im Dienstbetrieb, Bearbeitung von Beihilfeangelegenheiten

( 1 ) Soweit in Ausübung von Dienst- und Arbeitsverhältnissen personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist § 24 DSG-EKD anzuwenden; dienst- und mitarbeiterrechtliche Regelungen, insbesondere die Bestimmungen des Mitarbeitervertretungsrechts, bleiben unberührt.
( 2 ) Die in Anträgen auf die Gewährung von Beihilfen in Krankheits-, Pflege- und Geburtsfällen enthaltenen personenbezogenen Daten von Antragstellenden sowie ihrer Familienangehörigen dürfen nur von der für die Gewährung der Beihilfe zuständigen Stelle erhoben, verarbeitet und genutzt werden.
( 3 ) Bei Wechsel des Anstellungsträgers der oder des Beihilfeberechtigten oder der für die Festsetzung der Beihilfe zuständigen Stelle dürfen die für die Bearbeitung von Beihilfeanträgen notwendigen personenbezogenen Daten übermittelt werden.
( 4 ) Soweit die zuständige Stelle sich zur Durchführung ihrer Aufgaben nach Absatz 2 eines Dritten bedient, dürfen die zur Festsetzung der Beihilfe erforderlichen Daten an diese Stelle weitergegeben werden, soweit diese Stelle ihrerseits auf die Geheimhaltung der Daten verpflichtet worden ist.
( 5 ) Eine Datenübermittlung personenbezogener Daten an Rückdeckungsversicherungen zu Zwecken des Abschlusses von Rückdeckungsversicherungen für Pastorinnen und Pastoren zur Anstellung ist zulässig.
#

§ 32
Mitglieder von Gremien und Ausschüssen

Personenbezogene Daten von Mitgliedern der Gremien kirchlicher Stellen sowie von diesen gebildeter Ausschüsse und Arbeitsgruppen können erhoben, verarbeitet und genutzt werden, soweit dies für die Arbeit der Gremien erforderlich ist.
#

§ 33
Verzeichnisse, Dienstliche Veröffentlichungen

( 1 ) Verzeichnisse, die Namen, Vornamen, Dienst- oder Amtsbezeichnung, dienstliche Anschriften, E-Mail-Adressen und Telefonnummern von Pastorinnen und Pastoren, Kirchenbeamtinnen und Kirchenbeamten, Mitarbeiterinnen und Mitarbeitern sowie sonstiger Inhaberinnen und Inhaber kirchlicher Ämter oder Ehrenämter enthalten (Verzeichnisse), dürfen für die kirchliche und diakonische Arbeit unter Verwendung der vorliegenden personenbezogenen Daten hergestellt, verarbeitet und genutzt werden; Entsprechendes gilt für Pastorinnen und Pastoren im Ruhestand.
( 2 ) Verzeichnisse dürfen für die Zusammenarbeit der kirchlichen Stellen, zur Information der ehrenamtlichen Mitglieder kirchlicher Gremien, der Mitarbeiterinnen und Mitarbeiter sowie der öffentlichen und sonstigen Stellen und Personen im Sinne der §§ 12 und 13 DSG-EKD übermittelt werden, soweit dies aus organisatorischen Gründen und zur Aufgabenerfüllung erforderlich ist.
( 3 ) 1 In die Verzeichnisse dürfen weitere personenbezogene Daten (z. B. Geburtsdatum, Einsegnung, Ordination, Dienstantritt, Ernennung, private Anschriften) sowie Daten, die für die notwendige innerkirchliche dienstliche Zusammenarbeit erforderlich sind, aufgenommen werden, wenn die Einwilligung der Betroffenen vorliegt. 2 Für ein Verzeichnis, das ausschließlich im Bereich der Personalverwaltung und der bischöflichen und pröpstlichen Visitation zur Verfügung steht, dürfen diese Daten auch ohne Einwilligung der Betroffenen erhoben und genutzt werden; dies gilt nicht für die Daten von Inhaberinnen und Inhabern kirchlicher Ehrenämter.
( 4 ) Die Übermittlung von personenbezogenen Daten für Verzeichnisse nach Absatz 1 und Absatz 3 Satz 1 an Verlage oder an Herausgeber von Verzeichnissen ist nur zulässig, soweit ein in Auftrag gegebenes Verzeichnis für den kircheninternen Dienstgebrauch erforderlich ist und sofern bei dem nach Absatz 3 Satz 1 vorgesehenen Umfang des Verzeichnisses die Betroffenen eingewilligt haben.
( 5 ) Im Gesetz- und Verordnungsblatt dürfen die erforderlichen personenbezogenen Daten von den bei kirchlichen Stellen beschäftigten Mitarbeitenden sowie von ehrenamtlich Tätigen veröffentlicht werden, wenn dies im kirchlichen Interesse liegt.
( 6 ) Die Vorschriften der §§ 15 und 22 bleiben unberührt.
#

§ 34
Versorgung

( 1 ) Die zuständigen kirchlichen Stellen dürfen zur Bearbeitung und Zahlung von Versorgungsbezügen einschließlich der Zahlung von Nachversicherungsbeiträgen und sämtliche Arten des Versorgungslastenausgleichs sowie von Beihilfen in Krankheits-, Pflege- und Geburtsfällen diejenigen personenbezogenen Daten der betroffenen Personen erheben, verarbeiten und nutzen, die für die Erhebung der Versorgungsbeiträge und für die Berechnung und Zahlung der Versorgungsbezüge sowie für die Gewährung von Beihilfen und Leistungen nach dem Pflegeversicherungsgesetz erforderlich sind.
( 2 ) Die Zusatzversorgungskassen dürfen zur Bearbeitung und Zahlung von Altersrenten, Erwerbsunfähigkeits- und Berufsunfähigkeitsrenten, Hinterbliebenenrenten sowie weiterer Versicherungsleistungen diejenigen personenbezogenen Daten der Mitarbeiterinnen und Mitarbeiter sowie der Empfängerinnen und Empfänger von Renten erheben, verarbeiten und nutzen, die für die Zahlung der Umlagen und für die Berechnung und Zahlung der Renten und weiterer Versicherungsleistungen erforderlich sind.
#

§ 35
Archivwesen

( 1 ) Personenbezogene Daten von Benutzerinnen und Benutzern der kirchlichen Archive dürfen erhoben, verarbeitet und genutzt werden, soweit dies für die Erfüllung der Aufgaben erforderlich ist.
( 2 ) Personenbezogene Daten der Benutzerinnen und Benutzer, die an wissenschaftlichen Themen oder Dissertationen arbeiten, dürfen mit den Angaben zum Thema der Arbeit an den zentralen Nachweis wissenschaftlicher Themen und Bearbeiter in kirchlichen Archiven übermittelt werden, soweit die Betroffenen im Einzelfall nicht widersprochen haben.
#

7. Diakonische Arbeitsbereiche

###

§ 36
Einrichtungen der Kinder- und Jugendhilfe

( 1 ) Betreibt eine kirchliche Stelle eine Einrichtung der Jugendhilfe, insbesondere eine Tageseinrichtung für Kinder, und ist für den Betrieb durch den Leistungserbringer oder Träger die Erhebung, Verarbeitung, insbesondere Übermittlung, sowie Nutzung personenbezogener Daten erforderlich, sind die Vorschriften über den Schutz personenbezogener Daten des Sozialgesetzbuchs VIII entsprechend anzuwenden.
( 2 ) Tageseinrichtungen für Kinder dürfen personenbezogene Daten der Kinder und deren Sorgeberechtigter und der von diesen Beauftragten erheben, verarbeiten und nutzen, soweit dies zur Erfüllung des Auftrags der Tageseinrichtungen und ihrer Fürsorgeaufgaben erforderlich ist.
( 3 ) 1 Personenbezogene Daten, die für die Festsetzung der Elternbeiträge erforderlich sind, dürfen die Träger ausschließlich zu diesem Zweck erheben, verarbeiten und nutzen. 2 Die Daten nach Satz 1 sind bei den Betroffenen selbst zu erheben; sie dürfen nicht an andere Stellen übermittelt werden, es sei denn, eine kommunale Körperschaft benötigt sie zur Festsetzung oder Erhebung der Beiträge. 3 Unterlagen dürfen nur in dem Umfang übermittelt werden, wie sie zur Festsetzung der Elternbeiträge erforderlich sind. 4 Auf die Pflicht zur Auskunft für die Berechnung, Übernahme und die Ermittlung oder den Erlass von Teilnahme- oder Kostenbeiträgen nach dem Sozialgesetzbuch VIII soll hingewiesen werden.
( 4 ) 1 Personenbezogene Daten der in den Einrichtungen nach Absatz 1 aufgenommenen Kinder dürfen mit Einverständnis der Sorgeberechtigten erhoben und durch den Träger oder die von ihm beauftragten Stellen verarbeitet und genutzt werden, sofern dies für Zwecke der Gemeindearbeit erforderlich ist. 2 Das Gleiche gilt für Zwecke des öffentlichen Schulwesens nach Maßgabe der hierfür geltenden Bestimmungen.
#

§ 37
Krankenhäuser, Vorsorge- und Rehabilitationseinrichtungen

( 1 ) 1 Daten von Patientinnen und Patienten (Patientendaten) dürfen in kirchlichen Krankenhäusern, Vorsorge- oder Rehabilitationseinrichtungen erhoben, verarbeitet und genutzt werden, soweit
  1. dies im Rahmen des Behandlungsverhältnisses einschließlich der verwaltungsmäßigen Abwicklung und Leistungsberechnung, zur Erfüllung der mit der Behandlung im Zusammenhang stehenden Dokumentationspflichten oder eines damit zusammenhängenden Rechtsstreites erforderlich ist oder
  2. eine staatliche oder kirchliche Rechtsvorschrift dies vorsieht oder
  3. die oder der Betroffene schriftlich eingewilligt hat.
2 Zu den Patientendaten zählen auch personenbezogene Daten Dritter, die dem Krankenhaus, der Vorsorge- oder Rehabilitationseinrichtung im Zusammenhang mit der Behandlung und Pflege bekannt werden.
( 2 ) Für die Qualitätssicherung einschließlich Leistungsauswertung und – entwicklung im Krankenhaus und die Aus-, Fort- oder Weiterbildung ist der Zugriff auf Patientendaten nur insofern zulässig, als diese Zwecke nicht mit anonymisierten Daten erreicht werden können.
( 3 ) Die Verarbeitung und Nutzung von Patientendaten durch den Sozialdienst und die Krankenhausseelsorge ist zulässig, soweit dies für die soziale Betreuung und zur Erfüllung seelsorgerlicher Aufgaben erforderlich ist.
( 4 ) 1 An die Seelsorgerinnen und Seelsorger der für die Patientin oder den Patienten zuständigen Gemeinde dürfen zur Erfüllung seelsorgerlicher Aufgaben Name, Vorname, Geburtsdatum, Bekenntnisstand, Wohnsitz und Aufnahmedatum übermittelt werden, sofern die Patientin oder der Patient der Übermittlung nicht widersprochen hat oder keine Anhaltspunkte dafür bestehen, dass eine Übermittlung nicht angebracht ist. 2 Zu der Ermittlung der zuständigen Gemeinde können die Daten nach Satz 1 an die für das kirchliche Meldewesen zuständige Stelle übermittelt und von dort an die Seelsorgerinnen und Seelsorger der für die Patientinnen und Patienten zuständigen Gemeinde weitergeleitet werden. 3 Die Patientin oder der Patient ist bei der Aufnahme darauf hinzuweisen, dass der Übermittlung widersprochen werden kann.
( 5 ) 1 Die Übermittlung von Patientendaten an Stellen und Personen außerhalb des Krankenhauses und deren Nutzung ist neben der Erfüllung von Pflichten aufgrund bestehender Rechtsvorschriften nur zulässig, soweit dies erforderlich ist zur
  1. Behandlung einschließlich der Mit-, Weiter- und Nachbehandlung, wenn die Patientin oder der Patient nach Hinweis auf die beabsichtigte Übermittlung nicht etwas Anderes bestimmt hat;
  2. Abwehr einer gegenwärtigen Gefahr für das Leben, die Gesundheit oder die persönliche Freiheit der Patientin oder des Patienten oder Dritter, sofern diese Rechtsgüter das Geheimhaltungsinteresse der Patientin oder des Patienten erheblich überwiegen und die Abwendung der Gefahr ohne die Übermittlung nicht möglich ist;
  3. Abrechnung und Durchsetzung von Ansprüchen aufgrund der Behandlung, zur Überprüfung der Leistungserbringung sowie zur Rechnungsprüfung;
  4. Unterrichtung von Angehörigen, soweit es zur Wahrung ihrer berechtigten Interessen erforderlich ist, schutzwürdige Belange der Patientin oder des Patienten nicht beeinträchtigt werden und die Einholung der Einwilligung für die Patientin oder den Patienten gesundheitlich nachteilig wäre oder nicht möglich ist.
2 Im Übrigen ist eine Übermittlung nur mit Einwilligung der Patientin oder des Patienten zulässig.
3 Als Übermittlung gilt auch die Weitergabe der Patientendaten zwischen Behandlungseinrichtungen verschiedener Fachrichtungen in einem Krankenhaus (Fachabteilungen), sofern diese Fachabteilungen nicht unmittelbar mit Untersuchung oder Behandlung und Pflege befasst sind.
4 Die übermittelnde Stelle hat die Empfängerinnen oder Empfänger, die Art der übermittelten Daten und die betroffenen Patientinnen und Patienten aufzuzeichnen.
5 Die Daten empfangenden Stellen und Personen dürfen die übermittelten Patientendaten nur zu dem Zweck verwenden, zu dem sie ihnen übermittelt wurden, und haben sie in demselben Umfang geheim zu halten wie das Krankenhaus selbst.
( 6 ) 1 Patientendaten sind unverzüglich zu löschen, wenn sie zur Erfüllung der Aufgaben, für die sie erhoben wurden, nicht mehr erforderlich sind, die vorgeschriebenen Aufbewahrungsfristen abgelaufen sind und kein Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Belange Betroffener beeinträchtigt werden. 2 Bei Daten, die im automatisierten Verfahren mit der Möglichkeit des Direktabrufs gespeichert sind, ist die Möglichkeit des Direktabrufs zu sperren, sobald die Behandlung der Patientin oder des Patienten im Krankenhaus oder der Vorsorge- oder Rehabilitationseinrichtung abgeschlossen, der Behandlungsbericht erstellt ist und die damit zusammenhängenden Zahlungsvorgänge abgewickelt sind, spätestens jedoch ein Jahr nach Abschluss der Behandlung der Patientin oder des Patienten.
( 7 ) Das Krankenhaus darf sich zur Verarbeitung der Patientendaten, zur Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen anderer Personen und Stellen nur dann bedienen, wenn die Einhaltung der geltenden Datenschutzbestimmungen und der Geheimhaltungspflichten nach § 203 StGB gewährleistet ist.
( 8 ) 1 Das Krankenhaus soll die Auskunft nach § 15 DSG-EKD über die die Patientin oder den Patienten betreffenden ärztlichen Daten und die Einsicht in die Behandlungsdokumentation nur durch eine Ärztin oder einen Arzt vermitteln lassen. 2 Ein Anspruch auf Auskunft oder Einsichtnahme steht der Patientin oder dem Patienten nicht zu, soweit berechtigte Geheimhaltungsinteressen Dritter, deren Daten zusammen mit denen der Patientin oder des Patienten aufgezeichnet sind, überwiegen.
#

§ 38
Forschung, Krebsregister

( 1 ) Die Verarbeitung der Patientendaten aus kirchlichen Krankenhäusern und anderen diakonischen Einrichtungen ist zu Zwecken der wissenschaftlichen Forschung nur zulässig, soweit die Patientin oder der Patient eingewilligt hat.
( 2 ) Ohne Einwilligung dürfen diese Daten für eigene wissenschaftliche Forschungsvorhaben nur von den bei den kirchlichen Stellen beschäftigten Personen, die der ärztlichen Schweigepflicht unterliegen, verarbeitet oder genutzt werden.
( 3 ) 1 Ohne Einwilligung dürfen diese Daten zum Zwecke einer bestimmten wissenschaftlichen Forschung an Dritte übermittelt, durch diese verarbeitet oder genutzt werden, wenn der Zweck dieses Forschungsvorhabens nicht auf andere Weise erreicht werden kann und
  1. das berechtigte Interesse der Allgemeinheit an der Durchführung des Forschungsvorhabens das Geheimhaltungsinteresse der Patientin oder des Patienten erheblich überwiegt oder
  2. es entweder nicht möglich oder für die Patientin oder den Patienten aufgrund des derzeitigen Gesundheitszustandes nicht zumutbar ist, eine Einwilligung einzuholen.
2 Die übermittelnde Stelle hat die Empfängerinnen oder Empfänger, den Zweck des Forschungsvorhabens, die betroffenen Patientinnen und Patienten und die Art der übermittelten Daten aufzuzeichnen.
( 4 ) 1 Sobald es der Forschungszweck gestattet, sind die personenbezogenen Daten zu anonymisieren oder zu pseudonymisieren. 2 Merkmale, mit deren Hilfe ein Personenbezug wieder hergestellt werden kann, sind gesondert zu speichern; sie sind zu löschen, sobald der Forschungszweck es erlaubt.
( 5 ) Veröffentlichungen von Forschungsergebnissen dürfen keinen Rückschluss auf die Personen zulassen, deren Daten verarbeitet wurden, es sei denn, die Patientin oder der Patient hat in die Veröffentlichung ausdrücklich eingewilligt.
( 6 ) 1 Soweit die Bestimmungen dieser Verordnung auf die empfangenden Stellen oder Personen keine Anwendung finden, dürfen Patientendaten nur übermittelt werden, wenn diese sich verpflichten
  1. die Daten nur für das von ihnen genannte Forschungsvorhaben zu verwenden,
  2. die Bestimmungen der Absätze 4 und 5 einzuhalten und
  3. der oder dem Beauftragten für den Datenschutz auf Verlangen Einsicht und Auskunft zu gewähren.
2 Die Empfängerinnen oder Empfänger müssen nachweisen, dass die technischen und organisatorischen Voraussetzungen zur Erfüllung der Verpflichtung nach Nummer 2 vorliegen.
( 7 ) Für die Erhebung und Übermittlung von Daten für das Krebsregister gelten die jeweiligen bundes- bzw. landesrechtlichen Regelungen entsprechend.
#

§ 39
Beratungsstellen

( 1 ) Kirchliche Beratungsstellen dürfen diejenigen personenbezogenen Daten erheben, verarbeiten und nutzen, die für die jeweils beantragte Beratung erforderlich sind.
( 2 ) 1 Die personenbezogenen Daten Betroffener, insbesondere alle Einzelangaben über persönliche und sachliche Verhältnisse, über Familienangehörige und ihre Lebensverhältnisse werden bei der oder dem Betroffenen erhoben. 2 Informationen von der oder dem Betroffenen über Dritte, die nicht zur Familie gehören, dürfen nicht mit Hilfe von Datenverarbeitungsprogrammen verarbeitet werden.
( 3 ) 1 Die Daten nach Absatz 2 dürfen für Fallbesprechungen nur offenbart werden, wenn die oder der Betroffene eingewilligt hat. 2 Bei Verweigerung der Einwilligung dürfen die Daten nur in anonymisierter Form offenbart werden.
( 4 ) 1 Die Beratungsdokumentation mit den Daten nach Absatz 2, die persönlichen Aufzeichnungen, der Tätigkeitsnachweis der Beraterin oder des Beraters und die statistischen Unterlagen sind sicher aufzubewahren. 2 Die regelmäßigen Aufbewahrungs-, Löschungs- und Vernichtungsfristen sind zu beachten.
( 5 ) 1 Nach Ablauf der Aufbewahrungsfristen und wenn keine Haftungsansprüche aus der Beratungstätigkeit gegen die Beraterin oder den Berater anhängig sind, wird die Beratungsdokumentation – ohne ärztliche und sonstige Schweigepflichtentbindungen – dem zuständigen kirchlichen Archiv angeboten. 2 Nicht übernommene Unterlagen werden vernichtet.
( 6 ) Die Verarbeitung und Nutzung der Daten nach Absatz 2 in nichtanonymisierter Form für Zwecke der wissenschaftlichen Forschung bedarf der Zustimmung der oder des Betroffenen.
#

§ 40
Sonstige diakonische Einrichtungen

( 1 ) Sonstige diakonische Einrichtungen dürfen personenbezogene Daten der von ihnen betreuten oder behandelten Personen, ihrer Angehörigen, Bevollmächtigten sowie ihrer rechtlichen Betreuerinnen und Betreuer erheben, verarbeiten und nutzen, soweit dies im Rahmen eines Behandlungs-, Betreuungs- oder sonstigen Vertragsverhältnisses einschließlich der verwaltungsmäßigen Abwicklung und Leistungsberechnung, zur Erfüllung der mit der Behandlung im Zusammenhang stehenden Dokumentationspflichten oder eines damit zusammenhängenden Rechtsstreites erforderlich ist.
( 2 ) Personenbezogene Daten nach Absatz 1 dürfen an kirchliche Stellen übermittelt werden, soweit dies für die verwaltungsmäßige Abwicklung und Leistungsberechnung erforderlich ist.
( 3 ) 1 Für seelsorgerliche Aufgaben ist die Übermittlung von Name, Vorname, Anschrift, Geburtsdatum und Bekenntnisstand an die Seelsorgerin oder den Seelsorger der für die betreute oder behandelte Person zuständigen Gemeinde zulässig, sofern die betroffene Person der Übermittlung nicht widersprochen hat. 2 Die oder der Betroffene ist bei Aufnahme des Behandlungs-, Betreuungs- oder sonstigen Vertragsverhältnisses darauf hinzuweisen, dass der Übermittlung widersprochen werden kann.
( 4 ) Die Übermittlung personenbezogener Daten betreuter oder behandelter Personen an Stellen und Personen außerhalb der diakonischen Einrichtung und deren Nutzung richtet sich nach § 37 Abs. 5.
( 5 ) Für die Datenverarbeitung im Auftrag sowie für die Fernwartung gilt § 37 Abs. 7 entsprechend.
#

§ 41
Geltung weiterer Vorschriften, Sozialgeheimnis

( 1 ) 1 Neben den kirchlichen Datenschutzbestimmungen ist insbesondere § 203 des Strafgesetzbuches zu beachten. 2 Auf die Erhebung, Verarbeitung, insbesondere Übermittlung, und Nutzung personenbezogener Daten in diakonischen Einrichtungen sind die jeweiligen Teile des Sozialgesetzbuches entsprechend anzuwenden, soweit in dieser Rechtsverordnung nichts anderes geregelt ist.
( 2 ) Die Mitarbeiterinnen und Mitarbeiter der kirchlichen Stellen, die mit Sozialdaten im Sinne des Sozialgesetzbuches umgehen, sind zusätzlich auf die Einhaltung des Sozialgeheimnisses nach den Vorschriften des Sozialgesetzbuches zu verpflichten.
#

8. Fundraising

###

§ 42
Erhebung, Verarbeitung und Nutzung personenbezogener Daten

( 1 ) Fundraising verbindet die Beziehungspflege mit dem Werben um persönlichen und finanziellen Einsatz für kirchliche und diakonische Zwecke und dient damit der Erfüllung des kirchlichen Auftrags.
( 2 ) 1 Die kirchlichen Stellen gemäß § 1 Abs. 2 DSG-EKD dürfen für das Fundraising ihre im Gemeindegliederverzeichnis und in den Kirchenbüchern enthaltenen Daten von Gemeindegliedern und deren Familienangehörigen nutzen, soweit ein melderechtlicher Sperrvermerk oder Widerspruch (Teilnutzungssperre) dem nicht entgegensteht. 2 § 15 bleibt unberührt.
( 3 ) 1 Weitere Daten von Gemeindegliedern und deren Familienangehörigen dürfen von den zuständigen kirchlichen Stellen für das Fundraising erhoben, verarbeitet und genutzt werden, soweit dies für die Durchführung der Maßnahme erforderlich ist, insbesondere
  1. Name und Anschrift von Spenderinnen und Spendern sowie die zugehörige Kirchengemeinde,
  2. Art, Betrag, Zweck und Zeitpunkt der geleisteten Spenden,
  3. Erteilung von Zuwendungsbestätigungen,
  4. Daten des Kontaktes,
  5. Daten der erforderlichen Buchhaltung,
  6. Daten zur statistischen analytischen Auswertung.
2 Entsprechendes gilt für Personen, die mit der kirchlichen und diakonischen Arbeit in Beziehung getreten sind.
( 4 ) Soweit Seelsorgedaten im Sinne von § 1 Abs. 4 DSG-EKD in Wahrnehmung von Aufgaben des Fundraisings bekannt und gespeichert werden, ist durch geeignete Maßnahmen sicherzustellen, dass die Seelsorgedaten Dritten nicht zugänglich sind.
( 5 ) Es ist sicherzustellen, dass Personen, die den Erhalt von Spendenaufrufen ausdrücklich nicht wünschen, von der Durchführung des Fundraisings ausgenommen werden.
( 6 ) Die für das Fundraising erhobenen Daten sind zu löschen, soweit nicht ihrer Löschung ein konkreter kirchlicher Auftrag des Fundraisings, Rechtsvorschriften oder Aufbewahrungsfristen entgegenstehen.
#

§ 43
Datenverarbeitung im Auftrag

( 1 ) 1 Werden personenbezogene Daten für das Fundraising im Auftrag durch andere kirchliche oder sonstige Stellen oder Personen erhoben, verarbeitet oder genutzt, ist vor einer Beauftragung die Genehmigung der nach kirchlichem Recht zuständigen Stelle einzuholen. 2 Die Erteilung einer allgemeinen Genehmigung ist zulässig. 3 § 11 DSG-EKD und § 8 dieser Verordnung sind zu beachten.
( 2 ) 1 Bei der Datenverarbeitung im Auftrag hat die Speicherung der personenbezogenen Daten mandantenbezogen zu erfolgen. 2 Mandant ist, in dessen Auftrag oder zu dessen Gunsten das Fundraising durchgeführt wird.
( 3 ) Eine Weitergabe der personenbezogenen Daten durch den Auftragnehmer an Dritte ist auszuschließen.
( 4 ) Sofern Betriebsbeauftragte für den Datenschutz oder örtliche Beauftragte für den Datenschutz für die beauftragenden kirchlichen Stellen bestellt sind, sind diese frühzeitig über die Auftragsdatenverarbeitung zu informieren.
#

§ 44
Datenübermittlung an andere kirchliche Stellen

( 1 ) 1 Für die Durchführung einer Fundraisingmaßnahme durch eine andere kirchliche Stelle können mit Zustimmung der zuständigen Stelle folgende Daten von Gemeindegliedern und deren Familienangehörigen aus dem Gemeindegliederverzeichnis und den Kirchenbüchern übermittelt werden:
  1. Name und gegenwärtige Anschrift,
  2. Geburtsdatum, Geschlecht, Staatsangehörigkeit(en), Familienstand, Stellung in der Familie,
  3. Zahl und Alter der minderjährigen Kinder,
  4. Religionszugehörigkeit und Zugehörigkeit zu einer Kirchengemeinde.
2 Soweit es für die Durchführung der Fundraisingmaßnahme erforderlich ist, können im Einzelfall weitere Daten aus den Kirchenbüchern und dem Gemeindegliederverzeichnis übermittelt werden.
( 2 ) Zusätzlich zu den Daten nach Absatz 1 können kirchliche Stellen gemäß § 1 Abs. 2 DSG-EKD von ihnen erhobene und gespeicherte Daten im erforderlichen Umfang an andere kirchliche Stellen übermitteln.
( 3 ) Bei der Übermittlung der Daten nach Absatz 1 und 2 ist sicherzustellen, dass
  1. die Daten empfangende kirchliche Stelle diese ausschließlich für eigene Fundraisingmaßnahmen nutzt,
  2. die Daten empfangende kirchliche Stelle gewährleistet, dass der Umfang und der Zeitpunkt der Fundraisingmaßnahme mit der übermittelnden kirchlichen Stelle abgestimmt wird,
  3. die Daten empfangende kirchliche Stelle gewährleistet, dass Widersprüche von und melderechtliche Sperrvermerke zu betroffenen Personen beachtet und der übermittelnden kirchlichen Stelle mitgeteilt werden,
  4. ausreichende technische und organisatorische Datenschutzmaßnahmen unter Beachtung des Schutzbedarfs der Anforderungen der Anlage zu § 9 Satz 1 DSG-EKD vorliegen, von denen sich im Zweifelsfall die Daten übermittelnde kirchliche Stelle zu überzeugen hat,
  5. sofern Betriebsbeauftragte für den Datenschutz oder örtliche Beauftragte für den Datenschutz der beteiligten kirchlichen Stellen bestellt sind, diese frühzeitig über Umfang und Zweck der Datenübermittlung informiert sind.
( 4 ) Die Daten übermittelnde kirchliche Stelle kann die Weitergabe der Daten mit Auflagen versehen.
#

§ 45
Automatische Verarbeitung personenbezogener Daten

1 Programme zur automatischen Verarbeitung von Spenderdaten (Spendenverwaltungsprogramme, Fundraisingprogramme) dürfen nur verwendet werden, wenn sie vom Nordelbischen Kirchenamt freigegeben worden sind. 2 Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung erhoben, verarbeitet oder genutzt werden, soweit die betroffene Person widerspricht (Teilnutzungssperre).
#

9. Schlussbestimmungen

###

§ 46
Anlagen

Das Nordelbische Kirchenamt wird ermächtigt, die Anlagen 1 bis 10, die Bestandteil dieser Rechtsverordnung sind, zu ändern.
#

§ 47
Inkrafttreten, Außerkrafttreten

( 1 ) Diese Rechtsverordnung tritt am Tage nach der Verkündung im Gesetz- und Verordnungsblatt in Kraft.
( 2 ) Gleichzeitig treten die Rechtsverordnung der Nordelbischen Evangelisch-Lutherischen Kirche zur Durchführung und Ergänzung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (Datenschutzverordnung – NEK VO DSG-EKD) vom 9. Dezember 1997 (GVOBl. 1998 S. 2) sowie die Rechtsverordnung zum Datenschutz in kirchlichen Krankenhäusern vom 8./9. Oktober 1990 (GVOBl. S. 328) außer Kraft.
#

Anlage 1 zu § 4:

– Muster
„Verpflichtung auf das Datengeheimnis“
#

Verpflichtung auf das Datengeheimnis
(nach § 6 DSG-EKD i. V. m. § 4 DSVO NEK)

Frau/Herr
____________________
(Nichtzutreffendes streichen)
wohnhaft
____________________
ist als
____________________
bei
____________________
beschäftigt und bestätigt:
  1. Ich wurde zur Wahrung des Datengeheimnisses nach § 6 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland vom 12. November 1993 (GVOBl. 1994 S. 35), geändert durch das Kirchengesetz vom 7. November 2002 (Bekanntmachung in der ab 1. Januar 2003 geltenden Fassung vom 20. Februar 2003 und vom 7. April 2003, GVOBl. S. 74 und 117) und nach § 4 der Rechtsverordnung der Nordelbischen Evangelisch-Lutherischen Kirche zur Durchführung und Ergänzung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland vom 27. August 2007 (GVOBl. S. 226) darauf verpflichtet, personenbezogene Daten nicht unbefugt zu verarbeiten oder zu nutzen. Ich wurde darauf hingewiesen, dass diese Pflicht auch nach Beendigung meiner Tätigkeit fortbesteht.
  2. Mir ist bekannt, dass Verstöße gegen das Datengeheimnis dienst-, arbeits-, urheber-, straf-, disziplinar- und haftungsrechtlich geahndet werden können.
  3. Das Merkblatt „Datenschutz in der Nordelbischen Ev.-Luth. Kirche“ habe ich erhalten und von seinem Inhalt, den ich sorgfältig beachten werde, Kenntnis genommen.
Ich nehme zur Kenntnis, dass das Original dieser Verpflichtungserklärung zu meiner Personalakte/zur Akte Datenschutz genommen wird.
Eine Ausfertigung ist für die Verpflichtete/den Verpflichteten bestimmt.
____________________
Ort, Datum
____________________
Unterschrift der Verpflichteten/des Verpflichteten
____________________
Unterschrift der Verpflichtenden/des Verpflichtenden
#

Anlage 2 zu § 4:

– Merkblatt
„Datenschutz in der Nordelbischen Ev.-Luth. Kirche“
#

Datenschutz in der Nordelbischen Ev.-Luth. Kirche

Datenschutzbestimmungen
Für den Datenschutz in der Nordelbischen Ev.-Luth. Kirche sind zu beachten:
  1. Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) vom 12. November 1993 (GVOBl. 1994 S. 35), zuletzt geändert durch das Kirchengesetz vom 7. November 2002 (GVOBl. 2003 S. 74 und 117), mit Anlage zu § 9 („Technische und organisatorische Maßnahmen“).
  2. Rechtsverordnung der Nordelbischen Ev.-Luth. Kirche zur Durchführung und Ergänzung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (Datenschutzverordnung – DSVO NEK) vom 27. August 2007 (GVOBl. S. 226).
  3. Besondere Bestimmungen über den Schutz des Beicht- und Seelsorgegeheimnisses, die Amtsverschwiegenheit sowie sonstige gesetzliche Geheimhaltungs- und Verschwiegenheitspflichten (z. B. Artikel 20 und 21 der Verfassung, § 3 Abs. 3 und 5 VA Kirchenvorstände, §§ 41, 42 PfG VELKD, § 47 KBG VELKD, § 9 KAT) oder von Berufs- bzw. besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen.
  4. Besondere Regelungen in kirchlichen Rechtsvorschriften, die auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind.
    In gleicher Weise sind künftige Rechts- und Verwaltungsvorschriften sowie Veröffentlichungen der Evangelischen Kirche in Deutschland und der Nordelbischen Ev.-Luth. Kirche zum Datenschutz zu beachten.
Grundsätze des Datenschutzes
Für den Umgang mit personenbezogenen Daten in der Nordelbischen Ev.-Luth. Kirche gelten insbesondere folgende Grundsätze:
1.
Aufgabe der Datenverarbeitung im kirchlichen Bereich ist es, kirchliches Handeln zu fördern. Dabei muss gewährleistet sein, dass der Einzelne beim Umgang mit personenbezogenen Daten nicht in seinem Persönlichkeitsrecht beeinträchtigt wird.
Personenbezogene Daten dürfen nur für die rechtmäßige Erfüllung kirchlicher Aufgaben erhoben, verarbeitet und genutzt werden. Maßgebend sind die durch das kirchliche Recht bestimmten oder herkömmlichen Aufgaben auf dem Gebiet der Verkündigung, Seelsorge, Diakonie und Unterweisung sowie der kirchlichen Verwaltung.
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, wenn das DSG-EKD oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit die betroffene Person eingewilligt hat.
Personenbezogene Daten sind Einzelangaben über persönliche Verhältnisse (z. B. Name, Geburtsdatum, Anschrift, Konfession, Beruf, Familienstand) oder sachliche Verhältnisse (z. B. Grundbesitz, finanzielle Belastungen, Rechtsbeziehungen zu Dritten) einer bestimmten oder bestimmbaren natürlichen Person.
Besonders sensibel sollte mit besonderen Arten personenbezogener Daten im Sinne von § 2 Abs. 11 DSG-EKD umgegangen werden.
Die Datenschutzregelungen gelten für
automatisierte Verarbeitungen, darunter versteht man die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen,
Datensammlungen, die gleichartig aufgebaut sind und nach bestimmten Merkmalen zugänglich sind und ausgewertet werden können (nicht automatisierte Dateien),
Akten und Aktensammlungen mit einigen Einschränkungen.
Einzelheiten, die auch den Umfang des kirchlichen Datenschutzes betreffen, sind dem DSG-EKD zu entnehmen (siehe insbesondere §§ 1-5, 11-13, 23-26).
2.
Die Übermittlung von personenbezogenen Daten, von Kopien aus Akten und Auskünfte aus Datensammlungen sind an kirchliche Stellen, andere öffentlich-rechtliche Religionsgesellschaften sowie an Behörden und sonstige öffentliche Stellen des Bundes, der Länder, der Gemeinden etc. zulässig, soweit sie insbesondere zur Erfüllung kirchlicher Aufgaben erforderlich sind (beachte aber auch die weiteren Vorgaben der §§ 5 und 12 DSG-EKD). Die Datenübermittlung an sonstige Stellen oder Personen ist nur in Ausnahmefällen statthaft (siehe § 13 DSG-EKD). Widersprüche von betroffenen Personen, die sich gegen eine Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten richten, sind zu beachten – Ausnahmen regeln die kirchlichen Vorschriften sowie § 16 Abs. 4a DSG-EKD. Auskünfte zur geschäftlichen oder gewerblichen Verwendung der Daten dürfen ohne Einwilligung der betroffenen Person in keinem Fall gegeben werden. Daten oder Datenträger dürfen nur kirchlichen Mitarbeiterinnen und Mitarbeitern zugänglich gemacht werden, die aufgrund ihrer dienstlichen Aufgaben zum Empfang der Daten ermächtigt worden sind.
3.
Alle Informationen, die eine Mitarbeiterin oder ein Mitarbeiter aufgrund ihrer/seiner Arbeit an und mit Akten, Dateien, Listen und Karteien erhält, sind von ihr/ihm vertraulich zu behandeln. Diese Pflicht besteht auch nach Beendigung der Tätigkeit fort.
4.
Jede Mitarbeiterin und jeder Mitarbeiter trägt für die vorschriftsgemäße Ausübung der jeweiligen Tätigkeit die volle datenschutzrechtliche Verantwortung. Der Umgang mit Daten und Informationen erfordert ein hohes Maß an Verantwortungsbewusstsein. Die sorgsame und vertrauliche Behandlung von Daten ist ein wichtiges Gebot im Rahmen der Informationsverarbeitung. Die Sammlung, Aufbereitung und Verwendung personenbezogener Daten unterliegen einer erhöhten Schutzbedürftigkeit.
Soweit mit einem Personal Computer (PC) personenbezogene Daten eingegeben, verarbeitet oder genutzt werden, sind die technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit zu beachten, insbesondere die in der Anlage zu § 9 DSG-EKD aufgeführten Kontrollmaßnahmen.
Die Regelungen und Hinweise zum Datenschutz und zur Datensicherheit aus bestehenden Dienst- und Organisationsanweisungen sind zu beachten. Unabhängig davon sind eigenmächtige Änderungen bzw. Erweiterungen der bestehenden Hardware durch Zusatzgeräte ebenso wie die Verwendung privater Hardware und privater Datenträger nicht gestattet. Des Weiteren sind eigenmächtige Änderungen der bestehenden Software, die Verwendung privater Software und die Weitergabe und Veränderung von Programmen untersagt. Soweit aus Gründen der Aufgabenerfüllung Daten von dritter Seite mittels eines Datenträgers auf den PC übernommen werden müssen, ist durch geeignete Maßnahmen sicherzustellen, dass die auf dem Datenträger enthaltenen Daten nicht mit Viren befallen sind.
Datenträger mit personenbezogenen Daten sind stets sicher zu verwahren und vor jeder Einsicht oder sonstigen Nutzung durch Unbefugte zu schützen.
5.
Datenbestände, insbesondere Dateien, Listen und Karteien, die durch neue ersetzt und auch nicht aus besonderen Gründen weiterhin benötigt werden (z. B. für Prüf- und Archivzwecke), müssen in einer Weise vernichtet oder gelöscht werden, die jeden Missbrauch der Daten ausschließt.
6.
Mängel, die bei der Datenerhebung, -verarbeitung und -nutzung auffallen, sind unverzüglich den Vorgesetzten zu melden. Dies gilt auch für den Fall, dass in den Bereichen Datenschutz und Datensicherheit unzureichende organisatorische und technische Maßnahmen ergriffen wurden.
Soweit vorhanden, können auch die oder der Betriebsbeauftragte für den Datenschutz, die oder der örtlich Beauftragte für den Datenschutz und sonstige mit dem Datenschutz befasste Stellen zur Beratung herangezogen werden.
7.
Verstöße gegen das Datengeheimnis können dienst- bzw. arbeitsrechtlich, urheberrechtlich, disziplinarisch und haftungsrechtlich geahndet werden.
Bestimmte Handlungen, die einen Verstoß gegen das Datengeheimnis beinhalten, stellen Straftatbestände dar. Danach kann beispielsweise mit Freiheitsstrafe oder mit Geldstrafe bestraft werden,
wer sich oder einem Dritten unbefugt besonders gesicherte Daten aus fremden Datenbanksystemen verschafft (§ 202a StGB „Ausspähen von Daten“),
wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis offenbart, dies betrifft insbesondere Ärztinnen und Ärzte, Angehörige eines anderen Heilberufs, z. B. aus dem Krankenpflegebereich, einschließlich ihrer berufsmäßig tätigen Gehilfen und Personen, die bei ihnen zur Vorbereitung auf den Beruf tätig sind (z. B. Auszubildende), Psychologinnen und Psychologen, Ehe-, Familien-, Erziehungs- oder Jugendberaterinnen und -berater sowie Beraterinnen und Berater für Suchtfragen in einer Beratungsstelle, Mitglieder einer anerkannten Beratungsstelle nach dem Schwangerschaftskonfliktgesetz, Sozialarbeiterinnen und Sozialarbeiter, Sozialpädagoginnen und Sozialpädagogen, Personen, die Aufgaben oder Befugnisse nach dem Personalvertretungsrecht wahrnehmen (§ 203 StGB „Verletzung von Privatgeheimnissen“),
wer fremdes Vermögen durch unbefugtes Einwirken auf einen Datenverarbeitungsvorgang schädigt (§ 263a StGB „Computerbetrug“),
wer rechtswidrig Daten verändert oder beseitigt (§ 303a StGB „Datenveränderung“),
wer den Ablauf der Datenverarbeitung einer Behörde oder eines Wirtschaftsunternehmens stört (§ 303b StGB „Computersabotage“) und
wer unbefugt Verhältnisse in Steuersachen einschl. fremder Betriebs- oder Geschäftsgeheimnisse offenbart oder verwertet (§ 355 StGB „Verletzung des Steuergeheimnisses“).
Auch weitere Verschwiegenheitsvorschriften und Geheimhaltungspflichten (z. B. dienst- und arbeitsrechtliche Regelungen, Sozialgeheimnis, Brief-, Post- und Fernmeldegeheimnis) sind zu beachten.
#

Anlage 3 zu § 6:

– Muster
„Vertrag über die Nutzung einer privaten Datenverarbeitungsanlage zur Verarbeitung personenbezogener dienstlicher Daten“
#

Vertrag über die Nutzung einer privaten Datenverarbeitungsanlage zur Verarbeitung personenbezogener dienstlicher Daten

Zwischen
____________________
(Bezeichnung der kirchlichen Stelle – vertreten durch),
nachfolgend Dienststelle genannt, und
____________________
Frau/Herrn (Nichtzutreffendes streichen)
nachfolgend Eigentümerin/Eigentümer genannt,
wird der folgende Vertrag über die befristete Nutzung der privaten Datenverarbeitungsanlage der Eigentümerin/des Eigentümers zur Verarbeitung personenbezogener dienstlicher Daten geschlossen:
##

§ 1
Soft- und Hardware

( 1 ) Die durch diesen Vertrag betroffene eingebrachte Soft- und Hardware ist nachfolgend vollständig aufgeführt:
Eingesetzte Software bzw. Anwendungssoftware
Sicherheitssoftware (Virenschutz, Firewall)/Version
Textverarbeitung/Version
Tabellenkalkulation/Version
Datenbank/Version
Grafik, Bildbearbeitung/Version
Sonstige Standardsoftware
Selbst erstellte Programme/Anwendungen
Eingesetzte Hardware bzw. Betriebssoftware
Rechnertyp/Hersteller/Modell mit Gerätenummer
Betriebssystem(e)/Version
Festplatte(n) (Anzahl/Größe)
Diskettenlaufwerk (nein/ja)
andere Laufwerke (nein/ja, dann Typ /Modell)
Drucker (Hersteller/Druckertyp mit Gerätenummer)
CD-ROM- bzw. DVD-Laufwerk (nein /ja, dann Typ/Modell)
Monitor (Typ/Modell mit Gerätenummer)
Grafikkarte (Typ)
Internetzugang (nein/ja)
Netzwerkadapter (nein/ja, dann Typ/ Modell)
Wireless LAN, Drahtlosnetzwerk (nein/ja)
Modem / ISDN-Karte (nein/ja, dann Typ/Modell)
USB-Anschluss (nein/ja)
Sonstiges
( 2 ) Die oben genannte Hard- und Software steht im Amtszimmer/den Diensträumen/(anderer Standort) der Eigentümerin/des Eigentümers.
( 3 ) Veränderungen an Hard- und Software während der Laufzeit dieses Vertrages bedürfen der Vertragsergänzung.
#

§ 2
Laufzeit des Vertrages

( 1 ) Die Gültigkeit dieses Vertrages beginnt
am ____________________
und endet
am ____________________.
( 2 ) Die Eigentümerin/Der Eigentümer erkennt an und stellt sicher, dass die dienstlichen Daten jederzeit der Verfügung der Dienststelle unterliegen. Der Dienststelle muss es jederzeit ermöglicht werden, dienstliche Daten zu verarbeiten und zu nutzen.
( 3 ) Die Vertragspartner sind berechtigt, den Vertrag ohne Angabe von Gründen jederzeit vorzeitig zu kündigen. Die Kündigung ist schriftlich gegenüber dem anderen Vertragspartner auszusprechen.
( 4 ) Bevor die private Datenverarbeitungsanlage, die zur Verarbeitung personenbezogener dienstlicher Daten benutzt worden ist, wieder in eine private Nutzung übernommen wird, sind alle gespeicherten personenbezogenen Daten zu löschen. Dies gilt auch für Datenträger.
#

§ 3
Einhaltung des Datenschutzes

Die Eigentümerin/Der Eigentümer verpflichtet sich, im Rahmen der dienstlichen und privaten Nutzung die Vorschriften des kirchlichen Datenschutzes zu beachten. Die Nutzung der Datenverarbeitungsanlage unterliegt insofern während der Laufzeit dieses Vertrages der uneingeschränkten Kontrolle durch die Dienststelle und die Datenschutzbeauftragte oder den Datenschutzbeauftragten der Nordelbischen Ev.-Luth. Kirche.
#

§ 4
Nutzung

( 1 ) Die private Datenverarbeitungsanlage darf nur für die folgenden dienstlichen Zwecke genutzt werden:
  • ____________________
  • ____________________
  • ____________________
( 2 ) Eine Erweiterung der Einsatzzwecke bedarf der vorherigen Einwilligung durch die Dienststelle.
( 3 ) Bei jeder dienstlichen Nutzung der Datenverarbeitungsanlage sind alle Arbeitsergebnisse, Zwischenergebnisse und Arbeitswege so zu dokumentieren, dass sichergestellt ist, dass Vertretungen oder Vorgesetzte jederzeit in der Lage sind, alle Arbeiten auch ohne Nutzung der privaten Datenverarbeitungsanlage nachzuvollziehen. In begründeten Einzelfällen hat die Eigentümerin oder der Eigentümer der Vertretung die Nutzung der privaten Datenverarbeitungsanlage zur Wahrnehmung der Vertretung zu gestatten. Die Gestattung ist aktenkundig zu machen.
#

§ 5
Datensicherheit

( 1 ) Der Zugriff von Unbefugten auf dienstliche Daten, die auf Speichermedien der privaten Datenverarbeitungsanlage gespeichert werden, ist durch folgende Vorkehrungen zu verhindern:
  • verschlossenes Arbeitszimmer
  • Passwortschutz
  • bei Internetzugang: Installation einer Firewall
  • ggf. weitere Maßnahmen (z. B. Verschlüsselung)
  • ____________________.
( 2 ) Es ist eine Antiviren-Software zu installieren.
( 3 ) Zur Beseitigung von Sicherheitslücken sind Betriebssysteme, Antiviren-Software und Firewall regelmäßig durch Updates zu aktualisieren.
#

§ 6
Datensicherung

( 1 ) Die Eigentümerin/Der Eigentümer ist verpflichtet, nach der Installation der privaten Datenverarbeitungsanlage und danach in regelmäßigen Abständen – mindestens jedoch ____________________ – eine komplette Datensicherung durchzuführen. Es sind alle Betriebssysteme, Programme und Nutzerdaten zu sichern.
( 2 ) Die Sicherungskopien sind unter Verschluss aufzubewahren, bei Benutzung der privaten Datenverarbeitungsanlage außerhalb der Diensträume sind die Sicherungskopien jederzeit zugänglich für die Dienststelle aufzubewahren. Für die Sicherungskopien gelten die gleichen Datensicherheitsanforderungen wie für die Originaldateien.
#

§ 7
Vernetzung

Eine Vernetzung der privaten Datenverarbeitungsanlage mit anderen Datenverarbeitungsanlagen ist nur nach vorheriger Genehmigung durch die Dienststelle gestattet.
#

§ 8
Verbrauchsmaterialien

Die Kosten für Verbrauchsmaterialien werden durch die Dienststelle nach dem Umfang der dienstlichen Benutzung übernommen.
#

§ 9
Haftung

Die Dienststelle haftet bei Beschädigung, Zerstörung oder Verlust der privaten, bereits installierten und hinsichtlich ihrer Einsetzbarkeit abgenommenen Datenverarbeitungsanlage nur, wenn der Schaden bei der dienstlichen Benutzung der Anlage durch die Eigentümerin/den Eigentümer oder durch Dritte eingetreten ist. Dies gilt nicht, wenn die Eigentümerin/der Eigentümer oder Dritte den Schaden zu vertreten haben oder Dritte der Eigentümerin/dem Eigentümer gegenüber zum Schadensersatz verpflichtet sind. Ist die private Datenverarbeitungsanlage beim Transport zur Dienststelle und von der Dienststelle, vor der Installation in den Diensträumen, bei der Benutzung zu privaten Zwecken durch die Eigentümerin/den Eigentümer oder durch Dritte beschädigt oder zerstört worden oder abhanden gekommen, so wird der Eigentümerin/dem Eigentümer kein Ersatz geleistet. Die Dienststelle leistet auch keinen Ersatz bei Abnutzungsschäden durch Gebrauch zu dienstlichen Zwecken.
Die Eigentümerin/Der Eigentümer bestätigt durch Unterschrift, auf die vorstehenden Haftungseinschränkungen hingewiesen worden zu sein. Die schriftliche Bestätigung ist Voraussetzung für die Wirksamkeit dieses Vertrages.
____________________
(Ort, Datum)
____________________
(Eigentümer/Eigentümerin)
Für die Dienststelle
____________________
(Unterschrift)
____________________
(Unterschrift)
#

Anlage 4 zu § 8:

– Muster
„Vereinbarung über eine Datenverarbeitung im Auftrag“
#

Vereinbarung über eine Datenverarbeitung im Auftrag

  1. Der Auftraggeber
    (Bezeichnung der kirchlichen Stelle – vertreten durch)
    beauftragt hiermit den Auftragnehmer
    ____________________
    (Bezeichnung)
    mit der ordnungsgemäßen und datenschutzgerechten Erledigung folgender Arbeiten:
    ____________________
    ____________________
    ____________________
    ____________________
  2. Folgende technische und organisatorische Maßnahmen zur Datensicherung im Sinne der Anlage zu § 9 DSG-EKD sind beim Auftragnehmer getroffen:
    ____________________
    ____________________
    ____________________
    ____________________
  3. Der Auftragnehmer verarbeitet die ihm übergebenen personenbezogenen Daten ausschließlich im Rahmen der vertraglich festgelegten Weisungen des Auftraggebers.
  4. Der Auftragnehmer verpflichtet sich, die Bestimmungen des kirchlichen Datenschutzrechts und die ergänzenden landeskirchlichen Regelungen einzuhalten. Er unterstellt sich der Kontrolle durch den kirchlichen Datenschutzbeauftragten. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen das Datenschutzgesetz der EKD oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
  5. Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit seine Daten und Unterlagen betroffen sind. Nicht mehr erforderliche Daten sind beim Auftragnehmer unverzüglich zu löschen.
  6. Verarbeitet der Auftragnehmer auf der Datenverarbeitungsanlage auch andere Daten als solche des Auftraggebers, so sind diese Daten durch technische und organisatorische Maßnahmen von denen des Auftraggebers zu trennen.
  7. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei besonderen Vorkommnissen – wie z. B. technischen oder organisatorischen Störungen im Rahmen der vertragsgemäßen Verarbeitung/Löschung der Daten – unverzüglich zu benachrichtigen und die weitere Behandlung der Daten mit diesem abzustimmen.
    Entstehen dem Auftraggeber oder einem Dritten durch Fehler in der Auftragsdatenverarbeitung oder durch den Einsatz fehlerhafter Hard- oder Software hierbei Schäden, so hat der Auftragnehmer dem Auftraggeber seine Schäden zu ersetzen und ihn von Schadensersatzansprüchen Dritter freizustellen. Weitergehende Haftungsansprüche nach den allgemeinen Gesetzen bleiben unberührt.
  8. Der Auftragnehmer verpflichtet sich, die ihm übergebenen personenbezogenen Daten grundsätzlich nur in seinen eigenen Geschäftsräumen in ____________________ und ohne Einschaltung von Subunternehmern/Unterauftragnehmern zu verarbeiten. Sollte dennoch einmal die Einschaltung eines Subunternehmers/Unterauftragnehmers erforderlich sein (z. B. bei technischen Störungen), ist vorher die Einwilligung des Auftraggebers einzuholen.
  9. Diese Vereinbarung kann bei Verstoß gegen ihre Bestimmungen fristlos gekündigt werden.
  10. Bei Beendigung des Auftragsverhältnisses hat der Auftragnehmer dem Auftraggeber seine Daten in der Form, in der sie vorliegen (maschinenlesbar oder schriftlich) herauszugeben und die bei ihm vorhandenen Daten zu löschen bzw. die Datenträger zu vernichten. Der Auftraggeber kann dies auch schon vor Ablauf der Kündigungsfrist jederzeit verlangen. Zuvor hat der Auftragnehmer das Recht, sie zum Zwecke der Leistungsabrechnung auszuwerten, wenn dies zur Wahrung seiner Interessen erforderlich ist und unverzüglich geschieht. Ein Zurückbehaltungsrecht gegenüber dem Auftraggeber steht ihm nicht zu.
  11. Diese Vereinbarung und Änderungen hierzu treten erst in Kraft, wenn die erforderliche Genehmigung durch die nach §§ 8 und 9 DSVO NEK zuständige Stelle erteilt ist.
____________________
____________________
(Ort, Datum)
(Auftragnehmer)
____________________
____________________
(Ort, Datum)
(Auftraggeber)
#

Anlage 5 zu § 10:

– Muster
„Übersicht über automatisierte Verarbeitungen“
#

Übersicht über automatisierte Verarbeitungen
(Angaben nach § 14 Abs. 2 DSG-EKD)

____________________
Nr. 1: Name der verantwortlichen Stelle:
____________________
Nr. 2.1: Bezeichnung der Verarbeitungsprogramme
____________________
Nr. 2.2: Art der Verarbeitungsprogramme
____________________
Nr. 3: Zweckbestimmung
____________________
Nr. 4: Art der gespeicherten Daten
____________________
Nr. 5: Betroffener Personenkreis
____________________
Nr. 6.1: Art der regelmäßig zu übermittelnden Daten
____________________
Nr. 6.2: Daten empfangende Stellen
____________________
Nr. 7: Regelfristen der Löschung der Daten
____________________
Nr. 8: Zugriffsberechtigter Personenkreis
____________________
Nr. 9: Rechtsgrundlage für die Datenverarbeitung
Erstellt von:
____________________
(Name, Vorname, Funktion)
____________________
____________________
(Datum)
(Unterschrift)
#

Anlage 6 zu § 10:

– Merkblatt
„Erläuterungen zur Übersicht über automatisierte Verarbeitungen“
#

Erläuterungen zur Übersicht über automatisierte Verarbeitungen

  1. Sinn und Zweck der Übersicht
    Eine Übersicht über die eingesetzten Datenverarbeitungsprogramme schafft Transparenz und ermöglicht die Überwachung der Datenverarbeitung. Die Mitarbeitenden der kirchlichen Stelle können sich anhand des Verzeichnisses einen Überblick über die für sie zutreffenden Arbeitsabläufe und Verfahren verschaffen. Die Übersicht hilft auch bei der Erfüllung der Auskunftspflicht nach § 15 des Kirchengesetzes über den Datenschutz in der Evangelischen Kirche in Deutschland (DSG-EKD) gegenüber betroffenen Personen, besonders dann, wenn die Angaben im Auskunftsersuchen nicht sofort zum Auffinden der gewünschten Daten führen. Die Übersicht ist ein wichtiges Instrumentarium
    1. bei der Datenschutzselbstkontrolle durch die oder den Betriebsbeauftragte/n bzw. örtliche/n Beauftragte/n für den Datenschutz,
    2. für die Leitung sowie die für die Datenverarbeitung zuständigen Personen,
    3. für eine mögliche Fremdkontrolle durch die oder den Datenschutzbeauftragte/n bzw. die zuständigen Aufsichtsgremien.
  2. Meldepflicht – Anzeige und Verfahren automatisierter Verarbeitung
    Grundsatz
    Kirchliche Stellen sind nach § 21 DSG-EKD grundsätzlich verpflichtet, alle Verfahren, die zur automatisierten Verarbeitung personenbezogener Daten dienen, vor der Inbetriebnahme der oder dem zuständigen Datenschutzbeauftragten zu melden. Demnach unterliegen Datenverarbeitungsprogramme, mit denen personenbezogene Daten erhoben, gespeichert oder übermittelt werden, vor der Einführung bei der kirchlichen Stelle der Meldepflicht.
    Wann muss gemeldet werden?
    Die Meldung hat bereits vor der Inbetriebnahme des neuen Datenverarbeitungsprogramms zu erfolgen.
    Bei wem muss gemeldet werden?
    Die Meldung muss an die oder den Datenschutzbeauftragte/n erfolgen. Die Adresse lautet:
    Datenschutzbeauftragte/r der Nordelbischen Ev.-Luth. Kirche
    Nordelbisches Kirchenamt
    Dänische Str. 21/35
    24103 Kiel
    Tel.: 0431 / 9797 – 671
    E-Mail: datenschutz@nordelbien.de
    Ausnahmen von der Meldepflicht
    Die Meldepflicht entfällt nach § 21 Abs. 3 DSG-EKD, wenn die verantwortliche kirchliche Stelle eine Beauftragte oder einen Beauftragten für den Datenschutz nach § 22 DSG-EKD bestellt hat. Das Gleiche gilt, wenn bei der verantwortlichen kirchlichen Stelle höchstens sechs Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betraut sind.
  3. Zuständigkeit für die Führung der Übersicht
    Es bietet sich an, dass die oder der Betriebsbeauftragte bzw. örtlich Beauftragte für den Datenschutz die Übersicht über die Datenverarbeitungsprogramme führt. Die Übersichten sind in enger Zusammenarbeit mit den in der Datenverarbeitung sowie in den Sachgebieten tätigen Personen zu erstellen. Soweit keine Betriebsbeauftragte oder örtlich Beauftragte für den Datenschutz bestellt sind, müsste diese Aufgabe entweder von der Leitung der kirchlichen Stelle selber oder durch von ihr beauftragte Personen (z. B. Leitung der Datenverarbeitung) wahrgenommen werden.
  4. Einsichtnahme von betroffenen Personen
    § 21 Abs. 2 Satz 2 DSG-EKD gestattet es allen Personen, die Übersichten einzusehen, sofern sie ein berechtigtes Interesse an der Einsichtnahme nachweisen können. Schon allein aus diesem Grunde sollten die Übersichten laufend aktualisiert werden, soweit Veränderungen in den Datenverarbeitungsverfahren eintreten.
  5. Erläuterungen zur Erstellung der Übersicht
    Mit der Übersicht wird nicht nur der Name des eingesetzten Datenverarbeitungsprogramms aufgelistet, sondern sie besteht aus einer ausführlichen Beschreibung für alle in der kirchlichen Stelle genutzten automatisierten Verfahren. Der Inhalt der Verfahrensbeschreibungen ist in § 14 Abs. 2 DSG-EKD geregelt. Für automatisierte Verarbeitungen, die in gleicher oder ähnlicher Weise mehrfach geführt werden, können die Festlegungen zusammengefasst werden.
    Ausgenommen von der Erfassung in den Übersichten sind:
    1. Dateien, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden und
    2. automatisierte Verarbeitungen, die allgemeinen Verwaltungszwecken dienen, einschließlich deren Datensicherung.
Zu Nr. 1: Name der verantwortlichen Stelle
Es ist der Name der kirchlichen Stelle oder der Einrichtung zu benennen, die ein Datenverarbeitungsprogramm einsetzt, mit dem personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Kirchliche Stellen und deren Einrichtungen können sowohl juristische Personen des Privatrechts als auch Körperschaften des öffentlichen Rechts sein.
Zu Nr. 2.1: Bezeichnung der Verarbeitungsprogramme
Es ist der offizielle Name des Datenverarbeitungsprogramms mit Nummer der Version einzutragen (z. B. Microsoft Excel 2003), um die Gefahr einer Verwechslung mit anderen Programmen auszuschließen.
Zu Nr. 2.2: Art der Verarbeitungsprogramme
Da die Programmnamen oftmals nicht aussagekräftig genug sind, wäre an dieser Stelle die Art der Verarbeitungsprogramme anzugeben (z. B. E-Mail-Programm, Kalkulationsprogramm, Meldewesenprogramm, Personalabrechnungsverfahren).
Zu Nr. 3: Zweckbestimmung
Darunter ist die Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung zu verstehen (z. B. Patientenbetreuung, Spendenwerbung, Abonnentenbetreuung, Adressdatenbank der Gremiumsmitglieder, Telefon-, Gehalts-, Beihilfeabrechnung).
Zu Nr. 4: Art der gespeicherten Daten
Es ist die informatorische Beschreibung der Daten mit möglichst griffigen Namen einzutragen. Es ist nicht notwendig, in die Beschreibung alle personenbezogenen Daten selbst aufzunehmen. Die Inhaltsbezeichnungen müssen allgemein verständlich sein, da die Übersicht von jedermann bei berechtigtem Interesse eingesehen werden kann. Auch noch nicht besetzte Datenfelder sind in die Beschreibung aufzunehmen sowie die Inhalte, die eventuell in vorhandene Freitextfelder eingetragen werden dürfen (z. B. Adressdaten, Bankverbindungsdaten, Alter, Einkommen, Familienstand, Konfirmationsdaten, Traudaten, Freitextfeld für die Erreichbarkeit).
Zu Nr. 5: Betroffener Personenkreis
Es ist festzulegen, welche Personenkreise erfasst werden dürfen. Dies geschieht durch die Bezeichnung der allen Betroffenen gemeinsamen Merkmale, die sich aus dem Inhalt der Aufgabe und der Zweckbestimmung des Programms ergeben. Die Beschreibung des Personenkreises sollte so präzise erfolgen, dass für jede beliebige Person entschieden werden kann, ob sie zum Kreis gehört oder nicht (z. B. alle Mitarbeitenden bei einem Personalabrechnungsverfahren, alle Spenderinnen und Spender bei Spenden-Mailing-Aktionen, alle Gremiumsmitglieder bei einer Personendatenbank).
Zu Nr. 6.1: Art der regelmäßig zu übermittelnden Daten
Sofern die personenbezogenen Daten regelmäßig an Dritte übermittelt werden, ist anzugeben, um welche Datenarten es sich handelt (z. B. Patientendatenübermittlung mit Diagnoseschlüsseln und Abrechnungsmerkmalen, Namen und Adressdaten von Spenderinnen und Spendern für Mailing-Aktionen).
Zu Nr. 6.2: Daten empfangende Stellen
Es sind die Namen der kirchlichen, öffentlichen oder sonstigen Stellen oder von Personen einzutragen, die regelmäßig die unter Nr. 6.1 eingetragenen Daten erhalten (z. B. AOK, Jugendamt der Stadt, Rechenzentrum, Druckerei).
Zu Nr. 7: Regelfristen der Löschung der Daten
Die Löschung der Daten hat nach Ablauf der gesetzlichen, satzungsmäßigen oder vertraglichen Aufbewahrungsfristen zu erfolgen. Soweit für Daten solche Aufbewahrungsfristen nicht bestehen, sind sie zu löschen, wenn die Zweckbestimmung (s. Nr. 3) entfallen ist. Bei unterschiedlichen Löschungsfristen ist herauszustellen, auf welche Daten sich die jeweiligen Fristen beziehen.
Zu Nr. 8: Zugriffsberechtigter Personenkreis
Diese Eintragung dient dem internen Datenschutz. Es ist die Person oder der Personenkreis zu benennen, die oder der mit den Daten arbeitet (z. B. Personalleitung, Personalsachbearbeitung, Rechnungsprüfung, Sozialarbeiterinnen und -arbeiter).
Zu Nr. 9: Rechtsgrundlage für die Datenverarbeitung
Es sind die einschlägigen Vorschriften so genau wie möglich anzugeben, nach denen die Datenerhebung, -verarbeitung oder -nutzung zulässig ist. Dies können bereichsspezifische Vorschriften (z. B. Kirchengesetz der EKD über die Kirchenmitgliedschaft, Verordnung der EKD über die in das Gemeindegliederverzeichnis aufzunehmenden Daten der Kirchenmitglieder mit ihren Familienangehörigen, KMKMVO der NEK) oder die entsprechenden Bestimmungen des DSG-EKD oder der DSVO NEK sein.
#

Anlage 7 zu § 14:

– Muster
„Bestellung von Betriebs- und örtlich Beauftragten für den Datenschutz“
#

Bestellung einer/eines Betriebsbeauftragten einer/eines örtlich Beauftragten für den Datenschutz

Frau/Herr
____________________
(Nichtzutreffendes streichen)
wird für
____________________
(Name und Adresse der kirchlichen Stelle, bei gemeinsamen Betriebs- oder örtlich Beauftragten alle beteiligten kirchlichen Stellen aufführen)
ab dem
____________________
zur/zum Betriebsbeauftragten für den Datenschutz
(Kirchliche Werke und Einrichtungen mit eigener Rechtspersönlichkeit, z. B. diakonische Einrichtungen als e. V. oder GmbH, kirchliche Stiftungen)
als Vertretung der oder des Betriebsbeauftragten für den Datenschutz
zur/zum örtlich Beauftragten für den Datenschutz
(Kirchengemeinde, Kirchenkreis, kirchlicher Verband)
als Vertretung der oder des örtlich Beauftragten für den Datenschutz bestellt.
Die Bestellung erfolgt
auf unbestimmte Zeit
zeitlich befristet bis zum ____________________.
Im Rahmen der Datenschutzaufgaben sind Sie weisungsfrei und dürfen wegen dieser Tätigkeit nicht benachteiligt werden. Ihre Aufgaben ergeben sich aus dem kirchlichen Datenschutzrecht und werden in dem ausgehändigten Merkblatt „Datenschutz in der kirchlichen Stelle unter Einbindung von Betriebs- und örtlich Beauftragten für den Datenschutz“ unter Nummer 6 näher beschrieben.
Im Rahmen dieser Tätigkeit sind Sie unmittelbar
____________________
(Bezeichnung des gesetzlich oder verfassungsmäßig berufenen Organs/bei gemeinsamen Beauftragten für alle beteiligten kirchlichen Stellen die Organe aufführen)
unterstellt.
____________________
Ort, Datum, Unterschrift (Leitung)
Empfangsbestätigung
Das Berufungsschreiben sowie ein Exemplar des Merkblatts „Datenschutz in der kirchlichen Stelle unter Einbindung von örtlich Beauftragten für den Datenschutz und Betriebsbeauftragten für den Datenschutz“ habe ich erhalten.
____________________
(Ort, Datum, Unterschrift der bestellten Person)
Exemplar an Mitarbeiterin/Mitarbeiter
Exemplar zur Personalakte
Exemplar an die/den Datenschutzbeauftragte/n der Nordelbischen Ev.-Luth. Kirche
Exemplar an das kirchliche Werk/die kirchliche Einrichtung
– bei der Bestellung zur/zum Betriebsbeauftragten für den Datenschutz
Exemplar an die Aufsicht führende Stelle
– bei der Bestellung zur/zum örtlich Beauftragten für den Datenschutz
(bei der Bestellung auf Ebene der Kirchengemeinden und der Kirchengemeindeverbände an den Kirchenkreisvorstand; bei Kirchenkreisen und Kirchenkreisverbänden an das Nordelbische Kirchenamt)
#

Anlage 8 zu § 14:

– Merkblatt
„Datenschutz in der kirchlichen Stelle unter Einbindung von Betriebs- und örtlich Beauftragten für den Datenschutz“
#

Datenschutz in der kirchlichen Stelle unter Einbindung von Betriebs- und örtlich Beauftragten für den Datenschutz

1. Datenschutz in der kirchlichen Stelle: Verantwortung, Kontrolle und Unterstützung
Die Verantwortung für den Datenschutz in der kirchlichen Stelle trägt die Leitung. Sie hat die Einhaltung der allgemeinen und bereichsspezifischen Datenschutzbestimmungen und die Rechtmäßigkeit der bei ihr durchzuführenden Verwaltungsverfahren sicherzustellen. Das bedeutet, dass sie auch Vorsorge für die Einhaltung datenschutzrechtlicher Bestimmungen treffen muss. Die oder der Betriebs- bzw. örtlich Beauftragte für den Datenschutz unterstützt die Leitung in dieser Aufgabe und kontrolliert die Umsetzung des Datenschutzes in der Verwaltungspraxis.
Nicht selten wird diese Aufgabenverteilung zwischen Leitung und Beauftragten für den Datenschutz missverstanden. Weder ist der Datenschutz bei einer kirchlichen Stelle mit der Benennung einer oder eines Beauftragten für den Datenschutz automatisch sichergestellt, noch können die Beauftragten für den Datenschutz in ihren kirchlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften gewährleisten. Die Betriebs- und örtlich Beauftragten für den Datenschutz können Verstöße gegen datenschutzrechtliche Bestimmungen feststellen und auf Abhilfe dringen, sie können auch datenschutzfreundliche Verfahren anregen, aber sie haben in letzter Konsequenz keine Möglichkeit, ihre Forderungen gegenüber den einzelnen Mitarbeiterinnen und Mitarbeitern durchzusetzen. Diese Aufgabe obliegt der Leitung. Sie haben die Mitarbeiterinnen und Mitarbeiter ihrer Verwaltungen und Einrichtungen zu einer datenschutzfreundlichen Arbeitsweise anzuleiten. Eine Leitung, die aktiv Datenschutz betreibt, erfüllt so einen berechtigten Anspruch, den Gemeindeglieder, Eltern von in Kindertagesstätten betreuten Kindern, Patientinnen und Patienten von diakonischen Einrichtungen usw. an die jeweilige kirchliche Stelle richten.
2. Welche kirchliche Stelle muss Beauftragte für den Datenschutz bestellen?
Nach § 22 Abs. 1 des Kirchengesetzes über den Datenschutz in der Evangelischen Kirche in Deutschland (DSG-EKD) sollen bei kirchlichen Werken und Einrichtungen mit eigener Rechtspersönlichkeit Betriebsbeauftragte, bei den übrigen kirchlichen Stellen (Kirchengemeinden, Kirchenkreise, kirchliche Verbände) örtlich Beauftragte für den Datenschutz bestellt werden. Die Bestellung kann sich auf mehrere Werke, Einrichtungen und kirchliche Körperschaften erstrecken und sollte erfolgen, wenn mehr als sechs Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten befasst sind. Bei kleineren kirchlichen Stellen dürfte es sich anbieten, dass ein/e von diesen Stellen berufene/r „gemeinsame/r Beauftragte/r für den Datenschutz“ sich der Aufgabe annimmt. Für diesen Fall sollten über eine Vereinbarung der Aufgabenbereich und insbesondere die Kostenregelung festgeschrieben werden.
Nähere Ausführungen zur Bestellung von Personen als „gemeinsame Beauftragte für den Datenschutz“ finden sich unter der Nummer 4 dieses Merkblatts.
Im Zusammenhang mit der Bestellung von Beauftragten für den Datenschutz ist die Vertretung zu regeln.
3. Welche Personen können zu Betriebs- oder örtlich Beauftragten für den Datenschutz bestellt werden?
Die gesetzliche Vorgabe von § 22 Abs. 2 DSG-EKD lautet: „Zu Beauftragten … dürfen nur Personen bestellt werden, die die zur Erfüllung ihrer Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen.“
Die oder der Betriebs- bzw. örtlich Beauftragte für den Datenschutz muss danach in fachlicher und persönlicher Hinsicht für die Aufgabe geeignet sein.
Zu den fachlichen Kenntnissen, die die oder der Beauftragte haben, bzw. erwerben sollte, gehört die Kenntnis der datenschutzrechtlichen Grundlagen. Dies sind insbesondere die allgemeinen Datenschutzbestimmungen nach dem DSG-EKD, der DSVO NEK sowie eventuell bestehende bereichsspezifische Datenschutzbestimmungen und Hinweise des Nordelbischen Kirchenamts. Außerdem sollen die Beauftragten gute Kenntnisse über die Organisation der kirchlichen Stelle und Verständnis für Fragen der Informationstechnik besitzen. Nur wenn den Beauftragten die Aufgaben, die Arbeitsweise und die Abläufe einschließlich der Datenströme in den Arbeitsbereichen vertraut sind, können sie ihre Beratungs- und Kontrollaufgaben effizient wahrnehmen. Des Weiteren sollten die Beauftragten für den Datenschutz über gute Kenntnisse der Datenverarbeitung und technisches Verständnis
verfügen. Sie müssen den Aufbau, die Funktionsweise und die Anforderungen der eingesetzten Datenverarbeitungssysteme in ihren Grundzügen begreifen, um die eingesetzten Verfahren bewerten und sinnvolle Datensicherungs- und Datenschutzmaßnahmen vorschlagen zu können. In der Praxis werden nur wenige Personen von vornherein alle diese Voraussetzungen erfüllen. Hier wird die oder der Beauftragte für den Datenschutz ihre oder seine Kenntnisse und Fähigkeiten weiterentwickeln müssen. Dazu sollte die Gelegenheit zur Teilnahme an geeigneten Fortbildungsveranstaltungen genutzt werden.
Im Hinblick auf die persönliche Zuverlässigkeit der oder des Beauftragten ist neben anderen grundlegenden Charakterstärken vor allem wichtig, dass sie oder er über eine innere Unabhängigkeit verfügt und die Verpflichtung zur Verschwiegenheit ernst nimmt. Beauftragte haben Zugang zu allen sensiblen, personenbezogenen Daten. Sie werden nur dann datenschutzgerecht und vertrauensvoll mit der Leitung sowie den Mitarbeiterinnen und Mitarbeitern zusammenarbeiten können, wenn sie über diese Kenntnisse Verschwiegenheit bewahren.
Für die oder den Betriebs- bzw. örtlich Beauftragten für den Datenschutz selbst wird es eine besondere Schwierigkeit darstellen, sich eine innere Unabhängigkeit in der Bewertung der datenschutzrechtlich relevanten Sachverhalte zu erhalten. Wer die Aufgabe ernst nimmt, erfährt schnell, dass Datenschutz vielfach als lästig empfunden wird. Man wird die Beauftragten möglicherweise drängen, von Datenschutzforderungen Abstand zu nehmen. Da die oder der Beauftragte üblicherweise selbst Mitarbeiterin beziehungsweise Mitarbeiter der kirchlichen Stelle ist, die sie oder ihn beauftragt hat, ist sie oder er teilweise selbst betroffen von neuen Datenschutzmaßnahmen. Es ist deswegen im Interesse der Unabhängigkeit der Beauftragten darauf zu achten, dass eine Interessenkollision zwischen der Aufgabe als Betriebs- bzw. örtlich Beauftragte/r für den Datenschutz und den sonstigen Aufgaben als Mitarbeiterin oder Mitarbeiter nicht entsteht.
4. Wie kann eine Interessenkollision vermieden werden?
Die Betriebs- bzw. örtlich Beauftragten für den Datenschutz dürfen während ihrer Tätigkeit nicht mit Aufgaben betraut sein, deren Wahrnehmung zu Interessenkollisionen führen könnte. Es gilt das Prinzip, dass die oder der zu Kontrollierende nicht zum Kontrolleur werden kann. So sollen die Beauftragten beispielsweise nicht gleichzeitig leitende Aufgaben in den Bereichen der Informationstechnik wahrnehmen und es darf ihnen auch nicht die Aufsicht über die Einhaltung des Datenschutzes obliegen.
Gerade in kleinen Stellen fehlen aber häufig sachkundige Mitarbeiterinnen und Mitarbeiter, die nicht auch zugleich in datensensiblen Arbeitsbereichen tätig sind. In diesen Fällen bietet § 22 Abs. 1 Satz 2 DSG-EKD eine Lösung an. Es können mehrere Stellen gemeinsam eine oder einen Beauftragten bzw. eine Vertretung bestellen. In der Praxis sind hier verschiedene Varianten denkbar:
Mehrere gleichartige kirchliche Stellen benennen gemeinsam eine/n Beauftragte/n und eine/n Vertreter/in. Ein solches Modell bietet sich besonders für Kirchengemeinden, kleinere kirchliche Verbände, kleinere diakonische Einrichtungen und für kirchliche Stiftungen an. In dieser Weise könnte die Zusammenarbeit der kirchlichen Stellen untereinander gefördert werden.
Dieses Modell mag sich zum Beispiel für besonders große diakonische Werke schon nicht mehr eignen, weil das Aufkommen an personenbezogenen Daten aus den unterschiedlichsten Bereichen beträchtlich sein kann. Hier könnte zwar ebenfalls wegen der Gleichartigkeit der Struktur dieser diakonischen Stellen ein/e gemeinsame/r Betriebsbeauftragte/r für den Datenschutz für mehrere diakonische Werke bestellt werden. Aber statt einer/eines gemeinsamen Vertreterin/Vertreters würde es sich anbieten, in den einzelnen diakonischen Werken Vertreter/innen zu benennen, die der/dem Betriebsbeauftragten für den Datenschutz zuarbeiten.
Insgesamt bietet das Gesetz hinreichende Lösungsansätze, um den Gegebenheiten vor Ort Rechnung zu tragen und zugleich Interessenkollisionen zu vermeiden. Zudem können Synergieeffekte durch das Zusammenwirken mehrerer Personen (beauftragte und vertretende Personen) genutzt werden, wenn zum Beispiel die/der mehr rechtlich vorgebildete Beauftragte mit der/dem technisch vorgebildeten vertretenden Beauftragten eng zusammenarbeitet.
5. Die Beauftragten für den Datenschutz in der kirchlichen Stelle: Bestellung, Bekanntmachung, Stellung und Abberufung
Ein Handschlag reicht zur Bestellung einer/eines Beauftragten nicht aus. Die Übertragung von Verantwortung in diesem Umfang erfordert eine schriftliche Bestellung der/des Beauftragten und der Vertreter/innen. Damit die Beauftragten ihre Aufgabe erfüllen können, müssen sie darüber hinaus auch den Beschäftigten in geeigneter Weise bekannt gemacht werden. Die/der Beauftragte sollte darüber hinaus im Geschäftsverteilungs- und Organisationsplan der kirchlichen Stelle ausgewiesen sein.
Eine unabhängige und organisatorisch herausgehobene Stellung ist für eine wirkungsvolle Tätigkeit der Beauftragten von entscheidender Bedeutung. Deshalb können sich die Beauftragten jederzeit unmittelbar an die Leitung der kirchlichen Stelle wenden und sind nur ihr gegenüber rechenschaftspflichtig. Organisatorisch bietet sich dort, wo die Größe der kirchlichen Stelle es erlaubt, die Zuordnung der/des Beauftragten im engeren Wirkungskreis der Leitung bzw. Geschäftsführung an. Dies ermöglicht der Leitung, dass sie frühzeitig über Datensicherheitsbeeinträchtigungen, Gesetzesverstöße oder Verbesserungsvorschläge unterrichtet wird und entsprechend schnell reagieren kann. Es verhindert außerdem, dass die/der Beauftragte einer Interessenkollision ausgesetzt ist.
Die Beauftragten sind in der Wahrnehmung ihrer Aufgabe nach § 22 Abs. 3 Satz 2 DSG-EKD weisungsfrei. Sie können danach selbst über den Zeitpunkt und die Art und Weise des Tätigwerdens entscheiden. Dies umfasst die Entscheidung, ob sie eine datenschutzrechtliche Prüfung durchführen oder ob sie diese unterlassen ebenso wie die Freiheit, sich für die ihrer begründeten Überzeugung nach zutreffende Rechtsauffassung im Einzelfall zu entscheiden.
Eine Benachteiligung der/des Beauftragten wegen dieser Tätigkeit ist nach § 22 Abs. 3 Satz 3 DSG-EKD verboten. Dieses Benachteiligungsverbot ist weit gefasst. Es richtet sich nicht nur an die Leitung oder Geschäftsführung, sondern auch an die Mitarbeitenden und die Mitarbeitervertretung. Auch darf die Tätigkeit als Beauftragte/r keine negativen Auswirkungen auf die berufliche Entwicklung derjenigen haben, die diese Funktion ausüben. In engem Zusammenhang mit der Stellung von Beauftragten steht die Frage, ob eine Abberufung aus dieser Funktion möglich ist. Hier regelt § 14 Abs. 3 DSVO NEK, dass die Bestellung schriftlich widerrufen werden kann, wenn ein Interessenkonflikt mit anderen Aufgaben oder sonst ein wichtiger Grund eintritt. Eine Abberufung darf deswegen nicht aus Gründen erfolgen, die offensichtlich eine Benachteiligung der/des Beauftragten für den Datenschutz wegen ihrer/seiner Aufgabenerfüllung bedeuten würden. Es sind in der Praxis Fälle denkbar, in denen eine Abberufung notwendig wird. Eine Abberufung kommt beispielsweise in Betracht, wenn die/der Beauftragte für den Datenschutz mit neuen fachlichen Aufgaben betraut werden soll, die die Fortsetzung der Tätigkeit als Beauftragte/r nicht mehr zulassen. Vor der Entscheidung über den Widerruf ist die/der Betriebsbeauftragte bzw. die/der örtlich Beauftragte für den Datenschutz zu hören. Diese Regelung soll mit zur Stärkung der Stellung der Betriebsbeauftragten oder örtlichen Beauftragten beitragen.
Mit dem Ausscheiden der/des Beauftragten aus dem Dienst- oder Arbeitsverhältnis einer kirchlichen Stelle endet im Normalfall die Bestellung. Nur ausnahmsweise, wenn keine andere Person zur Verfügung steht, sollte für einen begrenzten Zeitraum überlegt werden, ob das Amt der/des Beauftragten als sogenannte „externe Datenschutzbeauftragung“ fortgeführt werden kann.
6. Aufgaben der Betriebs- und örtlich Beauftragten für den Datenschutz
a. Datenschutz braucht Verbündete vor Ort
Gesetze, Verordnungen, Erlasse und Dienstanweisungen zum Datenschutz sind notwendig, sie sind den Mitarbeiterinnen und Mitarbeitern aber bei der täglichen Arbeit selten in allen Nuancen und Details präsent. Deshalb ist es wichtig, dass die Beauftragten für den Datenschutz werben, über ihn informieren, neue Datenverarbeitungsverfahren möglichst schon vor ihrer Einführung beurteilen und die Einhaltung des Datenschutzes kontrollieren.
Die Beauftragten für den Datenschutz beraten und unterstützen die Leitung der kirchlichen Stelle und die Arbeitsbereiche, die personenbezogene Daten verarbeiten, in allen Fragen des Datenschutzes sowie der datenschutzgerechten Organisation. Hierzu gehören die Beratung und Mitwirkung bei der Erstellung eines Sicherheitskonzepts für die in der kirchlichen Stelle eingesetzte Informationstechnik, beim Verfassen von Richtlinien, Rundschreiben und Dienstvereinbarungen, bei der Ausgestaltung von Verträgen mit Auswirkungen für den Datenschutz (z. B. bei Datenverarbeitung im Auftrag). Hilfreich ist es in diesem Zusammenhang auch, wenn die Beauftragten an allen datenschutzrelevanten Vorgängen beteiligt werden und ihnen Planungen, die den Umgang mit personenbezogenen Daten betreffen, rechtzeitig bekannt gegeben werden.
Eine enge Zusammenarbeit mit der Leitung der kirchlichen Stelle kann dadurch gefördert werden, indem man regelmäßig Gespräche führt, wie der Datenschutz tatsächlich praktiziert wird, welche Schwachpunkte bestehen und wie diese auszuräumen sind. Hilfreich sind auch schriftliche Protokolle und Berichte, die gegebenenfalls ganz oder auszugsweise auch an alle Mitarbeitenden bekannt gegeben werden können, damit diese für die Belange des Datenschutzes weiter sensibilisiert werden.
Die Beauftragten für den Datenschutz haben unmittelbaren Kontakt zu den Mitarbeiterinnen und Mitarbeitern und schulen sie in Fragen des Datenschutzes.
b. Verfahrensverzeichnisse geben Überblick
Das DSG-EKD legt in § 14 Abs. 2 fest, dass die kirchlichen Stellen für ihre Zuständigkeitsbereiche Übersichten über die eingesetzten Datenverarbeitungsprogramme zu führen haben. Die Dezentralisierung und die Beschränkung auf Datenverarbeitungsverfahren soll eine einfache Führung der Übersichten, die ohne großen Aufwand aktuell gehalten werden können, begünstigen. Ihr Nutzen als Kontrollinstrument vor Ort ist für die Beauftragten größer als bei einem zentral geführten Register.
Das Verfahrensverzeichnis, das unmittelbar in den öffentlichen Stellen geführt wird, dient dazu, den Überblick darüber zu behalten, wo sich in der Behörde personenbezogene Daten befinden und wie sie behandelt werden. So können mögliche „Datenlecks“ schneller gefunden und geschlossen werden.
Dieses Verfahrensverzeichnis kann von jeder Person unentgeltlich eingesehen werden, wenn diese ein berechtigtes Interesse nachweisen kann (§ 21 Abs. 2 Satz 2 DSG-EKD).
c. Weitere Aufgaben der Beauftragten
Die/der Beauftragte für den Datenschutz ist über die Einrichtung von automatisierten Abrufverfahren möglichst frühzeitig zu informieren. Mit Abrufverfahren kann z. B. einer anderen kirchlichen Stelle die Möglichkeit und Berechtigung geschaffen werden, auf einen zentralen Datenbestand zu Auskunftszwecken oder auch zur weiter gehenden Nutzung zuzugreifen.
Bei der Verarbeitung personenbezogener Daten im Auftrag bietet es sich an, die Beauftragten für den Datenschutz vor der schriftlichen Auftragserteilung einzubinden und ihnen auch das Recht einzuräumen, sich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer jederzeit überzeugen zu können.
Da für die Abwicklung der Verwaltungsabläufe häufig Vordrucke verwendet werden, bietet es sich an, bei der Erstellung oder Veränderung von Vordrucken und Merkblättern die Beauftragten für den Datenschutz zu beteiligen. Der Beratungsschwerpunkt dürfte sich dabei auf die Zulässigkeit der Datenerhebung konzentrieren.
Soweit Betroffene Auskunft über die von ihnen gespeicherten personenbezogenen Daten verlangen oder Anfragen zum Datenschutz in der kirchlichen Stelle haben, sollte die/der Beauftragte für den Datenschutz beteiligt werden oder federführend mit der Abwicklung beauftragt werden.
Die Schulung der Mitarbeitenden über die Bestimmungen über den Datenschutz unter Berücksichtigung der besonderen Verhältnisse ihres Aufgabenbereiches obliegt der/dem Beauftragten für den Datenschutz. Dies kann beispielsweise wie folgt bestehen:
Einweisung neuer Mitarbeitender,
Schulung im Rahmen der allgemeinen Aus- und Fortbildung,
Vorträge oder Referate bei Dienstbesprechungen,
Ausgabe von Merkblättern,
Mitteilungen am Schwarzen Brett,
Berichte bei Mitarbeiterversammlungen,
Beiträge in Hauszeitschriften oder Mitteilungsblättern.
d. Weiterbildung und Zusammenarbeit
Zur sachgemäßen Durchführung der Aufgaben sollte den Beauftragten für den Datenschutz die Möglichkeit zur Weiterbildung und zum Erfahrungsaustausch mit Kolleginnen und Kollegen aus anderen kirchlichen Stellen eröffnet werden. Das Nordelbische Kirchenamt, die Diakonischen Werke und die Beauftragten für den Datenschutz der Nordelbischen Evangelisch-Lutherischen Kirche bieten regelmäßig Fort- und Weiterbildungsveranstaltungen an. Auch über das Internet sind insbesondere über die staatlichen Beauftragten für den Datenschutz umfangreiche Informationen zu nahezu allen datenschutzrechtlich relevanten Fragestellungen abrufbar. Die Kosten der Fort- und Weiterbildung sowie für die Anschaffung von Literatur hat die kirchliche Stelle zu tragen.
#

Anlage 9 zu § 16:

– Merkblatt
„Veröffentlichung von Gemeindeglieder- und Amtshandlungsdaten“
#

Veröffentlichung von Gemeindeglieder- und Amtshandlungsdaten

Die Abkündigung von Amtshandlungen im Gottesdienst ist agendarisch geregelt (Evangelisches Gottesdienstbuch 1999, S. 548 ff.). § 16 Abs. 1 DSVO NEK erlaubt den Kirchengemeinden zusätzlich, Alters- und Ehejubiläen von Gemeindegliedern und kirchliche Amtshandlungsdaten im Gemeindebrief und anderen örtlichen kirchlichen Publikationen mit Namen und Anschriften sowie Tag und Ort des Ereignisses zu veröffentlichen, soweit die Betroffenen im Einzelfall nicht widersprochen haben. Das Widerspruchsrecht der Betroffenen bezieht sich vorrangig darauf, dass eine Veröffentlichung der Anschriften unterbleibt.
Die Kirchengemeinde kann entweder die Betroffenen vor Veröffentlichung der Jubiläumsdaten einzeln schriftlich auf die Möglichkeit hinweisen, der Veröffentlichung widersprechen zu können, oder im Gemeindebrief einen Hinweis auf das Widerspruchsrecht aufnehmen. Im letzteren Fall ist es ausreichend, wenn der Hinweis regelmäßig, mindestens einmal im Jahr, an derselben Stelle wie die Veröffentlichung der Jubiläumsdaten erfolgt.
Nur in Ausnahmefällen, wenn die Betroffenen ein überwiegendes schutzwürdiges Interesse am Ausschluss der Veröffentlichung geltend machen, hat eine Veröffentlichung der kirchlichen Amtshandlungen in Gemeindebriefen und anderen örtlichen kirchlichen Publikationen zu unterbleiben.
Die Medien- und Presseverbände sind angehalten, in ihren kirchlichen Publikationen, in denen solche Veröffentlichungen regelmäßig erfolgen, auf das in § 16 DSVO NEK enthaltene Widerspruchsrecht hinzuweisen.
Eine Weitergabe von Gemeindeglieder- und Amtshandlungsdaten an Tageszeitungen und sonstige nichtkirchliche Publikationen ist nur zulässig, wenn die Betroffenen ausdrücklich zustimmen.
Die Widersprüche von Gemeindegliedern gegen eine Veröffentlichung ihrer Jubiläums- und Amtshandlungsdaten sind in Gemeindeglieder-Datenverwaltungsprogramme aufzunehmen.
Die Veröffentlichung von Namen und Anschriften von Gemeindegliedern, ihrer Alters- und Ehejubiläen sowie von kirchlichen Amtshandlungsdaten im Internet sind nur zulässig, wenn die betroffenen Personen vorher schriftlich einer Veröffentlichung zugestimmt haben (siehe das Muster in Anlage 10 zu § 16 DSVO NEK). Vor der Unterzeichnung der Einwilligungserklärung sollte auf die Gefahren, die durch anderweitige, weltweite, nicht mehr kontrollierbare Nutzung der Daten durch Dritte möglich ist, hingewiesen werden.
Soweit von den kommunalen Meldebehörden Auskunfts- und Übermittlungssperren übermittelt worden sind, dürfen nach § 15 Abs. 3 DSVO NEK Veröffentlichungen nur erfolgen, wenn vorher das Einverständnis der betroffenen Person eingeholt wurde.
#

Anlage 10 zu § 16:

– Muster
„Einwilligungserklärung zur Veröffentlichung von Gemeindeglieder- und Amtshandlungsdaten im Internet“
#

Einwilligungserklärung zur Veröffentlichung von Gemeindeglieder- und Amtshandlungsdaten im Internet

Frau/Herr
____________________
erklärt:
(Name, Vorname, Geburtsdatum)
Ich bin mit der Veröffentlichung
aller Alters- und Ehejubiläen mit Namen und Anschriften sowie Tag und Ort des Ereignisses
aller kirchlichen Amtshandlungen mit Namen, Anschriften sowie Tag und Ort der vorgenommenen Amtshandlung
im Internet auf der Homepage der ____________________ (bitte Namen der kirchlichen Stelle angeben) einverstanden.
Meine dort veröffentlichten personenbezogenen Daten sind weltweit abrufbar und von dritter Seite für andere Zwecke einschließlich Werbung nutzbar.
____________________
(Datum, Unterschrift)

#
1 ↑ Red. Anm.: Vgl. KABl. 2012 S. 127.