.

Kirchengesetz über den Einsatz von Informations- und Kommunikationstechnik in der Evangelischen Kirche von Kurhessen-Waldeck (IuK-Gesetz - IuKG)

Vom 24. November 2014

KABl. S. 256

Die Landessynode der Evangelischen Kirche von Kurhessen-Waldeck hat das folgende Kirchengesetz beschlossen:
####

§ 1 Anwendungs- und Geltungsbereich

( 1 ) Dieses Gesetz regelt den Einsatz von Informations- und Kommunikationstechnik in den Körperschaften der Evangelischen Kirche von Kurhessen-Waldeck.
( 2 ) Der Evangelischen Kirche von Kurhessen-Waldeck zugeordnete rechtlich selbständige Werke und Einrichtungen können dieses Gesetz ganz oder in Teilen für sich für anwendbar erklären.
( 3 ) Die Regelungen des Datenschutzgesetzes der Evangelischen Kirche in Deutschland und aufgrund dieses Gesetzes ergangene Regelungen sowie die Regelungen des Mitarbeitervertretungsrechts bleiben unberührt.
#

§ 2 Grundsätze

( 1 ) Der Einsatz von Informations- und Kommunikationstechnik hat die Erfüllung des kirchlichen Auftrags zu unterstützen.
( 2 ) Informations- und Kommunikationstechnik haben die Sicherheit der automatisierten Verarbeitung von Daten, insbesondere ihre sichere Übermittlung, zu gewährleisten.
( 3 ) Zur Verbesserung der Zusammenarbeit, der Gewährleistung eines einheitlichen Sicherheitsstandards sowie der Wirtschaftlichkeit und Nachhaltigkeit werden einheitliche Informations- und Kommunikationstechnik entwickelt und eingesetzt.
#

§ 3 Einsatz von Informations- und Kommunikationssystemen, -diensten und -programmen

( 1 ) In den Bereichen Finanzwesen, Meldewesen, Personalwesen, Gebäude- und Liegenschaftswesen, der Kommunikation über E-Mail und Intranetportal sowie der IT-Sicherheit werden die jeweils durch das Landeskirchenamt festgelegten einheitlichen Informations- und Kommunikationssysteme, -dienste und -programme eingesetzt.
( 2 ) Für weitere Bereiche kann das Landeskirchenamt festlegen, dass einheitliche Informations- und Kommunikationssysteme, -dienste oder -programme eingesetzt werden.
( 3 ) Bei der Einführung neuer Systeme, Dienste und Programme in den in Absatz 1 genannten Bereichen sowie vor der Festlegung weiterer einheitlicher Systeme, Dienste oder Programme gemäß Absatz 2 sind die jeweils betroffenen Anwendergruppen frühzeitig in geeigneter Weise zu beteiligen.
( 4 ) Über den Einsatz und die wesentlichen Änderungen von Systemen, Diensten und Programmen in anderen als den einheitlich festgelegten Bereichen beschließen die Leitungsorgane der kirchlichen Körperschaften.
( 5 ) Vor der Einführung eines neuen Systems, Dienstes oder Programmes oder weiteren wesentlichen Entscheidungen auf dem Gebiet der Informations- und Kommunikationstechnik ist die Beratung des Landeskirchenamtes einzuholen. Neue Systeme, Dienste oder Programme bedürfen der Freigabe des Landeskirchenamtes. Für wesentliche Änderungen freigegebener Systeme, Dienste und Programme gelten die Sätze 1 und 2 entsprechend. Systeme, Dienste und Programme, die bei dem Inkrafttreten dieses Gesetzes angewandt werden und nicht freigegeben sind, sind dem Landeskirchenamt anzuzeigen.
( 6 ) Die Voraussetzungen für die Freigabe legt das Landeskirchenamt durch Verwaltungsordnung fest.
#

§ 4 IT-Sicherheit

( 1 ) Informations- und Kommunikationstechniksysteme und -dienste, Programme und Daten sind vor unberechtigtem Zugriff und vor unerlaubter Änderung zu schützen (IT-Sicherheit). Der Schutz ist durch ein restriktives Berechtigungskonzept und angemessene Zugangskontrollen sicherzustellen.
( 2 ) Jede kirchliche Stelle im Sinne von § 1 Absatz 2 Satz 1 des Kirchengesetzes über den Datenschutz in der Evangelischen Kirche in Deutschland in der Fassung der Bekanntmachung vom 1. Januar 2013 (ABl. EKD S. 2) ist verpflichtet, IT-Sicherheit zu gewährleisten und zu diesem Zweck ein IT-Sicherheitskonzept zu beschließen sowie einen IT-Sicherheitsbeauftragten oder eine IT-Sicherheitsbeauftragte zu bestellen.
( 3 ) Das Landeskirchenamt beschließt Muster für einheitliche IT-Sicherheitskonzepte für die kirchlichen Stellen.
( 4 ) Der Einsatz von dienstlichen Geräten für private Zwecke ist grundsätzlich unzulässig. Hiervon können Ausnahmen zugelassen werden.
#

§ 5 Elektronische Information und Kommunikation (Internet und Intranet)

( 1 ) Die Nutzung des Internets und des landeskirchlichen Intranets dient der Verbesserung von Arbeitsabläufen, der Datensicherheit, der Transparenz und des Informationsflusses zwischen allen Ebenen und Mitarbeitenden innerhalb der Landeskirche. Die Regelungen zur Einhaltung des Dienstweges und der Aktenführung bleiben unberührt.
( 2 ) Nutzer und Nutzerinnen des Internets über dienstliche Endgeräte sowie des landeskirchlichen Intranets sind verpflichtet, die datenschutzrechtlichen Bestimmungen sowie die Maßnahmen zur Datensicherheit der Landeskirche einzuhalten. Sie haben die Daten und deren Übertragung vor unbefugter Kenntnisnahme, Veränderung, Zerstörung und Verlust im Rahmen der geltenden Regelungen zu schützen.
( 3 ) Die E-Mail-Adresse „@ekkw.de“ ist zur dienstlichen und innerkirchlichen Kommunikation zu nutzen.
( 4 ) Das Internet darf dienstlich nur im Rahmen von § 2 Absatz 1 genutzt werden. Das vertretungsberechtigte Organ der jeweiligen kirchlichen Körperschaft entscheidet über die Zulassung und den Umfang der Internetnutzung einschließlich der privaten Internetnutzung. Das vertretungsberechtigte Organ kann diese Entscheidung im Rahmen der vorgegebenen Zuständigkeit delegieren.
( 5 ) Zugangsberechtigungen zum landeskirchlichen Intranet werden vom Landeskirchenamt eingerichtet. Bei Missachtung der Verpflichtungen gemäß Absatz 2 und daraus folgender Beeinträchtigung der Sicherheit des Intranets kann die Zugangsberechtigung vom Landeskirchenamt widerrufen werden.
( 6 ) Für das Intranet der Landeskirche und diesem angeschlossene Rechner werden zur Sicherung und Kontrolle der Daten entsprechende Protokolle durch ein Sicherheitssystem erstellt. Die Protokolle werden gemäß den gesetzlichen Aufbewahrungsfristen gespeichert.
( 7 ) Das Landeskirchenamt betreibt ein System zur Ausstellung digitaler Zertifikate, um eine sichere elektronische Kommunikation und eine Authentifizierung zu ermöglichen.
#

§ 6 Nutzung privater Endgeräte

( 1 ) Der Zugriff auf dienstliche Daten erfolgt grundsätzlich über dienstliche Geräte.
( 2 ) Private Geräte können zur dienstlichen Nutzung zugelassen werden, wenn die IT-Sicherheit nicht gefährdet oder beeinträchtigt wird. Soweit private Geräte zu dienstlichen Zwecken eingesetzt werden, ist der Zugriff auf die dienstlichen Daten unbeschadet der Regelung für mobile Geräte in Absatz 3 ausschließlich über die zentral zur Verfügung gestellten Intranetzugänge der Landeskirche zulässig.
( 3 ) Soweit private mobile Geräte synchronisiert für dienstliche Zwecke benutzt werden, ist die Speicherung dienstlicher Daten nur im Rahmen einer einheitlich gesteuerten Verwaltung der mobilen Geräte zulässig. Die Nutzung erfolgt aufgrund einer individuellen Vereinbarung, die insbesondere sicherstellt, dass
  1. bei der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten die Bestimmungen des kirchlichen Datenschutzes eingehalten werden,
  2. die notwendigen technischen und organisatorischen Maßnahmen zur IT-Sicherheit und zum Datenschutz getroffen sind und
  3. eine Haftung des Dienstgebers ausgeschlossen ist, wenn im Zusammenhang mit dienstlichen Anwendungen Schäden auf privaten IT-Geräten, insbesondere durch Datenverlust, entstehen.
Bei Zuwiderhandlung ist die individuelle Vereinbarung zu kündigen. Ein Zugriff kirchlicher Stellen auf private Daten ist ausgeschlossen.
( 4 ) Die Speicherung und Verarbeitung von Daten, die ein Pfarrer oder eine Pfarrerin in Ausübung des Seelsorgeauftrages erlangt hat (Seelsorgedaten), ist auf einem privaten Gerät unzulässig. Dies gilt entsprechend für Daten, die aus der Betreuung und Versorgung hilfebedürftiger Personen im Rahmen diakonischer Arbeit gewonnen werden.
#

§ 7 Verwaltungsvorschriften

Das Landeskirchenamt kann Verwaltungsordnungen und Richtlinien zu diesem Gesetz erlassen.
#

§ 8 Inkrafttreten, Außerkrafttreten

( 1 ) Dieses Kirchengesetz tritt am 1. Januar 2015 in Kraft.
( 2 ) Zum gleichen Zeitpunkt treten
  • das Kirchengesetz über die Regelung der Anwendung von Elektronischer Datenverarbeitung in der Evangelischen Kirche von Kurhessen-Waldeck vom 29. November 1989 (KABl. S. 140),
  • die Verordnung über die Anwendung von Elektronischer Datenverarbeitung in der Landeskirche vom 26. März 1990 (KABl. S. 46) sowie
  • die Verordnung über die Nutzung von Intranet und Internet in der Evangelischen Kirche von Kurhessen-Waldeck (Intranet-/Internet-VO) vom 12. November 2010 (KABl. 2011 S. 27) außer Kraft.