.

Rechtsverordnung zur Durchführung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (Datenschutzverordnung – DSVO)

Vom 17. August 2018

KABl. S. 162

Aufgrund von § 54 Absatz 2 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD) vom 15. November 2017 (ABl. EKD S. 353), in der Fassung der Berichtigung vom 15. Januar 2018 (ABl. EKD S. 35), in Verbindung mit § 1 Absatz 2 der Verordnung des Rates der Landeskirche vom 6. Januar 1978 (KABl. S. 12) in der Fassung der Bestätigung durch die Landessynode vom 26. April 1978 (KABl. S. 50) über die Zustimmung der Evangelischen Kirche von Kurhessen-Waldeck zum Kirchengesetz der Evangelischen Kirche in Deutschland über den Datenschutz in der Fassung vom 10. November 1977 erlässt der Rat der Landeskirche folgende Verordnung:
####

§ 1 Führen der Übersicht
(zu § 2 Absatz 1 DSG-EKD)

( 1 ) Zuständig für die Führung der Übersicht über die kirchlichen Werke und Einrichtungen mit eigener Rechtspersönlichkeit gemäß § 2 Absatz 1 Satz 3 DSG-EKD ist das Landeskirchenamt.
( 2 ) Die Übersicht über die Mitgliedseinrichtungen des Diakonischen Werkes in Hessen und Nassau und Kurhessen-Waldeck e. V. (Diakonie Hessen), die als kirchliche Einrichtungen im Sinne des § 2 Absatz 1 Satz 3 DSG-EKD ihren Sitz auf dem Gebiet der Landeskirche haben, führt die Diakonie Hessen.
#

§ 2 Offenlegung
(Zu §§ 4 Nr. 3, 9 DSG-EKD)

( 1 ) 1 Die gemeindeinterne Offenlegung personenbezogener Daten anlässlich von Amtshandlungen (Name, Adresse, Datum) ist zulässig, soweit sie der Erfüllung des kirchlichen Auftrages dient und kein die Offenlegung betreffender Sperrvermerk oder Widerspruch vorliegt. 2 Die gemeindeinterne Offenlegung von persönlichen Jubiläen ist zulässig, solange kein Widerspruch vorliegt.
( 2 ) Gemeindeintern ist eine Offenlegung, wenn sie im Rahmen gottesdienstlicher Veranstaltungen oder in Publikationsorganen der Kirchengemeinde erfolgt, die nur Gemeindemitgliedern zugestellt werden oder nur in kirchlichen Räumen ausliegen.
( 3 ) Die Offenlegung personenbezogener Daten an Bestattungsinstitute, soweit sie für die kirchliche Bestattung notwendig sind, ist zulässig.
( 4 ) Personenbezogene Daten der Kandidaten und Kandidatinnen für durch Wahl zu besetzende kirchliche Leitungsämter und für Sitze in kirchlichen Leitungsorganen dürfen für die öffentliche Bekanntmachung in folgendem Umfang verarbeitet werden: Familienname, Vorname, akademischer Titel, Beruf, Lebensalter, Familienstand und Anschrift (Hauptwohnung).
( 5 ) 1 Im Kirchlichen Amtsblatt dürfen die erforderlichen personenbezogenen Daten von den bei kirchlichen Stellen beschäftigten Mitarbeitern und Mitarbeiterinnen sowie von ehrenamtlich Tätigen veröffentlicht werden, wenn dies im kirchlichen Interesse liegt. 2 Das Kirchliche Amtsblatt kann mit diesen personenbezogenen Daten im Intranet bereitgestellt werden.
#

§ 3 Fundraising
(Zu § 6 DSG-EKD)

( 1 ) 1 Fundraising ist eine kirchliche Aufgabe. 2 Sie verbindet die Beziehungspflege mit dem Werben um persönlichen und finanziellen Einsatz für kirchliche und diakonische Zwecke.
( 2 ) Kirchliche Stellen dürfen für das Fundraising Daten von Kirchenmitgliedern und deren Familienangehörigen sowie von Personen, die mit kirchlichen Stellen in Beziehung getreten sind, verarbeiten.
( 3 ) Kirchliche Stellen dürfen für das Fundraising ihre im Gemeindegliederverzeichnis und in den Kirchenbüchern enthaltenen Daten von Kirchenmitgliedern und deren Familienangehörigen verarbeiten, soweit ein melderechtlicher Sperrvermerk oder Widerspruch dem nicht entgegensteht.
( 4 ) Kirchliche Stellen dürfen für das Fundraising Daten verarbeiten, die öffentlich zugänglich sind oder für das Fundraising erworben werden.
#

§ 4 Datengeheimnis und Verpflichtungen auf den Datenschutz
(Zu § 26 DSG-EKD)

( 1 ) Verstöße gegen das Datengeheimnis sind Verletzungen der Dienstpflicht im Sinne des Disziplinarrechts, der arbeitsrechtlichen Vorschriften oder der Amtspflichten ehrenamtlich Tätiger.
( 2 ) 1 Alle Beschäftigten sowie die ehrenamtlich Tätigen, die personenbezogene Daten verarbeiten und nicht aufgrund anderer kirchlicher Bestimmungen zum Datenschutz verpflichtet sind, sind bei der Aufnahme ihrer Tätigkeit zur Einhaltung des Datenschutzes zu verpflichten. 2 Für die Verpflichtungserklärung legt das Landeskirchenamt ein verbindliches Formular mit Merkblatt fest (Anlagen 1 bis 3).
( 3 ) 1 Das Original der Verpflichtungserklärung ist zur Personalakte der verpflichteten Person, bei ehrenamtlich Tätigen in den Kirchengemeinden sowie sonstigen kirchlichen Stellen und Einrichtungen zu einer Akte Datenschutz zu nehmen. 2 Die verpflichtete Person erhält eine Kopie der Verpflichtungserklärung.
#

§ 5 Verarbeitung von personenbezogenen Daten im Auftrag
(zu § 30 DSG-EKD)

( 1 ) Vor dem Abschluss von Verträgen zur Auftragsverarbeitung ist der oder die örtlich Beauftragte für den Datenschutz zu beteiligen.
( 2 ) Das Landeskirchenamt kann Musterverträge zur Auftragsverarbeitung entwerfen, deren Verwendung empfohlen wird.
#

§ 6 Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis)
(zu § 31 Absatz 6 DSG-EKD)

Für die durch das Landeskirchenamt festgelegten einheitlichen Informations- und Kommunikationssysteme, -dienste und Programme wird das Verfahrensverzeichnis zentral im Landeskirchenamt geführt.
#

§ 7 Örtlich Beauftragte für den Datenschutz
(zu § 36 DSG-EKD)

( 1 ) 1 Die Evangelische Kirche von Kurhessen-Waldeck richtet zentral Stellen für örtlich Beauftragte für den Datenschutz ein. 2 Die zur Bestellung gemäß § 36 Absatz 1 Satz 1 DSG-EKD verpflichteten kirchlichen Stellen berufen eine mit dieser Stelle betraute Person als örtlich Beauftragte oder örtlich Beauftragten.
( 2 ) Die Verpflichtung nach Absatz 1 entfällt, wenn dem Landeskirchenamt die Bestellung eines oder einer anderen örtlich Beauftragten für den Datenschutz entsprechend den Vorgaben des § 36 des DSG-EKD nachgewiesen wird.
( 3 ) Absätze 1 und 2 finden für Mitgliedseinrichtungen der Diakonie Hessen nur Anwendung, wenn sie im Bereich der Evangelischen Kirche von Kurhessen-Waldeck als Körperschaften des öffentlichen Rechts verfasst sind.
( 4 ) 1 Die Bestellung von Beauftragten nach Absätzen 1 und 2 kann befristet oder unbefristet erfolgen. 2 Sie erfolgt schriftlich nach dem dieser Rechtsverordnung angefügten Muster (Anlage 4). 3 Die Bestellung kann nach Anhörung des oder der betroffenen Beauftragten schriftlich widerrufen werden, wenn ein Interessenkonflikt mit anderen Aufgaben oder ein sonstiger wichtiger Grund in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuches eintritt.
#

§ 8 Aufsichtsbehörde für den Datenschutz
(Zu § 39 Absatz 3 DSG-EKD)

Die Aufgaben der Datenschutzaufsicht über die Evangelische Kirche von Kurhessen-Waldeck und die Diakonie Hessen sind auf die Aufsichtsbehörde der Evangelischen Kirche in Deutschland übertragen.
#

§ 9 Inkrafttreten, Außerkrafttreten

( 1 ) Diese Rechtsverordnung tritt mit Wirkung vom 24. Mai 2018 in Kraft.
( 2 ) Zum gleichen Zeitpunkt treten die Rechtsverordnung zur Durchführung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (Datenschutzverordnung) vom 12. September 2016, KABl. S. 118, und die Verordnung zum Schutz von Patientendaten in Evangelischen Krankenhäusern vom 29. Oktober 1991, KABl. S. 234, außer Kraft.
#
Grafik
#
Anlage 2
#

Merkblatt über den Datenschutz für Mitarbeitende in der Evangelischen Kirche von Kurhessen-Waldeck

____________________
Dieses Merkblatt enthält wesentliche Informationen über den Inhalt des Datengeheimnisses und den Sinn der Verpflichtungserklärung für Beschäftigte, die im Rahmen ihrer Beschäftigung mit personenbezogenen Daten zu tun haben.
Warum ist Datenschutz wichtig?
Niemand darf durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt werden. Zum Schutz vor einer Beeinträchtigung haben der Staat und die Kirchen datenschutzgesetzliche Regelungen geschaffen. Dementsprechend hat jede Person das Recht, im Rahmen der gesetzlichen Grenzen über die Verarbeitung ihrer personenbezogenen Daten selbst zu bestimmen.
Wer seine persönlichen Daten einer kirchlichen Stelle oder diakonischen Einrichtung anvertraut, hat einen Anspruch darauf, dass mit diesen Daten verantwortlich umgegangen wird. Dies gilt etwa für den Umgang mit den Daten von Gemeindegliedern oder Hilfesuchenden im diakonischen Bereich, aber auch für den Umgang mit den Inhalten eines vertraulich geführten Gesprächs. Mitarbeitende in Kirche und Diakonie sind zumeist durch Kirchengesetz, Arbeitsrechtsregelung oder Arbeitsvertrag zur Verschwiegenheit verpflichtet.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (siehe § 4 Ziffer 1 DSG-EKD). Dazu gehören u. a. Name, Geburtsdatum, Anschrift, Konfession, Beruf, Familienstand oder Informationen über sachliche Verhältnisse (z. B. Grundbesitz, Einkommen, Rechtsbeziehungen zu Dritten) einer bestimmten oder bestimmbaren natürlichen Person.
Darüber hinaus gibt es besondere Kategorien von personenbezogenen Daten (§ 4 Ziffer 2 DSG-EKD). Dazu gehören z. B. Gesundheitsdaten, Informationen, aus denen die Herkunft, politische Meinungen oder eine Gewerkschaftszugehörigkeit hervorgehen. An die Verarbeitung und Offenlegung dieser Daten werden noch strengere Maßstäbe gelegt (siehe §§ 8 und 13 DSG-EKD).
Personenbezogene Daten sind insbesondere in Personal- und Fallakten und Aktensammlungen enthalten und fallen bei automatisierten Verarbeitungen gemäß § 2 Absatz 2 DSG-EKD an. Beispiele für automatisierte Verarbeitungen sind Programme aus den Bereichen Textverarbeitung, Tabellenkalkulation und Datenbanken. Zu beachten ist, dass personenbezogene Daten auch beim Einsatz von mobilen Endgeräten, Videoüberwachungen, automatischen Schließsystemen und weiteren technischen Anwendungen anfallen.
Welche rechtlichen Grundlagen gelten für den kirchlichen Datenschutz?
Für den Datenschutz in der EKKW sind neben bereichsspezifischen Regelungen folgende Rechtsvorschriften zu beachten:
  1. Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD) vom 15. November 2017
  2. Rechtsverordnung zur Durchführung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (Datenschutzverordnung – DSVO)
  3. Verordnung zur Sicherheit der Informationstechnik (IT-Sicherheitsverordnung - ITSVO-EKD) vom 29. Mai 2015
  4. Kirchengesetz über den Einsatz von Informations- und Kommunikationstechnik in der Evangelischen Kirche von Kurhessen-Waldeck (IuK-Gesetz - IuKG) vom 24. November 2014
  5. Richtlinie zur Nutzung mobiler Informations- und Kommunikationsgeräte der Evangelischen Kirche von Kurhessen-Waldeck (Mobile-Geräte-Richtlinie) vom 18. April 2017
Diese und weitere Vorschriften sind auf der Internetseite www.kirchenrecht-ekkw.de in der Rechtssammlung ab Ziffer 710 einsehbar.
Daneben gelten besondere Bestimmungen über den Schutz des Beicht- und Seelsorgegeheimnisses, die Amtsverschwiegenheit sowie sonstige gesetzliche Geheimhaltungs- und Verschwiegenheitspflichten.
Welche Regelungen gelten für den Datenschutz?
Unter Verarbeitung von Daten ist jedweder mit oder ohne Hilfe von automatisierten Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten zu verstehen. Somit ist eine sehr weite Auslegung vorzunehmen. Zur Datenverarbeitung gehören somit das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung sowie das Löschen und die Vernichtung von Daten (vgl. § 4 Ziffer 3 DSG-EKD).
Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn das DSG-EKD oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder soweit die betroffene Person eingewilligt hat.
Personenbezogene Daten dürfen für die Erfüllung kirchlicher Aufgaben verarbeitet werden. Maßgebend sind die herkömmlichen oder durch das kirchliche Recht bestimmten Aufgaben auf dem Gebiet der Verkündigung, Seelsorge, Diakonie und Unterweisung sowie der kirchlichen Verwaltung (einschließlich Gemeinde- und Pfarrbüro).
Die Verarbeitung ist stets an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich und notwendig zu verarbeiten (Grundsatz der Datensparsamkeit bzw. Datenminimierung und der Erforderlichkeit). Soweit es rechtlich möglich ist, sollen personenbezogene Daten vermieden oder reduziert werden.
Daten dürfen nur zu dem Zweck verwendet werden, für den sie erhoben oder gespeichert sind (Grundsatz der Zweckbindung). Andere Verwendungen bedürfen einer rechtlichen Grundlage oder der Zustimmung der betroffenen Personen.
Mündliche, elektronische und schriftliche Auskünfte aus Akten oder Datenbanken sowie die Offenlegung von personenbezogenen Daten (z. B. Kopien von Listen, Datenträgern und Akten) sind zulässig an kirchliche Stellen, andere öffentlich-rechtliche Religionsgesellschaften sowie an Behörden und sonstige öffentliche Stellen des Bundes, der Länder, der Gemeinden etc., soweit eine Rechtsgrundlage für die Offenlegung vorhanden ist und sie zur Erfüllung kirchlicher Aufgaben erforderlich sind (siehe auch §§ 8 und 9 DSG-EKD).
Auskünfte zur geschäftlichen oder gewerblichen Verwendung der Daten dürfen ohne Einwilligung der betroffenen Person in keinem Fall gegeben werden.
Widersprüche von betroffenen Personen, die sich gegen eine Verarbeitung ihrer personenbezogenen Daten richten, sind zu beachten.
Personenbezogene Daten dürfen nur kirchlichen Mitarbeitenden zugänglich gemacht werden, die aufgrund ihrer dienstlichen Aufgaben zum Empfang der Daten berechtigt sind.
Was ist aus Sicht des technischen und organisatorischen Datenschutzes zu beachten?
Wenn personenbezogene Daten verarbeitet werden, sind die technischen und organisatorischen Maßnahmen gemäß § 27 DSG-EKD zu beachten.
Eigenmächtige Änderungen der dienstlichen Hardware und deren Konfiguration – insbesondere der Ein- und Ausbau von Komponenten und der Anschluss von Druckern oder anderen Zusatzgeräten – sind ebenso wie das unbefugte Einspielen von privater Software nicht gestattet. In Ausnahmefällen können private IT-Geräte nach Maßgabe des Kirchengesetzes über den Einsatz von Informations- und Kommunikationstechnik in der EKKW (IuK-Gesetz) sowie der Richtlinie zur Nutzung mobiler Informations- und Kommunikationsgeräte der EKKW (Mobile-Geräte-Richtlinie) zugelassen werden.
Soweit aus Gründen der Aufgabenerfüllung Daten mittels eines Datenträgers auf einen PC übertragen werden, ist durch geeignete Maßnahmen (z. B. Sichtkontrolle, ob die Daten des Sticks auch den erwarteten Inhalten entsprechen, Virenscan) sicherzustellen, dass die auf dem Datenträger enthaltenen Daten nicht mit Schadsoftware befallen sind.
Passwörter und Hardwaretoken (z. B. USB-Stick und Chipkarten) sowie Benutzerkennungen dürfen in keinem Fall weitergegeben oder ausgespäht werden.
Unterlagen mit personenbezogenen Daten (z. B. Belege, EDV-Listen), Datenträger (z. B. Magnetbänder, Festplatten, USB-Sticks, etc.) und Zubehör (z. B. Schlüssel) sind stets sicher und verschlossen zu verwahren und vor jeder Einsicht oder sonstigen Nutzung durch Unbefugte zu schützen.
Analoge und digitale Daten, die nicht mehr benötigt werden, müssen in einer Weise vernichtet oder gelöscht werden, die jeden Missbrauch der Daten ausschließt.
Mängel, die bei der Verarbeitung von personenbezogenen Daten auffallen, müssen dem Vorgesetzten gemeldet werden. Dies gilt auch für den Fall, dass unzureichende technische und organisatorische Maßnahmen zum Datenschutz oder zur Datensicherheit ergriffen wurden. Es wird empfohlen, die örtlich Beauftragten für den Datenschutz zu beteiligen. Die Einhaltung des Dienstweges ist nicht notwendig. Darüber hinaus besteht die Möglichkeit, sich an die Aufsichtsbehörde der EKD zu wenden (https://datenschutz.ekd.de).
Eine Verarbeitung von personenbezogenen Daten durch einen Dienstleister (Auftragsverarbeiter) ist nur zulässig, wenn eine Vereinbarung mit dem Auftragsverarbeiter geschlossen wird. Diese Vereinbarung muss die in § 30 DSG-EKD enthaltenen Bedingungen einhalten. Die örtlich Beauftragte oder der örtlich Beauftragte für den Datenschutz sind vor Abschluss einer Vereinbarung zu beteiligen.
Welche strafrechtlichen Konsequenzen können im Einzelfall drohen?
Bestimmte Handlungen, die einen Verstoß gegen das Datengeheimnis beinhalten, stellen Straftatbestände dar. Danach kann mit Freiheitsstrafe oder mit Geldstrafe beispielsweise bestraft werden, wer
  • unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft (§ 202a StGB „Ausspähen von Daten“),
  • Passwörter Dritten verkauft oder überlässt oder entsprechende Computerprogramme installiert (§ 202c StGB „Vorbereiten des Ausspähens und Abfangens von Daten“),
  • unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihr oder ihm anvertraut wurde in Ausübung der Berufe Ärztin oder Arzt (oder Angehörige oder Angehöriger eines anderen Heilberufs), Psychologin oder Psychologe, Ehe-, Familien-, Erziehungs- oder Jugendberaterin und -berater sowie Beraterinnen und Berater für Suchtfragen in einer Beratungsstelle, Mitglieder einer anerkannten Beratungsstelle nach dem Schwangerschaftskonfliktgesetz, Sozialarbeiterinnen und Sozialarbeiter (§ 203 StGB „Verletzung von Privatgeheimnissen“),
  • rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert (§ 303a StGB „Datenveränderung“).
Wo gibt es weitere Auskünfte?
Weitere Auskünfte zum Datenschutz können Dienstvorgesetzte oder die örtlich Beauftragten für den Datenschutz geben.
#
Anlage 3
#

Merkblatt über den Datenschutz für ehrenamtlich Mitarbeitende in der Evangelischen Kirche von Kurhessen-Waldeck

____________________
Dieses Merkblatt enthält wesentliche Informationen über den Inhalt des Datengeheimnisses und den Sinn der Verpflichtungserklärung für ehrenamtlich Mitarbeitende, die mit personenbezogenen Daten zu tun haben.
Weshalb ist Datenschutz notwendig und wichtig?
Die sorgsame und vertrauliche Behandlung von Daten ist ein wichtiges Gebot im Rahmen der kirchlichen Arbeit. Jeder hat das Recht, über die Erhebung und weitere Verarbeitung seiner personenbezogenen Daten grundsätzlich selbst zu bestimmen. Ziel des Datenschutzes ist es, jede einzelne Person davor zu schützen, dass sie durch den Umgang mit ihren personenbezogenen Daten in diesem Persönlichkeitsrecht beeinträchtigt wird.
Auf dieser Grundlage regelt das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD), unter welchen Voraussetzungen Daten verwendet werden dürfen. Die Rechte der Betroffenen sind in diesem Gesetz näher beschrieben. Ebenso ist festgelegt, wer über die Einhaltung der Datenschutzvorschriften wacht.
Wer seine persönlichen Daten einer kirchlichen Stelle oder diakonischen Einrichtung anvertraut, hat einen Anspruch darauf, dass mit diesen Daten verantwortlich umgegangen wird. Dies gilt etwa für den Umgang mit den Daten von Gemeindegliedern oder Hilfesuchenden im diakonischen Bereich, aber auch für den Umgang mit den Inhalten eines vertraulich geführten Gesprächs. Mitarbeitende in Kirche und Diakonie sind zumeist durch Kirchengesetz, Arbeitsrechtsregelung oder Arbeitsvertrag zur Verschwiegenheit verpflichtet. Für Ehrenamtliche gelten die arbeits- und dienstrechtlichen Bestimmungen nicht. Deshalb sind Ehrenamtliche auf das Datengeheimnis zu verpflichten. Die Verpflichtungserklärung ist deshalb nicht als Ausdruck eines grundsätzlichen Misstrauens gegenüber Ehrenamtlichen zu verstehen, sie ist vielmehr ein Qualitätsmerkmal für die ehrenamtlich geleistete Arbeit! Für die Betroffenen ist es oft sehr wichtig, darüber Gewissheit zu haben, dass über ihre Daten Verschwiegenheit gewahrt wird. Ein vertrauliches Gespräch in Kirche und Diakonie wird ohne diese Gewissheit nicht zustande kommen. Dabei macht es aus Sicht der Betroffenen keinen Unterschied, ob das Gespräch mit einer Pfarrerin, einem Pfarrer oder Ehrenamtlichen geführt wird.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (siehe § 4 Ziffer 1 DSG-EKD). Dazu gehören u. a. Name, Geburtsdatum, Anschrift, Konfession, Beruf, Familienstand oder Informationen über sachliche Verhältnisse (z. B. Grundbesitz, Einkommen, Rechtsbeziehungen zu Dritten) einer bestimmten oder bestimmbaren natürlichen Person.
Darüber hinaus gibt es besondere Kategorien von personenbezogenen Daten (§ 4 Ziffer 2 DSG-EKD). Dazu gehören z. B. Gesundheitsdaten, Informationen, aus denen die Herkunft, politische Meinungen oder eine Gewerkschaftszugehörigkeit hervorgehen. An die Verarbeitung und Offenlegung dieser Daten werden noch strengere Maßstäbe gelegt (siehe §§ 8 und 13 DSG-EKD).
Wenn Sie zum Beispiel als Mitglied eines Besuchsdienstkreises Gespräche mit einem Gemeindeglied führen, handelt es sich bei dem, was Ihr Gesprächspartner Ihnen über sich selbst oder über eine andere Person erzählt, um personenbezogene Daten. Diese Daten werden durch die Datenschutzregelungen besonders geschützt.
Personenbezogene Daten sind in der Regel in Aktensammlungen, z. B. von Personal- und Fallakten oder Sammlungen und Listen von Gemeindegliedern, Mitarbeitenden, Konfirmanden- oder Seniorengruppen und anderen Zielgruppen der Gemeindearbeit enthalten. Bei automatisierter Datenverarbeitung gemäß § 2 Absatz 2 DSG-EKD ist der Datenschutz aufgrund der Speicherung der Daten von besonderer Bedeutung. Beispiele für automatisierte Verarbeitungen sind Verarbeitungen mit Programmen aus den Bereichen Textverarbeitung, Tabellenkalkulation und Datenbanken. Auch beim Einsatz von mobilen Endgeräten (z. B. Tablet-PC oder Smartphone), bei Videoüberwachungen und automatischen Schließsystemen und weiteren technischen Anwendungen ist auf den Schutz personenbezogener Daten zu achten.
Welche rechtlichen Grundlagen gelten für den kirchlichen Datenschutz?
Insbesondere die folgenden grundlegenden Bestimmungen zum Datenschutz sind in der Evangelischen Kirche von Kurhessen-Waldeck zu beachten:
  • Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD) vom 15. November 2017
  • Rechtsverordnung zur Durchführung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (Datenschutzverordnung – DSVO)
  • Verordnung zur Sicherheit der Informationstechnik (IT-Sicherheitsverordnung - ITSVO-EKD) vom 29. Mai 2015
  • Kirchengesetz über den Einsatz von Informations- und Kommunikationstechnik in der Evangelischen Kirche von Kurhessen-Waldeck (IuK-Gesetz - IuKG) vom 24. November 2014
  • Richtlinie zur Nutzung mobiler Informations- und Kommunikationsgeräte der Evangelischen Kirche von Kurhessen-Waldeck (Mobile-Geräte-Richtlinie) vom 18. April 2017
Daneben gelten besondere Bestimmungen über den Schutz des Beicht- und Seelsorgegeheimnisses, die Amtsverschwiegenheit sowie sonstige gesetzliche Geheimhaltungs- und Verschwiegenheitspflichten.
Die Vorschriften sind im Internet auf der Seite www.kirchenrecht-ekkw.de veröffentlicht.
Was bedeutet „Verwendung von personenbezogenen Daten“?
Unter Verarbeitung von Daten ist jedweder mit oder ohne Hilfe von automatisierten Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten zu verstehen. Eine sehr weite Auslegung wird vorgenommen. Zur Datenverarbeitung gehören das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung sowie das Löschen und die Vernichtung von Daten (vgl. § 4 Ziffer 3 DSG-EKD).
Welche grundsätzlichen Regelungen gelten für den Datenschutz und für die Weitergabe von personenbezogenen Daten?
Alle hauptamtlich und ehrenamtlich Mitarbeitenden sind für die datenschutzrechtlich korrekte Ausübung ihrer Tätigkeit verantwortlich. Sie sind deshalb vor Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten.
Alle personenbezogenen Informationen, die Mitarbeitende aufgrund ihrer Arbeit an und mit Akten, Dateien, Listen und Karteien und über Gespräche erhalten, sind grundsätzlich vertraulich zu behandeln. Insbesondere haben sie über alle personenbezogenen Daten, die sie aufgrund ihrer kirchlichen Tätigkeit erfahren, Verschwiegenheit zu wahren. So ist es nicht zulässig, Familienmitglieder oder andere Personen über das Erfahrene zu informieren. Ebenso dürfen etwa Daten in keinem Fall zum Zwecke der Werbung an Versicherungen, Zeitungen oder Firmen herausgegeben werden. Diese Pflicht besteht auch nach Beendigung der Tätigkeit fort.
Es gelten die Grundsätze der Erforderlichkeit, der Zweckbindung und der Datensparsamkeit. Das heißt, eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig,
  • wenn das kirchliche Datenschutzrecht oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder
  • soweit die betroffene Person eingewilligt hat.
Daten dürfen nur:
  • für die Erfüllung kirchlicher Aufgaben verarbeitet werden,
  • in dem Umfang verarbeitet werden, wie dies zur Wahrnehmung Ihrer hauptamtlichen oder ehrenamtlichen Tätigkeit erforderlich ist (so wenig personenbezogene Daten wie möglich). Notwendig sind Daten, ohne die die jeweilige Aufgabe nicht oder nicht vollständig erfüllt werden kann.
  • zu dem Zweck verwendet werden, für den sie erhoben oder gespeichert wurden,
  • Personen bekannt gegeben werden, die diese zur Erfüllung ihrer Aufgaben benötigen und die zur Verschwiegenheit verpflichtet sind. Dies gilt auch innerhalb kirchlicher Stellen!
Offenlegung durch Übermittlung:
Soweit eine Rechtsgrundlage für die Datenübermittlung vorhanden ist oder die Datenübermittlung zur Erfüllung der kirchlichen Aufgaben erforderlich ist, sind gemäß § 8 und § 9 DSG-EKD mündliche, elektronische und schriftliche Auskünfte von personenbezogenen Daten, z. B. Kopien von Listen, Datenträgern und Akten, grundsätzlich zulässig an:
  • kirchliche Stellen, wenn sie zur Erfüllung der in der Zuständigkeit der offenlegenden oder der empfangenden kirchlichen Stelle liegenden Aufgaben erforderlich sind,
  • andere öffentlich-rechtliche Religionsgesellschaften,
  • an Behörden sowie sonstige öffentliche Stellen des Bundes, der Länder, der Gemeinden etc.
Widersprüche von betroffenen Personen, die sich gegen eine Verarbeitung ihrer personenbezogenen Daten richten, sind zu beachten.
Personenbezogene Daten dürfen nur kirchlichen Mitarbeitenden zugänglich gemacht werden, die aufgrund ihrer dienstlichen Aufgaben zum Empfang der Daten berechtigt sind.
Was ist aus Sicht des technischen und organisatorischen Datenschutzes zu beachten?
Um den Anforderungen des kirchlichen Datenschutzes zu genügen, sind auch technische und organisatorische Maßnahmen zu treffen. Bitte bewahren Sie deshalb alle Informationen mit personenbezogenen Daten (z. B. Notizzettel, Karteikarten, USB-Sticks) stets sicher und verschlossen auf, damit ein unbefugter Zugriff Dritter nach Möglichkeit ausgeschlossen ist.
Falls Sie personenbezogene Daten im Ausnahmefall auf Ihren privaten Endgeräten (z. B. Laptop, Smartphone, Tablet) speichern müssen, müssen Sie dies vorher mit der verantwortlichen kirchlichen Stelle absprechen. Dadurch soll sichergestellt werden, dass alle rechtlichen und technischen Vorgaben eingehalten werden. Folgende Maßnahmen sind mindestens notwendig:
  • Benutzerkennung und Passwortschutz,
  • Familienangehörige oder andere Personen dürfen keinen Zugriff auf die kirchlichen Daten haben (so müssen z. B. separate Benutzerkonten eingerichtet werden),
  • Programm- und Browserversionen sind stets aktuell zu halten,
  • Virenschutzprogramme (einschließlich Firewall) sind regelmäßig zu aktualisieren,
  • nur für Ihre Arbeit erforderliche Daten dürfen gespeichert werden,
  • nicht mehr benötigte Datenbestände sind sicher zu löschen,
  • Datensicherungen sind regelmäßig durchzuführen,
  • sensible personenbezogene Daten auf privaten Endgeräten sind stets verschlüsselt zu speichern. Dies gilt auch für Datensicherungen.
Welche strafrechtlichen Konsequenzen können im Einzelfall drohen?
Vorsorglich möchten wir auf rechtliche Konsequenzen hinweisen, die aufgrund der Nichtbeachtung des Datenschutzes entstehen könnten. Bestimmte Handlungen, die einen Verstoß gegen das Datengeheimnis beinhalten, stellen Straftatbestände dar. Danach kann mit Freiheitsstrafe oder mit Geldstrafe beispielsweise bestraft werden, wer
  • unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft (§ 202a StGB „Ausspähen von Daten“),
  • Passwörter Dritten verkauft oder überlässt oder entsprechende Computerprogramme installiert (§ 202c StGB „Vorbereiten des Ausspähens und Abfangens von Daten“),
  • unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihr oder ihm anvertraut wurde in Ausübung der Berufe Ärztin oder Arzt (oder Angehörige oder Angehöriger eines anderen Heilberufs), Psychologin oder Psychologe, Ehe-, Familien-, Erziehungs- oder Jugendberaterin und -berater sowie Beraterinnen und Berater für Suchtfragen in einer Beratungsstelle, Mitglieder einer anerkannten Beratungsstelle nach dem Schwangerschaftskonfliktgesetz, Sozialarbeiterinnen und Sozialarbeiter (§ 203 StGB „Verletzung von Privatgeheimnissen“),
  • rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert (§ 303a StGB „Datenveränderung“).
Wo erhalten Sie weitere Auskünfte?
Ehrenamtliche wenden sich zunächst bitte an die für sie zuständigen hauptamtlich Mitarbeitenden im Kirchlichen Dienst. Diese können Fragen zum Datenschutz beantworten oder ggf. an weitere zuständige bzw. verantwortliche oder fachkundige Personen weiterleiten.
#
Grafik
#