Back to start of Church law page / zum Kopf der Kirchenrechtssammlung Dolezalek: click
Back to homepage Dolezalek / zurück zur Hauptseite Dolezalek click
Zurück zum betreffenden Teil der Übersicht
1.7 ELEKTRONISCHE DATENVERARBEITUNG UND
DATENSCHUTZ
-~-
Vorsicht ! Bisher nur erste
Tippfehlerkorrektur erfolgt ! (26.02.2002, NH)
in Deutschland (DSG-EKD)
Vom 12. November 1993 (ABl. EKD 1994, S. 3)
<Im Text sind folgende Änderungen
berücksichtigt: zahlreiche §§ geändert und neugefasst,
§§ 2a, 3a, 7a, 7b, 9a, 15a neu eingefügt sowie Anlage zu § 9
neu gefasst durch 1. KirchenG zur Änderung des KirchenG über den
Datenschutz vom 07.11.2002 [ABl. EKD 2002 S. 380] (ABl. 2003 A
35).>
Gemäß Artikel 10 a der Grundordnung der
Evangelischen Kirche in Deutschland vom 13.07.1948 hat die Synode der
Evangelischen Kirche in Deutschland mit Wirkung für die Gliedkirchen der
Evangelischen Kirche in Deutschland folgendes Kirchengesetz
beschlossen:
Kirchengesetz über den Datenschutz der Evangelischen
Kirche
in Deutschland (DSG-EKD)
§ 1
Zweck und Anwendungsbereich
(1) Zweck dieses Kirchengesetzes ist es, den Einzelnen davor
zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in
seinem Persönlichkeitsrecht beeinträchtigt wird.
(2) Dieses Kirchengesetz gilt für die Erhebung,
Verarbeitung und Nutzung personenbezogener Daten durch kirchliche Behörden
und sonstige Dienststellen sowie ohne Rücksicht auf deren Rechtsform durch
kirchliche Werke und Einrichtungen der Evangelischen Kirche in Deutschland und
der Gliedkirchen (kirchliche Stellen). Die Evangelische Kirche in Deutschland
und die Gliedkirchen sollen jeweils für ihren Bereich eine Übersicht
über die kirchlichen Werke und Einrichtungen mit eigener
Rechtspersönlichkeit, für die dieses Kirchengesetz gilt, führen.
In die Übersicht sind Name, Anschrift, Rechtsform und
Tätigkeitsbereich der kirchlichen Werke und Einrichtungen
aufzunehmen.
(3) Dieses Kirchengesetz ist nur eingeschränkt anwendbar:
1. auf automatisierte Dateien, die ausschließlich aus
verarbeitungstechnischen Gründen vorübergehend erstellt und nach ihrer
verarbeitungstechnischen Nutzung automatisch gelöscht werden; insoweit
gelten nur die §§ 6 und 9;
2. auf nicht-automatisierte Dateien, deren personenbezogene
Daten nicht zur Übermittlung an Dritte bestimmt sind; insoweit gelten nur
die §§ 6, 9, 23 und 25. Werden im Einzelfall personenbezogene Daten
übermittelt, gelten für diesen Einzelfall die Vorschriften dieses
Kirchengesetzes uneingeschränkt.
(4) Pfarrer und Pfarrerinnen sowie sonstige kirchliche
Mitarbeiter und Mitarbeiterinnen dürfen in Wahrnehmung ihres
Seelsorgeauftrages eigene Aufzeichnungen führen und verwenden; diese
dürfen Dritten nicht zugänglich sein. Die besonderen Bestimmungen
über den Schutz des Beicht- und Seelsorgegeheimnisses sowie über die
Amtsverschwiegenheit bleiben unberührt. Das Gleiche gilt für die
sonstigen Verpflichtungen zur Wahrung gesetzlicher Geheimhaltungs- und
Verschwiegenheitspflichten oder von Berufs- oder besonderen Amtsgeheimnissen,
die nicht auf gesetzlichen Vorschriften beruhen.
(5) Soweit besondere Regelungen in anderen kirchlichen
Rechtsvorschriften auf personenbezogene Daten einschließlich deren
Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses
Kirchengesetzes vor.
§ 2
Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangaben über
persönliche oder sachliche Verhältnisse einer bestimmten oder
bestimmbaren natürlichen Person (betroffene Person).
(2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung
oder Nutzung personenbezogener Daten unter Einsatz von
Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht
automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut und
nach bestimmten Merkmalen zugängig ist und ausgewertet werden
kann.
(3) Erheben ist das Beschaffen von personenbezogenen Daten
über die betroffene Person.
(4) Verarbeiten ist das Speichern, Verändern,
Übermitteln, Sperren und Löschen von personenbezogenen Daten. Im
Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:
1. Speichern das Erfassen, Aufnehmen oder Aufbewahren von
personenbezogenen Daten auf einem Datenträger zum Zwecke ihrer weiteren
Verarbeitung oder Nutzung,
2. Verändern das inhaltliche Umgestalten von
gespeicherten personenbezogenen Daten,
3. Übermitteln das Bekanntgeben von gespeicherten oder
durch Datenverarbeitung gewonnenen personenbezogenen Daten an Dritte in der
Weise, dass
a) die Daten an Dritte weitergegeben werden oder
b) Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten
einsehen oder abrufen,
4. Sperren das Kennzeichnen gespeicherter personenbezogener
Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken,
5. Löschen das Unkenntlichmachen gespeicherter
personenbezogener Daten.
(5) Nutzen ist jede Verwendung von personenbezogenen Daten,
soweit es sich nicht um Verarbeitung handelt.
(6) Anonymisieren ist das Verändern von personenbezogenen
Daten derart, dass die Einzelangaben über persönliche oder sachliche
Verhältnisse nicht mehr oder nur mit einem
unverhältnismäßig großem Aufwand an Zeit, Kosten und
Arbeitskraft einer betroffenen Person zugeordnet werden können.
(7) Pseudonymisieren ist das Ersetzen des Namens und anderer
Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung der
betroffenen Person auszuschließen oder wesentlich zu erschweren.
(8) Verantwortliche Stelle ist jede Person oder Stelle, die
personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder
dies durch andere im Auftrag speichern lässt.
(9) Empfänger ist jede Person oder Stelle, die
personenbezogene Daten erhält.
(10) Dritte sind Personen und Stellen außerhalb der
verantwortlichen Stelle. Dritte sind nicht die betroffene Person sowie
diejenigen Personen und Stellen, die im Geltungsbereich dieses Kirchengesetzes
personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.
(11) Besondere Arten personenbezogener Daten sind Angaben
über russische und ethnische Herkunft, politische Meinungen, religiöse
und weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit,
Gesundheit oder Sexualleben. Dazu gehört nicht die Zugehörigkeit zu
einer Kirche oder sonstigen Religionsgemeinschaft.
(12) Mobile personenbezogene Speicher- und Bearbeitungsmedien
sind Datenträger,
1. die an den Betroffenen ausgegeben werden,
2. auf deren personenbezogene Daten über die Speicherung
hinaus durch die ausgebende Stelle oder eine andere Stelle automatisiert
verarbeitet werden können und
3. bei denen der Betroffene diese Verarbeitung nur durch den
Gebrauch des Mediums beeinflussen kann.
§ 2 a
Datenvermeidung und Datensparsamkeit
Gestaltung und Auswahl von Datenverarbeitungssystemen haben
sich an dem Ziel auszurichten, keine oder nur so wenig personenbezogene Daten
wie nötig zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von
den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu
machen, soweit dies möglich ist und der Aufwand in einem angemessenen
Verhältnis zu dem angestrebten Schutzzweck steht.
§ 3
Erhebung, Verarbeitung und Nutzung
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten
und deren Nutzung sind nur zulässig, wenn dieses Gesetz oder eine andere
Rechtsvorschrift sie erlaubt oder anordnet oder soweit die betroffene Person
eingewilligt hat.
§ 3 a
Einwilligung der Betroffenen
(1) Die Einwilligung der Betroffenen ist nur wirksam, wenn sie
auf deren freier Entscheidung beruht. Sie sind auf den vorgesehenen Zweck der
Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des
Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung
der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit
nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die
Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden,
ist die Einwilligungserklärung im äußeren Erscheinungsbild der
Erklärung hervorzuheben.
(2) Im Bereich der wissenschaftlichen Forschung liegt ein
besonderer Umstand im Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die
Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt
würde. In diesem Fall sind der Hinweis nach Abs. 1 Satz 2 und die
Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten
Forschungszwecks ergibt, schriftlich festzuhalten.
(3) Soweit besondere Arten personenbezogener Daten nach §
2 Abs. 11 erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung
darüber hinaus ausdrücklich auf diese Daten beziehen.
§ 4
Datenerhebung
(1) Das Erheben personenbezogener Daten ist zulässig,
wenn ihre Kenntnis zur Erfüllung der Aufgaben der verantwortlichen
kirchlichen Stelle erforderlich ist.
(2) Personenbezogene Daten sind bei der betroffenen Person zu
erheben. Ohne ihre Mitwirkung dürfen sie nur erhoben werden, wenn
1. eine kirchliche oder staatliche Rechtsvorschrift dies
vorsieht, zwingend voraussetzt oder
2. die Wahrnehmung des kirchlichen Auftrages die Erhebung
erfordert und keine Anhaltspunkte dafür bestehen, dass überwiegende
schutzwürdige Interessen verletzt werden, sofern
a) die zu erfüllende Aufgabe ihrer Art nach eine Erhebung
bei anderen Personen oder kirchlichen Stellen erforderlich macht oder
b) die Erhebung bei der betroffenen Person einen
unverhältnismäßigen Aufwand erforderte oder
c) die betroffene Person einer durch Rechtsvorschrift
festgelegten Auskunftspflicht nicht nachgekommen und über die beabsichtigte
Erhebung der Daten unterrichtet worden ist.
(3) Werden personenbezogene Daten bei der betroffenen Person
erhoben, so ist sie auf Verlangen über den Erhebungszweck, über die
Rechtsvorschrift, die zur Auskunft verpflichtet, und über die Folgen der
Verweigerung von Angaben aufzuklären.
(4) Werden personenbezogene Daten statt bei der betroffenen
Person bei einer nicht-kirchlichen oder nicht-öffentlichen Stelle erhoben,
so ist die Stelle auf die Rechtsvorschrift, die zur Auskunft verpflichtet, sonst
auf die Freiwilligkeit ihrer Angaben hinzuweisen.
(5) Das Erheben besonderer Arten personenbezogener Daten nach
§ 2 Abs. 11 ist nur zulässig, soweit
1. eine Rechtsvorschrift dies vorsieht,
2. der Betroffene nach Maßgabe des § 3a Abs. 3
eingewilligt hat,
3. dies zum Schutze lebenswichtiger Interessen der betroffenen
Person oder Dritter erforderlich ist, sofern die betroffene Person aus
physischen oder rechtlichen Gründen außerstande ist, ihre
Einwilligung zu geben,
4. es sich um Daten handelt, die die betroffene Person
offenkundig öffentlich gemacht hat,
5. Grund zu der Annahme besteht, dass andernfalls die
Wahrnehmung des Auftrages der Kirche oder die Glaubwürdigkeit ihres
Dienstes ernsthaft gefährdet würde,
6. dies zum Zweck der Gesundheitsvorsorge, der medizinischen
Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die
Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser
Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die
einer entsprechenden Geheimhaltungspflicht unterliegen, oder
7. dies zur Durchführung wissenschaftlicher Forschung
erforderlich ist, das wissenschaftliche Interesse an der Durchführung des
Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der
Erhebung erheblich überwiegt und der Zweck der Forschung auf andere Weise
nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden
kann.
§ 5
Datenspeicherung, -veränderung und
-nutzung
(1) Das Speichern, Verändern oder Nutzen
personenbezogener Daten ist zulässig, wenn es zur Erfüllung der in der
Zuständigkeit der verantwortlichen kirchlichen Stelle liegenden Aufgabe
erforderlich ist und es für die Zwecke erfolgt, für die die Daten
erhoben worden sind. Ist keine Erhebung vorausgegangen, dürfen die Daten
nur für die Zwecke geändert oder genutzt werden, für die sie
gespeichert worden sind.
(2) Das Speichern, Verändern oder Nutzen für andere
Zwecke ist nur zulässig, wenn
1. eine kirchliche Rechtsvorschrift dies vorsieht oder
zwingend voraussetzt,
2. eine staatliche Rechtsvorschrift dies vorsieht und
kirchliche Interessen nicht entgegenstehen,
3. die betroffene Person eingewilligt hat,
4. offensichtlich ist, dass es im Interesse der betroffenen
Person liegt, und kein Grund zu der Annahme besteht, dass sie in Kenntnis des
anderen Zweckes ihre Einwilligung verweigern würde,
5. Angaben der betroffenen Person überprüft werden
müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit
bestehen,
6. die Daten aus allgemein zugänglichen Quellen entnommen
werden können oder die verantwortliche kirchliche Stelle sie
veröffentlichen dürfte, es sei denn, dass das schutzwürdige
Interesse der betroffenen Person an dem Ausschluss der Zweckänderung
offensichtlich überwiegt,
7. Grund zu der Annahme besteht, dass andernfalls die
Wahrnehmung des Auftrages der Kirche gefährdet würde,
8. es zur Abwehr einer schwerwiegenden Beeinträchtigung
der Rechte einer anderen Person erforderlich ist oder
9. es zur Durchführung wissenschaftlicher Forschung
erforderlich ist, das wissenschaftliche Interesse an der Durchführung des
Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der
Zweckänderung erheblich überwiegt und der Zweck der Forschung auf
andere Weise nicht oder nur mit unverhältnismäßigem Aufwand
erreicht werden kann.
(3) Eine Verarbeitung oder Nutzung für andere Zwecke
liegt nicht vor, wenn sie der Wahrnehmung von Visitations-, Aufsichts- und
Kontrollbefugnissen, der Rechnungsprüfung, der Revision oder der
Durchführung von Organisationsuntersuchungen für die verantwortliche
kirchliche Stelle dient. Das gilt auch für die Verarbeitung oder Nutzung zu
Ausbildungs- und Prüfungszwecken durch die verantwortliche kirchliche
Stelle, soweit nicht überwiegende schutzwürdige Interessen der
betroffenen Person entgegenstehen.
(4) Personenbezogenen Daten, die ausschließlich zu
Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung
eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage
gespeichert werden, dürfen nur für diese Zwecke verwendet
werden.
(5) Das Speichern, Verändern oder Nutzen von besonderen
Arten personenbezogener Daten nach § 2 Abs. 11 für andere Zwecke ist
nur zulässig, wenn
1. die Voraussetzungen vorliegen, die eine Erhebung nach
§ 4 Abs. 5 Nr. 1 bis 5 zuließen oder
2. dies zur Durchführung wissenschaftlicher Forschung
erforderlich ist, das kirchliche Interesse an der Durchführung des
Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der
Zweckänderung erheblich überwiegt und der Zweck der Forschung auf
andere Weise nicht oder nur mit unverhältnismäßigem Aufwand
erreicht werden kann. Bei dieser Abwägung ist im Rahmen des kirchlichen
Interesses das wissenschaftliche Interesse an dem Forschungsvorhaben besonders
zu berücksichtigen.
§ 6
Datengeheimnis
Den mit dem Umgang von Daten betrauten Personen ist untersagt,
personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen
(Datengeheimnis). Diese Personen sind - soweit sie nicht aufgrund anderer
kirchlicher Bestimmungen zur Verschwiegenheit verpflichtet wurden - bei der
Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das
Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.
§ 7
Unabdingbare Rechte der betroffenen Person
(1) Die Rechte der betroffenen Person auf Auskunft (§ 15)
und auf Berichtigung, Löschung oder Sperrung von Daten (§ 16)
können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt
werden.
(2) Sind die Daten der betroffenen Person automatisiert in der
Weise gespeichert, dass mehrere Stellen speicherungsberechtigt sind, und ist die
betroffene Person nicht in der Lage, die speichernde Stelle festzustellen,
welche Stelle die Daten gespeichert hat, so kann sie sich an jede dieser Stellen
wenden. Diese ist verpflichtet, das Vorbringen der betroffenen Person an die
Stelle, die die Daten gespeichert hat, weiterzuleiten. Die betroffene Person ist
über die Weiterleitung und jene Stelle zu unterrichten.
§ 7 a
Beobachtung öffentlich zugänglicher Räume
mit optisch-elektronischen Einrichtungen
(1) Die Beobachtung öffentlich zugänglicher
Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist
nur zulässig, soweit dies zur Wahrnehmung berechtigter Interessen für
konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen,
dass schutzwürdige Interessen der betroffenen Personen überwiegen.
(2) Der Umstand der Beobachtung ist durch geeignete
Maßnahmen erkennbar zu machen, soweit dies nicht offensichtlich ist.
(3) Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen
Daten ist nur zulässig, soweit und solange dies zum Erreichen des
verfolgten Zweckes erforderlich ist und keine Anhaltspunkte bestehen, dass
schutzwürdige Interessen der betroffenen Personen überwiegen.
(4) Die Daten sind unverzüglich zu löschen, wenn sie
zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige
Interessen der betroffenen Personen einer weiteren Speicherung entgegenstehen.
§ 7 b
Mobile personenbezogene Speicher- und Bearbeitungsmedien
(1) Die Stelle, die ein mobiles personenbezogenes Speicher-
und Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten
Verarbeitung personenbezogener Daten, das ganz oder teilweise auf einem solchen
Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereit
hält, muss die betroffene Person
1. über ihre Identität und Anschrift,
2. in allgemein verständlicher Form über die
Funktionsweise des Mediums einschließlich der Art der zu verarbeitenden
personenbezogenen Daten,
3. darüber, wie sie ihre Rechte nach den §§ 15,
15 a und 16 ausüben kann, und
4. über die bei Verlust oder Zerstörung des Mediums
zu treffenden Maßnahmen unterrichten, soweit sie nicht bereits Kenntnis
erlangt hat.
(2) Die nach Absatz 1 verpflichtete Stelle hat dafür
Sorge zu tragen, dass die zur Wahrnehmung des Auskunftsrechts erforderlichen
Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen
Gebrauch zur Verfügung stehen.
(3) Kommunikationsvorgänge, die auf dem Medium eine
Datenverarbeitung auslösen, müssen für die betroffene Person
eindeutig erkennbar sein.
§ 8
Schadensersatz durch kirchliche Stellen
(1) Fügt eine kirchliche Stelle der betroffenen Person
durch eine nach den Vorschriften dieses Kirchengesetzes oder nach anderen
kirchlichen Vorschriften über den Datenschutz unzulässige oder
unrichtige automatisierte Verarbeitung ihrer personenbezogenen Daten einen
Schaden zu, ist sie der betroffenen Person zum Ersatz des daraus entstehenden
Schadens verpflichtet. Für die Verarbeitung der von staatlichen oder
kommunalen Stellen sowie von Sozialleistungsträgern übermittelten
personenbezogenen Daten durch kirchliche Stellen, die nicht privatrechtlich
organisiert sind, gilt diese Verpflichtung zum Schadensersatz unabhängig
von einem Verschulden; bei einer schweren Verletzung des
Persönlichkeitsrechts ist der betroffenen Person der Schaden, der nicht
Vermögensschaden ist, angemessen in Geld zu ersetzen.
(2) Die Ansprüche nach Absatz 1 Satz 2 sind insgesamt bis
zu einem Betrag in Höhe von 125.000,- Euro begrenzt. Ist aufgrund desselben
Ereignisses an mehrere Personen Schadensersatz zu leisten, der insgesamt den
Höchstbetrag von 250.000 Deutsche Mark übersteigt, so verringern sich
die einzelnen Schadensersatzleistungen in dem Verhältnis, in dem ihr
Gesamtbetrag zum Höchstbetrag steht.
(3) Sind bei einer automatisierten Verarbeitung mehrere
Stellen speicherungsberechtigt und ist die geschädigte Person nicht in der
Lage, die speichernde Stelle festzustellen, so haftet jede dieser
Stellen.
(4) Mehrere Ersatzpflichtige haften als Gesamtschuldner im
Sinne des Bürgerlichen Gesetzbuchs.
(5) Auf das Mitverschulden der betroffenen Person ist §
254 und auf die Verjährung sind die §§ 199, 852 des
Bürgerlichen Gesetzbuches entsprechend anzuwenden.
(6) Macht eine betroffene Person gegenüber einer
kirchlichen Stelle einen Anspruch auf Schadensersatz wegen einer nach diesem
Kirchengesetz oder anderen Vorschriften über den Datenschutz
unzulässigen oder unrichtigen automatisierten Datenverarbeitung geltend und
ist streitig, ob der Schaden die Folge eines von der verantwortlichen Stelle zu
vertretenden Umstandes ist, so trifft die Beweislast die verantwortliche
Stelle.
(7) Vorschriften, nach denen Ersatzpflichtige in weiterem
Umfang als nach dieser Vorschrift haften oder nach denen andere für den
Schaden verantwortlich sind, bleiben unberührt.
§ 9
Technische und organisatorische
Maßnahmen
Kirchliche Stellen, die selbst oder im Auftrag
personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen
und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die
Ausführung der Vorschriften dieses Kirchengesetzes, insbesondere die in der
Anlage zu diesem Kirchengesetz genannten Anforderungen, zu gewährleisten.
Erforderlich sind Maßnahmen, deren Aufwand in einem angemessenen
Verhältnis zu dem angestrebten Schutzzweck steht.
§ 9 a
Datenschutzaudit
Zur Verbesserung des Datenschutzes und der Datensicherheit
können Anbieter von Datenverarbeitungssystemen und -programmen und
datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen
Einrichtungen durch geeignete Stellen prüfen und bewerten lassen sowie das
Ergebnis der Prüfung veröffentlichen. Näheres kann der Rat der
EKD durch Rechtsverordnung regeln.
§ 10
Einrichtung automatisierter Abrufverfahren
(1) Die Einrichtung eines automatisierten Verfahrens, das die
Übermittlung personenbezogener Daten durch Abruf ermöglicht, ist
zulässig, soweit dieses Verfahren unter Berücksichtigung der
schutzwürdigen Interessen der betroffenen Person und des kirchlichen
Auftrags der beteiligten Stellen angemessen ist. Die Vorschriften über die
Zulässigkeit des einzelnen Abrufs bleiben unberührt.
(2) Die beteiligten kirchlichen Stellen haben zu
gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert
werden kann. Hierzu haben sie schriftlich festzulegen:
1. Anlass und Zweck des Abrufverfahrens,
2. Dritte, an die übermittelt wird,
3. Art der zu übermittelnden Daten,
4. nach § 9 erforderliche technische und organisatorische
Maßnahmen.
(3) Über die Einrichtung von Abrufverfahren ist der oder
die jeweils zuständige Datenschutzbeauftragte sowie der oder die
Betriebsbeauftragte für den Datenschutz unter Mitteilung der Festlegung
nach Absatz 2 zu unterrichten. Die Errichtung von automatisierten Abrufverfahren
mit nicht-kirchlichen Stellen kann von der Genehmigung einer anderen kirchlichen
Stelle abhängig gemacht werden.
(4) Die Verantwortung für die Zulässigkeit des
einzelnen Abrufs trägt die datenempfangende Stelle. Die speichernde
kirchliche Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu
Anlass besteht. Die speichernde kirchliche Stelle hat zu gewährleisten,
dass die Übermittlung von personenbezogenen Daten zumindest durch geeignete
Stichprobenverfahren festgestellt und überprüft werden kann. Wird ein
Gesamtbestand von personenbezogenen Daten abgerufen oder übermittelt
(Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung
und Überprüfung nur auf die Zulässigkeit des Abrufs oder der
Übermittlung des Gesamtbestandes.
(5) Die Absätze 1 bis 4 gelten nicht für den Abruf
aus Datenbeständen, die jedermann, sei es ohne oder nach besonderer
Zulassung, zur Benutzung offen stehen.
§ 11
Erhebung, Verarbeitung oder Nutzung von personenbezogenen
Daten im Auftrag
(1) Werden personenbezogene Daten im Auftrag durch andere
Stellen oder Personen erhoben, verarbeitet oder genutzt, ist die beauftragende
Stelle für die Einhaltung der Vorschriften dieses Kirchengesetzes und
anderer Vorschriften über den Datenschutz verantwortlich. Die in den
§§ 7 und 8 genannten Rechte sind ihr gegenüber geltend zu
machen.
(2) Die beauftragte Stelle oder Person ist unter besonderer
Berücksichtigung der Eignung der von ihr getroffenen technischen und
organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag
ist schriftlich zu erteilen, wobei die Datenerhebung, -verarbeitung oder
-nutzung, die technischen und organisatorischen Maßnahmen und etwaige
Unterauftragsverhältnisse festzulegen sind. Vor einer Beauftragung ist die
Genehmigung der nach kirchlichem Recht zuständigen Stelle einzuholen. Die
beauftragende Stelle soll sich von der Einhaltung der bei der beauftragten
Stelle getroffenen technischen und organisatorischen Maßnahmen
überzeugen.
(3) Die beauftragte Stelle oder Person darf die Daten nur im
Rahmen der Weisungen der beauftragenden Stelle erheben, verarbeiten oder nutzen.
Ist sie der Ansicht, dass eine Weisung der beauftragenden Stelle gegen dieses
Kirchengesetz oder andere Vorschriften über den Datenschutz
verstößt, hat sie die beauftragende Stelle unverzüglich darauf
hinzuweisen.
(4) Sofern die kirchlichen Datenschutzbestimmungen auf die
beauftragte Stelle oder Person keine Anwendung finden, ist die beauftragende
Stelle verpflichtet, sicherzustellen, dass die beauftragte Stelle diese
Bestimmungen beachtet und sich der Kontrolle kirchlicher Datenschutzbeauftragter
unterwirft.
(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die
Prüfung oder Wartung automatisierter Verfahren oder von
Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und
dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden
kann.
§ 12
Datenübermittlung an kirchliche oder sonstige
öffentliche Stellen
(1) Die Übereinstimmung von personenbezogenen Daten an
kirchliche Stellen ist zulässig, wenn
1. sie zur Erfüllung der in der Zuständigkeit der
übermittelnden oder der empfangenden kirchlichen Stelle liegenden Aufgaben
erforderlich ist und
2. die Zulässigkeitsvoraussetzungen des § 5
vorliegen.
(2) Die Verantwortung für die Zulässigkeit der
Übermittlung trägt die übermittelnde kirchliche Stelle. Erfolgt
die Übermittlung auf Ersuchen der empfangenden kirchlichen Stelle,
trägt diese die Verantwortung. In diesem Falle prüft die
übermittelnde kirchliche Stelle nur, ob das Übermittlungsersuchen im
Rahmen der Aufgaben der datenempfangenden kirchlichen Stelle liegt, es sei denn,
dass besonderer Anlass zur Prüfung der Zulässigkeit der
Übermittlung besteht. § 10 Abs. 4 bleibt unberührt.
(3) Die datenempfangende kirchliche Stelle darf die
übermittelten Daten für den Zweck verarbeiten oder nutzen, zu dessen
Erfüllung sie ihr übermittelt werden. Eine Verarbeitung oder Nutzung
für andere Zwecke ist nur unter den Voraussetzungen des § 5 Abs. 2
zulässig.
(4) Sind mit personenbezogenen Daten, die nach Absatz 1
übermittelt werden dürfen, weitere personenbezogene Daten der
betroffenen oder einer anderen Person in Akten so verbunden, dass eine Trennung
nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die
Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte
Interessen der betroffenen oder einer anderen Person an deren Geheimhaltung
offensichtlich überwiegen; eine Nutzung dieser Daten ist
unzulässig.
(5) Absatz 4 gilt entsprechend, wenn personenbezogene Daten
innerhalb einer kirchlichen Stelle weitergegeben werden.
(6) Personenbezogene Daten dürfen an Stellen anderer
öffentlich-rechtlicher Religionsgesellschaften übermittelt werden,
wenn das zur Erfüllung der kirchlichen Aufgaben erforderlich ist, die der
übermittelnden oder der empfangenden Stelle obliegen, und sofern
sichergestellt ist, dass bei der empfangenden Stelle ausreichende
Datenschutzmaßnahmen getroffen werden, und nicht offensichtlich
berechtigte Interessen der betroffenen Person entgegenstehen.
(7) Personenbezogene Daten dürfen an Behörden und
sonstige öffentliche Stellen des Bundes, der Länder und der Gemeinden
und der sonstigen Aufsicht des Bundes oder eines Landes unterstehenden
juristischen Personen des öffentlichen Rechts übermittelt werden, wenn
dies eine Rechtsvorschrift zulässt oder dies zur Erfüllung der
kirchlichen Aufgaben erforderlich ist, die der übermittelnden Stelle
obliegen, und nicht offensichtlich berechtigte Interessen der betroffenen Person
entgegenstehen.
§ 13
Datenübermittlung an sonstige Stellen
(1) Die Übermittlung von personenbezogenen Daten an
sonstige Stellen oder Personen ist zulässig, wenn
1. sie zur Erfüllung der in der Zuständigkeit der
übermittelnden kirchlichen Stelle liegenden Aufgaben erforderlich ist und
die Voraussetzungen vorliegen, die eine Nutzung nach § 5 zuließen,
oder
2. eine Rechtsvorschrift dies zulässt oder
3. die datenempfangenden Stellen oder Personen ein
berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten
glaubhaft darlegen und die betroffene Person kein schutzwürdiges Interesse
an dem Ausschluss der Übermittlung hat,
es sei denn, dass Grund zu der Annahme besteht, dass durch die
Übermittlung die Wahrnehmung des Auftrags der Kirche gefährdet
würde.
(2) Das Übermitteln von besonderen Arten
personenbezogener Daten nach § 2 Abs. 11 ist abweichend von Satz 1 Nr. 3
nur zulässig, soweit dies zur Geltendmachung, Ausübung oder
Verteidigung rechtlicher Ansprüche erforderlich ist.
(3) Die Verantwortung für die Zulässigkeit der
Übermittlung trägt die übermittelnde kirchliche Stelle; durch
Kirchengesetz oder durch kirchliche Rechtsverordnung kann die Übermittlung
von der Genehmigung einer anderen kirchlichen Stelle abhängig gemacht
werden.
(4) In den Fällen der Übermittlung nach Absatz 1 Nr.
3 unterrichtet die übermittelnde kirchliche Stelle die betroffene Person
von der Übermittlung ihrer Daten. Dies gilt nicht, wenn damit zu rechnen
ist, dass sie davon auf andere Weise Kenntnis erlangt oder die Wahrnehmung des
Auftrages der Kirche gefährdet würde.
(4) Die datenempfangenden Stellen und Personen dürfen die
übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu
dessen Erfüllung sie ihnen übermittelt werden.
Die übermittelnde Stelle hat sie darauf zu
verpflichten.
§ 14
Durchführung des Datenschutzes
(1) Die Evangelische Kirche in Deutschland und die
Gliedkirchen sind jeweils für ihren Bereich für die Einhaltung eines
ausreichenden Datenschutzes verantwortlich.
(2) Sie haben insbesondere sicherzustellen, dass von den
kirchlichen Stellen je nach ihrem Zuständigkeitsbereich eine Übersicht
geführt wird über
1. Name der verantwortlichen Stelle
2. die Bezeichnung und die Art der
Datenverarbeitungsprogramme,
3. deren Zweckbestimmung,
4. die Art der gespeicherten Daten,
5. den betroffenen Personenkreis,
6. die Art der regelmäßig zu übermittelnden
Daten und die datenempfangenden Stellen,
7. die Regelfristen für die Löschung der
Daten,
8. zugriffsberechtigte Personengruppen oder Personen, die
allein zugriffsberechtigt sind,
9. die Rechtsgrundlage der Verarbeitung.
Sie haben ferner dafür zu sorgen, dass die
ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren
Hilfe personenbezogene Daten verarbeitet werden sollen, überwacht
wird.
(3) Absatz 2 Satz 1 gilt nicht für
1. Dateien, die nur vorübergehend vorgehalten und
innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden und
2. automatisierte Verarbeitungen, die allgemeinen
Verwaltungszwecken dienen, einschließlich deren Datensicherung.
(4) Für automatisierte Verarbeitungen, die in gleicher
oder ähnlicher Weise mehrfach geführt werden, können die
Festlegungen zusammengefasst werden.
§ 15
Auskunft an die betroffene Person
(1) Der betroffenen Person ist auf Antrag Auskunft zu erteilen
über
1. die zu ihr gespeicherten Daten, auch soweit sie sich auf
Herkunft oder empfangende Stellen dieser Daten beziehen,
2. die Empfänger oder Kategorien von Empfängern, an
die die Daten weitergegeben werden, und
3. den Zweck der Speicherung.
(2) In dem Antrag soll die Art der personenbezogenen Daten,
über die Auskunft erteilt werden soll, näher bezeichnet werden. Sind
die personenbezogenen Daten in Akten gespeichert, wird die Auskunft nur erteilt,
soweit die betroffene Person Angaben macht, die das Auffinden der Daten
ermöglichen, und der für die Erteilung der Auskunft erforderliche
Aufwand nicht außer Verhältnis zu dem geltend gemachten
Informationsinteresse steht. Die verantwortliche Stelle bestimmt das Verfahren,
insbesondere die Form der Auskunftserteilung, nach pflichtgemäßem
Ermessen.
(3) Auskunft kann nicht erteilt werden, soweit die Daten oder
die Tatsache ihrer Speicherung aufgrund einer speziellen Rechtsvorschrift oder
wegen überwiegender berechtigter Interessen Dritter geheim gehalten werden
müssen und das Interesse der betroffenen Person an der Auskunftserteilung
zurücktreten muss oder wenn durch die Auskunft die Wahrnehmung des Auftrags
der Kirche gefährdet wird.
(4) Die Auskunft ist unentgeltlich.
§ 15 a
Benachrichtigung
Werden personenbezogene Daten ohne Kenntnis der betroffenen
Person erhoben, so ist diese darüber zu unterrichten. Dies gilt nicht, wenn
1. die betroffene Person davon auf andere Weise Kenntnis
erlangt hat,
2. die Unterrichtung einen unverhältnismäßigen
Aufwand erfordert oder
3. die Speicherung oder Übermittlung der erhobenen Daten
durch Rechtsvorschrift ausdrücklich vorgesehen ist.
Die betroffene Person ist auch bei regelmäßigen
Übermittlungen von Daten über die Empfänger oder Kategorien von
Empfängern von Daten zu unterrichten, soweit sie nicht mit der
Übermittlung an diese rechnen muss.
§ 16
Berichtigung, Löschung und Sperrung von Daten;
Widerspruchsrecht
(1) Personenbezogene Daten sind zu berichtigen, wenn sie
unrichtig sind. Wird festgestellt, dass personenbezogene Daten, die weder
automatisiert verarbeitet noch in nicht automatisierten Dateien gespeichert
sind, unrichtig sind, oder wird ihre Richtigkeit von der betroffenen Person
bestritten, so ist dies in geeigneter Weise festzuhalten.
(2) Personenbezogene Daten, die automatisiert verarbeitet oder
in nicht automatisierten Dateien gespeichert sind, sind zu löschen,
wenn
1. ihre Speicherung unzulässig ist oder
2. ihre Kenntnis für die verantwortliche Stelle zur
Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr
erforderlich ist.
(3) An die Stelle einer Löschung tritt eine Sperrung,
soweit
1. einer Löschung Rechtsvorschriften,
satzungsmäßige oder vertragliche Aufbewahrungsfristen
entgegenstehen,
2. Grund zu der Annahme besteht, dass durch eine Löschung
schutzwürdige Interessen der betroffenen Personen beeinträchtigt
würden, oder
3. eine Löschung wegen der besonderen Art der Speicherung
nicht oder nur mit unverhältnismäßig hohem Aufwand möglich
ist.
(4) Personenbezogene Daten, die automatisiert verarbeitet oder
in nicht automatisierten Dateien gespeichert sind, sind ferner zu sperren,
soweit ihre Richtigkeit von der betroffenen Person bestritten wird und sich
weder die Richtigkeit noch die Unrichtigkeit feststellen lässt.
(4a) Personenbezogene Daten dürfen nicht für eine
automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien
erhoben, verarbeitet oder genutzt werden, soweit die betroffene Person dem bei
der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das
schutzwürdige Interesse der betroffenen Person wegen ihrer besonderen
persönlichen Situation das Interesse der verantwortlichen Stelle an dieser
Erhebung, Verarbeitung oder Nutzung überwiegt. Satz 1 gilt nicht, wenn eine
Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet.
(5) Personenbezogene Daten, die weder automatisiert
verarbeitet noch in einer nicht automatisierten Datei gespeichert sind, sind zu
sperren, wenn die kirchliche Stelle im Einzelfall feststellt, dass ohne die
Sperrung schutzwürdige Interessen der betroffenen Person
beeinträchtigt würden und die Daten für die
Aufgabenerfüllung nicht mehr erforderlich sind.
(6) Gesperrte Daten dürfen ohne Einwilligung der
betroffenen Person nur übermittelt oder genutzt werden, wenn
1. es zu wissenschaftlichen Zwecken, zur Behebung einer
bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der
verantwortlichen kirchlichen Stelle oder Dritter liegenden Gründen
unerlässlich ist und
2. die Daten hierfür übermittelt oder genutzt werden
dürfen, wenn sie nicht gesperrt wären,
und die Wahrnehmung des kirchlichen Auftrags nicht
gefährdet wird.
(7) Von der Berichtigung unrichtiger Daten, der Sperrung
bestrittener Daten sowie der Löschung oder Sperrung wegen
Unzulässigkeit der Speicherung sind die kirchlichen Stellen zu
verständigen, denen im Rahmen einer regelmäßigen
Datenübermittlung diese Daten zur Speicherung weitergegeben werden, wenn
dies zur Wahrung schutzwürdiger Interessen der betroffenen Person
erforderlich ist.
(8) Vorschriften der kirchlichen Stellen, die das Archivwesen
betreffen, bleiben unberührt.
§ 17
Anrufungen der Beauftragten für den
Datenschutz
Jede Person kann sich an den zuständigen Beauftragten
oder die zuständige Beauftragte für den Datenschutz wenden, wenn sie
der Ansicht ist, bei der Erhebung, Verarbeitung oder Nutzung ihrer
personenbezogenen Daten durch kirchliche Stellen in ihren Rechten verletzt
worden zu sein. Für die Erhebung, Verarbeitung oder Nutzung von
personenbezogenen Daten durch kirchliche Gerichte gilt dies nur, soweit diese in
eigenen Angelegenheiten als Verwaltung tätig werden.
§ 18
Beauftragte für den Datenschutz
(1) Die Evangelische Kirche in Deutschland und die
Gliedkirchen bestellen für ihren Bereich Beauftragte für den
Datenschutz. Die Gliedkirchen können bestimmen, dass für ihren
diakonischen Bereich besondere Beauftragte für den Datenschutz bestellt
werden.
(2) Zu Beauftragten für den Datenschutz dürfen nur
Personen bestellt werden, welche die zur Erfüllung ihrer Aufgaben
erforderliche Fachkunde und Zuverlässigkeit besitzen. Die beauftragte
Person ist auf die gewissenhafte Erfüllung ihrer Amtspflichten und die
Einhaltung der kirchlichen Ordnungen zu verpflichten.
(3) Beauftragte für den Datenschutz sind in Ausübung
ihres Amtes an Weisungen nicht gebunden und nur dem kirchlichen Recht
unterworfen. Der oder die Beauftragte für den Datenschutz bei der
Evangelischen Kirche in Deutschland untersteht der Rechtsaufsicht des Rates der
Evangelischen Kirche in Deutschland und der Dienstaufsicht des Präsidenten
oder der Präsidentin des Kirchenamtes. Die Gliedkirchen regeln die
Rechtsstellung der Beauftragten für den Datenschutz jeweils für ihren
Bereich.
(4) Beauftragte für den Datenschutz erhalten die für
die Erfüllung ihrer Aufgaben notwendige Personal- und
Sachausstattung.
(5) Für Beauftragte für den Datenschutz sollen
ständige Vertreter oder Vertreterinnen bestellt werden. Die Beauftragten
für den Datenschutz sollen dazu gehört werden.
(6) Die für den Zuständigkeitsbereich der
Beauftragten für den Datenschutz geltenden Vorschriften des
Kirchenbeamtenrechts über die Annahme von Geschenken und über die
Verschwiegenheitspflicht gelten entsprechend.
(7) Beauftragte für den Datenschutz sind verpflichtet,
über die ihnen amtlich bekannt gewordenen Angelegenheiten Verschwiegenheit
zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder
über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner
Geheimhaltung bedürfen. Die Verpflichtung besteht auch nach Beendigung des
Dienst- oder Arbeitsverhältnisses. Beauftragte für den Datenschutz
dürfen, auch wenn sie nicht mehr im Amt sind, über Angelegenheiten,
die der Verschwiegenheit unterliegen, ohne Genehmigung ihrer Dienstherren weder
vor Gericht noch außergerichtlich aussagen oder Erklärungen
abgeben.
§ 19
Aufgaben der Beauftragten für den
Datenschutz
(1) Beauftragte für den Datenschutz wachen über die
Einhaltung der Vorschriften über den Datenschutz.
(2) Werden personenbezogene Daten in Akten verarbeitet oder
genutzt, prüfen sie die Erhebung, Verarbeitung oder Nutzung, wenn
betroffene Personen ihnen hinreichende Anhaltspunkte dafür darlegen, dass
sie dabei in ihren Rechten verletzt worden sind, oder den Beauftragten für
den Datenschutz hinreichende Anhaltspunkte für eine derartige Verletzung
vorliegen.
(3) Beauftragte für den Datenschutz können
Empfehlungen zur Verbesserung des Datenschutzes geben und kirchliche Stellen in
Fragen des Datenschutzes beraten.
(4) Auf Anforderung der kirchenleitenden Organe haben die
Beauftragten für den Datenschutz Gutachten zu erstatten und Berichte zu
geben.
(5) Die in § 1 bezeichneten kirchlichen Stellen sind
verpflichtet, die Beauftragten für den Datenschutz bei der Erfüllung
ihrer Aufgaben zu unterstützen. Auf Verlangen ist ihnen Auskunft sowie
Einsicht in alle Unterlagen und Akten über die Erhebung, Verarbeitung und
Nutzung personenbezogener Daten zu geben, insbesondere in die gespeicherten
Daten und in die Datenverarbeitungsprogramme; ihnen ist jederzeit Zutritt zu
allen Diensträumen zu gewähren.
(6) Kirchliche Gerichte unterliegen der Prüfung der
Beauftragten für den Datenschutz nur, soweit sie in eigenen Angelegenheiten
als Verwaltung tätig werden.
(7) Der Prüfung durch die Beauftragten für den
Datenschutz unterliegen nicht:
1. personenbezogene Daten, die dem Beicht- und
Seelsorgegeheimnis unterliegen,
2. personenbezogene Daten, die dem Post- und
Fernmeldegeheimnis unterliegen,
3. personenbezogene Daten, die dem Arztgeheimnis
unterliegen,
4. personenbezogene Daten in Personalakten,
wenn die betroffene Person der Prüfung der auf sie
bezogenen Daten im Einzelfall zulässigerweise gegenüber den
Beauftragten für den Datenschutz widerspricht.
(8) Der oder die Beauftragte für den Datenschutz teilt
das Ergebnis der Prüfung der zuständigen kirchlichen Stelle mit. Damit
können Vorschläge zur Verbesserung des Datenschutzes, insbesondere zur
Beseitigung von festgestellten Mängeln bei der Verarbeitung oder Nutzung
personenbezogener Daten, verbunden sein. § 20 bleibt
unberührt.
(9) Die kirchlichen Beauftragten für den Datenschutz
sollen zusammenarbeiten und mit den staatlichen und kommunalen Beauftragten
Erfahrungen austauschen.
§ 20
Beanstandungsrecht der Beauftragten für den
Datenschutz
(1) Stellen Beauftragte für den Datenschutz
Verstöße gegen die Datenschutzbestimmungen oder sonstige Mängel
bei der Verwendung personenbezogener Daten fest, so beanstanden sie dies
gegenüber den zuständigen kirchlichen Stellen und fordern zur
Stellungnahme innerhalb einer von ihnen zu bestimmenden Frist auf.
(2) Der oder die Beauftragte für den Datenschutz kann von
einer Beanstandung absehen oder auf eine Stellungnahme verzichten, insbesondere
wenn es sich um unerhebliche oder inzwischen beseitigte Mängel
handelt.
(3) Mit der Beanstandung kann der oder die Beauftragte
für den Datenschutz Vorschläge zur Beseitigung der Mängel und zur
sonstigen Verbesserung des Datenschutzes verbinden. Wird der Beanstandung nicht
abgeholfen, so ist der oder die Beauftragte für den Datenschutz befugt,
sich an das jeweilige kirchenleitende Organ zu wenden.
(4) Die gemäß Absatz 1 abzugebende Stellungnahme
soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der
Beanstandung von den kirchlichen Stellen getroffen worden sind.
§ 21
Meldepflicht
(1) Die kirchlichen Stellen sind verpflichtet, Verfahren
automatisierter Verarbeitung vor Inbetriebnahme dem oder der zuständigen
Beauftragten für den Datenschutz zu melden.
(2) Die Meldung hat die in § 14 Abs. 2 Nummer 1 bis 9
aufgeführten Angaben zu enthalten. Sie kann von jeder Person eingesehen
werden, die ein berechtigtes Interesse nachweist.
(3) Die Meldepflicht entfällt, wenn die verantwortliche
Stelle einen Beauftragten oder eine Beauftragte für den Datenschutz nach
§ 22 bestellt hat oder bei ihr höchstens sechs Personen mit der
Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betraut
sind.
§ 22
Betriebsbeauftragte für den Datenschutz
(1) Bei kirchlichen Werken und Einrichtungen mit eigener
Rechtspersönlichkeit sollen Betriebsbeauftragte, bei den übrigen
kirchlichen Stellen sollen örtlich Beauftragte für den Datenschutz
bestellt werden. Die Bestellung kann sich auf mehrere Werke, Einrichtungen und
kirchliche Körperschaften erstrecken und soll erfolgen, wenn mehr als sechs
Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten
betraut sind. Die Vertretung ist zu regeln.
(2) Zu Beauftragten nach Absatz 1 dürfen nur Personen
bestellt werden, die die zur Erfüllung ihrer Aufgaben erforderliche
Fachkunde und Zuverlässigkeit besitzen.
(3) Die Beauftragten nach Absatz 1 sind den gesetzlich oder
verfassungsmäßig berufenen Organen der Werke, Einrichtungen oder
kirchlichen Körperschaften unmittelbar zu unterstellen. Sie sind im Rahmen
ihrer Aufgaben weisungsfrei. Sie dürfen wegen dieser Tätigkeit nicht
benachteiligt werden. Sie sind bei der Erfüllung ihrer Aufgaben zu
unterstützen. § 18 Abs. 7 gilt entsprechend.
(4) Die Beauftragten nach Absatz 1 wirken auf die Einhaltung
der Bestimmungen für den Datenschutz hin und unterstützen die
kirchlichen Werke und Einrichtungen bei der Sicherstellung des in ihrer
Verantwortung liegenden Datenschutzes. Zu diesem Zweck können sie sich in
Zweifelsfällen an die für die Datenschutzkontrolle zuständige
Stelle wenden. Sie haben insbesondere
1. die ordnungsgemäße Anwendung der
Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet
werden sollen, zu überwachen;
2. die bei der Verarbeitung personenbezogener Daten
tätigen Personen durch geeignete Maßnahmen mit den Bestimmungen
über den Datenschutz, bezogen auf die besonderen Verhältnisse ihres
Aufgabenbereiches, vertraut zu machen.
(5) Zu Beauftragten nach Absatz 1 sollen diejenigen nicht
bestellt werden, die mit der Leitung der Datenverarbeitung beauftragt sind oder
denen die Aufsicht über die Einhaltung eines ausreichenden Datenschutzes
obliegt.
(6) Die Bestellung von Beauftragten nach Absatz 1 ist dem
Datenschutzbeauftragten und der nach dem jeweiligen Recht für die Aufsicht
zuständigen Stelle anzuzeigen.
§ 23
Zweckbindung bei personenbezogenen Daten, die einem
Berufs- oder besonderen Amtsgeheimnis unterliegen
(1) Personenbezogene Daten, die einem Berufs- oder besonderen
Amtsgeheimnis unterliegen und die von der zur Verschwiegenheit verpflichteten
Stelle in Ausübung ihrer Berufs- oder Amtspflicht zur Verfügung
gestellt worden sind, dürfen von der verantwortlichen Stelle nur für
den Zweck verarbeitet oder genutzt werden, für den sie ihr überlassen
worden sind. In die Übermittlung nach den §§ 12 und 13 muss die
zur Verschwiegenheit verpflichtete Stelle einwilligen.
(2) Für einen anderen Zweck dürfen die Daten nur
verarbeitet oder genutzt werden, wenn die Änderung des Zwecks durch
besonderes Gesetz zugelassen ist.
§ 24
Datenerhebung, -verarbeitung und -nutzung bei Dienst- und
Arbeitsverhältnissen
(1) Die kirchlichen Stellen dürfen Daten ihrer
Beschäftigten, Bewerber und Bewerberinnen nur erheben, verarbeiten oder
nutzen, soweit dies zur Eingehung, Durchführung, Beendigung oder Abwicklung
des Beschäftigungsverhältnisses oder zur Durchführung
organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch
zu Zwecken der Personalplanung und des Personaleinsatzes, erforderlich ist oder
eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienstvereinbarung dies
vorsieht.
(2) Eine Übermittlung der Daten von Beschäftigten an
Stellen außerhalb des kirchlichen Bereichs ist nur zulässig, wenn
kirchliche Interessen nicht entgegenstehen und
1. die empfangende Stelle ein überwiegendes rechtliches
Interesse darlegt,
2. Art oder Zielsetzung der dem oder der Beschäftigten
übertragenen Aufgaben die Übermittlung erfordert, oder
3. offensichtlich ist, dass die Übermittlung im Interesse
der betroffenen Person liegt und keine Anhaltspunkte vorliegen, dass sie in
Kenntnis des Übermittlungszwecks ihre Einwilligung nicht erteilen
würde.
(3) Die Übermittlung an künftige Dienstherren oder
Arbeitgeber und Arbeitgeberinnen ist nur mit Einwilligung der betroffenen Person
zulässig, es sei denn, dass eine Abordnung oder Versetzung vorbereitet
wird, die der Zustimmung des oder der Beschäftigten nicht bedarf.
(4) Verlangt die kirchliche Stelle zur Eingehung oder im
Rahmen eines Beschäftigungsverhältnisses medizinische oder
psychologische Untersuchungen und Tests, hat sie Anlass und Zweck der
Begutachtung möglichst tätigkeitsbezogen zu bezeichnen. Ergeben sich
keine medizinischen oder psychologischen Bedenken, darf die kirchliche Stelle
lediglich die Übermittlung des Ergebnisses der Begutachtung verlangen;
ergeben sich Bedenken, darf auch die Übermittlung der festgestellten
möglichst tätigkeitsbezogenen Risikofaktoren verlangt werden. Im
Übrigen ist eine Weiterverarbeitung der bei den Untersuchungen oder Tests
erhobenen Daten ohne schriftliche Einwilligung der betroffenen Person nur zu dem
Zweck zulässig, zu dem sie erhoben worden sind.
(5) Personenbezogene Daten, die vor der Eingehung eines
Beschäftigungsverhältnisses erhoben wurden, sind unverzüglich zu
löschen, sobald feststeht, dass ein Beschäftigungsverhältnis
nicht zustande kommt. Dies gilt nicht, soweit überwiegende berechtigte
Interessen der speichernden Stelle der Löschung entgegenstehen oder die
betroffene Person in die weitere Speicherung einwilligt. Nach Beendigung eines
Beschäftigungsverhältnisses sind personenbezogene Daten zu
löschen, soweit diese Daten nicht mehr benötigt werden. § 16
Absatz 3 gilt entsprechend.
(6) Die Ergebnisse medizinischer oder psychologischer
Untersuchungen und Tests der Beschäftigten dürfen automatisiert nur
verarbeitet werden, wenn dies dem Schutz des oder der Beschäftigten
dient.
(7) Soweit Daten der Beschäftigten im Rahmen der
Maßnahmen zur Datensicherung nach der Anlage zu § 9 gespeichert
werden, dürfen sie nicht zu anderen Zwecken, insbesondere nicht zu Zwecken
der Verhaltens- oder Leistungskontrolle genutzt werden.
§ 25
Verarbeitung und Nutzung personenbezogener Daten durch
Forschungseinrichtungen
(1) Für Zwecke der wissenschaftlichen Forschung erhobene
oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der
wissenschaftlichen Forschung verarbeitet oder genutzt werden.
(2) Die Übermittlung personenbezogener Daten an andere
als kirchliche Stellen für Zwecke der wissenschaftlichen Forschung ist nur
zulässig, wenn diese sich verpflichten, die übermittelten Daten nicht
für andere Zwecke zu verarbeiten oder zu nutzen und die Vorschriften der
Absätze 3 und 4 einzuhalten. Der kirchliche Auftrag darf durch die
Übermittlung nicht gefährdet werden.
(3) Die personenbezogenen Daten sind zu anonymisieren, sobald
dies nach dem Forschungszweck möglich ist. Bis dahin sind die Merkmale
gesondert zu speichern, mit denen Einzelangaben über persönliche oder
sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet
werden können. Sie dürfen mit den Einzelangaben nur
zusammengeführt werden, soweit der Forschungszweck dies
erfordert.
(4) Die Veröffentlichung personenbezogener Daten, die zum
Zwecke wissenschaftlicher Forschung übermittelt wurden, ist nur mit
Zustimmung der übermittelnden Stelle zulässig. Die Zustimmung kann
erteilt werden, wenn
1. die betroffene Person eingewilligt hat oder
2. dies für die Darstellung von Forschungsergebnissen
über Ereignisse der Zeitgeschichte unerlässlich ist, es sei denn, dass
Grund zu der Annahme besteht, dass durch die Veröffentlichung der Auftrag
der Kirche gefährdet würde.
§ 26
Erhebung, Verarbeitung und Nutzung personenbezogener
Daten durch die Medien
(1) Soweit personenbezogene Daten von kirchlichen Stellen
ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen
Zwecken verarbeitet oder genutzt werden, gelten von den Vorschriften dieses
Kirchengesetzes nur die §§ 6, 8 und 9. Soweit personenbezogene Daten
zur Herausgabe von Adressen-, Telefon- oder vergleichbaren Verzeichnissen
verarbeitet oder genutzt werden, gilt Satz 1 nur, wenn mit der Herausgabe
zugleich eine journalistisch-redaktionelle oder literarische Tätigkeit
verbunden ist.
(2) Führt die journalistisch-redaktionelle Verarbeitung
oder Nutzung personenbezogener Daten zur Veröffentlichung von
Gegendarstellungen der betroffenen Person, so sind diese Gegendarstellungen zu
den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren
wie die Daten selbst.
(3) Wird jemand durch eine Berichterstattung in seinem
Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft über die
der Berichterstattung zugrunde liegenden, zu seiner Person gespeicherten Daten
verlangen. Die Auskunft kann verweigert werden, soweit aus den Daten auf die
berichtenden oder einsendenden Personen oder die Gewährsleute von
Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil
geschlossen werden kann. Die betroffene Person kann die Berichtigung unrichtiger
Daten verlangen.
§ 27
Ergänzende Bestimmungen
(1) Der Rat der Evangelischen Kirche in Deutschland kann durch
Rechtsverordnung mit Zustimmung der Kirchenkonferenz Bestimmungen zur
Durchführung dieses Kirchengesetzes erlassen.
(2) Die Gliedkirchen können für ihren Bereich
ergänzende Durchführungsbestimmungen zu diesem Kirchengesetz
erlassen.
(3) Soweit personenbezogene Daten von
Sozialleistungsträgern übermittelt werden, gelten zum Schutz dieser
Daten ergänzend die staatlichen Bestimmungen entsprechend. Werden hierzu
Bestimmungen gemäß Absatz 1 erlassen, ist vorher der Diakonische Rat
des Diakonischen Werkes der Evangelischen Kirche in Deutschland
anzuhören.
§ 28
In-Kraft-Treten, Außer-Kraft-Treten
Dieses Kirchengesetz tritt am 1. Januar 1994 in Kraft. Mit dem
In-Kraft-Treten dieses Kirchengesetzes treten
1. das Kirchengesetz über den Datenschutz vom 10.
November 1977 (ABl. EKD 1978 S. 2.) in der Neufassung vom 7. November 1984 (ABl.
EKD S. 507) und
2. die Verordnung zum Kirchengesetz über den Datenschutz
vom 21. März 1986 (ABl. EKD S. 117)
außer Kraft.
Osnabrück, den 12. November 1993
Der Präses der Synode der Evangelischen Kirche in
Deutschland
Schmude
Anlage zu § 9 Satz 1
Werden personenbezogene Daten automatisiert verarbeitet oder
genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu
gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.
Dabei sind insbesondere Maßnahmen zu treffen, die je nach Art der zu
schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit
denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren
(Zutrittskontrolle),
2. zu verhindern, dass Datenverarbeitungssysteme von
Unbefugten genutzt werden können (Zugangskontrolle),
3. zu gewährleisten, dass die zur Benutzung eines
Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer
Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass
personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung
nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können
(Zugriffskontrolle),
4. zu gewährleisten, dass personenbezogene Daten bei der
elektronischen Übertragung oder während ihres Transports oder ihrer
Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert
oder entfernt werden können, und dass überprüft und festgestellt
werden kann, an welche Stelle eine Übermittlung personenbezogener Daten
durch Einrichtungen zur Datenübertragung vorgesehen ist
(Weitergabekontrolle),
5. zu gewährleisten, dass nachträglich
überprüft und festgestellt werden kann, ob und von wem
personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert
oder entfernt worden sind (Eingabekontrolle),
6. zu gewährleisten, dass personenbezogene Daten, die im
Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers
verarbeitet werden können (Auftragskontrolle),
7. zu gewährleisten, dass personenbezogene Daten gegen
zufällige Zerstörung oder Verlust geschützt sind
(Verfügbarkeitskontrolle),
8. zu gewährleisten, dass zu unterschiedlichen Zwecken
erhobene Daten getrennt verarbeitet werden können.
-~-
Vom 22.12.1993 (ABl. 1994 A 15)
Reg.-Nr.: 0635/193
Nachstehend wird das von der Synode der Evangelischen Kirche
in Deutschland am 12. November 1993 beschlossene
Kirchengesetz über den Datenschutz in der
Evangelischen Kirche Deutschlands (DSG-EKD)
bekannt gemacht, das am 1. Januar 1994 für die
Evangelisch-Lutherische Landeskirche Sachsens in Kraft tritt.
Das kirchliche Datenschutzrecht gehört zu den
Sachgebieten, die im Bereich der Evangelischen Kirche in Deutschland bereits
unmittelbar geregelt waren und für die die EKD deshalb gemäß
Artikel 10 Buchstabe a ihrer Grundordnung die alleinige und unmittelbare
Gesetzgebungskompetenz besitzt.
Mit dem In-Kraft-Treten des Kirchengesetzes über den
Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) vom 12. November
1993 am 1. Januar 1994 treten das Kirchengesetz über den Datenschutz in der
Fassung vom 13. November 1984 - DSG-EKD- (Amtsblatt 1991 Seite A 1) und die
Verordnung zum Kirchengesetz über den Datenschutz (VO DSG-EKD) vom 21.
März 1986 (Amtsblatt 1991 Seite A 2) außer Kraft. Das
Datenschutz-Anwendungsgesetz der Evangelisch-Lutherischen Landeskirche Sachsens
vom 23. Oktober 1990 (Amtsblatt 1991 Seite A 1) bleibt wirksam. An die Stelle
der im § 1 Absatz 1 genannten Rechtsvorschriften tritt mit Wirkung vom1.
Januar 1994 das neue, nachstehend abgedruckte Datenschutzgesetz vom 12. November
1993.
Dresden, am 22. Dezember 1993
Evangelisch-Lutherisches Landeskirchenamt
Sachsens
Hofmann
-~-
Vorsicht ! Bisher nur erste
Tippfehlerkorrektur erfolgt ! (26.09.1998, PH)
Vom 23. Oktober 1990 (ABl. 1991 A 1)
<Dieses Kirchengesetz nimmt Bezug auf die alte Fassung
des DSG-EKD. Inzwischen ist die oben wiedergegebene neue Fassung in Kraft
getreten. Die Verordnung des Landeskirchenamtes vom 22.12.1993 (ABl. 1994 A 15),
mit der die neue Fassung bekannt gemacht wurde, konnte die veraltete Bezugnahme
nicht ändern; denn Gesetze der Synode können ja nicht durch
Verordnungen des Landeskirchenamts abgeändert werden. Aber zu Recht hat das
Landeskirchenamt in der erwähnten Verordnung darauf hingewiesen, dass kraft
EKD-Recht automatisch die alte Bezugnahme obsolet geworden ist - so dass also
nun das jetzt geltende EKD-Gesetz in Bezug genommen ist: "An die Stelle der
im § 1 Absatz 1 genannten Rechtsvorschriften tritt mit Wirkung vom 1.
Januar 1994 das neue ... Datenschutzgesetz vom 12. November 1993."
>
0635/17
Die Landessynode der Evangelisch-Lutherischen Landeskirche
Sachsens hat das folgende Kirchengesetz beschlossen:
§ 1
(1) Mit Wirkung vom 1. Januar 1991 werden
<ursprünglicher Text - siehe
Vorbemerkung oben:> 1. das von der Evangelischen Kirche in Deutschland
beschlossene Kirchengesetz über den Datenschutz in der Fassung vom 13.
November 1984 - DSG-EKD -,
2. die vom Rat der Evangelischen Kirche in
Deutschland beschlossene Verordnung zum Kirchengesetz über den Datenschutz
vom 21. März 1986 - VO DSG-EKD -,
für die Evangelisch-Lutherische Landeskirche Sachsens in
Kraft gesetzt.
(2) Zur Ergänzung und Durchführung des
Kirchengesetzes über den Datenschutz [<obsoleter
Text:>in der Fassung vom 13. November 1984] -
DSG-EKD - gelten die nachstehenden Bestimmungen dieses
Kirchengesetzes.
§ 2
(1) Der Beauftragte für den Datenschutz für den
Bereich der Landeskirche wird auf Vorschlag des Landeskirchenamtes von der
Kirchenleitung für eine Amtszeit von sechs Jahren ernannt; Wiederernennung
ist zulässig. Seine dienstrechtliche Stellung regelt das
Landeskirchenamt.
(2) Der Beauftragte für den Datenschutz ist in der
Ausübung seines Amtes an Weisungen nicht gebunden und nur dem in der
Landeskirche geltenden Recht unterworfen.
§ 3
Weitere notwendige Regelungen zur Ergänzung und zur
Durchführung des Kirchengesetzes über den Datenschutz - DSG-EKD -
trifft das Landeskirchenamt auf dem Verordnungsweg.
§ 4
Dieses Kirchengesetz tritt am 1. Januar 1991 in
Kraft.
Dresden, am 23. Oktober 1990
Die Kirchenleitung
der Evangelisch-Lutherischen Landeskirche
Sachsens
Dr. Hempel
<Als Anlagen zu diesem Gesetz wurden die darin
erwähnten Rechtstexte der EKD bekannt gemacht. Sie sind inzwischen durch
oben wiedergegebene neuere Fassungen ersetzt worden.>
-~-
Vorsicht ! Bisher nur erste
Tippfehlerkorrektur erfolgt ! (GD)
Vom 28. November 2000 (ABl. 2001 A 25)
Reg.-Nr. 0635/355
Auf Grund von § 3 des Datenschutz-Anwendungsgesetzes vom
23. Oktober 1990 (ABl. 1991 S. A l) verordnet das Evangelisch-Lutherische
Landeskirchenamt Sachsens zur Ergänzung und Durchführung
des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in
Deutschland (DSG-EKD) vom 12. November 1993 mit Anlage
(ABl. 1994 S. A l5 und 26) Folgendes:
§ 1
Datenschutzverpflichtete
(1) In jeder kirchlichen Dienststelle ist der Personenkreis,
der Zugang zu personenbezogenen Daten haben darf, listenmäßig
festzuhalten. Dies betrifft haupt-, neben- und ehrenamtliche Mitarbeiter,
insbesondere diejenigen, die am Aufbau und an der Pflege von
Gemeindegliederkarteien und -dateien, Kirchgeld- und
Kirchensteuerunterlagen, Personaldateien, Klientendateien und anderen
personenbezogenen Unterlagen mitarbeiten.
(2) Der Kreis der Mitarbeiter, die Kenntnis von Kirchgeld- und
Kirchensteuerdaten bekommen, ist möglichst klein zu halten. Im
Kirchenvorstand soll für Kirchgeld- und Kirchensteuerangelegenheiten ein
Ausschuss gebildet werden. Diesem Ausschuss sollen der Vorsitzende des
Kirchenvorstandes, sein Stellvertreter und ein weiteres Mitglied des
Kirchenvorstandes angehören. Er soll dem Kirchenvorstand
Beschlussempfehlungen geben und hierzu nur im unbedingt notwendigen Umfang
Steuerdaten mitteilen.
(3) Dienststellen im Sinne von Absatz l sind die
Dienststellen der Landeskirche, ihrer Kirchgemeinden, Kirchgemeindeverbände
und Kirchenbezirke sowie der Werke, Ausbildungsstätten, Einrichtungen und
sonstigen Körperschaften der Landeskirche und ihrer Diakonie. Als
Dienststellen im Sinne von Absatz 1 gelten auch die Dienststellen von Teilen
von Werken, Ausbildungsstätten, Einrichtungen und sonstigen
Körperschaften, die durch ihren Aufgabenbereich und ihre Organisation
eigenständig und räumlich weit entfernt vom Sitz des
Rechtsträgers sind.
§ 2
Verpflichtung auf das Datengeheimnis und das
Steuergeheimnis
(1) Der in § l Abs. l genannte Personenkreis ist durch
den jeweiligen Dienststellenleiter bzw. Vorgesetzten auf der Grundlage des
dieser Verordnung als Anlage l angefügten Merkblattes über den
Datenschutz zu belehren und auf seine Einhaltung schriftlich in Form der
Erklärung gemäß Anlage 2 dieser Verordnung zu verpflichten.
(2) Der in § 1 Abs. 2 genannte Personenkreis (auch alle
Mitglieder eines Kirchenvorstandes) ist durch den jeweiligen Dienststellenleiter
bzw. Vorgesetzen zusätzlich durch Unterzeichnung der
Verpflichtungserklärung zum Steuergeheimnis (Anlage 3) auf das
Steuergeheimnis zu verpflichten.
(3) Das Merkblatt (Anlage 1) ist jedem Belehrten
auszuhändigen. Die Verpflichtungserklärungen (Anlagen 2 und 3) sind
zweifach auszufertigen. Je eine Ausfertigung erhält der Belehrte, die
jeweils andere Ausfertigung ist zu den Akten der Dienststelle zu
nehmen.
(4) Die Belehrung über den Datenschutz und die
Verpflichtung auf das Datengeheimnis bzw. das Steuergeheimnis ist vor Aufnahme
einer Tätigkeit, bei der der Umgang mit personenbezogenen Daten bzw. dem
Steuergeheimnis unterliegenden Daten erfolgt, vorzunehmen.
§ 3
Anzeigepflicht, Benachteiligungsverbot
(1) Datenschutzverstöße sind unverzüglich dem
Dienstvorgesetzten anzuzeigen. Soweit dieser keine Abhilfe schafft, sind sie dem
Datenschutzbeauftragten anzuzeigen.
(2) Mitarbeiter, die sich an den Datenschutzbeauftragten
wenden, um einen Sachverhalt datenschutzrechtlich prüfen zu lassen,
dürfen nicht benachteiligt werden.
§ 4
Telekommunikation
Für Telefonanschlüsse, die der anonymen
Telefonseelsorge oder die einer anonymen Sozial- oder Gesundheitsberatung
dienen, ist ein Antrag auf Aufnahme dieser Anschlüsse in die
Anonymisierungsliste bei der Regulierungsbehörde für Telekommunikation
und Post gemäß § 8 Abs. 2
Telekommunikationsunternehmen-Datenschutzverordnung zu stellen.
§ 5
In Kraft-Treten, Außer-Kraft-Treten
(1) Diese Rechtsverordnung tritt mit Wirkung vom 1.
März 2001 in Kraft.
(2) Gleichzeitig tritt die Verordnung zur Ergänzung und
Durchführung des Kirchengesetzes über den Datenschutz vom 4. Juni 1991
(ABl. S. A 47) außer Kraft.
Evangelisch-Lutherisches Landeskirchenamt
Sachsens
Hofmann
Anlage 1
Merkblatt über den Datenschutz in der
Evangelisch-Lutherischen Landeskirche Sachsens
Die in der Evangelisch-Lutherischen Landeskirche Sachsens
einschließlich ihrer Diakonie jeweils geltenden Rechtsvorschriften
über den Datenschutz sind von allen haupt-, neben- und ehrenamtlichen
Mitarbeitern, die personenbezogene Daten erheben, verarbeiten und nutzen,
beispielsweise beim Umgang mit Gemeindegliederkarteien und -dateien, Kirchgeld-
und Kirchensteuerunterlagen, Patienten- und Pflegedokumentationen, Personal-,
Heim- und Beratungsunterlagen, gewissenhaft zu beachten.
Zurzeit sind in der Landeskirche folgende
datenschutzrechtliche Vorschriften gültig:
I. EKD-Recht
A. Kirchengesetze
1. Kirchengesetz über den Datenschutz der Evangelischen
Kirche in Deutschland (DSG-EKD) vom 12. November 1993 mit Anlage (ABl. 1994 S. A
15, 26)
2. Kirchengesetz über die Kirchenmitgliedschaft, das
kirchliche Meldewesen und den Schutz der Daten der Kirchenmitglieder
(Kirchengesetz über die Kirchenmitgliedschaft) vom 10. November 1976 (ABl.
1991 S. A 73)
B. Rechtsverordnungen
Verordnung über die in das Gemeindegliederverzeichnis
aufzunehmenden Daten der Kirchenmitglieder mit ihren Familienangehörigen in
der Fassung vom 13. Dezember 1994 (ABl. 1999 S. A 97)
II. Recht der Landeskirche
A. Kirchengesetze
Kirchengesetz zur Anwendung des Kirchengesetzes der
Evangelischen Kirche in Deutschland über den Datenschutz
(Datenschutz-Anwendungsgesetz) vom 23. Oktober 1990 (ABl. 1991 S. A 1), zuletzt
geändert durch das DSG-EKD am 12. November 1993 (ABl. 1994 S. A
15)
B. Rechtsverordnungen
1. Rechtsverordnung zur Ergänzung und Durchführung
des Kirchengesetzes über den Datenschutz vom 28. November 2000 (ABl. 2001
S. A 25)
2. Verordnung über die Planung und Genehmigung von
Maßnahmen auf dem Gebiet der Elektronischen Datenverarbeitung vom 3.
Dezember 1991 (ABl. 1992 S. A 31)
3. Rechtsverordnung des Landeskirchenamtes über die
Führung der Gemeindegliederverzeichnisse und der Umgemeindungsverzeichnisse
in der Evangelisch-Lutherischen Landeskirche Sachsens vom 13. August 1996 (ABl.
S. A 189) mit Anlagen
4. Verordnung zum Schutz von Patientendaten vom 9. Dezember
1997 (ABl. 1998 S. A 4)
5. Verordnung über das Verbot des Einsatzes vonWindows
2000 vom 18. April 2000 (ABl. S. A 67 )
C. Richtlinien
1. Richtlinie zur Arbeit mit Telefaxgeräten in den
Dienststellen der Evangelisch-Lutherischen Landeskirche Sachsens vom 18. Januar
1994 (ABl. S. A 29)
2. Richtlinie zur Arbeit mit transportablen
Datenverarbeitungsgeräten und Datenträgern in den Dienststellen der
Ev.-Luth. Landeskirche Sachsens vom 6. April 1995 (ABl. S. A 68)
3. Richtlinie zur Abwicklung von Bankgeschäften unter
Nutzung öffentlicher Kommunikationsnetze (KontoDirekt-Richtlinie) vom 20.
Juni 1997 (ABl. S. 169) mit Merkblatt
4. Richtlinie über die Anlage einer Dateiübersicht
gemäß § 14 II DSG-EKD in den Dienststellen der Ev.-Luth.
Landeskirche Sachsens vom 22. Juli 1997 (ABl. S. A 171)
5. Richtlinie über die Anlage eines Registers für
automatisierte Dateien mit personenbezogenen Daten bei dem
Datenschutzbeauftragten der Ev.-Luth. Landeskirche Sachsens gemäß
§ 21 DSG-EKD mit Anlage vom 22. Juli 1997 (ABl. S. A 175)
Für die Verarbeitung und Nutzung personenbezogener Daten
ist Nachfolgendes zu beachten:
1. Die zum Datenschutz erlassenen Gesetze, Rechtsverordnungen
und Richtlinien sollen den Einzelnen davor schützen, dass er durch den
Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht
beeinträchtigt wird.
2. Personenbezogene Daten sind Einzelangaben über
persönliche Verhältnisse (z. B. Name, Geburtstag, Anschrift,
Konfession, Beruf, Familienstand) oder sachliche Verhältnisse (z. B.
Grundbesitz, Rechtsbeziehungen zu Dritten, Steuermerkmale und -höhe) einer
bestimmten oder bestimmbaren natürlichen Person - Betroffener - (z. B.
Gemeindeglied, Nutzungsberechtigter, Mitarbeiter, Heimbewohner, zu
Betreuender).
3. Alle Informationen, die ein Mitarbeiter auf Grund seiner
Tätigkeit mit Daten, Datenträgern, Unterlagen und Akten oder im
persönlichen Gespräch erhält, sind von ihm vertraulich zu
behandeln. Personenbezogene Daten und Datenträger dürfen nicht an
Unbefugte gelangen. Daten und Datenträger (z. B. Belege, Karteikarten,
Listen, Magnetkarten, -platten und -bänder, Mikrofiches, Disketten.
Verzeichnisse) sind stets sicher und verschlossen zu verwahren und vor jeder
Einsicht oder sonstigen Nutzung durch Unbefugte zu schützen, insbesondere
ist der Mitarbeiter dafür verantwortlich, dass sein Rechner, seine
Anwendungen und sein Passwort keinem Unbefugten zugänglich sind.
4. Die Verpflichtung zur Wahrung des Datengeheimnisses besteht
nach Beendigung der Tätigkeit fort.
5. Auskünfte aus Sammlungen personenbezogener Daten
(Dateien) und Akten sowie Abschriften oder sonstige Vervielfältigungen
dürfen nur erteilt und angefertigt bzw. weitergegeben werden, wenn eine
Rechtsvorschrift dies erlaubt oder die betroffene Person eingewilligt
hat.
6. Datenschutz ist auch der Schutz vor unbefugtem
Verändern oder Löschen von Daten. Mitarbeitern ist es daher untersagt,
private Software und Datenträger in die Dienststelle
einzubringen.
7. Datenbestände, insbesondere Listen und Karteien sowie
andere aussagekräftige Unterlagen, aber auch auf Datenträgern und
sonst gespeicherte Daten, verbrauchte Farbbandkassetten, die zur Erfüllung
der zugewiesenen Aufgaben nicht mehr benötigt werden, müssen in einer
Weise vernichtet bzw. gelöscht werden, die jeden Missbrauch der Daten
ausschließt.
8. Kirchliche Mitarbeiter sind nicht nur nach den Vorschriften
des Datenschutzgesetzes und den dazu erlassenen Rechtsverordnungen und
Richtlinien zum Datenschutz verpflichtet. Darüber hinaus gelten für
sie insbesondere folgende Geheimhaltungsvorschriften:
- das Beicht- und das Seelsorgegeheimnis nach § 41
Pfarrergesetz, § 9 Kandidatengesetz
- das Dienstgeheimnis nach § 42 Pfarrergesetz, § 9
Kandidatengesetz, § 47 Kirchenbeamtengesetz, § 9 KDVO
- die Verschwiegenheitspflicht der Kirchvorsteher nach §
30 Abs. 2 KGO
- das Steuergeheimnis nach § 30 Abgabenordnung
- die ärztliche Schweigepflicht
- § 8 Abs. 1 Satz 3 der
Telekommunikationsunternehmen-Datenschutzverordnung. Nach dieser Verordnung
müssen kirchliche Einrichtungen, die sich von Telekommunikationsunternehmen
Einzelverbindungsnachweise erstellen lassen, sämtliche bisherigen und
zukünftigen Mitarbeiter darüber informieren.
- Schutzgegenstand dieser Vorschriften sind nicht nur
personenbezogene Daten, sondern insbesondere Dienstgeheimnisse sowie das Ansehen
des Seelsorgegeheimnisses und von Kirche und Diakonie.
9. Verstöße gegen den Datenschutz, also die
Vertraulichkeit der Daten, sind Verletzungen der Dienstpflicht im Sinne der
arbeitsrechtlichen und disziplinarischen Bestimmungen. Sie können
Schadenersatzansprüche des Dienstherrn oder Dritter begründen und die
Kündigung zur Folge haben.
10. Verstöße gegen den Datenschutz sind unter
anderem nach den folgenden Vorschriften des Strafgesetzbuches
sanktionierbar:
§ 201 StGB Verletzung der Vertraulichkeit des
Wortes
§ 202 StGB Verletzung des Briefgeheimnisses
§ 202 a StGB Ausspähen von Daten
§ 203 StGB Verletzung von Privatgeheimnissen
§ 204 StGB Verwertung fremder Geheimnisse
§ 263 a StGB Computerbetrug
§ 303 a StGB Datenveränderung
§ 303 b StGB Computersabotage
§ 355 StGB Verletzung des Steuergeheimnisses
Anlage 2
___________________________________________________
___________________________________________________
Dienststelle
Verpflichtungserklärung
Herr/Frau ____________________________ geb. am
_________
wohnhaft in
____________________________________________
ist als
____________________________________________
in der/im
____________________________________________
tätig.
Er/Sie erklärt Folgendes:
Nach Belehrung über Inhalt und Bedeutung der
Verpflichtung, personenbezogene Daten nicht unbefugt zu verarbeiten oder zu
nutzen sowie sie vertraulich zu behandeln, verpflichte ich mich hiermit
ausdrücklich, die in den jeweils geltenden kirchlichen
Datenschutzbestimmungen enthaltenen Regelungen, insbesondere die in dem
"Merkblatt über die Datenschutzbestimmungen in der Evangelisch-Lutherischen
Landeskirche Sachsens" enthaltenen Regelungen über den Datenschutz zu
beachten und gewissenhaft einzuhalten.
Diese Verpflichtung erstreckt sich auch auf die Zeit nach
Beendigung meiner Tätigkeit. Ich bestätige außerdem, dass mir
oben genanntes Merkblatt ausgehändigt worden ist.
___________________________________________________________
Ort und Datum
_______________________
Unterschrift des Mitarbeiters
Anlage 3
___________________________________________________________
___________________________________________________________
Dienststelle
Verpflichtungserklärung zum
Steuergeheimnis
Herr/Frau ____________________________ geb. am
____________
wohnhaft in
_______________________________________________
ist als
_______________________________________________
in der/im
_______________________________________________
tätig.
Er/Sie erklärt Folgendes:
Mir ist bekannt, dass alle Daten, die ich in Kirchgeld- und
Kirchensteuerangelegenheiten erfahre, dem Steuergeheimnis nach § 30 der
Abgabenordnung unterliegen und dass ich nach dieser Vorschrift das
Steuergeheimnis zu wahren habe. Mir ist bekannt, dass ich das Steuergeheimnis
verletze, wenn ich Steuerdaten unbefugt offenbare, verwerte oder abrufe. Mir ist
weiter bekannt, dass die Verletzung des Steuergeheimnisses disziplinarische und
arbeitsrechtliche Folgen haben kann und strafrechtlich sanktionierbar
ist.
___________________________________________________________
Ort und Datum
_______________________
Unterschrift des Mitarbeiters
-~-
Vorsicht ! Bisher nur erste
Tippfehlerkorrektur erfolgt ! (30.11.2004, CC)
Vom 18. September 2001 (ABl. 2001 A 225)
Reg.-Nr. 10662-1
Auf Grund von § 32 der Kirchenverfassung verordnet das
Landeskirchenamt Folgendes:
§ 1
(1) Die Verordnung über das Verbot des Einsatzes von
Windows 2000 vom 18. April 2000 (ABl. S. A. 67) wird aufgehoben.
(2) Das Betriebssystem Windows 2000 darf nur nach
Maßgabe der Richtlinie zur Regelung des Einsatzes von Windows 2000 vom 18.
September 2001 eingesetzt werden.
§ 2
Diese Verordnung tritt mit sofortiger Wirkung in
Kraft.
Evangelisch-Lutherisches Landeskirchenamt
Sachsens
Hofmann
-~-
Vorsicht ! Bisher nur erste
Tippfehlerkorrektur erfolgt ! (30.11.2004, CC)
Vom 18. September 2001 (ABl. 2001 A 226)
Reg.-Nr. 10662-1
1. Für das Betriebssystem Windows 2002 besteht aus
politischen und technischen Erwägungen in verschiedenen kirchlichen,
kommunalen, Länder- oder Bundesverwaltungen ein Verwendungsverbot. Anlass
für das Verbot von Windows 2000 innerhalb der Ev. - Luth. Landeskirche
Sachsens war die Sorge, dass Microsoft bzw. einer seiner Geschäftspartner
unter Ausnutzung der weltweit marktbeherrschenden Position den im Produkt
enthaltenden Diskeeper missbräuchlich verwenden könnte.
Nach einer Information der Fachzeitschrift c't soll diese
Programmkomponente von einer Zuliefererfirma hergestellt werden, die zum World
Institut of Scientology Enterprises (WISE) gehört. Da Microsoft keine
Einsicht in den entsprechenden Quellcode des Betriebssystems gewährt, ist
nach wie vor nicht auszuschließen, dass über den Diskeeper eine
technische Möglichkeit besteht, Daten unbemerkt an Dritte weiterzugeben, so
dass eine potentielle Gefährdung kirchlicher Datenbestände
fortbesteht.
Nach dem Ergebnis einer durch die EKD veranlassten
Untersuchung durch das Bundesamt für Sicherheit in der Informationstechnik
(BSI) kann der Diskeeper jedoch rückstandsfrei und ohne
Beeinträchtigung der Funktionalität des Betriebssystems deinstalliert
und durch alternative Programme ersetzt werden, so dass bei aufmerksamer und
verantwortlicher Administration die Risiken soweit verringert werden
können, dass Windows 2000 in der kirchlichen Verwaltung dort eingesetzt
werden kann, wo es gegenüber anderen Betriebssystemen wesentliche Vorteile
besitzt.
Seitens der EKD wird der ursprüngliche Entschluss, auf
den Einsatz von Window 2000 generell zu verzichten, nicht mehr gemeinsam
verfolgt.
2. Zum Schutz kirchlicher Datenbestände darf das
Betriebssystem Windows 2000 innerhalb der Ev.- Luth. Landeskirche Sachsens nur
ohne den darin serienmäßig enthaltenen Diskeeper eingesetzt werden.
Bei der Entfernung des Diskeepers ist nach dem Merkblatt "Windows 2000”
(Fußnote) in der jeweils aktuellen Fassung vorzugehen. Die weiteren
Hinweise im Merkblatt zum Umgang mit Windows 2000 sind zu beachten.
Fußnote: Beilage EDV-Information II/2001 zum Amtsblatt
Nr.20
3. Bei Nichterfüllung der Maßgaben gemäß
Punkt 2 kann der Einsatz von Windows 2000 für die jeweilige Dienststelle
untersagt werden. Die Zuständigkeit hierfür liegt bei der
Aufsichtsbehörde.
4. Es wird darauf hingewiesen, dass der Einsatz von Windows
2000 auf Risiko des jeweiligen Anwenders erfolgt. Die Landeskirche haftet nicht
für eventuelle Schäden; Zuschüsse zur Regulierung eventueller
Schäden sind ausgeschlossen.
5. Diese Richtlinie tritt mit sofortiger Wirkung in
Kraft.
Evangelisch-Lutherisches Landeskirchenamt
Sachsens
Hofmann
-~-
Vorsicht ! Bisher nur erste
Tippfehlerkorrektur erfolgt ! (PH)
Vom 22. Juli 1997 (ABl. 1997 A 171)
Reg.-Nr. 0635/328
1. Allgemeines
Jede Dienststelle in der Ev.-Luth. Landeskirche Sachsens ist
verpflichtet gemäß § 14 Abs. 2 des Kirchengesetzes über den
Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) vom 12. November
1993, ABl. 1994 S. A 15 eine Übersicht aller automatisierten Dateien in
ihrem Bereich zu führen.
2. Formblätter
Damit die Übersicht den Kriterien des § 14 Abs. 2
DSG-EKD entspricht und dem Datenschutzbeauftragten der Landeskirchen die
Wahrnehmung seiner Kontrollaufgaben erleichtert wird, sind hierzu die
Formblätter gemäß der Anlage zu verwenden.
3. Aktualisierung der Übersicht
Die Übersicht der automatisierten Dateien muss
ständig aktualisiert werden. Nicht in die Übersicht gehören
Dateien, die gemäß § 14 Abs. 4 DSG-EKD nur vorübergehend
vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht
werden.
4. Dateibegriff
Zu den in die Übersicht aufzunehmenden Dateien
zählen auch Karteien, die mittels EDV bearbeitet werden
(Gemeindegliederkartei etc.) können.
Evangelisch-Lutherisches Landeskirchenamt
Sachsens
In Vertretung
Schlichter
-~-
Vorsicht ! Bisher nur erste
Tippfehlerkorrektur erfolgt ! (28.11.1998, PH)
<1.7> Richtlinie über die Anlage eines
Registers für automatisierte Dateien mit personenbezogenen Daten bei dem
Datenschutzbeauftragten der Ev.-Luth. Landeskirche Sachsens gemäß
§ 21 DSG-EKD
Vom 22. Juli 1997 (ABl. A 175)
Reg.-Nr.: 0635/329
1. Allgemeines
Der Datenschutzbeauftragte der Ev.-Luth. Landeskirche Sachsens
ist gemäß § 21 des Kirchengesetzes über den Datenschutz der
Evangelischen Kirche in Deutschland (DSG-EKD) vom 12. November 1993, ABl. 1994
S. A 15, verpflichtet, ein Register für automatisierte Dateien mit
personenbezogenen Daten zu führen.
2. Meldung der Dienststellen
Die Dienststellen der Ev.-Luth. Landeskirche Sachsens sind
verpflichtet, ihre automatisierten Dateien mit personenbezogenen Daten mittels
des Formblattes gemäß der Anlage anzugeben.
3. Aktualisierung des Registers
Die Dienststellen der Ev.-Luth. Landeskirche Sachsens sind
verpflichtet, zweimal im Jahr ihre Änderungen im Bestand der
automatisierten Dateien mit personenbezogenen Daten dem Datenschutzbeauftragten
zu melden. Dabei sind alle Dateien mit personenbezogenen Daten, die länger
als 14 Tage im Gebrauch sind, in die Meldung aufzunehmen.
4. Einsichtsrecht
Das Register kann gemäß § 21 Abs. 1 DSG-EKD
von jedermann eingesehen werden, der ein berechtigtes Interesse nachweisen
kann.
Evangelisch-Lutherisches Landeskirchenamt
Sachsens
In Vertretung
Schlichter
-~-
Vorsicht ! Bisher nur erste
Tippfehlerkorrektur erfolgt ! (30.11.2004, CC)
Vom 08. September 1978 (ABl. EKD 1978, S. 421)
<Im Text sind folgende Änderungen
berücksichtigt: geändert durch Verordnung der EKD vom 25. März
1994 (ABl. EKD S. 251).>
§ 1
Meldepflicht
(1) Die in § 1 Abs. 2 des Kirchengesetzes über den
Datenschutz genannten kirchlichen Behörden, sonstigen kirchlichen
Dienststellen sowie kirchlichen Werke und Einrichtungen der Evangelischen Kirche
in Deutschland melden die von ihnen automatisch betriebenen Dateien, in denen
personenbezogene Daten gespeichert werden, zu dem vom Beauftragten für den
Datenschutz zu führenden Register an.
§ 2
Inhalt des Registers
(1) Das Register enthält neben der Bezeichnung und
Anschrift der speichernden Stelle zu jeder Datei folgenden Angaben:
1. Bezeichnung und Art der Datei,
2. Zweckbestimmung der Datei,
3. Arten der gespeicherten personenbezogenen Daten,
4. betroffener Personenkreis,
5. Arten der regelmäßig zu übermittelnden
Daten und datenempfangenden Stellen,
6. Regelfristen für die Löschung der
Daten,
7. zugriffsberechtigte Personengruppen oder Personen, die
allein zugriffsberechtigt sind .
(2) Die Angaben sind unmittelbar dem Beauftragten für den
Datenschutz zuzuleiten
(3) Die Angaben sind nach dem anliegenden Muster zu
melden.
(4) Die Meldungen haben auch bei einer Veränderung der
Angaben nach Absatz 1 und bei der Auflösung von Dateien zu
erfolgen.
§ 3
Zeitpunkt der Meldung
(1) Meldungen sind unverzüglich vorzunehmen.
(2) Dateien, die bei In-Kraft-Treten dieser Verordnung
bestehen, sind bis zum 31.12.1978 anzumelden.
§ 4
Diese Verordnung tritt am 10. September in Kraft.
Muster zu § 2 Abs. 3:
__________________________________________________
Speichernde Stelle
___________________________________________________
Bezeichnung und Anschrift
___________________________________________________
1. Bezeichnung und Art der Datei
___________________________________________________
2. Zweckbestimmung der Datei
___________________________________________________
3. Arten der gespeicherten personenbezogenen Daten
___________________________________________________
4. betroffener Personenkreis
___________________________________________________
5. Arten der regelmäßig zu übermittelnden
Daten und datenempfangenden Stellen
___________________________________________________
6. Regelfristen für die Löschung der Daten
___________________________________________________
7. Zugriffsberechtigte Personengruppen oder Personen, die
allein zugriffsberechtigt sind.
-~-
Vorsicht ! Bisher nur erste
Tippfehlerkorrektur erfolgt ! (30.11.2004, CC)
Vom 09. Dezember 1997 (ABl. 1998 A 4)
Reg.-Nr.: 0635/341
Auf Grund von
- § 27 Abs. 2 des Kirchengesetzes über den
Datenschutz in der Evangelischen Kirche in Deutschland i.d.F. vom 23. November
1993 - DSG-EKD - (ABl. 1994 S. A 15) und
- § 3 des Datenschutzanwendungsgesetzes der
Evangelisch-Lutherischen Landeskirche Sachsens vom 23. Oktober 1990 (ABl. 1991
S. A 1)
verordnet das Evangelisch-Lutherische Landeskirchenamt
Sachsens Folgendes:
§ 1
Geltungsbereich
(1) Diese Verordnung gilt für das Erheben,
Verarbeiten und Nutzen von Patientendaten durch Krankenhäuser, Vorsorge-
und Rehabilitationseinrichtungen, ohne Rücksicht auf ihre Rechtsform (im
Folgenden als Krankenhäuser bezeichnet), die sich in Trägerschaft des
Diakonischen Werkes der Ev.-Luth. Landeskirche Sachsens e.V. oder eines seiner
Mitglieder oder einer anderen zur Landeskirche gehörenden kirchlichen
Körperschaft befinden.
(2) Neben dieser Verordnung, die ergänzende Regelungen
trifft, gelten das Kirchengesetz über den Datenschutz in der Evangelischen
Kirche in Deutschland - DSG-EKD - und die zu seiner Durchführung erlassenen
Vorschriften.
(3) Weiterführende Rechtsvorschriften, insbesondere
über die ärztliche Schweigepflicht und die seelsorgerliche
Schweigepflicht sowie die Bestimmungen der Sozialgesetzbücher bleiben
unberührt.
§ 2
Zweck
Zweck dieser Verordnung ist es, Patienten, ihre
Angehörigen oder Dritte davor zu schützen, dass durch den Umgang mit
ihren personenbezogenen Daten ihre Persönlichkeitsrechte
beeinträchtigt werden. Der Schutz gilt auch für jene Daten, die dem
Krankenhaus im Zusammenhang mit der Einweisung des Patienten übermittelt
werden.
§ 3
Begriffe
(1) Patientendaten sind alle Einzelangaben über
persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer
Patienten. Als Patientendaten gelten auch personenbezogene Daten von
Angehörigen oder anderen Bezugspersonen des Patienten sowie sonstigen
Dritten, die im Zusammenhang mit der Behandlung bekannt werden.
(2) Übermitteln im Sinne von § 2 Abs. 5 Nr. 3
DSG-EKD schließt auch das Bekannt geben nicht gespeicherter Patientendaten
ein.
§ 4
Datenerhebung, -verarbeitung und -nutzung
(1) Patientendaten dürfen nach Maßgabe des § 3
DSG-EKD erhoben, sowie nach Maßgabe des § 4 DSG-EKD verarbeitet oder
genutzt werden, soweit
1. dies im Rahmen des Behandlungsverhältnisses
einschließlich der verwaltungsmäßigen Abwicklung und
Leistungsberechnung, zur Erfüllung der mit der Behandlung im Zusammenhang
stehenden Dokumentationspflichten oder eines Rechtsstreites erforderlich
ist,
2. eine kirchliche oder staatliche Rechtsvorschrift dies
vorschreibt oder erlaubt oder
3. der Betroffene eingewilligt hat.
(2) Das Nutzen von Patientendaten innerhalb des Krankenhauses
ist zulässig, soweit dies zur Aufgabenerfüllung im Rahmen der
Behandlung, Pflege und Betreuung erforderlich ist.
(3) Der Patient ist darauf hinzuweisen, dass die Angabe der
Religionszugehörigkeit bei der Patientenaufnahme freiwillig ist. Hat der
Patient bei der Aufnahme Angaben zur Religionszugehörigkeit gemacht, ist
eine Weitergabe von erforderlichen Daten an den Seelsorger des Krankenhauses
zulässig.
(4) Das Nutzen von Daten durch den Sozialdienst im Krankenhaus
bedarf der Einwilligung des Patienten.
(5) Für das Nutzen von Patientendaten durch verschiedene
Fachbereiche eines Krankenhauses (Fachabteilungen, Kliniken) gelten § 5 und
§ 10 Abs. 2 entsprechend.
(6) Für die Qualitätssicherung der
Patientenversorgung sowie die Aus-, Fort- und Weiterbildung ist ein Erheben,
Verarbeiten oder Nutzen von Patientendaten nur insoweit zulässig, als diese
Zwecke nicht mit im Sinne von § 10 Abs. 3 Satz 1 anonymisierten Daten
erreicht werden können.
(7) Werden Patientendaten zur Aus-, Fort- und Weiterbildung
innerhalb des Krankenhauses genutzt, gilt der § 10 Abs. 4
entsprechend.
(8) Für Wirtschaftlichkeitsuntersuchungen dürfen
Patientendaten nur in anonymisierter Form im Sinne von § 10 Abs. 3 Satz 1
genutzt werden.
§ 5
Übermittlung von Patientendaten an Personen und
Stellen
außerhalb des Krankenhauses
(1) Die Übermittlung von Patientendaten an
Personen und Stellen außerhalb des Krankenhauses ist neben der
Erfüllung von Pflichten auf Grund bestehender Rechtsvorschriften nur
zulässig, soweit sie erforderlich ist zur
1. Behandlung einschließlich der Mit-, Weiter- und
Nachbehandlung, wenn nicht der Patient nach Hinweis auf die beabsichtigte
Übermittlung etwas anderes bestimmt hat, insbesondere zur
(a) Entscheidungsfindung der Krankenkassen, ob und inwieweit
Präventions-, Rehabilitations- oder andere komplementäre
Maßnahmen angezeigt sind,
(b) Erfüllung des mit dem Patienten geschlossenen
Behandlungsvertrages,
2. Abwehr einer gegenwärtigen Gefahr für das Leben,
die Gesundheit oder die persönliche Freiheit des Patienten oder eines
Dritten, sofern diese Rechtsgüter das Geheimhaltungsinteresse des Patienten
deutlich überwiegen und die Abwendung der Gefahr ohne Übermittlung
nicht möglich ist,
3. Durchführung qualitätssichernder Maßnahmen
in der Versorgung des Patienten, wenn bei der beabsichtigten Maßnahme das
Interesse der Allgemeinheit an der Durchführung die schutzwürdigen
Belange des Patienten erheblich überwiegt und das Ziel nicht mit
anonymisierten Daten erreicht werden kann,
4. Abrechnung und Durchsetzung von Ansprüchen auf Grund
der Behandlung, sowie zur Feststellung der Leistungspflicht und zur
Überprüfung der Wirtschaftlichkeit durch den
Sozialleistungsträger,
5. Unterrichtung von Angehörigen, soweit der Patient
nicht seinen gegenteiligen Willen bekundet hat oder sonstige Anhaltspunkte
bestehen, dass eine Übermittlung nicht angebracht ist,
6. Durchführung eines mit der Behandlung
zusammenhängenden gerichtlichen Verfahrens.
Im Übrigen ist eine Übermittlung nur mit
Einwilligung des Patienten zulässig. Die Übermittlung medizinischer
Patientendaten darf nur durch den behandelnden Arzt veranlasst werden.
(2) Personen oder Stellen, an die Patientendaten befugt
übermittelt worden sind, dürfen diese nur zu dem Zweck
verwenden, zu dem sie ihnen übermittelt wurden. Im Übrigen haben sie
diese Daten unbeschadet sonstiger Datenschutzbestimmungen in demselben Umfang
geheim zu halten wie die übermittelnde Stelle selbst.
§ 6
Automatisierte Abrufverfahren
(1) Ein automatisiertes Verfahren, das die
Übermittlung von Patientendaten durch Abruf ermöglicht, darf nur
eingerichtet werden, soweit ein Gesetz dies ausdrücklich
zulässt.
(2) Die Einrichtung eines automatisierten Verfahrens, das den
Abruf von Patientendaten innerhalb des Krankenhauses ermöglicht, ist unter
Maßgabe des § 10 DSG-EKD zulässig. Ein Direktzugriff auf den
Gesamtdatenbestand ist für andere Stellen im Krankenhaus unter den
Voraussetzungen des § 4 dieser Verordnung nur mit Zustimmung und unter
Verantwortung der Fachabteilung zulässig.
(3) Nach Maßgabe des § 12 Abs. 1 dieser Verordnung
sind durch geeignete Stichprobenverfahren der Zeitpunkt des Abrufs, die
abgerufenen Daten sowie Angaben zur Feststellung des Verfahrens und der für
den Abruf verantwortlichen Personen zu protokollieren. Die Protokolldaten sind
spätestens nach sechs Monaten zu löschen.
(4) Nach Abschluss der Behandlung unterliegen Patientendaten,
die durch automatisierte Verfahren direkt abrufbar sind, dem alleinigen Zugriff
der verantwortlichen Fachabteilung. Dies gilt nicht für diejenigen Daten,
die für das Auffinden der sonstigen Patientendaten erforderlich
sind.
§ 7
Löschung und Sperrung von
Patientendaten
(1) Patientendaten sind unverzüglich zu
löschen, wenn
1. ihre Speicherung unzulässig ist oder
2. sie zur Erfüllung der in § 4 genannten Zwecke
nicht mehr erforderlich sind, die gesetzlich vorgeschriebenen
Aufbewahrungsfristen abgelaufen sind und kein Grund zu der Annahme besteht, dass
durch die Löschung schutzwürdige Belange des Betroffenen
beeinträchtigt werden.
(2) Patientendaten sind nach Maßgabe des § 16
DSG-EKD der Absätze 3 bis 6 zu sperren. Bei Daten, die in automatisierten
Verfahren mit der Möglichkeit des Direktabrufs gespeichert sind, ist die
Möglichkeit zum Direktabruf zu sperren, sobald die Behandlung des Patienten
abgeschlossen ist, die damit zusammenhängenden Zahlungsvorgänge
abgewickelt sind und der Behandlungsbericht erstellt ist.
(3) In automatisierten Datenverarbeitungssystemen gespeicherte
Daten sind zehn Jahre nach Abschluss der Behandlung aufzubewahren; innerhalb
dieser Frist sind die Daten zu sperren. Gespeichert bleiben darf ein Datensatz,
der für das Auffinden der Behandlungsdokumentation erforderlich
ist.
(4) Patientenakten aus dem stationären Bereich sind bis
zu 30 Jahren nach Abschluss der Behandlung aufzubewahren, die der ambulanten
Behandlung zehn Jahre, soweit nicht nach anderen gesetzlichen Vorschriften eine
längere Aufbewahrungspflicht besteht oder sie nach ärztlicher
Erfahrung geboten ist.
(5) Die archivrechtlichen Bestimmungen der
Evangelisch-Lutherischen Landeskirche Sachsens bleiben unberührt.
§ 8
Auskunfterteilung
(1) Dem Patienten ist auf Verlangen
unentgeltlich
1. Auskunft über die zu seiner Person gespeicherten Daten
sowie über die Personen und Stellen zu erteilen, an die personenbezogene
Daten weitergegeben wurden, und
2. Einsicht in die ihm betreffenden Patientenunterlagen zu
gewähren.
(2) Zu erteilende Auskünfte und Einsichtnahmen nach
Absatz 1 sind, soweit sie medizinische Daten des Patienten betreffen, durch den
behandelnden Arzt zu gewähren, der sie im Interesse der Gesundheit des
Patienten begrenzen kann.
(3) Ein Anspruch auf Auskunft oder Einsichtnahme steht dem
Patienten nicht zu, soweit berechtigte Geheimhaltungsinteressen Dritter, deren
Daten zusammen mit denen des Patienten aufgezeichnet sind,
überwiegen.
§ 9
Datenverarbeitung im Auftrag
(1) Eine Verarbeitung oder Nutzung von Patientendaten
im Auftrag durch andere Stellen oder Personen ist nach Maßgabe des §
11 DSG-EKD zulässig.
(2) Datenverarbeitung im Auftrag darf nur angewendet werden,
wenn die Einhaltung der geltenden Datenschutzbestimmungen, insbesondere dieser
Verordnung beim Auftragnehmer sichergestellt ist.
§ 10
Forschung
(1) Patientendaten dürfen innerhalb des Krankenhauses
für eigene wissenschaftliche Forschungsvorhaben von den dort
beschäftigten Personen, die der ärztlichen Schweigepflicht
unterliegen, nach Maßgabe dieser Verordnung verarbeitet oder sonst genutzt
werden.
(2) Patientendaten dürfen zum Zweck einer
bestimmten wissenschaftlichen Forschung nur dann an Dritte übermittelt
werden, wenn der Zweck dieses Forschungsvorhabens nicht mit nach Absatz 3 Satz 1
anonymisierten Daten oder auf andere Weise erfüllt werden kann
und
1. das berechtigte Interesse der Allgemeinheit an der
Durchführung des Forschungsvorhabens das Geheimhaltungsinteresse des
Patienten erheblich überwiegt oder
2. es nicht zumutbar ist, die Einwilligung einzuholen und
schutzwürdige Belange des Patienten nicht beeinträchtigt
werden.
In allen anderen Fällen ist die Übermittlung von
Patientendaten an Dritte und deren Verarbeitung oder Nutzung durch sie nur
zulässig, soweit der Patient eingewilligt hat.
(3) Sobald es der Forschungszweck gestattet, sind die
Patientendaten derart zu verändern, dass Einzelangaben über
persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem
unverhältnismäßig großen Aufwand an Zeit, Kosten und
Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden
können (Anonymisierung). Soweit dies nicht möglich ist, sind Merkmale,
mit deren Hilfe ein Personenbezug hergestellt werden kann, gesondert zu
speichern sobald es der Forschungszweck erlaubt; sobald der Forschungszweck
erreicht ist, sind die Merkmale zu löschen.
(4) Veröffentlichungen von Forschungsergebnissen
dürfen keine Rückschlüsse auf die Person zulassen, deren Daten
verarbeitet oder genutzt werden.
(5) Soweit die Bestimmungen dieser Verordnung auf den
Empfänger keine Anwendung finden, dürfen Patientendaten nur
übermittelt werden, wenn sich dieser verpflichtet
1. die Daten nur für das von ihm genannte
Forschungsvorhaben zu verwenden,
2. die Bestimmungen der Absätze 3 und 4 einzuhalten,
3. die Vorschriften der §§ 5 und 9 dieser Verordnung
zu beachten und
4. dem zuständigen Beauftragten für den Datenschutz
auf Verlangen Einsicht und Auskunft zu gewähren.
§ 11
Aufzeichnungspflicht
In allen Fällen des § 5 Abs. 1 hat die
übermittelnde Stelle den Empfänger, die Art der übermittelten
Daten und die betroffenen Patienten aufzuzeichnen. Gleiches gilt für die
Fälle des § 10 Abs. 2 mit der Maßgabe, dass auch das vom
Empfänger genannte Forschungsvorhaben aufzuzeichnen ist. Außerdem ist
zu bestätigen, dass die Voraussetzungen von § 10 Abs. 2 gegeben
sind.
§ 12
Schutzmaßnahmen
(1) Krankenhäuser, die selbst oder im Auftrag
Patientendaten verarbeiten und nutzen, haben die technischen und
organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die
Ausführungen dieser Verordnung und der Anlage zu § 9 DSG-EKD zu
gewährleisten.
(2) Für jedes Krankenhaus ist entsprechend § 22
DSG-EKD ein Betriebsbeauftragter für den Datenschutz zu
bestellen.
(3) Die speichernde Stelle ist verpflichtet, dem
Betriebsbeauftragten für den Datenschutz nach Maßgabe des § 14
Abs. 2 DSG-EKD die automatisiert geführten Dateien zu meiden.
(4) Schutzmaßnahmen entsprechend Absatz 1 sind mit dem
Betriebsbeauftragten für den Datenschutz abzustimmen; in
Zweifelsfällen hat er den Beauftragten für Datenschutz des
Diakonischen Werkes bzw. der Evangelisch-Lutherischen Landeskirche Sachsens zu
konsultieren. Im Voraus ist ihm insbesondere die in den §§ 6
und 9 genannte Verarbeitung oder Nutzung von Patientendaten
anzuzeigen.
§ 13
In-Kraft-Treten und Außer-Kraft-Treten
Diese Verordnung tritt am 1. Februar 1998 in Kraft.
Gleichzeitig tritt die Verordnung zum Schutz von Patientendaten in kirchlichen
Krankenhäusern vom 11. August 1992 (ABl. S. A 125) außer
Kraft.
Evangelisch-Lutherisches Landeskirchenamt
Sachsens
Hofmann
-~-
Vorsicht ! Bisher nur erste
Tippfehlerkorrektur erfolgt ! (PH)
Vom 03. Dezember 1991 (ABl. 1992 A 31 in Heft 3-4, nicht A
31 in Heft 5)
Reg.-Nr. 60022 BA III 5570
Auf Grund
- von § 17 des Kirchengesetzes der EKD über die
Kirchenmitgliedschaft vom 10. November 1976 (Amtsblatt 1991 Seite A 73
ff),
- der Grundsätze der Kassen- und Rechnungsordnung der
Evangelisch-Lutherischen Landeskirche Sachsens vom 19. Juni 1979 (Amtsblatt
1979, Seite A 49 ff), in der Fassung der Änderungs-Verordnung vom 26. Juli
1983 (Amtsblatt 1983 Seite A 73),
- von § 3 des Datenschutzanwendungsgesetzes der
Evangelisch-Lutherischen Landeskirche Sachsens vom 23. Oktober 1990 (Amtsblatt
1991 Seite A l)
verordnet das Evangelisch-Lutherische Landeskirchenamt
Sachsens Folgendes:
§ 1
Ehe in einem Kirchenvorstand oder Gremium einer kirchlichen
Dienststelle ein Beschluss über die Anschaffung von Geräten der
elektronischen Datenverarbeitung und über Maßnahmen zu ihrer Nutzung
gefasst wird, ist eine Beratung im Landeskirchenamt zu vereinbaren. Diese
Konsultation soll den Kirchenvorstand / die kirchliche Dienststelle bei der
Auswahl geeigneter Geräte- und Programmsysteme unterstützen sowie
ihnen die Nutzung von Rahmen- und Lizenzverträgen ermöglichen. Damit
sollen auch eine weitgehende Verträglichkeit der eingesetzten Hilfsmittel
gesichert, Hinweise für die Behandlung tangierender Probleme
(Arbeitsplatzgestaltung u. a.) gegeben und organisatorische Schwierigkeiten
vermieden werden.
(2) Darüber hinaus bedarf der Einsatz, von Mitteln und
Methoden der elektronischen Datenverarbeitung in den Bereichen Meldewesen,
Personalwesen, Haushalts-, Kassen- und Rechnungswesen (Finanzwesen) sowie
Vereinbarungen zur Datenübertragung auf diesen Gebieten der Genehmigung.
Diese Genehmigung ist auf dem Dienstweg beim Landeskirchenamt zu
beantragen.
(3) Die Genehmigung gemäß Absatz 2 ist zu versagen,
wenn die geltenden Gesetze und Verordnungen zu den genannten Anwendungsgebieten
und zum Datenschutz nicht eingehalten sind, erhebliche materielle und
organisatorische Schwierigkeiten befürchtet werden müssen oder
geeignete, freigegebene Programme nicht zur Verfügung stehen.
(4) Dienststellen im Sinne von Absatz l sind die
Kirchgemeinden, Kirchgemeindeverbände und Kirchenbezirke sowie die Werke,
Ausbildungsstätten, Einrichtungen und sonstige Körperschaften der
Landeskirche. Als Dienststellen gelten auch Teile von Werken,
Ausbildungsstätten, Einrichtungen und sonstigen Körperschaften, die
durch ihren Aufgabenbereich und ihre Organisation eigenständig und
räumlich weit entfernt vom Sitz des Rechtsträgers sind.
§ 2
(1) Alle Programme, bei denen die Belange der in § l,
Absatz 2, genannten Anwendungsgebiete berührt werden und von kirchlichen
Dienststellen eingesetzt werden sollen, müssen unbeschadet des
Genehmigungserfordernisses nach § l, Absatz 2, zuvor freigegeben sein.
Über die Freigabe entscheidet das Landeskirchenamt.
(2) Programme dürfen nur freigegeben werden, wenn sie den
Anforderungen ihres Anwendungsgebietes und des Datenschutzes entsprechen und
prüfsicher sind (vgl. Absatz 3). Ob diese Voraussetzungen erfüllt
sind, kann das Landeskirchenamt unter Beteiligung dritter Stellen auf Kosten des
Antragstellers prüfen lassen.
(3) Die Prüfsicherheit erfordert folgende
Mindestvoraussetzungen:
a) Es muss eine Programm-Dokumentation vorliegen, die eine
vollständige Programmbeschreibung, eine Liste der verwendeten
Informationselemente, eine Bedienungsanleitung sowie eine Aufzählung der
eingebauten Sicherungsmaßnahmen (z. B. hinsichtlich des Benutzerzugriffs)
enthält
b) Das Programm und die Programm-Dokumentation müssen so
aufgebaut sein, dass sachverständige Dritte in angemessener Zeit eine
Programmprüfung durchführen bzw. die Programmpflege und die
Anwenderbetreuung übernehmen können.
(4) Die Programme sollen mit bereits eingesetzten oder
vorgesehenen kirchlichen Programmen verträglich sein
(Schnittstellen).
(5) Eine Freigabe durch die Kirchliche Gemeinschaftsstelle
für Elektronische Datenverarbeitung e.V. (KIGST) steht einer Freigabe durch
das Landeskirchenamt gleich.
(6) Auf Änderung freigegebener Programme sind die
Absätze l bis 5 entsprechend anzuwenden.
§ 3
(1) Speziell für den Bereich des Meldewesens wird
festgelegt, dass der Austausch von Meldedaten zwischen den Kommunen
(Einwohnermeldeämtern) bzw. den von diesen genutzten Rechenzentren und den
kirchlichen Dienststellen nur über die im Landeskirchenamt zu bildende
zentrale Organisationsstelle bzw. in Abstimmung mit dieser erfolgen darf. Damit
soll erreicht werden, dass einheitliche und kostengünstige Verfahren
eingesetzt und auch zentrale Auswertungen ermöglicht werden.
(2) Das Landeskirchenamt hat sicherzustellen, dass die
kommunalen Meldedaten und deren laufende Aktualisierung den Kirchgemeinden in
einer Form übergeben werden, die diesen eine Auswertung für eigene
Zwecke sowie einen Abgleich mit dort vorhandenen Datenbeständen
ermöglicht.
(3) Kirchenmitgliedschaftsbegründende Daten (Taufe,
Eintritt, Wiedereintritt, Übertritt) werden von den Kirchgemeinden mit
einem vorgegebenen Formular an das zuständige Einwohnermeldeamt bzw. an die
mit der Meldearbeit beaufttragte Stelle übermittelt. Über den nach den
Absätzen 1 und 2 vorgesehenen Datenaustausch sind diese Daten
überprüfbar.
§ 4
(1) Für die Anschaffung der benötigten Geräte,
Einrichtungsgegenstände und Programme sowie für die Bewirtschaftungs-
und Personalkosten sind die beteiligten Dienststellen verantwortlich. Dies gilt
auch bei der Inanspruchnahme von Dienstleistungen, die vertraglich abzusichern
sind.
(2) Geräte sind zu inventarisieren; dies gilt auch
für Schenkungen, für die eine Übereignungsurkunde anzufertigen
ist. Über die eingesetzten Programme ist ein Verzeichnis zu
führen.
(3) Das Landeskirchenamt kann zur Erstellung einer aktuellen
Übersicht zu im Einsatz befindlichen EDV-Geräten, Programmen und zu
Fragen des Datenschutzes Erhebungen anstellen, die von den kirchlichen
Dienststellen durchzuführen sind.
§ 5
(1) Die Speicherung und Verarbeitung von Daten, die der
Pfarrer oder ein anderer kirchlicher Mitarbeiter in Ausübung des
Seelsorgeauftrages erlangt hat (Seelsorgedaten), ist unzulässig.
(2) Soweit private Geräte benutzt werden, müssen die
dienstlichen von den privaten Daten getrennt gehalten und der Zugriff auf
Programme und Dateien mindestens an eine Benutzer-Identifikation und an ein
individuelles Passwort gebunden sein. Datenträger mit dienstlichen
Informationen sind getrennt von anderen und nur in dienstlichen Räumen
aufzubewahren.
(3) Speicherung, Verarbeitung und Abruf dienstlicher
personengebundener Daten sind nur in ausschließlich dienstlich genutzten
Räumen gestattet.
(4) Der Einsatz von dienstlichen Geräten für private
Zwecke ist unzulässig.
(5) Auf Geräten, die für die Verarbeitung
dienstlicher Daten verwendet werden, ist der Einsatz von Spielprogrammen
untersagt.
§ 6
Für Programme, die zum Zeitpunkt des In-Kraft-Tretens
dieser Verordnung bereits genutzt werden, sind die erforderlichen
Maßnahmen innerhalb eines Vierteljahres nachzuholen.
§ 7
Diese Verordnung tritt am 1. Januar 1992 in Kraft.
Evangelisch-Lutherisches Landeskirchenamt
Sachsens
Hofmann
-~-
Vorsicht ! Bisher nur erste
Tippfehlerkorrektur erfolgt. (30.11.2004, CC)
unter Nutzung öffentlicher
Kommunikationsnetze
(KontoDirekt-Richtlinie) - Vorläufige Regelung
-
Vom 20. Juni 1997 (ABl. 1997 A 169)
60024 allg. (3) 153
1 Genehmigung
Gemäß § 1 Abs. 2 der Verordnung über
Planung und Genehmigung von Maßnahmen auf dem Gebiet der Elektronische
Datenverarbeitung vom 3. Dezember 1991 bedarf der Einsatz von Mitteln und
Methoden der elektronischen Datenverarbeitung im Haushalt-, Kassen- und
Rechnungswesen der Genehmigung. Die Abwicklung von Bankgeschäften unter
Nutzung öffentlicher Kommunikationsnetze ist eine neue Methode der
elektronischen Datenverarbeitung.
Die bisher bekannten Verfahren für die Abwicklung von
Bankgeschäften über öffentliche Netze können auf Grund
bestehender Risiken noch nicht genehmigt werden. Es erfolgt daher eine
vorläufige Regelung. Um die punktuell vorliegenden Erfahrungen durch eine
breitere Anwendung zu überprüfen und notwendige
Rationalisierungsmaßnahmen zu fördern, wird bis zu einer
endgültigen Klärung die Anwendung des KontoDirekt-Services mit der
Landeskirchlichen Kreditgemeinschaft Sachsen e.G. (LKG) unter den Maßgaben
von Punkt 2 generell genehmigt. Für die Anwendung des KontoDirect-Services
einer anderen Bank kann die Aufsichtsbehörde eine Einzelfallgenehmigung
erteilen, soweit mindestens die Konditionen und Sicherheitsstandards der
Landeskirchlichen Kreditgenossenschaft Sachsen e. G. angeboten werden.
2 Maßgaben
2.1 Bei der Anwendung sind Aufwand und Nutzen abzuwägen.
Das Verfahren kann nur dort Anwendung finden, wo damit nachvollziehbare
Einsparungen erzielt werden.
2.2 Bei der Anwendung sind alle mit vertretbarem Aufwand
realisierbaren, die Sicherheit erhöhenden Maßnahmen zu treffen und
dauerhaft anzuwenden.
2.3 Diese Maßnahmen sind in einer Organisations- und
Arbeitsanweisung der jeweiligen Dienststelle schriftlich zu fixieren.
Insbesondere sind die Verantwortlichkeiten der handelnden Personen
(Gewährleistung des Vier-Augen-Prinzips) festzulegen. Eine Kopie ist der
Aufsichtsbehörde zuzuleiten.
2.4 Bei diesen Maßnahmen sind die im Merkblatt
"Erhöhung der Sicherheit bei Bankgeschäften über öffentliche
Kommunikationsnetze" (Anlage) aufgeführten Mindestanforderungen in jedem
Fall zu erfüllen.
3 Untersagung
3.1 Bei Missbrauch, versuchtem Missbrauch oder
Nichterfüllung von Maßgaben gemäß Punkt 2 kann die
Anwendung für die jeweilige Dienststelle untersagt werden.
3.2 Die Zuständigkeit dafür liegt bei der
Aufsichtsbehörde.
3.3 Es wird darauf hingewiesen, dass die Anwendung der oben
genannten Verfahren auf Risiko des jeweiligen Anwenders geschieht. Die
Landeskirche haftet nicht für eventuelle Schäden; Zuschüsse zur
Regelung eventueller Schäden werden nicht gegeben.
4 Übergangsbestimmungen
4.1 Diese Richtlinie tritt mit sofortiger Wirkung in
Kraft.
4.2 Bei bereits bestehenden Anwendungen sind innerhalb von
zwei Monaten nach In-Kraft-Treten dieser Regelung die erforderlichen
Maßgaben (Punkt 2) umzusetzen.
Dresden, 20. Juni 1997
Evangelisch-Lutherisches Landeskirchenamt
Sachsens
Hofmann
-~-
Vorsicht ! Bisher nur erste
Tippfehlerkorrektur erfolgt ! (20.05.2005)
Merkblatt, Stand: 22. Mai 2001 (ABl. 2001 Beilage
„EDV-Information“, S. 8)
Die Abwicklung von Bankgeschäften über
öffentliche Kommunikationsnetze (geschützte Wählverbindung oder
verschlüsselt über das Internet) ist aus dem Alltag einer
kassenführenden Stelle nicht mehr wegzudenken, und der Druck, neue
Kommunikations- und Informationswege (Internet, E-Mail) zu nutzen, wächst
auch in den kirchlichen Verwaltungseinrichtungen. Es gibt somit drei
Datenbereiche, die voneinander getrennt geschützt werden müssen: die
Anwenderdaten der Dienststelle (Kasse, Kirchgeld, Meldewesen ...), die
Zugangsdaten für die Bank(en) (Konten, Kontoauszüge,
Überweisungen ...) und Kommunikationsdaten (E-Mails mit Anhängen,
Downloads ...).
Die nachfolgend aufgeführten Maßnahmen erhöhen
die Sicherheit, sie bieten jedoch für sich allein keine Gewähr
für einen sicheren Betrieb entsprechend den Vorschriften der Kassen- und
Rechnungsordnung, des Daten- und Geheimnisschutzes und den Bedingungen für
eine stabile Funktion von EDV-Anlagen. Je intensiver neue Medien genutzt werden,
umso mehr Bedeutung hat die Aufmerksamkeit und Verantwortung der
durchführenden und kontrollierenden Personen.
Mindestanforderungen:
a) organisatorische Maßnahmen
- Verfügungssperre (Maximalbetrag je
Übertragung);
- Abruf und Überprüfung der Kontenstände
unmittelbar nach der Übertragung;
- Es müssen Regelungen existieren, welche Maßnahmen
( z. B. unverzügliche telefonische
Information der Bank, zuständiger Mitarbeiter) bei
Feststellung von Übertragungsfehlern zu
ergreifen sind;
- Keinerlei Speicherung von Zugangsdaten auf der Festplatte
(PIN/TAN, Passwörter);
- Einhaltung der Zeichnungsberechtigung: Übermittlung von
PIN und TAN-Listen bzw.
Zugangsdisketten durch die Bank an unterschiedliche Personen
bzw. –kreise;
- Beim PIN/TAN-Verfahren regelmäßige
Änderungen der PIN des Bankeinzuges (mindestens
alle 60 Tage);
- Soll Internet und E-Mail auf dem gleichen PC wie der
Bankzugang genutzt werden, sind
mindestens die folgenden Voraussetzungen zu
schaffen:
- andere Nutzerkennung als Bankzugang;
- ständig mitlaufender, regelmäßig zu
aktualisierender Virenscanner (mindestens
monatlich);
- Kontrolle der E-Mail-Anhänge, bevor diese geöffnet
werden (z.B. als RTF -Datei speichern);
- Es muss vor Ort einen Verantwortlichen geben, der die
Nutzung des Internet-Zugangs technisch überschaut, dokumentiert und
regelmäßig kontrolliert;
- Eindeutige Zugangsregelungen zu diesem PC: In offen
zugänglichen Räumen darf nur ein Betriebssystem mit wirksamen
Zugangsschutz verwendet werden (Windows NT, Linux). Administrator- und
Nutzerzugänge sind fachgerecht einzurichten und zu dokumentieren.
b) technische Maßnahmen
- Es muss abgesichert werden, dass während der Benutzung
von E-Mail und Internet kein
Zugriff auf Daten des lokalen Netzes oder des Programms
für den Bankzugang möglich ist:
- Auf dem gleichen PC möglich durch zwei getrennte
Startpositionen, auf denen je ein Betriebssystem installiert ist;
- Für die „Internet-Partition“ darf kein
Zugang ins lokale Netz eingerichtet sein;
- Vollständige Kontrolle des Datenaustausches in den
geschützten inneren Bereich (Über Diskette oder eine erweiterte
Partition) auf Viren und anderen aktiven Code;
- Die „Freizügigkeit des Bankzugangs“
sperren, d. h. nur von genau einer Telefonnummer ist
der Zugang zum Dienstanbieter möglich.
Wichtige Zusatzmaßnahmen (wo möglich
vorsehen):
- Getrennte PC’s verwenden, Datenaustausch mit
Arbeitsplatzrechnern der Dienststelle
vermeiden oder auf das Mindestmaß begrenzen und streng
kontrollieren;
- Das HBCI- Verfahren für den Bankzugang (möglicher
Ersatz für BTX) setzt eine DFÜ-
Verbindung zu einem Internet- Provider voraus, die zwar
selbst geschützt (verschlüsselt) ist,
aber einen möglichen Weg für äußere
Angriffe auf den PC öffnet. Deshalb ist auch während
der Bankgeschäfte eine Trennung vom lokalen Netz bzw.
den anderen Daten der Dienststelle
dringend zu empfehlen (getrennte Partition, siehe
oben);
- Das FTAM- Verfahren nutzt eine gesicherte Direktverbindung
über ISDN zum Bankrechner
und bietet die höchste erreichbare Sicherheit für
den Bankzugang. Nachteile: höherer Auf-
wand (einmalige und regelmäßige Zugangskosten),
Kontoauszug vom Vortag;
- Für ungeschützte Betriebssysteme (Windows 95, 98,
ME) zusätzlichen PC-Zugang einsetzen
(Power- On- Passwort, Safeguard...);
- Ist ein lokales Netz vorhanden, sollten Datenbanken mit
personenbezogenen oder kassen-
relevante Daten nicht auf dem zur Übertragung benutzten
PC liegen, soweit nicht eine
getrennte primäre Partition dafür verwendet
wird;
- Falls die Bank beim PIN/TAN- Verfahren die Möglichkeit
dazu anbietet, 2 getrennte TAN-
Listen benutzen.
Da die Datensicherheit durch den Einsatz der neuen
elektronischen Medien ein sehr komplexes Gebiet geworden ist, wird eine Beratung
durch den zuständigen EDV-Organisator bei jeder beabsichtigten
Änderung auf diesem gebiet sowie bei Unklarheiten der bestehenden Situation
empfohlen. Damit ist eine auf die örtlichen Gegebenheiten abgestimmte
technische Lösung zu erzielen.
-~-
Vorsicht ! Bisher nur erste
Tippfehlerkorrektur erfolgt ! ( 28.11.1998, PH)
Vom 18. Januar 1994 (ABl. 1994 A 29)
Reg.-Nr.: 0635/191
1. Allgemeines
Telefax-Geräte sind Fernmeldeanlagen im Sinne des
Fernmeldeanlagengesetzes in der Fassung vom 3. Juli 1989 (BGBl. I S. 1455).
Für diese Geräte gilt daher gemäß § 10 des
Fernmeldeanlagengesetzes das Fernmeldegeheimnis. Telefax-Sendungen sind daher
stets vertraulich zu behandeln.
Jede Dienststelle sollte eine Hausanweisung nach Maßgabe
dieser Richtlinie erlassen. In dieser Hausanweisung sind die für die
Bedienung der Geräte Verantwortlichen und ihre Stellvertreter zu benennen.
Telefaxgeräte sind dem Datenschutzbeauftragten der Landeskirche anzuzeigen.
Er führt ein Register der zur Datenübertragung geeigneten Geräte
und Anlagen im Rahmen seiner Kontrollaufgabe.
Telefaxgeräte sind nur in Räumen aufzustellen, in
denen sichergestellt ist, dass die Sendungen nicht unbemerkt von Unbefugten
entnommen und eingesehen werden können.
Jedes Telefax-Gerät ermöglicht den Druck von Sende-
und Empfangsprotokollen. Diese Protokolle sind mit der gleichen Sorgfalt, wie
die Telefax-Sendungen selbst zu behandeln und aufzubewahren.
Vor Absendung einer Telefax-Sendung sind die Seiten zu
nummerieren, und es ist zu überprüfen, ob der Empfänger noch
unter der angegebenen Nummer zu erreichen ist. Auch die Rücksendung der
Empfängerkennung muss überprüft werden, da falsche Verbindungen
häufig übersehen werden.
Jeder Telefax-Sendung ist ein Vorblatt mit folgendem Inhalt
beizufügen:
- Absendende Dienststelle mit Telefax- und
Telefon-Nummer
- Gesamtzahl der gesendeten Seiten
- Datum und Uhrzeit der Absendung/des Empfanges
- Bestätigung des Abganges bzw. Empfanges durch den
Verantwortlichen
2. Umgang mit personengebundenen Daten
gemäß dem Kirchengesetz über den Datenschutz
in der Fassung vom 12. November 1993 (DSG-EKD) (Amtsblatt 1994, Seite A 15)
trägt die eine Telefax-Sendung aufgebende Dienststelle, als so genannte
"speichernde Stelle", die Verantwortung für die zu übermittelnden
Daten. Die Zulässigkeit einer jeden Übermittlung ist daher gem.
§§ 5, 12 und 13 DSG-EKD gründlich zu überprüfen.
Personenbezogene Daten sind nur bei besonderer Eilbedürftigkeit mit einer
Telefax-Sendung zu übermitteln. Vor der Übersendung soll sich der
Absender telefonisch mit dem Empfänger über den Zeitpunkt der Sendung
verständigen. Damit kann erreicht werden, dass der Empfänger die
Telefax-Sendung persönlich in Empfang nimmt. Er muss bei dieser Gelegenheit
auf seine persönliche Verpflichtung zur eigenhändigen Empfangnahme
ausdrücklich hingewiesen werden. Für den Nachweis einer
ordnungsgemäßen Übermittlung ist das unter 1. erwähnte
Vorblatt zu benutzen.
Bei Übermittlungen ins Ausland ist die Ortszeit zu
überprüfen, damit die Telefax-Sendung nicht außerhalb der
Dienstzeit den Empfänger erreicht. Die Ankunftszeit ist auch bei einem
zeitversetzten Senden, z. B. in der gebührensparenden Zeit, zu
beachten.
Telefax-Geräte sind wie Telefongeräte abhörbar.
Daher ist stets zu beachten, dass Angaben, deren fernmündliche
Übermittlung unzulässig ist, auch nicht per Fax-Sendung weitergegeben
werden dürfen.
Evangelisch-Lutherisches Landeskirchenamt
Sachsens
Hofmann
-~-
Vorsicht ! Bisher nur erste
Tippfehlerkorrektur erfolgt ! ( 28.11.1998, PH)
Vom 06. April 1995 (ABl. 1995 A 68)
Reg.-Nr. 60024 BA II/16
1. Allgemeines
Durch den Einsatz transportabler Datenverarbeitungsgeräte
und Datenträger entstehen vielfache Gefahren. Sie bestehen einerseits im
Einschleppen von Computerviren in festinstallierte Standgeräte und lokale
Netze, andererseits im erhöhten Diebstahlrisiko. Diese Richtlinie regelt
daher den Umgang und die Arbeit mit derartigen Geräten und
Datenträgern. Soweit es erforderlich ist, können im Einzelfall
ergänzende Hausanweisungen in den Dienststellen erlassen werden.
2. Begriffsbestimmungen
a) Transportable Datenverarbeitungsgeräte
Laptops, Note-Books, Pen-Pads, Pocket-Organizer, Drucker
u. a.
b) Transportable Datenträger
Disketten, Wechselplatten, externe Festplatten,
Data-Cardriges, Magnetbänder, Magnetkarten und künftige transportable
Datenträger.
c) Fremd-Datenträger
Datenträger aus anderen Dienststellen der
Landeskirche oder aus außerkirchlichen Stellen.
d) Gefährdung
Eine Gefährdung liegt vor, wenn eine
Veränderung, Verfälschung oder der Verlust wichtiger Daten oder gar
die Zerstörung der Gerätetechnik, der Datenträger und der
dazugehörigen Software droht.
e) Boot-Lock Passwort
Dieses Passwort verhindert ein unbefugtes Starten des
Betriebsystems nach erfolgtem Einschalten des Rechners.
f) "booten"
Starten des Betriebsystems über eine
Diskette.
3. Einsatz transportabler Datenverarbeitungsgeräte und
Datenträger
Transportable Datenverarbeitungsgeräte und
Datenträger dürfen nur dort eingesetzt werden, wo die
Verfügbarkeit von Daten, Testprogrammen, Diagnosehilfen etc. dies unbedingt
erforderlich machen. Ein Einsatz solcher Geräte aus Gründen der
Platzersparnis ist nicht zulässig, da ein ergonomisches Arbeiten mit diesen
Geräten nicht möglich ist. Nachfolgend werden praktische Hinweise zum
Umgang mit transportablen Datenverarbeitungsgeräten und Datenträgern
gegeben.
3.1. Organisatorische Maßnahmen:
1. Transportable Datenverarbeitungsgeräte und
Datenträger dürfen niemals unbeaufsichtigt in öffentlichen
Verkehrsmitteln oder privaten KFZ belassen werden.
2. Sie sind nach Dienstschluss verschlossen
aufzubewahren.
3. Ein Einsatz privater Geräte ist nur im Ausnahmefall
und auf Grund einer schriftlichen Genehmigung der Dienststellenleitung
zulässig. Bei der Benutzung privater Geräte ist außerdem §
5 der Verordnung über Planung und Genehmigung von Maßnahmen auf dem
Gebiet der elektronischen Datenverarbeitung vom 3. Dezember 1991, Amtsblatt
1992, Seite A 31, zu beachten.
4. Der Einsatz privater Datenträger auf privaten
Geräten ist grundsätzlich untersagt. Schriftliche Ausnahmen kann nur
die Dienststellenleitung erlassen.
5. Datenträger der Dienststelle müssen als solche
von außen gut lesbar gekennzeichnet sein. Datenträger mit sensiblen
Daten sollten auch über eine Datenträgernummer inventarisiert sein.
Aus der Kennzeichnung sollte auch der Inhalt der Datenträger hervorgehen
(farbige Aufkleber oder Filzstifte verwenden).
3.2. Technische Maßnahmen:
1. Um einen ungewollten Fremdzugriff zu erschweren, ist als
Mindestanforderung die Aktivierung des Boot-Lock Passwortes
vorzusehen.
2. Um Programme und Daten auf transportablen
Datenverarbeitungsgeräten und Datenträger zu schützen, sollte die
jeweilige Dienststelle eine Software einsetzen, die über alle
schutzwürdigen Programm-, Überlagerungs-, Treiber- und auch
Datendateien (Ausnahme sind Dateien, die einer Veränderung unterliegen)
immer konstant bleiben. Regelmäßige Kontrollen ermöglichen damit
eine Überwachung aller Veränderungen auf dem jeweiligen Gerät und
den verwendeten Datenträgern. Der Einsatz von Virenscannern ist sehr
aufwendig, da eine regelmäßige Aktualisierung der Software nötig
ist. Der erreichte Schutzeffekt ist nur sehr gering, weil nur 50 % der derzeit
gängigen Viren erkannt werden. Des weitern entstehen täglich neue
Viren. Hinweise zum Einsatz entsprechender Software gibt der
Datenschutzbeauftragte der Landeskirche.
3. Unverlangt zugesandte Demonstrationssoftware jeglicher Art
ist aus Sicherheitsgründen nicht zu installieren.
4. Es sind regelmäßig Datensicherungen
anzufertigen. Dabei sollten die nachfolgenden Grundsätze beachtet
werden:
a) getrennte Sicherung von Programmen und Daten
b) Durchführung der Datensicherung in mehreren
Generationen (Großvater-Vater-Sohn-Prinzip)
c) räumlich getrennte Aufbewahrung der
Sicherheitskopien.
5. Der Dienststellenleiter hat die Mitarbeiter über ihre
Rechte und Pflichten beim Umgang mit transportablen
Datenverarbeitungsgeräten und Datenträgern regelmäßig zu
unterrichten und die Mitarbeiter zu kontrollieren.
4. Personenbezogene Daten in transportablen
Datenverarbeitungsgeräten
Eine dauernde Haltung von personenbezogenen Daten auf
transportablen Geräten ist nicht zulässig. Bei einer
vorübergehenden Verarbeitung aus technischen Gründen ist als
Mindestanforderung die Aktivierung des Boot-Lock-Passwortes vorzusehen. Ferner
ist eine Datenschutzsoftware zu installieren, die nur dem autorisierten Benutzer
eine Verwendung der Programme und Dateien gestattet. Diese Software muss das so
genannte Booten verhindern können. Entsprechende Software-Empfehlungen gibt
der Datenschutzbeauftragte der Landeskirche. Transportable
Datenverarbeitungsgeräte und Datenträger, auf denen personenbezogene
Daten verarbeitet werden, sind in der Registermeldung der Dateien mit
personenbezogenen Daten an den Datenschutzbeauftragten der Landeskirche zu
melden.
5. Umgang mit Fremd-Datenträgern
Vor dem Einsatz von Fremddatenträgern muss
überprüft werden, ob deren Einsatz unbedingt nötig ist. Sie sind
grundsätzlich vor ihrem Einsatz zu überprüfen. Aus
Sicherheitsgründen muss ein Einsatz derartiger Datenträger
protokolliert werden. Dies gilt analog für die Weitergabe von
Datenträgern der Dienststelle an andere Dienststellen (siehe Anlage). Vor
einer Weitergabe dienststelleneigener Datenträger sollten diese mit dem
Prüfsummenprogramm katalogisiert werden, um im Streitfall rechtlich
geschützt zu sein.
6. Aufbewahrung transportabler
Datenträger
Transportable Datenträger (insbesondere Disketten,
Magnetbänder etc.) sind nach Dienstschluss stets verschlossen zu verwahren.
Ausgenommen hiervon sind nur Wechselplatten und vergleichbare Medien.
Anlage
Datenträgernachweis bei Verwendung von
Fremddatenträgern bzw. bei der Versendung eigener
Datenträger
Datum: E(ingang)/A(usgang)
Datenträgernummer
Herkunft/Empfänger
gepr. durch
Unterschrift
-~-
Vorsicht ! Bisher nur erste
Tippfehlerkorrektur erfolgt ! (30.11.2004, CC)
Im Amtsblatt vom 15. August 1995 (ABl. 1995 A 138)
<Im Text sind folgende Änderungen
berücksichtigt: Änderungen der Beratungstage ab Januar 1997 durch
Mitteilung Reg.-Nr. 60024/123 vom 29.11.1996 (ABl. 1996 A
237).>
Reg.-Nr. 60024 BA IV(1)7
1. EDV-Beratung
Das Landeskirchenamt verweist auf § 1 der Verordnung
über Planung und Genehmigung von Maßnahmen auf dem Gebiet der
elektronischen Datenverarbeitung vom 3. Dezember 1991, veröffentlicht im
Amtsblatt Nr. 3/4 1992 Seite A 31. Danach ist vor der Einführung von EDV
eine Beratung im Landeskirchenamt zu vereinbaren. Diese Beratung kann
darüber hinaus bei unten genannten EDV-Organisatoren wahrgenommen werden.
Die zuständigen Mitarbeiter sind an folgenden Beratungstagen in den
Kirchenamtsratsstellen zu erreichen:
Kirchenamtsratsstelle Bautzen
Herr Langner, donnerstags;
Kirchenamtsratsstelle Chemnitz
Frau Wieland, freitags;
Kirchenamtsratsstelle Dresden
Herr Lötzsch, donnerstags;
Kirchenamtsratsstelle Leipzig
Frau Krause, dienstags;
Kirchenamtsratsstelle Zwickau
Herr Kramer, donnerstags.
Es ist in jedem Fall eine vorherige Vereinbarung eines
Termins erforderlich.
2. EDV-Information
Für die Anwender von EDV innerhalb der
Evangelisch-Lutherischen Landeskirche Sachsens wird vom Landeskirchenamt seit 1
1/2 Jahren ein Informationsmaterial (EDV-Information) herausgegeben. Die
"EDV-Information" wird regelmäßig allen registrierten Nutzern von
EDV-Verfahren unaufgefordert zugestellt. Interessenten, die noch nicht
registrierte Nutzer sind, können die "EDV-Information" mittels der dieser
Ausgabe dieses Amtsblattes beiliegenden Postkarte bestellen.
3. EDV-Weiterbildung
Die Verwaltungsausbildung und die EDV-Organisatoren der
Ev.-Luth. Landeskirche Sachsens organisieren gemeinsam Grundlehrgänge und
Aufbauseminare zur Unterstützung des EDV-Einsatzes. Die Termine wurden
zuletzt im Amtsblatt Nr. 14/1995 veröffentlicht. Interessenten werden um
eine rechtzeitige Anmeldung unter Beachtung der veröffentlichten
Anmeldefristen gebeten. Ein Sonderheft der "EDV-Information" informiert
darüber hinaus ausführlich über Lehrinhalte und Termine. Das
Sonderheft kann bei den EDV-Organisatoren oder der Geschäftsstelle der
Verwaltungsausbildung in 01097 Dresden, Hauptstraße 23 (Haus der Kirche)
bezogen werden.
-~-
Zurück zum betreffenden Teil der Übersicht
Back to start of Church law page / zum Kopf der Kirchenrechtssammlung Dolezalek: click
Back to homepage Dolezalek / zurück zur Hauptseite Dolezalek click