(DSG-EKD)

Fassung vom 13. November 1984 (ABl. 1991 A 1)

§ 1

Geltungsbereich

(1) Dieses Kirchengesetz gilt für die kirchlichen Behörden und sonstige kirchliche Dienststellen sowie ohne Rücksicht auf deren Rechtsform für die kirchlichen Werke und Einrichtungen der Evangelischen Kirche in Deutschland und der Gliedkirchen.

(2) Die Evangelische Kirche in Deutschland und die Gliedkirchen führen jeweils für ihren Bereich über die kirchlichen Werke und Einrichtungen mit eigener Rechtspersönlichkeit, für die dieses Kirchengesetz gilt, eine Übersicht.

§ 2

Aufgabe des Datenschutzes im kirchlichen Bereich

(1) Aufgabe des Datenschutzes im kirchlichen Bereich ist es, die in den Gemeindegliederverzeichnissen und anderen kirchlichen Dateien enthaltenen personenbezogenen Daten bei der Datenverarbeitung vor missbrauch zu schützen.

(2) Die besonderen Bestimmungen über den Schutz des Beicht- und Seelsorgegeheimnisses sowie über die Amtsverschwiegenheit der Pfarrer und kirchlichen Mitarbeiter gehen den Vorschriften dieses Kirchengesetzes vor.

(3) Unberührt bleibt das Recht der Pfarrer und kirchlichen Mitarbeiter, in Wahrnehmung ihres Seelsorgeauftrages eigene Aufzeichnungen zu führen und zu verwenden.

§ 3

Datennutzung im kirchlichen Bereich

(1) Die in § 1 bezeichneten kirchlichen Stellen dürfen geschützte personenbezogene Daten nur für die Erfüllung ihrer Aufgaben nutzen und verarbeiten. Den Pfarrern und kirchlichen Mitgliedern ist es untersagt, diese Daten zu einem anderen Zweck zu nutzen.

(2) Die in § 1 bezeichneten kirchlichen Stellen, Pfarrer und kirchlichen Mitarbeiter sind zur Einhaltung der Bestimmungen verpflichtet, die zum Schutz der personenbezogenen Daten vor missbrauch erlassen sind.

§ 4

Durchführung des Datenschutzes

(1) Die Evangelische Kirche in Deutschland und die Gliedkirchen sind jeweils für ihren Bereich für die Einhaltung eines ausreichenden Datenschutzes verantwortlich.

(2) Die Evangelische Kirche in Deutschland und die Gliedkirchen stellen jeweils für ihren Bereich sicher, dass eine Übersicht geführt wird über

1. die Art der gespeicherten personenbezogenen Daten,

2. die Aufgaben, zu deren Erfüllung die Kenntnis dieser Daten erforderlich ist, und

3. deren regelmäßige Empfänger.

§ 5

Auskunft an den Betroffenen

(1) Betroffenen Personen ist auf Auftrag Auskunft über die zu ihrer Person gespeicherten Daten zu erteilen. In dem Auftrag soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnet werden.

(2) Die Auskunftserteilung unterbleibt, soweit

1. die Auskunft der Erfüllung des der speichernden Stelle obliegenden kirchlichen Auftrages gefährden würde,

2. die personenbezogene Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder ihrem Wesen nach, namentlich wegen der überwiegenden berechtigten Interessen einer dritten Person, geheim gehalten werden müssen.

§ 6

Berichtigung von Daten

Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.

§ 7

Beauftragte für den Datenschutz

(1) Die Evangelische Kirche in Deutschland und die Gliedkirchen bestellen jeweils für ihren Bereich einen Beauftragten für den Datenschutz. Die Gliedkirchen können bestimmen, dass für ihren diakonischen Bereich ein besonderer Beauftragter für den Datenschutz bestellt wird.

(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Er ist auf die gewissenhafte Erfüllung seiner Amtspflichten und die Einhaltung der kirchlichen Ordnungen zu verpflichten.

(3) Der Beauftragte für den Datenschutz ist in Ausübung seines Amtes an Weisungen nicht gebunden und nur dem kirchlichen Recht unterworfen.

(4) Der Beauftragte für den Datenschutz ist verpflichtet, über die ihm amtlich bekannt gewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen , die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Die Verpflichtung besteht auch nach Beendigung des Amtsverhältnisses. Der Beauftragte für den Datenschutz darf, auch wenn er nicht mehr im Amt ist, über Angelegenheiten, die der Verschwiegenheit unterliegen, ohne Genehmigung seines Dienstherrn weder vor Gericht noch außergerichtlich aussagen oder Erklärungen abgeben: die gesetzlich begründete Pflicht, Straftaten anzuzeigen, bleibt unberührt.

(5) Der Beauftragte für den Datenschutz bei der Evangelischen Kirche in Deutschland untersteht der Rechtsaufsicht des Rates der Evangelischen Kirche in Deutschland und der Dienstaufsicht des Präsidenten des Kirchenamtes.

(6) Die Gliedkirchen regeln die Rechtsstellung der Beauftragten für den Datenschutz jeweils für ihren Bereich.

(7) Für die kirchlichen Werke und Einrichtungen mir eigener Rechtspersönlichkeit ist ein Betriebsbeauftragter für den Datenschutz zu bestellen. Er hat die Einhaltungen der Bestimmungen über den Datenschutz sicherzustellen und arbeitet mit dem Beauftragten für den Datenschutz (Absatz 1) zusammen. Für mehrere Werke und Einrichtungen kann ein gemeinsamer Betriebsbeauftragter für den Datenschutz bestellt werden.

§ 8

Aufgaben des Beauftragten für den Datenschutz

(1) Der Beauftragte für den Datenschutz wacht über die Einhaltung der Vorschriften über den Datenschutz. Zu diesem Zweck kann er Empfehlungen zur Verbesserung des Datenschutzes geben und die in § 1 bezeichneten kirchlichen Stellen in Fragen des Datenschutzes beraten. Auf Anforderung der kirchenleitenden Organe hat der Beauftragte für den Datenschutz Gutachten zu erstatten und Berichte zu geben.

(2) Die in § 1 bezeichneten kirchlichen Stellen sind verpflichtet, den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen. Ihm ist Auskunft auf Fragen sowie Einsicht in alle Unterlagen und Akten über die Verarbeitung personenbezogener Daten zu geben, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme; ihm ist jederzeit Zutritt zu allen Diensträumen zu gewähren.

(3) Der Beauftragte für den Datenschutz führt ein Register der automatisch betriebenen Dateien, in denen personenbezogene Daten gespeichert werden. Das Register kann von jedem eingesehen werden, der ein berechtigtes Interesse nachweist. Die in § 1 bezeichneten kirchlichen Stellen sind verpflichtet, die von ihnen automatisch betriebenen Daten bei dem Beauftragten für den Datenschutz anzumelden.

(4) Die kirchlichen Beauftragten sollen untereinander und mit den staatlichen und kommunalen Beauftragten für den Datenschutz zusammenarbeiten.

§ 9

Anrufung des Beauftragten für den Datenschutz

Wer darlegt, dass er bei der Verarbeitung seiner personenbezogenen Daten durch eine der in § 1 bezeichneten kirchlichen Stellen in seinen Rechten verletzt worden ist, kann sich an den Beauftragten für den Datenschutz wenden, wenn die zuständige Stelle nicht abhilft.

§ 10

Beanstandungen des Beauftragten für den Datenschutz

(1) Stellt der Beauftragte für den Datenschutz Verstöße gegen die Datenschutzbestimmungen oder sonstige Mängel bei der Verarbeitung der personenbezogenen Daten fest, so beanstandet er dies gegenüber den zuständigen kirchlichen Stellen und fordert zur Stellungnahme innerhalb einer von ihm zu bestimmenden Frist auf.

(2) Der Beauftragte für den Datenschutz kann von einer Beanstandung absehen oder auf eine Stellungnahme verzichten, wenn es sich um unerhebliche Mängel handelt.

(3) Mit der Beanstandung kann der Beauftragte für den Datenschutz Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbinden. Wird der Beanstandung nicht abgeholfen, so ist der Beauftragte für den Datenschutz befugt, sich an das jeweilige kirchenleitende Organ zu wenden.

(4) Die gemäß den Vorschriften des Absatzes 1 abzugebende Stellungnahme soll auch eine Darstellung der Maßnahme enthalten, die auf Grund der Beanstandungen des Beauftragten für den Datenschutz getroffen worden sind.

§ 11

Ergänzende Bestimmungen

(1) Der Rat der Evangelischen Kirche in Deutschland erlässt durch Rechtsverordnung mit Zustimmung der Kirchenkonferenz Bestimmungen zur Ergänzung und Durchführung dieses Kirchengesetzes.

(2) Die Gliedkirchen erlassen für ihren Bereich Bestimmungen zur Ergänzung und zur Durchführung dieses Kirchengesetzes.

(3) Soweit personenbezogene Daten von staatlichen oder kommunalen Stellen sowie von Sozialleistungsträgern übermittelt werden, gelten zum Schutz dieser Daten ergänzende bundesrechtliche Bestimmungen entsprechend.

§ 12

Daten außerhalb von Dateien

Der Rat der Evangelischen Kirche in Deutschland erlässt durch Rechtsverordnung nach Anhörung des Diakonischen Rates mit Zustimmung der Kirchenkonferenz zur Wahrung des Sozialgeheimnisses Bestimmungen über den Schutz von personenbezogenen Daten außerhalb von Dateien.

§ 13

In-Kraft-Treten

(1) Dieses Kirchengesetz tritt mit Wirkung für die Evangelische Kirche in Deutschland am 1. Januar 1978 in Kraft.

(2) Das Kirchengesetz tritt mit Wirkung für die Gliedkirchen in Kraft, wenn alle Gliedkirchen ihr Einverständnis erklärt haben. Jede Gliedkirche kann es für ihren Bereich zu einem früheren Zeitpunkt in Geltung setzen.

(VO DSG-EKD)

Vom 21. März 1986 (ABl. 1991, Anlage hinter A 1)

gemäß § 11 Abs. 1 und § 12 des Kirchengesetzes über den Datenschutz (DSG-EKD) vom 13. November 1984 (ABl. EKD S. 507) wird mit Zustimmung der Kirchenkonferenz verordnet:

Artikel 1:

Verordnung zu § 11 Abs. 1 DSG-EKD

§ 1

Begriffsbestimmung

(1) Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

(2) Eine Datei ist eine Sammlung von Daten, die nach bestimmten Merkmalen geordnet, umgeordnet und ausgewertet werden können, bei nicht automatisierter Verarbeitung jedoch nur dann, wenn die Datensammlung gleichartig aufgebaut ist. Nicht hierzu gehören Akten und Aktensammlungen, es sei denn, dass sie durch automatisierte Verfahren umgeordnet und ausgewertet werden können.

(3) Datenverarbeitung (§ 2 Abs. 1 DSG-EKD) umfasst die Speicherung, Veränderung, Übermittlung und Löschung von Daten.

a) Speichern ist das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger zum Zweck ihrer weiteren Verwendung;

b) Verändern ist das inhaltliche Umgestalten gespeicherter Daten;

c) Übermitteln ist das Bekannt geben gespeicherter oder durch Datenverarbeitung unmittelbar gewonnener Daten an einen Dritten (Empfänger) in der Weise, dass die Daten durch die speichernde Stelle weitergegeben oder zur Einsichtnahme, namentlich zum Abruf, bereitgehalten werden;

d) Löschen ist das Unkenntlichmachen gespeicherter Daten.

(4) Speichernde Stelle ist jede der in § 1 Abs.1 DSG-EKD genannten Stellen, die Daten für sich selbst speichert oder durch andere speichern lässt. Dritter ist jede Person oder Stelle außerhalb der speichernden Stelle, ausgenommen der Betroffene oder die mit der Datenverarbeitung beauftragte Person oder Stelle.

§ 2

Gegenstand des Datenschutzes

Für in Dateien gesammelte personenbezogene Daten, die nicht zur Übermittlung an Dritte bestimmt sind und nicht in automatisierten Verfahren verarbeitet werden, gelten nur § 6 Abs. 1 und Abs. 3 dieser Verordnung. Für eine im Einzelfall gleichwohl stattfindende Übermittlung gilt das Kirchengesetz über den Datenschutz und diese Rechtsverordnung uneingeschränkt.

§ 3

Datenverarbeitung im Auftrag

(1) Werden geschützte personenbezogene Daten im Auftrag kirchlicher Stellen (§1 Abs. 1 DSG-EKD) durch andere Personen oder Stellen verarbeitet, so ist die Datenverarbeitung nur im Rahmen der Weisungen des Auftraggebers zulässig.

(2) Sofern die kirchlichen Datenschutzbestimmungen auf den Auftragnehmer keine Anwendung finden, ist der Auftraggeber verpflichtet sicherzustellen, dass der Auftragnehmer diese Bestimmungen beachtet und sich der Kontrolle des kirchlichen Datenschutzbeauftragten unterwirft.

(3) Vor einer Beauftragung ist die Genehmigung der nach gliedkirchlichen Recht zuständigen Stelle einzuholen.

§ 4

Datenübermittlung

Personenbezogene Daten dürfen übermittelt werden an

a) kirchliche Stellen (§ 1 Abs.1 DSG-EKD), wenn das zur Erfüllung kirchlicher Aufgaben erforderlich ist, die der übermittelnden Stelle oder dem Empfänger obliegen;

b) Stellen anderer öffentlich-rechtlicher Religionsgesellschaften, wenn das zur Erfüllung der kirchlichen Aufgaben erforderlich ist, die der übermittelten Stelle oder dem Empfänger obliegen, und sofern sichergestellt ist, dass bei dem Empfänger ausreichende Datenschutzmaßnahmen getroffen werden;

c) Behörden und sonstige öffentliche Stellen des Bundes, der Länder und der Gemeinden und der sonstigen Aufsicht des Bundes oder eines Landes unterstehen juristischen Personen des öffentlichen Rechts, wenn das zur Erfüllung der kirchlichen Aufgaben erforderlich ist, die der übermittelnden Stelle obliegen;

d) Personen und andere Stellen nach Genehmigung der nach gliedkirchlichem Recht zuständigen Stelle. Die Genehmigung kann erteilt werden, wenn die Übermittlung in Erfüllung der kirchlichen Aufgaben geschieht und dadurch schutzwürdige Belange der Betroffenen nicht beeinträchtigt werden.

§ 5

Datenschutz im Dienst- und Arbeitsrecht

Soweit die Datenverarbeitung frühere, bestehende oder zukünftige dienst- oder arbeitsrechtliche Rechtsverhältnisse betrifft, gelten die §§ 23-27 Bundesdatenschutzgesetz (BDSG) entsprechend.

§ 6

Durchführung des Datenschutzes

(1) Die kirchlichen Stellen (§ 1 Abs. 1 DSG-EKD) haben bei der Datenverarbeitung die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der kirchlichen Datenschutzbestimmungen, insbesondere die in der Anlage zu dieser Verordnung genannten Anforderungen zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Die in der Anlage genannten Anforderungen werden nach dem Stand des technischen Fortschritts vom Rat der Evangelischen Kirche in Deutschland mit Zustimmung der Kirchenkonferenz fortgeschrieben.

Anlage (zu § 6 Abs. 1 VO DSG-EKD)

Werden personenbezogene Daten automatisch verarbeitet, sind zur Ausführung der Vorschriften dieses Gesetzes Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten geeignet sind,

1. Unbefugten den Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zugangskontrolle)

2. Personen, die bei der Verarbeitung personenbezogener Daten tätig sind, daran zu hindern, dass sie Datenträger unbefugt entfernen. (Abgangskontrolle),

3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle),

4. die Benutzung von Datenverarbeitungssystemen, aus denen oder in die personenbezogene Daten durch selbsttätige Einrichtungen übermittelt werden, durch unbefugte Personen zu verhindern (Benutzerkontrolle),

5. zu gewährleisten, dass die Benutzung eines Datenverarbeitungssystems Berechtigten durch selbsttätige Einrichtungen ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können (Zugriffskontrolle)

6. zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch selbsttätige Einrichtungen übermittelt werden können (Übermittlungskontrolle)

7. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle),

8. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

9. zu gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport entsprechender Datenträger diese nicht unbefugt gelesen, verändert oder gelöscht werden können (Transportkontrolle),

10. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

(2) In die Übersicht nach § 1 Abs. 2 DSG-EKD sind Name, Anschrift, Rechtsform und Art der kirchlichen Werke und Einrichtungen aufzunehmen, für die das DSG-EKD gilt.

Anlage (zu § 6 Abs. 2 VO DSG-EKD, i.V.m. § 1 Abs. 2 DSG-EKD)

Übersicht über den Geltungsbereich des Kirchengesetzes über den Datenschutz

Evangelische Kirche in Deutschland

Gliedkirche:

(Bezeichnung und Anschrift)

1. Name des Werkes oder der Einrichtung

2. Anschrift

3. Rechtsform

4. Aufgabenstellung für das kirchliche Werk bzw. die kirchliche Einrichtung

(3) Die mit der Führung der Gemeindegliederverzeichnisse oder sonst mit der Datenverarbeitung personenbezogener Daten beauftragten Pfarrer und haupt-, neben- oder ehrenamtlichen Mitarbeiter sind bei der Aufnahme ihrer Tätigkeit besonders über den Datenschutz zu belehren und auf seine Einhaltung schriftlich zu verpflichten. Die Pflichten bestehen auch nach Beendigung ihrer Tätigkeit fort.

§ 7

Auskunftserteilung

(1) Auskunft über Gemeindegliederdaten erteilen die zur Führung der Gemeindegliederverzeichnisse verpflichteten kirchlichen Stellen. Soweit die Gemeindegliederdaten im Auftrag der kirchlichen Körperschaften in einem kirchlichen Rechenzentrum gespeichert werden, kann das kirchliche Rechenzentrum mit der Auskunftserteilung beauftragt werden.

Im Übrigen erteilt die speichernde Stelle Auskunft über die bei ihr oder für sie gespeicherten personenbezogenen Daten.

(2) Ein Anspruch auf Auskunft über personenbezogene Daten besteht nicht, soweit die Daten nicht zur Übermittlung an Dritte bestimmt sind und nicht in automatisierten Verfahren verarbeitet werden. Werden die Daten automatisch verarbeitet, kann der Betroffene auch Auskunft über die Personen und Stellen verlangen, an die seine Daten regelmäßig übermittelt werden.

§ 8

Sperrung, Löschung

(1) Personenbezogene Daten sind zu sperren, wenn ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. Sie sind ferner zu sperren, wenn ihre Kenntnis für die speichernde Stelle zur Erfüllung der ihr obliegenden kirchlichen Aufgaben nicht mehr erforderlich ist. Gesperrte Daten sind mit einem entsprechenden Vermerk zu versehen; sie dürfen nicht mehr verarbeitet, insbesondere übermittelt oder sonst genutzt werden, es sei denn, dass die Nutzung zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der speichernden Stelle oder eines Dritten liegenden Gründen unerlässlich ist oder der Betroffene der Nutzung zugestimmt hat.

(2) Personenbezogene Daten können gelöscht werden, wenn ihre Kenntnis für die speichernde Stelle zur Erfüllung der ihr obliegenden kirchlichen Aufgaben nicht mehr erforderlich ist und kein Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Belange des Betroffenen beeinträchtigt werden. Sie sind zu löschen, wenn ihre Speicherung unzulässig ist.

§ 9

Der Betriebsbeauftragte für den Datenschutz

(1) Zum Betriebsbeauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.

(2) Der Betriebsbeauftragte für den Datenschutz (§ 7 Abs. 7 DSG-EKD) ist dem gesetzlich oder verfassungsmäßig berufenen Organ des Werkes oder der Einrichtung unmittelbar zu unterstellen. Er ist bei der Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Er ist bei der Erfüllung seiner Aufgaben zu unterstützen.

(3) Der Betriebsbeauftragte für den Datenschutz hat die Ausführung der Bestimmungen über den Datenschutz sicherzustellen. Zu diesem Zweck kann er sich in Zweifelsfällen an den Beauftragten für den Datenschutz (§ 7 Abs. 1 DSG-EKD) wenden. Er hat insbesondere

a)eine Übersicht über die Art der gespeicherten personenbezogenen Daten und über die Zwecke und Ziele, zu deren Erfüllung die Kenntnis dieser Daten erforderlich ist, über deren regelmäßige Empfänger sowie über die Art der eingesetzten automatisierten Datenverarbeitungsanlagen zu führen;

b) die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen;

c) die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Bestimmungen über den Datenschutz, bezogen auf die besonderen Verhältnisse ihres Aufgabenbereiches, vertraut zu machen;

d) bei der Auswahl der in der Verarbeitung personenbezogener Daten tätigen Personen beratend mitzuwirken.

(4) Zum Betriebsbeauftragten für den Datenschutz soll nicht bestellt werden, wer mit der Leitung der Datenverarbeitung beauftragt ist oder wem die Aufsicht über die Einhaltung eines ausreichenden Datenschutzes obliegt.

---

0635/53

Auf Grund von § 3 des Datenschutzanwendungsgesetzes vom 23. Oktober 1990 (Amtsblatt 1991 Seite A l) verordnet das Evangelisch-Lutherische Landeskirchenamt Sachsens zur Ergänzung und Durchführung des Kirchengesetzes über den Datenschutz in der Fassung vom 13. November 1984 (Amtsblatt 1991 Seite A l) Folgendes:

§ 1

(1) In jeder kirchlichen Dienststelle ist der Personenkreis, der Zugang zu den personenbezogenen Daten haben darf, listenmäßig festzuhalten. Dies betrifft haupt-, neben- und ehrenamtliche Mitarbeiter, die am Aufbau und an der Pflege von Gemeindegliederkarteien und -dateien, Kirchgeld- und Kirchensteuerunterlagen, Personaldateien und anderen personenbezogenen Unterlagen mitarbeiten.

(2) Dienststellen im Sinne von Absatz l sind die Landeskirche, ihre Kirchgemeinden, Kirchgemeindeverbände und Kirchenbezirke sowie die Werke, Ausbildungsstätten, Einrichtungen und sonstigen Körperschaften der Landeskirche und ihrer Diakonie. Als Dienststellen gelten auch Teile von Werken, Ausbildungsstätten, Einrichtungen und sonstigen Körperschaften, die durch ihren Aufgabenbereich und ihre Organisation eigenständig und räumlich weit entfernt vom Sitz des Rechtsträgers sind.

§ 2

(1) Der in § l Absatz l genannte Personenkreis ist durch den jeweiligen Dienststellenleiter bzw. Vorgesetzten auf der Grundlage des dieser Verordnung als Anlage l angefügten Merkblattes über den Datenschutz zu belehren und auf seine Einhaltung schriftlich in Form der Erklärung gemäß Anlage 2 dieser Verordnung zu verpflichten.

(2) Das Merkblatt (Anlage 1) ist jedem Belehrten auszuhändigen. Die Verpflichtungserklärung (Anlage 2) ist zweifach auszufertigen. Eine Ausfertigung erhält der Belehrte, die andere Ausfertigung ist zu den Akten der Dienststelle zu nehmen.

§ 3

(l) Die Belehrung über den Datenschutz gemäß § 2 Absatz l hat jeweils mit der Aufnahme einer Tätigkeit, bei der datenschutzrechtliche Erfordernisse zu beachten sind, zu erfolgen.

(2) Bei allen Personen, die eine entsprechende Tätigkeit bereits ausüben, ist die Belehrung innerhalb von drei Monaten nach dem In-Kraft-Treten dieser Verordnung vorzunehmen.

§ 4

Diese Verordnung tritt am 1. Juli 1991 in Kraft.

2 Anlagen

I.

Die in der Evangelisch-Lutherischen Landeskirche Sachsens jetzt und künftig geltenden Rechtsvorschriften über den Datenschutz sind von allen haupt-, neben- und ehrenamtlichen kirchlichen Mitarbeitern, die am Aufbau und an der Pflege von Gemeindegliederkarteien und -dateien, Kirchgeld- und Kirchensteuerunterlagen, Personaldateien und anderen personenbezogenen Unterlagen mitarbeiten, gewissenhaft zu beachten.

Zurzeit sind in der Landeskirche folgende datenschutzrechtliche Vorschriften gültig:

1. Kirchengesetz zur Anwendung des Kirchengesetzes der Evangelischen Kirche in Deutschland über den Datenschutz (Datenschutz-Anwendungsgesetz) von 23. Oktober 1990 (Amtsblatt 1991 Seite A l);

2. Kirchengesetz der Evangelischen Kirche in Deutschland über den Datenschutz in der Fassung von 13. November 1984 -DSG-EKD- (Amtsblatt 1991 Seite A l);

3. Verordnung der Evangelischen Kirche in Deutschland zum Kirchengesetz über den Datenschutz vom 21. März 1986 -VO DSG-EKD- (Amtsblatt 1991 Seite A 2);

4. Verordnung zur Ergänzung und Durchführung des Kirchengesetzes über den Datenschutz vom 4. Juni 1991 (Amtsblatt Seite A 48).

II.

Zusätzlich zu der schon bisher bestehenden Verpflichtung, dienstlich erlangte Kenntnisse vertraulich zu behandeln, sind für den Bereich der Verarbeitung personenbezogener Daten die nachfolgenden besonderen Festlegungen verbindlich:

1. Personenbezogene Daten sind Einzelangaben über persönliche Verhältnisse (z. B. Name, Geburtstag, Anschrift, Konfession, Beruf, Familienstand) oder sachliche Verhältnisse (z. B. Grundbesitz, Rechtsbeziehungen zu Dritten, Steuermerkmale und -höhe) einer bestimmten oder bestimmbaren natürlichen Person (z. B. Gemeindeglied, kirchliche(r) Mitarbeiter(in)). Sie dürfen nur für die rechtmäßige Erfüllung kirchlicher Aufgaben verarbeitet und genutzt werden. Maßgebend sind die durch das kirchliche Recht bestimmten oder herkömmlichen Aufgaben auf dem Gebiet der Verkündigung, Seelsorge, Diakonie und Unterweisung sowie der kirchgemeindlichen und pfarramtlichen Verwaltung.

2. Personenbezogene Daten und die Datenträger dürfen nicht an Unbefugte gelangen. Daten und Datenträger (z. B. Belege, Karteikarten, Listen, Lochkarten, Magnetkarten, Mikrofiches, Magnetbänder, Festplatten, Magnetplatten, Disketten, Verzeichnisse) sind stets sicher und verschlossen zu verwahren und vor jeder Einsicht oder sonstigen Nutzung durch Unbefugte zu schützen.

3. Personenbezogene Daten und die Datenträger dürfen nur kirchlichen Mitarbeitern zugänglich gemacht werden, die auf Grund ihrer dienstlichen Aufgaben zum Empfang der Daten ermächtigt und ausdrücklich unter Aushändigung des "Merkblattes über den Datenschutz in der Evangelisch-Lutherischen Landeskirche Sachsens" über ihre Verpflichtungen auf dem Gebiet des Datenschutzes belehrt und zur Wahrung des Datengeheimnisses verpflichtet worden sind.

4. Auskünfte aus den Sammlungen der personenbezogenen Daten sowie Abschriften oder Ablichtungen von den Listen und Karteien dürfen nur erteilt und angefertigt werden, wenn ein berechtigtes kirchliches Interesse nachgewiesen ist. Auskünfte zur geschäftlichen oder gewerblichen Verwertung der Daten dürfen in keinem Fall gegeben werden.

5. Alle Informationen, die ein Mitarbeiter auf Grund seiner Arbeit an und mit Listen und Karteien erhält, sind von ihm vertraulich zu behandeln. Diese Pflicht besteht auch nach Beendigung des Dienstverhältnisses.

6. Datenbestände, insbesondere Listen und Karteien, aber auch Datenträger, verbrauchte Farbbandkassetten und andere aussagekräftige Unterlagen, die nicht mehr benötigt werden, müssen in einer Weise vernichtet werden, die jeden missbrauch der Daten ausschließt. Die Erfüllung dieser Verpflichtung ist von den Dienststellenleitern zu kontrollieren.

7. Verstöße gegen den Datenschutz, also die Vertraulichkeit der Daten, sind Verletzungen der Dienstpflicht im Sinne der arbeitsrechtlichen und disziplinarrechtlichen Bestimmungen. Sie können Schadensersatzansprüche des Dienstherrn oder Dritter begründen und mit der Entfernung aus dem Arbeits-/Dienstverhältnis geahndet werden.

8. Mängel beim Datenschutz, bei der Sicherung von Datenbeständen und der ordnungsgemäßen Verarbeitung sind dem jeweiligen Vorgesetzten oder dem Datenschutzbeauftragten der Landeskirche unverzüglich anzuzeigen.

_________________________________________________________________________

Dienststelle

Verpflichtungserklärung

Herr/Frau _________________ geb. am _______________

wohnhaft in ____________________________________

ist als _________________________________________

in der/im ______________________________________

beschäftigt.

Er/Sie erklärt Folgendes:

Nach Belehrung über Inhalt und Bedeutung der Verpflichtung, personenbezogene Daten vertraulich zu behandeln, verpflichte ich mich hiermit ausdrücklich, die in den kirchlichen Datenschutzbestimmungen enthaltenen Regelungen, insbesondere die in dem "Merkblatt über die Datenschutzbestimmungen in der Ev.- Luth. Landeskirche Sachsens" enthaltenen Regelungen über den Datenschutz im Bereich der Verarbeitung personenbezogener Daten zu beachten und sorgfältig einzuhalten.

Diese Verpflichtung erstreckt sich auch auf die Zeit nach Beendigung des Dienstverhältnisses. Ich bestätige außerdem, dass mir oben genanntes Merkblatt ausgehändigt worden ist.

________________, den _____

_______________________

Unterschrift des Mitarbeiters

(Dienstsiegel)

____________________________________________

Unterschrift und Amts- bzw. Dienstbezeichnung des Dienststellenleiters

-~-

Vom 18. April 2000 (ABl. 2000 A 67)

<aufgehoben 2001>

Reg.-Nr. 10667-1/9

Zum Schutz kirchlicher Datenbestände verordnet das Landeskirchenamt Folgendes:

Das Programm Windows 2000 darf nicht erworben und eingesetzt werden1.

Diese Verordnung tritt mit sofortiger Wirkung in Kraft.

1 Nach einer Mitteilung der EKD enthält das neu auf den Markt gebrachte EDV-Programm Windows 2000 eine Programmkomponente, welche von einer Firma hergestellt wurde, die in die Scientology-Dachorganisation WISE eingebunden sein soll. Eine Anschaffung des Programms ist deshalb in zweierlei Hinsicht problematisch: Einmal würde durch den Kauf mittelbar Scientology unterstützt. Zum Zweiten kann bislang nicht ausgeschlossen werden, dass eine technische Möglichkeit besteht, welche auf dem Rechner vorhandene Daten unbemerkt Dritten zugänglich macht.

-~-

Merkblatt, Stand: 17. Juni 1997 (ABl. 1997 A 170)

Die Abwicklung von Bankgeschäften über öffentliche Kommunikationsnetze erlangt sowohl unter geldwirtschaftlichen, als auch unter Rationalisierungsgesichtspunkten eine immer stärkere Bedeutung. Die wünschenswerte Verbesserung darf jedoch nicht zu einer Erhöhung von Risiken führen. Nachfolgend aufgeführte Maßnahmen erhöhen die Sicherheit, sie bieten jedoch allein für sich keine Gewähr für eine (den Vorschriften der Kassen- und Rechnungsordnung, des Datenschutzes, des Geheimnisschutzes und den Bedingungen für eine stabile Funktion von EDV-Anlagen) absolute Sicherheit. Die Aufmerksamkeit und Verantwortung der durchführenden und kontrollierenden Personen ist unverzichtbar.

a) organisatorische Maßnahmen

- Verfügungssperre (Maximalbetrag je Übertragung);

- die Haftungsklausel der Bank darf das Risiko nicht allein auf den Nutzer abwälzen (Risikogemeinschaft); die Haftung des Nutzers muss sich auf Fehler in seinem Verantwortungsbereich beschränken (siehe z. B. "Sonderbedingungen für den Konto-Direkt-Service" DG Verlag in der Fassung 1/97 - wie sie von der Landeskirchlichen Kreditgenossenschaft Sachsen derzeit angeboten werden);

- zur Laufzeit1 darf keine Verbindung des zur Übertragung genutzten PC zu lokalen Nutzern bestehen (LOGOUT, Abmelden, Verbindung trennen);

- Abruf und Überprüfung der Kontenstände unmittelbar nach der Übertragung;

- es müssen Regelungen existieren, welche Maßnahmen (z. B. unverzügliche telefonische Information an die Bank, Tel.-Nr., zuständiger Mitarbeiter) bei Feststellung von Übertragungsfehlern zu ergreifen sind;

- Eingabe der TAN manuell zur Laufzeit1,

- keine Hinterlegung der TAN in Programmen oder Dateien;

- das Freischalten neuer TAN-Listen darf nur manuell zur Laufzeit1 erfolgen;

- Übermittlung von PIN und TAN (durch die Bank) muss an unterschiedliche Personen (bzw. Personenkreise im Sinne der Zeichnungsberechtigung) erfolgen;

- eine PIN darf nur dann in einem Programm hinterlegt werden, wenn sie dort vor unbefugtem Zugang geschützt ist (Verschlüsselung der PIN; personenbezogener sowie passwortgeschützter Programmzugang, Umgehung des programmeigenen Zugangsschutzes unmöglich);

- PIN des Bankzuganges regelmäßig (mindestens aller 60 Tage) ändern;

- mit der gleichen Nutzerkennung dürfen keine anderen Dienste (E-MAIL,...) genutzt werden;

- auf gleichen PC kein Zugang zu Internet, anderen ON-Line-Diensten o. Ä..

b) technische Maßnahmen

- Nutzerkennung des Dienstes (z. B. T-ONLINE) auf den Bankzugang beschränken;

- "Freizügigkeit des BTX-Zuganges" sperren, d. h. nur von genau einer Telefon-Nummer ist der Zugang zum Dienstanbieter möglich.

wichtige Maßnahmen (wo möglich vorsehen):

- keine (niemals) Verbindung des für die Übertragung genutzten PC zu lokalen Netzen (NetWare, WINDOWS f. WORKGROUPS, WINDOWS95, WARP-CONNECT, ...) d. h. extra (ausgedienten) PC für die Übertragung nutzen;

- wo die Bank über die Möglichkeit verfügt, an Stelle einer TAN zwei getrennte TAN-Listen zu erzeugen, ist dieses Verfahren zu benutzen;

- PC-Zugangsschutz realisieren (Power-ON-Passwort, Safe-Guard, ...);

- ISDN-Anschluss verwenden;

- PC-interne ISDN-Karte verwenden;

- keine Verarbeitung von personenbezogenen Daten auf dem zur Übertragung benutzten PC;

- keine Kassenführung auf dem zur Übertragung benutzten PC;

- wenn der zur Übertragung benutzte PC in der Regel mit einem Netzwerk oder einem anderen PC verbunden ist, dann sollte die Datenbank des Kassenprogramms und /oder eines Programms, welches personenbezogene Daten verarbeitet (z. B. DaviP/KIRCH) nicht auf dem gleichen Gerät liegen.

1 _{Laufzeit ... ist der Zeitraum, in welchem die Verbindung über das öffentliche Kommunikationsnetz besteht.}