Neuapostolische Kirche Hessen / Rheinland-Pfalz / Saarland

Transkript

1 Neuapostolische Kirche Hessen / Rheinland-Pfalz / Saarland Datenschutzrichtlinie vom Geltungsbereich und Zweck 2 Begriffsbestimmungen 3 Datengeheimnis 4 Umgang mit personenbezogenen Daten 5 Gewährleistung des Datenschutzes 6 Datenschutzbeauftragter 7 Rechte der Betroffenen 8 Datenübermittlung an kirchliche Stellen und an Behörden 9 Datenübermittlung an sonstige Stellen 10 Kontrollmaßnahmen 11 Sicherungsmaßnahmen 12 Nutzung nichtkirchlicher DV-Anlagen 13 Schweigepflicht 14 Aufhebung bisheriger Bestimmungen 15 Inkrafttreten Seite 1 (von 8)

2 1 Geltungsbereich und Zweck (1) Diese Richtlinie gilt für alle in der Gebietskirche Hessen / Rheinland-Pfalz / Saarland und den von ihr betreuten Gebietskirchen hauptberuflich oder ehrenamtlich tätigen Mitarbeiterinnen und Mitarbeiter, soweit sie im Rahmen ihrer kirchlichen Aufgaben personenbezogene Daten erheben, verarbeiten oder nutzen. (2) Zweck dieser Richtlinie ist der Schutz des Einzelnen vor einer Beeinträchtigung seines Persönlichkeitsrechts im Umgang mit seinen personenbezogenen Daten. (3) Soweit besondere staatliche Rechtsvorschriften auf personenbezogene Daten anzuwenden sind, gehen sie den Vorschriften dieser Richtlinie vor. 2 Begriffsbestimmungen (1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). 1 (2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. (3) Erheben ist das Beschaffen von Daten über den Betroffenen. (4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren: 1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung, 2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten, 3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft, 4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken, 5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten. (5) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. (6) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. (7) Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. 1 Dazu gehören z. B. Namen, Anschrift, Geburtstag und Lebensalter, Familienstand und gesundheitliches Befinden. Seite 2 (von 8)

3 (8) Datenverarbeitungsanlagen (DV-Anlagen) sind: vernetzte und nicht vernetzte Personalcomputer (PC), tragbare Personalcomputer (Notebooks, Laptops), alle sonstigen zur elektronischen Verarbeitung von Daten nutzbaren Geräte (z.b. Mobiltelefone). (9) Im Übrigen gelten die Begriffsbestimmungen des Bundesdatenschutzgesetzes in der jeweils gültigen Fassung. 3 Datengeheimnis (1) Die in 1 genannten Personen dürfen geschützte Daten nur in Erfüllung der ihnen übertragenen kirchlichen Aufgaben erheben, verarbeiten und nutzen. Der Gebrauch zu anderen Zwecken ist untersagt. (2) Die in 1 genannten Personen sind, soweit sie Zugang zu Dateien haben, bei Beginn ihrer Tätigkeit über den Inhalt des Datengeheimnisses zu belehren und auf seine Einhaltung, auch über die Beendigung ihrer Tätigkeit hinaus, schriftlich zu verpflichten. Die Verantwortung für die Belehrung der ehrenamtlichen Mitarbeiterinnen und Mitarbeiter in den Gemeinden und Bezirken trägt der Bezirksvorsteher, der mit der Durchführung seinen EDV-Beauftragten betrauen kann. Die Verpflichtungserklärung ist bei der Verwaltung der Gebietskirche aufzubewahren. (3) Die in 1 genannten Personen können sich in Wahrnehmung ihrer kirchlichen Aufgaben in allen den Datenschutz und die Datensicherheit betreffenden Fragen an die Verwaltung der Gebietskirche und den vom Kirchenpräsidenten bestellten Datenschutzbeauftragten wenden. (4) Die in 1 genannten Personen müssen sicherstellen, dass Unbefugte keinen Zugang zu gespeicherten Daten erhalten. 2 4 Umgang mit personenbezogenen Daten (1) Im Rahmen der Datenverarbeitung dürfen nur solche Daten erhoben, verarbeitet oder genutzt werden, die zur Erfüllung kirchlicher Aufgaben erforderlich sind. Es sind so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. (2) Werden personenbezogene Daten in einer automatisierten Datei gespeichert, dann ist der Betroffene hiervon zu benachrichtigen. Bei erstmaliger Aufnahme der Daten in die MDV ist darauf zu achten, dass die entsprechende Erklärung im Mitgliedsdatenblatt unterschrieben wird. Dieses Mitgliedsdatenblatt ist in der Gemeinde der Ersterfassung aufzubewahren. (3) Die Veröffentlichung von personenbezogenen Daten ist nur mit ausdrücklicher Zustimmung des Betroffenen zulässig. 3 (4) Personenbezogene Daten sind zu berichtigen, sobald der datenführenden Stelle die Unrichtigkeit bekannt wird. Änderungen der Daten sind unverzüglich der datenführenden Stelle zu melden. 2 Siehe dazu im Einzelnen Dies betrifft auch Aushänge in den Gemeinden (z. B. eine Krankentafel ) und die Bekanntgabe von Geburtstagen in Gemeinde-, Senioren- und Jugendinfos. Seite 3 (von 8)

4 (5) Personenbezogene Daten sind zu sperren, wenn ihre Richtigkeit von dem Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. 4 (6) Personenbezogene Daten können gelöscht werden, wenn ihre Kenntnis zur Erfüllung der kirchlichen Aufgaben nicht mehr erforderlich ist und kein Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Belange des Betroffenen beeinträchtigt werden. (7) Personenbezogene Daten sind zu löschen, wenn ihre Speicherung unzulässig ist. 5 Gewährleistung des Datenschutzes (1) Alle mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten in der Gebietskirche Betrauten tragen Verantwortung für die Einhaltung des Datenschutzes in ihrem Verantwortungsbereich. (2) Die Letztverantwortung trägt der Kirchenpräsident. Er veranlasst die in Ausführung dieser Richtlinie erforderlichen Maßnahmen. Dazu gehören insbesondere die Bestellung eines Datenschutzbeauftragten, der Erlass notwendiger Richtlinien und sonstiger Bestimmungen, die Unterweisung der in 1 genannten Personen durch fachkundige Mitarbeiter und die Prüfung, ob die einschlägigen Vorschriften eingehalten werden. Der Kirchenpräsident soll auch in angemessener Frist die Maßnahmen darstellen, die aufgrund von Beanstandungen des Datenschutzbeauftragten getroffen wurden. (3) Die Kirchenverwaltung führt im Auftrag des Kirchenpräsidenten ein Register über die Art der gespeicherten personenbezogenen Daten, die Aufgaben, zu deren Erfüllung die Kenntnis dieser Daten erforderlich ist, deren regelmäßige Empfänger und die Personen, die eine Verpflichtungserklärung zum Datenschutz ( 3 Abs. 2) abgegeben haben. 6 Datenschutzbeauftragter (1) Der Kirchenpräsident bestellt für einen Zeitraum von fünf Jahren einen Datenschutzbeauftragten. Die Wiederbestellung ist zulässig. Bei Vorliegen eines wichtigen Grundes kann der Kirchenpräsident den Datenschutzbeauftragten vorzeitig abberufen. (2) Zum Datenschutzbeauftragten kann nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. (3) Der Datenschutzbeauftragte wacht in eigener Verantwortlichkeit über die Einhaltung der Vorschriften über den Datenschutz. 4 Die Sperrung erfolgt, indem diese Daten aus der laufenden Datenverarbeitung ausgegliedert werden. Sie dürfen nur noch für Registratur- und Statistikzwecke verwendet werden. Seite 4 (von 8)

5 (4) Der Datenschutzbeauftragte ist in Ausübung seiner Tätigkeit befugt, Einsicht zu nehmen in die kirchlichen Unterlagen und Akten, die im Zusammenhang mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten stehen, insbesondere in die gespeicherten Daten und Datenverarbeitungsprogramme. Er ist berechtigt, die datenführenden Stellen und Personen nach Anmeldung jederzeit aufzusuchen. Sie sind ihm gegenüber zur Auskunft verpflichtet über Fragen, die der Erfüllung seiner Aufgabe dienen. (5) Der Datenschutzbeauftragte berät den Kirchenpräsidenten in Angelegenheiten des Datenschutzes und erstattet auf Anforderung des Kirchenpräsidenten Gutachten und Berichte. Er ist verpflichtet, Verstöße gegen die Datenschutzbestimmungen schriftlich zu beanstanden. (6) Der Datenschutzbeauftragte erhält ein Exemplar des in 5 Abs. 3 genannten Registers. (7) Der Datenschutzbeauftragte ist entsprechend den für Amtsträger geltenden Vorschriften zur Verschwiegenheit verpflichtet. 7 Rechte der Betroffenen (1) Betroffenen Personen ist auf schriftlichen Antrag Auskunft über die zu ihrer Person gespeicherten Daten zu erteilen. Der Antrag ist an die Kirchenverwaltung zu richten bzw. an sie weiterzuleiten. (2) Wer annimmt, bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten durch eine kirchliche Stelle in seinen Rechten verletzt worden zu sein, kann sich schriftlich an den Datenschutzbeauftragten wenden. 8 Datenübermittlung an kirchliche Stellen und an Behörden (1) Die Übermittlung von personenbezogenen Daten innerhalb des Geltungsbereiches dieser Richtlinie und an andere neuapostolische Kirchen oder neuapostolische Kirchenorganisationen ist zulässig, wenn sie zur Erfüllung der kirchlichen Aufgaben erforderlich ist. (2) Die Verantwortung für die Zulässigkeit und Datensicherheit der Übermittlung trägt die übermittelnde kirchliche Stelle. (3) Personenbezogene Daten dürfen an Behörden oder sonstige öffentliche Stellen des Bundes, der Länder und der Gemeinden und sonstiger der Aufsicht des Bundes oder eines Landes unterstehenden juristischen Personen des öffentlichen Rechts übermittelt werden, wenn dies zur Erfüllung der kirchlichen Aufgaben erforderlich ist und nicht offensichtlich berechtigte Interessen der betroffenen Person entgegenstehen. 5 9 Datenübermittlung an sonstige Stellen (1) Die Übermittlung von personenbezogenen Daten an sonstige Stellen oder Personen ist nur zulässig, (a) wenn sie zur Erfüllung der kirchlichen Aufgaben erforderlich ist oder (b) die datenempfangende Stelle oder Person ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. (2) Die Verantwortung für die Zulässigkeit und Datensicherheit der Übermittlung trägt die übermittelnde kirchliche Stelle. 5 Dies betrifft z. B. Anfragen beim Einwohnermeldeamt zur Ermittlung der neuen Anschrift, wenn Gemeindemitglieder verzogen sind. Seite 5 (von 8)

6 (3) Im Falle des Abs. 1 Ziffer b unterrichtet die Verwaltung der Gebietskirche als übermittelnde Stelle den Betroffenen von der beabsichtigten Übermittlung seiner Daten. (4) Die Übermittlung bedarf in Zweifelsfällen der Zustimmung des Datenschutzbeauftragten. (5) Die übermittelnde Stelle hat den Empfänger schriftlich darauf hinzuweisen, dass die übermittelten Daten nur für den Zweck verarbeitet und genutzt werden dürfen, für den sie übermittelt wurden. 10 Kontrollmaßnahmen (1) Bei der automatisierten Verarbeitung personenbezogener Daten sind die nachstehend genannten Maßnahmen zum Schutz personenbezogener Daten zu treffen, soweit ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 1. Zugangskontrolle Es ist sicherzustellen (z.b. durch Eingabe eines Passwortes), dass Unbefugte keinen Zugang zur DV-Anlage erhalten. Passwörter sind geheim zu halten und in angemessenen Zeitabständen zu ändern. Beim Verlassen der Anlage muss eine Abmeldung aus den aufgerufenen Programmen erfolgen, bei kurzzeitigem Verlassen sind entsprechende Sicherungsmaßnahmen zu treffen. 2. Datenträgerkontrolle Es ist zu verhindern, dass Datenträger (z.b. Diskette, CD-Rom, DVD, USB-Stick) unbefugt gelesen, kopiert, verändert oder entfernt werden können. Sicherungskopien sind von den Originaldaten getrennt aufzubewahren. Defekte und auszumusternde Datenträger sind zu zerstören oder physikalisch zu löschen. 3. Speicherkontrolle Es muss sichergestellt werden, dass Unbefugte keine Eingaben in den Speicher vornehmen und keine gespeicherten Daten zur Kenntnis nehmen, verändern oder löschen können. 4. Benutzerkontrolle Die unbefugte Benutzung von DV-Anlagen mit Hilfe von Einrichtungen zur Datenübertragung ist durch Einrichtung von Benutzeranmeldung und Passwörtern zu verhindern. 5. Zugriffskontrolle Bei Mehrplatzanlagen und in PC-Netzen ist durch die Einrichtung von Zugriffsberechtigungen sicherzustellen, dass die Benutzer ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten und Programme zugreifen können. 6. Übermittlungskontrolle Um überprüfen und feststellen zu können, wann und an welche Stelle personenbezogene Daten im Wege der Datenübertragung gemäß 8 und 9 übermittelt wurden, sind die entsprechenden Übermittlungsvorgänge zu protokollieren. Im Falle des Versands per sind die ausgehenden und eingehenden s in einen separaten elektronischen Ordner zu speichern, auf den der Datenschutzbeauftragte bei Bedarf Zugriff haben muss. 7. Eingabekontrolle Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit vom wem eingegeben wurden. Bei Nutzung eines PC durch mehrere Personen ist jedem Benutzer eine eigene Zu- Seite 6 (von 8)

7 gangsberechtigung (Benutzeranmeldung und Passwort) zu erteilen. Jeder Nutzer darf nur mit seiner Kennung an diesem PC personenbezogene Daten verarbeiten. 8. Transportkontrolle Es ist zu gewährleisten, dass bei der Übertragung oder Übermittlung personenbezogener Daten und beim Transport von Datenträgern kein Unbefugter auf Daten zugreifen kann. Hierbei sind Passwortschutz, Datenverschlüsselung, Protokollierung und spezielle Versandform zu benutzen. 6 Grundsätzlich ist die sicherste Form der Übermittlung zu verwenden. (2) Wird eine DV-Anlage ausgetauscht oder ausgesondert, sind die personenbezogenen Daten vorher physikalisch zu löschen. Erfolgt eine vorübergehende Entfernung der DV-Anlage aus der Verfügungsgewalt der speichernden Stelle (z.b. bei einer Reparatur), ist sicherzustellen, dass ein Zugriff auf gespeicherte Daten nicht erfolgen kann. Wartungs- und Reparaturarbeiten an DV-Anlagen sind nur unter fachkundiger Aufsicht zuzulassen. 11 Sicherungsmaßnahmen (1) Datensicherheit ist auch zu gewährleisten durch die Sicherung der Daten, der Programme und der Geräte vor unbeabsichtigter oder mutwilliger Beschädigung und Verlust. (2) Von den auf DV-Anlagen gespeicherten Daten, für die keine zentrale Datensicherung vorgesehen ist, sind regelmäßig Sicherungskopien (mindestens einmal monatlich) auf einem besonderen Datenträger anzufertigen. Diese sind eindeutig zu beschriften und vor unberechtigtem Zugriff sicher aufzubewahren. 12 Nutzung nichtkirchlicher DV-Anlagen (1) Den ehrenamtlich tätigen Mitarbeitern ist die Nutzung privater DV-Anlagen zur Verarbeitung personenbezogener Daten von Kirchenmitgliedern gestattet. Hierbei sind die besonderen Sicherheitsbestimmungen und Kontrollmaßnahmen gemäß 10 dieser Richtlinie zu beachten. Die Verarbeitung solcher Daten auf den DV-Anlagen Dritter (z.b. Arbeitgeber) ist nicht gestattet. (2) Die Kontrollbefugnisse des Datenschutzbeauftragten nach 6 Abs. 4 gelten auch für diese DV-Anlagen, soweit sie die kirchliche Nutzung betreffen. (3) Wird die Nutzung einer privaten DV-Anlage für kirchliche Zwecke aufgegeben, müssen Programme und Daten gelöscht werden, soweit sie die kirchliche Nutzung betreffen. 13 Schweigepflicht Soweit Mitarbeiterinnen und Mitarbeiter in Ausübung ihrer kirchlichen Tätigkeit Kenntnisse über persönliche Angelegenheiten bestimmter Personen erhalten, unterliegen sie darüber hinaus der Verpflichtung zur Verschwiegenheit nach Maßgabe der kirchlichen und staatlichen Vorschriften. 6 Eine Übertragung oder Übermittlung per ist nur zulässig, wenn sich die personenbezogenen Daten im Anhang in einer verschlüsselten Datei befinden. Seite 7 (von 8)

8 14 Aufhebung bisheriger Bestimmungen Die Richtlinie für die Organisation, den Datenschutz und die Datensicherheit im Bereich der Datenverarbeitung (DV-Richtlinie) vom 11. Januar 2001 wird aufgehoben. 15 Inkrafttreten Die Datenschutzrichtlinie tritt am in Kraft. Frankfurt am Main, den Der Kirchenpräsident (Bernd Koberstein) Seite 8 (von 8)