Rundverfügung G 2/2018 (lt. Verteiler) Neue Verpflichtungserklärung für Mitarbeitende; neues EKD- Datenschutzgesetz (DSG-EKD)

Transkript

1 Landeskirchenamt Postfach Hannover Dienstgebäude Rote Reihe 6 Rundverfügung G 2/2018 (lt. Verteiler) Hannover Telefon/FAX /266 landeskirchenamt@evlka.de Auskunft Herr Salewski Durchwahl Hartmut.Salewski@evlka.de Datum 3. Mai 2018 Aktenzeichen N / 77 R 325 Neue Verpflichtungserklärung für Mitarbeitende; neues EKD- Datenschutzgesetz (DSG-EKD) - Das bisherige Muster für die Verpflichtungserklärung zum Datenschutz wird durch zwei neue Muster (jeweils unterschiedlich für beruflich und ehrenamtlich Mitarbeitende) ersetzt. Die neuen Muster sind ab dem zu verwenden. - Die Synode der EKD hat ein neues Datenschutzgesetz (DSG-EKD) beschlossen, das am in Kraft tritt. Dieses Gesetz ist in der Landeskirche direkt anzuwenden. Die ergänzenden landeskirchlichen Datenschutzbestimmungen, insbesondere das Datenschutz- Anwendungsgesetz (DSAG), die Datenschutzdurchführungsverordnung (DATVO) und die Verwaltungsvorschriften für die Durchführung des kirchlichen Datenschutzes (VV-DS) werden zurzeit überarbeitet. Sie gelten zunächst solange fort, bis sie durch neue Regelungen ersetzt werden. 1. Neue Verpflichtungserklärung für Mitarbeitende Mit Inkrafttreten des neuen DSG-EKD zum sind neue Muster für die Verpflichtung der Mitarbeitenden auf den Datenschutz (Verpflichtungserklärung) zu verwenden. Diese ersetzen das bisher durch Verwaltungsanordnung vom (Kirchl. Amtsbl. S. 46) veröffentlichte Muster. Die Muster können auch von der Homepage der Landeskirche heruntergeladen werden unter: Wir bitten Sie, ab dem nur noch diese neuen Muster zu verwenden. Bei den Verpflichtungserklärungen zum Datenschutz soll künftig danach unterschieden werden, ob es sich um beruflich oder ehrenamtlich Mitarbeitende handelt. Die Unterscheidung ist dadurch begründet, dass ehrenamtlich Mitarbeitende keinen Dienstpflichten unterliegen wie berufliche Mitarbeitende. Diese Unterscheidung ist im bisherigen Muster der Verpflichtungserklärung nicht berücksichtigt und nunmehr berichtigt worden. /2

2 - 2 - Vielfach wird übersehen, dass auch ehrenamtlich Mitarbeitende mit einer Reihe von personenbezogenen Daten umgehen (z.b. als Kirchenvorstandsmitglied, bei Geburtstagsbesuchen oder bei der Verteilung von Gemeindebriefen). Deshalb war bereits in der Amtsblattverfügung von 2003 eine Verpflichtungserklärung auch für die Ehrenamtlichen ausdrücklich vorgesehen. Die auf 26 DSG-EKD neu beruhende Verpflichtung sieht zwar keine besonderen Formvorschriften vor. Ein Aushang am schwarzen Brett mit dem Hinweis auf die Verpflichtung zur Einhaltung des Datenschutzes oder eine Bekanntmachung in der Dienstanweisung reichen jedoch nicht aus. Erforderlich ist vielmehr eine persönliche Verpflichtung im Einzelfall. Personen, die nach dem alten Recht bereits verpflichtet wurden, müssen nach dem nicht erneut auf das Datengeheimnis verpflichtet werden. Dies gilt auch für Personen, die aufgrund anderer kirchlicher Bestimmungen bereits zur Verschwiegenheit verpflichtet wurden. Die unterschriebenen Verpflichtungserklärungen sind bei beruflich Mitarbeitenden zur Personalakte zu nehmen, bei Ehrenamtlichen in eine entsprechende Akte der die Ehrenamtlichen beauftragenden Stelle. Das entsprechende Merkblatt ist der zu verpflichtenden Person auszuhändigen. 2. Neues Datenschutz der EKD (DSG-EKD neu) Zum tritt das neue DSG-EKD in Kraft. Es löst das bisherige DSG-EKD vom , zuletzt geändert am (ABl. EKD S. 34) ab. Das Gesetz ist in der Rechtssammlung der EKD bereits veröffentlicht unter: EKD. Nach dem Inkrafttreten für die Landeskirche wird es auch in die landeskirchliche Rechtssammlung aufgenommen. Wir möchten an dieser Stelle noch einmal ausdrücklich darauf hinweisen, dass die Datenschutzgrundverordnung der Europäischen Union (DS-GVO) nicht für den Bereich der evangelischen Kirche gilt. Innerhalb der verfassten Kirche und auch für den Bereich der Diakonie ist ab dem ausschließlich das neue DSG-EKD anzuwenden. Bitte weisen Sie darauf auch alle Personen hin, die versuchen, Ihnen entgeltliche Beratungsangebote zum neuen Datenschutzrecht auf der Grundlage der DS-GVO zu vermitteln. Die Sonderstellung der evangelischen Kirche beruht auf einer Ermächtigung des Art. 91 DS-GVO, nach der es religiösen Gemeinschaften oder Vereinigungen in einem Mitgliedstaat der EU erlaubt ist, eigene kirchliche Regelungen anzuwenden, wenn diese mit der DS-GVO in Einklang gebracht werden. Um diesen Einklang mit dem EU-Recht herzustellen, musste das bisherige Gesetz jedoch umfangreich modifiziert werden, und /3

3 - 3 - eine Reihe von neuen Begrifflichkeiten aus der DS-GVO wurde neu eingeführt. Dabei ließ es sich nicht vermeiden, dass das neue Datenschutzgesetz deutlich umfangreicher als das bisherige ist. Die Synode der EKD war jedoch bemüht, den Besonderheiten kirchlicher Arbeit so weit wie möglich Rechnung zu tragen und den Umfang des Gesetzes auf diejenigen Regelungen zu beschränken, die zwingend erforderlich sind, um den Einklang des kircheneigenen Datenschutzrechts mit dem EU-Recht herzustellen. Welche wesentlichen Änderungen enthält das novellierte DSG- EKD? a) Die Verpflichtung der verantwortlichen Stelle, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, ist gemäß 31 DSG EKD neu wieder eingeführt worden. Diese Verpflichtung war mit der Novellierung des DSG-EKD zum zunächst gestrichen worden. Da jedoch die DS-GVO eine Verpflichtung zur Führung solcher Verzeichnisse vorsieht, musste diese Bestimmung auch in das DSG-EKD wieder aufgenommen werden. In diesem Verzeichnis dokumentiert die verantwortliche Stelle alle Verarbeitungstätigkeiten, in denen personenbezogene Daten verarbeitet werden. In 31 Abs. 1 DSG EKD neu ist im Einzelnen aufgeführt, was das Verzeichnis beinhalten muss. So muss z. B. der Zweck der Verarbeitung angegeben werden sowie die von der Verarbeitung betroffenen Personengruppen, die Datenkategorien und die Kategorien von Empfängern der Daten. Das Verzeichnis kann schriftlich oder elektronisch geführt werden. Verantwortliche Stelle ist grundsätzlich jede kirchliche Körperschaft, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet ( 4 Nr. 9 DSG-EKD neu), grundsätzlich also auch jede Kirchengemeinde und jeder Kirchenkreis. Von der Verpflichtung, ein solches Verfahrensverzeichnis zu führen, sind verantwortliche Stellen allerdings freigestellt, wenn sie weniger als 250 Beschäftigte haben, es sei denn, sie verarbeiten besondere Kategorien personenbezogener Daten. Der Begriff besondere Kategorien personenbezogener Daten ist in 4 Nr. 2 DSG EKD neu definiert und umfasst z. B. Gesundheitsdaten. Diakonische Einrichtungen, die weniger als 250 Beschäftigte haben und die Gesundheitsdaten verarbeiten, müssen daher ein Verarbeitungsverzeichnis führen, allerdings nur hinsichtlich der Verfahren, die Gesundheitsdaten betreffen. Für die Verfahrensverzeichnisse gibt es eine Übergangsfrist gemäß 55 Abs. 4 S. 2 DSG-EKD: Die Erstellung muss spätestens bis zum erfolgen. b) Die bisher als Auftragsdatenverarbeitung bezeichnete Übertragung von Datenverarbeitung an andere Stellen (bisher 11 DSG-EKD) ist in 30 DSG-EKD neu als Auftragsverarbeitung (AV) geregelt. Für die An- /4

4 - 4 - passung der AVen gibt es ebenso wie für die Verfahrensverzeichnisse eine Übergangsfrist zur Anpassung bis zum Die Bestimmungen des bisherigen 11 DSG-EKD und des 30 DSG-EKD neu stimmen jedoch weitgehend überein, sodass die erforderlichen Anpassungen nur einen geringen Umfang haben dürften. Für die Übergangszeit verweisen wir auf die hierzu veröffentlichte Mitteilung G 1/2017. c) Detaillierter als bisher ist die Frage der Datenübermittlung an und in Drittländer außerhalb der EU geregelt. So bestimmt 10 Abs. 1 Nr. 1 DSG-EKD neu, dass eine Übermittlung an Staaten zulässig ist, für die ein sogenannter Angemessenheitsbeschluss der EU-Kommission vorliegt. Zulässig ist eine Datenübermittlung auch, wenn als geeignete Garantien Standardschutzklauseln verwendet werden, die von der EU- Kommission erlassen oder genehmigt worden sind. Darüber hinaus ist eine Übermittlung auch zulässig, wenn die betroffene Person in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken aufgeklärt worden ist ( 10 Abs. 2 Nr. 1 DSG-EKD neu). d) Neu in das Gesetz aufgenommen ist die Verpflichtung der verantwortlichen Stelle, gemäß 34 DSG EKD neu eine Datenschutz- Folgenabschätzung durchzuführen. Diese ist allerdings nur dann durchzuführen, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte natürlicher Personen zur Folge hat. Eine Datenschutz-Folgenabschätzung ist insbesondere durchzuführen, wenn - eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen aufgrund automatisierter Verarbeitung erfolgt, die Rechtswirkungen gegenüber diesen Personen entfaltet (z. B. Einsatz eines automatisierten Personalauswahlverfahrens), - eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder personenbezogener Daten über strafrechtliche Verfolgungen oder Straftaten erfolgt, - eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche erfolgt. Eine systematische umfangreiche Überwachung liegt z. B. bei Videoüberwachung vor. e) Neu eingeführt ist weiterhin eine Meldepflicht der verantwortlichen Stelle gegenüber der Aufsichtsbehörde bei einer sog. Datenpanne ( 32 DSG EKD neu). Unter einer Datenpanne wird eine Verletzung des Schutzes personenbezogener Daten verstanden. Das kann z. B. der Fall sein, wenn ein unberechtigter Zugriff auf Passwörter oder Daten erfolgt. Die Datenpanne muss der Aufsichtsbehörde gemeldet werden, wenn sie voraussichtlich zu einem nicht unerheblichen Risiko für die Rechte natürlicher Personen führt ( 32 Abs. 1 DSG EKD neu). Entsprechende /5

5 - 5 - Mustervordrucke hierzu werden derzeit entwickelt und über die Internetseiten der Landeskirche und des Beauftragten für den Datenschutz der EKD demnächst veröffentlicht. f) Im DSG-EKD neu sind weiterhin die Befugnisse des Beauftragten für den Datenschutz der EKD (Aufsichtsbehörde) erweitert worden ( 39 DSG-EKD neu ff.). So sensibilisiert, informiert und berät die Aufsichtsbehörde die kirchliche Öffentlichkeit sowie die verantwortlichen Stellen über Fragen und maßgebliche Entwicklungen des Datenschutzes sowie über die Vermeidung von Risiken ( 43 Abs. 2 S. 1 DSG EKD neu). Sie unterrichtet betroffene Personen auf Anfrage über deren datenschutzrechtlichen Rechte ( 43 Abs. 2 S. 2 DSG EKD neu). Jede Person kann sich unbeschadet anderweitiger Rechtsbehelfe mit einer Beschwerde an die Aufsichtsbehörde wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer personenbezogenen Daten in ihren Rechten verletzt worden zu sein ( 46 Abs. 1 DSG EKD neu). g) Die Bestellung von örtlich Beauftragten für den Datenschutz ist in 36 DSG-EKD neu geregelt. Deren Aufgaben sind in 38 DSG-EKD neu beschrieben. So beraten die örtlichen Datenschutzbeauftragten die verantwortlichen Stellen und Beschäftigten, sie überwachen die Datenverarbeitungsprogramme und deren ordnungsgemäße Anwendung, sie schulen die Beschäftigten in Fragen des Datenschutzes, sie arbeiten mit der Aufsichtsbehörde zusammen und beraten verantwortliche Stellen bei der Datenschutz-Folgenabschätzung. h) Besondere Bedeutung kommt der allgemeinen Informationspflicht bei Datenerhebung zu (vgl. 17, 18 DSG-EKD neu). Wir empfehlen Ihnen in diesem Zusammenhang, das Impressum und die Datenschutzerklärung auf Ihrer Homepage zu überprüfen. Um sich nicht der Gefahr einer anwaltlichen Abmahnung auszusetzen, sollten Sie auf Ihrer Internetseite unbedingt die Kontaktdaten der oder des für Sie zuständigen örtlichen Datenschutzbeauftragten angeben. Die Liste der örtlich Beauftragten für den Datenschutz können Sie finden unter: Die Amtsblattverfügung vom (Kirchl. Amtsbl. S. 46) wird hiermit aufgehoben. Bei Rückfragen wenden Sie sich bitte an: Annegret v. Collande, Tel.: oder Hartmut Salewski, Tel.: Anlagen /6

6 - 6 - Verteiler Kirchenvorstände und Kapellenvorstände Verbandsvertretungen der Gesamtverbände und Verbandsvorstände der Kirchengemeindeverbände durch die Kirchenkreisvorstände (mit Abdrucken für diese, die Vorstände der Kirchenkreisverbände und die Kirchen(kreis)ämter Vorsitzende der Kirchenkreistage Landessuperintendenturen Rechnungsprüfungsamt (mit Abdrucken für die Außenstellen) Gesamtausschuss der Mitarbeitervertretungen

7 Anlage 1 zur Rundverfügung G 2/2018 Verpflichtung von Mitarbeitenden auf das Datengeheimnis Frau/Herr wird mit Aushändigung und unter Hinweis auf das anliegende Merkblatt wie folgt auf das Datengeheimnis gemäß 26 DSG-EKD verpflichtet: Es ist untersagt, personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort. Verstöße gegen das Datengeheimnis sind Pflichtverletzungen und können dienstrechtlich, arbeitsrechtlich, urheberrechtlich, strafrechtlich, disziplinarrechtlich geahndet werden und Haftungstatbestände auslösen. Ort, Datum Unterschrift der/des Mitarbeitenden Unterschrift der Vertreterin/des Vertreters der kirchlichen Stelle Original zur Personalakte Kopie an den Mitarbeitenden

8 Anlage 2 zur Rundverfügung G 2/2018 Verpflichtung von Ehrenamtlichen auf das Datengeheimnis Frau/Herr wird als Ehrenamtliche/Ehrenamtlicher mit Aushändigung und unter Hinweis auf das anliegende Merkblatt wie folgt auf das Datengeheimnis gemäß 26 DSG-EKD verpflichtet: Es ist untersagt, personenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort. Verstöße gegen das Datengeheimnis sind Pflichtverletzungen und können rechtliche Konsequenzen haben. Ort, Datum Unterschrift der/des Ehrenamtlichen Unterschrift der Vertreterin/des Vertreters der kirchlichen Stelle Original zur Akte Kopie an die Ehrenamtliche/den Ehrenamtlichen

9 Anlage 3 zur Rundverfügung G 2/2018 Merkblatt über den Datenschutz für Mitarbeitende in der evangelisch-lutherischen Landeskirche Hannovers In diesem Merkblatt erhalten Sie Informationen über den wesentlichen Inhalt des Datengeheimnisses und den Sinn der Verpflichtungserklärung. Die Erläuterungen und Hinweise müssen im jeweiligen Zusammenhang, der sich aus Anwendungsfragen aus der täglichen Arbeit sowie den jeweils geltenden Rechtsvorschriften ergibt, gesehen werden. Welche rechtlichen Grundlagen gelten für den Datenschutz? Zunächst gelten die allgemeinen Datenschutzbestimmungen. Dies sind jeweils in ihrer geltenden Fassung: das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD), die IT-Sicherheitsverordnung der Evangelischen Kirche in Deutschland (ITSVO-EKD), das Kirchengesetz zur Ergänzung und Durchführung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (DSAG), die Rechtsverordnung zur Ergänzung und Durchführung datenschutzrechtlicher Vorschriften (DATVO), die Rechtsverordnung über die Bestellung von örtlich beauftragten für den Datenschutz (RVO-DS-Beauftragte). Außerdem gelten Bestimmungen, die den allgemeinen Regelungen zum Datenschutz vorgehen, wie etwa die besonderen Regelungen über den Schutz des Beicht- und Seelsorgegeheimnisses, die Amtsverschwiegenheit und sonstige gesetzliche Geheimhaltungsund Verschwiegenheitspflichten oder von Berufs- bzw. besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen sowie andere Rechtsvorschriften, die die Verarbeitung personenbezogener Daten regeln. Sie finden die kirchlichen Datenschutz-Vorschriften in der Rechtssammlung der hannoverschen Landeskirche unter: In gleicher Weise sind künftige Rechts- und Verwaltungsvorschriften sowie Veröffentlichungen der evangelischlutherischen Landeskirche Hannovers und der Evangelischen Kirche in Deutschland zu den Bereichen Datenschutz und IT-Sicherheit zu beachten. Warum ist Datenschutz wichtig? Niemand darf durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt werden. Jeder hat das Recht, über den Umgang mit seinen personenbezogenen Daten grundsätzlich selbst zu bestimmen. Das Ziel des Datenschutzes ist es, den Einzelnen vor einer Beeinträchtigung zu schützen. Was sind personenbezogene Daten? Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; identifizierbar ist eine natürliche Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

10 Personenbezogene Daten sind (z. B. Geburtsdatum, Anschrift, Konfession, Beruf, Familienstand, Gesundheitszustand, Fotos, Videoaufzeichnungen, Grundbesitz, Einkommen oder Rechtsbeziehungen zu Dritten). Nach 2 Absatz 2 DSG-EKD können diese in Akten und Aktensammlungen enthalten sein oder bei automatisierten Verarbeitungen anfallen. Beispiele für automatisierte Verarbeitungen sind Programme aus den Bereichen Textverarbeitung, Tabellenkalkulation und Datenbanken. Zu beachten ist, dass personenbezogene Daten auch beim Einsatz von mobilen Endgeräten, Videoüberwachungen, automatischen Schließsystemen und weiteren technischen Anwendungen anfallen. Welche grundsätzlichen Regelungen gelten für den Datenschutz? Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn das DSG EKD oder eine Rechtsvorschrift dies erlaubt oder anordnet oder soweit die betroffene Person eingewilligt hat (Grundsatz des Verbots mit Erlaubnisvorbehalt). Personenbezogene Daten dürfen für die Erfüllung kirchlicher Aufgaben verarbeitet werden. Maßgebend sind die herkömmlichen oder durch das kirchliche Recht bestimmten Aufgaben auf dem Gebiet der Verkündigung, Seelsorge, Diakonie und Unterweisung sowie der kirchlichen Verwaltung (einschließlich Gemeinde- und Pfarrbüro). Personenbezogene Daten sind gemäß 5 DSG-EKD nach folgenden Grundsätzen zu verarbeiten: Rechtmäßigkeit, Verhältnismäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz; Zweckbindung: Personenbezogene Daten werden für festgelegte, eindeutige und legitime Zwecke erhoben. Sie dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Eine Weiterverarbeitung für im kirchlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszecke oder für statistische Zwecke gilt als vereinbar mit den ursprünglichen Zwecken; Datenminimierung: Die Verarbeitung personenbezogener Daten wird auf das dem Zweck angemessene und notwendige Maß beschränkt; personenbezogene Daten sind zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert; Richtigkeit: Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden; Speicherbegrenzung: Personenbezogene Daten werden in einer Form gespeichert, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Personenbezogene Daten dürfen länger gespeichert werden, soweit sie für die Zwecke des Archivs, der wissenschaftlichen und historischen Forschung sowie der Statistik verarbeitet werden; Integrität und Vertraulichkeit: Personenbezogene Daten werden in einer Weise verarbeitet, die eine angemessene Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Zerstörung oder unbeabsichtigter Schädigung. Die verantwortliche Stelle muss die Einhaltung der Grundsätze nachweisen können (Rechenschaftspflicht).

11 Mündliche, elektronische und schriftliche Auskünfte aus Akten oder Datenbanken sowie die Offenlegung von personenbezogenen Daten (z. B. Kopien von Listen, Datenträgern und Akten) sind zulässig an kirchliche Stellen, andere öffentlich-rechtliche Religionsgesellschaften sowie an Behörden und sonstige öffentliche Stellen des Bundes, der Länder, der Gemeinden etc., soweit eine Rechtsgrundlage für die Offenlegung der Daten vorhanden ist und sie zur Erfüllung kirchlicher Aufgaben erforderlich sind (siehe auch 8 DSG EKD). Die Offenlegung der Daten an sonstige Stellen oder Personen ist nur in Ausnahmefällen statthaft (siehe auch 9 DSG-EKD). Auskünfte zur geschäftlichen oder gewerblichen Verwendung der Daten dürfen ohne Einwilligung der betroffenen Person in keinem Fall gegeben werden. Widersprüche von betroffenen Personen, die sich gegen die Verarbeitung ihrer personenbezogenen Daten richten, sind zu beachten Ausnahmen regeln die kirchlichen Vorschriften sowie 25 DSG-EKD. Alle Informationen, die Mitarbeitende auf Grund ihrer Arbeit an und mit Akten, Dateien und Listen erhalten, sind vertraulich zu behandeln. Diese Pflicht besteht auch nach Beendigung der Tätigkeit fort. Personenbezogene Daten dürfen nur kirchlichen Mitarbeitenden zugänglich gemacht werden, die auf Grund ihrer dienstlichen Aufgaben zum Empfang der Daten berechtigt sind. Die Mitarbeitenden sind für die datenschutzrechtlich korrekte Ausübung ihrer Tätigkeit verantwortlich. Die sorgsame und vertrauliche Behandlung von Daten ist ein wichtiges Gebot im Rahmen der kirchlichen Arbeit. Was ist aus Sicht des technischen und organisatorischen Datenschutzes zu beachten? Wenn personenbezogene Daten verarbeitet werden, sind die technischen und organisatorischen Maßnahmen gemäß 27, 28 DSG-EKD zu beachten. Landeskirchliche Bestimmungen sowie Regelungen und Hinweise zum Datenschutz und zur Datensicherheit aus bestehenden Dienst- und Organisationsanweisungen sind zu befolgen. Eigenmächtige Änderungen der dienstlichen Hardware und deren Konfiguration insbesondere der Einbau von Karten und der Anschluss von Druckern oder anderen Zusatzgeräten sind ebenso wie das unbefugte Einspielen von privater Software nicht gestattet. Private IT Geräte dürfen eingesetzt werden, wenn diese durch Vereinbarung mit der kirchlichen Stelle zugelassen sind ( 2 Absatz 2 ITSVO-EKD). Soweit aus Gründen der Aufgabenerfüllung Daten mittels eines Datenträgers auf einen PC übertragen werden, ist durch geeignete Maßnahmen sicherzustellen, dass die auf dem Datenträger enthaltenen Daten nicht mit Schadsoftware befallen sind. Es ist untersagt, Passwörter und Hardwaretoken (z. B. USB-Stick und Chipkarten) sowie Benutzerkennungen weiterzugeben. Daten (z. B. Belege, EDV-Listen), Datenträger (z. B. Festplatten, USB-Sticks, DVDs) und Zubehör (z. B. Schlüssel) sind stets sicher und verschlossen zu verwahren und vor jeder Einsicht oder sonstigen Nutzung durch Unbefugte zu schützen. Analoge und digitale Daten, die nicht mehr benötigt werden, müssen in einer Weise vernichtet oder gelöscht werden, die jeden Missbrauch der Daten ausschließt.

12 Mängel, die bei der Datenverarbeitung auffallen, müssen dem Dienstvorgesetzten gemeldet werden. Dies gilt auch für den Fall, dass in den Bereichen Datenschutz und Datensicherheit unzureichende technische und organisatorische Maßnahmen ergriffen wurden. Es wird empfohlen, die örtlich Beauftragten für den Datenschutz zu beteiligen. Unabhängig davon können sich Mitarbeitende auch ohne Einhaltung des Dienstweges vertraulich an den Beauftragten für den Datenschutz der EKD wenden. Welche strafrechtlichen Konsequenzen können mir im Einzelfall drohen? Bestimmte Handlungen, die einen Verstoß gegen das Datengeheimnis beinhalten, stellen Straftatbestände dar. Danach kann mit Freiheitsstrafe oder mit Geldstrafe beispielsweise bestraft werden, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft ( 202a StGB Ausspähen von Daten ), Passwörter Dritten verkauft oder überlässt oder entsprechende Computerprogramme installiert ( 202c StGB Vorbereiten des Ausspähens und Abfangens von Daten ), unbefugt ein fremdes Geheimnis, namentlich zum persönlichen Lebensbereich gehörendes Geheimnis oder ein betriebs- oder Geschäftsgeheimnis, offenbart, das ihr o- der um anvertraut wurde in Ausübung der Berufe Ärztin oder Arzt (oder Angehörige oder Angehöriger eines anderen Heilberufs), Psychologin oder Psychologe, Ehe., Familien-, Erziehungs- oder Jugendberaterin und berater sowie Beraterinnen und Berater für Suchtfragen in einer Beratungsstelle, Mitglieder einer anerkannten Beratungsstelle nach dem Schwangerschaftskonfliktgesetz, Sozialarbeiterinnen und Sozialarbeiter ( 203 StGB Verletzung von Privatgeheimnissen ), rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert ( 303a StGB Datenveränderung ). Auch weitere Verschwiegenheitsvorschriften und Geheimhaltungspflichten (z. B. dienstund arbeitsrechtliche Regelungen, Sozialgeheimnis, Brief-, Post- und Fernmeldegeheimnis) sind zu beachten. Wo erhält man weitere Auskünfte? Wenn Sie weitere Fragen zum Datenschutz haben oder in einem Einzelfall eine Rechtsauskunft benötigen, wenden Sie sich an die Dienstvorgesetzten oder an die örtlich Beauftragte oder den örtlich Beauftragten für den Datenschutz. Eine Liste der in der evangelisch-lutherischen Landeskirche Hannovers bestellten Datenschutzbeauftragen finden Sie unter: Die Aufgabe der Aufsichtsbehörde obliegt der oder dem Beauftragten für den Datenschutz der EKD. Weitere Informationen und die Kontaktdaten erhalten Sie im Internet unter:

13 Anlage 4 zur Rundverfügung G 2/2018 Merkblatt über den Datenschutz für Ehrenamtliche in der evangelisch-lutherischen Landeskirche Hannovers Wenn Sie als Ehrenamtliche oder Ehrenamtlicher in Kirche oder Diakonie regelmäßig mit personenbezogenen Daten umgehen, muss diejenige Stelle, für die Sie tätig sind, Sie auf das Datengeheimnis verpflichten. In diesem Merkblatt erhalten Sie einige Informationen über den wesentlichen Inhalt des Datengeheimnisses und den Sinn der Verpflichtungserklärung. Welchen Grund hat die Verpflichtung auf das Datengeheimnis? Wer seine persönlichen Daten einer kirchlichen Stelle oder diakonischen Einrichtung anvertraut, hat einen Anspruch darauf, dass mit diesen Daten verantwortlich umgegangen wird. Dies gilt etwa für den Umgang mit den Daten von Mitgliedern der Kirchengemeinde oder Hilfesuchenden im diakonischen Bereich, aber auch für den Umgang mit den Inhalten eines vertraulich geführten Gesprächs. Berufliche Mitarbeitende in Kirche und Diakonie sind zumeist durch Kirchengesetz, Arbeitsrechtsregelung oder Arbeitsvertrag zur Verschwiegenheit verpflichtet. Für Ehrenamtliche gelten diese Bestimmungen in der Regel nicht. Deshalb sind auch Ehrenamtliche auf das Datengeheimnis zu verpflichten. Die Verpflichtungserklärung sollte nicht als Ausdruck eines grundsätzlichen Misstrauens gegenüber Ehrenamtlichen missverstanden werden. Sie ist vielmehr ein Qualitätsmerkmal für die ehrenamtlich geleistete Arbeit! Denn für die betroffene Person (z. B. Mitglied der Kirchengemeinde, Klient) ist es oft sehr wichtig, darüber Gewissheit zu haben, dass über ihre Daten Verschwiegenheit gewahrt wird. Ein vertrauliches Gespräch in Kirche und Diakonie wird ohne diese Gewissheit nicht zustande kommen. Dabei macht es aus Sicht der betroffenen Person keinen Unterschied, ob das Gespräch mit einer Pastorin, einem Pastor oder mit Ehrenamtlichen geführt wird. Alle personenbezogenen Informationen, die Sie im Rahmen Ihrer Tätigkeit an und mit Akten, Dateien, Listen und Karteien und über Gespräche erhalten, sind grundsätzlich vertraulich zu behandeln. Diese Pflicht besteht auch nach Beendigung Ihrer Tätigkeit fort. Weshalb ist Datenschutz notwendig? Ziel des Datenschutzes ist es, jede einzelne Person davor zu schützen, dass sie durch den Umgang mit ihren personenbezogenen Daten in ihrem Persönlichkeitsrecht beeinträchtigt wird. Auf dieser Grundlage regelt das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz DSG-EKD), unter welchen Voraussetzungen Daten verwendet werden dürfen. Die Rechte der betroffenen Personen sind in diesem Gesetz näher beschrieben. Ebenso ist festgelegt, wer über die Einhaltung der Datenschutzvorschriften wacht. Was sind personenbezogene Daten? Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (betroffene Person). Dazu gehören z. B. Name, Geburtsdatum, Anschrift, Beruf, Familienstand, Konfession, Gesundheitszustand sowie Fotos und Videoaufzeichnungen. Wenn Sie etwa als Mitglied eines Besuchskreises Gespräche mit einem Gemeindeglied führen, handelt es sich bei dem, was Ihr Gesprächs-

14 partner Ihnen über sich selbst oder über eine andere Person erzählt, um personenbezogene Daten. Diese Daten werden durch die Datenschutzregelungen besonders geschützt. Welche rechtlichen Grundlagen gelten für den kirchlichen Datenschutz? Durch das Datengeheimnis wird es denjenigen, die mit personenbezogenen Daten umgehen, untersagt, diese Daten unbefugt zu verarbeiten. Was dies im Einzelnen bedeutet, wird durch die jeweils geltenden Datenschutzbestimmungen festgelegt. Es sind insbesondere die folgenden grundlegenden Bestimmungen zum Datenschutz zu beachten: a) das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) und die IT-Sicherheitsverordnung der Evangelischen Kirche in Deutschland (ITSVO-EKD), b) das Kirchengesetz zur Ergänzung und Durchführung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (DSAG), c) die Rechtsverordnung zur Ergänzung und Durchführung datenschutzrechtlicher Vorschriften (DATVO), d) die Rechtsverordnung über die Bestellung von örtlich Beauftragten für den Datenschutz (RVO-DS-Beauftragte). Sie finden diese und weitere Vorschriften in der Online-Rechtssammlung der EKD oder der Landeskirche. Was bedeutet die Verarbeitung von personenbezogenen Daten? Die Verarbeitung personenbezogener Daten umfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung von Daten. Auch die Einschränkung der Verarbeitung, das Löschen oder die Vernichtung von Daten gehören dazu. Wann ist die Verarbeitung von personenbezogenen Daten zulässig? Eine Verarbeitung personenbezogener Daten ist nur zulässig, wenn das kirchliche Datenschutzrecht oder wenn eine andere Rechtsvorschrift dies erlaubt oder anordnet oder soweit die betroffene Person eingewilligt hat. Das kirchliche Recht sieht vor, dass Daten nur in dem Umfang verarbeitet werden dürfen, wie dies zur Wahrnehmung Ihrer ehrenamtlichen Tätigkeit erforderlich ist, Daten grundsätzlich nur zu dem Zweck verarbeitet werden dürfen, für den sie erhoben worden sind, Daten auch innerhalb der verantwortlichen Stelle nur solchen Personen bekannt gegeben werden dürfen, die diese zur Erfüllung ihrer Aufgaben benötigen und zur Verschwiegenheit verpflichtet sind, Auskünfte aus oder Kopien von Datensammlungen an Dritte außerhalb der eigenen verantwortlichen Stelle nur erteilt bzw. angefertigt werden dürfen, wenn eine Rechtsvorschrift dies erlaubt oder die betroffene Person eingewilligt hat.

15 3 Grundsätzlich haben Sie über alle personenbezogenen Daten, die Sie auf Grund ihrer kirchlichen Tätigkeit erfahren, Verschwiegenheit zu wahren. So ist es nicht zulässig, Familienmitglieder oder andere Personen über das Erfahrene zu informieren. Dies gilt allerdings dann nicht, wenn die betroffene Person diese Daten selbst öffentlich gemacht hat. Unabhängig davon dürfen Daten in keinem Fall zum Zwecke der Werbung an Versicherungen, Zeitungen oder Firmen herausgegeben werden. Welche Maßnahmen sind aus Gründen des Datenschutzes und der Datensicherheit zu treffen? Um den Anforderungen des kirchlichen Datenschutzes zu genügen, sind auch technische und organisatorische Maßnahmen zu treffen. Bitte bewahren Sie deshalb alle Informationen mit personenbezogenen Daten (z. B. Notizzettel, Karteikarten, USB-Sticks) stets sicher und verschlossen auf, damit ein unbefugter Zugriff Dritter nach Möglichkeit ausgeschlossen ist. Falls Sie personenbezogene Daten auf Ihren privaten Endgeräten (z. B. Laptop, Smartphone, Tablet) speichern wollen, müssen Sie dies vorher mit der verantwortlichen Stelle absprechen. Dadurch soll sichergestellt werden, dass alle rechtlichen und technischen Vorgaben eingehalten werden. Folgende Maßnahmen sind mindestens notwendig: Benutzerkennung und Passwortschutz, Familienangehörige oder andere Personen dürfen keinen Zugriff auf die kirchlichen Daten haben (so können z. B. separate Benutzerkonten eingerichtet werden), Programm- und Browserversionen sind stets aktuell zu halten, Virenschutzprogramme (einschließlich Firewall) sind regelmäßig zu aktualisieren, nur für Ihre Arbeit erforderliche Daten dürfen gespeichert werden, nicht mehr benötigte Datenbestände sind zu löschen, Datensicherungen sind regelmäßig durchzuführen, sensible personenbezogene Daten auf privaten Endgeräten sind stets verschlüsselt zu speichern. Dies gilt auch für Datensicherungen. Wo erhält man weitere Auskünfte? Wenn Sie weitere Fragen zum Datenschutz haben oder in einem Einzelfall eine Rechtsauskunft benötigen, wenden Sie sich an die Mitarbeitenden oder an die örtlich Beauftragte oder den örtlich Beauftragten für den Datenschutz. Den Namen und die Kontaktdaten erhalten Sie über die verantwortliche Stelle, die Sie für Ihre Aufgabe beauftragt. Die Aufgabe der Datenschutzaufsicht obliegt der oder dem Beauftragten für den Datenschutz der EKD. Weitere Informationen und die Kontaktdaten erhalten Sie über das Internet unter