DSG-EKD
Kirchengesetz über den Datenschutz der Evangelischen Kirche
in Deutschland (DSG-EKD)
Vom 12. November 1993
(GVOBl. 1994 S.35), geändert durch Kirchengesetz vom 7. November 2002
(ABl. EKD S.381 und ABl. EKD 2OO3 S.1)
§ 1
Zweck und Anwendungsbereich
| (1) |
Zweck dieses Kirchengesetzes ist es, den einzelnen
davor zu schützen, dass er durch den Umgang mit seinen
personenbezogenen Daten in seinem Persönlichkeitsrecht
beeinträchtigt wird.
|
| (2) |
Dieses Kirchengesetz gilt für die Erhebung,
Verarbeitung und Nutzung personenbezogener Daten durch kirchliche
Behörden und sonstige Dienststellen sowie ohne Rücksicht auf deren
Rechtsform durch kirchliche Werke und Einrichtungen der
Evangelischen Kirche in Deutschland und der Gliedkirchen
(kirchliche Stellen). Die Evangelische Kirche in
Deutschland und die Gliedkirchen sollen jeweils für ihren Bereich
eine Übersicht über die kirchlichen Werke und Einrichtungen mit
eigener Rechtspersönlichkeit, für die dieses Kirchengesetz gilt,
führen. In die Übersicht sind Name, Anschrift, Rechtsform und
Tätigkeitsbereich der kirchlichen Werke und Einrichtungen
aufzunehmen.
|
| (3) |
Dieses Kirchengesetz ist nur eingeschränkt
anwendbar: |
|
1. |
auf automatisierte Dateien, die ausschließlich aus
verarbeitungstechnischen Gründen vorübergehend erstellt und nach
ihrer verarbeitungstechnischen Nutzung automatisch gelöscht
werden; insoweit gelten nur die §§ 6
und 9; |
|
2. |
auf nicht automatisierte Dateien, deren personenbezogene Daten
nicht zur Übermittlung an Dritte bestimmt sind; insoweit gelten
nur die §§ 6,
9,
23
und 25.
Werden im Einzelfall personenbezogene Daten übermittelt, gelten
für diesen Einzelfall die Vorschriften dieses Kirchengesetzes
uneingeschränkt.
|
| (4) |
Pfarrer und Pfarrerinnen sowie sonstige kirchliche
Mitarbeiter und Mitarbeiterinnen dürfen in Wahrnehmung ihres
Seelsorgeauftrages eigene Aufzeichnungen führen und verwenden;
diese dürfen Dritten nicht zugänglich sein. Die besonderen
Bestimmungen über den Schutz des Beicht- und Seelsorgegeheimnisses
sowie über die Amtsverschwiegenheit bleiben unberührt. Das gleiche
gilt für die sonstigen Verpflichtungen zur Wahrung gesetzlicher
Geheimhaltungs- und Verschwiegenheitspflichten oder von Berufs-
oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen
Vorschriften beruhen.
|
| (5) |
Soweit besondere Regelungen in anderen kirchlichen
Rechtsvorschriften auf personenbezogene Daten einschließlich deren
Veröffentlichung anzuwenden sind, gehen sie den Vorschriften
dieses Kichengesetzes vor. |
§ 2
Begriffsbestimmungen
| (1) |
Personenbezogene Daten sind Einzelangaben
über persönliche oder sachliche Verhältnisse einer bestimmten oder
bestimmbaren natürlichen Person (betroffene Person).
|
| (2) |
Automatisierte Verarbeitung ist die Erhebung,
Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz
von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist
jede nicht automatisierte Sammlung personenbezogener Daten, die
gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich ist
und ausgewertet werden kann.
|
| (3) |
Erheben ist das Beschaffen von
personenbezognen Daten über die betroffene Person.
|
| (4) |
Verarbeiten ist das Speichern, Verändern,
Übermitteln, Sperren und Löschen personenbezogener Daten. Im
einzelnen ist, ungeachtet der dabei angewendeten Verfahren: |
|
1. |
Speichern das Erfassen, Aufnehmen oder
Aufbewahren personenbezogener Daten auf einem Datenträger zum
Zwecke ihrer weiteren Verarbeitung oder Nutzung, |
|
2. |
Verändern das inhaltliche Umgestalten
gespeicherter personenbezogener Daten, |
|
3. |
Übermitteln das Bekanntgeben von
gespeicherten oder durch Datenverarbeitung gewonnener
personenbezogener Daten an Dritte in der Weise, dass |
|
a) |
die Daten an Dritte weitergegeben werden oder |
|
b) |
Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten
einsehen oder abrufen, |
|
4. |
Sperren das Kennzeichnen gespeicherter
personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung
einzuschränken, |
|
5. |
Löschen das Unkenntlichmachen gespeicherter
personenbezogener Daten.
|
| (5) |
Nutzen ist jede Verwendung personenbezogener
Daten, soweit es sich nicht um Verarbeitung handelt.
|
| (6) |
Anonymisieren ist das Verändern
personenbezogener Daten derart, dass die Einzelangaben über
persönliche oder sachliche Verhältnisse nicht mehr oder nur mit
einem unverhältnismäßig großem Aufwand an Zeit, Kosten und
Arbeitskraft einer betroffenen Person zugeordnet werden können.
|
| (7) |
Pseudonymisieren ist das Ersetzen des Namens
und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem
Zweck, die Bestimmung der betroffenen Person auszuschließen oder
wesentlich zu erschweren.
|
| (8) |
Verantwortliche Stelle ist jede Person oder
Stelle, die personenbezogene Daten für sich selbst erhebt,
verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen
lässt.
|
| (9) |
Empfänger ist jede Person oder Stelle, die
personenbezogene Daten erhält.
|
| (10) |
Dritte sind Personen und Stellen außerhalb
der verantwortlichen Stelle. Dritte sind nicht die betroffene
Person sowie diejenigen Personen oder Stellen, die im
Geltungsbereich dieses Kirchengesetzes personenbezogene Daten im
Auftrag erheben, verarbeiten oder nutzen.
|
| (11) |
Besondere Arten personenbezogener Daten sind
Angaben über rassische und ethnische Herkunft, politische
Meinungen, religiöse und weltanschauliche Überzeugungen,
Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Dazu
gehört nicht die Zugehörigkeit zu einer Kirche oder sonstigen
Religionsgemeinschaft.
|
| (12) |
Mobile personenbezogene Speicher- und
Bearbeitungsmedien sind Datenträger, |
|
1. |
die an den Betoffenen ausgegeben werden, |
|
2. |
auf denen personenbezogene Daten über die
Speicherung hinaus durch die ausgebende oder eine andere Stelle
automatisiert verarbeitet werden können und |
|
3. |
bei denen der Betroffene diese Verarbeitung nur
durch den Gebrauch des Mediums beeinflussen
kann. |
§ 2a
Datenvermeidung und Datensparsamkeit
Gestaltung und Auswahl von Datenverarbeitungssystemen haben
sich an dem Ziel auszurichten, keine oder sowenig personenbezogene Daten
wie nötig zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist
von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch
zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen
Verhältnis zu dem angestrebten Schutzzweck steht.
§ 3
Erhebung, Verarbeitung und Nutzung
Die Erhebung, Verarbeitung und Nutzung personenbezogener
Daten sind nur zulässig, wenn dieses Gesetz oder eine andere
Rechtsvorschrift sie erlaubt oder anordnet oder soweit die betroffene
Person eingewilligt hat.
§ 3a
Einwilligung der Betroffenen
| (1) |
Die Einwilligung der Betroffenen ist nur wirksam, wenn sie auf
deren freier Entscheidung beruht. Sie sind auf den vorgesehenen
Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach
den Umständen des Einzelfalles erforderlich oder auf Verlangen,
auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die
Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer
Umstände eine andere Form angemessen ist. Soll die Einwilligung
zusammen mit anderen Erklärungen schriftlich erteilt werden, ist
die Einwilligungserklärung im äußeren Erscheinungsbild der
Erklärung hervorzuheben.
|
| (2) |
Im Bereich der wissenschaftlichen Forschung liegt ein
besonderer Umstand im Sinne von Abs.
1 Satz 3 auch dann vor, wenn durch die Schriftform der
bestimmte Forschungszweck erheblich beeinträchtigt würde. In
diesem Fall sind der Hinweis nach Abs.
1 Satz 2 und die Gründe, aus denen sich die erhebliche
Beeinträchtigung des bestimmten Forschungszwecks ergibt,
schriftlich festzuhalten.
|
| (3) |
Soweit besondere Arten personenbezogener Daten nach §
2 Abs. 11 erhoben, verarbeitet oder genutzt werden, muss sich
die Einwilligung darüber hinaus ausdrücklich auf diese Daten
beziehen. |
§ 4
Datenerhebung
| (1) |
Das Erheben personenbezogener Daten ist zulässig,
wenn ihre Kenntnis zur Erfüllung der Aufgaben der verantwortlichen
kirchlichen Stelle erforderlich ist.
|
| (2) |
Personenbezogene Daten sind bei der betroffenen
Person zu erheben. Ohne ihre Mitwirkung dürfen sie nur erhoben
werden, wenn |
|
1. |
eine kirchliche oder staatliche Rechtsvorschrift
dies vorsieht, zwingend voraussetzt oder |
|
2. |
die Wahrnehmung des kirchlichen Auftrages die
Erhebung erfordert und keine Anhaltspunkte dafür bestehen, dass
überwiegende schutzwürdige Interessen verletzt werden,
sofern |
|
a) |
die zu erfüllende Aufgabe ihrer Art nach eine Erhebung bei
anderen Personen oder kirchlichen Stellen erforderlich macht
oder |
|
b) |
die Erhebung bei der betroffenen Person einen
unverhältnismäßigen Aufwand erforderte oder |
|
c) |
die betroffene Person einer durch Rechtsvorschrift
festgelegten Auskunftspflicht nicht nachgekommen und über die
beabsichtigte Erhebung der Daten unterrichtet worden ist.
|
| (3) |
Werden personenbezogene Daten bei der betroffenen
Person erhoben, so ist sie auf Verlangen über den Erhebungszweck,
über die Rechtsvorschrift, die zur Auskunft verpflichtet, und über
die Folgen der Verweigerung von Angaben aufzuklären.
|
| (4) |
Werden personenbezogene Daten statt bei der
betroffenen Person bei einer nicht-kirchlichen oder
nicht-öffentlichen Stelle erhoben, so ist die Stelle auf die
Rechtsvorschrift, die zur Auskunft verpflichtet, sonst auf die
Freiwilligkeit ihrer Angaben hinzuweisen.
|
| (5) |
Das Erheben besonderer Arten personenbezogener Daten
nach §
2 Abs. 11 ist nur zulässig, soweit |
|
1. |
eine Rechtsvorschrift dies vorsieht, |
|
2. |
der Betroffene nach Maßgabe des §
3a Abs. 3 eingewilligt hat, |
|
3. |
dies zum Schutze lebenswichtiger Interessen der
betroffenen Person oder Dritter erforderlich ist, sofern die
betroffene Person aus physischen oder rechtlichen Gründen
außerstande ist, ihre Einwilligung zu geben, |
|
4. |
es sich um Daten handelt, die die betroffene Person
offenkundig öffentlich gemacht hat, |
|
5. |
Grund zu der Annahme besteht, dass andernfalls die
Wahrnehmung des Auftrages der Kirche oder die Glaubwürdigkeit
ihres Dienstes ernsthaft gefährdet würde, |
|
6. |
dies zum Zweck der Gesundheitsvorsorge, der
medizinischen Diagnostik, der Gesundheitsversorgung oder
Behandlung oder für die Verwaltung von Gesundheitsdiensten
erforderlich ist und die Verarbeitung dieser Daten durch
ärztliches Personal oder durch sonstige Personen erfolgt, die
einer entsprechenden Geheimhaltungspflicht unterliegen, oder |
|
7. |
dies zur Durchführung wissenschaftlicher Forschung
erforderlich ist, das wissenschaftliche Interesse an der
Durchführung des Forschungsvorhabens das Interesse der betroffenen
Person an dem Ausschluss der Erhebung erheblich überwiegt und der
Zweck der Forschung auf andere Weise nicht oder nur mit
unverhältnismäßigem Aufwand erreicht werden
kann. |
§ 5
Datenspeicherung, -veränderung und
-nutzung
| (1) |
Das Speichern, Verändern oder Nutzen
personenbezogener Daten ist zulässig, wenn es zur Erfüllung der in
der Zuständigkeit der verantwortlichen kirchlichen Stelle
liegenden Aufgabe erforderlich ist und es für die Zwecke erfolgt,
für die die Daten erhoben worden sind. Ist keine Erhebung
vorausgegangen, dürfen die Daten nur für die Zwecke geändert oder
genutzt werden, für die sie gespeichert worden sind.
|
| (2) |
Das Speichern, Verändern oder Nutzen für andere
Zwecke ist nur zulässig, wenn |
|
1. |
eine kirchliche Rechtsvorschrift dies vorsieht oder zwingend
voraussetzt, |
|
2. |
eine staatliche Rechtsvorschrift dies vorsieht und kirchliche
Interessen nicht entgegenstehen, |
|
3. |
die betroffene Person eingewilligt hat, |
|
4. |
offensichtlich ist, dass es im Interesse der betroffenen
Person liegt, und kein Grund zu der Annahme besteht, dass sie in
Kenntnis des anderen Zweckes ihre Einwilligung verweigern
würde, |
|
5. |
Angaben der betroffenen Person überprüft werden müssen, weil
tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen, |
|
6. |
die Daten aus allgemein zugänglichen Quellen entnommen werden
können oder die verantwortliche kirchliche Stelle sie
veröffentlichen dürfte, es sei denn, dass das schutzwürdige
Interesse der betroffenen Person an dem Ausschluss der
Zweckänderung offensichtlich überwiegt, |
|
7. |
Grund zu der Annahme besteht, dass andernfalls die Wahrnehmung
des Auftrages der Kirche gefährdet würde, |
|
8. |
es zur Abwehr einer schwerwiegenden Beeinträchtigung der
Rechte einer anderen Person erforderlich ist oder |
|
9. |
es zur Durchführung wissenschaftlicher Forschung erforderlich
ist, das wissenschaftliche Interesse an der Durchführung des
Forschungsvorhabens das Interesse der betroffenen Person an dem
Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der
Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem
Aufwand erreicht werden kann.
|
| (3) |
Eine Verarbeitung oder Nutzung für andere Zwecke
liegt nicht vor, wenn sie der Wahrnehmung von Visitations-,
Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung, der
Revision oder der Durchführung von Organisationsuntersuchungen für
die verantwortliche kirchliche Stelle dient. Das gilt auch für die
Verarbeitung oder Nutzung zu Ausbildungs- und Prüfungszwecken
durch die verantwortliche kirchliche Stelle, soweit nicht
überwiegende schutzwürdige Interessen der betroffenen Person
entgegenstehen.
|
| (4) |
Personenbezogene Daten, die ausschließlich zu
Zwecken der Datenschutzkontrolle, der Datensicherung oder zur
Sicherstellung eines ordnungsgemäßen Betriebes einer
Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese
Zwecke verwendet werden.
|
| (5) |
Das Speichern, Verändern oder Nutzen von besonderen
Arten personenbezogener Daten nach §
2 Abs. 11 für andere Zwecke ist nur zulässig, wenn |
|
1. |
die Voraussetzungen vorliegen, die eine Erhebung nach §
4 Abs. 5 Nr.1 bis 5
zuließen oder |
|
2. |
dies zur Durchführung wissenschaftlicher Forschung
erforderlich ist, das kirchliche Interesse an der Durchführung des
Forschungsvorhabens das Interesse der betroffenen Person an dem
Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der
Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem
Aufwand erreicht werden kann. Bei dieser Abwägung ist im Rahmen
des kirchlichen Interesses das wissenschaftliche Interesse an dem
Forschungsvorhaben besonders zu
berücksichtigen. |
§ 6
Datengeheimnis Den mit dem
Umgang von Daten betrauten Personen ist es untersagt, personenbezogene
Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen
(Datengeheimnis). Diese Personen sind - soweit sie nicht aufgrund
anderer kirchlicher Bestimmungen zur Verschwiegenheit verpflichtet
wurden - bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu
verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer
Tätigkeit fort.
§ 7
Unabdingbare Rechte der betroffenen
Person
| (1) |
Die Rechte der betroffenen Person auf Auskunft (§
15) und auf Berichtigung, Löschung oder Sperrung von Daten (§16)
können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt
werden.
|
| (2) |
Sind die Daten der betroffenen Person automatisiert in der
Weise gespeichert, dass mehrere Stellen speicherungsberechtigt
sind, und ist die betroffene Person nicht in der Lage,
festzustellen, welche Stelle die Daten gespeichert hat, so kann
sie sich an jede dieser Stellen wenden. Diese ist verpflichtet,
das Vorbringen der betroffenen Person an die Stelle, die die Daten
gespeichert hat, weiterzuleiten. Die betroffene Person ist über
die Weiterleitung und jene Stelle zu
unterrichten. |
§ 7a
Beobachtung öffentlich zugänglicher
Räume mit optisch-elektronischen Einrichtungen
| (1) |
Die Beobachtung öffentlich zugänglicher Räume mit
optisch-elektronischen Einrichtungen (Videoüberwachung) ist
nur zulässig, soweit dies zur Wahrnehmung berechtigter Interessen
für konkret festgelegte Zwecke erforderlich ist und keine
Anhaltspunkte bestehen, dass schutzwürdige Interessen der
betroffenen Personen überwiegen. Während der Gottesdienste ist
eine Videoüberwachung unzulässig.
|
| (2) |
Der Umstand der Beobachtung ist durch geeignete Maßnahmen
erkennbar zu machen, soweit dies nicht offensichtlich ist.
|
| (3) |
Die Verarbeitung oder Nutzung von nach Absatz
1 erhobenen Daten ist nur zulässig, soweit und solange dies
zum Erreichen des verfolgten Zweckes erforderlich ist und keine
Anhaltspunkte bestehen, dass schutzwürdige Interessen der
betroffenen Person überwiegen.
|
| (4) |
Die Daten sind unverzüglich zu löschen, wenn sie zur
Erreichung des Zwecks nicht mehr erforderlich sind oder
schutzwürdige Interessen der betroffenen Personen einer weiteren
Speicherung entgegenstehen. |
§ 7b
Mobile personenbezogene Speicher- und
Bearbeitungsmedien
| (1) |
Die Stelle, die ein mobiles personenbezogenes
Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur
automatisierten Verarbeitung personenbezogener Daten, das ganz
oder teilweise auf einem solchen Medium abläuft, auf das Medium
aufbringt, ändert oder hierzu bereit hält, muss die betroffene
Person |
|
1. |
über ihre Identität und Anschrift, |
|
2. |
in allgemein verständlicher Form über die Funktionsweise des
Mediums einschließlich der Art der zu verarbeitenden
personenbezogenen Daten, |
|
3. |
darüber, wie sie ihre Rechte nach den §§ 15,
15a
und 16
ausüben kann, und |
|
4. |
über die bei Verlust oder Zerstörung des Mediums zu treffenden
Maßnahmen |
|
unterrichten, soweit die betroffene Person nicht
bereits Kenntnis erlangt hat.
|
| (2) |
Die nach Absatz
1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur
Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder
Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch
zur Verfügung stehen.
|
| (3) |
Kommunikationsvorgänge, die auf dem Medium eine
Datenverarbeitung auslösen, müssen für den Betroffenen eindeutig
erkennbar sein. |
§ 8
Schadensersatz durch kirchliche Stellen
| (1) |
Fügt eine kirchliche Stelle der betroffenen Person durch eine
nach den Vorschriften dieses Kirchengesetzes oder nach anderen
kirchlichen Vorschriften über den Datenschutz unzulässige oder
unrichtige automatisierte Verarbeitung ihrer personenbezogenen
Daten einen Schaden zu, ist sie der betroffenen Person zum Ersatz
des daraus entstehenden Schadens verpflichtet. Für die
Verarbeitung der von staatlichen oder kommunalen Stellen sowie von
Sozialleistungsträgern übermittelten personenbezogenen Daten durch
kirchliche Stellen, die nicht privatrechtlich organisiert sind,
gilt diese Verpflichtung zum Schadensersatz unabhängig von einem
Verschulden; bei einer schweren Verletzung des
Persönlichkeitsrechts ist der betroffenen Person der Schaden, der
nicht Vermögensschaden ist, angemessen in Geld zu ersetzen.
|
| (2) |
Die Ansprüche nach Abs.
1 Satz 2 sind insgesamt bis zu einem Betrag in Höhe von 125000
Euro begrenzt. Ist aufgrund desselben Ereignisses an mehrere
Personen Schadensersatz zu leisten, der insgesamt den Höchstbetrag
von 125000 Euro übersteigt, so verringern sich die einzelnen
Schadensersatzleistungen in dem Verhältnis, in dem ihr
Gesamtbetrag zum Höchstbetrag steht.
|
| (3) |
Sind bei einer automatisierten Verarbeitung mehrere Stellen
speicherungsberechtigt und ist die geschädigte Person nicht in der
Lage, die speichernde Stelle festzustellen, so haftet jede dieser
Stellen.
|
| (4) |
Mehrere Ersatzpflichtige haften als Gesamtschuldner im Sinne
des Bürgerlichen Gesetzbuches.
|
| (5) |
Auf das Mitverschulden der betroffenen Person ist § 254 und
auf die Verjährung sind die §§ 199, 852 des Bürgerlichen
Gesetzbuches entsprechend anzuwenden.
|
| (6) |
Macht eine betroffene Person gegenüber einer kirchlichen
Stelle einen Anspruch auf Schadensersatz wegen einer nach diesem
Kirchengesetz oder anderen Vorschriften über den Datenschutz
unzulässigen oder unrichtigen automatisierten Datenverarbeitung
geltend und ist streitig, ob der Schaden die Folge eines von der
verantwortlichen Stelle zu vertretenden Umstandes ist, so trifft
die Beweislast die verantwortliche Stelle.
|
| (7) |
Vorschriften, nach denen Ersatzpflichtige in weiterem Umfang
als nach dieser Vorschrift haften oder nach denen andere für den
Schaden verantwortlich sind, bleiben
unberührt. |
§ 9
Technische und organisatorische
Maßnahmen Kirchliche Stellen, die selbst oder im Auftrag
personenbezogene Daten erheben, verarbeiten oder nutzen, haben die
technischen und organisatorischen Maßnahmen zu treffen, die erforderlich
sind, um die Ausführung der Vorschriften dieses Kirchengesetzes,
insbesondere die in der Anlage
zu diesem Kirchengesetz genannten Anforderungen, zu gewährleisten.
Erforderlich sind Maßnahmen, deren Aufwand in einem angemessenen
Verhältnis zu dem angestrebten Schutzzweck steht.
§ 9a
Datenschutzaudit Zur
Verbesserung des Datenschutzes und der Datensicherheit können Anbieter
von Datenverarbeitungssystemen und -programmen und datenverarbeitende
Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen
durch geeignete Stellen prüfen und bewerten lassen sowie das Ergebnis
der Prüfung veröffentlichen. Näheres kann der Rat der Evangelischen
Kirche in Deutschland durch Rechtsverordnung regeln.
§ 10
Einrichtung automatisierter
Abrufverfahren
| (1) |
Die Einrichtung eines automatisierten Verfahrens,
das die Übermittlung personenbezogener Daten durch Abruf
ermöglicht, ist zulässig, soweit dieses Verfahren unter
Berücksichtigung der schutzwürdigen Interessen der betroffenen
Person und des kirchlichen Auftrags der beteiligten Stellen
angemessen ist. Die Vorschriften über die Zulässigkeit, des
einzelnen Abrufs bleiben unberührt.
|
| (2) |
Die beteiligten kirchlichen Stellen haben zu
gewährleisten, dass die Zulässigkeit des Abrufverfahrens
kontrolliert werden kann. Hierzu haben sie schriftlich
festzulegen: |
|
1. |
Anlass und Zweck des Abrufverfahrens, |
|
2. |
Dritte, an die übermittelt wird, |
|
3. |
Art der zu übermittelnden Daten, |
|
4. |
nach §
9 erforderliche technische und organisatorische Maßnahmen.
|
| (3) |
Über die Einrichtung von Abrufverfahren ist der oder
die jeweils zuständige Datenschutzbeauftragte sowie der oder die
Betriebsbeauftragte für den Datenschutz unter Mitteilung der
Festlegung nach Absatz
2 zu unterrichten. Die Errichtung von automatisierten
Abrufverfahren mit nichtkirchlichen Stellen kann von der
Genehmigung einer anderen kirchlichen Stelle abhängig gemacht
werden.
|
| (4) |
Die Verantwortung für die Zulässigkeit des einzelnen
Abrufs trägt die datenempfangende Stelle. Die speichernde
kirchliche Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu
Anlass besteht. Die speichernde kirchliche Stelle hat zu
gewährleisten, dass die Übermittlung von personenbezogenen Daten
zumindest durch geeignete Stichprobenverfahren festgestellt und
überprüft werden kann. Wird ein Gesamtbestand von
personenbezogenen Daten abgerufen oder übermittelt
(Stapelverarbeitung), so bezieht sich die Gewährleistung
der Feststellung und Überprüfung nur auf die Zulässigkeit des
Abrufs oder der Übermittlung des Gesamtbestandes.
|
| (5) |
Die Absätze
1 bis 4
gelten nicht für den Abruf aus Datenbeständen, die jedermann, sei
es ohne oder nach besonderer Zulassung, zur Benutzung offen
stehen. |
§ 11
Erhebung, Verarbeitung oder Nutzung
von personenbezogenen Daten im Auftrag
| (1) |
Werden personenbezogene Daten im Auftrag durch andere Stellen
oder Personen erhoben, verarbeitet oder genutzt, ist die
beauftragende Stelle für die Einhaltung der Vorschriften dieses
Kirchengesetzes und anderer Vorschriften über den Datenschutz
verantwortlich. Die in den §§ 7
und 8
genannten Rechte sind ihr gegenüber geltend zu machen.
|
| (2) |
Die beauftragte Stelle oder Person ist unter besonderer
Berücksichtigung der Eignung der von ihr getroffenen technischen
und organisatorischen Maßnahmen sorgfältig auszuwählen. Der
Auftrag ist schriftlich zu erteilen, wobei die Datenerhebung,
-verarbeitung oder -nutzung, die technischen und organisatorischen
Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind.
Vor einer Beauftragung ist die Genehmigung der nach kirchlichern
Recht zuständigen Stelle einzuholen. Die beauftragende Stelle soll
sich von der Einhaltung der bei der beauftragten Stelle
getroffenen technischen und organisatorischen Maßnahmen
überzeugen.
|
| (3) |
Die beauftragte Stelle oder Person darf die Daten nur im
Rahmen der Weisungen der beauftragenden Stelle erheben,
verarbeiten oder nutzen. Ist sie der Ansicht, dass eine Weisung
der beauftragenden Stelle gegen dieses Kirchengesetz oder andere
Vorschriften über den Datenschutz verstößt, hat sie die
beauftragende Stelle unverzüglich darauf hinzuweisen.
|
| (4) |
Sofern die kirchlichen Datenschutzbestimmungen auf die
beauftragte Stelle oder Person keine Anwendung finden, ist die
beauftragende Stelle verpflichtet, sicherzustellen, dass die
beauftragte Stelle diese Bestimmungen beachtet und sich der
Kontrolle kirchlicher Datenschutzbeauftragter unterwirft.
|
| (5) |
Die Absätze
1 bis 4
gelten entsprechend, wenn die Prüfung oder Wartung automatisierter
Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen
im Auftrag vorgenommen wird und dabei ein Zugriff auf
personenbezogene Daten nicht ausgeschlossen werden
kann. |
§ 12
Datenübermittlung an kirchliche oder
sonstige öffentliche Stellen
| (1) |
Die Übermittlung von personenbezogenen Daten an
kirchliche Stellen ist zulässig, wenn |
|
1. |
sie zur Erfüllung der in der Zuständigkeit der übermittelnden
oder der empfangenden kirchlichen Stelle liegenden Aufgaben
erforderlich ist und |
|
2. |
Die Zulässigkeitsvoraussetzungen des §5
vorliegen.
|
| (2) |
Die Verantwortung für die Zulässigkeit der
Übermittlung trägt die übermittelnde kirchliche Stelle. Erfolgt
die Übermittlung auf Ersuchen der empfangenden kirchlichen Stelle,
trägt diese die Verantwortung. In diesem Falle prüft die
übermittelnde kirchliche Stelle nur, ob das Übermittlungsersuchen
im Rahmen der Aufgaben der datenempfangenden kirchlichen Stelle
liegt, es sei denn, dass besonderer Anlass zur Prüfung der
Zulässigkeit der Übermittlung besteht. §
10 Abs. 4 bleibt unberührt.
|
| (3) |
Die datenempfangende kirchliche Stelle darf die
übermittelten Daten für den Zweck verarbeiten oder nutzen, zu
dessen Erfüllung sie ihr übermittelt werden. Eine Verarbeitung
oder Nutzung für andere Zwecke ist nur unter den Voraussetzungen
des §5
Abs. 2 zulässig.
|
| (4) |
Sind mit personenbezogenen Daten, die nach Absatz
1 übermittelt werden dürfen, weitere personenbezogene Daten
der betroffenen oder einer anderen Person so verbunden, dass eine
Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so
ist die Übermittlung auch dieser Daten zulässig, soweit nicht
berechtigte Interessen der betroffenen oder einer anderen Person
an deren Geheimhaltung offensichtlich überwiegen; eine Nutzung
dieser Daten ist unzulässig.
|
| (5) |
Absatz
4 gilt entsprechend, wenn personenbezogene Daten innerhalb
einer kirchlichen Stelle weitergegeben werden.
|
| (6) |
Personenbezogene Daten dürfen an Stellen anderer
öffentlich-rechtlicher Religionsgesellschaften übermittelt werden,
wenn das zur Erfüllung der kirchlichen Aufgaben erforderlich ist,
die der übermittelnden oder der empfangenden Stelle obliegen, und
sofern sichergestellt ist, dass bei der empfangenden Stelle
ausreichende Datenschutzmaßnahmen getroffen werden, und nicht
offensichtlich berechtigte Interessen der betroffenen Person
entgegenstehen.
|
| (7) |
Personenbezogene Daten dürfen an Behörden und
sonstige öffentliche Stellen des Bundes, der Länder und der
Gemeinden und der sonstigen Aufsicht des Bundes oder eines Landes
unterstehenden juristischen Personen des öffentlichen Rechts
übermittelt werden, wenn dies eine Rechtsvorschrift zulässt oder
dies zur Erfüllung der kirchlichen Aufgaben erforderlich ist, die
der übermittelnden Stelle obliegen, und nicht offensichtlich
berechtigte Interessen der betroffenen Person
entgegenstehen. |
§ 13
Datenübermittlung an sonstige Stellen
| (1) |
Die Übermittlung von personenbezogenen Daten an
sonstige Stellen oder Personen ist zulässig, wenn |
|
1. |
sie zur Erfüllung der in der Zuständigkeit der übermittelnden
kirchlichen Steile liegenden Aufgaben erforderlich ist und die
Voraussetzungen vorliegen, die eine Nutzung nach §
5 zuließen, oder |
|
2. |
eine Rechtsvorschrift dies zulässt oder |
|
3. |
die datenempfangenden Stellen oder Personen ein berechtigtes
Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft
darlegen und die betroffene Person kein schutzwürdiges Interesse
an dem Ausschluss der Übermittlung hat, es sei denn, dass Grund zu
der Annahme besteht, dass durch die Übermittlung die Wahrnehmung
des Auftrags der Kirche gefährdet würde.
|
| (2) |
Das Übermitteln von besonderen Arten
personenbezogener Daten nach §
2 Abs. 11 ist abweichend von Satz
1 Nr. 3 nur zulässig, soweit dies zur Geltendmachung, Ausübung
oder Verteidigung rechtlicher Ansprüche erforderlich ist.
|
| (3) |
Die Verantwortung für die Zulässigkeit der
Übermittlung trägt die übermittelnde kirchliche Stelle; durch
Kirchengesetz oder durch kirchliche Rechtsverordnung kann die
Übermittlung von der Genehmigung einer anderen kirchlichen Stelle
abhängig gemacht werden.
|
| (4) |
In den Fällen der Übermittlung nach Absatz
1 Nr. 3 unterrichtet die übermittelnde kirchliche Stelle die
betroffene Person von der Übermittlung ihrer Daten. Dies gilt
nicht, wenn damit zu rechnen ist, dass sie davon auf andere Weise
Kenntnis erlangt oder die Wahrnehmung des Auftrages der Kirche
gefährdet würde.
|
| (5) |
Die datenempfangenden Stellen und Personen dürfen
die übermittelten Daten nur für den Zweck verarbeiten oder nutzen,
zu dessen Erfüllung sie ihnen übermittelt werden. Die
übermittelnde Stelle hat sie darauf zu
verpflichten. |
§ 14
Durchführung des Datenschutzes
| (1) |
Die Evangelische Kirche in Deutschland und die
Gliedkirchen sind jeweils für ihren Bereich für die Einhaltung
eines ausreichenden Datenschutzes verantwortlich.
|
| (2) |
Sie haben insbesondere sicherzustellen, dass von den
kirchlichen Stellen je nach ihrem Zuständigkeitsbereich eine
Übersicht geführt wird über |
|
1. |
Name der verantwortlichen Stelle, |
|
2. |
die Bezeichnung und die Art der
Datenverarbeitungsprogramme, |
|
3. |
deren Zweckbestimmung, |
|
4. |
die Art der gespeicherten Daten, |
|
5. |
den betroffenen Personenkreis, |
|
6. |
die Art der regelmäßig zu übermittelnden Daten und die
datenempfangenen Stellen, |
|
7. |
die Regelfristen für die Löschung der Daten, |
|
8. |
zugriffsberechtigte Personengruppen oder Personen, die allein
zugriffsberechtigt sind, |
|
9. |
die Rechtsgrundlage der Verarbeitung. |
|
Sie haben ferner dafür zu sorgen, dass die
ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit
deren Hilfe personenbezogene Daten verarbeitet werden sollen,
überwacht wird.
|
| (3) |
Absatz
2 Satz 1 gilt nicht für |
|
1. |
Dateien, die nur vorübergehend vorgehalten und innerhalb von
drei Monaten nach ihrer Erstellung gelöscht werden und |
|
2. |
automatisierte Verarbeitungen, die allgemeinen
Verwaltungszwecken dienen, einschließlich deren Datensicherung.
|
| (4) |
Für automatisierte Verarbeitungen, die in gleicher
oder ähnlicher Weise mehrfach geführt werden, können die
Festlegungen zusammengefasst werden. |
§ 15
Auskunft an die betroffene Person
| (1) |
Der betroffenen Person ist auf Antrag Auskunft zu
erteilen über |
|
1. |
die zu ihr gespeicherten Daten, auch soweit sie sich auf
Herkunft oder empfangende Steilen dieser Daten beziehen, |
|
2. |
die Empfänger oder Kategorien von Empfängern, an die die Daten
weitergegeben werden, und |
|
3. |
den Zweck der Speicherung.
|
| (2) |
In dem Antrag soll die Art der personbezogenen
Daten, über die Auskunft erteilt werden soll, näher bezeichnet
werden. Sind die personenbezogenen Daten in Akten gespeichert,
wird die Auskunft nur erteilt, soweit die betroffene Person
Angaben macht, die das Auffinden der Daten ermöglichen, und der
für die Erteilung der Auskunft erforderliche Aufwand nicht außer
Verhältnis zu dem geltend gemachten Informationsinteresse steht.
Die verantwortliche Stelle bestimmt das Verfahren, insbesondere
die Form der Auskunftserteilung, nach pflichtgemäßem Ermessen.
|
| (3) |
Auskunft kann nicht erteilt werden, soweit die Daten
oder die Tatsache ihrer Speicherung aufgrund einer speziellen
Rechtsvorschrift oder wegen überwiegender berechtigter Interessen
Dritter geheimgehalten werden müssen und das Interesse der
betroffenen Person an der Auskunftserteilung zurücktreten muss
oder wenn durch die Auskunft die Wahrnehmung des Auftrags der
Kirche gefährdet wird.
|
| (4) |
Die Auskunft ist unentgeltlich. |
§ 15a
Benachrichtigung
| Werden personenbezogene Daten ohne Kenntnis der
betroffenen Person erhoben, so ist diese darüber zu unterrichten.
Dies gilt nicht, wenn |
| 1. |
die betroffene Person davon auf andere Weise
Kenntnis erlangt hat, |
| 2. |
die Unterrichtung einen unverhältnismäßigen Aufwand
erfordert oder |
| 3. |
die Speicherung oder Übermittlung der erhobenen
Daten durch Rechtsvorschrift ausdrücklich vorgesehen ist. |
| Die betroffene Person ist auch bei regelmäßigen
Übermittlungen von Daten über die Empfänger oder Kategorien von
Empfängern von Daten zu unterrichten, soweit sie nicht mit der
Übermittlung an diese rechnen muss. |
§ 16
Berichtigung, Löschung und Sperrung
von Daten; Widerspruchsrecht
| (1) |
Personenbezogene Daten sind zu berichtigen, wenn sie
unrichtig sind. Wird festgestellt, dass personenbezogene Daten,
die weder automatisiert verarbeitet noch in nicht automatisierten
Dateien gespeichert sind, unrichtig sind, oder wird ihre
Richtigkeit von der betroffenen Person bestritten, so ist dies in
geeigneter Weise festzuhalten.
|
| (2) |
Personenbezogene Daten, die automatisiert
verarbeitet oder in nicht automatisierten Dateien gespeichert
sind, sind zu löschen, wenn |
|
1. |
ihre Speicherung unzulässig ist oder |
|
2. |
ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der
in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich
ist.
|
| (3) |
An die Stelle einer Löschung tritt eine Sperrung,
soweit |
|
1. |
einer Löschung Rechtsvorschriften, satzungsmäßige oder
vertragliche Aufbewahrungsfristen entgegenstehen, |
|
2. |
Grund zu der Annahme besteht, dass durch eine Löschung
schutzwürdige Interessen der betroffenen Personen beeinträchtigt
würden, oder |
|
3. |
eine Löschung wegen der besonderen Art der Speicherung nicht
oder nur mit unverhältnismäßig hohem Aufwand möglich ist.
|
| (4) |
Personenbezogene Daten, die automatisiert
verarbeitet oder in nicht automatisierten Dateien gespeichert
sind, sind ferner zu sperren, soweit ihre Richtigkeit von der
betroffenen Person bestritten wird und sich weder die Richtigkeit
noch die Unrichtigkeit feststellen lässt.
|
| (4a) |
Personenbezogene Daten dürfen nicht für eine
automatisierte Verarbeitung oder Verarbeitung in nicht
automatisierten Dateien erhoben, verarbeitet oder genutzt werden,
soweit die betroffene Person dem bei der verantwortlichen Stelle
widerspricht und eine Prüfung ergibt, dass das schutzwürdige
Interesse der betroffenen Person wegen ihrer besonderen
persönlichen Situation das Interesse der verantwortlichen Stelle
an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Satz
1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung,
Verarbeitung oder Nutzung verpflichtet.
|
| (5) |
Personenbezogene Daten, die weder automatisiert
verarbeitet noch in einer nicht automatisierten Datei gespeichert
sind, sind zu sperren, wenn die kirchliche Stelle im Einzelfall
feststellt, dass ohne die Sperrung schutzwürdige Interessen der
betroffenen Person beeinträchtigt würden und die Daten für die
Aufgabenerfüllung nicht mehr erforderlich sind.
|
| (6) |
Gesperrte Daten dürfen ohne Einwilligung der
betroffenen Person nur übermittelt oder genutzt werden, wenn |
|
1. |
es zu wissenschaftlichen Zwecken, zur Behebung einer
bestehenden Beweisnot oder aus sonstigen im überwiegenden
Interesse der verantwortlichen kirchlichen Stelle oder Dritter
liegenden Gründen unerlässlich ist und |
|
2. |
die Daten hierfür übermittelt oder genutzt werden dürften,
wenn sie nicht gesperrt wären, |
|
und die Wahrung des kirchlichen Auftrags nicht
gefährdet wird.
|
| (7) |
Von der Berichtigung unrichtiger Daten, der Sperrung
bestrittener Daten, sowie der Löschung oder Sperrung wegen
Unzulässigkeit der Speicherung sind die kirchlichen Stellen zu
verständigen, denen im Rahmen einer regelmäßigen Datenübermittlung
diese Daten zur Speicherung weitergegeben werden, wenn dies keinen
unverhältnismäßigen Aufwand erfordert und zur Wahrung
schutzwürdiger Interessen der betroffenen Person erforderlich ist.
|
| (8) |
Vorschriften der kirchlichen Stellen, die das
Archivwesen betreffen, bleiben unberührt. |
§ 17
Anrufung der Beauftragten für den
Datenschutz Jede Person kann sich an den zuständigen
Beauftragten oder die zuständige Beauftragte für den Datenschutz wenden,
wenn sie der Ansicht ist, bei der Erhebung, Verarbeitung oder Nutzung
ihrer personenbezogenen Daten durch kirchliche Stellen in ihren Rechten
verletzt worden zu sein. Für die Erhebung, Verarbeitung oder Nutzung von
personenbezogenen Daten durch kirchliche Gerichte gilt dies nur, soweit
diese in eigenen Angelegenheiten als Verwaltung tätig werden.
§ 18
Beauftragte für den Datenschutz
| (1) |
Die Evangelische Kirche in Deutschland und die
Gliedkirchen bestellen für ihren Bereich Beauftragte für den
Datenschutz. Die Gliedkirchen können bestimmen, dass für ihren
diakonischen Bereich besondere Beauftragte für den Datenschutz
bestellt werden.
|
| (2) |
Zu Beauftragten für den Datenschutz dürfen nur
Personen bestellt werden, welche die zur Erfüllung ihrer Aufgaben
erforderliche Fachkunde und Zuverlässigkeit besitzen. Die
beauftragte Person ist auf die gewissenhafte Erfüllung ihrer
Amtspflichten und die Einhaltung der kirchlichen Ordnungen zu
verpflichten.
|
| (3) |
Beauftragte für den Datenschutz sind in Ausübung
ihres Amtes an Weisungen nicht gebunden und nur dem kirchlichen
Recht unterworfen. Der oder die Beauftragte für den Datenschutz
bei der Evangelischen Kirche in Deutschland untersteht der
Rechtsaufsicht des Rates der Evangelischen Kirche in Deutschland
und der Dienstaufsicht des Präsidenten oder der Präsidentin des
Kirchenamtes. Die Gliedkirchen regeln die Rechtsstellung der
Beauftragten für den Datenschutz jeweils für ihren Bereich.
|
| (4) |
Beauftragte für den Datenschutz erhalten die für die
Erfüllung ihrer Aufgaben notwendige Personal- und Sachausstattung.
|
| (5) |
Für Beauftragte für den Datenschutz sollen ständige
Vertreter oder Vertreterinnen bestellt werden. Die Beauftragten
für den Datenschutz sollen dazu gehört werden.
|
| (6) |
Die für den Zuständigkeitsbereich der Beauftragten
für den Datenschutz geltenden Vorschriften des
Kirchenbeamtenrechts über die Annahme von Geschenken und über die
Verschwiegenheitspflicht gelten entsprechend.
|
| (7) |
Beauftragte für den Datenschutz sind verpflichtet,
über die ihnen amtlich bekantgewordenen Angelegenheiten
Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im
dienstlichen Verkehr oder über Tatsachen, die offenkundig sind
oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Die
Verpflichtung besteht auch nach Beendigung des Dienst- oder
Arbeitsverhältnisses. Beauftragte für den Datenschutz dürfen, auch
wenn sie nicht mehr im Amt sind, über Angelegenheiten, die der
Verschwiegenheit unterliegen, ohne Genehmigung ihrer Dienstherren
weder vor Gericht noch außergerichtlich aussagen oder Erklärungen
abgeben. |
§ 19
Aufgaben der Beauftragten für den
Datenschutz
| (1) |
Beauftragte für den Datenschutz wachen über die
Einhaltung der Vorschriften über den Datenschutz.
|
| (2) |
Werden personenbezogene Daten in Akten verarbeitet
oder genutzt, prüfen sie die Erhebung, Verarbeitung oder Nutzung,
wenn betroffene Personen ihnen hinreichende Anhaltspunkte dafür
darlegen, dass sie dabei in ihren Rechten verletzt worden sind,
oder den Beauftragten für den Datenschutz hinreichende
Anhaltspunkte für eine derartige Verletzung vorliegen.
|
| (3) |
Beauftragte für den Datenschutz können Empfehlungen
zur Verbesserung des Datenschutzes geben und kirchliche Stellen in
Fragen des Datenschutzes beraten.
|
| (4) |
Auf Anforderung der kirchenleitenden Organe haben
die Beauftragten für den Datenschutz Gutachten zu erstellen und
Berichte zu geben.
|
| (5) |
Die in §
1 bezeichneten kirchlichen Stellen sind verpflichtet, die
Beauftragten für den Datenschutz bei der Erfüllung ihrer Aufgaben
zu unterstützen. Auf Verlangen ist ihnen Auskunft sowie Einsicht
in alle Unterlagen und Akten über die Erhebung, Verarbeitung und
Nutzung personenbezogener Daten zu geben, insbesondere in die
gespeicherten Daten und in die Datenverarbeitungsprogramme; ihnen
ist jederzeit Zutritt zu allen Diensträumen zu gewähren.
|
| (6) |
Kirchliche Gerichte unterliegen der Prüfung der
Beauftragten für den Datenschutz nur, soweit sie in eigenen
Angelegenheiten als Verwaltung tätig werden.
|
| (7) |
Der Prüfung durch die Beauftragten für den
Datenschutz unterliegen nicht: |
|
1. |
personenbezogene Daten, die dem Beicht- und Seelsorgegeheimnis
unterliegen, |
|
2. |
personenbezogene Daten, die dem Post- und Fernmeldegeheimnis
unterliegen, |
|
3. |
personenbezogene Daten, die dem Arztgeheimnis
unterliegen, |
|
4. |
personenbezogene Daten in Personalakten, |
|
wenn die betroffene Person der Prüfung der auf sie
bezogenen Daten im Einzelfall zulässigerweise gegenüber den
Beauftragten für den Datenschutz widerspricht.
|
| (8) |
Der oder die Beauftragte für den Datenschutz teilt
das Ergebnis der Prüfung der zuständigen kirchlichen Stelle mit.
Damit können Vorschläge zur Verbesserung des Datenschutzes,
insbesondere zur Beseitigung von festgestellten Mängeln bei der
Verarbeitung oder Nutzung personenbezogener Daten, verbunden sein.
§
20 bleibt unberührt.
|
| (9) |
Die kirchlichen Beauftragten für den Datenschutz
sollen zusammenarbeiten und mit den staatlichen und kommunalen
Beauftragten Erfahrungen austauschen. |
§ 20
Beanstandungsrecht der Beauftragten
für den Datenschutz
| (1) |
Stellen Beauftragte für den Datenschutz Verstöße
gegen die Datenschutzbestimmungen oder sonstige Mängel bei der
Verwendung personenbezogener Daten fest, so beanstanden sie dies
gegenüber den zuständigen kirchlichen Stellen und fordern zur
Stellungnahme innerhalb einer von ihnen zu bestimmenden Frist auf.
|
| (2) |
Der oder die Beauftragte für den Datenschutz kann
von einer Beanstandung absehen oder auf eine Stellungnahme
verzichten, insbesondere wenn es sich um unerhebliche oder
inzwischen beseitigte Mängel handelt.
|
| (3) |
Mit der Beanstandung kann der oder die Beauftragte
für den Datenschutz Vorschläge zur Beseitigung der Mängel und zur
sonstigen Verbesserung des Datenschutzes verbinden. Wird der
Beanstandung nicht abgeholfen, so ist der oder die Beauftragte für
den Datenschutz befugt, sich an das jeweilige kirchenleitende
Organ zu wenden.
|
| (4) |
Die gemäß Absatz
1 abzugebende Stellungnahme soll auch eine Darstellung der
Maßnahmen enthalten, die aufgrund der Beanstandung von den
kirchlichen Stellen getroffen worden sind. |
§ 21
Meldepflicht
| (1) |
Die kirchlichen Stellen sind verpflichtet, Verfahren
automatisierter Verarbeitung vor Inbetriebnahme dem oder der
zuständigen Beauftragten für den Datenschutz zu melden.
|
| (2) |
Die Meldung hat die in §
14 Abs. 2 Nummer 1
bis 9
aufgeführten Angaben zu enthalten. Sie kann von jeder Person
eingesehen werden, die ein berechtigtes Interesse nachweist.
|
| (3) |
Die Meldepflicht entfällt, wenn die verantwortliche
Stelle einen Beauftragten oder eine Beauftragte für den
Datenschutz nach §
22 bestellt hat oder bei ihr höchstens sechs Personen mit der
Erhebung, Verarbeitung oder Nutzung personenbezogener Daten
betraut sind. |
§ 22
Betriebsbeauftragte für den
Datenschutz
| (1) |
Bei kirchlichen Werken und Einrichtungen mit eigener
Rechtspersönlichkeit sollen Betriebsbeauftragte, bei den übrigen
kirchlichen Stellen sollen örtlich Beauftragte für den Datenschutz
bestellt werden. Die Bestellung kann sich auf mehrere Werke,
Einrichtungen und kirchliche Körperschaften erstrecken und sollte
erfolgen, wenn mehr als sechs Personen mit der Erhebung,
Verarbeitung oder Nutzung personenbezogener Daten betraut sind.
Die Vertretung ist zu regeln.
|
| (2) |
Zu Beauftragten nach Absatz
1 dürfen nur Personen bestellt werden, die die zur Erfüllung
ihrer Aufgaben erforderliche Fachkunde und Zuverlässigkeit
besitzen.
|
| (3) |
Die Beauftragten nach Absatz
1 sind den gesetzlich oder verfassungsmäßig berufenen Organen
der Werke, Einrichtungen oder kirchlichen Körperschaften
unmittelbar zu unterstellen. Sie sind im Rahmen ihrer Aufgaben
weisungsfrei. Sie dürfen wegen dieser Tätigkeit nicht
benachteiligt werden. Sie sind bei der Erfüllung ihrer Aufgaben zu
unterstützen. §
18 Abs. 7 gilt entsprechend.
|
| (4) |
Die Beauftragten nach Absatz
1 wirken auf die Einhaltung der Bestimmungen für den
Datenschutz hin und unterstützen die kirchlichen Werke und
Einrichtungen bei der Sicherstellung des in ihrer Verantwortung
liegenden Datenschutzes. Zu diesem Zweck können sie sich in
Zweifelsfällen an die für die Datenschutzkontrolle zuständige
Stelle wenden. Sie haben insbesondere |
|
1. |
die ordnungsmäßige Anwendung der Datenverarbeitungsprogramme,
mit deren Hilfe personenbezogene Daten verarbeitet werden sollen,
zu überwachen; |
|
2. |
die bei der Verarbeitung personenbezogener Daten tätigen
Personen durch geeignete Maßnahmen mit den Bestimmungen über den
Datenschutz, bezogen auf die besonderen Verhältnisse ihres
Aufgabenbereiches, vertraut zu machen.
|
| (5) |
Zu Beauftragten nach Absatz
1 sollen diejenigen nicht bestellt werden, die mit der Leitung
der Datenverarbeitung beauftragt sind oder denen die Aufsicht über
die Einhaltung eines ausreichenden Datenschutzes obliegt.
|
| (6) |
Die Bestellung von Beauftragten nach Absatz
1 ist dem Datenschutzbeauftragten und der nach dem jeweiligen
Recht für die Aufsicht zuständigen Stelle
anzuzeigen. |
§ 23
Zweckbindung bei personenbezogenen
Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen
| (1) |
Personenbezogene Daten, die einem Berufs- oder
besonderen Amtsgeheimnis unterliegen und die von der zur
Verschwiegenheit verpflichteten Stelle in Ausübung ihrer Berufs-
oder Amtspflicht zur Verfügung gestellt worden sind, dürfen von
der verantwortlichen Stelle nur für den Zweck verarbeitet oder
genutzt werden, für den sie ihr überlassen worden sind. In die
Übermittlung nach den §§ 12
und 13
muss die zur Verschwiegenheit verpflichtete Stelle einwilligen.
|
| (2) |
Für einen anderen Zweck dürfen die Daten nur
verarbeitet oder genutzt werden, wenn die Änderung des Zwecks
durch besonderes Gesetz zugelassen ist. |
§ 24
Datenerhebung, -verarbeitung und
-nutzung bei Dienst- und Arbeitsverhältnissen
| (1) |
Die kirchlichen Stellen dürfen Daten ihrer
Beschäftigten, Bewerber und Bewerberinnen nur erheben, verarbeiten
oder nutzen, soweit dies zur Eingehung, Durchführung, Beendigung
oder Abwicklung des Beschäftigungsverhältnisses oder zur
Durchführung organisatorischer, personeller und sozialer
Maßnahmen, insbesondere auch zu Zwecken der Personalplanung und
des Personaleinsatzes, erforderlich ist oder eine
Rechtsvorschrift, ein Tarifvertrag oder eine Dienstvereinbarung
dies vorsieht.
|
| (2) |
Eine Übermittlung der Daten von Beschäftigten an
Stellen außerhalb des kirchlichen Bereichs ist nur zulässig, wenn
kirchliche Interessen nicht entgegenstehen und |
|
1. |
die empfangende Stelle ein überwiegendes rechtliches Interesse
darlegt, |
|
2. |
Art oder Zielsetzung der dem oder der Beschäftigten
übertragenen Aufgaben die Übermittlung erfordert oder |
|
3. |
offensichtlich ist, dass die Übermittlung im Interesse der
betroffenen Person liegt und keine Anhaltspunkte vorliegen, dass
sie in Kenntnis des Übermittlungszwecks ihre Einwilligung nicht
erteilen würde.
|
| (3) |
Die Übermittlung an künftige Dienstherren oder
Arbeitgeber und Arbeitgeberinnen ist nur mit Einwilligung der
betroffenen Person zulässig, es sei denn, dass eine Abordnung oder
Versetzung vorbereitet wird, die der Zustimmung des oder der
Beschäftigten nicht bedarf.
|
| (4) |
Verlangt die kirchliche Stelle zur Eingehung oder im
Rahmen eines Beschäftigungsverhältnisses medizinische oder
psychologische Untersuchungen und Tests, hat sie Anlass und Zweck
der Begutachtung möglichst tätigkeitsbezogen zu bezeichnen.
Ergeben sich keine medizinischen oder psychologischen Bedenken,
darf die kirchliche Stelle lediglich die Übermittlung des
Ergebnisses der Begutachtung verlangen; ergeben sich Bedenken,
darf auch die Übermittlung der festgestellten möglichst
tätigkeitsbezogenen Risikofaktoren verlangt werden. Im übrigen ist
eine Weiterverarbeitung der bei den Untersuchungen oder Tests
erhobenen Daten ohne schriftliche Einwilligung der betroffenen
Person nur zu dem Zweck zulässig, zu dem sie erhoben worden sind.
|
| (5) |
Personenbezogene Daten, die vor der Eingehung eines
Beschäftigungsverhältnisses erhoben wurden, sind unverzüglich zu
löschen, sobald feststeht, dass ein Beschäftigungsverhältnis nicht
zustande kommt. Dies gilt nicht, soweit überwiegende berechtigte
Interessen der speichernden Stelle der Löschung entgegenstehen
oder die betroffene Person in die weitere Speicherung einwilligt.
Nach Beendigung eines Beschäftigungsverhältnisses sind
personenbezogene Daten zu löschen, soweit diese Daten nicht mehr
benötigt werden. §
16 Abs. 3 gilt entsprechend.
|
| (6) |
Die Ergebnisse medizinischer oder psychologischer
Untersuchungen und Tests der Beschäftigten dürfen automatisiert
nur verarbeitet werden, wenn dies dem Schutz des oder der
Beschäftigten dient.
|
| (7) |
Soweit Daten der Beschäftigten im Rahmen der
Maßnahmen zur Datensicherung nach der Anlage zu §
9 gespeichert werden, dürfen sie nicht zu anderen Zwecken,
insbesondere nicht zu Zwecken der Verhaltens- oder
Leistungskontrolle genutzt werden. |
§ 25
Verarbeitung und Nutzung
personenbezogener Daten durch Forschungseinrichtungen
| (1) |
Für Zwecke der wissenschaftlichen Forschung erhobene
oder gespeicherte personenbezogene Daten dürfen nur für Zwecke der
wissenschaftlichen Forschung verarbeitet oder genutzt werden.
|
| (2) |
Die Übermittlung personenbezogener Daten an andere
als kirchliche Stellen für Zwecke der wissenschaftlichen Forschung
ist nur zulässig, wenn diese sich verpflichten, die übermittelten
Daten nicht für andere Zwecke zu verarbeiten oder zu nutzen und
die Vorschriften der Absätze 3
und 4
einzuhalten. Der kirchliche Auftrag darf durch die Übermittlung
nicht gefährdet werden.
|
| (3) |
Die personenbezogenen Daten sind zu anonymisieren,
sobald dies nach dem Forschungszweck möglich ist. Bis dahin sind
die Merkmale gesondert zu speichern, mit denen Einzelangaben über
persönliche oder sachliche Verhältnisse einer bestimmten oder
bestimmbaren Person zugeordnet werden können. Sie dürfen mit den
Einzelangaben nur zusammengeführt werden, soweit der
Forschungszweck dies erfordert.
|
| (4) |
Die Veröffentlichung personenbezogener Daten, die
zum Zwecke wissenschaftlicher Forschung übermittelt wurden, ist
nur mit Zustimmung der übermittelnden Stelle zulässig. Die
Zustimmung kann erteilt werden, wenn |
|
1. |
die betroffene Person eingewilligt hat oder |
|
2. |
dies für die Darstellung von Forschungsergebnissen über
Ereignisse der Zeitgeschichte unerlässlich ist, |
|
3. |
es sei denn, dass Grund zu der Annahme besteht, dass durch die
Veröffentlichung der Auftrag der Kirche gefährdet
würde. |
§ 26
Erhebung, Verarbeitung und Nutzung
personenbezogener Daten durch Medien
| (1) |
Soweit personenbezogene Daten von kirchlichen
Stellen ausschließlich zu eigenen journalistisch-redaktionellen
oder literarischen Zwecken erhoben, verarbeitet oder genutzt
werden, gelten von den Vorschriften dieses Kirchengesetzes nur die
§§ 6,
8
und 9.
Soweit personenbezogene Daten zur Herausgabe von Adressen-,
Telefon- oder vergleichbaren Verzeichnissen erhoben, verarbeitet
oder genutzt werden, gilt Satz
1 nur, wenn mit der Herausgabe zugleich eine
journalistisch-redaktionelle oder literarische Tätigkeit verbunden
ist.
|
| (2) |
Führt die journalistisch-redaktionelle Erhebung,
Verarbeitung oder Nutzung personenbezogener Daten zur
Veröffentlichung von Gegendarstellungen der betroffenen Person, so
sind diese Gegendarstellungen zu den gespeicherten Daten zu nehmen
und für dieselbe Zeitdauer aufzubewahren wie die Daten selbst.
|
| (3) |
Wird jemand durch eine Berichterstattung in seinem
Persönlichkeitsrecht beeinträchtigt, so kann er Auskunft über die
der Berichterstattung zugrunde liegenden, zu seiner Person
gespeicherten Daten verlangen. Die Auskunft kann verweigert
werden, soweit aus den Daten auf die berichtenden oder
einsendenden Personen oder die Gewährsleute von Beiträgen,
Unterlagen und Mitteilungen für den redaktionellen Teil
geschlossen werden kann. Die betroffene Person kann die
Berichtigung unrichtiger Daten verlangen. |
§ 27
Ergänzende Bestimmungen
| (1) |
Der Rat der Evangelischen Kirche in Deutschland kann
durch Rechtsverordnung mit Zustimmung der Kirchenkonferenz
Bestimmungen zur Durchführung dieses Kirchengesetzes erlassen.
|
| (2) |
Die Gliedkirchen können für ihren Bereich ergänzende
Durchführungsbestimmungen zu diesem Kirchengesetz erlassen.
|
| (3) |
Soweit personenbezogene Daten von
Sozialleistungsträgern übermittelt werden, gelten zum Schutz
dieser Daten ergänzend die staatlichen Bestimmungen entsprechend.
Werden hierzu Bestimmungen gemäß Absatz
1 erlassen, ist vorher der Diakonische Rat des Diakonischen
Werkes der Evangelischen Kirche in Deutschland
anzuhören. |
§ 28
Inkrafttreten Dieses
Kirchengesetz tritt am 1. Januar 2003 in Kraft.
Anlage
Anlage zu §9
Satz 1
| Werden personenbezogene Daten automatisiert
verarbeitet oder genutzt, ist die innerbehördliche oder
innerbetriebliche Organisation so zu gestalten, dass sie den
besonderen Anforderungen des Datenschutzes gerecht wird. Dabei
sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu
schützenden Daten oder Datenkategorien geeignet sind, |
| 1. |
Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen
personenbezogene Daten verarbeitet oder genutzt werden, zu
verwehren (Zutrittskontrolle), |
| 2. |
zu verhindern, dass Datenverarbeitungssysteme von Unbefugten
genutzt werden können (Zugangskontrolle), |
| 3. |
zu gewährleisten, dass die zur Benutzung eines
Datenverarbeitungssystems Berechtigten ausschließlich auf die
ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können,
und dass personenbezogene Daten bei der Verarbeitung, Nutzung und
nach der Speicherung nicht unbefugt gelesen, kopiert, verändert
oder entfernt werden können (Zugriffskontrolle), |
| 4. |
zu gewährleisten, dass personenbezogene Daten bei der
elektronischen Übertragung oder während ihres Transports oder
ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert,
verändert oder entfernt werden können, und dass überprüft und
festgestellt werden kann, an welche Stellen eine Übermittlung
personenbezogener Daten durch Einrichtungen zur Datenübertragung
vorgesehen ist (Weitergabekontrolle), |
| 5. |
zu gewährleisten, dass nachträglich überprüft und festgestellt
werden kann, ob und von wem personenbezogene Daten in
Datenverarbeitungssysteme eingegeben, verändert oder entfernt
worden sind (Eingabekontrolle), |
| 6. |
zu gewährleisten, dass personenbezogene Daten, die im Auftrag
verarbeitet werden, nur entsprechend den Weisungen des
Auftraggebers verarbeitet werden können
(Auftragskontrolle), |
| 7. |
zu gewährleisten, dass personenbezogene Daten gegen zufällige
Zerstörung oder Verlust geschützt sind
(Verfügbarkeitskontrolle), |
| 8. |
zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene
Daten getrennt verarbeitet werden können. |
|