.

Beschluss
des Moderamens der Gesamtsynode
über die Verpflichtung auf
das Datengeheimnis

vom 19. März 2012

(GVBl. Bd. 19 S. 320)

Aufgrund des § 27 Absatz 2 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) vom 12. November 1993 (ABl. EKD S. 505), geändert durch Kirchengesetz der Evangelischen Kirche in Deutschland vom 7. November 2002 (ABl. EKD S. 381), hat das Moderamen der Gesamtsynode den folgenden Beschluss gefasst:
  1. Gemäß § 6 Satz 2 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland haben die Leitungen der kirchlichen Körperschaften, Dienststellen, Behörden, Werke und Einrichtungen ihre mit Datenverarbeitungsaufgaben betrauten haupt- und nebenberuflich Beschäftigten, soweit sie nicht aufgrund anderer kirchlicher Bestimmungen zur Verschwiegenheit verpflichtet wurden, schriftlich auf das Datengeheimnis zu verpflichten. Um diese Verpflichtung zu ermöglichen, werden der nachstehend in Anlage 1 abgedruckte Text für die „Verpflichtungserklärung zur Wahrung des Datengeheimnisses" und das dazugehörige, unter Anlage 2 abgedruckte „Merkblatt zur Verpflichtungserklärung" für verbindlich erklärt. Der oder die zu Verpflichtende hat jeweils zwei Exemplare der Verpflichtungserklärung zu unterschreiben. Eine Ausfertigung wird dem Mitarbeiter oder der Mitarbeiterin ausgehändigt, die zweite ist zu den Personalakten zu nehmen.
  2. Die unter Nr. 1 genannten kirchlichen Stellen haben unter den dort genannten Voraussetzungen auch ehrenamtlich tätige Personen schriftlich auf das Datengeheimnis zu verpflichten. Um diese Verpflichtung zu ermöglichen, werden der nachstehend in Anlage 3 abgedruckte Text für die „Verpflichtungserklärung zum Datengeheimnis" und das dazugehörige, unter Anlage 4 abgedruckte „Merkblatt zur Verpflichtung auf das Datengeheimnis für kirchliche Mitarbeiterinnen und Mitarbeiter im Ehrenamt" für verbindlich erklärt. Eine Ausfertigung der Verpflichtungserklärung ist der ehrenamtlich tätigen Person auszuhändigen, die zweite ist zu Akten der verpflichtenden Stelle zu nehmen.
  3. Dieser Beschluss tritt am 1. Juli 2012 in Kraft; gleichzeitig tritt der Beschluss des Synodalrates über die Verpflichtungserklärung zum Datengeheimnis vom 27. Juli 1995 (Gesetz- und Verordnungsbl. Bd. 17 S. 8) außer Kraft.
#

Anlage 1

Verpflichtungserklärung
nach § 6 des Kirchengesetzes über den Datenschutz der
Evangelischen Kirche in Deutschland (DSG-EKD)
zur
Wahrung des Datengeheimnisses

___________________________
Name der verantwortlichen Stelle
Sehr geehrte(r) Frau/Herr _______________,
aufgrund Ihrer Aufgabenstellung verpflichte ich Sie auf die Wahrung des Datengeheimnisses nach § 6 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland. Es ist Ihnen nach dieser Vorschrift untersagt, unbefugt personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen.
Diese Verpflichtung besteht auch nach Beendigung Ihrer Tätigkeit fort. Verstöße gegen das Datengeheimnis sind Verletzungen der Dienstpflicht im Sinne des Disziplinarrechts und der dienstrechtlichen Vorschriften und können strafbar sein. Sie können Schadenersatzansprüche des Dienstherrn oder Dritter begründen.
In der Verletzung des Datengeheimnisses kann zugleich eine Verletzung arbeits- oder dienstrechtlicher Schweigepflichten liegen.
Eine unterschriebene Zweitschrift dieses Schreibens senden Sie bitte zurück.
Ort, Datum
Unterschrift des oder der Verpflichtenden
Über die Verpflichtung auf das Datengeheimnis und die sich daraus ergebenden Verhaltensweisen wurde ich unterrichtet. Das Merkblatt zur Verpflichtungserklärung habe ich erhalten.
Ort, Datum
Unterschrift des oder der Verpflichtenten
#

Anlage 2

Merkblatt
zur Verpflichtungserklärung

###
Für den Datenschutz in der Evangelisch-reformierten Kirche sind folgende Rechtsvorschriften zu beachten:
In gleicher Weise sind künftige Rechts- und Verwaltungsvorschriften der Evangelischen Kirche in Deutschland, der Konföderation evangelischer Kirchen in Niedersachsen und der Evangelisch-reformierten Kirche zum Datenschutz zu beachten.
Für den Schutz personenbezogener Daten gelten insbesondere folgende Grundsätze:
  1. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (betroffene Person). Soweit personenbezogene Daten von Sozialleistungsträgern übermittelt werden, gelten zum Schutz dieser Daten ergänzend die staatlichen Bestimmungen entsprechend. Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, wenn das DSG-EKD oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder soweit die betroffene Person eingewilligt hat (sh. § 4 DSG-EKD). Einzelheiten sind u. a. den §§ 1 bis 5 und den §§ 11 bis 13 DSG-EKD zu entnehmen.
  2. Personenbezogene Daten und Datenkategorien (z. B. Belege, Karteikarten, EDV-Listen, Magnetbänder, Magnetplatten, Disketten, Datenverarbeitungsanlagen) sind stets sicher und verschlossen zu verwahren und vor dem Zugriff Unbefugter zu schützen.
  3. Personenbezogene Daten und Dateikategorien dürfen nur solchen Personen zugänglich gemacht werden, die auf Grund ihrer dienstlichen Aufgaben oder ehrenamtlichen Tätigkeit zum Zugriff auf die Daten ermächtigt und ausdrücklich auf die Wahrung des Datengeheimnisses verpflichtet worden sind.
  4. Eine Übermittlung (Einsichtnahme, Abruf, Weitergabe) ist nur zulässig, wenn eine kirchliche oder staatliche Rechtsvorschrift dies vorsieht, zwingend voraussetzt oder die Wahrnehmung des kirchlichen Auftrages dies erfordert. Auskünfte zur geschäftlichen oder gewerblichen Verwendung der Daten dürfen in keinem Fall gegeben werden.
  5. Datenbestände, insbesondere Dateien, Listen und Karteien, die durch neue ersetzt und auch nicht aus besonderen Gründen weiterhin benötigt werden, müssen in einer Weise vernichtet oder gelöscht werden, die jeden Missbrauch der Daten ausschließt.
  6. Alle Informationen, die Mitarbeiter oder Mitarbeiterinnen aufgrund der Arbeit mit personenbezogenen Daten und Datenkategorien erhalten, sind von ihnen vertraulich zu behandeln. Diese Pflicht besteht auch nach Beendigung des Dienstverhältnisses.
  7. Verstöße gegen das Datengeheimnis sind Verletzungen der Dienstpflicht im Sinne des Disziplinarrechts und der dienstrechtlichen Vorschriften und können Schadenersatzansprüche des Dienstherrn oder Dritter begründen.
  8. Die Vorschriften über die Amtsverschwiegenheit der kirchlichen Mitarbeiter (z. B. § 29 Absatz 4 Satz 3 der Kirchenverfassung, §§ 30, 31 Pfarrdienstgesetz der EKD, § 24 Kirchenbeamtengesetz der EKD, § 3 Absatz 1 TVöD) und über sonstige Geheimhaltungspflichten (z. B. Steuergeheimnis) bleiben unberührt.
  9. Bestimmte Handlungen, die einen Verstoß gegen das Datengeheimnis beinhalten, werden durch das Strafgesetzbuch mit Strafe bedroht. Auf die Straftatbestände § 303a („Datenveränderung"), § 303b („Computersabotage"), § 202a („Ausspähen von Daten") und § 263a („Computerbetrug") wird besonders hingewiesen: Danach kann bestraft werden, wer rechtswidrig Daten verändert oder beseitigt, wer den Ablauf der Datenverarbeitung einer Behörde oder eines Wirtschaftsunternehmens stört, wer sich oder einem Dritten unbefugt besonders gesicherte Daten aus fremden Datensystemen verschafft und wer fremdes Vermögen durch unbefugtes Einwirken auf einen Datenverarbeitungsvorgang schädigt.
  10. Nach urheberrechtlichen Bestimmungen (§ 106 Urheberrechtsgesetz - UrhG i. V. m. § 69 a UrhG) sind u. a. die Weitergabe oder Vervielfältigung lizenzierter Computerprogramme strafbar. Die zeitlich parallele Mehrfachnutzung eines Originaldatenträgers oder davon angefertigter Sicherungskopien sowie die Mehrfachnutzung über ein Netzwerk ist unzulässig, sofern vertraglich nichts anderes vereinbart worden ist.
  11. Der Einsatz privater Computerprogramme oder die Verarbeitung privater Daten auf einem dienstlichen Personalcomputer ist nicht zulässig.
  12. Der Einsatz dienstlicher Computerprogramme oder die Verarbeitung dienstlicher personenbezogener Daten auf einem privaten Personalcomputer ist nicht zulässig.
  13. Mängel beim Datenschutz, der Datensicherung und der ordnungsgemäßen Erhebung, Verarbeitung oder Nutzung personenbezogener Daten sind den jeweiligen Vorgesetzten unverzüglich anzuzeigen.
#

Anlage 3

Verpflichtungserklärung
zum Datengeheimnis gemäß § 6 des
Kirchengesetzes über den Datenschutz
der Evangelischen Kirche in Deutschland
(DSG-EKD)

vom 12. November 1993

Frau / Herr
wohnhaft
ist als
bei
ehrenamtlich tätig und bestätigt:
Zur Wahrung des Datengeheimnisses wurde ich darauf verpflichtet, personenbezogene Daten gemäß den jeweils geltenden Bestimmungen über den Datenschutz nicht unbefugt zu erheben, zu verarbeiten oder zu nutzen. Mir ist bekannt, dass diese Verpflichtung auch nach Beendigung meiner Tätigkeit fortbesteht.
Eine Ausfertigung des „Merkblatts zur Verpflichtung auf das Datengeheimnis für kirchliche Mitarbeiterinnen und Mitarbeiter im Ehrenamt“ wurde mir ausgehändigt. Von seinem Inhalt habe ich Kenntnis genommen.
Diese Niederschrift wurde mir vorgelesen. Eine Ausfertigung der Niederschrift wurde mir ausgehändigt.
________________________________
Unterschrift des oder der Verpflichteten
Die vorstehende Unterschrift wurde heute in meiner Gegenwart geleistet:
Ort, Datum
Unterschrift des oder der Verpflichtenden
#

Anlage 4

Merkblatt
zur Verpflichtung auf das Datengeheimnis
für kirchliche Mitarbeiterinnen und
Mitarbeiter im Ehrenamt

###
Wenn Sie ehrenamtlich in einer Kirchengemeinde, einem Synodalverband oder einer diakonischen Einrichtung der Evangelisch-reformierten Kirche mitarbeiten und dabei regelmäßig mit personenbezogen Daten umzugehen haben, muss diejenige Stelle, für die Sie tätig sind, Sie auf das Datengeheimnis verpflichten. In diesem Merkblatt erhalten Sie einige Informationen über den wesentlichen Inhalt des Datengeheimnisses und den Sinn der Verpflichtungserklärung.
Was sind personenbezogene Daten?
Das Datengeheimnis zielt auf den Schutz des Einzelnen gegen die unbefugte Verwendung seiner persönlichen Daten durch andere. Als personenbezogene Daten geschützt sind alle Einzelangaben über die persönlichen und sachlichen Verhältnisse eines Menschen. Dazu gehören z. B. der Name, das Geburtsdatum, die Anschrift, der Beruf, die Religionszugehörigkeit, Krankheiten sowie Bild- und Filmmaterial über diesen Menschen. Wenn Sie etwa als Mitarbeiter oder Mitarbeiterin eines Besuchsdienstkreises Gespräche mit einem Gemeindeglied führen, handelt es sich bei dem, was Ihr Gesprächspartner Ihnen über sich selbst oder über eine andere Person erzählt, um personenbezogene Daten.
Welchen Grund hat die Verpflichtung auf das Datengeheimnis?
Wer seine persönlichen Daten einer kirchlichen Stelle anvertraut, hat einen Anspruch darauf, dass die kirchlichen Mitarbeiterinnen und Mitarbeiter mit diesen Daten verantwortlich umgehen. Dies gilt etwa für den Umgang mit den Daten einer Gemeindegliederkartei, aber auch für den Umgang mit den Inhalten eines seelsorgerlichen Gesprächs. Pfarrer, Pfarrerinnen, andere beruflich in der Kirche Beschäftigte sowie die gewählten Mitglieder der Gemeindeleitung sind zumeist durch Kirchengesetz oder Tarifvertrag zur Verschwiegenheit verpflichtet. Für andere ehrenamtlich Mitarbeitende gelten diese Bestimmungen nicht. An ihre Stelle tritt die Verpflichtung auf das Datengeheimnis.
Die Verpflichtungserklärung sollte nicht als Ausdruck eines grundsätzlichen Misstrauens gegenüber Ehrenamtlichen missverstanden werden. Sie ist vielmehr ein Qualitätsmerkmal für die ehrenamtlich geleistete Arbeit! Denn für die Betroffenen ist es oft sehr wichtig, darüber Gewissheit zu haben, dass über ihre Daten Verschwiegenheit gewahrt wird. Ein gutes seelsorgerliches Gespräch etwa wird ohne diese Gewissheit nicht zustande kommen. Dabei macht es keinen Unterschied, ob das Gespräch mit einem Pastor oder einer ehrenamtlichen Kraft geführt wird.
Welche rechtlichen Grundlagen gelten für den Datenschutz?
Durch das Datengeheimnis wird es denjenigen Personen, die mit dem Umgang mit personenbezogenen Daten betraut sind, untersagt, diese Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Was dies im Einzelnen bedeutet, wird durch die jeweils geltenden Datenschutzbestimmungen festgelegt. Im Bereich der Evangelisch-reformierten Kirche sind zurzeit insbesondere die folgenden Regelungen maßgeblich:
Sie finden diese Vorschriften in der Online-Rechtssammlung der Evangelisch reformierten Kirche (www.kirchenrecht-erk.de) unter den Ordnungsziffern 11.110 bis 11.113. Die für die Praxis grundlegenden Bestimmungen enthält das Datenschutzgesetz der Evangelischen Kirche in Deutschland. In dessen § 6 ist auch das Datengeheimnis geregelt.
Was bedeutet „erheben“, „verarbeiten“ und „nutzen“ von Daten?
Diese Begriffe beschreiben unterschiedliche Formen des Umgangs mit Daten. Dabei bedeutet „erheben“ das zielgerichtete Beschaffen von Daten (z. B. durch mündliche oder schriftliche Befragung), während sich die Begriffe „verarbeiten“ und „nutzen“ auf die Verwendung vorhandener Daten beziehen. Formen der Verarbeitung von Daten sind insbesondere die Speicherung auf einem Datenträger (z. B. das Anlegen einer Liste), die Veränderung (inhaltliche Umgestaltung) von Daten, die Übermittlung an andere Personen und das Löschen (Unkenntlichmachen) gespeicherter Daten. „Nutzen“ schließlich meint jede weitere Verwendung der Daten, die nicht unter den Begriff der „Verarbeitung“ fällt.
Wann ist der Umgang mit geschützten Daten „unbefugt“?
Grundsätzlich kann man sagen, dass Ihnen die unterschiedlichen Formen des Umgangs mit personenbezogenen Daten erlaubt sind, soweit dies zur Erfüllung Ihrer ehrenamtlichen Aufgabe erforderlich ist. Dabei ist einschränkend zu beachten, dass
  • Daten nur zu dem Zweck verwendet werden dürfen, für den sie erhoben oder gespeichert sind,
  • Daten auch innerhalb der kirchlichen Stelle nur solchen Personen bekannt gegeben werden dürfen, die zum Empfang der Daten ermächtigt und zur Verschwiegenheit verpflichtet sind,
  • Auskünfte aus und Abschriften/Duplikate von Datensammlungen (Dateien) an Dritte nur erteilt bzw. angefertigt werden dürfen, wenn ein berechtigtes Interesse nachgewiesen ist.
Umgekehrt ist das Erheben oder Verwenden der Daten dann „unbefugt“, wenn dies zur Erfüllung Ihrer Aufgaben nicht wirklich notwendig ist (es sei denn, der oder die Betroffene willigt ausdrücklich ein). Insbesondere haben Sie ohne das zwingende Erfordernis einer Datenweitergabe an Dritte über alle personenbezogenen Daten, die Sie aufgrund ihrer kirchlichen Tätigkeit in Erfahrung bringen, Verschwiegenheit zu wahren. So dürfen etwa Daten in keinem Fall zur Befriedigung gewerblicher Interessen herausgegeben werden, erst recht nicht zur Befriedigung reiner Privatinteressen oder der bloßen Neugierde.
Arbeiten Sie in einem Besuchsdienstkreis mit, ist es zulässig, erlebte Besuchssituationen in der Gruppe zu besprechen. Solche Besprechungen sind zur begleitenden Fortbildung und seelischen Entlastung der Mitarbeitenden, gegebenenfalls auch zur Lösung eines Problems, erforderlich. Die Verschwiegenheitspflicht trifft dann die Gruppe im Ganzen. Dennoch ist es empfehlenswert, auch hier das Interesse der Besuchten an der Vertraulichkeit so weit wie möglich zu berücksichtigen. So sollte den Besuchten die Arbeitsweise der Besuchsdienstgruppe bekannt sein. Bittet der Besuchte bei einem bestimmten Thema ausdrücklich um Stillschweigen, sollte dies respektiert werden. In vielen Fällen wird es auch möglich sein, Besuchssituationen so zu schildern, dass ein Rückschluss auf die betroffene Person nicht möglich ist. In diesem Fall der sog. Anonymisierung von Daten liegt keine Datenverarbeitung im Sinne der Datenschutzgesetze vor.
Zulässig ist es darüber hinaus, im Rahmen der Besuchsdienstarbeit kurze persönliche Notizen über die Besuchten anzufertigen, etwa um den jeweiligen Geburtstag nicht zu versäumen. Es ist aber nicht erforderlich und damit auch nicht zulässig, solche Unterlagen ohne Einwilligung der Betroffenen an andere Mitglieder des Besuchsdienstkreises oder an Dritte weiterzugeben. Ferner sind jedem Mitglied des Kreises nur Daten derjenigen Personen zur Verfügung zu stellen, die von ihm auch tatsächlich besucht werden. Komplette Adresslisten über alle Besuchten oder sogar „ungefilterte“ Auszüge aus der Gemeindegliederkartei sollen den einzelnen Ehrenamtlichen im Besuchsdienst nicht zur Verfügung stehen.
Welche Maßnahmen sind zur Datensicherung zu treffen?
Neben den Vorschriften über das Erheben, Verarbeiten und Nutzen personenbezogener Daten enthält das Datenschutzrecht auch die Verpflichtung kirchlicher Stellen, technische und organisatorische Maßnahmen zu treffen, um den Anforderungen der Datensicherheit zu genügen. Das bedeutet, dass die Daten verwaltende Stelle im Rahmen des Zumutbaren auch dafür Sorge zu tragen hat, dass ein unbefugter Zugriff Dritter auf die Daten nach Möglichkeit ausgeschlossen ist.
Bitte bewahren Sie deshalb Datenträger (z. B. Notizbücher, Karteikarten, Disketten) stets sicher und verschlossen auf!
Falls Sie ausnahmsweise eine Speicherung von personenbezogenen Daten auf Ihrem privaten PC für notwendig halten, müssen Sie diese Daten unbedingt gegen jede Einsichtnahme durch Unbefugte schützen! Hierzu kann beim Kirchenamt oder beim Beauftragten für den Datenschutz der Gesamtkirche ein Merkblatt zur Datensicherheit beim Umgang mit elektronischen Medien bezogen werden.
Vermeiden Sie jede unnötige Ansammlung von Daten! Nicht mehr benötigte Datenbestände sind in einer Weise zu löschen, die jeden Missbrauch ausschließt.
Wo erhält man weitere Auskünfte?
Wenn Sie weitere Fragen zum Datenschutz haben oder in einem Einzelfall eine Rechtsauskunft benötigen, können Sie sich an den Beauftragten oder die Beauftragte für den Datenschutz der Gesamtkirche wenden. Die aktuelle Anschrift erhalten Sie im Kirchenamt oder unter www.ekd.de/themen/recht/datenschutz.